Федор Зубанов Active Directory подход профессионала

Л Р У С С К И

Федор Зубанов

ActiveDirectory

подход профессионала

Издание 2-е, исправленное

Москва 2003

. Р У С С К А Я ШИШ

УДК 004ББК 32.973.81-018.2

391

Зубанов Ф. В.

391 Active Directory: подход профессионала. — 2-е изд., испр. —М.: Издательско-торговый дом «Русская Редакция», 2003. -544 с.: ил.

ISBN 5-7502-OJ 18-Х

В книге обобщен богатый опыт Microsoft Consulting Services в обла-сти проектирования, развертывания и эксплуатации службы катало-гов Active Directory® в самых разных организациях. Основной упорсделан на методике выявления проблем в работе Active Directory® испособах их устранения. На конкретных примерах разбираютсявопросы настройки сетевых служб, репликации и групповых правил.Особое внимание уделяется специфике проектирования Active Diiec-tory* в крупных и очень крупных организациях.

Книга состоит из вступления, 6 глав и словаря терминов.

Это издание адресовано системным администраторам и специалис-там в области проектирования корпоративных вычислительныхсистем на базе Windows 2000.

УДК 004ББК 32.973-81-018.2

Использованные а примерах и упражнениях названия компаний и продуктов,персонажи и события янля.отся вымышленными. Любые совпадения с реальны-ми компаниями, продуктами, людьми и событиями являются случайными.

Active Directory. ActiveX, .(Script, Microsoft, Microsoft Press, MSDN, MS-DOS,PowerPoint, Visual Basic, Visual C++, Visual InterDev. Visual SourceSafe, Visual Studio,Win32, Windows и Windows NT являются либо товарными знаками, либо охра-няемыми товарными знаками корпорации Microsoft в США и/или других стра-нах. MySQL являемся охраняемым товарным знаком компании MySQL АН. 13седругие токарные знаки являются собственностью соответствующих фирм.

© Зубанов Ф. В., 2002-2003

© Издательско-торговый домISBN 5-7502-0118-Х «Русская Редакция», 2003

Оглавление

Об этой книге XIIIСтруктура книги XIV

Чего здесь нет XVIIПринятые соглашения XVII

Проектируем AD, или Мелочей не бывает 1Что в имени тебе моем? 2

Бизнес определяет имена 2Имена DNS и имена Active Directory 4Покажем корень миру 4

Алгоритм именования DNS 6Именование объектов Active Directory 6

Именование пользователей 6Именование компьютеров 8Имена подразделений 9

Одоменивание 9Один за всех 11

Критерии создания домена 11Когда одного домена достаточно 11

Преимущества однодоменной модели 13... все за одного 14

Преимущества многодоменной модели (дерева) 18Посадим деревья и вырастет лес 19

Преимущества модели с несколькими деревьями 21

Преимущества модели с одним лесом 22Модель с несколькими лесами 24

Мигрируем с доменной структуры Windows NT 26Миграция единственного домена 26Миграция доменной структуры с одним мастер-доменом 27Миграция доменной структуры с несколькими мастерами 30Миграция нескольких доменов с попарным доверием 31

Группы и стратегия их использования 32Рекомендации по использованию универсальных групп 32Рекомендации по использованию глобальных групп 34Рекомендации по использованию локальных групп домена 35

Использование особых объединений 37Административные группы 37

Если ОП создают, значит, это кому-нибудь нужно 38Модели организационных подразделений 40

Географическая иерархия 40Организационная иерархия 40

IV Active Directory: подход профессионала

Объектная иерархия 40

Проектная иерархия 41Административная иерархия 41

Так кому нужны организационные подразделения? 43Нужны ли подразделения пользователям? 44Подразделения нужны администраторам! 46

Делегирование административных полномочий 46Разбиваем на сайты 47

Так какой же все-таки критерии? 48Сколько может быть сайтов? 49

Сколько нужно контроллеров и где их размещать 51Менее 10 пользователей 51От 10 до 50 пользователей 53От 50 пользователей 54

Надежная связь между сайтами 55Топология сетей 55Межсайтовые связи 56Объекты связи 59Серверы-форпосты 59Отказоустойчивые схемы 63

Мастера операций и Глобальный каталог. Оптимальное размещение 65Мастер схемы 65Мастер доменных имен 66Имитатор РОС 67Мастер RID 67Мастер инфраструктуры 67Глобальные каталоги 68Примеры размещения ' 69

Конфигурация контроллеров доменов для удаленных филиалов 71Политика изменения схемы 72

Когда и как модифицируют схему 73

Применение политики модификации схемы 73Active Directory, межсетевые экраны и Интернет 75

Подключение доменов через VPN 75Подключение доменов с использованием IPSec 78Авторизация ресурсов в DMZ 80

Пример планирования 82Постановка задачи 83Предложенная архитектура 85

Леса 85Домены 86Сайты 86Контроллеры доменов 87Организационные подразделения 88Группы безопасности 88Сервер Web и доступ к нему 89

Заключение .. 90


Установка Active Directory 91Что делать с DNS 91

Мой первый DNS 92Так он работает? 94А что если наблюдаются проблемы? 96Выводы 98

DNS уже есть. Ну, и что с ним делать? 99Поговорим о версиях DNS .- 99DNS Windows 2000 или BIND версии лучше 8.2.2 100BIND версии хуже 8.2.2 100А если сервер DNS расположен за межсетевым экраном? 103

Строим лес доменов 106

Все домены в одном сайте 107Каждый домен в своем сайте 108Один домен разбит на несколько сайтов 110

Проблема «островов» 111Использование «плоских» имен корневого домена 112

DNS в крупной компании 112Ну очень крупная компания 116

Так нужна ли служба WINS? 116Краткий экскурс в историю NetBIOS 116

Как разрешаются имена NetBIOS 118А нужен ли NetBIOS? 119Краткие советы по установке серверов WINS 120

Как правильно настроить DHCP 122Что дает авторизация 122Зачем нужны суперобласти 123DHCP сервер в сегментированной сети 125Динамическая регистрация имен в DNS 125

Какие параметры определять в сети Windows 128Последовательность применения параметров 128Как использовать идентификатор пользовательского класса 129

Как проконтролировать работу DHCP 130

DCPROMO и все, что с этим связано 130Требования, предъявляемые DCPROMO 131

Файлы, создаваемые при работе DCPROMO 133Файлы базы Active Directory 133SYSVOL : 135Журналы регистрации 136

Служба синхронизации времени 137Автоматическая установка контроллера 138

Новое дерево в новом лесу 140Дополнительный контроллер в домене -. 140Новый дочерний домен 141

Новое дерево в лесу 141Понижение контроллера домена до уровня сервера 142Описание параметров и значений умолчания 142

VI Active Directory: подход профессионала

Анализируем журналы 145

DCPromci.log 145DCPromoUl.log 146Netsetup.log 150DCPromos.log 151

Как подобрать компьютер? 151

Требования к процессору 153Требования к оперативной памяти 155Конфигурация жестких дисков 156

Как проверить работоспособность контроллера домена 156А если он все-таки не работает? , 162

Попробуем выяснить причину 162Некорректные параметры TCP/IP или ошибки в сети 162

Некорректная работа службы DNS 163Проблемы с оборудованием, в первую очередь с дисковой подсистемой . 163Проблемы с репликацией Aclive Directory 163Проблемы с репликацией FRS 164Некорректная групповая политика 165

А может, все переустановить? 165Все работает. Что делать? 166Обновление контроллера домена Windows NT 4.0 до Windows 2000 167

Кое-что о Windows NT 4.0 167Обеспечение безопасной миграции 168

Две стратегии миграции 168Мигрируем домен Windows NT 171

Обновление первичного контроллера домена 171Откат назад в случае сбоя 173Совместная работа контроллеров разных версий 174

Алгоритмы установки контроллера домена 178

Алгоритм установки нового контроллера ' 178Алгоритм обновления контроллера Windows NT 4.0 178

Заключение 178

Репликация Active Directory 179Немного о том, как работает репликация 180

Обновления в Active Directory 182USN 183Штамп 184Удаление объекта 186

Процесс репликации от А до Я 186Создание объекта 186Модификация объекта 187Демпфирование распространения изменений 188Разрешение конфликтов 192

Топология репликации 192Какой транспорт предпочесть? 194

Синхронная и асинхронная передача 195ВнутрисайтовыЙ транспорт 195

Особенности транспорта SMTP 196


Управление пакетом репликации 197Автоматическая генерация топологии 198

Простая топология для одного контекста имен 198Сложная топология для одного контекста имен 198Топология для нескольких контекстов имен 200КСС и его возможности 202Генератор межсайтовой топологии 203

Репликация глобальных каталогов 208Репликация критических событий 209

Тиражирование паролей 211Диагностика репликации 212

Выяснение списка партнеров по репликации 214Active Directory Sites and Services 214Repadmin /showreps 215Replication Monitor 218

Контроль состояния партнеров по репликации 220DsaStat 220

Dcdiag 222Repadmin 225

Общая информация о параметрах репликации 227Поиск и устранение проблем репликации 232

Запрет доступа (Access Denied) 233

Вероятная причина 233Решение 234

Неизвестная служба аутентификации (Authentication service is Unknown) 235Контроллер домена не может установить связь репликации 235Связь репликации существует 236

Неверное имя учетной записи цели (Target account name is incorrect) 236Отсутствие объекта trusted Domain 237He совпадает набор SPN 238

Недоступен сервер RFC (RFC Server Not Available) 239Ошибка поиска в DNS (DNS Lookup failure) 240

Служба каталогов перегружена (Directory service too busy) 240Причина 241Разрешение 241

Разница во времени (Ошибка LDAP 82) 242

Причина 243Устранение 243

Внутренняя ошибка системы репликации 243

Причины 243Устранение 244

Отсутствие конечной точки (No more end-point) 244

Ошибка LDAP 49 244Сообщения, не являющиеся ошибками 244

Active Directory replication has been pre-empted 244Replication posted, waiting 245Last attempt @ ... was not successful 245

Заключение .. 245

VHI Active Directory: подход профессионала

Групповая политика 247Общие сведения 247

Клиент, сервер или кто важнее 248Типы групповых правил 250

Структура и обработка групповой политики 251Устройство объекта групповой попитики 251

Хранение параметров групповой политики 252Версии и ревизии 255

Клиентские расширения 257Обработка по медленным каналам связи 258Периодическое фоновое применение 259Применение неизмененной политики 261Параметры клиентских расширений 262

Применение групповых правил 263Изменение последовательности 263

Блокировка наследования 263Принудительное наследование 265Перемычки 265Деактивизация правил • 267

Фильтрация " 267

История применения правил 270Где создавать и редактировать правила? 272Делегирование полномочий 274

Делегирование прав на создание и модификацию ОГП 276Делегирование полномочий на привязку ОГП к объектам Active Directory .. 277

Типы правил 277

Правила установки ПО для компьютеров 278Установки Windows для компьютеров - сценарии 280Параметры Windows для компьютеров: правила безопасности 281

Правила учетных записей 282Локальные правила 284Правила журнала регистрации 289

Параметры Windows для компьютеров: правила группс ограниченным членством 290

Параметры Windows для компьютеров: правила системных служб 291Параметры Windows для компьютеров: правила реестра 291

Параметры Windows для компьютеров: правила файловой системы 292Параметры Windows для компьютеров: правила открытых ключей 292Параметры Windows для компьютеров: правила IPSecurity 293Административные шаблоны для компьютеров 294Правила установки ПО для пользователей 296Параметры Windows для пользователей: настройка Internet Explorer 298Параметры Windows для пользователей: сценарии 299Параметры Windows для пользователей: правила безопасности 300Параметры Windows для пользователей: служба удаленной установки 300Параметры Windows для пользователей: перенаправление папок 300Административные шаблоны для пользователей 303

Планирование групповой политики 306

Оглавление IX

Начальство хочет, вы - желаете , 307От простого к сложному 308Советы по применению 309

Один домен 309Несколько доменов 312

Поиск и устранение проблем 315Средства поиска проблем 316

GPRESULT 316GPOTOOL 322ADDIAG 324SECEDIT 328

FAZAM2000 328Журналирование 329

Журнал событий приложений 330

Журналы политики для пользователей 332Журналы установки приложений 335

Общие проблемы групповой политики 335Зависание компьютера при регистрации пользователяили запуске компьютера 335Определенная политика не обрабатывается полностью или частично . . . . 335Обрабатывается не тот ОГП 336Политика вообще не применяется 337


Active Directory и файловая система 339Служба репликации файловой системы ."... 340

Как распространяются изменения 340Инициация тиражирования 341Избыточность 342

Когда удобно использовать репликацию FRS 343Работа службы FRS в подробностях 344

Выходная репликация 345Входная репликация 347Таблицы службы FRS 349Объекты Active Directory, используемые FRS 350

Настройка FRS 352Изменение интервалов опроса Active Directory 352Установка фильтров 353Управление расписанием репликации 354

Рекомендации по оптимизации FRS 357Журналирование 357Топология репликации 358Подготовительный каталог 359

Размер журнала NTFS 359Использование FRS и удаленных хранилищ 360

Использование резервного копирования для начальнойконфигурации реплик 360Не превышайте 362

Поиск и устранение проблем FRS 362

Active Directory: подход профессионала

Журналы 363Журнал регистрации File Replication System 364Журналы NTFRS 366Связь между монитором производительности и сообщениями в журнале . . 370

NTFRSUTL 371Восстановление реплицируемых файлов 373

Неавторитетное восстановление 374Авторитетное восстановление 376

Восстановление конфигурации FRS , 377Оптимизация процессов восстановления 378

Сокращение числа серверов, создающих подготовительные файлы 379Сокращение числа реплицируемых файлов на время выполненияпроцесса W-join 380Разрешение выполнения только одного подключения вектора версийна входном партнере 381

Распределенная файловая система 381Немного о DFS 381

Таблица РКТ 383Взаимодействие клиента с сервером DFS 385

Репликация DFS 386Сайты и DFS 388

Предельные возможности и ограничения 388Ограничения доступа 390

Полезные советы 391Работа DFS без NetBIOS 391Резервное копирование пространства имен DFS 392

Использование DfsCmd 392Использование DfsUtil 392

Делегирование полномочий по управлению DFS 393Делегирование полномочий модификации конфигурации DFS 394Делегирование полномочий настройки репликации томов DFS 395Делегирование полномочий по управлению томами DFSи разграничению доступа 395

Поиск и устранение проблем DFS 396DfsUtil 396

/list 397/view 397/pktinfo 399Аргументы управления конфигурацией .401Аргументы отладочного режима 402

Наиболее общие проблемы и их разрешение 403Обновление сервера до новой аерсии 403Изменение имени хоста DFS 404Удаление последнего корня DFS 404Перемещение хоста DFS в другой сайт 405Проблемы доступа к пространству имен DFS 406Невозможность администрирования DFS 406

Оглавление XI

Удаление конфигурационной информации DFS 407Удаление доменных корней 407Удаление корней отдельно стоящих DFS 407


Поиск и устранение проблем 409Алгоритм поиска и устранения проблем Active Directory 410Резервное копирование Active Directory 417

Чем нужно копировать 419

Что нужно копировать 420Кто может копировать 421Файлы, игнорируемые при резервном копировании 421Актуальность резервной копии 423

Никогда не ставьте время на контроллере больше текущего 424Восстановление Active Directory 425

Восстановление через переустановку 425Принудительное назначение мастеров операций с помощью Ntdsutil 427

Восстановление из резервной копии 429

Неавторитетное восстановление 429Проверка восстановления с помощью Ntdsutil 432

Восстановление на другую технику 433

Если система загрузилась 434Если система загружается только в безопасном режиме 435Если система не загружается 435

Авторитетное восстановление 436Авторитетное восстановление с помощью Ntdsutil 436Обеспечение правильности авторитетного восстановления 439

Влияние авторитетного восстановления 440Влияние на доверительные отношения и учетные записи компьютеров ... 440Влияние на членство в группах 442

Восстановление Глобального каталога 444Восстановление мастеров операций 444

Кто может быть мастером операций? 444Восстановление мастера схемы 445Восстановление мастера доменных имен 445Восстановление мастера RID 446Восстановление имитатора РОС 446Восстановление мастера инфраструктуры 447

Проверка целостности и восстановление базы 448«Мягкое» восстановление журналов базы 448Проверка целостности базы 449

Семантический анализ базы 450Ремонт базы 452

Перенос базы Active Directory 453Выяснение местоположения файлов 453Перенос файлов базы 453Перенос файлов журналов 454

Если надо переустановить домен в лесу 454

XII Active Directory: подход профессионала

Постановка задачи 455Общая последовательность действий 456

Определение правил переноса 456Последовательность действий с первого взгляда 457

Перенос пользователей и групп в деталях 459Проверка результата 464План аварийного восстановления 465

Если в лесу все перестало работать 465Общая последовательность действий 466Предварительные шаги 468

Документирование текущей структуры леса 468Разработка процедуры отката назад 469Выявление лучшего кандидата на восстановление 470Выключение всех контроллеров доменов 472

Восстановление 472Восстановление корневого домена 472Восстановление остальных доменов 476Добавление дополнительных контроллеров 478

Заключительные шаги 479Заключение - 480

Словарь терминов 481

Предметный указатель 509

Список литературы 517

Об авторе 517

Об этой книге

Скоро будет уже четыре года, как вышла система Windows 2000. авместе с ней — служба каталогов Active Directory. Уже стихли словес-ные баталии о том, чем она лучше или хуже Novell NDS. уже не разда-ются осторожные реплики, дескать, подождать надо, пока другие непопробуют да сервисный пакет не выйдет, а то и два. Уже прочитанауйма литературы на эту тему, благо ее на русском языке издано пре-достаточно. И вот результат: крупные и средние российские компа-нии массово стали переходить на Windows 2000 и Active Directory.

После выхода Windows Server 2003 все внимание было обращено наэтот продукт. Уже сейчас компании все чаще планируют внедрениеименно этой ОС, а не ее предшественницы. Возможно, открывая книгу;специалисты хотели бы видеть самую последнюю информацию обActive Directory 2003. Но для данной книги это невозможное требова-ние, так как здесь я пишу только о том. с чем работал длительноевремя. Но это не означает, что книга бесполезна для таких читателей.Все концепции построения службы каталогов и ее обслуживания ос-тались прежними. Поэтому все, что здесь описано, в полной мереотносится и к Windows 2003.

С момента выхода Windows 2000 я помогал компаниям внедрять ActiveDirectory. Шишек за это время было набито немало: в каждой органи-зации своя специфика и свои требования, все обладают разным уров-нем готовности к этому шагу. Это требовало искать обходные пуги инетривиальные решения. Но подобные процессы имели место и в дру-гих странах. В итоге в Microsoft накопился значительный опыт внедре-ния, •учитывающий знания и достижения сотен консультантов MicrosoftConsulting Services. Часть згой информации опубликована на Web-сай-те Microsoft, в базе знаний Microsoft, также доступной в Интернете

XIV Active Directory: подход профессионала

и на дисках по подписке, часть — на курсах по отладке Active Directory.Ни одна самая хорошая книга не даст вам столько, сколько эти триисточника. Но я и не ставил такой задачи.

Цель этой книги — научить нас пользоваться в нужное время и в нуж-ном месте нужными источниками информации для решения сложныхзадач настройки и обслуживания Active Directory.

Обидно, что сотни специалистов, ознакомившись с обзорными мате-риалами по Windows 2000, пытаются строить лес в организации исовершают при этом нелепейшие ошибки, приводящие если не кполной неработоспособности, то к «инвалидности» системы. Систе-ма «вопит» о своем «увечье», а горе-специалисты, не понимая ее моль-бы о помощи, продолжают душить.

Эта книга содержит тот минимум информации, который должен знатьлюбой администратор системы или ее проектировщик, чтобы само-стоятельно поддерживать систему в добром здравии и обеспечиватьне только ее бесперебойную работу, но и восстановление в случаекраха.

Работая над книгой, я исходил из того, что читатель имеет общее пред-ставление о Windows 2000, Active Directory и о том, как это все рабо-тает, Поэтому здесь вы не найдете разжевывания базовых понятийслужбы каталогов; это все я уже объяснял в книге «Microsoft Windows2000. Планирование, развертывание, управление» (2-е изд. М.: РусскаяРедакция. — 2000 г.). которую можно с полным основанием считатьпервой частью настоящей. Но если там акцент делался на описанииновых возможностей Windows 2000 и на том, как их использовать, тоздесь на том, как функции Active Directory7 использовать с максималь-ной эффективностью и бороться с возникающими проблемами. Впервой книге вы знакомились со стандартными инструментами, вхо-дящими в комплект ОС, —- здесь же описывается практическая работас дополнительными программами и утилитами постаатяемыми либов составе Windows 2000 Server Resource Kit, либо в составе Widows 2000Support Tools.

Я постарался избегать по возможности сухой теории и специальнойтерминологии. Я хотел вам просто рассказать самое главное, что знаюна эту тему. Но не расслабляйтесь: за шутками порой скрывается оченьважная информация, которую надо знать, как таблицу умножения. Хотяя беру за основу английскую версию ОС, употребляю я при этом рус-ские термины. Меня коробит, когда русский человек начинает выдаватьперлы вроде «бриджхед сервера» или «сайт линки». У всех терминов естьрусские эквиваленты, которыми рекомендую пользоваться.

За год, прошедший с момента выхода первого издания, книга широ-ко разошлась по стране. Для многих она стала настольной книгой

Об_зтой_книге XV

и первым источником при поиске решения каких-либо проблем. Вовторое издание были внесены небольшие, но очень существенныеизменения и дополнения в первую главу, посвященную планированиюActive Directory. Эти изменения касаются вопросов построения безо-пасной доменной архитектуры и базируются на опыте реальных про-ектов последних двух лет. Помимо этого, местами введены замечанияоб особенностях планирования AD для Windows 2003. Наконец, былиустранены замеченные мною и читателями досадные опечатки,

Структура книги

Шесть глав, из которых состоит книга, я намеренно не стал нумеро-вать: определенно сказать, какую читать первой, а какую — последней,нельзя, Главы перекликаются: из одной ссылки идут ко всем осталь-ным. Там, где этого мало, я делаю ссылки на другие книги и в первуюочередь на уже упоминавшуюся "Microsoft Windows 2000. Планиро-вание, развертывание, управление».

Если Active Directory уже развернута в вашей организации, то это со-всем не означает, что глава «Проектируем Active Directory, или Ме-лочей не бывает* не для вас. Во-первых, никогда не поздно прове-рить, все ли правильно у вас сделано. Возможно, есть какие-то мелочи,которым вы пока не придавали значения, но способные отравить вамжизнь в будущем. Во-вторых, компании постоянно развиваются: при-обретаются и открываются новые подразделения, продаются существу-ющие, происходит слияние с конкурентами, расширяются территориии т. п. Вот тут-то эта глава и поможет вам. Наконец, никогда не считай-те полученные ранее знания абсолютными и неизменными. За прошед-шие годы многое изменилось в принципах построения Active Directory.То, что пару лет назад казалось единственно верным, сегодня уже непредставляется столь бесспорным и претерпевает изменения. То, о чемраньше даже и не подозревали, всплыло во время крупных проектов итеперь считается обязательным условием проектирования.

Название «Установка Active Directory» может сбить с толку. С однойстороны, те, кто ее уже установил, решат, что читать об этом незачем.Новички же, только осваивающие этот путь, могут подумать, что этодля них. Не спешите. Эта информация станет полностью доступнойтолько посте того, как вы хотя бы в рамках стандартной документа-ции познакомитесь с Windows 2000 DNS, DHCP, Active Directory; про-граммой DCPROMO. Эта глава не о том, как из сервера сделать контрол-лер домена, а о том, как не допустить ошибок на предварительной ста-дии и как избавиться от ошибок, если они все-таки возникли при уста-новке.

От правильной настройки служб DNS, WINS и DHCP зависит, как будетработать система. Способов конфигурирования так много, что выбрать

XVI Active DjrectgryMtOflxgfl профессионала

самый верный — не очень простая задача. Но вот контроллер доменаустановлен. Как понять, что псе сделано правильно и выявить потен-циальные проблемы? Ответ на этот вопрос дан в этой главе. Плюс кэтому — полезные сведения о конфигурировании системы в нестан-дартных условиях работы.

Так же. как Active Directory немыслима без репликации, так и книганемыслима без главы «Репликация Active Directory». Масса про-блем с Active Director)7 возникает из-за некорректно работающей реп-ликации. Чтобы их понять, надо, с одной стороны, разобраться в ме-ханизмах репликации, а с другой — знать и уметь использовать инст-рументы диагностики. Именью поэтому теорию данного процесса яраскрыл гораздо полнее, чем в других книгах, А изучив теорию, выбез труда справитесь с той информацией, которую предоставляютсредства диагностики. А тому, с чем не справитесь, найдете объясне-ние в этой главе.

Но репликация службы каталогов — не единственный вид репликациив Windows 2000. Active Directory тесно связана с файловой системой:это файлы базы данных и журнала транзакций, составляющие группо-вых правил, хранящиеся на диске, профили пользователей и сценарии.От того, насколько эти компоненты согласованы с данными в ActiveDirectory, зависит стабильность и защищенность системы. А согласо-ванием занимается служба репликации файловой системы. Вот о нейи идет речь в главе *Active Directory и файловая система». Как нестранно, но этим вопросом многие просто пренебрегают, полагая, что«тут все ясно, оно всегда работает». Увы, это не так. Эта тема менее всегоотражена в литературе, а зря! Проблемы с репликацией файлов моглапричинить столько проблем, что их с лихвой хватит, чтобы омрачитьрадость от нормальной работы остальных служб. Поэтом)* основнойлейтмотив этой главы — диагностика проблем.

С репликацией файловой системы неразрывно связана работа распре-деленной файловой системы DFS. Неискушенный администратор лег-ко запутается, отыскивая причину недоступности тома на одном ком-пьютере и совершенно нормальной работе на другом. Только грамот-ное использование средств диагностики DFS и репликации файловойсистемы может помочь своевременно восстановить работоспособ-ность распределенной файловой системы, А диагностика без пони-мания основ — пустое занятие Поэтому в этой главе я привел необ-ходимый минимум теоретических сведений.

Одним из звеньев, связывающих объекты Active Directory и пользова-телей, является групповая полигика. К сожалению, еще далеко не всепредставляют, как можно и нужно применять групповые правила, какприменять принципы наследования и блокировки, что такое фильтры

Об зтой_ книге XVII

и т. п. Этому посвящена глава «Групповая политика». Хорошо, когдаполитика применяется. Хуже, когда возникают проблемы. Их поиск —одна из самых неприятных и запутанных операций в Windows 2000.И даже применение инструментов диагностики требует определеннойподготовки и навыка. В этом, надеюсь, вам поможет данная глава.

Глава «Поиск и устранение проблем» — не фармакологическийсправочник. Здесь нет списка симптомов болезни и перечня лекарствот нее. О том, как искать причины конкретной ошибки и устранять ее,рассказано в остальных главах. «А что же тогда здесь?» — спросите вы.А здесь — описание алгоритмов поиска источника проблем, что гораз-до, по-моему, важнее. Алгоритмы ссылаются на ту или иную главу. А всевместе — дает решение.

Любая проблема подобна простуде: стоит запустить — и она перерас-тет в хроническую болезнь. Хорошо, если вовремя принять лекарство,а то и до скальпеля недалеко, Хирургическое вмешательство в ActiveDirectory — дело рискованное и чревато летальным исходом. Счастье,если у вас есть резервная копия. Хорошая резервная копия, из которойможно восстановить каталог и потерянные объекты. Что такое хоро-шая резервная копия Active Directory, как ее сделать и как из нее вос-становить информацию — вот то, что вы найдете в этой главе.

Если говорить языком медицины, здесь вы найдете и описание транс-плантации органов (восстановление целых доменов в дереве), и вос-крешение из мертвых (восстановление погибшего каталога).

Чего здесь нетВ этой книге вы НЕ найдете:

• описания модели безопасности Active Directory;

• описания инфраструктуры открытых ключей и ее диагностики;возможно, когда потребности в этом увеличатся, соответствующаяглава будет добавлена;

ф описания процесса установки Windows 2000 и конфигурированияслужб, не имеющих прямого отношения к Active Directory: не сто-ит утяжелять книгу «сопутствующим товаром*;

• рекомендаций по управлению проектом внедрения Active Directory:эта тема слишком объемна и требует отдельного освещения;

• советов по организации сопровождения и поддержки корпоратив-ной вычислительной системы на базе Active Directory: это предметтакой дисциплины, как Microsoft Operations Framework (MOF), итребует систематизированного подхода.

Короче, здесь нет ни слова о том, что не относится к Windows 2000 иActive Directory.

XVIII Active Directory: подход профессионала

Принятые соглашенияДля удобства чтения в книге приняты следующие обозначения:

Любой новый термин, встречающийся первый раз, выделен курсивам.Выделение служит также подсказкой о том, что объяснение терминаприведено в Словаре терминов в конце книги.

Ссылки на дополнительную литературу приведены в [квадратныхскобках].

Тексты сценариев и листинги файлов выделены м о н о и / р и н - ы м шрифтом,

Описания синтаксиса команд ОС или дополнительных утилит выде-лены моноширинным шрифтом полужирного начертания.

Замечание Если на что-то требуется обратить особое внимание, тосоответствующий абзац выделен точно так же, как и этот.

Проектируем AD,или Мелочей не бывает

Прежде чем установить Active Directory', ее нужно спроектировать.В прошлом, когда использовалась служба каталогов Windows NT, про-ектирование было столь же необходимо, как и сейчас. Вот только ценаошибки была гораздо ниже. Существовало четыре типовых схемысвязей между доменами, которые использовались полностью либо внекоторой комбинации [9]. Если какой-то из доменов был спроекти-рован неверно, его можно было совершенно безболезненно для ос-тальных «убить» и сделать по-новому. В Active Directory все доменыобъединены в лес. Ошиблись при проектировании корневого домена —придется переделывать весь лес, а это может обойтись,дорого. Неменьше может стоить и ошибка в одном из промежуточных доменов,Я уж не говорю о том, что неверная топология репликации и плани-ровка сайтов могут доставить вам сплошные хлопоты и неоправдан-ные затраты на приобретение дополнительного оборудования. Разби-ение на подразделения, выполненное не в соответствии с админист-ративными потребностями, а по желанию руководства, может превра-тить процесс администрирования в ад для технических специалистови повлечет неоправданный рост численности технического персонала.

Суммируя сказанное, можно констатировать, что неправильное пла-нирование компонентов Active Directory чревато:

• неоправданными расходами на оборудование:

• неоправданными расходами на технических специалистов;

• повышенной трудоемкостью работ;

• нестабильной работой системы:


+ потерей данных;

• утечкой конфиденциальной информации;

ф вашим увольнением.

Как видите, список серье.чньш, и на вероятность любого из перечис-ленных в нем событий оказывает влияние масса факторов. Порой этомелочь, вырастающая в гигантскую проблему. Вот почему в этой гла-ве мы обсудим вопросы планирования Active Directory и, в частности:

+ стратегию именования;

• стратегию и тактик}' деления на домены:

• принципы построения структуры подразделений;

+ правила разбиения на сайты;

4> принципы размещения сетевых сервисов, Глобальных каталогов(ГК) и других служб Active Directory;

ф политику' модификации схемы.

Что в имени тебе моем?..Казалось бы, какое отношение может иметь название домена к ста-бильности его работы или трудоемкости администрирования? Отве-чая на этот вопрос, надо вспомнить, что живем мы в мире, наполнен-ном глобальными сетями, Интернетом и всякими хакерами, способ-ными просто из спортивного интереса «исследовать» что-то, что мо-жет представлять для них лакомый кусочек. Не забывайте, что ActiveDirector}- построена на системе именований DNS и очень тесно с нейсвязана, что в свою очередь предполагает понимание различий меж-ду пространством имен DNS и пространством имен Active Directory.

Кроме того, имя. которое вы даете своей структуре, в первую очередьопределяется потребностями бизнеса организации и условиями егоразвития.

Бизнес определяет имена

Не важно, сколько доменов в вашей Active Directory. Главное, обяза-тельно будет корневой домен — носитель имени леса доменов ActiveDirectory, Назвав его, впоследствии ничего уже нельзя будет изменить,иначе как только переустановив все домены в Active Directory, начи-ная с корневого.

Замечание Для доменов Windows 2003 это не так. В состав этой опе-рационной системы входит утилита, позволяющая переименовыватьдомены. Правда для этого лес должен работать в режиме естественно-го Windows 2003, то есть в нем не может быть доменов Windows 2000.

Проектируем AD, или Мелочей не бывает

Критерии выбора имени леса таковы:

• отражение названия компании в доменном имени;

• присутствие организации в Интернете;

ф планы по приобретению других компаний;

+ сложность имени.

Первый критерий вполне очевиден. Странно было бы назвать coffec-sale.ru чайную компанию. Однако, называя лес Active Directory, поста-райтесь учесть возможные в ближайшем будущем смены направленийдеятельности или изменения имени компании, например, при ее по-купке другой, более крупной компанией.

Если компания уже представлена в Интернете и имеет там зарегист-рированное имя, то вполне очевидно желание использовать то же имяи внутри организации. Но даже если сейчас вы еще не вышли в Ин-тернет, не исключено, что это будет сделано в ближайшем будущем.А раз так, выбранное имя должно быть зарегистрировано в ICAAN.иначе оно может оказаться неожиданно занятым, и вам придется вы-бирать новое название па заданную тему.

Называя корень Active Director}', подумайте, какую долю бизнеса ком-пании будет охватывать доменная структура. Допустим, компания за-нимается производством молока и соков, причем это произошло в ре-зультате слияния двух независимых компаний, и каждая имеет в зна-чительной степени независимое управление и политику ИТ. Если вназвании корневого домена будет слово «молоко», это вызовет скры-тое раздражение производителей сока, и, наоборот, назвав домен «соч-ным* именем, вы рискуете вызвать гнев «молочников». Имя должнобыть нейтральным или совмещать в себе признаки обеих организа-ций. Например, это может быть название совместной зарегистриро-ванной торговой марки или объединенное имя компаний, что-товроде milkandjuce.ru. Правда, в последнем случае есть угроза нажитьсебе врагов после приобретения компанией фирмы по производствугазированных напитков.

Замечание Всегда можно добавить в лес новое дерево с нужнымименем. Правда, у корня по-прежнему будет оригинальное имя.

Наконец, последний критерий — сложность имени. Назвав корневойдомен «Пупкин, братья и сыновья*, вы ничего, кроме раздраженияадминистраторов, не наживете. Ведь им придется для выполненияразного рода операций отладки и мониторинга писать длиннющееимя домена или контекста в Active Directory в LDAP-нотации.


Имена DNS и имена Active DirectoryДавайте вспомним о разнице между именами DNS и Active Directory.Вы, конечно, знаете, что как систему именований Active Directory ис-пользует DNS. Сервер DNS хранит информацию об именах и соответ-ствующих им адресах IP, обеспечивает разрешение этих имен по зап-росам от клиентов и тиражирует эту информацию между отдельны-ми серверами согласно установленным правилам.

Active Directory хранит сведения о своих объектах (пользователях,компьютерах, подразделениях и т. п.), тиражирует их между контрол-лерами доменов и предоставляет своим клиентам в ответ на запросы.

Для каждого домена Active Directory есть данные (записи типа SRV.имена доменов и хостов, CNAME-записи партнеров по репликации),которые хранятся в зонах DNS. Каждому имени домена Active Direc-tory соответствует такое же имя зоны DNS. А вот обратное — для каж-дой зоны DNS обязательно имеется соответствующий домен ActiveDirectory — неверно.

Контроллер доменаMycorp.ru

Mycorp.ru^msdcs. mycorp.ru

msk.mycorp.ruunixhosts.int.com

Сервер DNS

Контроллер доменаMSK.Mycorp.ru

Для каждого домена AD существует зона в DNS, но не наоборот

Покажем корень миру

Как упомянуто выше, к названию леса (то есть корневого домена в ле-су) надо подходить чрезвычайно внимательно. Особо остановлюсь наситуации с «плоским» именем корня. Практика показывает, что боль-шинство организаций выбирает для корня имена вида xxx.yyy.zzz, тоесть имя, соответствующее системе именований DNS, в котором естьпо крайней мере одна точка. Это такие имена, как mybank.ru, согрлпу-corp.net и пр. Однако в ряде организаций сильны традиции именNetBIOS. Они стремятся дать корневому домену «плоское* имя, то есть

Проектируем АР, или Мелочей не бывает

состоящее из одной части, например mycorp или ad. Свое решениеспециалисты этих компаний аргументируют так: «Так короче. А гдесказано, что это запрещено?» И ведь в самом деле это не запрещено.Более того, в большинстве случаев это не вызывает никаких проблем,Но.,. Проблема возникает, как только контроллеры дочерних доменовили серверы-члены корневого домена оказываются в другой подсе-ти, такой, что NetBIOS-имена между этими подсетями не разрешают-ся. Зга проблема приводит к невозможности нормального функцио-нирования Active Directory. Именно поэтому я настоятельно рекомен-дую избегать таких имен. Но уж если вы столь упрямы, что желаетеиспользовать их во что бы то ни стало, то обратитесь к главе «Уста-новка Active Directory», где описано, как правильно сконфигурироватьконтроллеры доменов и серверы для работы с «плоскими» именамидоменов.

Между именем корня леса доменов Active Directory и внешнем име-нем DNS компании могут быть разные взаимосвязи. Все возможныеварианты сводятся к трем:

• доменное имя и имя в Интернете совпадают;

+ доменное имя является дочерним для имени в Интернете;

• доменное имя не имеет ничего общего с представленным в Ин-тернете.

О настройке DNS см. главу «Установка Active Directory», здесь же яприведу только общие рекомендации. Главное, что в любом случаевнутренний и внешний серверы DNS разделены межсетевым экраном.

Если имя леса Active Directory совпадает с зарегистрированным вне-шним именем DNS:

ф пользователи осуществляют доступ как ко внешним, так и внутрен-ним ресурсам по одному доменному имени;

• нельзя открывать внутренние ресурсы для внешнего мира; вне-шний сервер DNS не должен хранить имен, используемых ActiveDirectory;

ф для разрешения внешних имен из внутренней сети используйтепередачу неразрешенных вызовов на внешний сервер DNS;

• ресурсы, доступные извне, должны храниться в демилитаризован-ной зоне (DMZ), аутентификация доступа к ним — выполнятьсячерез RADIUS-сервер, а не контроллер домена;

ф на прокси-сервере надо сконфигурировать список исключений;

ф при использовании протокола трансляции сетевых: адресов (NAT)внутренний сервер DNS должен содержать свои записи о ресур-сах, доступных как извне, так и изнутри; упрашзение этими адре-сами — забота администратора.


Если имя леса Active Directory является дочерним по отношению квнешнем}' имени DNS:

• только внутренний сернер DNS содержит информацию об ActiveDirector)';

+ на внешнем сервере DNS создается делегирование зоны, соответ-ствующей зоне домена Active Directory;

• пользователи применяют разные имена для доступа к внешним ивнутренним ресурсам;

ф для обеспечения доступа пользователей ко внешним ресурсам нетребуется предпринимать дополнительных усилий;

+ полные имена ресурсов длиннее, чем в предыдущем случае.

При различных именах леса Active Directory и внешнего имени DNS:

+ управление безопасностью внутренней сети проще за счет полно-стью различных пространств имен;

• внутренние имена не видны снаружи;

• тиражировать информацию с внешнего сервера DNS на внутрен-ний не обязательно;

+ инфраструктура DNS может оставаться без изменений;

+ внутреннее имя не обязательно регистрировать в ICAAN.

Дополнительную информацию по именованию см. в [8].

Алгоритм именования DNSЕсли суммировать сказанное в этом разделе с материалами раздела,посвященного DNS главы «Установка Active Directory*, можно составитьтакой алгоритм стратегии именования, как показано на рисунке ниже.

Именование объектов Active DirectoryОб именовании объектов (т. е. компьютеров, пользователей и подраз-делений) не часто пишут в книгах no Active Directory. Возможно, ихавторы считают, что на таком тривиальном вопросе останавливатьсяне стоит. Мой опыт показывает, что изобретательности службы ИТ нетграниц. Ниже приводятся примеры наиболее удачных типов имен.

Именование пользователей

Когда речь идет об объектах типа User, следует отдельно говорить отаких атрибутах, как:

ф Сп — общее имя;

• Display-Name — имя отображаемое в каталоге;

ф SamAccoimtName — имя, используемое при регистрации в доменеWindows NT;


Создать четыре \

ресурсных зоны на \

существующем сервере 1HIM делегировать I

их на сервер DNS /

20QO

Зарегистрировать имя в ICAAN

и создать на внешнем и внутреннем

серверах зоны с одним именем

Серверы DNS разделить

межсетевым экраном.Зарегистрировать другое имя

в ICMN для корня леса, создать

на существующем сервере DNS

вторичную зону с этим именем

/I-Делегировать зону на

/ сервер Windows 2000

V DNS и сделать ее

\jaipHeeo и для АР

f Зарегистрировать имя в I

( и делегировать зону на внутренний \

Icepeep DNS Windows 2000. Серверы DNsJ

\.разделигь межсетевым экраном./

Стратегия использования доменных имен DNS

Зарегистрировать имя в ICAAN >.

и создать две различные зоны

на двух серверах, разделенных

межсетевым экраном. Внутренний /

р будет обслуживать К>./

+ UserPrincipalName (UPN) — имя, используемое при регистрации вдомене Windows 2000.

Общее имя совпадает с именем, отображаемым в каталоге, и представ-ляется почти так. как мы привыкли обращаться друг к другу: имя,фамилия и «кусочек» отчества. Формат общего имени такой: <имя>пробел<часть отчесгва>точка, пробел<фамилия>. Максимальная дли-на имени совместно с фамилией составляет 57 символов при отсут-ствии отчества и 55 — при максимальной длине отчества, равной 6символам. Предельная длина общего имени — 64 символа. В качествесимволов имени допустимы символы UNICODE, т, е. пользователейвполне можно называть по-русски.


Имя, применяемое при регистрации в домене Windows NT, обычнослужит и для регистрации » домене Windows 2000. В диалоговом окнерегистрации пользователь вводит именно это имя, пароль и имя до-мена. Если же он введет данные в формате имя@имя.домена, то онвведет имя UPN. Первая часть UPN и имя регистрации в домене Win-dows NT по умолчанию совпадают, но могут быть и разными. Дляпростоты далее мы будем полагать, что они совпадают, и назовем ихпросто именем регистрации.

В качестве имени регистрации используется несколько схем. Наибо-лее употребительная основывается на имени и фамилии пользователязаписанных латинскими буквами. В этой схеме несколько вариаций:

+ <первая буква имени><фамилия><номер*>;

ф <имя><первая буква фамилиях номер*>;

+ <часть имениХчасть фамилиях

Звездочка означает, что номер используется в случае наличия полныхтезок на предприятии. Иногда вместо номера применяется иная ла-тинская транслитерация, например, Petrov, Petroff, Petrow.

Вторая схема встречается довольно редко. Она основывается на не-котором персональном идентификаторе пользователя. Это можегбыть его табельный номер. К идентификатору можно добавлять до-полнительную приставку, обозначающую статус сотрудника (времен-ный сотрудник — t, сотрудник компании поставщика — v и т. п.), ме-стонахождение или принадлежность к тому или иному подразделе-нию. Последнее нельзя признать удачным, так как при переходе вдругое подразделение имя регистрации пользователя придется менять.

Именование компьютеров

В именовании компьютеров наблюдается полный разнобой. Одно, прав-да, объединяет все схемы наименований: администраторы стараютсядавать принципиально разные имена серверам и рабочим станциям.

В качестве примера удачного именования серверов можно привести;

XXX-YYY-NN

где:

+ XXX соответствует территориальному расположению сервера; этоможет быть код региона, записанный в Конституции РФ, аббреви-атура, соответствующая определенному городу (MSK, NSK, SPB) илилюбой иной код, понятный администраторам;

+ YYY — тип сервера, например, SRV — сервер общего назначения,DC — контроллер домена, MSG — почтовый сервер, PXY — про-кси-сервер, WWW — Web-сервер и т. п.;

+ NN — порядковый номер сервера данного типа в данном регионе.


Если структура Active Directory такова, что каждому региону (или каж-дой площадке) соответствует свой домен, то из имени можно исклю-чить первый префикс, так как из полного имени сервера и так будетпонятно, где расположен сервер.

Еще одна распространенная схема именования: присвоение серве-рам условных имен, например, MARS. SATURN, JUPITER и т. п. Еслирассматривать неочевидность наименования как достоинство, непозволяющее врагу разобраться с первого взгляда, что есть что, то этоже и недостаток, так как администратор вынужден держать в головетаблицу соответствия серверов выполняемым ими функциям.

Имена рабочих станций лучше всего связывать с именами пользова-телей, которые на них работают (если, конечно, на одной станции неработает несколько пользователей по очереди). Это удобно при по-иске источника проблем или при оказании помощи пользователям.Удачная схема именования имеет следующий формат:

X X X Y Y Y Y Y Y Y N N

где:

ф XXX - тип операционной системы (W2K, WXP, W98);

+ YYYYYYYY — имя регистрации пользователя;

• NN — порядковый номер, если у пользователя несколько компью-теров.

Вместо номера можно применять суффиксы, указывающие на типкомпьютера, например. MOB — для мобильных компьютеров.

Иногда схема именования учитывает номер комнаты и номер сете-вой розетки в ней. Недостаток схемы: при перемещении сотрудникав новый офис полностью меняется имя компьютера. Достоинство:можно моментально не только вычислить злоумышленника в сети, нои оперативно отключить его от нее.

Имена подразделений

Специальных требований к именам подразделений нет. Они могут содер-жать символы UNICODE и быть довольно длинными — до 64 символов.

К сожалению, длина отличительного имени объекта (distinguishedname), включающего имена всех родительских подразделений и имядомена, не воспринимается корректно некоторыми приложениями.Эта явная ошибка в приложении может доставить массу неприятнос-тей, так как диагностика ее может быть весьма непростой.

ОдомениваниеСпециалисты по Windows NT считали, что создать доменную струк-туру очень просто: существовало четыре модели; с одним доменом,с одним мастер-доменом, с несколькими мастер-доменами и модель

10 Active Directory: подход профессионала

полностью доверительных отношений. Выбор модели определялся р.основном размерами организации и ее финансовыми возможностями,

Active Directory внесла определенную смуту. Во-первых, оказалось, чтопрежние модели объединения более не имеют смысла. Во-вторых,наличие организационных подразделений (ОП) решает многие зада-чи, ранее решаемые посредством разбиения на домены. Наконец, улуч-[лившиеся свойства доменов позволили коренным образом пересмот-реть способы построения организационной структуры предприятий.

Прежде чем перейти к обсуждению этих возможностей, вспомнимнекоторые основные определения. Итак для Windows 2000 справед-ливы следующие определения.

• Домен — это элемент каталога, имеющий свое собственное про-странство имен. Внутри домена действуют правила безопасности,не распространяемые за его пределы.

• Доменные функции поддерживаются контроллерами доменов. Всеконтроллеры домена равноправны и хранят реплики каталога,доступные для внесения изменений. Изменения между контролле-рами тиражируются при репликации. Тип репликации — со мно-гими мастерами.

• Между доменами могут устанавливаться отношения доверия. Типдоверительных отношен ий транзитивный, т. е. если домен А дове-ряет домену Б. а домен Ь доверяет домену В. то домен А доверие']'домену В. Транзитивные доверительные отношения двунаправлены.

• Домены объединяются в деревья. Самый первый домен в деревеназывается корневым. Дочерние домены наследуют пространстве.имен от родительского домена. Между доменами в дереве автома-тически устанавливаются транзитивные доверительные отношения

4 Деревья доменов могут объединяться в леса. Самый первый доменв первом: дереве леса называется корнем леса. Каждое дерево име-ет свое имя, определяемое именем корневого домена в дереве. Имялеса определяется именем корня леса. Между доменами в лесу су-ществуют транзитивные доверительные отношения. Все доменылеса используют общую схему и конфигурацию.

+ Два леса характеризуются разными пространствами имен, разнойконфигурацией и разной схемой. Между двумя лесами можно ус-тановить одно- или двунаправленные нетранзитивные довери-тельные отношения.

Замечание Между лесами Windows 2003 можно устанавливать тран-зитивные доверительные отношения.

Проектируем АР, или Мелочей не бывает 11

Один за всех...Как вы помните, один домен способен поддерживать до 10 миллионовобъектен каталога. По крайней мере так утверждают пособия по ActiveDirectory. He могу не сказать, что на момент написания книги мне былоизвестно о домене, в котором было 34 миллиона объектов. Даже еслипредположить, что из всех этих объектов только 1 миллион прихо-дится на пользователей, а все остальные на компьютеры, группы,подразделения и т. п., то, повторяя небезызвестного Хрюна, так и хо-чется сказать: «Внушает...» А ведь и в самом деле, почему бы не оста-новиться на одном домене для любого предприятия? Вы можете на-звать в России хоть одну организацию с миллионом сотрудников?

Увы, жизнь не столь проста, и одним доменом не всегда можно отде-латься. Для начала рассмотрим критерии, по которым следует опре-делять необходимость использования доменов.

Критерии создания домена

Первый критерий — соображения административной политики.Прошу не путать администрирование с управлением. Управленцы(включая президента компании, его замов, директоров и менеджеров)вообще не должны влиять на доменную структуру. Администраторысистемы должны определять, к а к и м построить систему, чтобы ею былопроще управлять. Помните, что не президент компании и даже не вице-президент по информационным технологиям будут управлять полити-ками безопасности, распространением программ по рабочим местами поддержкой пользователей. Они будут требовать с вас, чтобы всеработало без сбоев, и именно ваша задача сделать так, чтобы доменнаяструктура работала на вас и обеспечивала требуемую руководствомфункциональность с минимумом затрат и усилий.

Второй критерий — безопси'1-юсть. Вспомните определение домена: имен-но в нем звучит этот термин! Домен можно рассматривать как некое го-сударство, правительство которого проводит определенную политику поего защите. Это, например, правила работы с паролями, аутентификации(читай "паспортный режим») и т. п. Все граждане государства (пользова-тели) обязаны строго соблюдать установленные правила и подвергатьсянаказаниям при их нарушении (например, блокировка учетной записи).

Третий критерий — размер. Организацию с миллионом пользовате-лей представить трудно. Но если, например, налоговики захотят со-здать для каждого работоспособного гражданина учетную запись вдомене, то это уже десятки миллионов пользователей!

Когда одного домена достаточно

Опираясь на эти критерии, легко сообразить, когда можно обойтисьодним доменом.

12 ' Active Directory: подход профессионала

Пусть в компании существует некоторая организационная структура:департаменты, отделы, секторы, лаборатории и т. д. Нужно ли для каж-дого из этих образований создавать отдельный домен? Чтобы ответитьна этот вопрос, спросите, чем отличаются в своих прапах сотрудникикаждого из подразделений? Можете ли вы сказать, что пользователи вразных департаментах должны применять разные политики безопас-ности и почему? Чем пароли в департаменте А отличаются от паролейв департаменте В?

Надо задуматься и над тем, как часто сотрудники переходят из под-разделения 11 подразделение, как часто меняется организационнаяструктура предприятия. Помните: домены не переименуешь, не пере-несешь в новое место. Нельзя переместить домен из одного участкалеса в другой. А перенос пользователей между доменами —.процеду-ра далеко не элементарная.

Не забудьте о том, как предприятие разбросано географически. Хоро-шо, если оно столь богато, что все площадки связаны хотя бы 10-Мбит-ными линиями связи, надежными и незагруженными. Если же это ком-мутируемые каналы или спутниковые линии, забитые на 70%, вы рис-куете прервать репликацию между контроллерами домена на самоминтересном месте. Существуют оценки максимального числа пользо-вателей в одном глобальном домене в зависимости от пропускнойспособности самого медленного канала связи между сайтами. Эти оцен-ки приведены в таблице и базируются на следующих предположениях:

+ по крайней мере 10% пропускной способности канала доступнодля репликации;

• все контроллеры доменок являются серверами ГК;

• н течение года добавляется 20% и увольняется 15% пользователей;

• каждому пользователю предоставлен отдельный компьютер;

+ используются зоны DNS интегрированные с Active Directory.

Зависимость размера глобального доменаот пропускной способности каналовПропускная способность самого Максимальное число'пользователеймедленного канала (Кб/с) в домене

0,6

14.419,228,8

38,456,0

20 00030 000

40 000

50 00075 000

100 000

Наконец, сколько администраторов и где они находятся? Если у васжесткая централизованная модель управления сетью, то наличие одного


домена — это идеальное решение. Если же сеть не только распределе-на географически, но и администрирование децентрализовано, то сто-ит задуматься о потенциальных конфликтах администраторов в доме-не. Помните, люди весьма изобретательны, когда пытаются отстоять то,что у них пытаются отобрать.

Итак, только один домен создается, если:

• размер организации таков, что может управляться одним доменом(рекомендуется менее 1-2 миллионов пользонателей);

ф используется централизованная структура управления сетью схорошо детализированной политикой;

• допустимо применение единой политики безопасности (пароли,блокировка учетных записей, Kerberos, файловая система с шиф-рованием, IPSecurity, инфраструктура открытых ключей);

4 географическая распределенность такова, что отсутствуют некаче-ственные или перегруженные каналы между отдельными участками;

• предприятие стабильно и не планируется его деление на несколь-ко новых либо слияние с другим предприятием;

ф нет нужды в использовании более одного доменного имени.

Если компания соответствует этим критериям, можно говорить ободнодоменной модели. Таким образом, лес предприятия будет состо-ять из одного дерева, в котором есть только один домен. Он же явля-ется корнем всего леса и носителем имени.

Преимущества однодоменной модели

Преимущества однодоменной модели Active Directory таковы.

+ Простота управления Все администраторы сосредоточены водном месге, имеют четкую специализацию. Не нужно делегиро-вать (даже временно) избыточные административные полномочиядополнительным администраторам.

• Более дешевое решение Для поддержания работоспособностиодного домена требуется меньше контроллеров домена. Учитываятребования к контроллерам (см. главу "Установка Active Directory*),это немалые средства.

ф Простота распределения полномочий Полномочия администра-торов распределяются по ОП внутри одного домена, а не междунесколькими.

• Меньшее число администраторов Для управления несколькимидоменами, особенно разбросанными географически, требуетсябольше администраторов, а значит, дополнительные расходы наих обучение и удержание.

+ Предельная емкость такая же, как у целого леса доменов ГК мо-жет хранить не более 4 миллиардов объектов. С другой стороны,


он содержит краткие сведения обо всех объектах в лесу независи-мо от количества доменов в лесу. Значит, и для одного домена, идля нескольких этот предел неизменен.

... все за одногоВыяснив критерии создания одного домена, можно предположить, чтопрямо противоположные критерии должны определять необходи-мость создания нескольких доменов. Однако это не совсем так.

Начнем с размера организации. Конечно, если превышены мак-симальные значения, допустимые для одного домена, надо создаватьнесколько. Но, как я уже говорил, организаций такого размера не такмного. Значит ли это, что в остальных случаях нужно использоватьодин домен?

Отнюдь нет. Вспомните критерии создания домена. Первым быланазвана безопасность, Если в организации существуют ОП. требо-вания к безопасности которых существенно отличаются от остальных,то такие подразделения лучше выделить в отдельные домены. К при-меру, в банке это может быть отдел пластиковых карточек, на круп-ном предприятии — отдел безопасности и т. п. Понятно, что у пользо-вателей этих подразделений должны быть более стойкие пароли, ихрегистрация в системе и доступ к ресурсам, возможно, должны осу-ществляться по смарт-картам или электронным ключам, персональ-ные данные должны быть зашифрованы без возможности их прочте-ния обычными администраторами сети.

Проблема безопасности тесно связана и с полномочиями админи-страторов. Если взять адмш [истраторов единственного домена (а зна-чит, и корневого домена в лесу), то по умолчанию они включены втакие группы, как Domain Admins, Schema Admins, Enterprise Admins.Последние две наделены олромными полномочиями в рамках леса.Нужны ли такие всем администраторам? Ясно, нет. «Всесильных* ад-минов в системе быть не должно. Чтобы не было у администраторадаже возможности самостоятельно включить себя в группу с абсолют-ной властью, целесообразно создавать минимум два домена: корне-вой, в котором нет пользователей, но есть учетная запись админист-ратора предприятия, и другой — где хранятся как учетные записипользователей, так и все администраторы домена.

Замечание Создание пустого корневого домена для хранения в немучетных записей администратора предприятия обязательно при на-личии более чем одного дочернего домена или нескольких деревьевв лесу.

Пустой корневой домен играет и еще одну важную роль. Это своегорода «хранитель имени* организации. Так как корневой домен дает

Проектируем АО, или Мелочей не бывает 1_5

имя всему лесу, то никакие изменения в нижележащей доменнойструктуре не отражаются в имени леса. Можно добавлять новые до-мены в лес при приобретении или слиянии с другими предприятия-ми, удалять домены при продаже части бизнеса — имя организацииостанется прежним.

Еще один положительный фактор наличия пустого корневого доме-на в том, что по самой природе в нем нет значительных нагрузок наконтроллеры, и надежность их возрастает. Поэтому в этом доменеможно разместить ГК и мастеров схемы и инфраструктуры, которыеможно будет задействовать для восстановления системы в чрезвычай-ной ситуации.

К недостаткам такого домена можно отнести необходимость исполь-зовать два дополнительных сервера в качестве его контроллеров. Но,по-моему, плюсы перевешивают этот минус, тем более что аппарат-ные требования к этим контроллерам не так уж высоки.

Второй критерий создания домена — модель администрирования.Если все администраторы сосредоточены в штаб-квартире или в еди-ном центре управления сетью, неразумно добавлять к домену допол-нительные домены. Дело в том. что обычно одни и те же люди адми-нистрируют все домены. Поэтому, если нет иных причин, стоит оста-вить один домен. Если же у вас модель децентрализованного управле-ния, то стоит подумать о разбиении на домены — по одному на каж-дую группу администраторов. Однако здесь надо быть очень осто-рожным! Вы должны абсолютно доверять региональным администра-торам. Несмотря на то, что они обладают всей полнотой власти толь-ко в своем домене, их ошибки или преднамеренные действия могутотрицательно сказаться па работе всего леса.

Очень тесно связана с этим критерием ситуация, когда региональныепредставительства компании относительно независимы. У них свойотдел кадров, который проводит прием персонала, в том числе и вотдел ИТ. О том, кто именно занят управлением пользователями врегионе, в центре зачастую не имеют ни малейшего представления.Где гарантия того, что внутри регионального ИТ нет внутренних кон-фликтов персонала с руководством, что все сотрудники имеют высо-кую квалификацию и опыт работы с Active Directory, что среди нихнет шпионов, засланных конкурентами? А ведь у региональных адми-нистраторов есть физический доступ к контроллерам домена, что всовокупности с высокими административными полномочиями откры-вает большой простор для деструктивной деятельности.

Поэтому, рассматривая данный критерий создания домена, подумайте,стоит ли это делать? Может лучше все учетные записи пользователей икомпьютеров в регионе разместить в организационном подразделении,а локальным администраторам делегировать определенные права по

2-2005


управлению подразделением? Этот же подход следует применить и втом случае, когда домен в регионе должен быть создан в соответствиис другими критериями. Все равно не отдавайте ключи от всех дверей вдоме, Управляйте таким доменом из центра, а региональным админи-страторам позвольте заниматься поддержкой пользователей.

Вы можете возразить, что региональные службы ИТ будут сопротив-ляться «урезанию» их полномочий. Будут. Еще как будут! Но помните,безопасность организации в целом должна ставиться в основу вашегорешения. И тут все средства хороши: от распоряжения генеральногодиректора до «просветительской» работы с массами. Например, стоитобъяснить региональным администраторам, что у них отбирают не такуж много власти. Наглядно это демонстрирует следующая таблица.

Полномочия различных категорий администраторов'

Администраторылеса2 домена3 ОП4

Присвоение (Take Ownership)любого объекта в Active Directory /Создание пользовательскихучетных записей / / /Удаление пользовательскихучетных записей / / /Сброс паролей пользователей / / /Создание групп / / /Удаление групп / / /Изменение членства в группах / / /Создание объектов Типа «принтер»и управление ими / / /Создание, сетевых папокобщего доступа и управление ими(па контроллерах домена) / /Установка программного обеспеченияна контроллеры домена / /Создание учетных записей компьютерови управление ими / / /Создание нового домена в лесу /Установка контроллеров домена / /Резервное копированиеи восстановление контроллеров домена / / /Управление Групповыми Политиками / /Установка System Management Server / /Настройка доверительных отношениймежду доменами /Управление Сайтами и Подсетями /Создание политикAdmission Control Service (ACS) / —

см. след. стр.


Администраторы

леса домена ОП

Авторизация сервера DHCP /Авторизация сервера RIS /Организация printer location cracking /Инсталляция MSMQ Routing Server /Конфигурирование связей / / •/MSMQ site links /Установка Удостоверяющегоцентра предприятия /Установка ПодотчетногоУдостоверяющего центра /Установка Simple CertificateEnrollment Protocol (SCEP) Add-onдля службы Certificate Services /Выполнение сервиса MSMQ Replicationпри работе MSMQ в смешанном режиме(на некоторых серверах установленыMSMQ 1.0 на Windows NT4) /Запуск MSMQ Upgrade wizard /1 Для администраторов предприятия и домена указаны полномочия по умолчанию, для ад-

министраторов ОП — рекомендуемые.- Область полномочий — лес1 Область полномочий — домен.

1 Область полномочий — ОП."" Создание нового домена может быть делегировано администратору ОП. Однако .это доста-

точно сложная процедура, требующая большого внимания и предварительной работы. В си-лу своей сложности она не описана в данной книге.

Хорошо видно, что те полномочия, которые делегируются на уровеньподразделения, охватывают именно те работы, которые ежедневновыполняют сотрудники региональной службы ИТ. А вот «слежениемза здоровьем» Active Directory и управлением ее базовыми функция-ми занимается центральная команда администраторов.

Еще один критерий многодоменности — разбросанность по обшир-ной территории и наличие ненадежных каналов связи. Разбие-ние на сайты, конечно, играет важную роль, но в случае одного доме-на между сайтами тиражируются доменный контекст имен, контекстимен конфигурации, контекст имен схемы и данные для ПС Реплика-ция доменного контекста имен значительно превосходит по объемуостальные данные. Разместив в каждом сайте отдельный домен, вы темсамым исключаете доменный контекст имен из процесса репликации.

Существуют оценки максимального числа пользователей в одномрегиональном домене в зависимости от пропускной способностисамого медленного канала связи между сайтами в лесу. Эти оценкиприведены в таблице и основаны на следующих предположениях-.


+ минимум 10% пропускной способности канала доступно для реп-ликации;

ф все контроллеры доменов являются серверами ГК;

• в течение года добавляется 20% и увольняется 15% пользователей;

ф у каждого пользователя отдельный компьютер;

+ используются зоны DNS интегрированные с Active Directory.

Аналогично тому, как мы это сделали для одного домена, подведемитог. Итак, несколько доменов могут быть созданы когда:

ф размер организации таков, что не может управляться одним до-меном (более 1-2 миллионов пользователей);

ф используется децентрализованная структура управления сетью снесколькими ИТ-отделами, действующими достаточно независи-мо друг от друга;

• необходимо исключить даже случайную возможность региональ-ных администраторов вмешиваться в управление всей сетью;

ф существуют категории пользователей для которых должна бытьприменена отдельная политика безопасности;

ф ' географическая распределенность такова, что имеются некачествен-ные или перегруженные каналы между отдельными участками;

ф само предприятие нестабильно; возможна продажа отдельныхнаправлений бизнеса либо слияние с другим предприятием.

Зависимость размера глобального доменаот пропускной способности каналов

Пропускная способность

самого медленного

канала (Кб/с)

9,614,419,228,8

38,456,0

Максимальное число

Максимальное числопользователей в лесу

25 00050 00050 00075 000100 000100 ООП

пользователейв региональном

15 00015 00025 0004000045 000100 000

домене

Проектируем AD, или Мелочей не бывает 19

Область ответственности администраторов -центра»

Медленныйканал связи

Приобретенакомпании

Наличие в регионекоманды ИГ,которой вы

Вынос пользователейf. администраторов

из корневого домена

Область ответственностиадминистраторов «региона-

Критерии разбиения па несколько доменов

Преимущества многодоменной модели (дерева)

Преимущества многодоменной модели Active Director)' таковы.

4 Различные доменные политики Так как политики учетных запи-сей и паролей определяются на уровне домена, можно разделитьпользователей по требованиям, диктуемым соображениями безо-пасности.

• Простота включения приобретенных предприятий Если компа-ния приобретает фирму, имеющую свой обученный техническийперсонал, свои правила безопасности и пр.. многодоменная струк-тура позволяет значительно легче подключать новую структуру всуществующую.

• Пониженный трафик репликации Междоменная репликация за-трагивает только тиражирование объектов схемы и конфигурации.Объем этих данных несоизмеримо мал в сравнении с внутри до-менной репликацией.


Посадим деревья и вырастет лесОбсуждая причины создания нескольких доменов, мы полагали, чторечь идет о дереве, в котором все дочерние домены наследуют имякорневого. Однако не всегда такое приемлемо. Часто организациясостоит из ряда ассоциированных с ним предприятий. Каждое такоепредприятие занимается независимым бизнесом, имеет свое руковод-ство и политику. Возможно также, что имя этого предприятия извес-тно широкому кругу лиц и безотносительно к связи с головной орга-низацией. Так, с крупной телекоммуникационной корпорацией могутбыть ассоциированы компании по доставке писем и грузов, обще-ственного питания, строительно-монтажная и т. п. Их тесная связь стелекоммуникационной корпорацией определяется тем, что большуючасть своего бизнеса они выполняют по ее заказам. Раз так, то дляудобства обработки заказов и организации совместного планирова-ния и подготовки отчетности нужно обеспечивать интеграцию ин-формационных структур этих предприятий с предприятием-«кор-мильцем*. Под этим подразумевается и доступ к единой системе пла-нирования ресурсов, единая почтовая система и система документо-оборота, возможность доступа к определенным файловым ресурсами т. п. Понятно, что речь не может идти о полном слиянии, так какэти компании довольно много работают и на сторонние фирмы исохраняют свою независимость как юридические лица.

А раз так. то эти компании могут не согласиться на применение всвоей сети чужого доменного имени. С другой стороны, требованиеединой адресной книги, основанной на Active Directory, подразумева-ет, что это должен быть единый лес. Именно в этом случае резонносоздать отдельное дерево для каждой из таких компаний. У этого деревабудет свое уникальное в рамках леса имя, но конфигурация и схема будутобщими. Кроме того, они смогут обращаться к единому ГК и осуществ-лять доступ ко всем предоставленным им peq-рсам.

Напомню здесь о пути доверия. Дело в том, что если пользователямиз одного дерева в лесу надо обратиться ресурсам, расположеннымв домене другого дерева, то аутентификация такого доступа будет вы-

полняться не напрямую, а по цепочке, путем перебора всех доменовот исходного к корневому, а затем от корневого — к домену назначе-ния. Если необходимость в таком доступе существует регулярно, тоследует организовать сокращения — доверительные отношения, свя-зывающие эти два домена напрямую.


Mycorp.ru Obedy.ru

StaR.obetty.ru

Crm.msk.mycorp.ru

Для уменьшения пути доверия между деревьямииспользуют сокращения

Преимущества модели с несколькими деревьями

Преимущества модели Active Directory с несколькими деревьями та-ковы.• Возможность использовать разные -пространства имен Имя

каждого дерева уникально в рамках леса.• Децентрализованное управление Ассоциированные предприятия

ряда компаний обладают независимостью как юридические лицаи имеют собственные ИТ-службы.

• Простота включения новых ассоциированных предприятий Ес-ли компания приобретает фирму с техническим персоналом,своими правилами безопасности и пр., то структура с несколь-кими деревьями позволяет создать для нее дерево согласно еетребованиям.

4- Использование единой схемы и ГК Несмотря на различие, органи-зации, входящие в разные деревья, используют единые приложе-ния, интегрированные с Active Directory, и единую адресную кни-гу (например, в Microsoft Exchange 2000).


Преимущества модели с одним лесом

Рассмотренные выше модели построения доменной структуры отно-сятся к так называемой модели Active Directory с одним лесом доме-нов, В 99 % случаев следует придерживаться именно этой -модели.Объяснение данного факта простое; вы получаете максимум выгодыот использования Active Directory. Ниже перечислены основные пре-имущества этой модели.

• Как следует из определения, лес характеризуется наличием едино-го глобального каталога. Это означает, что для создания единой ад-ресной книги не надо применять никаких дополнительных усилий.В случае Microsoft Exchange 2000/2003 этот каталог будет взят заоснову. Для других почтовых систем он может быть указан в каче-стве LDАР-каталога. Любой почтовый клиент, понимающий прото-кол LDAP, использует существующий ГК в качестве адресной книги.

• Наличие единого глобального каталога также может быть исполь-зовано и различными серверами приложений такими, например,как IBM Web Sphere. Они могут обратиться к глобальному катало-гу для авторизации пользователей. Это может стать первым шагомна пути к созданию единой точки входа в гетерогенную систему(single sign-on).

ф Одним из важнейших достоинств единого леса является простотаи эффективность отслеживания единой политики безопасности.Связано это как с организационными, так и с техническими при-чинами. Так как управление всем лесом выполняется единой ко-мандой ИТ, то не существует причин, по которым одна и та жеполитика была бы внедрена по-разному одними и теми же людь-ми. С другой стороны, высокий уровень квалификации сотрудни-ков обеспечивает ее правильное внедрение и поддержание. Техни-чески единство политик обеспечивается тем. что, невзирая на раз-ные домены, к ним применяется один и тот же объект групповойполитики, хранимый в Active Directory. Кроме того, неизменностьданного объекта гарантируется возможностью защиты его от не-санкционированного доступа средствами AD.

• В рамках единой политики безопасности легко реализуется кон-цепция делегирования полномочий. Делегирование позволяет, содной стороны, резко сократить число сотрудников, обладающихадминистративными полномочиями, а с другой — централизован-но контролировать зону ответственности каждого из сервисныхадминистраторов. В такой ситуации лица, не обладающие доста-точной квалификацией, не смогут получить доступ к функциям,влияющим на стабильность и безопасность всей системы.


• Наличие единого леса позволяет централизованно внедрить сис-тему мониторинга, которая будет в реальном масштабе времениследить за контроллерами доменов и иным оборудованием. При-чем такая система, как Microsoft Operations Manager (MOM 2000),позволит не только контролировать состояние обслуживаемыхсистем и своевременно сообщать оператору обо всех сбоях, но иавтоматически отрабатывать процедуры по устранению неисправ-ностей. Одной из особенностей MOM является возможность веде-ния базы знаний о возникавших проблемах. Такая база позволяетлегко организовать преемственность административного персона-ла, когда увольнение одного не станет узким местом при разре-шении проблем. Стоит упомянуть, что MOM имеет специальныенаборы настроек, позволяющих интеллектуально управлять состо-янием Active Directory. DNS, Windows 2000/2003 и остальных служб.При необходимости MOM может быть использован для управле-ния и серверами приложений (SQL, Exchange и пр.), причем нетолько на платформе Microsoft.

+ Наличие единого леса Active Directory значительно упрощает про-цесс внедрения корпоративных стандартов на рабочие местапользователей. Использование групповых политик в рамках лесапозволяет управлять приложениями, установленными на настоль-ных и мобильных компьютерах, выполнять своевременное их об-новление, применять определенные настройки отдельных прило-жений, регулирующие доступ к ресурсам, централизованно управ-лять сценариями регистрации и пр. Так, например, групповая по-литика может для нсех пользователей определить расположениесервера Software Update Service (SUS) в корпоративной сети пред-приятия, который используется для распространения всевозмож-ных исправлений для операционной системы и связанных с нейприложений.

• Одной из задач, стоящих перед организациями, работа которых недолжна прерываться при любых обстоятельствах (катастрофы, дей-ствия террористов и т. п.), является организация резервного цент-ра управления. Резерв может быть как «горячим», так и «холодным».В том случае, когда имеется единый лес Active Directory, инфраструк-тура каталога может быть спроектирована таким образом, что дажев случае полного уничтожения центральной части организации всяоставшаяся часть будет продолжать функционирование без переры-вов и потери функциональности. Более того, сотрудники централь-ной части, переехавшие в любое место в структуре предприятия,смогут незамедлительно приступить к работе, сохранив при этомдоступ ко всем необходимым приложениям.


• Постоянно повышающиеся требования к защите информациипредполагают использование более эффективных средств обеспе-чения зашиты. Одним из таких средств является внедрение инф-раструктуры открытых ключей (PKI) на базе сертификатов Х.509v.3. Внедрение этой инфраструктуры позволит использовать стан-дартизованные средства шифрования и защиты информации, сер-тифицированные соответствующими органами Российской Феде-рации. Так, в частности, и дополнение к встроенным средствамзащиты можно будет использовать цифровые смарт-карты дляидентификации личности на компьютерах руководителей, а так-же для выполнения критичных административных операций. Кро-ме того, станет возможно использование электронной цифровойподписи (ЭЦП) в системах документооборота и почты. Несмотряна то, что внедрение инфраструктуры PKI возможно и для несколь-ких лесов, в одном лесу использование системы будет наиболеепрозрачным для пользователей.

• Мобильные пользователи смогут абсолютно безопасно подклю-чаться к сети предприятия из любой точки для доступа к своейпочте или иным ресурсам. Единый лес обеспечивает для них про-зрачность доступа, а использование смарт-карт — безопасность.

Модель с несколькими лесами

Напоследок рассмотрим модель с несколькими лесами. «Какая ж этомодель? — спросите вы. — Это просто два разных каталога ActiveDirectory». Так-то оно так. Только ведь никому в голову не приходилов Windows NT говорить о двух доменах как о несвязанных структу-рах. Так и тут. Раз могут существовать отдельные леса, значит, онимогут взаимодействовать и использоваться для каких-либо целей.

Начнем с того, что модель с разными лесами использовать не реко-мендуется. Она практически неуправляема, требует больших затрат на-скоординированное администрирование и имеет ограниченное при-менение. Ну, например, представим, что две крупные компании, каж-дая из которых уже имеет свою структуру Active Directory, свое имяна рынке, свои приложения, интегрированные с AD. решили объеди-ниться. Слить два леса нельзя. Даже если б было можно, то как посту-пить со схемами? Они же разные! Единственный способ — установитьпрямые нетранзитивные доверительные отношения между теми до-менами в каждом из предприятий, для которых нужен доступ к ресур-сам друг друга.

Замечание Установить транзитивные доверительные отношенияможно только между лесами, работающими в естественном режимеWindows 2003-

Проектируем АО, или Мелочей не бывает

Отсутствие у лесов общего ГК также не позволит им использоватьединую адресную книгу в почтовой системе (если, конечно, в этойсистеме нет собственного каталога почтовых пользователей). Един-ственный выход — задействовать службы синхронизации каталогов,например Microsoft Identity Integration Server (MIIS) 2003.

Кроме того, иногда без нескольких лесов не обойтись. Простейшийпример — наличие в компании отдела разработок, создающего ПО,работающее с Active Directory и модифицирующее схему. Понятно, чтотестовая сеть должна иметь свою службу каталогов, иначе проблемыв основной сети гарантированы. Иногда такую модель Active Directoryназывают моделью с лесом подписки (subscription forest).

Основной лесЯвное доверие

Предприятие А Предприятие Б

Примеры использования нескольких лесов:Тестовый и основной леса внутри предприятия (с лесом подписки)Два разных предприятияДля доступа к ресурсам используется явное нетранзитивноедоверие, для синхронизации каталогов — метакаталог

Поэтому, резюмируя, обозначим причины возможного использованиянескольких лесов.

• Не требуется общая схема Это связано либо с тестовыми раз-работками, либо с использованием различного ПО, интегрирован-ного с Active Directory.

• Не нужен единый ГК Допустимо, когда почтовое или иное при-ложение использует свой каталог либо есть приложение синхро-низации каталогов.


+ Отношения с партнером или контрагентом Они не настолькоблизки, чтобы объединять сети, либо инфраструктуры Active Direc-tory для обоих предприятий уже существуют.

• Центральному отделу ИТне удалось договориться с региональнойслужбой При отсутствии взаимодоверия и невозможности вне-дрения единой политики следует пойти на разделение лесов.

Мигрируем с доменной структуры Windows NT

Уяснив, как разбивать сеть на домены, обсудим доменную тактику истратегию при миграции домена Windows NT. Для этого переберемвсе четыре модели объединения доменов Windows NT.

Прежде всего подчеркну, что вопросы совместимости существующихприложений с Windows 2000 мы затрагивать не будем. Дело в том, чтодаже после миграции домена в нем можно оставить как серверы, таки контроллеры, работающие иод Windows NT.

О технических аспектах миграции см. главу «Установка Accive Directory*.

Миграция единственного домена

Если в организации был лишь один домен Windows NT, то потенци-ально есть два пути миграции:

+ в один домен Windows 2000;

ф в два домена Windows 2000.

Когда пойти первым? Ответ прост: см. выше критерии создания толь-ко одного домена. Очевидно, в большинстве случаев вы придете имен-но к решению 1 в 1. Уж если одного домена старого типа было доста-точно для управления пользователями и ресурсами, то домена Win-dows 2000 хватит и подавно.

Второй путь целесообразен, когда предполагается рост предприятияи могут появиться подразделения, требующие отдельной политикибезопасности либо расположенные на удаленных территориях. В этомслучае рекомендуется создать корневой домен Windows 2000 — пус-той хранитель имени, а мигрируемый домен сделать дочерним к нему.

В любом случае миграция, проведенная таким образом, останетсянезаметной для пользователей, так как они останутся в рамках доме-на с тем же NetBIOS-именем, а права доступа к ресурсам сохранятся.


Домен Windows 2000

Пути миграции одного домена

Миграция доменной структуры с одним мастер-доменом

Схема с одним мастер-доменом типична для большинства организа-ций. Разделение учетных записей и ресурсов удобно с администра-тивной точки зрения в доменах Windows NT. Доменам на базе Win-dows 2000 такое разделение несвойственно, хотя это возможно. С уче-том сказанного можно предложить следующие варианты миграции.

+ Мастер-домен Windows NT преобразуется в один домен Windows2000. Все ресурсные домены аннулируются, а их ресурсы переме-щаются в единственный домен.

• Мастер-домен преобразуется в корневой домен Active Directory.Ресурсные домены преобразуются в дочерние, по которым распре-деляются учетные записи пользователей.

• Создается пустой корневой домен. Мастер-домен преобразуется вдочерний. Ресурсные домены преобразуются в дочерние к немуили удаляются с переносом ресурсов в родительский домен. Учет-ные записи пользователей никуда не переносятся.

Наиболее распространен первый способ миграции. Он выполняетсяобычно в два этапа. Сначала мастер-домен обновляется до Windows 2000.Затем (это может быть сделано много позже) ресурсы из ресурсныхдоменов переносятся, а сами домены уничтожаются. Преимущества дан-ного способа миграции таковы:

• прозрачность для пользователей: NetBIOS-имя домена можетне изменяться, все ресурсы остаются постоянно доступными;

• сокращение количества используемой техники: на каждыйресурсный домен тратится минимум 2 контроллера домена, кото-рые в результате миграции высвобождаются;

• постепенность миграции: перенос ресурсов можно выполнятьдлительное время.


Второй способ целесообразен в случае однозначного соответствиякатегорий пользователей и ресурсов, к которым они обращаются.Например, это может быть территориальное или административноеразделение. Миграция выполняется в три этапа. На первом мастер-домен обновляется до корневого домена Windows 2000. Этот этаппрозрачен для пользователей, так как с точки зрения аутентификациив домене, на первый взгляд, все остается по-прежнему.

На втором ресурсные домены обновляются до доменов Windows 2000:они подключаются как дочерние домены к ранее мигрировавшемумастер-домену. Если эти домены разнесены территориально, то кон-фигурируются соответствующие сайты. Этот этап также прозрачен дляпользователей, так как с точки зрения доступа к ресурсам они не видятникакой разницы.

На третьем этапе пользователи и их компьютеры группами выводят-ся из корневого домена и переносятся в дочерние. Перенос выполня-ется с помощью специальных утилит позволяющих сохранить исто-рию SID пользователей (SID history) и тем самым обеспечить посто-янство доступа к ресурсам. Одновременно в дочерних доменах созда-ются глобальные группы, куда включаются перенесенные пользова-тели. Эти группы включаются в соответствующие локальные группы,предоставляющие различные виды доступа к ресурсам. Это позволя-ет более не хранить историю SID и удалить прежние глобальные груп-пы из корневого домена. Данный этап непрозрачен для пользовате-лей, так как им придется переключить свой компьютер в новый до-мен и применять новый пароль.

Миграция кончается, когда все пользователи переносятся из корневогодомена, в нем удаляются все глобальные группы, оставшиеся от старыхвремен, и остаются лишь административные группы предприятия (Sche-ma Admins, Enterprise Admins) и административные группы домена.

Преимущества данного способа миграции таковы:

• постепенность миграции: перенос ресурсов можно выполнятьв течение длительного периода времени;

• сокращение трафика репликации; разделение на сайты спо-собствует этому;

ф создание границ безопасности между разными категория-ми пользователей: пользователи теперь находятся в разныхдоменах;

ф возможность перехода на распределенную модель управ-ления: каждым доменом может управлять своя команда админи-страторов.

Проектируем АР. или Мелочей не бывает 29

Возможные варианты миграции модели с одним мастер-доменам

Третий путь миграции, как это легко заметить, — комбинация первыхдвух. Его выбирают, когда нельзя однозначно всех пользователей от-нести к разным категориям. При этом точно определить количествоэтапов миграции нельзя, хотя можно выделить следующие.

На первом этапе создается пустой корневой домен. Далее к нему вкачестве дочернего присоединяется мигрировавший мастер-домен.Этот этап прозрачен для пользователей.

На втором могут одновременно выполняться разные действия. Например,из некоторых ресурсных доменов ресурсы переносятся в мигрировавшиймастер-домен. Если это целесообразно, ресурсные домены обновляютсядо Windows 2000. К ним, например, можно применить специальную по-литику безопасности. Пользователей, работающих преимущественно сэтими ресурсами, можно также перенести в эти домены. Поскольку весдействия на этом этапе в значительной степени независимы, его могутвыполнять разные группы специалистов в разные периоды времени.

Миграция считается завершенной, когда не остается ресурсных доме-нов Windows NT, а в мигрировавшем мастер-домене не остается не-нужных унаследованных глобальных групп.

Active Directory; подход профессионала

Миграция доменной структуры с несколькими мастерами

Схема с несколькими мастерами характерна для крупных географи-чески распределенных предприятий. Она подразумевает созданиепопарных доверительных отношений между ресурсными доменамии всеми мастер-доменами. Пути миграции во многом определяютсятеми задачами, которые миграция должна решить.

Если причиной разбиения на несколько мастер-доменов была пре-дельная емкость домена Windows NT, то очевидно, что при миграцииэти домены можно слить в один. Ресурсные домены можно уничто-жить. Это самый выгодный тип миграции, при котором высвобожда-ется большое число серверов. Для пользователей такая миграция не-прозрачна. Они вынуждены переместить свои рабочие станции вновый домен и применять новые пароли. Если миграцию совместитьс обновлением ОС на клиентских компьютерах, то эту смену доменавыполнят технические специалисты.

Если основной задачей является сокращение числа поддерживаемыхдоверительных отношений и тем самым упрощения администриро-вания, то, выполнив миграцию ресурсных доменов и переместив в нихучетные записи пользователей и клиентских компьютеров, можноподключить их в качестве дочерних к объединенному мастер-домену.

Основные варианты миграции модели с несколькими мастер-доменами


Если мастер-домены были разнесены географически, то это разделе-ние можно оставить, сделав мигрировавшие домены дочерними кпустому корневому домену. Это позволяет использовать единое имяпредприятия, снизить трафик репликации и применить различныеполитики в разных географических точках. Как при этом вы посту-пите с ресурсными доменами, зависит от ваших потребностей.

Миграция нескольких доменов с попарным довериемПеречислить все возможные модели миграции схемы с полным дове-рием (или. более точно, с попарным доверием) просто невозможно:чем больше доменов, тем больше вариантов доверительных отноше-ний между ними. Одно можно сказать вполне определенно: управля-емость новой системы возрастет многократно.

Несмотря на такое многообразие, попробуем выделить основныеправила рационального создания новой структуры.1. Если все домены связаны попарно двусторонними отношениями

и были созданы исключительно из-за политических соображений,важность которых сейчас не имеет значения, то все домены мож-но объединить в один домен Windows 2000. Выполнить это мож-но, либо создав новый домен и перенеся в него учетные записипользователей, компьютеров и ресурсы, либо смигрировав самыйкрупный домен, а потом перенеся в него объекты из остальных.

Замечание В это может вмешаться фактор географической разоб-щенности. Тогда домены при миграции можно сгруппировать и пре-образовать каждую группу в отдельный домен, расположенный наодной территории. Эти домены можно объединить «под крышей»пустого корневого домена либо в виде отдельных деревьев.

2. Если же политические соображения сохранили актуальность, иде-альным станет решение создать пустой корневой домен и подклю-чить к нему в качестве дочерних мигрировавшие. С точки зренияположения в дереве Active Directory, они равны, с точки зрениябезопасности и политики — различны.

3- Если ключевым фактором разбиения на домены было уникальноеимя, то при миграции можно сохранить этот фактор уникальнос-ти, преобразовав каждый из доменов в корень нового дерева в лесу.

4. Если доверительные отношения не двусторонние, надо проанали-зировать пути доверия и выделить учетные домены и ресурсныедомены, а потом выбрать один из описанных выше путей мигра-ции. Если при этом учесть географическое расположение доменов,наличие локального технического персонала, а также устойчивыедолговременные связи, можно разработать весьма эффективнуюи управляемую структуру, что позволит сократить количество спе-циалистов ИТ.

32 Active Directory.1 подход профессионала

Группы и стратегия их использованияПрежде чем говорить о планировании групп, кратко напомню о ви-дах групп в Windows 2000.

Универсальные группы объединяют пользователей в рамках леса имогут включать как отдельных пользователей, так и другие универсаль-ные или глобальные группы из любого домена в лесу. Сведения о член-стве в универсальных группах тиражируются на все серверы ГК.

Глобальные группы объединяют пользователей в рамках домена имогут включать как отдельных пользователей, так и другие глобаль-ные группы'из этого же домена. Сведения о членстве в глобальныхгруппах не тиражируются на серверы ГК. Тиражируется только имяглобальной группы.

Локальные группы домена служат для предоставления доступа к ре-сурсам и могут включать как отдельных пользователей, так и другиеуниверсальные или глобальные группы из любого домена в лесу. Ониприменяются только в списках контроля доступа локального домена.Информация о членстве в универсальных группах не тиражируетсяна серверы ГК.

Внимание Универсальные группы существуют только в доменах,работающих в естественном режиме. Только при этом условии воз-можно вложение универсальных и глобальных групп друг в друга.

Рекомендации по использованию универсальных групп

Членство в универсальных группах публикуется в ГК. Это значит, чтоесли внести в группу или исключить пользователя, то вся информа-ция о группе начнет реплицироваться по серверам ГК. В распределен-ных сетях, состоящих из большого числа сайтов, подключенных помедленным каналам, это вызовет нежелательную перегрузку канала.

Поэтому первая рекомендация: содержимое универсальных группдолжно оставаться постоянным длительное время и меняться тольков случае крайней нужды.

Возможно вы читали, что в группе не может быть более 5 000 членов.С одной стороны, это достаточно много для. скажем, типичного до-мена. Однако пользователей в рамках леса может быть и гораздо боль-ше. Тиражирование большого количества членов группы может соста-вить значительный трафик

Отсюда рекомендация вторая, не включайте в универсальные груп-пы много членов.

А что же, спросите вы, делать, если надо включить почти всех пользо-вателей в универсальную группу? Мало того, что их много, так ведьони постоянно меняются: приходят, увольняются!.

Проектируем АО. или Мелочей не бывает 33

В таком случае третья рекомендация: включите в основную универ-сальную группу несколько дополнительных универсальных. В них всвою очередь включите глобальные группы из разных доменов. А ужев глобальные группы включите пользователей этих доменов.

Рассмотрим пример. Пусть в лесу Active Directory пять доменов и вкаждом 800-1 500 пользователей. Вы планируете все учетные записирассортировать по их статусу на предприятии: постоянные работни-ки, контракторы или временные сотрудники, сотрудники предприя-тий-партнеров. Чтобы выполнить сортировку, поступим так.

В каждом домене создаем по три глобальные группы: FTDomainNameдля постоянных сотрудников, TempDomainName для контракторов,VDomainName для партнеров. Дхпее создаем три универсальные груп-пы: FTEmployee, TempEmployee. Vernployee — и включим в них соот-ветствующие глобальные группы. Наконец, можно создать универсаль-ную группу AllUsers и включить в нее три ранее созданных универ-сальных группы.

Несмотря на то, что в итоге в группу AllUsers попадет более 5 000пользователей, она в себе содержит только 3 членов. Три другие уни-версальные группы содержат по 5 членов. А максимальное число чле-нов описанных глобальных групп не превышает 1 500 человек, и то приусловии, что в каком-то домене все сотрудники принадлежат только кодной категории. Очевидно, что с точки зрения универсальных групп,членство в них неизменно, поэтому репликация выполняется толькопри их создании и первичном наполнении другими группами.

AIIEmployeesвключает:

FTBnployees,rempEmployees,

VEmployees

Пример наполнения универсальных групп

34 Active Directory: подход^профессионала

Для чего могут понадобиться эти универсальные группы? Ну, напри-мер, для фильтрации групповой политики или разграничения досту-па к корпоративным файловым ресурсам в масштабах всего предпри-ятия. Правда, в последнем случае не обойтись без локальных группдомена. Но об этом чуть позже.

Рекомендации по использованию глобальных групп

Теперь поговорим о глобальных группах. Выше мы создали довольнокрупные глобальные группы. Поддерживать членство в крупных груп-пах достаточно сложно. Проще создать несколько глобальных группменьшего размера, а их включить в глобальную группу в своем жедомене.

Итак, рекомендация первая-, создавая глобальные группы, делайте ихпоменьше.

По какому принципу формировать глобальные группы? Наверное,здесь уместно вспомнить, что глобальные группы будут использовать-ся для включения в локальные группы домена для последующего пре-доставления доступа к ресурсам. Все ресурсы обычно можно разде-лить по функциональности. Это могут быть, например, принтерыотделов и подразделений, каталоги рабочих и проектных групп, фай-лы руководства и т. п.

Отсюда вторая рекомендация, глобальные группы нужно создавать пофункциональному признаку.

Рассмотрим организацию в которой есть руководство, секретариат,отдел продаж, отдел маркетинга, склад продукции, ИТ-служба и бух-галтерия. Часть сотрудников из отдела продаж, склада продукции иИТ-службы заняты в отдельном проекте, направленном на улучшениеработы склада. Исходя из этих условий, целесообразно создать 9 гло-бальных групп:

ф MGMT для руководства;

• SECRETARY для секретариата;

• SALES для отдела продаж;

• MKTG для отдела маркетинга;

• STORE для склада;

• IT для службы ИТ;

• АССТ для бухгалтерии;

ф PROJECT для тех, кто включен в проект;

+ и ALL — группу, включающую в себя все перечисленные группы,кроме PROJECT.


Кстати, это необходимый минимум групп. Если при этом выяснится,что на каждом этаже есть свой принтер, можно создать и поэтажныегруппы. Если также обнаружится, что сотрудники даже одного отделадолжны иметь доступ к разным ресурсам, то это тоже повод для раз-биения их на глобальные группы. Об этом поговорим ниже.

Рекомендации по использованию локальных групп доменаЛокальные группы служат исключительно для предоставления досту-па к ресурсам домена. Назначение прав доступа к принтерам, файлам,каталогам и сетевым ресурсам, предоставленным в общее пользова-ние, должно выполняться только применительно к группам. Причинаэтого тривиальна. Если вы предоставили доступ отдельному пользо-вателю, а потом он уволился, то в списке контроля доступа останетсязапись о несуществующем пользователе. Если же доступ ему был пре-доставлен через членство в группе, то при удалении из Active Directoryпользователь будет удален из всех групп автоматически.

Рассматривая всевозможные виды доступа к файловым ресурсам, мож-но выделить три наиболее распространенных: полный доступ "(F).чтение/запись+исполнение (CHG). чтение+исполнение (R). В соответ-ствии с этой классификацией можно рекомендовать создание трехлокальных групп для каждого файлового ресурса. Название группыможет состоять из имени ресурса и обозначения вида доступа. Напри-мер, для каталога Public можно создать локальные группы:

• Public_F;

• Public_CNG;

• Pubiic_R.

Теперь для предоставления доступа к такому ресурсу достаточно вклю-чить соответствующие глобальные группы в локальные с необходи-мым типом доступа. Допустим, в рассматриваемом выше примере всеработники предприятия должны иметь доступ только на чтение, а со-трудники отделов продаж и маркетинга — еще и на запись. Полныйдоступ должен иметь ИТ-персонал. Тогда в группу Public_R включаемгруппу ALL, в Public_CNG — группы MKTG и SALES, а в Public^F — груп-пу IT. Это распределение, но с одним отличием — бухгалтерия выне-сена в отдельный домен, в котором и существует глобальная группаАССТ, — показано на рисунке ниже.

Рассмотренный пример довольно прост, и в реальной жизни встре-чаются куда более запутанные ситуации, когда нельзя всех сотрудни-ков одного отдела однозначно включить в определенную группу до-ступа. Для них надо создавать специальные глобальные группы и вклю-чать их в группы доступа к ресурсам.


\\Server\Pub1ic

Список контроля доступа:Public_R: Read OnlyPuMicCNG: ModifyPublic F:Full Control

Локальная группаPublic R, члены:

MYCORP\ALL,ACCOUNT\ACCT

Локальная группаPub'ic_CNG, члены:

MYCbRP\MKTG,

Локальная группаPublic_F, члены:

MYCORP\IT

Домен mycorp.ruГлобальные группы: MGMT, IT,

SECRETARY, SALES, MKTG, STORE, PROJECT ALL

Доменaccount.mycorp.ru

Глобальная группа АССТ

Пример предоставления доступа к ресурсу через членство в группах

Внимание Всякий раз, предоставляя локальной группе доступ ккакому-либо ресурсу, документируйте это событие и фиксируйте имягруппы, название ресурса и нид доступа. Это облегчит вам жизнь.

Кто должен заниматься включением пользователей в группы досту-па? Ответ неоднозначен. Если это маленькая организация, то с такойработой могут справиться сотрудники службы ИТ. Если же это ком-пания, в которой много отделов, обладающих своими ресурсами, толучше всеуэ назначить владельцев ресурсов. У каждого ресурса, пре-доставленного в совместное пользование, должно быть не менее двухвладельцев: основной и запасной. Им должно быть делегировано правовключать пользователей в «свои» группы. Причем это можно сделатьчерез Web-интерфейс и сценарии ADSI. Если какому-то пользовате-лю требуется доступ к ресурсу, он открывает страницу Web и запра-шивает нужный доступ. Сценарий ADSI определяет ответственного ипосылает ему уведомление, например по почте. Ответственный, по-лучив письмо, заходит на сгенеренную по такому случаю страницуWeb и предоставляет/запрещает доступ.

Проектируем АР. или Мелочей не бывает 37

Использование особых объединений

Говоря о предоставлении доступа к ресурсам через членство в груп-пах, нельзя не упомянуть особые объединения (special identities). Ихможно для удобства считать группами, хотя это и не так: в них нельзявключить учетные записи пользователей, однако они включаются тудаавтоматически в зависимости от обстоятельств. Эти объединения непредставлены в списке групп в Active Directory, но служат для разгра-ничения доступа к ресурсам.

• В категорию Everyone попадают все пользователи, зарегистриро-вавшиеся в сети. Это могут быть даже пользователи и гости издругих доменов. Главное условие включения в эту категорию -быть зарегистрированным в сети.

ф Authenticated Users — почти то же, что и Everyone, но не содер-жит анонимных пользователей (гостей),

• В категорию Network Users входят пользователи, осуществляю-щие в данный момент доступ к определенному ресурсу по сети.

• В категорию Interactive Users входят пользователи, осуществля-ющие в данный момент доступ к ресурсу на том компьютере, закоторым они непосредственно работают;

Для нас представляют интерес Everyone и Authenticated Users. Первуюкатегорию надо по возможности исключать из зсех списков контро-ля доступа. А вот нторая, наоборот, весьма полезна, так как позволяетизбавиться от глобальной или универсальной группы, в которую вклю-чены все «свои» пользователи. Следовательно, при репликации тра-фик будет меньше.

Административные группыТеперь о том, как лучше использовать административные группы.Начнем со встроенной локальной группы Administrators. По умолча-нию в нее включены глобальные группы Domain Admins, EnterpriseAdmins (в естественном режиме работы домена это универсальнаягруппа) и учетная запись Administrator. Так как это локальная группа,она служит для предоставления прав доступа к ресурсам домена. Еслирассматриваемый домен не является корневым и вы не хотите, чтобыадминистраторы предприятия имели к вам отношение, исключитегруппу Enterprise Admins из локальной группы Administrators.

Внимание Не стройте иллюзий относительно своей независимос-ти после исключения группы Enterprise Admins из группы Adminis-trators. Если администраторам предприятия понадобится выполнитькакие-то действия в вашем домене, они всегда это смогут сделать. Дляэтого им достаточно стать владельцами "ваших» ресурсов. При пра-вильно настроенном аудите эта операция будет отслежена в журнале.


Группа Enterprise Admins диет практически неограниченную власть.Поэтому администраторов в ней должно быть минимум. Это же тре-бование относится и к группе Schema Admins. Пусть ее члены и не все-властны, но последствия их действий могут стать причиной ката-строфы в Active Directory. Я уже говорил, что эти две группы существу-ют только в корневом домене. Если в нем есть и другие учетные запи-си с административными полномочиями, то они могут включить себяв эти группы для выполнения несанкционированных действий в лю-бой момент. Вот почему рекомендуется создавать пустой корневойдомен, в котором нет учетных записей, кроме администратора — толь-ко он вправе включать в группы Enterprise Admins и Schema Adminsпользователей из других доменов.

Замечание Пустой корневой домен должен работать в естествен-ном режиме чтобы административные группы масштаба предприятиябыли универсальными.

Членство в административных группах должно жестко регламенти-роваться. Одним из средств регламентирования является групповоеправило Restricted Groups, ограничивающее членство в указываемыхгруппах. В политике жестко прописано, кто может быть членом груп-пы. Если кто-то добавит себя в одну из групп с ограниченным член-ством, то по истечении срока обновления правил (5 минут для кон-троллеров домена) он будет исключен из этой группы.

Включать ли всех ИТ-сотрудииков в группу администраторов, пустьдаже не всего предприятия, а одного домена? Ни в коем случае. В ад-министративных группах домена должно быть минимум пользовате-лей. Отдельные административные полномочия должны быть делеги-рованы так, чтобы:

• обеспечивалась непрерывность администрирования;

• отсутствовали избыточные полномочия.

Таким образом, от групп мы переходим к рассмотрению организаци-онных подразделений (ОП).

Если ОП создают, значит, это кому-нибудь нужноОрганизационные подразделения — это контейнеры в Active Directory,в которых Moiyr находиться такие объекты, как пользователи, компь-ютеры, группы, принтеры, совместно используемые ресурсы, прило-жения и другие ОП. Отличительной особенностью ОП является воз-можность применения к ним групповой политики (кроме политикибезопасности, применяемой ко всему домену). С другой стороны, ОП —это объект Active Directory, и, как к любому объекту, к нему и ко все-

Проектируем ДР. или Мелочей не бывает 39

му, что в нем лежит, можно задать права доступа. Так что ОП — вещьдовольно ценная.

Когда же использовать ОП? Ответов множество. Вот главные.

• Для делегирования административных полномочий Разможно регламентировать права доступа к контейнеру, значит,можно назначать тех, кто имеет полный доступ, т. е. является ад-министратором по отношению к объектам внутри контейнера.

+ Для разграничения групповой политики Разделив пользо-вателей и компьютеры по разным контейнерам, вы можете при-менять различную групповую политику.

ф Для рассортировки объектов Можно отдельно разместитьпринтеры, пользователей, компьютеры и т. д.

+ Для ограничения числа объектов в контейнерах Хотя объ-ем контейнера не ограничен, просматривать содержимое большихОП неудобно — проще в один ОП поместить несколько меньшихпо объему.

• Для помощи в миграции При переносе ресурсов из доменовWindows NT желательно сохранить управляемость этими ресурса-ми. Поэтому удобно их перемещать в отдельные ОП, для управле-ния которыми используется делегирование.

Вы. конечно, поняли, что структура ОП планируется по определеннымправилам. Вот они.

ф Первый уровень ОП внутри предприятия должен следовать неко-торому стандарту, т. е. в каждом домене применяется общий прин-цип построения ОП. Это значительно облегчит использование ОП.

ф Не увлекайтесь глубиной вложения ОП. Дело тут не только в том,что навигация по глубоко вложенным подразделениям — делодостаточно занудное, а в том, что выполнение LDAP-запросов по-иска по структурам с глубокой вложенностью заметно замедляет-ся. С другой стороны, вложенность не сказывается на репликации.

+ Иерархия ОП должна иметь смысл и быть понятной. Создавать ОПтолько ради него самого бессмысленно. Смысл же определяетсяответом на вопросы: кто будет управлять и кто будет видеть ОП?

+ Любой объект может находиться одновременно только в одном ОП(в отличие от групп). Следовательно, если вы хотите применятьразные групповые политики к нескольким пересекающимся набо-рам объектов, нужно продумать иерархию ОП. При этом полити-ки с верхних уровней будут наследоваться на нижних.


Модели организационных подразделенийЭти правила привели к разработке нескольких моделей ОП.

Географическая иерархия

Подразумевает строительство дерева ОП в соответствии с географи-ческим положением. Однако ныше мы рассматривали географическуюудаленность как один из критериев разделения на домены. В чем жеразница?

Пусть в крупной организации имеется три домена: производства,маркетинга и продаж. Это спязано с тем, что к сотрудникам этих под-разделений предъявляются разные требования безопасности. Вместес тем предприятие разбросано по нескольким регионам: Москва.Санкт-Петербург, Нижний Новгород и Новосибирск. В каждом из го-родов должна применяться своя групповая политика установки при-ложений. Поэтому в каждом из трех доменов создаются ОП для каж-дой территории.

Преимущества такой модели:• ОП первого уровня стабильны, так как существуют все время, пока

предприятие ведет бизнес на указанной территории;• администраторам легко понять, где именно находятся ресурсы.

Недосгаток модели в том. что она не отражает бизнес-потребностейпредприятия.

Организационная иерархия

Пользуется симпатией начальства, потому что отражает организаци-онную структуру компании. На вершине иерархии — руководство,па втором уровне — дирекции, на третьем — отделы внутри дирек-ций и т. д. Всякий раз, когда руководителю требуется указать сотруд-ник}* на его место, он может открыть, скажем, Microsoft Visio. кото-рый автоматически выведет на экран графическое представлениеструктуры Active Director}7, а значит, и фактическую оргструктуру.Опять же, когда возникает ситуация из разряда «А подать сюда Ляп-кина-Тяпкина!*, задается поиск этого субъекта в каталоге, А из именисубъекта следует, в каком отделе он работает. Вот и причина любви!И невдомек начальству, что всякий раз, когда переименовываютсяотделы, создаются или сливаются подразделения, администратор вы-нужден все эти изменения сразу отражать и в структуре ОП. Но и этоне самое плохое. Хуже, когда требуется какие-то отделы или дирек-ции выносить в отдельный домен по соображением безопасности,например. И все, рушится стройная картина!

Объектная иерархия

Эту модель я бы назвал по-военному прямолинейной. Есть классыобъектов, вот их и дифференцируем. Компьютеры —- в одну кучу,


пользователей — в другую, принтеры — в третью и т. д. Резон длятакого деления есть, и не один:

• ресурсами легче управлять, поскольку они все рассортированы-,

+ легче создавать общие списки контроля доступа к различным клас-сам объектов;

• легче делегировать полномочия для различных классов объектов.

Представим структуру ОП, построенную на объектной модели: напервом уровне ОП Принтеры, Пользователи, Рабочие станции и Сер-веры, на втором идет детализация по какому-либо признаку, напри-мер, Принтеры 1 этажа, Принтеры 2 этажа, Пользователи 1 этажа,Пользователи 2 этажа и т. д.

Но логичнее использовать эту модель в совокупности с другими. На-пример, если верхние уровни определены по организационной мо-дели, то, дойдя до нижнего уровня (например, до отделов), можнопереключиться на объектную модель и для каждого отдела разделитьпользователей, компьютеры и пр.

Вы можете усомниться в простоте использования такой смешанноймодели и будете правы. Но только до тех пор, пока не выяснится, чтоучет сотрудников и техники ведется с помощью специального при-ложения, интегрированного с Active Directory. Если оно позволяет вграфическом виде просматривать планы этажей, с легкостью переме-щать сотрудников и технику между подразделениями и отслеживатьинвентаризацию этой техники, то вам уже не придется вручную ша-рить по каталогу в поисках нужного объекта.

Проектная иерархия

Подразумевает, что ОП строятся с учетом проектов, исполняемых ворганизации. При этом легко отслеживать ресурсы и затраты для каж-дого из проектов. Однако проект длится определенное время. А зна-чит. по его завершении структуру ОП нужно переработать.

А если кто-то из сотрудников вовлечен сразу в два проекта? Поделитьего пополам и назначить две разные учетные записи? Представляете,как сложно будет следовать этой модели!

Поэтому она может иметь очень ограниченное применение.

Административная иерархия

Предмет любви ИТ-сотрудников, так как именно им она обеспечива-ет максимум комфорта; ОП создаются на основании того, как легчеуправлять пользователями, компьютерами и пр. Например, если из-вестно. что все различия пользователей в домене в том. с какимиприложениями они работают, то составляются списки пользователейкаждого приложения. Из общего списка выбирается подмножество

"I/ Active Directory: подход профессионала

приложений, нужных максимальному числу пользователей. Для это-го приложения создается групповая политика, назначаемая корнево-му ОП. Затем выбираются приложения, нужные меньшему числу поль-зователей, и соответствующие групповые правила применяются к ОПвторого уровня. Наконец, создается ОП нижнего уровня и заполняет-ся пользователями, которым нужны специфические приложения. Рас-смотрим пример.Согласно корпоративному стандарту организации используется почто-вый клиент Microsoft Outlook, а в качестве офисных приложений -Microsoft Word и Excel. Кроме того, сотрудники бухгалтерии должныработать с ЮБухгалтерией и клиентской частью SAP. Последняя так-же требуется сотрудникам отдела кадров и аналитического отдела.Дополнительно к этому сотрудникам аналитического отдела нужныMicrosoft Visio и Microsoft Project.

Вот как реализовать такую структуру ОП по административной модели:

+ верхний уровень: ОП, названное SAP, в которое включены сотруд-ники отдела кадров;

• второй уровень: ОП 1C (сотрудники бухгалтерии) и Анализ (со-трудники аналитического отдела);

+ остальные пользователи не входят ни в какие ОП.

К домену в целом применяется офисная политика. Ко всем ОП при-менены соответствующие групповые политики по установке прило-жений. Сколь дикой ни казалась бы такая структура на первый взгляд,она обеспечивает нужную функциональность с минимумом затрачи-ваемых усилий.

ОГП1 - установка офисных приложенийОГЛ2 - установка клиента SAPОГПЗ - установка !С:БухгалтерииОГП4 - установка Visio и Project

5др 1 Сотрудники (Ж

Сотрудники 1Cбухгалтерии

Анализ ) Сотрудникианалитического отдела

Все остальные сотрудники

Иллюстрация примера административной модели ОП

Проектируем AD, или Мелочей не бывает

Тот же пример, но реализованный через организационную модель

Срашшм ее с другими моделями. Если следовать географическоймодели, то в данном случае все пользователи располагаются в одномОП. Это значит, что для применения различных групповых правилпонадобится фильтрация. Для этого будет нужно предварительно со-здать группы, включить в них пользователей из каждого подразделе-ния, а затем для каждой из групповой политик (разве кроме офисной)определить фильтры.

Согласно административной модели последовательность действийтакова. Вы распределяете всех пользователей по ОП. Далее создаетеобъекты групповой политики для установки каждого из приложенийи применяете их к нужным ОП. Пока ОП мало, сложность реализа-ции групповых правил близка к сложности административной моде-ли. С ростом числа ОП придется распределять объекты групповойполитики по все большему числу контейнеров, что затруднит их учети анализ взаимовлияния.

Так кому нужны организационные подразделения?

У каждой из пяти моделей построения ОП свои плюсы и минусы. Такчто ни одна не является догмой. Можете смело комбинировать их исоздавать гибрид, который вас устроит. Но в любом случае что-то однонадо выбрать за основу. Что?

Все зависит от вашего ответа на вопрос: для кого создается структураОП? Если отбросить ответ -ни для кого*, остаются такие варианты:

• для себя (т. е. для администратора);

• для начальства;

• для пользователей.


Ну, начальству структура ОП ни к чему. Увы, убедить его в этом долж-ны вы. Сделать это трудно, но надо.

Предупреждение Выбивая деньги на развертывание Active Direc-tory, ни н коем случае не ссылайтесь на возможность для руководствазнать, кто и где находится. Иначе вам придется следовать организа-ционной модели, даже если вы поймете, что она вам не нужна.

Нужны ли подразделения пользователям?

Пользователь повседневно работает:

4 с документами (поиск, редактирование, сохранение, печать);

+ с почтой (поиск в адресной книге, редактирование/чтение писем);

• со специализированными приложениями;

+ с сетевыми ресурсами (пииск);

• и предоставляет локальные ресурсы в совместное использование(если разрешено).

Начнем по порядку. Прежде чем документ открыть, его надо найти.Он может храниться как на локальном компьютере, так и в сети. Что-бы его найти, пользователь выбирает команду Search в меню Start —она выводит диалоговое окно, которое по умолчанию предлагаетискать файлы па локальном компьютере. Поверьте мне, для большин-ства пользователей это предел возможностей.

Замечание Даже этот сценарий для многих пользователей — непре-одолимое препятствие. Обычно документы хранятся в папке My Docu-ments или в некотором каталоге, подключаемом при регистрациипользователя в сети.

И все же допустим, что познания нашего пользователя столь глубоки,что в списке Look in он выбирает команду Browse. Но даже тогда,чтобы добраться до каталога: ему надо раскрыть My Network Places,Entire Network, Directory и найти имя своего домена! Вот только тутон впервые увидит ОП. Я уж не говорю о том, что далее ему придетсяотыскать в каталоге ресурс и только после этого начать поиск. Итак,считаем данное событие маловероятным.

Процесс редактирования документов не связан с доступом к каталогуи ОП в нем.

Операция сохранения документа практически идентична его откры-ванию. Но если в первом случае поиск в каталоге еще имеет какой-тосмысл, то теперь смысла нет, так как найти нужный ресурс простоневозможно! Таким образом, вероятность события равна 0.

Проектируем АО, или Мелочей не бывает 45

Вывод документа на печать невозможен без доступа к каталогу. Но этознаете вы, технические специалисты, А пользователь об этом не зна-ет, поэтому всегда печатает на том принтере, который к нему подклю-чен. Если б он знал, что можно найти и другой принтер в каталоге ибез проблем к нему подключиться, то он бы выбрал в меню Start ко-манду Search и далее Search for printers. Но даже здесь знание структу-ры ОП ему ни к чему. Пользователь знает такие атрибуты принтера,как его месторасположение, цветной он или нет, может быть, даже имямодели. А вот в каком ОП он находится, ему безразлично.

Работа с почтой интересует нас потому, что здесь пользователь актив-но занимается поиском адресатов. Какое отношение имеет почтоваяадресная книга к Active Directory? Если ваша система построена не наMicrosoft Exchange 2000, то никакого. Но даже если у вас Exchange2000. то и в этом случае структура ОП мало кого интересует. Глав-ное — это почтовый адрес и другие атрибуты пользователя. Все ос-тальные операции с почтовой программой не требуют доступа к ка-талогу (с точки зрения пользователя, конечно).

drertety to s

= C*iktOp* I-J "У Document:

Ц My Cwnputer

3! MyNetwakFlaces

l-j * Entire Network

S №ro5oft Windows Network

S"<£^ DirectayB- l Fyodor

,*'• ^J BuJtn

Ф —J ComputersL*:-- DomainContrtillers

+ ...-..) ForsignSecurityPrincip

it!

•

Расширенное окно поиска ресурсов в каталоге

Работу со специализированными приложениями мы даже рассматри-вать не будем: ведь они, как правило, не требуют обращения пользо-вателя к каталогу.

Поиск сетевых ресурсов мы уже рассмотрели выше, поэтому остаетсяпоследнее: предоставление своих ресурсов в совместное использова-ние. Эта операция относится к разряду тех, что обычно запрещены


групповой политикой. Но так как в ряде организаций она разрешена,обсудим ее подробнее.

Предоставляя свой ресурс в совместный доступ, пользователь обыч-но не ограничивает права доступа к нему. Если же он попытается этосделать, то при определении списка контроля доступа он не увидитструктуры ОП — только структуру доменов,

Вывод: рядовым пользователям структура ОП не нужна, а значит, вы-черкнем их из списка тех, чьи интересы нужно учесть, планируя ОП.

Подразделения нужны администраторам!

Остались администраторы... А нужны ли им ОП? Еще как! Вы же заме-тили, что мы постоянно упоминали те операции администрирования,что без ОП невыполнимы.

Во-первых, это делегирование административных полномочий. Про-ще делегировать полномочия по управлению одним контейнером, чемсписком различных объектов.

Во-вторых, это групповые правила, благодаря наследованию которых,в иерархии ОП можно строить гибкие управляемые системы.

В-третьих, это средство группирования ресурсов. Администраторамудобнее видеть рабочие стан! 1ии отдельно от принтеров и пользовате-лей. Это позволит эффективнее применять к ним групповые правила.

Так что, проектируя иерархию ОП, думайте только об администриро-вании системы. Старайтесь сделать ее такой, чтобы управление нетребовало привлечения дополнительного ИТ-персонала для выполне-ния рутинных работ.

Делегирование административных полномочий

Стратегия делегирования полномочий может быть произвольной.И все же существует набор правил, позволяющих реализовать успеш-ную стратегию делегирования. Они основаны на предположении, чтоОП делятся на две категории: учетные и ресурсные. Это предположе-ние не конфликтует с рассмотренными моделями ОП, так как. в лю-бой из них могут иметься и те и другие.

В учетных ОП хранятся учетные записи пользователей, служб, ком-пьютеров и групп, в ресурсных — принтеры, совместно используемыересурсы и приложения. В этом плане они чем-то напоминают учет-ные и ресурсные домены Windows NT. Но только в отличие от доме-нов вы можете жестко разграничить полномочия администраторов.

С целью делегирования полномочий записи в учетных ОП размеща-ются по разным вложенным ОП: Пользователи, Учетные записи служб.Компьютеры, Группы. Можно добавить и другие ОП и поместить в них.например, пользователей, имеющих отличные от остальных права. Длякаждого вложенного, а также для самого учетного ОП создается ло-


кальная группа домена. Эти группы содержат пользователей, которымделегируется право управления соответствующими пложёнными СП.Имена этих групп удобно составлять из <имени ОП>_<выполняемойфункцииХ Тогда делегирование в учетном ОП сведется к назначениютаких полномочий:

ОП

Родительскоеучетное ОПДочерние ОП:UsersService AccountsComputers

GroupsLimited Admins

Имя группы

<имя On>_ou_admins

<имя ОП> ou user admins<имя ОП> ou user admins<имя on>_ou_computer_admins<имя on>_ou_group_admins<имя On>_ou_local_admins

Тип доступа

Full Control

Full ControlFull ControlFull Control

Full ControlFull Control

Тип объекта

Все объекты

UserUserComputer

GroupUser

Для ресурсных ОП в общем случае достаточно одной группы, кото-рая владеет ОП и имеет полный доступ к объектам,

Разбиваем на сайтыСайты Active Directory — это сегменты сети с высокой пропускнойспособностью. По крайней мере так гласят все определения сайтов.А для чего они? Вот основные причины, по которым Active Directoryнужно разбивать на сайты.

• Управление трафиком репликации При тиражировании измене-ний в Active Directory сайты позволяют указывать, как и когда пой-дет поток репликации.

+ Минимизация трафика регистрации клиентских станций Прирегистрации клиентский компьютер обращается к контроллерудомена, расположенному в том же сайте (или н ближайшем, еслилокального контроллера домена нет).

ф Управление трафиком репликации FRS Так как FRS использует длярепликации ту же топологию, что и репликация Active Directory,то сайты положительно илияют на трафик.

+ Управление топологией DFS Если ресурс DFS имеет несколькореплик, то обращающийся к нему клиент будет направлен к бли-жайшей к нему реплике.

+ Поддержка специализированных приложений Эти приложения,связанные с Active Directory, адресуют клиентов к своим ресурсам,расположенным в ближайшем сайте.

Главное значение разбиение на сайты имеет для репликации, поэто-му в основном об этом мы и будем думать, рассуждая о топологиисайтов. О репликации Active Directory см. одноименную главу.

3-2005


На репликацию огромное влияние оказывают:

• пропускная способность каналов;

• трафик репликации;

• расположение контроллеров доменов.

Поэтому дизайн сайтов надо начинать с тщательного документиро-вания и анализа топологии сети. Помимо фиксирования пропускнойспособности каналов и их числа, надо записать количество пользо-вателей на каждой площадке и бизнес-проблемы, решаемые ими. Приэтом следует помнить о плюсах и минусах разбиения на сайты:

Преимущества и недостатки разбиения на сайты

Преимущества Недостатки

Управление графиком репликации: Синхронизация измененийобъем и расписание между контроллерами доменов

в разных сайтах выполняетсяспустя длительное время.

Возможность использовать Может потребоваться дополни-нснадсжные каналы тельное оборудование, что

удорожает решениеСнижение трафика регистрации11оддержка, специализированныхприложений

Так какой же все-таки критерий?

Итак, первый критерий разбиения на сайты — пропускная способ-ность каналов связи. А что считать высокой пропускной способнос-тью и что низкой? Часто как водораздел используют значение 10 Мб/с.Всегда ли это так?

Предстаним сегмент сети, связанный с основной ее частью каналом спропускной способностью 128 Кб/с. В сегменте 10 пользователей,большей частью работающих с локальными ресурсами. Канал прак-тически свободен. Добавим к этому стабильность коллектива, т. е. ско-рость изменений в Active Directory низка. Понятно, что пропускнаяспособность этого канала более чем достаточна, чтобы не выделятьэтот сегмент в отдельный сайт.

Теперь возьмем сегмент сети в соседней организации, Он подключенк основной территории каналом 1,5 Мб/с. На этой территории 50работников активно используют телефон, весь трафик которого на-правляется по единственному каналу и занимает 50% от его пропуск-ной способности. Кроме того, пользователи работают с электроннойпочтой, построенной на Microsoft Exchange 5-5. Этот трафик съедаетеще 25% пропускной способности канала. Планируется и миграция наExchange 2000. Общий размер организации невелик: 800 пользовате-


лей. но в компании текучка кадров. В такой ситуации однозначно надоговорить о создании отдельного сайта, так как трафик репликации вдомене будет большим.

Итак, анализируя пропускную способность каналов, в первую очередьвыделяют каналы с пропускной способностью менее 10 Мб/с. Далеерассматривают площадки, подключенные по этим каналам и анали-зируют потенциальный рост трафика в канале после внедрения ActiveDirectory. Следующий шаг — анализ текущей загрузки канала и вычис-ление его эффективной пропускной способности. Если прогнозиру-емый трафик в пиковые моменты существенно ниже эффективнойпропускной способности, то нет нужды создавать отдельный сайт.Если же он сравним или выше, то сайт необходим.

Замечание Анализируя эффективную пропускную способностьканала, нельзя полностью полагаться на цифры, содержащиеся в до-говоре с провайдером линии. Провайдеры обычно делят один каналмежду несколькими клиентами, что может приводить к снижениюэффективной пропускной способности. Поэтому лучше измеритьреальную пропускную способность в разное время суток.

Второй критерий разбиения на сайты — надежность канала, под ко-торой в первую очередь понимают его постоянную доступность. Еслиесть вероятность разрыва канала (даже непродолжительного), следу-ет говорить об отдельном сайте.

Еще один критерий — возможность управления межсайтовым трафи-ком. Во-первых, можно составить расписание репликации. Если с 9.00до 18.00 канал загружен на 90%, а в остальное время он практическисвободен, можно сконфигурировать расписание так, что информациябудет тиражироваться только в нерабочие часы. Во-вторых, можнозадействовать компрессию трафика, которая включается автоматичес-ки при превышении объема тиражирования равного 50 кб. В-треть-их, для ненадежных каналов можно организовывать асинхроннуюрепликацию по протоколу SMTP.

Алгоритм разбиения на сайты выглядит так (см. след. стр.).

Сколько может быть сайтов?

Сколько может быть сайтов? Чтобы ответить на этот вопрос, подума-ем, на что влияет их число. Начнем с репликации. Да, само по себеналичие сайтов влияет на трафик репликации, которая выполняетсяв соответствии с топологией. Топология базируется на межсайтовыхсоединениях. А межсайтовые соединения... создаются автоматическислужбой КСС (Knowledge Consistency Checker), точнее, той ее частью,что называется Генератором межсайтовой топологии (ISTG). Для меж-


сайтовой репликации служба КСС периодически проверяет доступ-ность контроллеров домена, выполняющих роль серверов-форпостови. если они недоступны, назначает новые серверы, т. е. перестраиваеттопологию репликации. Эта работа в совокупности с аналогичнойдеятельностью внутри сайта весьма ресурсоемка и при большом чис-ле сайтов и доменов полностью поглощает все процессорное времякомпьютера, выполняющего роль КСС и ISTG.

Совет Чтобы понять, насколько КСС загружен, можно изменить в ре-естре значение параметра KnowledgeConsistencyChecker н ветви HKLM\System\CurrentControlSet\Ser\'ices\NTDS\DiagnosCics. Если установить егобольшим или равным 3, в журнал регистрации попадут события 1009и 1013, сигнализирующие о начале и конце проверки топологии.

Есть формула, описывающая максимальное число сайтов и доменовпри использовании автоматической генерации топологии:

(1+D)*S"2 <= 100000

где D — число доменов, a S — число сайтов.

Так, если у вас всего один домен, максимальное число сайтов 223, еслиже два домена, число сайтов не может быть больше 182. И это все? Акак быть с организацией, в которой 50 доменов в 50 сайтах? Это ведьдалеко не запредельные значения!

Замечание В Windows 2003 алгоритм работы КСС изменен такимобразом, что удалось существенно улучшить нагрузочную способностьэтого элемента. В приведенной выше формуле зависимость от числасайтов стала линейной. На момент подготовки этого издания авторубыло известно о нормальном функционировании Active Directory с1700 сайтами.

Вот результаты измерения времени работы КСС в разных системах содним центральным сайтом и несколькими периферийными, выпол-ненные на компьютере с Intel Pentium III Xeon-500 и 1 Гб ОЗУ.

Расположение

ФилиалЦентрФилиалЦентрФилиалЦентрФилиал

Число сайтов

1251252502505005001 000

Число доменов

11111ii

Время (ч:м:с)

0:00:12

0:00:21

0:00:41

0:01:05

0:02:56

0:04:34

0:15:23

Используемаяпамять (Кб)

11 74812 25645 66044 Н20173 216174 752685 596см, след. стр.

Проектируем ДР. или Мелочей не бывает 51

Расположение

ЦентрФилиалЦентрФилиалЦентрФилиалЦентрФилиалФилиалЦентрФилиалЦентрФилиалЦентр

Число сайтов

1 0001 0001 000125125250250500500500125125250250

Число доменов

1111010101010101050505050

Время (ч:м:с)

0:17:34

0:15:54

0:17:51

0:00:59

0:01:19

0:04:00

0:04:47

0:21:32

0:19:41

0:21:18

0:0449

0:05:54

0:20:19

0:22:49

Используемаяпамять (Кб)

688 568685 604689 66858 52058 536228 304227 508815916823 808828 484266 088264 02483 1 924841 536

Как видите, нагрузка велика. Есть несколько вариантов решения про-блемы. Не предлагаю изменить число доменов. Очевидно, если выприняли решение создать столько доменов, то так тому и быть. Нижея дам ряд рекомендаций, но одна из них такова: отключите ISTG исгенерируйте топологию межсайтовой репликации вручную. При этомнадо иметь в виду, что за топологией придется постоянно следить ипорой перестраивать. Увы. это та цена, которую приходится платитьв крупной сети. О том, как упростить себе жизнь, я расскажу в разде-ле «Надежная связь между сайтами*.

Сколько нужно контроллеров и где их размещать

Очень часто спрашивают, сколько нужно контроллеров домена и гдеих размещать. То, что в домене должно быть не менее двух контрол-леров, вы уже знаете. А если домен разделен на несколько сайтов?Вообще вариантов ответа — три:

• для сайтов с количеством пользователей до 10;

• для сайтов с численностью от 10 до 50 пользователей;

• для сайтов с числом пользователей от 50.

Менее 10 пользователей

Если в сайте менее 10 пользователей и они не работают с MicrosoftExchange 2000, контроллеры домена в сайте можно не устанавливать:


Преимущества и недостаткиотсутствия контроллеров в сайте


Отсутствует трафик Весь трафик регистрации направляетсярепликации в капал связиНе требуется дополни- Весь трафик ШАР-запросов к ГК направлнет-тельное оборудование ся по каналу связи

При недоступности канала связи нельзя полу-чить доступ к ресурсам, в том числе к локаль-ным. Нужны альтернативные решенияПри недоступности канала связи и работедомена в естественном режиме невозможнарегистрация в сети. Нужны альтернативныерешения

Как видите, минусов больше, чем плюсов, но это не значит, что эторешение неприемлемо. Если канал связи достаточно надежен и несильно загружен, то нет большой беды, что трафик запросов к ГК итрафик регистрации направляются по нему. А если канал недоступен?

Как видно из таблицы, это чревато в первую очередь невозможнос-тью обращаться к локальным ресурсам, например, файловым илипринтерным, Но этот недостаток можно преодолеть.

На файловом сервере создадим локальные группы, включив их в спис-ки контроля доступа к ресурсам наравне с локальными группами до-мена. На сервере же создадим локальные учетные записи для всехпользователей в сайте. Этих пользователей также включим в локаль-ные группы сервера. Пока канал открыт, пользователи осуществляютдоступ по своим доменным учетным записям. Если канал недоступен,применяются локальные учетные записи сервера. Очевидный недоста-ток этого решения — сложность администрирования: ведь приходит-ся поддерживать второй комплект учетных записей пользователей.

Еще один способ — задействовать терминальный сервер. Пользова-тели осуществляют доступ к ресурсам не напрямую, а открывая тер-минальный сеанс. Для этого им нужно зарегистрироваться на терми-нальном сервере. Пока канал существует, они регистрируются соглас-но своим полномочиям в домене. Если канал недоступен, они всеравно могут зарегистрироваться на терминальном сервере, применяякэшированные полномочия. Такое решение предпочтительно приработе с локальными приложениями и требует гораздо меньших уси-лий по администрированию.

Замечание Если канал недоступен, пользователь может не зареги-стрироваться, не имея доступа к контроллеру домена. Если он регис-трировался ранее, то с помощью каптированной на рабочей станции

Проектируем АР, или Мелочей^е бывает 53

информации войдет в сеть. Если же он регистрируется на конкрет-ном компьютере впервые, то его постигнет неудача.

От 10 до 50 пользователей

Число контроллеров домена на сайтах в этом случае зависит от опе-раций, выполняемых в сайте. Для каждого домена нужен минимумодин контроллер! Если сайт принадлежит нескольким доменам, в немдолжны быть контроллеры для каждого, и вот почему.

Вспомните (см. главу «Репликация Active Directory»), какие контекстыимен тиражируются при репликации:

+ контекст конфигурации, включающий информацию о структуреи конфигурации леса;

• контекст схемы, содержащий базовую информацию об объектахActive Directory и их атрибутах;

• доменный контекст имен, содержащий информацию как об объек-тах домена (пользователи, компьютеры и пр.), так и объекты груп-повой политики,

Контроллер в домене знает о доменном контексте имен только свое-го домена, но не чужих. Если сайт принадлежит нескольким доменам,то при регистрации пользователь должен обратиться к контроллерутого домена, в котором регистрируется. Если нужного контроллера всайте нет. трафик регистрации будет направлен по каналу связи.

Приложения типа Microsoft Exchange 2000 потребуют установки ГКна одном из контроллеров, так как понадобится обслуживать большоечисло LDAP-запросов поиска объектов из всего леса. В противномслучае эти запросы пойдут по каналу связи к серверу ГК в другом сайте.

Сервер ГК нужен в сайте, когда домен работает в естественном режи-ме. Дело в том, что при регистрации пользователя к ГК отправляетсязапрос о его членстве в универсальных группах. Если ГК недоступен,становится неясно, какие права доступа имеет пользователь, а раз так,то ему отказывают в регистрации.

Замечание Эту функциональность можно отключить на рабочейстанции: в реестре измените значение параметра HKLM\System\Cur-rentControlSet\Control\LSA\IgnoreGC Failures. Это позволит пользова-телю зарегистрироваться в сети, но права доступа к некоторым ре-сурсам будут неверными, так как членство в универсальной группепроверено не будет. В Windows 2003 от ГК в небольших сайтах мож-но избавиться без этого недостатка. Для этого достаточно на контрол-лере домена в сайте включить функцию кэширования глобальных иуниверсальных групп.


Наличие ГК в сайте сразу увеличивает трафик репликации по каналу.Чем больше доменов в лесу, тем выше трафик репликации ГК.

Преимущества и недостатки размещения контроллеров домена в сайтетаковы.

Преимущества и недостатки размещенияконтроллеров в небольшом сайте


В случае недоступности канала связи Канал занимается трафиком релли-пользователи могут регистрироваться кации. Если канал загружен в обыч-в сети и осуществлять доступ ные часы, нужно планироватьк ресурсам время репликацииОдни и те же серверы могут выпол- Требуется размещать сервер ГК длянять несколько функций: DNS, DHCP, некоторых приложений, что увели-WINS, ГК, файловый сервер и т. и. чивает трафик репликацииМожно разворачивать приложения. Требуется дополнительное обору-активно работающие с ГК дование (от 1 контроллера на домен)

От 50 пользователей

В крупных сайтах одного контроллера на домен может оказатьсянедостаточно. Допустим, сайт обслуживает 200 пользователей, и выпоставили только один контроллер домена.

Риск такого решения очевиден: в случае недоступности этого контрол-лера локально весь трафик регистрации в сети будет направлен поканалу. В пиковые моменты времени это может оказаться весьма кри-тично, и регистрация растянется на продолжительное время.

Далее. Не очень мощный компьютер в пиковые моменты просто несправится с потоком запросов на аутентификацию, что опять же се-рьезно затормозит аутентификацию.

Следующая проблема не столь очевидна. Связана она с тем, что един-ственный контроллер домена тянет на себе слишком много: занима-ясь аутентификацией, он еще играет роль сервера-форпоста, черезкоторый направляется трафик репликации. При высокой скоростиизменений в Active Director)' велик будет и объем тиражируемой ин-формации. Если же топология репликации такова, что наш сайт явля-ется сайтом верхнего уровня для нескольких мелких сайтов, то загру-жен он будет постоянно. Добавьте к этому возможность исполненияим таких функций, как сервер ГК, сервер DNS, WINS, DHCP, и вы пой-мете, что это далеко не лучшее решение. Мало того, что такой компь-ютер будет весьма дорогим, он при этом останется единичной точ-кой сбоев, не имеющей резервных вариантов.

Наличие нескольких контроллеров домена в крупном сайте предос-тавляет поле для маневров. Два из них можно назначить выделенны-ми серверами форпостов: один — сервером WINS, DHCP и DNS, дру-


гой — сервером ГК. Как поступить, вы решаете в каждом конкретномслучае, исходя из нагрузки в сайте.

Надежная связь между сайтамиТеперь обсудим создание межсайтовых связей и мостов, а также рас-положение серверов-форпостов (подробнее о них см. главу «Репли-кация Active Directory*).

Поскольку топологию репликации можно создавать автоматически ивручную, мы уделим особое внимание ручному проектированию то-пологии, которое обеспечивает надежность такую же, если не выше,чем при автоматической генерации. А начнем мы с топологии сети.

Топология сетей

Топология межсайтовых связей зависит от топологии сети. В общемслучае можно выделить три разновидности топологии сети:

• КОЛЬЦО;

• звезда (иногда называют «'Колесом со спицами»);

• сложная.

Кольцевая топология означает, что все сайты связаны между собой поочереди: первый со вторым, второй с третьим ... последний с первым.Достоинство «кольца» — равномерная загрузка всех сайтов, недоста-ток — длинный путь передачи информации между ними.

В «звезде» один центральный сайт связан со всеми остальными. Прибольшом числе сайтов «звезда» очень напоминает ось колеса с отхо-дящими от нее спицами. Ее достоинство — фиксированная скоростьпередачи информации меясду сайтами, недостаток — перегруженностьцентрального сайта. В дальнейшем центральный сайт будем называтьцентром, а подключенные к нему — филиалами.


Сложная (комбинированная) топология встречается чаще описанныхвыше и представляет собой их комбинацию, минимизирующую не-достатки «кольца» и «звезды».

Межсайтовые связи

Для выполнения репликации между сайтами служат специальныеобъекты Active Directory — межсайтовые связи. Каждый такой объектхарактеризуется:

• стоимостью;

ф расписанием;

+ интервалом;

• протоколом репликации.

Одна межсайтовая связь может использоваться между двумя и болеесайтами. Поясню последнее. Например, на предыдущем рисунке меж-ду тремя центрами существуют каналы связи. Можно создать межсай-товую связь, соответствующую каждому из каналов, а можно — однумежсайтовую связь, которая будет обслуживать все три этих сайта.Если мы считаем, что все три центральных сайта расположены намагистральной сети, то нет смысла создавать несколько межсаитовыхсвязей, так как у них будут идентичные характеристики.

Проектируем АР, или^Лелочей^ не бывает 57

Стоимость межсайтовой связи — это числовое значение, показываю-щее, насколько данная связь дороже альтернативной. Стоимость восновном зависит от пропускной способности канала. Следующаяформула позволяет автоматически назначать стоимость и не допус-кать ошибок при проектировании:

1024Стоимость -

1_од(Эффективная пропускная способность (Кб/с)

Вот значения стоимостей для типовых величин эффективной пропус-кной способности:

Зависимость стоимости от пропускной способности канала

Эффективная пропускная способность (Кб/с) Стоимость

9,6 1 04219,2 79838,8 64456 58664 567128 486256 425512 3781024 3402048 3094096 283

Замечание Ни формула, ни таблица не являются догмой. Вы може-те использовать произвольные значения.

Данная методика расчета стоимости межсайтовой связи не учитыва-ет надежности канала. Проектируя межсайтовые связи, можно наме-ренно завысить стоимость для ненадежного канала.

Межсайтовые связи по умолчанию считаются транзитивными. Этозначит, что если межсайтовые связи установлены между сайтами А иВ и сайтами В и С, то существует межсайтовая связь между А и С. Тран-зитивность работает только в полностью маршрутизируемых сетях.Если же отдельные сегменты сети не являются полностью маршру-тизируемыми, в них нужно создавать межсайтовые мосты — специ-альные объекты Active Directory. Необходимость в межсайтовом мос-те возникает, когда в сегменте находится контроллер того домена,контроллеров которого нет в сегментах, непосредственно связанныхс рассматриваемым. Вот пример немаршрутизируемой сети:


Межсайтс вый мост

Контроллердомена А

Контроллердомена А

Пример немаршрутизируемой сети и межсайтового моста

В этой сети Сайт 2 не маршрутизирует трафик IP. Для Сайта 3 нужносоздать межсайтовый мост к сайту 1, так как только в нем находитсяконтроллер того же домена, что и в сайте 3- А вот для сайта 4 такоймост не нужен, так как контроллер его домена находится в пределахпрямой досягаемости.

Теперь поговорим о расписании репликации. Расписание позволяетоткрывать «окна* для выполнения межсайтовой репликации. По умол-чанию такое окно открыто 24 часа в сутки 7 дней в неделю. Если ка-налы позволяют, его можно оставить таким. Если же канал загружен врабочее время, то на этот период окно можно закрывать. Если приэтом есть незагруженный альтернативный канал, но с более высокойстоимостью межсайтовой связи, то у него можно открыть окно на тоже самое время,

Замечание Если репликация началась незадолго до закрытия окна,то она завершится тиражированием всех изменений, которые долж-ны быть переданы в сайт или из него. Окно при этом не сможет бытьзакрыто.

Очень тесно с расписанием связано понятие интервала репликации,т. е. времени, по истечении которого контроллеры доменов в разныхсайтах обмениваются данными. По умолчанию он длится 1$ минут,что вполне приемлемо и сравнимо с максимальным временем репли-кации внутри сайта.


Теперь представьте, что сайт связан с большим числом филиалов, аобъем тиражируемых данных велик. В этом случае репликация, нача-тая в рамках одного интервала, может не закончиться до наступленияследующего. Тем самым создаются предпосылки для роста очередирепликации. Поэтому интервал надо задавать таким, чтобы реплика-ция успевала завершиться до наступления следующего интервала илидо закрытия окна. Последнее связано с тем, что закрытие окна можетозначать загрузку канала другим трафиком, который значительнозамедлит тиражирование данных.

О планировании расписания и интервалов в больших системах я рас-скажу далее в этой главе.

Последний параметр межсайтовой связи — протокол репликации,Протоколы мы обсудим в главе «Репликация Active Directors'* — здесьлишь отмечу, что протокол SMTP используется в основном на ненадеж-ных линиях и для него нельзя определить расписание тиражирования.

Объекты связи

Для каждой межсайтовой связи создаются объекты связи — они отве-чают за передачу сведений о репликации от одного контроллера до-мена к другому. Объект связи характеризуется:

• направлением;

• именем;

• расписанием.

Определить пространства имен, которые будут тиражироваться темили иным объектом связи, нельзя. Направление тиражирования встреч-ное: для данного контроллера домена указывается, с какого контрол-лера созданный объект связи будет тиражировать данные.

Если в сети менее 100 сайтов, настоятельно рекомендую использоватьISTG для создания объектов связи. При большем числе сайтов лучшеприменять сценарии создания объектов связи. Но и в этом случаесценарий должен позволять запустить ISTG на ограниченный периодвремени только для того, чтобы создать объекты межсайтовой связи.Создание межсайтовых объектов связи мы обсудим в разделе «Отка-зоустойчивые схемы*.

Объекты связи могут иметь три вида имен. У созданных ISTG имя бу-дет безликим — <automatically generatedx Если вы измените свойстваэтого объекта, то его имя также изменится и станет, с точки зренияадминистратора, менее осмысленным. Оно превратится в GUID. На-конец, если объект связи создан вами, вам его и называть.

Серверы-форпосты

Серверы форпосты — это контроллеры домена в сайте, через кото-рые осуществляется связь с другими сайтами. Серверы форпостов


бывают выделенными и назначаемыми автоматически. Обычно целе-сообразно переложить процесс выбора сервера-форпоста на плечиКСС. и вот почему. Допустим, для связи сайта А с сайтом В КСС назна-чил контроллер домена А в сайте А. В процессе работы контроллерстал недоступен, т. е. связь через него более невозможна. Тогда КССвыбирает иной контроллер домена в качестве сервера-форпоста исоздает для него объекты связи. Таким образом, обеспечивается авто-матическая отказоустойчивость системы.

Отсюда первый вывод: по возможности используйте автоматическоеназначение серверов-форпостов.

Предположим, что такое поведение КСС вас не устраивает, так какконтроллеры в домене различаются по мощности, а значит, в каче-стве форпоста может быть назначена слабая машина. Тогда можно на-значить мощный контроллер домена сервером-форпостом принуди-тельно. Такой сервер называется выделенным форпостом. А если онвыйдет из строя? КСС знает, что вы вмешались в его деятельность иназначили выделенный сервер-форпост. Обнаружив, что он вышел изстроя, КСС посмотрит, нет ли другого выделенного форпоста. Есть —КСС задействует его для репликации с удаленными сайтами, нет — КССостановит попытки связи с другими сайтами до тех пор, пока един-ственный форпост не станет доступен.

Отсюда второй вывод: если назначается выделенный сервер-фор-пост и КСС работает в сайте, создайте хотя бы еще один выделен-ный форпост.

Если необходимо реплицировать несколько доменных контекстов, токоличество серверов-форпостов должно быть равно количеству кон-текстов. Причем каждый из форпостов должен быть контроллеромсоответствующего домена.

Преимущества и недостатки разных видов форпостов таковы;

Преимущества и недостатки форпостов разных типов

Тип форпоста Преимущества Недостатки

Автомата- 1. Отказоустойчивостьческий обеспечивается КСС

2. Не нужно проектироватьрасположение форпостов

Выделенный 1. Можно назначить сервер,подходящий для ролифорпоста наилучшимобразом

2. Можно распределитьнагрузку между несколь-кими серверами

1. Может возникать перегрузкасерверов-форпостов

2. Серверы назначаются безучета типа и качества ихсвязи с сетью

1. Нужно проектироватьрасположение форпостов

2. Отказоустойчивость обеспе-чивается комплексом допол-нительных мер

Проектируем_АР. или Мелочей не бывает 61

Теперь посмотрим, сколько форпостов требуется в сайте. Пусть сайтявляется центральным, и к нему подключено несколько филиалов.Форпост обслуживает тиражирование:

• из центра в филиалы;

+ из филиалов в центры-,

• SYSVOL — из центра в филиалы (предполагаем, что в филиалах непроисходит изменений в сценариях или расширениях групповойполитики),

При тиражировании из центра в филиалы каждый сайт филиала об-ращается к центральному сайту, как только открывается окно репли-кации. Обращение выполняется от контроллера домена в филиале кфорпосту в центре. Обработка таких обращений на форпосте идетпараллельно и ограничена только объемом тиражируемых данных ивычислительной мощностью форпоста в центре. Максимальное чис-ло партнеров по репликации для одного сервера-форпоста при ти-ражировании в филиалы рассчитывается по формуле:

Н*0= Число партнеров по репликации на один цикл

к*т

где;

Н — суммарное время в часах, когда может выполняться репликацияв течение дня-,

0 — число одновременных подключений репликации за час (реали-стичное значение равно 30);

К — число циклов репликации в день;

Т — время выполнения репликации.

Замечание Указанное число одновременных подключений реали-стично для сервера с 4 процессорами Хеоп-500 и хорошей дисковойподсистемой. Примеры конфигурации см. в главе «Установка ActiveDirectory».

Допустим, репликация возможна в течение 14 часов в день (Н), числоодновременных подключений максимально — 30 (О), репликациявыполняется в 2 цикла (К), а время выполнения одной репликации —1 час (Т). Получим, что для рассматриваемого сервера форпоста до-пустимо иметь 210 партнеров по исходящей репликации.

Замечание Один контроллер домена может иметь не более 800партнеров по репликации. Даже если расчетное значение выше, нельзяподключить более 800 партнеров в силу ограничений Active Directory,Думаю, этого ограничения вам не превысить.


Тиражирование из филиалов в центр не может выполняться парал-лельно. Сервер-форпост по очереди выполняет репликацию с каждымиз своих партнеров. Как я уже говорил, если окно репликации закро-ется раньше, чем сервер закончит репликацию со всеми партнерами,репликация все равно будет продолжаться до конца списка партне-ров и тем самым захватит следующее окно или вклинится в инойтрафик. Поэтому число партнеров по тиражированию из филиаловрассчитывается по другой формуле:

R= Число партнеров по репликации на один цикл

N

где:R — продолжительность работы окна репликации в минутах;

N — длительность тиражирования изменений с одного контроллерадомена в минутах.

Оба параметра зависят от нескольких факторов. Пусть в нашем при-мере окно репликации открыто 60 минут, а для выполнения тиражи-рования изменений из каждого филиала нужно 2 минуты. Тогда одинфорпост не может иметь более 30 партнеров по репликации, Учтитетакже, что его партнерами по репликации являются контроллеры до-мена внутри сайта, поэтому количество сайтов, обслуживаемых однимфорпостом, должно быть меньше на эту величину. Если предположить,что следующее за рассмотренным окно репликации откроется длядругой группы сайтов, то число возможных партнеров по репликацииудвоится. В нашем примере репликация доступна 14 часов в сутки в дваинтервала. Значит, в течение каждого интервала можно использовать7 одночасовых окон. Если каждое из окон обслуживает разные группыфилиалов, то наш сервер-форпост способен иметь до 210 партнеровпо репликации. Предполагая, что внутри сайта у этого сервера есть двапартнера, получим максимальное число внешних партнеров — 196.

Чтобы подсчитать число серверов-форпостов, надо разделить общеечисло филиалов на меньшее из двух рассчитанных выше значенийчисла партнеров для каждого форпоста.

= Мин. количество форпостовЧисло партнеров по репликации на один цикл

Если в нашем примере к центру подключено 390 филиалов, то мини-мальное число форпостов — 2.

Если расчеты покажут, что число партнеров по входящей репликациив разы отличается от числа партнеров для исходящей, подумайте, какизменить расписание репликации, чтобы выровнять эти значения.


Близкие значения партнеров по репликации позволяют сократитьчисло серверов-форпостов.

Совет Минимхаьное значение, вычисленное по этой формуле, нельзяназвать рекомендуемым. В случае задержек репликации или выходаиз строя одного из форпостов вы рискуете не запершить репликацию.Поэтому надо использовать большее число форпостов.

Отказоустойчивые схемыВ больших и очень больших системах возникает необходимость в от-ключении генератора топологии межсайтовой репликации (ISTG). Приэтом вы берете на себя ответственность за надежную работу системы.Один из способов — создать два объекта связи для каждого из филиа-лов. Каждый из объектов связывает контроллер домена в филиале сразными форпостами в центре. Для большей отказоустойчивости вфилиале должно быть также два форпоста. Если какой-нибудь сервервыйдет из строя, репликация будет выполнена с «оставшегося в живых».

Внимание Если используются два разных сервера в филиале, а в ка-честве протокола репликации — SMTP, возникает вероятность двойно-го тиражирования одних и тех же изменений. Во избежание этого сде-лайте так. чтобы репликация с контроллерами в филиале проходила вразное время, скажем, с первым по четным часам, со вторым — по не-четным.

Контроллер Контроллердомена домена

Филиал

Варианты отказоустойчивого подключения филиалов


Если канал связи с филиалом ненадежен, желательно иметь резерв-ный канал. Для него создается межсайтовая связь более высокой сто-имости. При недоступности основного канала репликация будет пе-ренаправлена в запасной. В качестве запасного канала может высту-пать коммутируемая линия или виртуальный канал через Интернет.

Создание резервных каналов:1 — основной канал, 2 — коммутируемый канал,3 — виртуальный туннель

Пример отказоустойчивого и сбалансированногоподключения филиалов


Отказоустойчивость полезно интегрировать с балансировкой нагруз-ки. Допустим, центральный сайт связан с большим количеством фили-алов. Помимо создания объекта связи для каждого из филиалов с дву-мя разными форпостами в центре, имеет смысл сделать «рваное» рас-писание репликации. Пусть контроллер домена в первом филиале свя-зан с первым и вторым форпостами в центре, контроллер во второмфилиале — со вторым и третьим форпостами, контроллер в третьемфилиале — с третьим и первым и т. д. Расписание репликации состав-ляется так, чтобы репликация с четными форпостами в центре выпол-нялась по четным часам, а с нечетными — по нечетным. Это позволитразгрузить форпосты и создать временной запас на тот случай, еслирепликация не завершится в отведенное время.

Мастера операций и Глобальный каталог.Оптимальное размещениеДля мелких предприятий, расположенных в одном сайте, практичес-ки не важно, где именно находятся мастера операций — они и так в«•прямой видимости» остальных контроллеров домена. Для крупныхже, распределенных организаций доступность мастеров операцийможет оказаться критичной.

Мастер схемы

Как вы знаете, это единственный во всем лесу мастер операций, от-ветственный за внесение изменений в схему. Изменять схему можетадминистратор с правами группы Schema Admins. Так как эта группарасполагается только в корневом домене леса, то целесообразно имастер схемы держать там же. Если используется пустой корневойдомен, именно он — идеальное место для мастера схемы.

Компьютер, на котором находится мастер схемы, не несет особойнагрузки, поскольку схема модифицируется крайне редко. Так, уста-навливая Microsoft Exchange 2000, можно запустить мастер подготов-ки, который добавит в схему нужные классы объектов и атрибуты. Егоможно запустить как на самом мастере схемы, так и на любом иномконтроллере. В последнем случае надо разрешить выполнять модифи-кацию схемы на этом контроллере. Изменения в схеме будут репли-цированы на остальные контроллеры, и ваша задача — сделать так.чтобы эта репликация не забила собой каналы связи. Если у вас мед-ленные каналы и вы планируете развернуть Exchange 2000 или иноеприложение, модифицирующее схему, то подготовьте Active Directoryдо того, как в филиалах будут развернуты контроллеры домена.

Мастер схемы по умолчанию размещается на самом первом контрол-лере домена в лесу. В силу его небольшой загруженности он можеттам и оставаться.


Мастер доменных имен

Он один на весь лес и отвечает за добавление в лес новых доменов,кроме существующих доменов из леса, и за добавление/удалениеобъектов перекрестных ссылок на внешние каталоги. Эти операцииможет выполнять только администратор с правами Enterprise Admins.Так как эта группа находится только в корневом домене леса, то це-лесообразно и мастер доменных имен держать там же. Если исполь-зуется пустой корневой домен, то именно он — идеальное место длямастера доменных имен.

Мастер доменных имен отвечает за уникальность имен доменов в лесу.Когда добавляется новый домен, мастер обращается к серверу ГК в.поисках такого имени. Именно поэтому он должен располагаться наодном сервере с сервером ГК. Но почему он не может обратиться ксерверу ГК на другом компьютере? Теоретически может, но... Пред-ставьте, что в момент добавления нового домена сервер ГК недосту-пен. При этом появляется вероятность добавления домена с уже су-ществующем в лесу именем, что неминуемо приведет к конфликтам.Поэтому ГК и должен быть на том же самом компьютере.

Компьютер, на котором располагается мастер доменных имен, не не-сет практически никакой нагрузки, так как домены в лес добавляютнечасто. Это позволяет разместить его на одном компьютере с масте-ром схемы. По умолчанию это первый контроллер доменов в лесу.Мастер доменных имен должен быть доступен из любой точки сети.

Имитатор РОС

Имитатор PDC прежде всего нужен для клиентов старого типа (ранееWindows 2000), так как с их точки зрения он играет роль главногоконтроллера домена. Кроме того, он является основным обозревате-лем домена (master browser) для приложений, ориентированных наNetBIOS. Если они используют функцию NetGetDCName, то она об-служивается только имитатором PDC. Если домен работает в смешан-ном режиме и в нем есть контроллеры домена Windows NT, то ими-татор PDC для них — главный контроллер, с которого они получаютреплики базы SAM,

Но даже если не используются старые клиенты и нет контроллеровдомена Windows NT, роль имитатора РОС нее равно важна. Он отве-чает за срочное тиражирование изменений в Active Directory, такихкак смена паролей или блокировка учетных записей. Он также отве-чает за аутентификацию пользователей, сменивших пароль (см. гла-ву «Репликация Active Directory*).


Планируя расположение имитатора РОС, учтите:

+ для каждого домена должен быть свой имитатор PDC;

+ имитатор PDC должен быть всегда доступен для других контрол-леров в домене;

• в больших доменах имитатор PDC несет повышенную нагрузку, иего целесообразно размещать на отдельном сервере.

Мастер RID

О RID можно прочитать практически везде, например, в [1], [3], [б], такчто описывать его не буду. Мастер относительных идентификаторов(RID):

• хранит общий пул идентификаторов домена и выдает их контрол-лерам по мере необходимости; при этом обеспечивается уникаль-ность RID в домене;

+ переносит объекты из одного домена в другой; дело в том, что припереносе учетной записи между доменами у нее меняется DN и SID,а вот уникальный ID остается неизменен; мастер RID следит, что-бы в домене не появилось двух объектов с одним уникальным ID.

Компьютер с мастером RID относительно не загружен и поэтомуможет располагаться на тех же контроллерах, где находятся другиемастера доменных операций.

Мастер инфраструктуры

Чтобы понять, как правильно расположить мастер инфраструктуры,надо знать, как он работает.

Когда объект на одном контроллере домена ссылается на отсутству-ющий в локальной базе объект, этот объект представляется в видезаписи, содержащей GUID объекта, его SID (если это участник безо-пасности) и его отличительное имя DN. При перемещении этогообъекта меняются его DN и SID (если он перемещается в домен), ноне GUID. Мастер инфраструктуры периодически проверяет такиессылки в доступной ему реплике базы Active Directory. Для этого онобращается к ГК и проверяет, не изменились ли у объекта с даннымGUID его DN и SID. Если да, то соответствующие изменения вносятсяв локальную реплику и тиражируются на остальные контроллеры вдомене.

Если мастер инфраструктуры находится на том же компьютере, чтои ГК, то он не функционирует (о чем и сообщает в журнале регистра-ции событий). Дело в том, что компьютер, выполняющий роль ГК,хранит реплики всех объектов в лесу, т. е. на нем присутствуют (пустьи в урезанном виде) все объекты Active Directory, а следовательно, нетссылок на отсутствующие объекты. Если все контроллеры в домене


являются ГК, то надобности в мастере инфраструктуры нет, и он мо-жет не работать.

Таким образом, размещая мастер инфраструктуры помните, что он:

+ должен быть один в каждом домене;

ф не должен располагаться на сервере ГК;

+ является слабо загруженным и может располагаться на одном сер-вере с другими мастерами в домене.

Глобальные каталоги

Рекомендации по расположению серверов ГК несколько различны дляодно- и многодоменной структур.

Когда в лесу только один домен, то надобности в ГК вообще-то нет.Все контроллеры домена имеют информацию обо всех объектах влесу. Может, и отказаться от него? Не стоит. Во-первых, для работыряда программ требуется обращение именно к серверу ГК. Во-вторых,всегда есть вероятность расширения Active Director}' и добавленияновых доменов иди деревьев. А тут уж без ГК уже не обойтись.

Поэтому рассмотрим две ситуации: весь домен в одном сайте и до-мен «размыт* по сайтам. В первом случае достаточно иметь один ГК.С целью его резервирования можно создать второй. Для распределен-ного домена ГК надо размещать в удаленных сайтах. НеобходимостьГК в сайте возникает при числе пользователей от 50 человек.

Совет Серверы ГК можно поместить на всех контроллерах домена,кроме мастера инфраструктуры.

В случае нескольких доменов в лесу рекомендации по размещениюГК во многом совпадают с описанными выше. Однако теперь придет-ся подумать о трафике репликации. Чем больше доменов в лесу иобъектов в доменах, тем выше трафик репликации ГК. Если удален-ные сайты связаны медленными каналами, то трафик может статькритичным. С другой стороны, наличие ГК в филиале просто необ-ходимо, так как иначе возрастет трафик регистрации через канал.Оптимальным считается создание двух ГК в центре и по одному всайтах с числом пользователей от 50 человек. Если структура связисайтов сложная, то в крупных сайтах, можно иметь по 2 ГК.

Примеры размещения

Итак, вы познакомились с общими рекомендациями по размещениюмастеров операций и ГК — рассмотрим пару примеров оптимально-го размещения.


СайтА

Контроллер доменаМастер схемы, доменных имен

Глобальный каталог

Контроллер домена Контроллер доменаМастер инфраструктуры, Глобальный каталог

:ID, имитатор PDC

Контроллер доменаГлобальный каталог

Пример распределения ролей в одном домене

Вариант для одного домена в лесу:

ф все контроллеры домена в сайте А, кроме одного, являются серве-рами ГК;

+ мастера, имеющие отношение ко всему лесу, отделены от масте-ров, относящихся к домену;

• сайт Б не очень крупный, поэтому в нем нет ГК;

+ сайт В крупный, и в нем присутствует ГК.

Вариант для нескольких доменов в лесу;

+ все контроллеры корневого домена в сайте А являются серверами ГК;

• мастера, имеющие отношение ко всему лесу, расположены в кор-невом домене;

ф мастера, имеющие отношение к доменам, располагаются в каждомиз доменов;

ф сайт Б не очень крупный, поэтому в нем нет ГК;


сайт В крупный, и в нем присутствует ГК;

сайт Г содержит домен, поэтому в нем присутствуют как ГК, так инее доменные мастера операций.

Контроллер доменаМастер схемы, доненныл имен.

инфраструктуры, Глобальный каталог

Контроллер домена,имитатор PDC. мастер RID

Глобальный «этаоог

(онтроллер доменаМастер инфраструктуры. ЯЮ

Контроллер доменаКонтроллер домена имитатор Глобальный каталог

PDC, Глобальный каталог

Контроллер дона на.

мастер инфраструктураRID, имитатор РОС

Контроллер доме на,Глобальный каталог<онтрстлеодомека

Глобальный каталог

Прглмер размещения мастеров в лесу доменов

Конфигурация контроллеров доменов для удаленных филиаловЭта тема может показаться довольно странной в главе по планирова-нию Active Directory, но только показаться. Обычно чем меньше или уда-леннее сайт (УГ центра, тем меньше в нем квалифицированных специ-алистов, способных настроить DNS, установить контроллер домена иподключиться к общему дерену Active Directory. Но даже если специа-листы готовы приехать из центра, чтобы выполнить эту работу, мед-ленные каналы связи заметно замедляют разворачивание Active Direc-tor}-, особенно в крупных системах с большим количеством пользова-телей и доменов. Поэтому в таких случаях целесообразно создавать под-готовительные сайты, обеспечивающие имитацию условий в удаленныхсайтах.


Подготовительный сайт надо расположить в центре, вблизи от кор-невого домена и квалифицированных специалистов. Рассмотримпредъявляемые к нему требования.

1. Если филиалы подключены по медленным каналам связи, то иподготовительный сайт тоже должен быть подключен по каналу стакой же пропускной способностью. Однако канал для подгото-вительного сайта должен быть постоянным и всегда доступным длярепликации.

2. В подготовительном сайте должен постоянно присутствовать кон-троллер домена, служащий источником репликации для создавае-мых контроллеров. Он должен быть сервером ГК.

3. Подготовительный сайт должен обеспечивать надежный достут ккорневому домену и к серверу DNS в нем, а также мастерам RID,доменных имен и инфраструктуры.

4. Подсеть в этом сайте должна обеспечивать легкость конфигури-рования, с тем чтобы адреса и маска совпадали с теми, что буд^т всоздаваемом сайте.

5. КСС в подготовительном сайте должен быть отключен. Все соеди-нения надо создавать вручную. Дело в том, что при автоматичес-кой генерации объектов связи будут созданы объекты в основномсайте, о которых вы не будете и подозревать. Это приведет к тому,что после переноса контроллеров на их постоянное место репли-кация пойдет с прежними партнерами по медленным каналам.

6. Должно быть достаточно мест для компьютеров, чтобы сконфи гу-рированные компьютеры длительное время были подключены ксети для поддержания на них актуальной информации и преду-преждения рассинхронизации паролей.

Политика изменения схемыЭто важный компонент планирования Active Directory. Схема — ске-лет, который удерживает в нужном положении остальные органы:объекты, права доступа к ним, атрибуты и взаимоотношения междуобъектами. Повредите скелет, и стройный организм зачахнет, а то иумрет. Но хватит аллегорий — посмотрим, что в схеме есть такого, чтотребует планирования ее модификации.

Схема представляет собой набор классов объектов и атрибутов, из ко-торых создаются экземпляры объектов Active Directory. По умолчаниюона содержит более 140 классов и 850 атрибутов. Такого количествас лихвой хватает для выполнения всех операций с Active Director/. Ивсе же довольно часто схему приходится модифицировать. Например,вы не представляете работу без некоторого атрибута у пользователей


либо устанавливаете приложение, которое модифицирует схему изаносит в нее классы своих объектов.

Поскольку репликация схемы работает с одним мастером, а реплика-ция Active Directory — с несколькими, могут возникать конфликтныеситуации, когда вы пытаетесь создать объект с новым атрибутом натом контроллере домена, до которого еще не дошли соответствующиеизменения в схеме. И хотя обычно такая ситуация разрешается безвашего участия, сетевые проблемы могут серьезно помешать нормаль-ному течению процесса.

Безобидная, казалось, модификация схемы порой вызывает важные:последствия. Допустим, вы хотите, чтобы некий атрибут реплициро-вался на серверы ГК. Вы указываете это в оснастке диспетчера схемыи... Все серверы ГК устанавливают свой USN в 0. Результат — полнаярепликация абсолютно всех объектов в ГК и перегрузка в сети.

Замечание При установке Microsoft Exchange 2000 в ГК добавляютсяатрибуты. Следовательно, выполнять это надо так, чтобы репликацияне шла по медленным каналам.

Еще большие проблемы возникают, когда вы понимаете, что все вашимодификации схемы больше не нужны. Active Directory не позволяетудалять что-либо из схемы. Вы можете только деактивизировать клас-сы объектов или атрибутов. Деактивизация какого-либо класса неприводит к удалению экземпляров объектов, использующих деакти-визированный класс. Они по-прежнему будут присутствовать в ActiveDirectory. Правда, нельзя будет создавать новые экземпляры этихобъектов. Для удаления «нехороших* объектов нужно организовать ихпоиск по всему каталогу.

Сказанное демонстрирует необходимость понимания того, когда и какименно схему надо модифицировать.

Когда и как модифицируют схемуНиже перечислены случаи, в которых нужно выполнять модификациюсхемы, а также способы того, как это лучше сделать.

Способы модификации схемы

Ситуация Решение

Ни один из существующих Создайте новый класс.классов не отвечает вашимтребованиямСуществующий класс Создайте:в целом подходит, фновые атрибуты и добавьте ихно у него нет нужных к существующему классу,атрибутов


Ситуация Решение

ИЛИ:

+ новый класс па базе существующего идобавьте новые атрибуты к созданному' классу.ИЛИ:

4- вспомогательный класс, который содержиттолько недостающие атрибуты, и добавьтевспомогательный класс к существующем)

Вам нужен набор новых Создайте вспомогательный класс, которыйуникальных атрибутов, содержит только необходимые атрибутыно не нужен новый классСозданные классы или Деактивизируйте класс или атрибут. Приатрибуты больше необходимости найдите и удалите всене нужны объекты этого класса или содержащие

дсактивизироваппыс атрибутыВы собираетесь установить Установку рекомендуется выполнять в 2 этапаприложение, которое и только после тщательного тестированиямодифицирует схему в отдельном лесу:

ф пользователь с правами Schema Adminsготовит схему и добавляет нужные классыи атрибуты:

фпосле репликации всех изменений по сетилюбой пользователь с правом установкиприложений устанавливает приложения

Замечание Не все классы и атрибуты могут быть изменены. Под-робнее см. [3], [6].

Применение политики модификации схемы

Один из ключевых моментов в политике модификации схемы — со-здание специальной комиссии. В нее надо включить специалистов,знающих, к чему могут принести изменения в схеме и можно ли ихизбежать. На этой комиссии будет лежать ответственность за послед-ствия модификации схемы.

Вот правила политики модификации схемы.

+ Инициализация процесса модификации схемы:• передача списка предлагаемых изменений на рассмотрение

специальной комиссии;• проверка необходимости в изменениях;• определение потенциального воздействия на существующие

объекты, сетевой трафик;• разработка процесса модификации;• получение действительного идентификатора объекта;• получение разрешения от комиссии.


• Тестирование модифицированной схемы;

• тестирование предлагаемого решения в тестовой зоне в отдель-ном лесу;

• определение соответствия выполненных изменений требуемымспецификациям;

• разработка эффективного плана восстановления оригинальнойсхемы;

• получение разрешения на выполнение изменения в рабочейсети.

• Выполнение модификации:

• ограничение членства в группе Schema Admins;

• разрешение выполнения записи на мастере схемы;

• проверка того, что все контроллеры доменов получили новуюверсию схемы;

• перевод мастера схемы в режим только для чтения.

Данная политика должна быть разработана и применена в обязатель-ном порядке. При модификации схемы:

• семь раз убедитесь в том. что без изменения не обойтись;

• прежде чем выполнить изменения, тщательно все спланируйте ипротестируйте;

• постарайтесь начать с самого простого решения;

+ используйте понятные названия для классов и атрибутов; помни-те, что вас уже может и не быть в организации, а другим придетсярасхлебывать то, что вы натворили;

• тщательно документируйте все сделанные изменения;

• следите за тем, кто входит в группу Schema Admins, и за разреше-нием записи на мастере схемы.

Active Directory) межсетевые экраны и ИнтернетВсе. о чем мы рассуждали выше, относится к внутренним частям кор-поративной сети. Внутри корпорации обычно не ставят препоны ввиде межсетевых экранов. Доверие между отдельными частями сетиесли не полное, то достаточное, чтобы обойтись границами безопас-ности, предоставляемых доменами. Однако доступ в сеть некоторыхотделов защищают межсетевым экраном. Во многих распределенныхсистемах отдаленные филиалы подключаются либо по каналам, пре-доставляемым третьей стороной, либо вообще через Интернет, Длязащиты от несанкционированного проникновения из этих незащи-щенных каналов зачастую также применяют межсетевые экраны ишифрование трафика. Внедряя Active Directory: вы стараетесь вклю-


чить в нее все объекты корпорации независимо от того, где они на-ходятся: за сетевым экраном или нет, Следовательно, надо знать, какэто сделать с минимальным риском для безопасности.

Довольно часто также требуется обеспечить доступ авторизованныхпользователей к внутренним ресурсам в сети из Интернета. Как авто-ризовать пользователя, где разместить контроллеры домена — вотвопросы, которые при этом возникают.

Ниже показан общий подход к решению этих проблем. Вот наиболеетипичные случаи:

• подключение домена к дереву через VPN: характерно дляфилиалов, связанных с основной частью сети предприятия черезчастные сети или через Интернет;

+ подключение домена к дереву с использованием IPSec:чаще всего такой вариант рассматривают для связи с внутренни-ми подразделениями, находящимися за межсетевым экраном;

ф авторизация ресурсов в демилитаризованной зоне (DM2):вариант применяется при авторизованном доступе к Web-серве-ру, почтовому серверу и пр.

Подключение доменов через VPNСвязь филиалов с центром или между собой через Интернет дает зна-чительную экономию по сравнению с арендой выделенных каналов.Этому способствует и то. что выход в Интернет все равно нужен, хотябы для обмена почтой. Надо лишь заключить договор с провайдеромИнтернета, получить от него пул адресов и настроить DNS.

Я забыл сказать про межсетевой экран. Естественно, он позволит ис-ключить нежелательный доступ из столь агрессивной среды, как Ин-тернет. Межсетевой экран настраивается так, чтобы пропускать толь-ко нужный трафик. Например, если для пользователей внутреннейсети предоставляется доступ к ресурсам Web, необходимо открытьтрафик HTTP и HTTPS.

Как вы понимаете, контроллеры домена обмениваются между собойпо совершенно иным протоколам. Нужно открывать трафик DNS. RPC(с огромным числом портов), LDAP SMB, при необходимости — Net-BIOS и др.). Взгляните на список служб и протоколов, используемыхпри взаимодействии контроллеров домена.

Перечень протоколов и портов,используемых службами Windows 2000

Служба Порт/протокол

RPC 135 Дер, 135/udpNetBIOS (служба имен) 137/tcp, 137/udp


Служба Порт/протокол

NetBIOS (датаграммы)NetBIOS (сеансы)RPC динамические порты8MB поверх \РLightweight Directory Access Protocol (ШАР)LDAP через SSLГК LDAPГК LDAP чере:! SSI.KerberosDom;iin Name St'rvice (DNS)Windows Internet Naming Service (WINS)Репликация WINS (если надо)

138/udp139/tcp1024-65535/tcp445/tcp. 445/udp389/tcp636/tcp3268/tcp3269/tcp88/tcp, 88/udp53/tcpl, 53/udp1512/tCp, 1512/udp42/tcp, 42/udp

Разрешив этот трафик через межсетевой экран, вы оголите сеть. Фак-тически это то же, что убрать экран вообще.

Еще одна проблема — адресация. В корпоративной сети обычно ис-пользуют адреса, не маршрутизируемые в Интернете. А значит, тре-буется механизм трансляции адресов вроде NAT. Но при этом длядвусторонней связи нужно обеспечить однозначное назначение ком-пьютеру во внутренней сети еще и адреса из интернетовского пула,что опять же практически выставляет этот компьютер наружу. Еслион к тому же контроллер домена, то все «потроха» Active Directoryбудут напоказ.

Именно поэтому применяется туннелирование. Главное при этом —обеспечить правильную настроим' межсетевых экранов, DNS и кон-троллеров домена. Схематично такое подключение изображено нарисунке. Начнем с первого .межсетевого экрана. Пусть оба межсете-вых экрана выполнены на Microsoft ISA Server. Если у вас иные сред-ства защиты, вы сможете адаптировать параметры. Эти же компьюте-ры будут выполнять роль серверов удаленного доступа.

Итак, в качестве протокола используем РРТР.

А•

Межсетевой экран

Связь двух доменов через VPA

Межсетевой экран


Замечание Если у вас развернута инфраструктура PKI, можно ис-пользовать L2TP/IPSec.

• Разрешаем двунаправленную передачу и указываем, что соедине-ние может инициировать как этот сервер, так и удаленный.

+ В качестве источника второго конца туннеля указываем адрес уда-ленного межсетевого экрана.

ф Указываем адреса компьютеров, которым разрешено использоватьтуннель.

+ Сохраняем конфигурационную информацию в файле.

В результате будут созданы и сконфигурированы как VPN-интерфейс,так и 4 пакетных фильтра доступа.

Конфигурировать второй ISA-сервер проще, так как для этого про-грамме конфигурации достаточно предложить использовать конфи-гурационный файл первого межсетевого экрана.

Далее, находясь в удаленном офисе, надо убедиться, что доменныеимена в центральном офисе разрешаются без проблем. Особое вни-мание — к параметрам DNS (см. главу «Установка Active Directory*).Помните: 90/6 успеха зависит от правильной конфигурации DNS насервере, который станет контроллером домена.

Убедитесь также, что и из центрального офиса разрешаются имена вфилиале.

Если все прошло гладко, можно создать и подключить домен.

Теперь несколько советов по расположению мастеров операций и се-тевых служб. Как вы помните, межсетевые экраны конфигурируют так,что не все клиенты могут использовать туннель. Это условие необя-зательное, но довольно распространенное. В силу этого обычныеклиенты в филиале могут и не иметь доступа в туннель. Раз так, то вфилиале должен быть контроллер домена, а лучше — два независимоот числа пользователей. Этот контроллер должен выполнять функциивсех мастеров операций и быть сервером ГК (если у вас два контрол-лера, функции мастера инфраструктуры и ГК должны быть на разныхкомпьютерах). Кроме того, нужен локальный сервер DNS, обслужива-ющий домен Active Directory. Желательно, чтобы на нем была вторич-ная зона _>и$(2с$.<имя_леса>. Это особенно актуально, если у филиалаесть собственные филиалы с отдельными доменами.

Филиал нужно выделить в отдельный сайт независимо от качестваканала, предоставленного вашим поставщиком услуг Интернета.


Подключение доменов с использованием IPSec

Внутри сайта могут существовать области, доступ к которым надожестко ограничить для основной массы пользователей. Обычно их от-деляют от остальной сети межсетевыми экранами. Начиная развора-чивать Active Directory, вы можете столкнуться с необходимостью раз-местить контроллеры домена или новые домены в этих защищенныхобластях. Список портов, которые надо открыть для обеспечения вза-имодействия контроллеров, см. в предыдущем разделе. Ни один здра-вомыслящий сотрудник службы безопасности не разрешит их от-крыть. Особенно впечатляют порты, динамически используемые служ-бой удаленного вызова процедур (RPC). Способы ограничения числаэтих динамических портов есть, но это вряд ли выход из положения.

Можно, конечно, организовать туннель, но вряд ли это оптимальноерешение. Лучше всего использовать протокол IPSec. He стану вдаватьсяв подробносги насчет его работы. Думаю, вы это и сами знаете, а еслинет, то прочитайте в [4]. Основной эффект от IPSec в том, что числопортов, которые надо открыть на межсетевом экране, резко сокраща-ется. Вот они.

Перечень портов, используемых IPSecСлужба Протокол/Порт

DNS 53/tcp, 53/udpKerbcros 88/tcp, 88/udpIKE, Internet Key Exchange 500/udpIPSec ESP. encapsulated security payload IP protocol 50IPSec AH. authenticated header IP protocol 51

Заметьте: все эти порты следует открыть, только если политика IPSecсконфигурирована для контроллеров домена, а серверы DNS распо-лагаются раздельно. Если же псе серверы,DNS расположены на кон-троллерах, порт 53 можно закрыть.

Еще дальше можно пойти, если внедрить инфраструктуру PKI. Тогдадля установления связи IPSec можно использовать сертификаты, а неKerberos. Такой подход позволит закрыть порт 88.


Связь двух даменов через .межсетевой экран с использованием IPSec

К какому результату приведет такое решение?

1. Любой пользователь из внешней сети, для которого не определе-на соответствующая политика IPSec. не получит доступа в защи-щенную зону.

2. Репликация между контроллерами домена в защищенной зоне ивне ее будет выполняться только между теми контроллерами до-мена, для которых сконфигурирована политика IPSec. Примерполитики для этого случая см. в главе "Групповая политика-.

3. Любой пользователь в защищенной сети может быть аутентифи-цирован в домене, но при этом может не иметь доступа за преде-лы своей закрытой зоны.

Не стану описывать точную конфигурацию контроллеров домена ипараметров межсетевого экрана, так как это выходит за рамки дан-ной главы. Если вам это интересно, обратитесь к Microsoft Technet,книга Top IT Tasks, Active Directory replication over firewalls.

Совет Будьте внимательны при создании политик IPSec. Нужно чет-ко представлять, какие категории пользователей и какие компьюте-ры могут взаимодействовать, а какие — нет.

4-2005

•80 Active Directory: подход профессионала

Авторизация ресурсов в DMZ

Одна из распространенных .задач — предоставление авторизованнымпользователям предприятия доступа к ресурсам из Интернета. Под-черкну: речь идет именно об авторизованных пользователях, т. е. тех.кто со своего рабочего места имеет доступ к почте, серверам Web идругим приложениям. Задача в том, чтобы предоставить им доступ ктем же ресурсам извне и сделать это так. чтобы не нарушить безопас-ность сети и не усложнить процедуру доступа. Если с первым требо-ванием все понятно, второе требует пояснения. Обычно доступ изИнтернета к внутренним ресурсам нужен мобильным пользователямна выезде. Реалии нашей жизни таковы, что ими, как правило, явля-ются большие шишки, для которых ввод пароля при регистрации -уже стресс. Если же их заставить вводить пароль дважды, трижды, даеще и разные, то уровень их удовлетворенности резко понизится.

Типовое решение — разместить такие ресурсы в демилитаризованнойзоне (DMZ), отделенной и от Интернета, и от внутренней сети меж-сетевыми экранами. При правильной настройке экранов проблемубезопасности решить довольно легко. Трафик организуется так, что кресурсам в DMZ можно пройти либо из внутренней сети, либо изИнтернета, но пройти DMZ насквозь нельзя.

Авторизация же подразумевает, что пользователь, прежде чем полу-чить доступ к ресурсу, должен обратиться к центру авторизации, по-лучить у него сеансовый билет, а потом, предъявив его серверу, накотором лежат нужные ресурсы, получить к ним доступ. Так как сквоз-ной проход через DMZ закрыт, то, на первый взгляд, центр авториза-ции может находиться только внутри DMZ. Исходя из этого, возмож-ны три варианта его размещения:

• каждый сервер сам авторизует доступ к своим ресурсам;

• в DMZ помещается домен, не входящий в дерево Active Directoryвнутренней сети; между этим доменом и внутренним деревом ус-танавливаются односторонние нетранзитивные отношения;

• в DMZ помещается контроллер домена и ГК основного дерена,который и выполняет авторизацию доступа.

Преимущества и недостатки каждого из этих способов таковы.

Преимущества и недостатки различныхспособов авторизации в DMZТип авторизации Преимущества Недостатки

На каждом Нет компрометации базы Сложность администриро-сервере пользователей внутренней вапия: каждый сервер содер-

сети жит свой комплект учетныхзаписей и групп

си. c/ied. стр.

Проектируем АО, или Мелочей не бывает 81

Тип авторизации Преимущества Недостатки

Отдельныйдомен

Контроллервнутреннегодомена вынесенв DM2

Нет компрометации базыпользователей внутреннейсетиДоступ из внутренней сетивозможен в силу односто-ронних доверительныхотношенийПростотаадминистрированияПростота доступаиз внутренней сетиПростота доступаиз внешней сети

Неудобный доступ из внут-ренней сети: надо регистри-роваться на каждом сервере.Неудобный доступ из внеш-ней сети: надо регистриро-ваться на каждом сервереДвойное администрирова-ние. Надо содержать пазувнешних пользователей безсинхронизации паролейНеудобство доступа извнешней сети: надо регист-рироваться в этом доменеУчетные записи ActiveDirectory подвергаются вы-сокой опасности быть ском-прометированными

Как видите, все три варианта потенциально опасны или неудобны.Больше всего преимуществ у последнего, однако его недостаток спо-собен перекрыть все преимущества. Сеть DMZ потенциально уязвима.Никто не даст 100% гарантии того, что хакер не проникнет в DMZ. Aраз так, нельзя считать эту сеть надежной и размещать в ней критичес-ки важные серверы. Контроллер домена с ГК относится к самым кри-тическим элементам Active Directory, так как на нем хранится инфор-мация обо всех пользователях сети. Выходит, данный вариант отпада-ет по соображениям безопасности. Первые два просто неудобны. Я знаюкомпании, использующие их, но они были бы рады от них избавиться.

Выходит, сделать так, чтобы и волки были сыты, и овцы целы, нельзя?Отнюдь нет. Решение есть: это сервер аутентификации RADIUS. (ВWindows 2000 это Internet Authentication Server — IAS.) О его работесм. [2]. В DMZ размещается RADIUS-сервер, который по IPSec связанчерез межсетевой экран с контроллером домена во внутренней сети.Так как на этом сервере нет компонентов Active Directory, то компро-метация учетных записей исключена.

Каждый клиент, приходящий в DMZ из Интернета, может использо-вать два способа доступа: прямо на сервер или через виртуальныйтуннель. К категории удаленных пользователей можно также отнестии тех, кто дозванивается на пул модемов компании. Если использует-ся туннель, сервер доступа выполняет роль клиента RADIUS. В осталь-ных случаях сами клиентские компьютеры являются клиентамиRADIUS. Как бы там ни было, клиент RADIUS находится вне DMZ, довнешнего межсетевого экрана.


Клиент RADIUS обращается к серверу RADIUS в DMZ с запросом обавторизации от имени пользователя, установившего соединение. Сер-вер RADIUS обращается через внутренний межсетевой экран к кон-троллеру домена во внутренней сети. Получив от него положитель-ный или отрицательный ответ, он его транслирует клиенту запросив-шему доступ. Если доступ разрешен, устанавливается соединение, ипользователь получает доступ ко внутренним ресурсам, расположен-ным на серверах — членах домена. Если доступ не разрешен, соеди-нение не устанавливается. Особенно удобна данная схема для управ-ления внешним межсетевым экраном.

Наиболее предпочтителен вариант с туннельным доступом, так какобеспечивает наивысшую степень безопасности, защищая трафик,проходящий от клиента к серверу удаленного доступа через Интер-нет. Туннель может работать как по протоколу РРТР, так и по L2TP/IPSec. Добавьте сюда аутентификацию пользователя по смарт-карте (попротоколу ЕАР) и получите сытых волков (руководство довольно, чтопароли не надо вводить вообще) и целых овец (объекты Active Direc-tory надежно защищены).

Конлзоллер домена,Глобальный каталог

Серверудаленного

доступа,RADIUS-клиент

OWA-cepaep

Авторизация ресурсов в DMZ

Пример планированияВ заключение рассмотрим пример проекта Active Directory. Я побо^рол R себе искушение привести пример реальной российской орга-низации. Причин тут несколько. Во-первых, хочется показать плани-рование комплексной структуры со сложными взаимосвязями. Я, увы,не слышал о таких российских организациях. Во-вторых, есть риск,что в иной организации, увидев нечто похожее на свою структуру,


могут взять да и перенести рекомендации, приводимые в примере, насвой проект. А это чревато... Ну, не будем о грустном.

Поэтому я и выдумал организацию, которая меньше всего похожа наге, что существуют на наших бескрайних просторах. В то же времяпри всей фантасмагоричности вымышленной компании отдельныечасти ее могут послужить примером для других организаций. Коро-че, имеющий уши да слышит.

Постановка задачи

Компания ГлобРосТур (ГРТ) недавно вышла на российский рынок спредложением услуг в области туризма. Руководство ГРТ считает Рос-сию перспективной с точки зрения туризма, в частности горнолыж-ного. Специалисты компании уверены, что их предложения будутпривлекательны не только для россиян, но и для жителей Европы.

Штаб-квартира ГРТ н Москве. В окрестностях столицы приобретеныземельные участки, на которых сооружаются круглогодичные базыотдыха: зимой предлагаются искусственные горные склоны с подъем-никами и трассы для катания на снегоходах, летом — верховая езда,бассейны, пэйнтбол и пр. Каждая база будет иметь свою гостиницу.

Сооружение подобных баз проектируется близ Санкт-Петербурга, вКарелии, на Среднем Урале и на Алтае. Ведутся переговоры с компа-нией ДальТур о слиянии, в результате которого появятся аналогичныебазы отдыха на Дальнем Востоке и на Камчатке.

Для привлечения иностранных туристов планируется создать подоб-ные базы в Польше, Чехии, Германии, Болгарин и Хорватии через 3года. Потенциал системы по оценке специалистов ГРТ — 400-500тысяч отдыхающих в год.

Отличительной особенностью отдыха на базах ГРТ должна стать пол-ная интеллектуальность сервиса. Так, любой клиент, заказав отдых накакой-либо из баз, получит карточку постоянного клиента ГРТ. Кар-точка является бесконтактной смарт-картой, в которой записана ин-формация о клиенте, его семье (если он пожелает отдыхать с семь-ей), его фотография и иные персональные данные. В дальнейшем онсможет заказывать туры через Web по своей карточке.

По прибытии на базу отдыха карточка становится его обязательнымспутником: это и ключ от номера гостиницы, и плата за ресторан, зауслуги проката, подъемник и пр. Карточка также предоставляет дос-туп к голосовой почте, доступ к Интернету и пр. Карточка действуетна любой базе отдыха и служит для накопления скидки.

Каждая база отдыха является независимым юридическим лицом, Учетперсонала осуществляется разными приложениями, интегрированны-


ми с Active Director}'. Информация об основных фондах базы отдыхатакже хранится в Active Directory. Часть персонала каждой базы дол-жна иметь доступ в локальную сеть для выполнения таких обязанно-стей, как выдача и учет инвентаря, заказ оборудования и пр.

В штаб-квартире ДальТур развернута сеть на основе Active Directory,включающая в себя и две имеющиеся базы отдыха.

В штаб-квартире ГРТ находится ИТ-центр, который занимается под-держкой локальной сети, но будет отвечать и за работу общей сети,Здесь же будет расположен центр авторизации клиентов. Каждая базаотдыха имеет 1-2 сотрудников, ответственных за поддержание рабо-тоспособности локальной сети, установку новых версий приложенийи развитие системы. В штаб-квартире ДальТур также имеется ИТ-от-дел, полностью ответственный за работу сети.

Штаб квартира имеет каналье связи со всеми базами отдыха в Мос-ковской области. Пропускная способность каналов — 256 кб/с. 50%трафика по этим каналам используется для передачи телефонныхсигналов. Канал между базой в Санкт-Петербурге и штаб-квартиройимеет полосу пропускания 1,5 Мбит/с. База отдыха в Карелии связа-на только с базой в Санкт-Петербурге. Планируется, что базы на Сред-нем Урале и Алтае будут иметь спутниковые каналы 64 кб с Москвой.Дальневосточные базы связаны пока со штаб-квартирой ДальТур воВладивостоке. Все каналы спутниковые 64 кб/с. Планируется, чтомежду Московской штаб-квартирой и штаб-квартирой ДальТур будетканал 1,5 Мб/с. Связь с европейскими базами отдыха будет осуществ-ляться по виртуальным выделенным каналам через Интернет. Штаб-квартира имеет канал в Интернет с полосой 1,5 Мбит/с, но его про-пускную способность планируется увеличить до 10 Мбит/с.

Численность персонала в московской штаб-квартире — 150, в штаб-квартире ДальТур — 30 человек. На каждой базе отдыха число со-трудников варьируется, но число пользователей невелико — 15-20.

В качестве ОС выбрана \Vindows 2000, в качестве службы каталогов —Active Directory. Нужно спланировать архитектуру Active Directory.Описанная топология сети такова:


Базы отдыха в Подмосковье База отдыха База отдыхана Среднем Урале на Алтае

База отдыхана Камчатке

Штаб-квартира в Москве,150 человек,служба ИГ

База отдыхав Приморье

Базы отдыха в Европе

Планируемая топология общей сети кампании ГРТ

Предложенная архитектураБеглый анализ задачи позволяет выделить две разные категориипользователей: клиенты баз отдыха и обслуживающий персонал. В товремя как клиенты должны авторизоваться на любой базе, персоналне выходит за пределы своей базы. Более того, нет нужды в том, что-бы персонал авторизовался где-либо еще. Фраза о том, что на каждойиз баз используются свои приложения учета персонала, интегриро-ванные с Active Directory, означает, что схемы Active Directory различ-ны для разных баз отдыха.

Леса

Можно сделать вывод о том, что данной организации требуется не-сколько лесов доменов:

• один лес — для клиентов;

• остальные — для каждой из баз отдыха и штаб-квартир.

Небольшое исключение придется сделать для дальневосточной штаб-квартиры, так как там уже развернут лес Active Directory, объединяю-щий и штаб-квартиру, и базы отдыха.

Между корнями лесов сотрудников баз отдыха установлены двусто-ронние нетранзитивные отношения. Это сделано, во-первых, затем.

бб Activejifectory: подход профессионала

чтобы администраторы штаб-квартиры могли помочь ИТ-персоналуна базах отдыха, а во-вторых, чтобы сотрудники имели доступ к ре-сурсам штаб-квартиры для заказа инвентаря и оборудования, а такжедля пересылки отчетности.

Между корнями леса клиентов и леса штаб-квартиры установленыодносторонние нетранзитивные доверительные отношения так, чтодомен клиентов доверяет домену штаб-квартиры. Это сделано для того,чтобы ИТ-сотрудники могли управлять лесом клиентов,

Домены

Итак, очевидно, каждая из баз отдыха представляет собой один доменв лесу В силу сделанного ранее исключения для дальневосточных базпредположим, что доменная структура для них содержит 3 домена:корневой — для штаб-квартиры ДальТур и дочерние — для баз отдыха.

Ответ на вопрос о количестве доменов в лесу клиентов не так очевиден.С одной стороны, все клиенты равны, и к ним применяются общие тре-бования безопасности. С другой — разделение на домены для каждой избаз позволит сократить трафик внутридоменной репликации. Критич-но в данном случае количество баз отдыха. Оно не маленькое и со вре-менем будет только расти. А значит, будут расти объем ГК и трафик егорепликации. Кроме того, клиент, зарегистрировавшийся на одной базе.не должен испытывать неудобств по приезде на другую (а в случае раз-ных доменов он обязательно испытает неудобства из-за длительноговремени аутентификации). Все говорит за то. что лес клиентов такжесостоит из одного домена. В итоге получаем такую топологию, как по-казано на рисунке.

Сайты

Говорить о сайтах имеет смысл только применительно к лесу клиен-тов и к лесу ДальТур. Все остальные леса располагаются в отдельныхсайтах.

Лес клиентов разбит на столько сайтов, сколько существует баз отды-ха. Это следует из анализа пропускной способности каналов. То, чтоскорость доступа штаб-квартиры в Интернет составит 10 Мбит/с,значения не имеет, так как полагаем связь по виртуальному каналучерез Интернет ненадежной, а значит, требующей создания удален-ных сайтов. Дополнительный сайт сделан в московской штаб-кварти-ре. Именно здесь находится тот Web-сервер, через который клиентымогут бронировать места в гостиницах и планировать заезды на базы.В сайте ДальТур нет надобности, так как клиенты не имеют доступа вофис ДальТур.


Лес клиентовСостоит из одного

домена

Топология лесов и доменов

Контроллеры доменов

В каждом сайте клиентского леса размещается по два контроллерадомена, каждый из которых является сервером ГК. Контроллеры до-мена в московском сайте также исполняют роли мастеров схемы,доменных имен, инфраструктуры, RID. имитатора РОС. Эти же кон-троллеры являются выделенными серверами-форпостами, и на нихсозданы межсайтовые связи. Для надежности для каждого сайта созда-но по две связи. Расписание репликации по ним сконфигурированотак, что по четным часам выполняется репликация с первым контрол-лером домена в удаленном сайте, а по нечетным — со вторым.

Лес ДальТур разбит на три сайта. Это определяется пропускной спо-собностью каналов. В центральном сайте расположены два контрол-лера домена. В сайтах баз отдыха — по одному контроллеру. Ни одиниз серверов не является выделенным сервером-форпостом.

Во всех остальных лесах сотрудников баз отдыха стоит по два кон-троллера домена, выполняющих все роли и являющихся ГК.


Организационные подразделенияДомен клиентов содержит следующие ОП.

ф ОП для каждой из баз отдыха После регистрации на любойиз баз отдыха учетная запись клиента перемещается в соответству-ющее ОП, чтобы предоставить доступ к услугам, специфическимдля конкретной базы отдыха.

• ОП администраторов Здесь находятся учетные записи сотруд-ников службы ИТ.

• ОП штаб-квартиры Здесь размещаются приложения и серверы,используемые для обслуживания клиентов. К ним относится, на-пример, сервер Web.

Домены сотрудников баз отдыха могут не содержать ОП, так как поусловиям задачи мы ничего не знаем о специальных требованиях.

В штаб-квартире в Москве должны быть ОП:

• службы ИТ;

• финансового отдела;

• службы безопасности,

О последних двух в условиях задачи ничего не сказано, но они ско-рее всего есть, и к ним применяются иные политики.

Группы безопасностиВ домене клиентов должны бить такие группы безопасности:

• администраторов домена;

+ администраторов схемы;

• администраторов каждого из ОП; этим группам делегируются пра-ва управления соответствующими ОП;

• администраторов сервера Web

В доменах баз отдыха должны быть:

• группа администраторов домена;

• группа.администраторов схемы;

• глобальная группа доступа к отчетам на просмотр;

ф глобальная группа доступа к отчетам на запись;

• глобальная группа доступа к инвентарной информации на про-смотр;

• глобальная группа доступа к инвентарной информации на запись;

+ локальная группа доступа к отчетам на просмотр;

ф локальная группа доступа к отчетам на запись;

• локальная группа доступа к инвентарной информации на про-смотр;


• локальная группа доступа к инвентарной информации на запись.

В домене московской штаб-квартиры должны быть:

• группа администраторов своего домена;

• группа администраторов своей схемы;

• глобальная группа администраторов домена клиентов;

• глобальная группа администраторов схемы леса клиентов;

• глобальная группа доступа к отчетам на просмотр;

• глобальная группа доступа к инвентарной информации на про-смотр;

+ локальная группа доступа к отчетам на просмотр;

• локальная группа доступа к инвентарной информации на про-смотр.

Могут быть и иные группы для отделов в штаб-квартире.

Сервер Web и доступ к нему

У сервера Web две основные функции;

+ являться лицом компании ГРТ в Интернете;

• служить средством бронирования туров для зарегистрированныхпользователей.

В соответствии с этим на сервере должны существовать две зоны:открытая для всех желающих и открытая только для зарегистрирован-ных пользователей. Поскольку доступ к Web будет организован посмарт-картам, предлагается использовать следующий алгоритм реги-страции клиентов.

Узнав об услугах, предоставляемых ГРТ, и решив обратиться в компа-нию, потенциальный клиент заполняет форму на Web-странице и от-правляет ее. Затем представитель ГРТ связывается с ним по телефону,обговаривает условия оплаты и доставки. Приехав на заказанную базуотдыха, клиент получает бесконтактную смарт-карту и инструкции поее использованию. Также он получает USB-устройство для считываниясмарт-карт и необходимое ПО на компакт-диске. В следующий раз длязаказа тура клиент уже использует смарт-карту, что откроет ему дос-туп на сервере Web к страницам, предназначенным только для заре-гистрированных пользователей. Здесь он сможет заказать новый туруже без вызова агента по продажам.

Для реализации этой функциональности Web-сервер размещается вDMZ в московской штаб-квартире. Сервер является членом доменаклиентов. Когда клиент оплатит первый тур. его учетная запись со-здается в домене клиентов в том ОП, которое соответствует заказан-ной базе отдыха. Одновременно с этим запрашивается сертификатпользователя.


Замечание Использование сертификатов нуждается в инфраструк-туре открытых ключей, описание которой выходит за рамки даннойкниги.

Закрытый ключ пользователя записывается в смарт-карту с другойперсональной информацией.

Если смарт-карта применяется на базе отдыха для регистрации в до-мене (скажем, для доступа к голосовой почте), то происходит обык-новенная авторизация пользователя по протоколу Kerberos.

Если пользователь обращается к серверу Web через Интернет посмарт-карте, то предоставленное ему ПО организует виртуальныйканал и обеспечивает аутентификацию RADIUS. Это гарантирует за-щищенное подключение к домену клиентов и доступ к нужным ре-сурсам. Заказ тура в автоматическом режиме приводит к тому, чтосценарий определяет наличие свободных мест, бронирование, выпол-няет проверку оплаты и переносит учетную запись пользователя всоответствующее ОП.

Вот мы и создали структуру Active Directory эффективного туристи-ческого агентства.

ЗаключениеПрочитав эту главу, вы, надеюсь, поняли, насколько серьезно надоподходить к планированию. Из опыта известно, что от начала проек-тирования до внедрения проходит минимум 5-6 месяцев в зависимо-сти от объема организации. И все это время вы занимаетесь тем, о чемнаписано в этой главе!

Рассмотренные вопросы проектирования Active Directory охватыва-ют такие области, как оценка нужного количества лесов, критерииразбиения на домены и ОП, общие рекомендации по применениюгрупп безопасности, размещерше мастеров операций и ГК, но оченьслабо затрагивают планирование групповой политики. Чтобы соста-вить полную картину, обратитесь к главе "Групповая политика». Еслиже вы не до конца разобрались в том, почему выбираются те или иныемодели, советую почитать главы «Устанавливаем Active Directory» и"Репликация Active Directory».

УстановкаActive Directory

В любом учебнике или книге по Active Directory или Windows 2000Server вы прочтете, что установить службу каталогов очень просто —достаточно выполнить команду DCPROMO. Уны. на практике установка,проходит гладко далеко не всегда. И виноваты в этом не Microsoft ине Windows 2000 — мы сами. Корень всех проблем либо в недоста-точном знании сетевых сервисов Windows 2000. либо в излишнейсамоуверенности. Поясню последнее. Допустим, вы большой специа-лист по сетям и работали преимущественно в UNIX-системах. Вы счи-таете, что ваше знание, скажем. DNS является исчерпывающим. Мо-жет, это и так, однако, приступая к установке Active Directory, вы неознакомились со специфическими требованиями к DNS, а в результа-те — неудачная установка службы каталогов.

С чего же начинать установку? С планирования. Этой важной задачепосвящена предыдущая глава, а также написано немало книг, и я нестану повторяться. Если вы еще ничего не читали, то обратитесь к [8].Допустим, вы спланировали структуру Active Directory (или для вас этосделал кто-то иной) и собираетесь приступить к тестированию. (За-метьте: я пишу *к тестированию*, а не «к разворачиванию в боевыхусловиях».} Не торопитесь — прочтите советы, приведенные ниже-Лишними они не будут.

Что делать с DNSСлужба DNS — одна из основных служб Windows 2000, на которуюопирается Active Directory. От правильности ее настройки зависитработа службы каталогов в целом. Обычно меньше всего проблем


возникает при использовании службы DNS, встроенной в Windows2000. Однако это не значит, что нельзя использовать другие службы,например BIND. Откройте любую книгу по Active Director)7 и найдитетребования к DNS — везде будет написано, что сервер DNS долженбыть BIND версии не ниже 8.2.2, т. е. среди прочего он должен под-держивать:

• записи типа SRV;

ф СИМВОЛ «_•*;

+ динамические обновления;

+ расширенный набор символов (опционно).

Однако только первые два требования обязательны, Без динамичес-ких обновлений, строго говоря, можно обойтись, однако это приба-вит вам массу хлопот.

Советы по настройке различаются и зависимости от того, какая кон-фигурация каталога и какие службы DNS уже имеются в сети. Вотчетыре наиболее типичных случая:

+ нет ни одного сервера DNS — это может быть новая сеть либо сетьна базе Windows NT или Novell Netware;

• сервер DNS уже существует — возможно, он служит для доступапользователей в Интернет или для разрешения имен хостов UNIX;

• создается много доменов Active Directory — при этом существуетмасса способов организации DNS;

+ создается лес доменов Active Directory — ситуация похожа на пре-дыдущую, но имеет некоторые особенности.

Что ж, начнем по порядку — с самого простого случая.

Мой первый DNSИтак, вы приступаете к созданию первого домена Windows 2000. Неимеет никакого значения, устанавливаете ли вы контроллер «с нуля»или выполняете обновление контроллера домена Windows NT, — сер-вер DNS необходим.

Если ны устанавливаете новый контроллер для первого домена, топоследовательность действий такова.

• Установите ОС Windows 2000 Server или Advanced Server.

• Установите необходимые драйверы устройств и убедитесь, чтосистема работает нормально.

ф Проверьте параметры сетевого интерфейса. Адрес IP должен бытьназначен статически. В качестве адреса сервера DNS укажите ад-рес этого же компьютера.

Установка Active Directory

• Далее можно либо установить и сконфигурировать сервис DNSсамостоятельно, либо приступить сразу к установке контроллерадомена. Если раньше вы никогда не конфигурировали DNS. лучшевсего доверить мастеру установки службы каталогов Active Direc-tory сделать это за вас. По крайней мере так вы застрахуетесь отнеудачи при первой установке, а также позволит ознакомиться справильными записями и параметрами DNS.

• Если вы все же хотите сконфигурировать сервис DNS сами:

• установите службу DNS через консоль управления;

• откройте оснастку DNS;

• создайте Forward lookup zone с тем именем, которое вы хоти-те дать своему домену Active Directory-, эта зона должна бытьпервичной; созданием зоны занимается программа-мастер;

• когда зона будет создана, откройте окно свойств зоны и убеди-тесь, что она позволяет выполнять динамические обновления.

Внимание Зона, созданная мастером, по умолчанию не разрешаетвыполнять динамические обновления. И это правильно, так как дик-туется требованиями безопасности. И все же для работы с ActiveDirectory зона должна быть динамически обновляемой, поэтому обес-печьте безопасную работу хотя бы до окончания установки контрол-лера домена.

. Gfinetel:j Sts%ef Authority jbQ"3"j Mame 5e;vsr;| V.INS ] Zonef(ari*f6f*j

'Static Rynrwg - Pause

" lyes ' Patnais Chsige., j ;

[.arioPi j АРНУ

Свойства зоны DNS. Обратите внимание на noneAUoiv tynamic updates


После этого вас и поджидают перные мелкие неприятности. Итак,запускаем DCPROMO. На вопросы мастера отвечаем, что это новыйдомен в новом дереве в новом лесу. Вводим имя домена (полностьюсовпадающее с именем ранее созданной зоны DNS) и... получаем со-общение о том, что программа не может определить, поддерживаетли сервер DNS динамические обновления. Такое сообщение выводит-ся в 90% случаев. Программа не только предупреждает вас об этом,но и предлагает автоматически сконфигурировать сервер DNS- Есливы уверены, что сконфигурировали зону правильно, не поддавайтесьискушению согласиться с этим предложением. Кстати, программа всеравно не сможет сконфигурировать зону, так как вы ее уже создали.Вот если бы вы с самого начала не морочили себе голову и не кон-фигурировали сервер DNS, то мастер установки Active Directory скон-фигурировал бы зону без проблем.

Итак, отказываемся от услуг мастера по конфигурированию DNS ипродолжаем установку Active Directory.

Если вы обновляете контроллер домена Windows NT, не забудьте в про-цессе установки сказать, что требуется установить сервер DNS. Боль-ше у вас не будет возможности его сконфигурировать. Программаобновления сделает это сама.

Замечание Все, что рассказано выше, относится только к случаюотсутствия каких-либо серверов DNS в сети. Если же они нами исполь-зуются, то процедура установки и конфигурирования иная.

Так он работает?

По завершении работы мастера установки Active Directory и переза-грузки компьютера вы сможете оценить, все ли сделано правильно.На наличие каких-либо проблем вам укажет подозрительно долгая за-грузка системы.

Понимаю, что не все од позначно.воспримут слова «подозрительно дол-гая загрузка», поэтому выделю те моменты, на которые стоит обратитьвнимание. Во-первых, загрузка контроллера домена выполняется не-много дольше загрузки сервера, что определяется большим числомслужб, запускаемых при старте системы. Во-вторых, самая первая заг-рузка контроллера домена выполняется еще дольше, и степень задер-жки определяется исключительно быстродействием жесткого диска. В-третьих, после перехода процесса загрузки в графический режим вы-полняется применение групповых правил к компьютеру и запуск ката-лога, о чем дают знать сообщения «Starting Networking» и «Applyinggroup policy». Компьютер, надолго задумавшийся на этапе запуска се-тевых служб, — первый сигнал о том, что не все в порядке с парамет-

Установка Active Directory 95

рами, В таком случае загрузка компьютера до появления приглашенияаутентификации занимает десятки минут и сопровождается сообщени-ем о том, что одна или несколько служб не были запущены. В наихуд-ших случаях даже после ввода вашего имени и пароля проходит не-сколько десятков минут до появления привычного Windows Explorer,Я. может, и сгущаю краски, рассказывая о достаточно редких ситуаци-ях, возникающих, как правило, из-за сбоев компьютера в процессе ус-тановки Active Directory, и все же надо знать, что такое случается, и несуетиться, нажимая кнопку Reset. В любом случае надо дождаться заг-рузки и аутентификации для выяснения причины сбоя.

Поскольку служба DNS — ключевая в работе Active Directory, то имен-но ее сбои в первую очередь приводят к подобным катастрофам. Дляобнаружения сбоев откройте журнал регистрации событий. Одним изчасто встречаемых и достаточно безобидным в рассматриваемойситуации является событие 5781. Оно сообщает о том, что динами-ческое обновление записей в DNS не выполнено.

1J*

tvent Properties

£w* ]

'bsta:/ 1$*$:

' T№&

юга 'SWIMИЭЗ С4ВДКWainfl E «nU

- WfUJKHij. NijneB: E7EF1

'i liit n 01 deregisSralibn cf 'iris 01 rinre DNS iго DK5 setves ээ avalabfe.

Вот так вы можете узнать, что не все записи о доменебыли записаны в DNS

Так как DNS у вас только один и стоит на том же компьютере, чтоконтроллер домена, то причину надо искать здесь же. Если вы разре-шили динамическое обновление зоны, то почти наверняка причинав том, что DNS запускается на 1-3 секунды позже службы Netlogon.Виноват в этом только ваш компьютер. Скорее всего быстродействие


системы в целом не соответствует требованиям, предъявляемым ксерверам. Чтобы исправить положение и внести нужные записи в DNS,перезапустите службу Netlogon:

Net stop netlogon

Net start netlogon

Можно и проигнорировать запись об этой ошибке, так как через 5минут служба Neclogon вновь попытается обновить информацию вDNS. Следующие попытки обновления будут выполнены через 10, 40и 60 минут, а затем регулярно с интервалом в 1 час.

А что если наблюдаются проблемы?

Откройте консоль DNS и убедитесь, что все необходимые записи за-несены. Как, вы еще не знаете, какие записи там должны появиться?Ну, это совсем просто. Вы их все увидите, открыв файл %sysdir%\con-fig\netlogon.dns. Они могут выглядеть, например, так:

fyodor.home. 600 IN A 10.1.1.111_ldap._tcp.fyodor.home. 600 IN SRV 0 100 389 ETA,fyodor.home.Jldap._tcp.5fcS37ce-ba70-481d-aeb7-f30bce70ebaf.

domains.jnsdcs,fyodor.home. 600 IN SRV 0 100 389 ETA.fyodor.home.

1615cOe3-c2e8-4996-92b3-fba6d73d79c8.jnsdcs.fyodor.home. 600 IN CNAME

ETA.fyodor.home._kerberos._tcp.dc.jnsdcs.fyodor.home. 600 IN SRV 0 100 88

ETA.fyodor.home._ldap..top.dc.jnsdcs.fyodor.home. 600 IN SRV 0 100 389 ETA.fyodor.home._kerberos._tcp.fyodor.home. 600 IN SRV 0 100 88 ETA.fyodor.home.

_kerberos._udp.fyodor.home. 600 IN SRV 0 100 88 ETA.fyodor.home._kpasswd._tcp,fyodor.home. 600 IN SRV 0 100 464 ETA.fyodor.home._kpasswd._udp.fyodor.home. 600 IN SRV 0 100 464 ETA.fyodor.home.

_ldap._tcp.Site-2..sites.fyodor.home. 600 IN SRV 0 100 389ETA.fyodor.hone.

J.dap.„tcp.Site--1._sltes, fyodor.home. 600 IN SRV 0 100 389ETA.fyodor.home.

_kerberos._tcp.Site-2._sltes.dc._msdcs.fyodor.home. 600 IN SRV 0 100 88ETA.fyodor.home,

_kerberos._tcp,Site-1._sites.dc,._msdcs.fyodor.home., 600 IN SRV 0 100 88ETA.fyodor.home.

J.dap._tcp.Stte-2._sites.dc. jnsdcs.fyodor.home. 600 IN SRV 0 100 389ETA.fyodor.home.

_ldap._tcp.Site-1..sites.dc. jnsdcs,fyodor,home. 600 IN SRV 0 100 389ETA.fyodor.home.

_kerberos._tcp.Site-2._sites.fyodor.home. 600 IN SRV 0 100 88ETA.fyodor.home.

_kerberos._tcp.Site-1.„sites,fyodor.home. 600 IN SRV 0 100 88ETA.fyodor. homei,


_ldap._tcp.gc.jnsdcs.fyodor.home. 600 IN SRV 0 100 3268ETA.fyodor.home.

go.jnsdcs.fyodor.home. 600 IN A 10,1.1.111_gc.jtcp.fyodor.home. 600 IN SRV 0 100 3268 ETA.fyodor.home._ldap._tcp.Site-1,.sites.gc.jrsdcs.fyodor.home. 600 IN SRV 0 100 3268

ETA.fyodor.home,

_gc._tcp.Site-1.j3ites.fyodor.home. 600 IN SRV 0 100 3268ETA.fyodor.home,

_ldap._tcp.Site-2._sites.go.jnsdcs.fyodor.home. 600 IN SRV 0 100 3268ETA.fyodor.home,

_gc._tcp,Site-2.„sites.fyodor.home. 600 IN SRV 0 100 3268ETA.fyodor.home.

_ldap._tcp.pdc. jnsdcs.fyodor.home. 600 IN SRV 0 100 389ETA.fyodor.home.

He думаю, что этот листинг нуждается в комментариях. Хорошо вид-но, что речь идет о добавлении в домен fyodor.home контроллерадомена ЕТА. Кстати, если вы сделали зону не обновляемой динамичес-ки по забывчивости или умышленно, то данный файл можно импор-тировать в DNS, что позволит создать нужные для работы записи.

Если же зона сконфигурирована как обновляемая динамически, тоотсутствие указанных записей свидетельствует о проблемах с настрой-кой DNS. Чтобы их выявить, попробуйте выполнить команду NSLOO-KUP <полное.имя.домена>. Ответ должен быть примерно таким:

Server: dc01.fyodor.homeAddress: 10.1.1,3Name: fyodor.homeAddresses: 10.1.1.3

Если вместо этого появится сообщение о том, что сервер не найден,проверьте параметры сетевого интерфейса.

Одним из средств анализа проблем регистрации в DNS записей, вы-полняемых службой Netlogon, является просмотр файла %system-root%\netlogon.log. Предварительно нужно модифицировать в ветвиреестра HKLM\System\CurrentControlSet\Sen'ices\Netlogon\Parametersзначение параметра DbFlag и установить его в 2000FFFF.

Еще одна из причин возникновения ошибки 5^81 — различие междуименем домена и суффиксом в имени компьютера. Эта ошибка наи-более вероятна при обновлении контроллера домена Windows NT 4до Windows 2000. В этом случае флажок в диалоговом окне свойствкомпьютера «Change primary DNS suffix when domain membershipchanges* оказывается сброшенным, что и приводит к расхождениюимени домена и суффикса. Чтобы решить эту проблему, запуститеDCPROMO, верните контроллер домена в состояние сервера, а затем


снова сделайте его контроллером домена, предварительно отметивуказанный флажок.

Замечание Если установка Windows 2000 производилась со «sleep-stream* дистрибутива, т. е. такого, к которому применен пакет обслу-живания SP1 и выше, подобного не случается.

Если в журнале регистрации все еще появляются сообщения об ошиб-ках в работе службы DNS, обратитесь к статье «Windows 2000 DNSEvent Messages 1 Through 1614* н Microsoft Technet.

Выводы

Подведем первые итоги.

Если вы доверили установку и конфигурирование службы DNS про-грамме DCPROMO, то сервер будет сконфигурирован на контролле-ре домена, а на нем будут созданы две зоны: с именем, совпадающемс именем созданного домена, и корневая зона — «.». Обе будут интег-рированы с Active Directory, что для вас автоматически решит пробле-му тиражирования информации между различными серверами DNS.Наличие корневой зоны подразумевает, что передача запросов наразрешение имен с данного сервера DNS на другие невозможна. По-этому, если в дальнейшем вы захотите использовать внешний DNS дляразрешения имен Интернета, то корневую зону на вашем сервере надобудет удалить. Другая особенность зон, интегрированных с ActiveDirector)', в том, что они поддерживают только защищенные динами-ческие обновления. Под этим подразумевают возможность установ-ления списка контроля доступа к зонной информации так, что толь-ко те клиенты, которым такое обновление разрешено, смогут вноситьизменения.

Два варианта расположения первого сервера DNS


Конфигурируя сервер DNS самостоятельно, вы можете разместить егокак на контроллере домена, так и на отдельном сервере. В первомслучае зоны можно будет интегрировать с Active Directory, во вто-ром — нет. Однако второй вариант позволяет использовать не толь-ко сервер DNS Windows 2000, но и любой другой, удовлетворяющийопределенным требованиям, речь о которых пойдет далее. Кроме того,при расположении сервера DNS на компьютере отличном оттого, накотором находится контроллер домена, вы избавляетесь от ошибки,связанной с поздним стартом службы DNS.

DNS уже есть. Ну, и что с ним делать?

Рассмотренный выше случай скорее подходит для небольшой сети,построенной на базе Windows NT или ранних версий Novell Netware.Обычно DNS в той или иной степени используется для предоставле-ния доступа к UNIX-хостам или разрешения имен Интернета. В такойситуации к действующему серверу DNS надо подходить крайне осто-рожно. При этом есть несколько вариантов развития событий, завися-щих как от версии существующего сервера DNS, так и от желания адми-нистратора что-либо изменять в нем.Сервер DNS, поддерживающий свойства, необходимые Active Directory,можно использовать для создания домена, если его администраторсогласен и если это не повредит безопасности. Но не будем спешить:сначала вспомним, какие свойства DNS должны поддерживаться.

Поговорим о версиях DN5

К серверу DNS предъяачяется ряд обязательных (например, поддерж-ка записей типа SRV) и факультативных (например, поддержка дина-мических обновлений) требований, необходимых для поддержкиActive Directory. В настоящее время существует несколько реализацийслужбы DNS, среди которых можно выделить службу DNS Windows2000, службу DNS Windows NT 4-0, а также самые разные реализациисерверов BIND. Взгляните на сравнение разных реализаций в планеподдержки функций, требуемых для работы Active Directory:

Сравнение свойств различных реализаций DNSСвойство

SRVДинамические обновленияЗащищенные динами-ческие обновленияWINS / WINS-RБыстрая передачаИнкрементпая передачаUTP-8

Windows 2000

ДаДаД*

Да

ДаДаДа

Windows NT 4.0

Да (с SP 4)НетНет

ДаДаИстНет

8.2.2ДаДаНет

Нет

ДаДаНет

Bind

8.2.1ДаДаНет

НетДаНетНет

4.9.7ДаНетНет

НетДаНетНет

_100 Active Directory: подход профессионала

Полагая, что поддержка защищенных динамических обновлений, раз-решения NetBIOS-имен компьютеров путем интеграции со службойWINS, поддержка UTF-8 являются факультативными функциями, видим,что для работы Active Directory полностью подходят только службыDNS Windows 2000 (что и понятно) и BIND версии 8.2.2 и выше.

Теперь рассмотрим варианты использования существующего сервераDNS. Начнем с ситуации, когда версия этой службы позволяет исполь-зовать ее для поддержки Active Directory.

DNS Windows 2000 или BIND версии лучше 8.2.2

Это простейший случай. Вряд ли стоит говорить об использованиисервера DNS Windows 2000, Это «родной* для Active Directory сервер,и проблем с ним быть не должно. (Хотя, как мы уже видели, они все-таки бывают.)

Замечание Использование для построения Active Directory серве-ра DNS, расположенного в незащищенном участке сети, например вдемилитаризованной зоне, крайне нежелательно.

Использование сервера BIND версии 8.2.2 и выше должно быть оправ-данно. Например, сеть построена так, что сетевая инфраструктура(службы DHCP и DNS) реализована на базе Optivity NetlD от фирмыNortel. Архитектура данной реализации такова, что на центральномсервере работает «движок», осуществляющий доступ к центральнойСУБД (например, Oracle) и управляемый с отдельной консоли. С «движ-ком» связаны агенты, расположенные в различных частях сети и ис-полняющие роль серверов DNS/DHCP. Агентами нельзя управлятьиначе, нежели через центральную консоль, что предопределяет жест-кую централизацию управления. С другой стороны, единая база гаран-тирует надежную выдачу уникальных адресов и их регистрацию, Раз-вертывание такой службы весьма дорого, так как приходится пла-тить не только за лицензию на СУБД, но и за количество обслужива-емых адресов. Если вы не используете совместимый тип СУБД, тоэкономически выгоднее служба DNS Windows 2000.

BIND версии хуже 8.2.2

Если же в настоящее время в сети имеется сервер DNS версии ниже8.2,2, то могу предложить несколько сценариев его использования.Первый, конечно же, — обновление его до нужной версии. Но этотспособ мы отвергаем, предполагая, что на то имеются важные при-чины. Тогда два основных варианта:

• для поддержки Active Directory устанавливается новый сервер DNS;

• в конфигурацию имеющегося сервера вносятся небольшие изме-нения, и дополнительно устанавливается новый сервер DNS.


Оба варианта рассматриваются в предположении того, что имя доменаActive Directory не совпадает с именем существующей зоны. Если жеэто не так, то решение несколько сложнее, Имя существующей зоныпусть будет mycorp.ru.

Первый вариант тривиально прост. На любом из серверов в сети ус-танавливается дополнительный сервер DNS, скажем, тот, что входитв Windows 2000. На нем создается дочерняя зона, например msk.my-corp.ru, для которой разрешены динамические обновления. Сам сер-вер конфигурируется так, что все неразрешенные запросы перенап-равляются на существующий сервер DNS, На всех клиентских компь-ютерах в качестве первичного сервера DNS указываем адрес новогосервера. И устанавливаем Active Directory.

Сервер DNSBIND ver. <8.2.2

mycorp.ru10.1.1.111

Клиент

DNS: 10.1.1 111 --> 10.1.1 •

Домен msk.mycorp.ru

Для поддержки Active Directory устанавливается новыйнезависимый сервер DNS

Недостаток такого решения — необходимость смены адреса первич-ного сервера DNS на всех клиентах в сети. Однако служба DHCP зна-чительно упрощает решение этой задачи.

Второй вариант посложнее. Как и в предыдущем случае для поддерж-ки Active Directory создается отдельный сервер DNS. На нем конфигу-рируется соответствующая зона, например msk.mycorp.ru, и устанав-ливается одноименный домен Active Directory. Затем на сервере DNS,поддерживающем зону mycorp.ru, создается делегирование зоныmsk.mycorp.ru на новый сервер DNS. На всех клиентах параметрыTCP/IP не изменяются, но они все же получают возможность полно-ценной регистрации и поиска в домене.


Делегирование зоныmsk.mycorp.ru

mycorp.ru10.1.1.111

Существующий сервер делегирует управление зоной на новый сервер

Совсем иное дело, когда имена зоны существующего сервера DNS идомена Active Directory совпадают. Так как мы рассматриваем случайсервера DNS, не совместимого с Active Director)-', то его нельзя исполь-зовать для построения домена. А надо бы... Что ж, попробуем!

+ Установите новый сервер DNS. совместимый с Active Directory.Создайте на нем зоны:

_и dp.mycorp.ru;

_tcp.mycorp.ru;_sites.mycorp.ru;

_msdcs.my со rp.ru.

• Разрешите динамическое обновление этих зон.

• На старом сервере DNS делегируйте перечисленные выше зоны нановый сервер. Это позволит контроллерам домена динамическиобновлять информацию в записях типа SRV.

Чтобы клиенты смогли динамически регистрироваться в DNS:

• на новом сервере DNS создайте специальную зону, например cli-ents, mycorp.ru, разрешите для нее динамические обновления;

• на старом сервере делегируйте эту зону на новый сервер;

+ на всех клиентах в качестве первичного суффикса укажите cli-ents, mycorp.ru и сбросьте срлажок Change primary DNS suffix whendomain membership changes в свойствах компьютера; после пере-загрузки клиенты зарегистрируют себя в новой зоне.


Однако это не все. Дело в том, что контроллеры домена регистриру-ют не только записи типа SRV, но и записи типа А для всех своихсетевых интерфейсов и для всех сетевых интерфейсов глобальногокаталога (ГК). Так как описанный выше трюк не пройдет, придетсявнести соответствующие записи в зону на «старом» сервере DNS вруч-ную. Эти записи можно взять из файла netlogon.dns.

Выше л упомянул о том. что служба netlogon периодически обновля-ет записи в DNS. В нашем случае всякий раз при попытке обноалениязаписей типа А в журнал регистрации будет заноситься ошибка 5773 —«The DNS server for this DC does not support dynamic DNS. Add the DNSrecords from the file '%SystemRoot%\System32\Canfig\netlogon.dns to theDNS server sen-ing the domain referenced in that file». Чтобы исключитьее появление, запретите службе Netlogon обновление этих записей: вветви реестра HKLM\SYSTEM\CurrentControlSet\Services\Netlogon\Pa-rameters установите параметр RegisterDnsARecords в 0.

Делегирование зон_udp. mycorp.ru_tcp. mycorp.ru

_sites. mycorp.ru_msdcs. mycorp.ruclients.mycorp.ru

10.1.1.1udp.rnycorp.rutcp.mycorp.ru

_sites.mycorp.rujnsdcs.mycorp.ru

clients.mycorp.ru

Сервер DNS

BINDver. <8.2.2

Клиент Клиент

DNS: 10.1.1.111

Суффикс DNS:

clients.mycorp.ru

Домен mycorp.ru \При совпадении имен существующей зоны с именем доменаиспользуют более сложное решение

А если сервер DNS расположен за межсетевым экраном?

Рассмотрим еще одну распространенную ситуацию: сервер DNS рас-положен за межсетевым экраном в демилитаризованной зоне (DMZ)и используется для разрешения имен Интернета.


Независимо от того, совместим ли он с Active Directory, использоватьданный сервер для хранения зон Active Directory не рекомендуется.Этим вы серьезно компрометируете безопасность сети. А раз так, тоцелесообразнее всего установить новый сервер DNS во внутреннейсети, создать на нем зоны для домена Active Directory и передать всенеразрешенные запросы на внешний сервер DNS через межсетевойэкран. Для этого на межсетевом экране надо открыть порты UDP 53 иTCP 53 для пропуска трафика между двумя серверами DNS. На всехклиентах в качестве адреса первичного сервера DNS указывается ад-рес нового сервера.

Дополнительный плюс такого решения в том, что на межсетевом эк-ране порты открываются лишь для одного определенного компьюте-ра во внутренней сети, а не для всех клиентов.

UDP 53,10.1.1.1<-->10.5.1.1ГTCP 53, 10.1.1.1<-->10.5.1.111

Клиент

DMS:10.1.1 1

Домен msk.mycorp.ai

Если сервер DNS расположен за межсетевым экраном, надооткрыть соответствующие порты между серверами DNS

Описанное решение годится для случая, когда имя домена ActiveDirectory не совпадает с именем зоны на сервере DNS в DMZ. А теперьпредставьте себе организацию с зарегистрированным в Интернетеименем mycorp.ru. Принято решение использовать его в качествеимени корневого домена Active Directory. Допустим также, что сотруд-ники должны иметь доступ к корпоративному Web-серверу www.my-corp.ru, расположенному в DMZ, и к своей почте, используя OutlookWeb Access (OWA) как изнутри, так и извне, т. е. из Интернета.


Контроллер домена,

сервер DNS. 10.1.1.1

Контроллер домена,Сервер ONS,

10.1.2.1

Клиент

'DNS: 10.1.1.1, 10.1.2.1 mycorP.ru Сайт 1(10.1.1.0/24)

Сервер DNS,контроллер домена

10.1.2.1

Сайт 2(10.1.2.0/24)

Контроллер доменасервер DNS, 10.1.2.2

Клиент

4*8:10.1.2.1, 10.1.2.2 msk.mycorp.ru'

Сервер BIND,

Ш.3.2 СайтЗ(10.1.3.0/24)1

Пример реализации структуры DNS при размещении доменовв отдельных сайтах

toe Active Directory: подход профессионала

Я уже говорил, что размещать информацию о зонах Active Directoryза межсетевым экраном недопустимо, поэтому описанное ранее ре-шение невозможно. И все же решение есть.

Итак, сначала во внутренней сети устанавливаем сервер DNS для ра-боты Active Directory. На нем создается зона mycorp.ru, для которойразрешены динамические обновления. В этой же зоне статическисоздаются записи типа А для серверов, расположенных в DMZ. (Воз-можно и создание записей типа CNAME.) Неразрешенные запросыпереадресуются на сервер DNS в DMZ. На межсетевом экране откры-ваются порты для обмена между серверами DNS. и для всех пользова-телей открываются нужные порты для доступа к серверу Web и OWA.На всех клиентах в качестве адреса основного сервера DNS указыва-ется адрес внутреннего сервера.

Доступ из Интернета осуществляется через межсетевой экран и NAT(Network Address Translation). Сервер DNS в DMZ содержит записи осервере Web и OWA, но адресация для них указана внешняя, т. е. та, покоторой они доступны извне через NAT.

mycorp.ru10.1.1.1

www IN A 10.5.1.20mail IN A 10.5.1.21

Клиент КЛИЕНТ

Домен mycorp.ru

Сервер DNS www.rnycorp.ru mail.mycorp.nj10.5.1,20 10.5.1.21

Интернет

Для обеспечения доступа к серверам в DMZ необходимостатически прописать их адреса на внутреннем сервере

Строим лес доменов

Строительство дерева доменов можно вести по-разному в зависимо-сти от конкретных условий. Главное влияние на структуру DNS ока-зывает разбросанность дерева по сайтам, т. е. по участкам сети, свя-занным между собой относительно медленными каналами связи.


Допустим, что структура дерева состоит из трех доменов: корневогоmycorp.ru, дочернего к нему msk.mycorp.ru и домена test.msk.mycorp.ru,дочернего ко второму. Мы рассмотрим следующие варианты:

• все домены расположены в одном сайте;

• каждый из доменов располагается в отдельном сайте;

+ один из доменов разбит на несколько сайтов.

Все домены в одном сайте

Этот вариант самый простой, так как связь внутри сайта предполага-ется высокого качества, а значит, любой клиент может иметь доступк любому серверу DNS. Однако есть повод поразмышлять. Во-первых,сколько серверов DNS конфигурировать? Во-вторых, какого типа зонысоздавать: стандартные первичные, вторичные или интегрированныес Active Directory? В-третьих, как конфигурировать DNS и клиенты?

Количество серверов DNS в сайте определяется объемом хранимойинформации, загруженностью сервера и требованиями отказоустой-чивости. Исходя из последнего, серверов DNS должно быть минимумдва. Если на одном располагаются стандартные первичные зоны длявсех трех доменов, то на втором — стандартные вторичные зоны длятех же доменов. Клиентские компьютеры сконфигурированы так, чтов качестве адреса первичного сервера DNS указывается адрес серве-ра, на котором установлены первичные зоны, в качестве альтернатив-ного — сервер со вторичными зонами.

Если же эти зоны интегрированы с Active Directory, то серверы DNSрасполагаются на контроллерах доменов и содержат одинаковуюинформацию. Клиентам безразлично, адрес какого сервера указан какпервичный, а какого — как альтернативный. Но вот для самих кон-троллеров домена это важно. В их параметрах адрес основного сер-вера DNS должен указывать на другой -сервер, а адрес альтернативно-го — на себя. Почему это так, я расскажу в разделе «Проблема островов*.

Когда нагрузка на серверы DNS велика, требуется больше серверовDNS. Например, можно создать по два сервера DNS для каждого до-мена Active Directory. Если используются стандартные зоны, то одиниз таких серверов содержит стандартную первичную зону, а второй —стандартную вторичную. При этом целесообразно в корневом доме-не делегировать все дочерние зоны на соответствующие серверы DNS,а на всех клиентах указать в качестве первичного и альтернативногосерверов DNS адреса серверов в корневом домене. Можно поступитьи иначе; каждый из дочерних серверов DNS пересылает неразрешен-ные запросы к родительскому, а клиенты в каждом домене указываютв качестве серверов DNS адреса серверов в «своем» домене. Однакотогда надо позаботиться о правильной автоматической конфигурацииэтих адресов через DHCP или сконфигурировать их вручную.


Если зоны интегрированы с Active Directory', дополнительная настрой-ка не нужна. Надо лишь, чтобы первый контроллер в корневом доме-не в качестве адреса первичного сервера DNS не указывал сам на себя.

Если домены содержат огромное число контроллеров, потребуетсядополнительная настройка (см. раздел «Ну очень большая компания»),

А теперь — прямо противоположный пример: каждый домен распо-лагается в своем сайте.

Вариант расположения серверов DNS для зон, интегрированныхс Active Directory и для стандартных зон

Каждый домен в своем сайте

На первый взгляд, решение здесь просто развивает представленноевыше. В каждом домене (а значит, и в сайте) по 2 сервера DNS. Еслиони расположены на контроллерах домена и все зоны интегрирова-ны с Active Directory, то этого вполне достаточно, Репликация авто-матически будет тиражировать изменения между серверами. На кли-ентских компьютерах прописывается по два адреса серверов DNS:


расположенного в том же сайте, что и клиент, и расположенного вближайшем сайте. При этом надо обратить внимание на пропускнуюспособность каналов. Если сайт связан одновременно с двумя други-ми, но полоса пропускания канала с первым — 64 кб, а со вторым —256 кб, предпочтение надо отдать второму.

Если служба DNS организована посредством серверов BIND либо выне хотите использовать зоны, интегрированные с Active Directory, тодля отказоустойчивости желательно иметь по два сервера DNS в каж-дом сайте, На первом будет первичная зона для домена данного сай-та. В ней должно быть прописано делегирование остальных зон насоответствующие серверы DNS в других сайтах. Второй содержитвторичную зону для локального домена. На клиентах прописаны ад-реса серверов DNS «своего» сайта. Если нужно обеспечить разреше-ние других имен, например хостов в Интернете, каждый из серверовDNS должен иметь настроенную пересылку' неразрешенных запросов(forwarding) к внешнему серверу DNS.

В теории ясно, а вот как на практике? Есть тут одна тонкость, кото-рую надо учесть. Каждый контроллер домена регистрирует в DNS дванабора записей: один, касающийся своего домена, второй — леса вцелом. Первый заносится н зону, соответствующую имени домена,например, в нашем случае -- для домена msk.mycorp.ru, а второй — взону _msdcs.mycorp.ru. Последняя существует только в корневом до-мене, т, е. в mycorp.ru.

Внимание Записи, заносимые в зону _msdcs.<HMH леса>, весьма важ-ны для Active Director)'. Это, например, адреса глобальных каталоговили имена партнеров по репликации.

В случае расположения всех доменов в одном сайте, доступ с контрол-лера любого домена всегда возможен к зоне _msdcs.mycorp.ru. Одна-ко если домены разнесены по сайтам, есть вероятность прерыванияканала связи и отсутствия доступа к рассматриваемой зоне. Для раз-решения этой проблемы в DNS корневого домена надо создать отдель-ную зону _msdcs.<HMfl леса> (_msdcs.mycorp.ru в нашем примере) итиражировать ее на все серверы DNS в лесу. Если эта зона интегриро-вана с Active Directory в корневом домене, то на всех остальных DNSв других доменах надо создать вторичные зоны с тем же названием ирастиражировать содержимое.

Описанный подход решает еще одну проблему. Допустим, в нашемпримере домен test.msk.mycorp.ru расположен в сайте, связанном состальными коммутируемой линией. В этом случае всякий раз, когдапонадобится разрешение имени из зоны _msdcs.<HMH леса>, будетгенерироваться траффик по коммутируемой линии. Разместив эту


зону на локальных серверах DNS. мы избавимся от .чтого трафика, азначит, и от лишнего дозвона по коммутируемой линии.

«Да, но тиражирование этой зоны по всем серверам DNS в сайте из-быточно,» — возразите вы и... и будете неправы. Пусть на некоторомсервере DNS в сайте нет описываемой зоны, и он к тому же не скон-фигурирован для передачи неразрешенных запросов на другие сер-веры. Тогда для поиска имени в этой зоне он должен использоватьрекурсию. Для этого он должен обратиться к корневому серверу DNSдля зоны, а затем проследовать по делегируемым зонам до нахожде-ния нужной. Если корневой сервер — за пределами сайта, а связь сай-та с другими прервана, то он никогда не найдет требуемой зоны, дажеесли она будет находиться на соседнем сервере DNS в сайте.

Мораль проста: при расположении доменов в отдельных сайтах вкаждом сайте должно быть минимум два сервера DNS. Сервер DNSкорневого домена должен содержать;

+ первичную (или интегрированную с Active Directory) зону для сво-его домена, реплицируемую как минимум на еще один сервер DNSв сайте;

ф первичную (или интегрированную с Active Directory) зону _msdcs.<имя леса>, реплицируемую на все сервера DNS во всех сайтах;

• делегирование для зон всех дочерних доменов.

Каждый из серверов DNS в дочерних доменах должен иметь:

• первичную (или интегрированную с Active Directory) зону для сво-его домена, реплицируемую как минимум на еще один сервер DNSв сайте;

+ вторичную зону _глзс!сз.<имя леса>;

• переадресацию запросов на сервер DNS в корневом домене и/илиделегирование для зон всех дочерних доменов.

Один домен разбит на несколько сайтов

Данный случай почти не отличается от описанного выше. Однако надоособо рассмотреть домен, разбитый на два (или в общем случае — набольшее число сайтов). Из нескольких возможных вариантов рассмот-рим самые интересные:

• один из сайтов в домене подключен по медленному, но выделен-ному каналу связи и содержит не более 20 пользователей;

• один из сайтов в домене подключен по достаточно быстрому инезагруженному каналу и содержит большое число пользователей;

ф один из сайтов подключен по медленному, но выделенному кана-лу связи и содержит более 20 пользователей;

• один из сайтов подключен по коммутируемому каналу


Используя информацию, приведенную выше, делаем выводы:

Характеристики сайта Организация DNS

Подключение по медленному выделен- Можно обойтись без сервераному каналу, не более 20 пользователей DNS в сайте. Все клиенты в ка-ИЛИ честве адреса DNS-сервера ис-Подключение по быстрому незагружен- пользуют адреса в других сай-ному каналу, большое число пользова- тах, связанных с рассматривае-телей мымПодключение по медленному выделен- Минимум один DNS-сервер,ному каналу, более 20 пользователей имеющий зону для домена, пред-ИЛИ почтительно интегрированнуюПодключение по выделенному каналу с Active Directory-, либо вторич-

ную зону. Также имеет вторич-ную зону _msdcs.<HMH леса>

Проблема «островов»Речь пойдет не о взаимоотношениях Японии с Россией, а о довольнораспространенной ошибке, допускаемой администраторами при кон-фигурировании DNS.

Рассмотрим случай, когда на контроллере домена, являющимся так-же сервером DNS, в параметрах TCP/IP в качестве адреса сервера DNS,содержащего зону _гшс!с5.<имя леса>, указан собственный адрес. Этосправедливо, например, для контроллера корневого домена, являю-щегося сервером DNS с зоной, интегрированной с Active Directory. Какя уже говорил, зона _гшс!с5.<имя леса> содержит записи о партнерахпо репликации. (Это записи типа CNAME, которые связывают GUIDконтроллера домена с его именем.) Пусть у контроллера домена из-менился IP-адрес. Так как первичным сервером DNS для него являет-ся он сам, то он внесет соответствующее изменение в запись CNAMEв собственный сервер DNS. Любой другой контроллер домена, настро-енный аналогично, не сможет реплицировать эти изменения, так какв «его» сервере DNS записан старый адрес контроллера домена, накотором произошло изменение. Таким образом, контроллер доменаокажется в изоляции, или «на острове*, поскольку ни одно из измене-ний, вносимых на нем в Active Directory1, не будет тиражироваться надругие контроллеры домена.

Избежать проблемы «островов» несложно: на любом контроллередомена нельзя в качестве первичного сервера DNS указывать собствен-ный сервер. Как первичный надо указать адрес сервера DNS на дру-гом контроллере домена, а как альтернативный — свой.

Как это сделать? Пусть в домене mycorp.ru сервер DNS установленна контроллере rootl.mycorp.ru. Соответствующая зона интегрирова-на с Active Directory. Вы устанавливаете дополнительный контроллер

5-2005


домена root2, на котором также установлен, но еще не сконфигури-рован сервер DNS. Перед запуском DCPROMO в качестве адреса ос-новного сервера DNS укажем адрес сервера rootl, а в качестве альтер-нативного — собственный. По окончании работы DCPROMO. но доперезагрузки компьютера надо на сервере rootl указать как адрес пер-вичного сервера DNS адрес сервера root2. а как альтернативный -собственный. После перезагрузки все будет работать.

Использование «плоских» имен корневого домена••Плоским» именем домена называется такое, в котором нет ни однойточки. Как указывалось в предыдущей главе, не рекомендуется исполь-зовать «плоские» имена корневого домена поскольку:

• в домене с «плоским* именем по умолчанию клиенты не могутиспользовать DNS для поиска контроллеров домена;

* для контроллеров домена с «плоским» именем динамическая ре-гистрация записей в DNS по умолчанию невозможна.

Тем не менее в случае острой необходимости поддержку плоских именможно включить. Для этого надо выполнить следующее.

1. Для того чтобы члены домена с -плоским* именем могли находитьконтроллеры в домене, можно либо соответствующим образом на-строить разрешение имен NetBIOS (допустим, сконфигурировавслужбу WINS), либо на всех клиентах установить в реестре значе-ние параметра AllowSingleLabeiDnsDomain в ветви HKEY_LO-CAL_MACHINE\System\CurrentControlSer\Services\Nctlogon\Parametersравным 1.

2. Для того чтобы клиентские компьютеры на базе Windows XP Pro-fessional или Windows 2000 SP4 могли динамически регистриро-вать записи в DNS, следует установить в реестре значение парамет-ра UpdatcTbpLcvelDomainZoncs в нетви HKEY_LOCAL_MACHINE\SYSTEM\CurrentContro!Set\Services\DnsCache\ Parameters равным 1.Этот же параметр для клиентов на базе Windows Server 2003 рас-положен в ветви реестра HKEY_LOCAL_MACHINE\SOFT\VARE\ Po-Jicies\Microsoft\Windows NT\DNSClient.

DNS в крупной компанииПри развертывании Active Directory в крупных организациях чрезвы-чайно важно избежать ошибок, связанных с неправильной конфигу-рацией DNS.

Допустим, в организации существует дерево доменов mycorp.ru. Все в -этом дереве работает нормально. И тут принимается решение о созда-нии нового дерева в леет доменов, в которое нужно включить пока толь-ко один домен — inc.filial.ru. Подключение этого домена в виде отдель-ного дерева обусловлено административными причинами. Из сообра-


жений безопасности выдвигается требование: никто из этого доменане должен иметь административных прав в основном дереве, а лучшедаже ограничить доступ на уровне сети. С другой стороны, админист-раторы основного дерева могут иметь доступ к новому домену.

Исходя из этого системный администратор:

• устанавливает новый сервер Windows 2000;

• устанавливает на нем сервер DNS, конфигурирует первичную зонуint.filial.ru. указывает необходимость пересылки неразрешенныхзапросов на внешний сервер DNS filial.ru, обслуживающий запро-сы на доступ в Интернет;

ф указывает в качестве адреса основного сервера DNS собственныйадрес, а в качестве альтернативного — адрес сервера DNS в корне-вом домене основного дерена;

ф запускает DCPROMO и конфигурирует контроллер домена int.filial.ru;

• на всех клиентских компьютерах указывает в качестве адреса сер-вера DNS адрес нового контроллера домена.

После перезагрузки все работает нормально. Пользователи доменаint.filial.ru входят в домен без проблем. Окрыленный успехом адми-нистратор решает установить второй контроллер в домене Jnt.filial.ru.Он повторяет практически те же шаги за исключением того, что сер-вер DNS автоматически конфигурирует программой DCPROMO, aпосле перезагрузки указывает адрес первого контроллера в домене какадрес первичного сервера DNS, а как альтернативный — свой.

Заглянув потом в журнал регистрации, он обнаруживает, что там сзавидной периодичностью появляется сообщение об ошибке динами-ческой регистрации записи в домене... filial.ru.

Если вы внимательно читали эту главу, то поняли, что контроллердомена периодически пытается обновить записи в зоне _msdcs.my-corp.ru. Не найдя их на своем сервере DNS, он обращается к серверу,поддерживающему зону filial.ru, но и там нет нужной зоны. Не смертель-но, но неприятно.

Что делать? Правильно. Создать вторичную зону _msdcs.myc orp.ru наобоих контроллерах домена и синхронизировать ее с основной.

А теперь рассмотрим вариант оптимизации работы DNS для случая,когда несколько сайтов подключены к одному центральному. Этотипичная ситуация для организации с большим числом филиалов.Обычно при этом пользователи одного филиала не должны иметьдоступа к ресурсам в другом филиале. С другой стороны, крайне же-лательно, чтобы пользователи могли найти контроллеры домена толь-ко в своем сайте, либо при отсутствии контроллеров в сайте — кон-троллер в центральном сайте.


Для реализации такого решения служба Netlogon на контроллерахдоменов в филиалах должна регистрировать в DNS только записи,относящиеся к сайту. При этом клиенты, у которых в качестве адресапервичного сервера DNS прописан сервер своего сайта будут видетьадреса контроллеров доменов только внутри сайта. В случае недоступ-ности внутреннего сервера DNS клиенты будут обращаться к DNSродительского сайта и получать информацию о контроллерах доме-на только этого сайта.

Внимание Возможность конфигурирования типа записей, регист-рируемых службой Netlogon в DNS, появилась н Windows 2000 SP2.

Чтобы запретить регистрацию службой Netlogon определенных запи-сей, надо изменить параметр DnsAvoidRegisterRecords в ветви реестраHKLM\System\CurrentControlSet\Sen-'ices\Netlogon\Parameters. Это па-раметр типа REG_MULTI__SZ, т. е. хранит в себе строку с несколькимизначениями. Если строка пуста, то разрешается поведение по умолча-нию, т. е. регистрация всех типов записей. В таблице приведен пере-чень значений, допустимых ,\ля рассматриваемого параметра, а такжезаписи в DNS, соответствующие каждому из значений.

В нашем примере на всех контроллерах домена в филиалах нужноуказать среди параметров все значения, в имени которых нет окон-чания AtSite.

Перечень значений параметра DnsAvoidRegisterRecordsЗначение Тип Запись в DNS

DCDcAtSite

DcByGuid

SRVSRV

SRV

_ld;ip._tcp.<HMaCaiiTa>._sites.dc._msdcs.<ИмяДомепа>_ldap._tcp.<DomainGuid>.domains._rri5dcs.<ИмяЛеса>

PdcGcGcAtSite

GcnericGcGenericGcAtSiteGcIpAddressDsaCnamcKdcKdcAtSite

LdapMapAtSite

SRV

SRVSRV

SRVSRV

ACNAMESRV

SRV

SRV

SRV

_ldap._tcp.gc._msdcs.<HMHJIeca>_lt ia p._tcp.< Имя Са frra>._si tes.gc._msdcs.<ИмяЛеса>_ЛС._1ср.<ИмяЛеса>

<DsaGuicf> .

_kerberos._tcp.dc._msdcs.<JfA«zt7a#we>._sites.



Значение

LdapIpAddressRfcl510KdcRfcl510KdcAtSiteRfclSlOUdpKdcRfcl510KpwdRfclSlOUdpKpwd

Тип

ASRVSRVSRVSRVSRV

Запись в DNS

<ИмяДомеиа>kerberos. 1ср.<Им%Домена>kcrberos. 1ср.<ИмяСайтпа>. sices. <ИмяДомена>kerberos, и<\\).<ИмяДомена>kpasswd. 1ср.<ИмцЦомена>kpasswd. и&р.<ИмдДомена>

Как частный случай рассмотрим ситуацию, когда в сайте нет контрол-лера домена. В Windows 2000 встроена функция AutoSiteCoverage,позволяющая клиенту выбирать ближайший (т. е. наиболее доступный)контроллер домена в другом сайте. AutoSiteCoverage указывает кон-троллеру домена, может ли он обслуживать клиенты в других сайтах.Если да, то список обслуживаемых сайтов формируется динамическина основании следующих метрик (в порядке приоритета):

+ стоимость подключения — имеется в виду стоимость подклю-чения, с точки зрения топологии сети (см. главу «Репликация ActiveDirectory»)

• количество контроллеров в сайте — чем больше контролле-ров, тем лучше;

+ порядок по алфавиту — тот сайт, имя которого стоит по алфа-виту раньше, получит приоритет при прочих равных.

Как видим, в нашем примере данный критерий теоретически позво-ляет клиенту1 из одного сайта филиала подключиться к контроллерудомена в сайте другого, что, как мы знаем, крайне нежелательно.

Дабы исключить такую возможность, на всех контроллерах доменанадо отключить функцию AutoSiteCoverage, задав нулевое значениепараметру AutoSiteCoverage в ветви реестра HKLM\SYSTEM\Current-ControlSet\Services\Netlogon\Pa ra meters.

Замечание По умолчанию в реестре данного параметра нет.

Можно также сконфигурировать список сайтов, обслуживаемых конт-роллером домена. Для этого в ветви реестра HKLM\SYSTEM\Current-ControlSet\Services\Netlogon\Parameters надо изменить значения па-раметров SiteCoverage и GcSiteCoverage. В первом перечисляются сай-ты, обслуживаемые данным контроллером домена, во втором — об-служиваемые сервером ГК.

116 Activei rjirectory: подход профессионала

Ну очень крупная компания

Наверняка вам интересно знать, есть ли практические ограниченияDNS Windows 2000? Конечно, но в нашей стране они относятся кразряду скорее гипотетических. Чтобы с ними столкнуться, надо вы-полнить одновременно минимум три условия:

+ организация (или большая ее часть) сосредоточена в одном домене;

• контроллеров домена больше 850;

• вся информация хранится в зоне DNS интегрированной с ActiveDirectory.

Сочетание просто редкостное. И все же выясним, с чем связано огра-ничение. Дело в том, что зонные записи хранятся в атрибутах с не-связанными множественными значениями (в отличие от групп, член-ство в которых записывается в атрибуты со связанными множествен-ными значениями). Для таких атрибутов существует ограничение в 850значений. Так что, если вы планируете для огромной, территориаль-но разбросанной организации поместить все в один домен, то воизбежание превышения установленного предела воспользуйтесь со-ветами из предыдущего раздела и перенесите нагрузку на сайты. Тогдав домене останется совсем немного записей в DNS.

Так нужна ли служба WINS?Этот вопрос я слышу довольно часто. Бывает, администраторы, про-читав в Windows 2000 Resource Kit фразу о том, что Windows 2000может обходиться без WINS, не устанавливают его в своей сети. Хо-рошо это или плохо? Давайте разберемся. Но начнем с NetBIOS.

Краткий экскурс в историю NetBIOS

NetBIOS — это интерфейс сеансового уровня, используемый сетевы-ми приложениями для взаимодействия через совместимый транспорт.Он позволяет устанавливать н сети логические имена, сеансы междудвумя логическими именами, а также поддерживать надежное соеди-нение между ними. Имена NetBIOS являются плоскими в противопо-ложность полностью определенным именам DNS. Длина имени неможет превышать 15 символов (плюс 1 служебный символ). Имена ав-томатически регистрируются при старте компьютера и регистрациипользователя. Имена делятся на уникальные, т. е. соответствующие од-ному адресу, и групповые, которым соответствует несколько адресов.

Если вы выполните на компьютере с ОС Windows команду nbtstat -n,то получите результат, аналогичный этому:

Local Area Connection:

Node IpAddress: [10.1.1.3] Scope Id: []


NetBIOS Local Name TableNameDC01DC01MYCORPMYCORP

HYCORP

INet~ServicesMYCORPIS~DC01MYCORP

.._MSBROWSE__

DC01

FYODORZ

<00>

<20>

<00>

<1C>

<1B>

<1C>

<1E>

<00>

<1D>

<01>

<03>

<03>

TypeUNIQUE

UNIQUE

GROUP

GROUP

UNIQUE

GROUP

GROUP

UNIQUE

UNIQUE

GROUP

UNIQUE

UNIQUE

StatusRegisteredRegisteredRegisteredRegisteredRegisteredRegisteredRegisteredRegisteredRegisteredRegisteredRegisteredRegistered

В этой таблице имя DC01 соответствует имени контроллера домена.Для него определены NetBIOS имена:

+ 00 (Имя регистрируемое службой workstation);

• 03 (служба Messenger);

ф 20 (служба Server).

Имя Мусогр соответствует имени домена и для него определены имена:

+ 00 (экземпляр доменного имени, зарегистрированный службойWorkstation для использования в сети LAN Manager);

ф 1В (экземпляр имени, зарегистрированный службой Server и ис-пользуемый при просмотре содержимого домена);

• 1C (групповое имя. может содержать до 25 адресов; первый адрессоответствует первичному контроллеру домена, все остальные —ВТОрИЧНЫМ);

• ID [уникальное имя указывающее на адрес главного браузера(master browser)].

Имя .. MSBROWSE используется для широковещательных рассылоки приема доменных оповещений в локальной подсети. Благодаря это-му имени, главные браузеры в доменах узнают о существовании другдруга и других доменов.

Имя Fyodorz соответствует учетной записи пользователя. Служба Serverрегистрирует его, чтобы пользователь мог получать сообщения, по-сылаемые командой Net Send.

Я не случайно так подробно перечислил эти имена. В дальнейшембудет легче понять роль сервера WINS или результаты отсутствияподдержки NetBIOS.


Как разрешаются имена NetBIOS

Думаю, ни для кого не секрет, что в сетях Microsoft могут применять-ся три механизма разрешения имен NetBIOS:

+ поиск в файле LMHOSTS;

• широковещательные рассылки;

• сервер WINS.

Первый механизм можно назвать архаичным и неудобным. Подобнотому, как в сервере DNS, имеющем только статические зоны, все за-писи надо добавлять вручную, так и поддержание актуальной инфор-мации в файле LMHOSTS — обязанность администратора. Я уж неговорю о проблемах, связанных с безопасностью, возникающих приработе с централизованными файлами LMHOSTS. Допустим, на каждомклиентском компьютере есть свой файл LMHOSTS такими строками;

10,1.1.3 SERVER »PRE

ftlNCLUDE \\SEHVER\PUBLIC\LHHOSTS

Очевидно, что первая определяет адрес сервера SERVER, а вторая по-зволяет загрузить централизованный файл LMHOSTS, хранящийся наэтом сервере. Знаете ли вы, что надо предпринять, чтобы это работа-ло? Одно из условий — предоставить группе Everyone доступ Changeк ресурсу \\Server\public! Просто лафа злоумышленникам!

Широковещательные рассылки, как показывает опыт, — довольнораспространенный способ разрешения имен NetBIOS. Для маленькихсетей он еще приемлем, но для средних и больших совершенно негодится. Во-первых, генерируется значительный трафики сети. И чембольше компьютеров, тем больше трафик. Во-вторых, широковеща-тельные рассылки, как правило, не передаются между сегментами сети.Ну, и в-третьих, так как каждый компьютер должен откликнуться накаждую рассылку, это его дополнительно загружает.

Поэтому лучший способ разрешения NetBIOS-имен — применить сер-вер WINS: вы избавитесь от .широковещательных рассылок, сможетеиспользовать в больших сегментированных сетях и легко контроли-ровать зарегистрированные имена и разрешать конфликты.

При этом есть 4 способа разрешения имен клиентскими компьюте-рами: b-node, p-node, m-node и h-node. Первый предполагает толькошироковещательные рассылки, второй — только серверы имен WINS.Третий и четвертый являются комбинацией первого и второго спо-собов, но если в режиме m-node сначала рассылаются широковеща-тельные сообщения, а потом идет обращение к серверу WINS, то врежиме h-node все выполняется с точностью до наоборот. С точкизрения нагрузки на сеть, более предпочтителен режим h-node.


Замечание Все эти режимы в случае неудачи обращаются сначалак файлу LMHOSTS (если это разрешено на клиенте), а потом -— к сер-веру DNS.

Теперь выясните, как разрешаются NetBIOS-имена в вашей сети. Дляэтого выполните команду nbtstat -г. Не удивляйтесь, если вы исполь-зуете 'WINS, а число имен, разрешенных с помощью широковещатель-ных рассылок, весьма велико. Посмотрите на имена компьютеров, раз-решенных таким способом. Скорее всего они просто не являются кли-ентами WINS.

Так что приходим к выводу: уж коли используется NetBIOS, то без WINSне обойтись. Тогда зададимся другим вопросом.

А нужен ли NetBIOS?В самом деле, может, ну его? Удалим, и дело с концом. И широковеща-тельных рассылок не будет, и сервер WINS ставить не надо, а?

Из документации известно, что для работы Windows 2000 интерфейсNetBIOS больше не нужен, если используется только среда Windows2000. То есть в сети нет больше других клиентов Windows (9.x или NT).Проверим это, Советую провести простой опыт. Запретите на двухкомпьютерах с Windows 2000 (или Windows XP) NetBIOS, а потом наодном из них зайдите в Сетевое окружение и просмотрите содержи-мое домена (или рабочей группы), в котором расположены данныекомпьютеры. Много увидели? Ага: НИЧЕГО. А все потому, что нет боль-ше главного браузера и нет механизма, который бы позволил про-смотреть содержимое домена. Помните, мы выписывали имена дляних? Попробуйте выполнить команду nbtstat -n на любом из этихкомпьютеров. Никаких записей вы больше не увидите,

Так что, все пропало и больше ничего не работает? Отнюдь нет. По-шлите сообщение с одного компьютера на другой командой net send.Сообщения передаются. В строке Run наберите \\имя_любого_ком-пьютера\. Вы увидите, как в списке появятся все ресурсы данногокомпьютера, предоставленные в совместное пользование. Выполни-те другие сетевые операции. Все они будут работать.


if LMH05T5 totwup it enabled, ii appeef la d> conriKlio'' lor whichTCP/IP *erabi«d •

Отключение поддержки NetBIOS

Итак, отказываемся от NetBIOS!,. Постойте, а вы проверили приложе-ния? Как они обойдутся без этого интерфейса? Помните, в началеэтого раздела я сказал, что NetBIOS «используется приложениями длявзаимодействия"? Так вот, составьте список ваших программ и проте-стируйте их на работоспособность. Microsoft SMS 2.0 можно не тес-тировать: он работать не будет.

Если окажется, что приложений, которые пока не могут обойтись безNetBIOS, у вас хватает (или даже одно, но очень важное, и заменитьего нечем), придется оставить NetBIOS до лучших времен и занятьсяконфигурированием серверов WINS.

Краткие советы по установке серверов WINS

Нет смысла подробно описывать конфигурирование серверов WINS —все это уже сделано в разных книгах, в первую очередь в [4]. Поэтомуограничусь только самыми главными советами.

Сервер WINS рассчитан на высокую нагрузочную способность и мо-жет один обслуживать компанию с 10-15 тысячами компьютеров.Однако из соображений надежности и постоянной доступности этойслужбы нужно иметь не менее 2 серверов WINS. Оба должны бытьpush-pull партнерами по репликации.


Внимание При настройке параметров TCP/IP на серверах WINSнельзя в качестве адреса сервера WINS указывать свой адрес. Это дол-жны быть адреса партнеров по репликации.

Если ваша сеть разбита на несколько сайтов, то целесообразностьразмещения серверов WINS внутри сайта определяется количествомкомпьютеров в сайте, а также установленной на них ОС. Если на всехкомпьютерах Windows 2000 или Windows XP нет приложений, дляработы которых требуется NetBIOS, его можно вообще не использо-вать. В противном случае обращаем внимание как на количество ком-пьютеров, так и на необходимость для пользователей обращаться поNetBIOS к ресурсам на других сайтах. Если компьютеров мало (10-20) и нет нужды просматривать ресурсы вне сайга, можно обойтисьбез сервера WINS и применять широковещательные рассылки дляразрешения имен. Если же просмотр внешних для сайта ресурсов все-таки нужен, то компьютеры конфигурируются как клиенты WINS вдругом сайте, а маршрутизатор должен пересылать запросы к WINS.т. е. выступать в роли WINS proxy. Если это невозможно, то на однойиз машин с Windows 2QOO нужно сконфигурировать WINS proxy. Еслив сайте много компьютеров, установите локальный сервер WINS исконфигурируйте его в качестве партнера по репликации для серве-ров WINS в родительском сайте.

Обычно серверы WINS можно размещать на контроллерах домена.Например, если вы спланировали Active Directory так, что у вас име-ется корневой домен, не содержащий пользователей и применяемыйлишь как держатель имени домена и административных групп, то егоконтроллеры домена не очень загружены и могут выполнять допол-нительные функции. Но будьте внимательны. Если топология ActiveDirectory такова, что с центрхчьным сайтом связаны десятки (или дажесотни) других сайтов, то серверы-форпосты в центральном сайтебудут чрезвычайно загружены, и размещать на них дополнительныеслужбы, такие как WINS, категорически не рекомендуется.

И последнее. Вы, наверное, знаете, что сервер WINS можно задейство-вать совместно с сервером DNS для разрешения имен NetBIOS. Дляэтого на сервере DNS используются записи типа WINS. В сетях на базеWindows NT 4.0 это было удобно, так как служба DNS в Windows NTне поддерживает динамических обновлений. Актуально ли это дляWindows 2000/XP? Теоретически эту функцию можно использовать.Особый смысл она имеет, когда клиенты (не Windows 2000/XP) неиспользуют службу DHCP для получения адресов IP. В противном жеслучае лучше применять службу DHCP для регистрации клиентов вDNS. Вот мы и подошли к рассмотрению особенностей использова-ния этой службы в Windows 2000.


Как правильно настроить DHCPСлужба DHCP существует в Windows уже довольно давно и, казалосьбы, не должна вызывать проблем или вопросов. Однако многие, дажедовольно опытные администраторы порой не знают некоторыхсвойств DHCP, что приводит к возникновению проблем в сети, покрайней мере к недоумениям. Конечно, разобравшись в источникепроблем, так и хочется ударить себя по лбу и сказать что-то типа«Семен Семен ыч!..-, но лучше заранее побеспокоиться и предотвратитьпоявление нежелательных ситуаций.

Среди тем, незнание или неполное понимание которых обычно при-водит к нештатным ситуациям, отмечу такие:

ф авторизация сервера DHCP;

+ суперобласти и плоская сеть;

+ размещение сервера DHCP в сегментированной сети;

• параметры, определяемые для сервера, областей и исключений ипорядок их назначения;

• работа с пользовательскими идентификаторами;

ф динамическая регистрация имен в DNS;

• разрешение конфликтных ситуаций.

Что дает авторизация

Тот, кто работал с Windows NT, знает, что наличие двух серверов DHCPв сети может при определенных условиях привести к ее частичной идаже полной неработоспособности. Рассмотрим пример. В сегментесети установлен сервер DHCP, на котором определена область с диа-пазоном адресов 137.45-45.1 — 137.45-45.254. Некто в исследовательс-ких целях устанавливает собственный сервер DHCP и активизируетна нем область с диапазоном 10.1.1.1 — 10.1.1.50. Ясно, что спустянекоторое время многие машины потеряют доступ к ресурсам сети.(Кому это не ясно, обратитесь к [4].) Подобное было возможно из-затого, что практически любой мог активизировать свой сервер DHCP.

Появившаяся в Windows 2000 авторизация серверов в Active Directoryвселила надежду, что с этим покончено. И правда, как написано вупомянутой выше книге, для того, чтобы служба DHCP стартовала иобслуживала пользователей, она должна быть авторизована в ActiveDirectory. А такую операцию можно проделать, только имея .полномо-чия Enterprise Admins. Но, увы, радость была преждевременна.

Во-первых, если в сети, где развернут домен Active Directory, устано-вить сервер Windows NT 4.0, не входящий в указанный домен, то служ-ба DHCP на нем может быть поднята без каких-либо помех, а значит,он окажет свое пагубное влияние на сеть.


Во-вторых, если в той же сети установить контроллер домена Windows2000, не принадлежащего существующему лесу, и на этом контролле-ре домена установить службу DHCP, ее можно будет активизировать,а значит, продолжить свою вредоносную деятельность.

И лишь только для тех серверов, которые входят в основной домен.такая подрывная деятельность будет запрещена. При попытке запус-тить службу DHCP происходит обращение к Active Directory, где про-сматривается список адресов IP для всех авторизованных в доменесерверов DHCP. Если адреса рассматриваемого сервера нет. то служ-ба DHCP будет автоматически на нем терминирована.

Замечание До выхода Windows 2000 SP2 в Active Directory моглохранится не более 852 адресов авторизованных серверов DHCP.

Зачем нужны суперобластиПредположим, в сегменте сети используются мультисети, т. е. несколь-ко логических подсетей. Пусть это 10.1.1.0/22, 10.1.2.0/22 и 10.1.3.0/22.Чтобы один сервер DHCP мог обслуживать эти мультисети, на нем нуж-но создать три соответствующие области и объединить их в супероб-ласть.

А если этот сегмент сети обслуживается не одним, а тремя серь-ерамиDHCP, каждый из которых отвечает только за одну область? Допустим,у клиентского компьютера был адрес 10.1.1.15. выданный первым сер-вером DHCP. После перезагрузки клиент посылает запрос DHCPRE-QUEST без указания идентификатора сервера. Если этот запрос пер-вым получит сервер, на котором не определена нужная область, онответит клиенту сигналом DHCPNACK, что переведет его в режимпоиска нужного сервера DHCP. Клиент разошлет широковещательноесообщение DHCPDISCOVER. Пусть первым откликнется сервер, накотором определена область 10.1.2.0/22. Тогда клиент пошлет емузапрос DHCPREQUEST, на что тот ответит DHCPACK и предоставитадрес из своего диапазона. Таким образом, клиент окажется в другоймультисети. Но это не самое страшное — хуже, что выданные данно-му клиенту адреса, заняты как на первом сервере DHCP, так и на вто-ром. При следующей перезагрузке клиента он может получить адресс третьего сервера. Если подобное поведение распространить на всеоставшиеся клиенты, станет понятно, что очень скоро доступные ад-реса в областях будут исчерпаны, так как каждый клиент зарезерви-рует по 3 адреса. Такое возможно, когда серверы DHCP ничего незнают друг о друге.


Суперобласть

Область 10.1.1

Область 10.1.2

Область 10. 1.3

1-10.1.1.255

1-10.1.2.255

1-10.1.3.255

СерDH

/

ер:Р

Клиент10.1.3.11

Маршрутизатор

/

Клиент

10.1.1.15

Клиент

10.1.2.12

Создание суперобласти для поддержки мулътисети

Дабы исключить такую ситуацию:

+ на каждом сервере DHCP создадим области для каждой из подсетей;

ф эти области включим в суперобласть;

• на каждом из серверов определим по две области исключений.

Например, на первом сервере в нашем примере для областей 10.1.2.0и 10.1.3.0 формируются исключения на весь диапазон их адресов. Навтором — исключения формируются для областей 10.1.1.0 и 10.1.3.0,а на третьем —- для областей 10.1.1.0 и 10.1.2.0. Тогда второй сервер неоткликнется на DHCPREQUEST сообщением DHCPNACK, так как уви-дит, что за запрашиваемую область отвечает другой сервер.

СулеробластьОбластью. 1.1.I-10.1.1.255Исключение 10.1.1.1-10.1.1.10Область 10.1.2.1-10.1.2.255Исключение 10-1.2.1-10.1.2.255Область 10.Ш-10.1.12ЯИсключение 10.1.3.1-10.1.3.255

СуперобластьОбласть 10.1,1.1-10.1.1.255Исключение 10.1.1.1-10.1.1.255Область 10.1.2.1-10.1.2 255Исключение 10.1.2.1-10.1.2.10Область 10.1.3.1-10.1.3.255Исключение 10.1.3.1-10 1.3.255

DHCP10.1.3.1

СуперобластьОбласть 10.1.1.1-10.1.1.255Исключение 10.1.1.1-10.1.1.255Область 10.1.2.1-10.1.2.255Исключение 10,1.2.1-10.1.3.255Область 10.1.3.1-10.1.3.255Исключение 10.1,3.1-10.1.3.10

Конфигурирование суперобластей для недопущениянеправильной выдачи адресов


DHCP сервер в сегментированной сетиЕсли сеть не является плоской, а сегментирована, то использованиеDHCP практически ничем не отличается от того, как это было вWindows NT. В связи с этим напомню два основных правила развер-тывания серверов DHCP.

• Маршрутизатор между сегментами должен выполнять роль агентапередачи ВООТР (ВООТР relay agent) или DHCP, когда один сер-вер DHCP обслуживает несколько сегментов. В качестве агентапередачи DHCP может выступать сервер Windows 2000, на кото-ром сконфигурирована служба RRAS (Routing and Remote AccessServer). При этом данный компьютер может заодно выполнять рольмаршрутизатора.

+ Если в двух сегментах сети свой сервер DHCP, а маршрутизаторвыполняет роль агента передачи ВООТР, то серверы DHCP можносконфигурировать так, чтобы выступать в качестве резерва друг длядруга. При этом руководствуются известным правилом 80/20: накаждом из серверов создаются области для каждой из подсетей, нотак, что область, в которую входит сам сервер DHCP, содержит 80%доступных адресов, а зона для другого сегмента — только 20%,Тогда при отказе «своего» сервера DHCP клиенты смогут запроситьадреса у резервного сервера в соседнем сегменте.

Рассмотрим типичный пример. Несколько филиалов компании (в каж-дом от 50 до 200 чел.) связаны с центральным офисом (1 000 чел.) вы-деленными линиями с относительно небольшой пропускной способ-ностью. У каждого сотрудника свой компьютер. Сеть в центральномофисе разбита на 4 сегмента: 145.12.1.0/24, 145.12.2.0/24, 145.12.3.0/24и 145.12.4.0/24. Для филиалов выделены подсети 10,1.х.О/24. В централь-ном офисе планируется установить два сервера DHCP, а в каждом фи-лиале — по одному. Нетрудно сообразить, что для обеспечения отка-зоустойчивости филиальные серверы должны содержать по 80% адре-сов своей подсети, а остальные 20% — отдать серверам DHCP в центре.Те в свою очередь должны поделить эти адреса между собой пополам.Кроме того, они должны разделить пополам адреса для тех сегментов,к которым они не принадлежат, а адреса для «своих» сегментов — раз-делить в соотношении 80/20.

Динамическая регистрация имен в DNS

Теперь обсудим динамическую регистрацию имен клиентов в DNS че-рез службу DHCP. Известно, что клиенты Windows 2000/XP могут ди-намически регистрировать свое имя в DNS Windows 2000. Если отме-чен соответствующий флажок в параметрах TCP/IP, то всякий раз призагрузке клиента в DNS будет обновляться запись типа А. Однако спра-ведливости ради стоит отметить, что запись типа PTR при этом не об-новляется.


Область 145.12.1.1 -145.12.1.200Область 145.12.2.1 - 145.12.1.127Область 145.12.3.201 - 145.12.3.254Область 145.12.4.1 -145.12.4.127Область 10.1.1.201-10.1.1.224Область 10.1.2.201 -10.1.2.224

1

Область! 45.12.1.201 - 145.12.1.254Область 145.12.2.128-145.12.1.254

ОбластЫ45.12.3.1 - 145.12.3.200Область 145.12.4.128- 145.12.4.254

Областью.). 1.225- 10.1.1.254Область 10.1.2-225-10.1.2.254

Область 10.1.1.1-10.1.1.200

Исключение 10.1.1.1 - 10.1.1.10

>,. Филиал 1Ч 10.1.1.0

Пример распределения областей по серверам DHCPв многосегментной сети

С другой стороны, в корпоративной сети применяются и иные кли-енты, например Windows 9x или NT, которые не умеют обновлять своизаписи в DNS, а значит, компьютер становится недоступен по имени.

К счастью, сервер DHCP Windows 2000 снабжен функцией динами-ческой регистрации записей в DNS от имени клиентов. Администра-тор может выбрать несколько вариантов регистрации на вкладке DNSдиалогового окна свойств области DHCP. Несмотря на простоту этихвозможностей, администраторы порой теряются и на всякий случайотмечают все подряд. Хорошо, что это не приводит к неприятным по-следствиям, но все же желательно понимать, для чего используетсякаждый флажок.

Итак, если флажок Automatically update DHCP client information inDNS снят, то DHCP не обновляет записи DNS. В случае с клиентами


Windows 2000/XP это значит, что они обновляют только записи типаА, да и то если это установлено в их параметрах. Для всех остальныхклиентов это означает, что информация о них не заносится в DNS.

Замечание Если клиенты DHCP являются одновременно клиента-ми WINS, а сервер DNS сконфигурирован для разрешения имен черезWINS, будет выполняться обновление записей типа А.

Если этот флажок установлен, то дальнейшее поведение зависит отположения переключателя. Если это Update DNS only if DHCP clientrequests, то обновления будут выполняться только для клиентов Win-dows 2000/ХР, да и то, только если необходимость обновлений на нихзадана. В отличие от самостоятельного режима обновлений в режи-ме обновлений через DHCP в DNS заносятся записи как типа А, так иPTR. Для всех остальных клиентов все остается без изменений.

Если переключатель в положении Always update DNS. то сервер DHCPбудет обновлять записи как типа А, так и PTR абсолютно для всех сво-их клиентов Windows 2000/ХР независимо от того, хотят они этогоили нет.

.ёепюа! PNS | Advanced |

You ';rfi i-H up tlie DHCP ;slvar to «Ji nialice updeianafrte «m'Hoimali •

i_DNSi

T^ gscard !aw»id [r>affi*-:o-ed(fws -,\ lookup; йип tea

:Г"- £рявзй upisiBi la OfJS d-wiU riwi do ho

'£еч( lo DMS sewers tonltgjefl in

Управление режимами обновления записей в DNSпосредством сервера DHCP

Флажок Discard forward (name-to-address) lookups when lease expiresзадает удаление из DNS записей типа А о клиентах, для которых ис-тек срок аренды адреса. Если флажок не установлен, удаляются толь-ко записи типа PTR.

1_28 __ Active Directory: подход профессионала

Флажок Enable updates for DNS clients that do not support dynamicupdate предписывает динамически обновлять информацию в DNS олюбых клиентах DHCP, включая такие, как сетевые принтеры.

Внимание Если сетевой принтер является клиентом DHCP и прин-теру не было присвоено имя, то в DNS для него будет зарегистриро-ван его IP-адрес вместо имени. Причем октеты адреса будут интер-претированы как субдомены. Так, для принтера с адресом 10.1.12.133в домене mycorp.ru в DNS будет занесена запись типа А для хоста « 1 О*в зоне 1. 12.133.rnycorp.ru. Чтобы этого не случилось, надо присвоитьпринтеру имя согласно инструкции.

Какие параметры определять в сети WindowsНеожиданно часто администраторы задумываются над тем, какие па-раметры определять для сервера или областей. Обилие возможностейвносит смуту в умы и подталкивает к конфигурированию того, чтоклиентами Windows просто игнорируется. Вот параметры, восприни-маемые клиентами Windows.

Параметр Назначение

003 Router Указывается адрес маршрутизатора, устанав-ливаемый по умолчанию, а также адресаостальных маршрутизаторов, о которых надознать клиенту

006 DNS Servers Перечисляются адреса серверов DNS, необхо-димых для работы клиента

015 DN.S Domain Name Суффикс домена. Можно указать только суф-фикс основного домена, но нельзя указатьперечень возможных суффиксов для поиска.Это ограничение протокола DHCP

044 WINS/NBNS Servers Адреса серверов WINS046 WINS/NBT Node Type Способ разрешения NetBIOS-имен. Подробнее

см, раздел, посвященный

Дополнительно можно запретить использование NetBIOS для клиен-тов Windows 2000/ХР: в диалоговом окне конфигурирования свойствобласти откройте вкладку Advanced, в списке Vendor Options щелкни-те Microsoft, выберите параметр 001 и установите его в 1,

Последовательность применения параметров

Вы наверняка уже обратили внимание, что параметры можно опре-делить для сервера DHCP в целом, для областей и для каждого исклю-чения в отдельности. Кроме того, есть параметры, определяемые дляклиентов различных производителей (отличаются идентификаторомVendor ID) и для клиентов с разными пользовательскими идентифи-


катерами (User class ID). Несомненно, должно быть правило приме-нения всех этих параметров к клиентам. Вот оно:

+ первыми применяются параметры, определенные для сервераDHCP в целом;

ф затем применяются параметры для клиентов с раа>шчными VendorID и User Class ID, определенные для всего сервера;

• за ними применяются параметры, определенные для той области,в которой находится клиент;

ф далее, естественно, применяются параметры для клиентов с раз-личными Vendor ID и User Class ID, определенные для области;

• наконец, если конкретный адрес подпадает под исключения, то кнему применяются параметры, определенные для этого исключе-ния, а также соответствующие параметры для клиентов с различ-ными Vendor ID и User Class ID.

Как использовать идентификатор пользовательского класса

Как видим, возможностей немало. Но есть еще одно свойство, кото-рое позволит сделать назначение параметров более целенаправлен-ным. Рассмотрим сеть, в которой один из сайтов связан с централь-ным сайтом медленным каналом так. что в нем используется та жесамая подсеть, что и в центральном сайте. В этом филиале работает5-7 человек, и у них нет своего сервера DHCP и WINS. Для арендыадресов IP они используют сервер DHCP в центральном сайте. Доступк ресурсам центрального сайта им нужен крайне редко. Все клиентыработают под Windows 98. Ясно, конечно, что обращения к серверуWINS в центральном офисе, мягко говоря, неуместны — проще исполь-зовать широковещательные рассылки.

Можно каждый из компьютеров сконфигурировать вручную и настро-ить TCP/IP. Но лучше, однако, сделать иначе. На сервере DHCP в цен-тральном офисе надо определить свой User Class ID и сконфигуриро-вать для него параметр 046 равный 4 (M-node). Затем на всех клиен-тах в удаленном сайте выполнить команду ipconfig /secclassid <<-имясетевого интсрфейса*> <идентификатор пользовательского классах

Теперь, получив запрос на аренду адреса от клиента из удаленногосайта, сервер DHCP обнаружит, что данному клиенту присвоен опре-деленный User Class ID. Сравнив его со списком идентификаторов,определенных для сервера, и обнаружив идентичность, сервер пере-даст на клиент параметр 046 равный 4, а не 8. как это имеет местоцпя всех остальных клиентов.

J30 Active Directory подход профессионала

Как проконтролировать работу DHCPКонтролировать работу сервера DHCP особо не требуется. Если он неработает или работает не так, как это должно быть, вы сразу поймете.Однако вот общие способы контроля.

1. Загрузите клиентский компьютер и с помощью команды ipconfig/all проверьте правильность параметров, полученных от сервераDHCP. Здесь же вы увидите, какой именно сервер выдал адрес варенду. Если параметры не соответствуют ожидаемым, выяснитепричину, устраните ее и выполните подряд команды ipconfig /re-lease и ipconfig /renew.

2. Запустите консоль сервера DHCP. Выберите нужную область ипосмотрите, какие адреса и каким компьютерам выданы. Для каж-дой области можно посмотреть статистику: каков процент свобод-ных адресов в их распоряжении. Если адресов осталось мало, вы-ясните причину их утечки. Возможно, имеет смысл сократить срокаренды адресов.

3. Если вы запустили административную консоль DHCP, а в ней неткоманды Authorise, значит, вы используете учетную запись, не об-ладающую правами Enterprise Admins.

Замечание Часто нужно авторизовать сервер DHCP, расположенныйв удаленном филиале. Если этот филиал расположен в отдельном до-мене, управляемом локальными администраторами, то по умолчаниюони не смогут авторизовать сервер. Чтобы предоставить им соответ-ствующее право, надо изменить права доступа к объекту CN=Dhcp-Root,CN=NetServices,CN=Services,CN=Configuration,<HMH леса> и к кон-тейнеру CN=NetServices,CN=Services,CN=Configuration,<HMfl леса>.

4. Если сервер, исполнявший роль сервера DHCP, был некорректноудален из сети, используйте команду Netsh a dhcp a delete для уда-ления его имени из Active Directory,

5. Регулярно просматривайте журнал регистрации системных событий.

DCPROMO т все, что с этим связаноКак вы хорошо знаете, для перевода сервера в статус контроллера до-мена служит программа DCPROMO, расположенная в каталоге %SYS-TEMROOT%\System3 2. Вот что она делает.

• Изменяет функциональность сервера так, что он перестает исполь-зовать хранимые в реестре учетные записи SAM и переключаетсяна каталог, основанный на ESE (Extensible Storage Engine).


Замечание Если вы обновляете контроллер домена Windows NT 4.0.то DCPROMO запустится автоматически и перенесет учетные записииз SAM в Active Directory.

• Если вы устанавливаете новый контроллер домена в новом лесу,то база Active Directory создается на основе шаблона NTDS.DIT,хранящегося в каталоге %SYSTEMRGOT%\System32. Если это допол-нительный контроллер в домене, то в качестве шаблона использу-ется информация, взятая с другого контроллера.

• Создается новая учетная запись администратора и ее идентифи-катор безопасносги (SID). Старая учетная запись, равно как и ееSID, уничтожается. Кроме того, создается целый набор встроенныхучетных записей пользователей и групп.

• На локальном диске создается иерархия каталогов SYSVOL, а так-же общедоступные ресурсы SYSVOL и NETLOGON. При обновле-нии контроллера домена Windows NT 4.0 вее содержимое ресурсаNETLOGON (REPL\EXPORT\SCRIPTS) переносится в одноименныйресурс в иерархии SYSVOL

• Изменяются стартовые параметры некоторых служб. Они перехо-дят из разряда Manual к разряд Automatic.

• Служба Windows 2000 Win32 Time выполняет синхронизациювремени с внешним источником эталонного времени.

Как видим, перечень выполняемых действий обширен и затрагиваетважнейшие функции Windows 2000. Если соблюсти все предваритель-ные требования, то процесс превращения сервера в контроллер до-мена проходит без сучка и задоринки. Рассмотрим эти требования.

Требования, предъявляемые DCPROMOЧто нужно знать перед запуском DCPROMO? Главное — хорошо по-нимать, что именно вы собираетесь сделать. Более того, если с одними тем же компьютером вы экспериментируете не первый раз (безпереустановки ОС), то надо знать, что вы сделали в прошлый раз нетак и к чему это могло привести. Возможно, после некоторых вашихдействий все попытки установить контроллер домена будут неудач-ны. Но не будем о грустном — рассмотрим все по порядку.

Во-первых, надо четко понимать, где расположен данный контроллердомена в Active Directory. Если вы создаете самый первый контроллердомена в лесу, позаботьтесь, чтобы компьютер обладал высокой надеж-ностью. Предусмотрите на нем средства резервного копирования, обес-печьте его постоянную доступность в сети. Помните: первое время он

132 Activejiirectory: подход профессионала

будет выполнять роли всех мастеров операций да плюс ко всему будетГК Неожиданная утрата такого компьютера приведет фактически кнеработоспособности всего леса доменов.

Во-вторых, убедитесь, что параметры TCP/IP заданы верно. Проверь-те, что нужные серверы доступны (см. раздел «Что делать с DNS?»). Воз-можно, придется проверить сеть на физическом уровне. Ведь если выустанавливаете контроллер домена в удаленном филиале, должна су-ществовать связь с компьютером, выполняющим роль мастера имендоменов (domain naming master), расположенным скорее всего в цен-тральном офисе.

В-третьих, на компьютере должен иметься минимум один дисковыйраздел, отформатированный как NTFS5, с необходимым объемомсвободного места. И хотя этого достаточно для установки ActiveDirectory, лучше последовать рекомендациям, приведенным далее приконфигурировании дисковой подсистемы.

В-четвертых, вам нужны соответствующие административные права.Если вы создаете новый лес доменов, то достаточно быть админист-ратором на сервере, переводимом в разряд контроллера. Если же вывключаете контроллер в существующий лес, то нужно либо знать учет-ную запись и пароль с правами Enterprise Admins, либо вам должныбыть делегированы права на включение контроллера домена в лес.

В-пятых, стоит понимать последствия выбора в одном из диалоговыхокон DCPROMO одного из двух значений:

Permissions compatible with pre-Windows 2000 servers

ИЛИ:

Permissions compatible only with Windows 2000 servers

Когда Active Directory будет установлена, в списки контроля доступако всем объектам каталога будет добавлена встроенная группа Pre-Windows 2000 Compatible Access. Если при установке контроллера выуказали первую возможность н рассматриваемом диалоговом окне (аона предлагается по умолчанию), то в группу Pre-Windows 2000 Com-patible Access будет включена группа Everyone. Это значит, что не толь-ко аутентифицироваиные в домене пользователи получат доступ кобъектам Acticve Directory, но и анонимные пользователи. Но не спе-шите переключать домен в режим Permissions compatible only withWindows 2000 servers. Возможно, в домене есть серверы Windows NT 4.0,на которых исполняются нужные вам приложения, требующие ано-нимного доступа к каталогу. Тогда придется оставить значение, поумолчанию. В последующем вы всегда можете добавить в группу Pre-Windows 2000 Compatible Access или исключить из нее группу Everyone.


Замечание Группу Even-one нельзя добавить (или исключить) вгруппу Pre-Windows 2000 Compatible Access через оснастку ActiveDirectory Users and Computers. Используйте команду net localgroup «Pre-Windows 2000 Compatible Access* everyone /add для добавления и netlocalgroup «Pre-Windows 2000 Compatible Access* everyone /remove дляудаления.

Наконец, вы должны представлять, какими ограничениями обладаетActive Directory. Например, полное имя домена не может превышать64 символов UTF-8. Скажем, вы хотите создать домен с именем (неулыбайтесь — чудаков на свете полно):

Ust.urlpinsk.filial.vostok.refinery.oil.windows2000.Krasnoyarsk.mycorp,ru12345678901234567890123456789012345678901234567B901234567890123

Для удобства снизу отмерено 64 символа. Понятно, что такое имясоздать не удастся,

Но само по себе имя может и не быть очень длинным, но его длиныхватит, чтобы для какого-либо ресурса превысить значение МАХ_РАТН,установленное равным 260 символам. Например, для доступа к хра-нилищу групповой политики используется путь:

\\имя _домена\зу8Уо1\<имя flOMena>\Poli.cies\<GUID>\<Machi.ne|lJser\<путь к клиентскому расширению групповой политики>

Чувствуете? Тут есть где развернуться.

Файлы, создаваемые при работе DCPROMO

Итак, как я уже говорил, при работе DCPROMO создается ряд файловна локальных жестких дисках. Это файлы, обеспечивающие работуActive Directory, файлы и каталоги, обеспечивающие инфраструктуруи расположенные в иерархии SYSVOL, а также файлы журналов реги-страции событий, возникающих при работе программы DCPROMO.

Файлы базы Active Directory

Файлы Active Directory no умолчанию предлагается хранить в каталогеWINNT\NTDS. Прямо скажем, не очень удачное место, но об этом по-том. Сейчас же нас больше интересует, какие файлы там размещаются.

Во-первых, это файл базы ActiveDirectory NTDS.DIT. Именно здесьхранится вся информация Active Directory. Если вы создаете новоедереао доменов, то его размер — 10 Мб. Обратите внимание и на фай-лы resl.log и res2.log. Пусть вас не вводит в заблуждение их расшире-ние. К файлам журналов регистрации они не имеют никакого отно-шения. Они «оккупируют» место на жестком диске на тот случай, еслифайл Active Directory' увеличится, а на диске не окажется свободногоместа. Тогда один из «оккупантов* будет удален, a NTDS.DIT вырастет


на его величину. Кстати, в журнал регистрации событий будет зане-сено соответствующее предупреждение. Размер этих двух файлов так-же равен 10 Мб, что дает запас 20 Мб для роста базы Active Directory.

Замечание Если обновляется контроллер домена Windows NT 4.0,то файл NTDS.D1T будет в несколько раз больше файла SAM. Ориен-тировочно можно полагать разницу в 10 раз.

Теперь займемся файлом edb.log. Это журнал транзакций Active Direc-tory. Сюда заносятся все операции в базе. Его размер тоже 10 Мб. Еслижурнал переполняется, то он переименовывается в edbOQ001.log, атранзакции записываются в файл edb.log. Регистрация транзакций —весьма ответственный процесс. Очевидно, что выполнять запись в от-ложенном режиме рискованно, так как в случае непредвиденногокраха системы информация о транзакциях будет потеряна. Именнопоэтому при старте контроллера домена принудительно отключает-ся кэширование записи для того диска, на котором расположеныжурналы транзакций. Речь идет о физическом (а не логическом дис-ке). Если ОС или пользовательские файлы хранятся на том же физи-ческом диске, что и журналы транзакций Active Directory, то произво-дительность заметно снизится.

Замечание Снижение производительности на современных серверныхсистемах наблюдается лишь при значительном числе пользователей.

S3 edb.bg

' edb00002.k.g

File Folder

8 KB Recovered File Flag.

10 240 KB Text Document

10 240 KB Text Document

10 2S6 t;B D1T File

10240KB Text Document

10240KB Text Document

22.11,200123:19

17.03.200220:27

17,03,200220:27

G8.12.2D01 16^57

17.03.200220:27

06.02.2001 23:20

06.02.2001 23:20

Файлы, используемые при работе Active Directory

И еще один файл — edb.chk. Сюда заносятся контрольные точки БД.Они нужны для того, чтобы при необходимости повторно воспроиз-водить транзакции, занесенные в журнал. Допустим, произошел сбойсистемы. После перезагрузки происходит обращение к файлу edb.chkза информацией о последней контрольной точке, т. е. о последней


подтвержденной транзакции. Далее начинается повторение транзак-ций записанных в журнал сразу за контрольной точкой. Если бы кон-трольной точки не было, пришлось бы повторять все транзакции,сведения о которых занесены в журнал.

Обновление контрольной точки выполняется, если:

• накапливается необходимое количество изменений в базе, такихчто не указывают назад на контрольную точку;

• завершается восстановление базы;

• выполняется корректный выход из системы.

Возможно, вы сталкивались с ситуацией, когда после аварийного за-вершения работы контроллера домена последующая загрузка выпол-няется гораздо дольше обычного. Это связано с тем, что система по-вторяет все транзакции от последней контрольной точки.

SYSVOL

Другой группой файлов, которые создаются в результате работыDCPROMO, является иерархическая структура SYSVOL Подробнее обэтой структуре мы поговорим в главах, посвященных репликации игрупповой политике, а пока лишь коротко опишем структуру, так какпо правильности ее создания можно оценить корректность установ-ки контроллера домена.

Итак, на втором уровне иерархии располагаются четыре папки.

• Domain — здесь хранится шаблон структуры Sysvol.

• Staging.

• Stagin areas — как и предыдущая, требуется механизму репликацииFRS (о них см. главу «Active Directory и файловая система»).

ф Sysvol — предоставлена в совместное использование, содержитпапку, соответствующую домену, которому принадлежит контрол-лер. В последней находятся следующие папки.

• DO_NOT_REMOVE_NtFrs_PreInstall_Directory. (см. главу «ActiveDirectory и файловая система*.)

• Policies. Здесь хранятся объекты групповых политик. Каждаяполитика хранится в виде папки с именем своего GUID, напри-мер {31B2F340-016D-11D2-945F-OOC04FB984F9}. Сразу послеустановки нового контроллера домена создаются минимум двепапки политик: для домена и для контроллеров домена. Есливыполняется подключение к домену, в котором определенонесколько дополнительных политик, то для каждой из них бу-дут созданы свои папки.

• Каждая папка политики содержит не менее двух папок. Обя-зательными являются MACHINE и USER, что, как ясно из их

136 Active Directory; подход профессионала

названий, относится к правилам для компьютеров и пользовате-лей. Дополнительно могут быть другие папки, например, Adm —место хранения административных шаблонов, используемыхполитиками.

• Scripts. Содержит файлы сценариев, используемых компьюте-рами пользователей. Эта папка также предоставлена в совмес-тное использование.

Приведенная на рисунке структура SYSVOL соответствует первомуконтроллеру в домене. Если же вы добавляете контроллер к существу-ющему домену, то структура может отличаться, но обязательно соот-ветствовать структуре на остальных контроллерах.

Замечание При добавлении контроллера в домен структура SYSVOLпоявится не сразу, а лишь по завершении репликации. Обычно на этонужно около 10 минут, однако может продлиться дольше. Подробнееоб этом см. статью Q250545 в Microsoft Knowledge base.

Be; wiwi nv*v™

Структура SYSVOL

Журналы регистрации

Последними после работы DCPROMO появляются файлы регистрациивыполнения этой программы и связанных с ней служб:


• DCPromoUI.log;

• DCPromo.log;

• Netsetup.log;

• DCPromos.log.

Все они находятся в каталоге %systemroot%\Debug. См. о них раздел«Анализируем журналы*.

Служба синхронизации времени

Синхронизация по времени чрезвычайно важна для работы протоколааутентификации Kerberos. По умолчанию разница во времени междуклиентом и сервером, превышающая 5 минут, делает аутентификациюневозможной. Именно поэтому в Windows 2000 реализована службасинхронизации времени (W32Tlme). Она полностью совместима спротоколом Simple Network Time Protocol (SNTP). Работает она так.

Для каждого компьютера есть свой эталон, с которым он сравниваетлокальное время.

• Если при загрузке клиент обнаруживает, что его локальное время«отстает» от времени на эталоне, то его часы синхронизируются счасами эталона. Если же локальное время на клиенте опережаетвремя на эталоне менее, чем на 2 минуты, то в течение последую-щих 20 минут локальные часы замедляются, а если опережениепревышает 2 минуты, показания часов выравниваются сразу.

• Во время последующей работы выполняются периодические свер-ки времени с эталоном. Начальный интервал сверки составляет 8часов. Если при сверке обнаруживается разница, превышающая 2секунды, продолжительность интервала сокращается вдвое. Про-цесс повторяется при следующей сверке до тех пор, пока:

• разница локального и эталонного времени не станет меньше2 секунд

ИЛИ:

• интервал сверки не уменьшится до своего минимального зна-чения в 45 минут.

Если измеренная разница во времени меньше 2 секунд, интервал свер-ки увеличивается в двое. Максимальное значение интервала — 8 часов.

Такое поведение установлено по умолчанию, но вы можете изменитьего, используя параметры ветви реестра HKLM\SYSTEM\Curre ntCont-rolSet\Services\W32Time\Parameters. Например, величину интерваласверки определяет параметр Period. Он может быть одного из двухтипов: REG_DWORD или REG^SZ. Строковые переменные способныпринимать только следующие значения:


Устанавливаемые интервалы сверки времениЧисло

065535655346553365532

65531

Строка

BiDailyTridailyWeeklySpecialSkew

DailySpecialSkew

Описание

Раз в деньРаз в два дняРаз в три дня

Раз в неделюКаждые 45 минут до достижениятельных удачных синхронизациикаждые 8 часовКаждые 45 минут до достижения

3 последова-, затем

1 удачнойсинхронизации, затем каждый день

число Указанное число раз в день

Описание других параметров, влияющих на работу службы синхро-низации времени, см. в Microsoft Knowledge Base в статье Q223184.

В рамках Active Directory существует однозначная иерархия, в соот-ветствии с которой все компьютеры синхронизируют время. На ниж-ней ступени — все клиентские настольные компьютеры. Для синх-ронизации своих часов они обращаются к тому контроллеру домена,на котором они авторизованы. Если в процессе работы выясняется,что данный контроллер домена больше недоступен, то выбираетсяновый контроллер. На этой же ступени в иерархии находятся и всесерверы-члены домена.

Все контроллеры в домене синхронизируют свое время с тем контрол-лером, который выполняет роль имитатора главного контроллерадомена (РОС).

В рамках всего леса доменов каждый из контроллеров, выполняющихроль имитатора главного контроллера, сверяет свое время с тем ими-татором РОС, что стоит выше него в иерархии доменов Active Directory.

Главный авторитет — имитатор РОС в корневом домене. Он можетсверять свое время с какой-либо эталонной службой либо сам с со-бой. Указать ему, с кем сверять время, позволяет команда:

Net time /setsntp:список серверов точного времени

Можно, однако, установить имя сервера точного времени через ре-естр: в приведенной выше ветви измените значение параметра NtpServer.Не забудьте при этом в DNS указать запись для этого имени.

В качестве серверов точного времени можно использовать, напри-мер, серверы: ntp2.usno.navy.mil (192.5.41.209) или tock.usno.navy.mil(192.5.41,41).

Автоматическая установка контроллераНе секрет, что контроллер домена можно установить, не только запу-стив DCPROMO в интерактивном режиме, требующем ответа на все


задаваемые вопросы, но и в автоматическом — когда ответы на всевопросы записаны в файле ответов. Этот способ удобен при установ-ке большого числа контроллеров в домене, а также при выполненииавтоматического обновления контроллеров домена Windows NT.

Иерархия службы синхронизации времени

140 Active Р1гес1огу^подходгрофессионала

Запускает программу в таком режиме команда:

Dcpromo /answer:имя_файла_ответов

В зависимости от типа контроллера домена [новое дерево в новомлесу, новый контроллер домена в существующем домене (или обнов-ление контроллера Windows NT), новый дочерний домен, новое де-рево в лесу], а также при понижении контроллера домена до статусасервера в файле ответов используются различные параметры. Все онидолжны входить в секцию ф;шла [DCINSTALL]. Рассмотрим эти пара-метры для каждого из типов установки контроллера. Если какой-то па-раметр не определен, то используются его значения по умолчанию(см. далее таблицу).

Новое дерево в новом лесу

[DCINSTALL]RepLicaOrNewDomain=DoniainTreeOrChild=TreeCreateOrJoin=Create

NewDomainDNSNaTie=<n(MHoe имя домена (например mycorp.ru) >DNSQnNetwork=y>9S

DomainNetbiosName=<Netbios имя домена>

AutoConfigDNS=yes

SiteNafne=[nMH сайта Active Directory (факультативно)];AllowAnonymousAccess=no

DatabasePath=Ssystemroot/(\ntds {или иное место размещения файлаNTDS.DIT)

LogPath=JSsystemroot5!\ntds (или иное место размещения файла EDB.LOG)SYSVOLPath=?isysteinrootS;\sysvol (или иное место размещения корня

YSVOL)

SafeModeAdminPassword=<napOflb администратора для входа в режимосстановления Acttve Directory>

CriticalReplicationOnly=No

RebootOnSuccessi=yes

Дополнительный контроллер в домене

[DCINSTALL]

и8егМаше=<учетная запись администратора в домене>

Password=<napoflb>UserDomain=<HMR домена>

DatabasePath=JSsystemroot!S\ntds (или иное место размещения файла

NTDS.DIT)

LogPath=3£systemroot3>\ntds (или иное место размещения файла EDB.LOG)

SYSVOLPath=!6systemroot*\sysvol (или иное место размещения корня

SYSVOL)

SafeModeAdminPassword=<napoflb администратора для входа в режим

восстановления Active Directory>


CriticalReplicationdnly=noReplicaOrNewDomain=Replica

ReplicaDomalnDNSName=<noflHoe имя домена Active Directory>

ReplicationSourceDC=<HHfl домена-источника репликации>

RebootOnSuccess=yes

Новый дочерний домен[DCINSTALL]

UserNamePasswordUserDomainDatabasePathLogPathSYSVOLPathSafeModeAdlIlinPassword=<пapoль администратора для входа в

режим восстановления Active Directory>CriticalReplicationOnly=noReplicaOrNe«Domain=DomainTreeOrChtld=ChildParentDomainDNSNameChildNameDomainNetbiosNameAutoConfigDNSAllowAnonymousAccessRebootOnSuccess=yes

Новое дерево в лесу

[DCINSTALL]

UserNamePasswordUserDomainDatabasePathLogPathSYSVOLPathSiteNameSafeModeAdminPassVllord=<napoль администратора для входа в режим

восстановления Active Directory>CriticalReplLcationOnly=noReplicaOrNewDomain=DomainTreeOrChild=TreeNewDomainDNSNameDomainNetbiosNameAutoConfigDNSAllowAnonymousAccessRebootOnSuccess=yes


Понижение контроллера домена до уровня сервера

[DCINSTALL]UserNamePasswordUser-Domain

Administrator-PasswordisLastDCInDomainRebootOnSuccess=yes

Описание параметров и значений умолчания

В таблице описаны параметры используемые в файле ответов, и зна-чения, присваиваемые им по умолчанию.

Параметр

Возможные значения

(умолчание выделено) Описание

AllowAnpnymousAccess Yes/No

AdministratorPassword Нет умолчания

AutoConflgDNS

CbildName

CreateOrJoin

Yes/No

Нет умолчания

Create/loin

CriticalReplicationOnty Yes/

DatabasePath %systemroot%\ntd$

Разрешен ли анонимныйдоступ к объектам ActiveDirectory. См. «Требования,предъявляемые DCPromo»Пароль локального админи-стратора, устанавливаемыйпри понижении статуса кон-троллера до сервераУказывает, конфигуриро-вать ли сервер DNS на ло-кальном компьютереИмя дочернего домена,подключаемого к родитель-скому. Укалывается толькокороткое имя (до точки)Create используется присоздании нового леса, Join— при создании новогодерева в существующемлесуYes — репликация критич-ных параметров выполня-ется до перезагрузки ком-пьютера. Если ничего неуказано, она выполняетсяпосле перезагрузкиИмя каталога, в которомразмещается файл базыActive Directory. См. *Фай-лы базы Active Directory*.Имя должно быть полнос-тью определенным не встандарте UNC



ПараметрВозможные значения

(умолчание выделено) Описание

DomainNetbiosName Нет умолчания

DNSOnNetwork Yes/No

IsLastDCInDomain Yes/No

LogPath %systemroot%\ntds

NewDomainDNSName Нет умолчания

Password Нет умолчания

ParentDomainDNSName Нет умолчания

RcbootOnSuccess Yes/No

ReplicaDomainDNSName Нет умолчания

ReplicaOrMember ReplicajMember

NetBIOS-имя домена, ис-пользуемое клиентами пре-жних версий Windows илиDOS"Ves подразумевает, что кли-ент DNS может быть скон-фигурирован и допускаетсяавтоконфигурация.Указывает, является ли дан-ный контроллерпоследним в домене припонижении статуса до сер-вераИмя каталога, в которомразмещаются файлы жур-нала транзакций ActiveDirectory. См. «Файлы базыActive Director}'». Имя долж-но быть полностью опреде-лено не в стандарте UNCИмя домена при созданиинового леса или новогодереваПароль учетной записи,используемой для созданияконтроллера домена. Вся-кий раз по завершении ра-боты DCPROMO парольудаляется из файла ответовИмя родительского доменапри создании дочернего.Yes указывает на необходи-мость перезагрузки компь-ютера в случае удачногозавершения работыDCPROMOИмя домена, из которогодолжна выполняться ре-пликация при установкедополнительного контрол-лера или обновлении доме-на Windows NTReplica используется приобновлении контроллерадомена Windows NT доWindows 2000, Member -при понижении статусаконтроллера до сервера


6-2005


ПараметрВозможные значения(умолчание выделено) Описание

ReplicaOrMember ReplicajMember

ReplicaOiNewDomain DomainjKeplica

ReplicationSourceDC Нет умолчания

SafeModeAdminPassword Нет умолчания

SiteName Default-First-Site

SYSVOLPath

TrceOrCbild

UserDomain

%systeinroot%\SYSVOL

Tree|Child

См. описание

Replica используется приобновлении контроллерадомена Windows NT доWindows 2000, Member -при понижении статусаконтроллера до сервераDomain используется присоздании нового домена,Replica — при добавленииконтроллера в существую-щий доменУказывается имя контрол-лера домена, е которогодолжна тиражироватьсяреплика. Если ничего неуказано, используется бли-жайший контроллерв доменеУстанавливает пароль адми-нистратора для входав режим восстановленияActive DirectoryИмя сайта, в который будеавключен контроллер доме-на. Если ничего не указан9,сайт будет подобран, исхо-дя из конфигурации сайтови подсетей. Если же этоновый лес, создается сайт с:именем по умолчанию

Путь к каталогу SYSVOL.См. «Файлы базы ActiveDirectory». Путь долженбыть полностью определенне в стандарте UNCTree указывает на созданиенового дерева. Child — пасоздание дочернего доменаИмя учетной записи длявыполнения операции.Если это создание леса,значений по умолчаниюнет. Если это добавлениеновою дерева, по умолча-нию используется имя леса.Если это создание дочерне-го домена или добавление



Возможные значенияПараметр (умолчание выделено) Описание

контроллера в существую-щий домен, это имя доме-на, к которому присоединя-ются

UserName Нет умолчания Имя учетной записи, ис-пользуемой для выполне-ния операции

Анализируем журналы

Программа DCPROMO создает отчет о своей работе в виде целогонабора журналов. Поскольку в случае нештатной ситуации при уста-новке контроллера домена придется воспользоваться ими для выяв-ления причин, ознакомимся с их содержанием.

DCPromo.log

Файл DCPromo.log содержит информацию о параметрах, выбранныхпользователем в процессе работы мастера, а также сведения о егоработе. Взгляните на выдержку из этого файла:

03/22 13:25:55 [INFO] Promotion request for domain controller of new domain

03/22 13:25:55 [INFO] DnsDomainName msk.mycorp.ru

03/22 13:25:55 [INFO] FlatDomainName MSK

03/22 13:25:55 [INFO] SiteName (NULL)

03/22 13:25:55 [INFO] SystemVolumeRootPath C:\WINNT\SYSVOL

03/22 13:25:55 [INFO] DsDatabasePath C:\WINNT\NTDS, DsLogPath

C:\WINNT\NTDS

03/22 13:25:55 [INFO] ParentDnsDomainName mycorp.ru

03/22 13:25:55 [INFO] ParentServer (NULL)

03/22 13:25:55 [INFO] Account mycorp.ru\administrator

03/22 13:25:55 [INFO] Options 196

03/22 13:25:55 [INFO] Validate supplied paths

03/22 13:25:55 [INFO] Validating path C:\WINNT\NTDS.

03/22 13:25:55 [INFO] Path is a directory

03/22 13:25:55 [INFO] Path is on a fixed disk drive,

03/22 13:25:55 [INFO] Validating path C:\WINNT\NTDS.

03/22 13:25:55 [INFO] Path is a directory

03/22 13:25:55 [INFO] Path is on a fixed disk drive.

03/22 13:25:55 [INFO] Validating path C:\WINNT\SYSVOL.

03/22 13:25:55 [INFO] Path is on a fixed disk drive.

03/22 13:25:55 [INFO] Path is on an NTFS volume

03/22 13:25:55 [INFO] Child domain creation - check the new domain name

is child of parent domain name.

03/22 13:25:55 [INFO] Domain Creation - check that the flat name is unique.03/22 13:26:03 [INFO] Start the worker task


03/22 13:26:03 [INFO] Request for promotion returning 003/22 13:26:03 [INFO] No source DC or no site name specified. Searching

for dc in domain mycorp.ru: { DS_REQUIRED | WRITABLE }03/22 13:26:03 [INFO] Searching for a domain controller for the domain

mycorp.ru03/22 13:26:03 [INFO] Located domain controller mycorp.ru for domain (null)

03/22 13:26:03 [INFO] No user specified source DC03/22 13:26:03 [INFO] No user specified site03/22 13:26:03 [INFO] Using site Default-First-Site-Name for server

mycorp.ru03/22 13:26:03 [INFO] Forcing a time synch with \\ROOT1.mycorp.ru03/22 13:26:05 [INFO] Reading domain policy from the domain controller

\\ROOT1.mycorp.ru03/22 13:26:05 [INFO] Stopping service NETLOGON03/22 13:26:05 [INFO] Stopping service NETLOGON03/22 13:26:05 [INFO] Configuring service NETLOGON to 1 returned 003/22 13:26:05 [INFO] Creating the System Volume C:\WINNT\SYSVOL03/22 13:26:05 [INFO] Deleting current sysvol path C:\WINNT\SYSVOL03/22 13:26:06 [INFO] Preparing for system volume replication using

root C:\WINNT\SYSVOL03/22 13:26:06 [INFO] Copying initial Directory Service database file

C:.\WINNT\system32\ntds.dit to C:\WINNT\NTDS\ntds.dit03/22 13:26:09 [INFO] Installing the Directory Service

Записи предельно лаконичны. На мой взгляд, именно этот файл сле-дует использовать в первую очередь при возникновении проблем.

Совет Если среди строк в этом журнале вы обнаружите что-то вро-де [INFO] Ntdslnstall for msk.aiycorp.ru returned 1396, то дайте коман-ду net helpmsg <номер> (к рассматриваемом примере 1396) для полу-чения подробных сведений об ошибке.

Если приводимой в этом файле информации окажется недостаточнодля выявления проблемы, можно обратиться к файлу DCPromoUI.log.

DCPromolll.log

В файле DCPromoUI.log приведен подробнейший отчет обо всех дей-ствиях пользователя н DCPROMO, а также все действия этой програм-мы. Запись начинается сразу после старта мастера и заканчивается позавершении. Если работа мастера завершилась неудачей, дается под-робное описание сообщений об ошибках, приведших к неудаче. Остепени подробности регистрации вы можете судить по выдержкамиз этого файла.Вот так регистрируется начало работы программы:


dcpromoui t:Ox42C 00000


dcpromoui t:Ox42C 00002dcpromoui t:Ox42C 00003dcpromoui t:Ox42C 00004

dcpromoui t:Ox42C 00005dcpromoui t:Ox42C 00006dcpromoui t:Ox42C 00007

dcpromoui t:Ox42C 00008dcpromoui t:Ox42C 00009


dcpromoui t:Ox42C 00011dcpromoui t:Ox42C 00012dcpromouidcpromouidcpromoui

dcpromouidcpromoui

dcpromoui

Ox42C 00013Ox42C 00014

Ox42C 00015Ox42C 00016Ox42C 00017

Ox42C 00018

opening log file C:\WINNT\debug\dcpromoui.log03/22/2002 13:24:14.0787

running Windows NT 5.0 build 2195 Service Pack 2logging mask 0038

no options specified

Enter Computer::Initialize MIDI

Enter MyDsRoleGetPrimaryDomainlnformation

Enter yDsRoleGetPrimaryDomainlnformationHelperCalling DsRoleGetPrimaryDomainlnformationIpServer : (null)

InfoLevel : 0x1

(DsRolePrimaryDomainlnfoBasic)Error 0x0 (10 => error)

Exit MyDsRoleGetPrimaryDomainlnformationHelperHachineRole : 0x2Flags : 0x0DomainNameFlat: WORKGROUPDomainNameDns : (null)

DomainForestName: (null)Exit MyDsRoleGetPrlmaryDomainlnformation

Далее проверяется, сконфигурирован ли сервер DNS:

dcpromoui

dcpromouidcpromouidcpromoui




dcpromoui

dcpromoui


dcpromouidcpromoui

Ox42C 00241

Ox42C 00242Ox42C 00243:Ox42C 00244

Ox42C 00245:Ox42C 00246Ox42C 00247

Ox42C 00248Ox42C 00249Ox42C 00250

Ox42C 00251Ox42C 00252Ox42C 00253

Ox42C 00254

Ox42C 00255Ox42C 00256OX42C 00257

Ox42C 00258Ox42C 00259OX42C 00260


Enter ConfigureDNSClientPage::OnSetActiveEnter DNS: ilsClientConfiguredCalling DnsQuery

IpstrName : 1.0.0.127.in-addr.arpa«Type : DNS_TYPE_PTRfOPtions : DNS_QUERY_BYPASS_CACHEaipServers : 0

ppQueryResultsSet : Ox6F384pReserved : 0

Result 0x0

ERROR.SUCCESSDNS client is configured

Exit DNS::IsClientConfigured

planning to Skip Configure DNS Clientpage

Enter ConfigureDNSClientPage: Validate

Enter DNS::IsClientConfiguredCalling DnsQueryIpstrName : 1.0.0.127.in-addr.arpawType : DNS_TYPE_PTR

fOPtions : DNS.QUERY BYPASS CACHEiaipServers : 0


dcpromoui t:0>:42C 00262

dcpromoui t:Ox.42C 00263dcpromoui t:Ox42C 00264dcpromoui t:0*42C 00265dcpromoui t:Qx42C 00266dcpromoui t:Ox42C 00267

Теперь ищем корневой домен

Enter getForestName mycorp.rudcpromoui t:Ox42C 00307


dcpromoui t:Ox42C 00310dcpromoui t:Ox42C 00311dcpromoui t:Ox42C 00312dcpromoui t:Ox42C 00313dcpromoui t;Ox42C 00314




ppOueryResultsSet : Ox6F30CpReserved : 0Result 0x0ERROtLSUCCESS

DNS client is configuredExit DNS: :IsClientConfigured

И:

Enter myDsGetDcName

Calling DsGetDcNameComputerName : (null)DomainName : mycorp.ruDomainGuid : (null)SiteGuid : (null)Flags : 0x40000000

DomainControllerName :\\ROOT1.mycorp.ru

DomainControllerAddress :\\10.1.2.1

DomainGuid :{72B484AC-F61D-4E7B-8A1E-E8CA284DDAE5}

DomainName : mycorp. ruDnsForestName : mycorp. ru

Проверяется, не используется ли уже имя домена, которое вы ввели в

диалоговом окне:

dcpromoui t:Ox42C 00483 Enter DS;:IsDomainNamelnUsedcpromoui t:Ox42C 00484 Enter myNetValidateName

dcpromoui t:Ox42C 00485 Calling NetValidateNamedcpromoui t:Ox42C 00486 IpServer ; (null)dcpromoui t:Ox42C 00487 IpName : msk.mycorp.ru

dcpromoui t:Ox42C 00488 IpAccount : (null)dcpromoui t:Ox42C 00489 IpPassword : (null)dcpromoui t:Ox42C 00490 NameType :

NetSetupNonExistentDomaindcpromoui t:Ox42C 00491 Error 0x0 (!0 => error)dcpromoui t:Ox42C 00492 Exit myNetValidateName

dcpromoui t:Ox42C 00493 Trie domain name msk.mycorp.ru isNOT in use.

dcpromoui t:Ox42C 00494 Exit DS::IsDomainNamelnUsedcpromoui t:Ox42C 00495 Exit ValidateDomainDoesNotExist

А вот сообщение об успешном завершении:

dcpromoui t:Ox42C 01269 Enter getCompletionHessagedcpromoui t:Ox42C 01270 Enter State::GetOperation CHILD



dcpromoul t:Ox42C 01274




dcpromoui t:Ox42C 01271 Exit State::GetOperation CHILD

dcpromoui t:Ox42C 01272 Enter State::GetOperationResultsCodeSUCCESS

Exit State::GetOperationResultsCodeSUCCESS

Enter State::GetNewDomainDNSNamemsk.mycorp,ru

Exit State::GetNewDomainDNSNamemsk.mycorp.ru

Enter State::GetInstalledSiteDefault-First-Site-Name

Exit State::GetInstalledSiteDefault-First-Site-Name

dcpromoui t:Ox42C 01278 Enter State::GetFinishMessagesdcpromoui t:Ox42C 01279 Exit State:;SetFinishHessages

dcpromoui t:Ox42C 01280 Exit getCompletionHessagedcpromoui t:Ox42C 01281 Exit FinishPage::OnSetActivedcpromoui t:Ox42C 01282 Enter FinishPage::OnWizFinish

dcpromoui t:Ox42C 01283 Exit FinishPage:;OnWizFinishdcpromoui t:Ox42C 01284 Exit Wizard::ModalExecutedcpromoui t:Ox42C 01285 Enter Dialog::ModalExecutedcpromoui t:0*42C 01286 Exit Dialog::ModalExecutedcpromoui t:Ox42C 01287 Enter Reboot

dcpromoui t:Ox42C 01288 OpenProcessTokendcpromoui t:Ox42C 01289 LookupPrivilegeValue

dcpromoui t:Ox42C 01290 AdjustTokenPrivilegesdcpromoui t:Ox42C 01291 ExitWindowsEx

dcpromoui t:Ox42C 01292 Exit Rebootdcpromoui t:Ox42C 01293 Exit doWizarddcpromoui t:Ox42C 01294 Exit doltdcpromoui t:0*42C 01295 closing log file

Просмотрев весь этот файл, вы выясните имя контроллера домена —

источника репликации, разделы каталога, реплицированные на сер-

вер, число элементов, реплицированных для каждого из разделов в ка-

талоге, имена сконфигурированных служб, списки контроля доступа

к ресурсам сервера, модифицированные в процессе исполнения про-граммы, каталоги SYSVOL, сообщения об ошибках. Короче, изучение

этого файла дасг вам больше, чем чтение многих умных книг.

В начале файла вы увидите фразу Loggin mask. Эта маска устанавливает

степень детализации файла. Она задается соответствующим парамет-

ром в реестре. Он находится в ветви HKLM\Software\Microsoft \Win-

dows\CurrenrVersion\AdrninDebug и называется DCPROMOUI. Значение

маски устанавливается побитрво в соответствии со следующей таблицей:


Управление степенью подробности регистрациив журнале DCPromoUJ. log

Старший байт

0x0002 Отслеживание вызовов конструкторов и деструкторов0x0004 Отслеживание вызовов AdclRcf и Release0x0008 Отслеживание входа и выхода в функции0x0010 Выводить сообщения трассировки0x0020 Выводить заголовок со временем создания0x0040 Перехватывать обращения к стеку при вызове оператора New

Младший байт

0x0001 Вывод в файл0x0002 Вывод в отладчик

Netsetup.log

Файл NetsetupJog записывается во время работы программы Netsetup,вызываемой в данном случае для установки нужных сетевых компо-нентов. В следующем фрагменте файла зарегистрировано включениекомпьютера DC01 в домен fyodor.home. Контроллер домена, на кото-ром выполняются проверки, называется ЕТА.

03/17 20:53:53 NetpDoDomainJoln03/17 20:53:53 NetpMachlneValidToJoin: 'ОСОТ03/17 20:53:53 NetpGetLsaPrimaryDomain: status: 0x003/17 20:53:53 NetpMachineValidToJoin: status; 0x003/17 20:53:53 NetpJoinDomain03/17 20:53:53 Machine: DC0103/1720:53:53 Domain: fyodor.home\ETA.fyodor.home03/17 20:53:53 MachineAccountOU: (NULL)03/17 20:53:53 Account: fyodor.home\administrator03/17 20:53:53 Options: 0x2703/17 20:53:53 OS Version: 5.003/17 20:53:53 Build number: 219503/17 20:53:53 ServicePack: Service Pack 203/17 20:53:53 NetpValidateName: checking to see if 'fyodor.home'

is valid as type 3 name03/17 20:53:53 NetpCheckDomainNamelsValid [ Exists ] for

'fyodo r.home' returned 0x003/17 20:53:53 NetpValidateName: name 'fyodor.home1 is valid for type 303/17 20:53:53 NetpJoinDomain: status of connecting to do

'\\ETA.fyodor.home': 0x003/17 20:53:53 NetpJoinDomain: Passed DC '\\ETA.fyodor.home' verified

as DNS name '\\ETA.fyodor.home'03/17 20:53:53 NetpGetLsaPrimaryDomain: status: 0x0

03/17 20:53:53 NetpGetNt4RefusePasswordChangeStatus: trying to read


from '\\ETA.fyodor.home'03/17 20:53:54 NetpGetNt4RefusePasswordChangeStatus: failed but

ignored the failure: 0x203/17 20:53:54 NetpLsaOpenSecret: status: OxcOD0003403/17 20:53:54 NetpGetLsaPrimaryDomain: status: 0x003/17 20:53:54 NetpLsaOpenSecret: status: Oxc000003403/17 20:53:57 NetpJoinDomain: status of creating account: 0x003/17 20:53:57 NetpJoinDomain: status of setting netlogon cache: 0x003/17 20:53:57 NetpGetLsaPrimaryDomain: status: 0x003/17 20:53:57 NetpSetLsaPrimaryDomain: for TYODOR' status: 0x003/17 20:53:57 NetpJoinOomain: status of setting LSA pri. domain: 0x003/17 20:53:57 NetpJoinDomain: status of managing local groups: 0x003/17 20:53:57 NetpJoinDomain: status of setting

ComputerNamePhysicalDnsDomain to 'fyodor.home': 0x003/17 20:53:57 NetpJoinDomain: status of starting Netlogon: 0x003/17 20:53:57 NetpWaitForNetlogonSc: waiting for netlogon secure

channel setup,..03/17 20:53:58 NetpWaitForNetlogonSc: status: 0x0, sub-status: 0x003/17 20:53:58 NetpJoinDomain: status of disconnecting from

'\\ETA.fyodor,home': 0x003/17 20:53:58 NetpDoDomainJoin: status: 0x0

DCPromos.log

Файл DCPromos.log создается, только если выполняется обновлениеконтроллера домена Windows NT до Windows 2000. Он содержит дан-ные о работе графической части программы установки.

Как подобрать компьютер?О выборе подходящей конфигурации спрашивают довольно часто.Никому уже не надо говорить, что выбирать технику надо, посовето-вавшись со списком совместимого оборудования (http://www.rnicro-soft.com/hcl/). Это и так все знают. (Другое дело, что многие простоигнорируют этот список, так как используют не то. что нужно, а то,что у них есть, или то, что в состоянии купить). Большинство знако-мо и с минимальными требованиями, предъявляемыми к сервернойконфигурации Windows 2000.

Контроллер домена на базе Процессор: Pentium 133 и вышеWindows 2000 Server Оперативная память; 160 Мб

Объем жесткого диска: 1 Гб

Думаю, никому, кто находится в здравом уме и ясной памяти, не придетв голову использовать минимальную конфигурацию в производствен-ной системе. Но при всем том готового ответа на вопрос, какую конфи-гурацию использовать, дать нельзя. Все зависит от массы условий.

152 Active Directory: подход про<|>ессионала

Если вы не готовы' к самостоятельной оценке требуемых ресурсов,воспользуйтесь программой Active Directory Sizer, которая в первомприближении поможет оценить как количество компьютеров, так иих назначение и конфигурацию.

Совет Значения, полученные с помощью AD Sizer, довольно прибли-зительны и могут как завышать, так и занижать конфигурацию, По-этому используйте ее для первых прикидок, а точные расчеты делай-те на основании рекомендаций, приведенных ниже.

Допустим, вы хотите рассчитать, сколько контроллеров домена и ка-кой конфигурации вам понадобится для построения сети в организа-ции, состоящей из головного офиса и 4 филиалов, Общее количествопользователей — 1 000, каждый работает на своем компьютере, В двухфилиалах работает по 100 пользователей, а в оставшихся — по 10. На50% компьютеров стоит Windows 2000, а на оставшихся — Windows 9x.В центральном офисе есть 20 серверов Windows 2000, на которых ус-тановлены приложения. В качестве почтовой системы используетсяMicrosoft Exchange 5-5. Запустите программу и подсчитайте результат.

-= Эй ;.ife ConfirmationDefaJl-firrt-Slte_j :iomain Cent г ok •<

: a , J Bridge Heads•k У Вн MyDnnuIn M)

К £3 Branchl* -jj Bridge Heads

* Ц ВКЧуСстаГ' (*Г|

•~ _| Bcdqe HtedsSi 3 ВН.МуСвпаг bi)

= £j Small Branch- *• •Ll BrkJgff Heads

№-£J ЙН.МуОагпеШ (xl)fr I Small Branth 01

-4 «23 BrtOgt >1ss*

* -^J:

Domain: MyDornalnRole; Domain ControllerMachines; 2

III Xeo'i 550Processors;Memory; 256 Mbytes

Disk Drives:

System Oisl: 1

i ч(] Disks: 2 (PaDetebaie Disks: 3 (Ra

Окно ^с/й'е Directory Sizer

Думаю, он вас удивит, И удивление будет как приятным, так и непри-ятным. Судите сами.

В центральном офисе надо установить 3 контроллера домена, одиниз которых будет выделенным сервером-форпостом и ГК. Если вы


хорошо знакомы с тем. как работает генератор топологии межсайто-вой репликации (ISTG), то поймете, что либо надо добавить еще одинсервер-форпост, либо держать работу КСС под постоянным контролем.

Конфигурация этих серверов видна на рисунке. Это, конечно, уже ине минимальные требования, но объем оперативной памяти у менявызывает сомнения. Маловато будет! Попробуем поменять начальныезначения и посмотрим, как на это отреагирует программа. Допустим,работа с Active Directory ведется весьма интенсивно, а именно в часпик до 100 пользователей в секунду регистрируется в домене инте-рактивно, по сети и как пакетные задания. Плюс к этому пусть каж-дый день администратор добавляет, удаляет и модифицирует по 5учетных записей. Ну и, наконец, некоторые приложения, работающиес Active Directory, выполняют по 5 операций поиска, удаления, добав-ления и модификаций в секунду. Результат будет неожидан. Вам будетпредложено дополнительно установить в центральном офисе еще 3контроллера домена, 2 сервера ГК и 1 сервер-форпост (если вы дога-даетесь добавить еще одну межсайтовую связь). И все эти серверы —в показанной конфигурации.

В двух малых офисах устанавливать контроллер домена нецелесооб-разно, так как там всего 10 пользователей, однако программа настой-чиво советует это сделать. Исключая соответствующие компьютерыиз списка, вы немного скрасите горечь предстоящих затрат.

Как видите, на результат расчетов влияет множество факторов. Попро-буем их рассмотреть.

Требования к процессоруК процессору можно подойти с позиции «чем больше, тем лучше»,однако следует всегда руководствоваться принципом разумной до-статочности. Зачем гнаться за самым последним типом процессора ссамой высокой тактовой частотой? Роль процессора зависит от степе-ни загрузки контроллера домена, на которую в свою очередь влияют:

• наличие на контроллере мастеров операций, особенно имитато-ра PDC;

• наличие на контроллере дополнительных сетевых служб, таких какDNS, DHCP, WINS;

• выполнение контроллером функции выделенного сервера-форпоста;

• интенсивность внесения изменений в Active Directory;

• интенсивность регистрации в пиковые часы.

Служба Microsoft Consulting Services опубликовала интересный доку-мент, в котором на основании тестов оцениваются аппаратные требо-вания к контроллерам доменов. В таблице приведены результаты из-мерения количества пользователей, зарегистрировавшихся интерактив-


но за разные периоды времени. Измерения проводились на машинах сразным числом процессоров PIII Хеоп 500 Мгц и объемом ОЗУ 512 Мб.

Количество пользователей,зарегистрировавшихся интерактивноКоличество процессоров

1 минута5 минут10 минут

1 2 4

1 200-1 800 1 800-3 000 2 400-4 2006 000-9 000 9 000-15 000 12 000-21 00012 000-18 000 18 000-30 000 24 000-42 000

10 минут — это разумное время регистрации пользователей. (Труднопредставить, что 15 000 пользователей захотят зарегистрироваться всети в течение 1 минуты). Поэтому, если в организации всего 2-3тысячи пользователей, их регистрацию вполне может обслужить одинконтроллер с одним процессором указанного типа.

Следующий тест учитывал членство пользователей в группах. В таб-лице показана зависимость скорости регистрации пользователей (ре-гистрации в секунду) от числа процессоров и количества групп.

Количество регистрации в секундупри членстве пользователей в разном числе группКоличество процессоров

10 групп20 групп30 групп

1

19-2817-2516-24

2

28-4725-4223-40

4

39-6836-6334-60

Таким образом, представленные таблицы позволяют оценить требо-вания к количеству процессоров с точки зрения скорости регистра-ции пользователей.

На количество процессоров ьлияет еще один фактор — выполнениекомпьютером функций сервера-форпоста- В нагруженных системах,когда на один форпост приходится несколько партнеров по реплика-ции, большое значение имеет скорость выполнения репликаций. Дело втом, что, когда на всех партнерах произошли изменения в каталоге иони оповестили сервер-форпост об этом, он должен за отведенный пе-риод времени опросить по очереди каждый из контроллеров-партнерови принять сведения о репликации. Если он не успеет это сделать в отве-денное время, то захватит следующий период, препятствуя тем самымрепликации новых изменений, накопившихся на контроллерах-партне-рах за данное время. Это приводит к росту очереди репликации. Поэто-му надо либо увеличивать количество серверов-форпостов, либо увели-чивать производительность имеющегося. Справедливости ради замечу,что производительность в такой ситуации может ограничиваться уже неколичеством процессоров, а пропускной способностью сетевой платы.


Требования к оперативной памятиОбъем оперативной памяти на контроллерах домена зависит от та-ких факторов.

+ Объем базы Active Directory. В идеале при работе вся база должнаразмещаться в ОЗУ. Хотя начальный объем базы всего 10 Мб, пос-ле добавления пользователей и интенсивной работы он можетсоставить 250 Мб, и это не предел. Если зоны DNS интегрированыс Active Directory, то это дополнительный вклад в объем базы.

• Является ли контроллер сервером ГК. Хотя ГК занимает и не такоепространство, как база домена, но при большом числе доменов ипользователей он может вносить в них существенный вклад.

В упоминавшемся тестировании была измерена зависимость скоростивыполнения LDAP-запросов к серверу ГК от количества объектов в неми от объема оперативной памяти:

Количество обработанных LDAP-запросов(компьютер с 2 процессорами РШ-Хеоп)Скорость посылаемыхзапросов (в секунду) 130 260 390 520 650 780

Количество запросов, обработанных ГК(за пр./сек)

200 000 объектов, ОЗУ 512 Мб 130 260 390 520 613 610400 000 объектов, ОЗУ 512 Мб 130 >60 380 375 377 377400 000 объектов, ОЗУ 1 Гб 130 260 390 520 650 705

Хорошо видно, что при памяти 512 Мб и 400 000 объектов ГК дости-гает насыщения производительности всего при 390 поступающих зап-росах в секунду. Увеличение объема ОЗУ в два раза поднимает планкунасыщения также вдвое.

• Выполняются ли на сервере такие службы, как WINS, DNS, DHCP.Эти службы имеют собственные базы, хранимые в кэше. Объем базопять-таки зависит от количества компьютеров в сети.

Например, в уже упоминавшемся выше тесте исследовался компью-тер, игравший только роли контроллера домена и сервера DNS. С этойцелью был взят компьютер Compaq Proliant 6500 с 4 процессорамиPentium III Xeon — 500, ОЗУ — 1 Гб, подтслюченный к сети Fast Ethernet100 Мб в пол но дуплексном режиме. Результаты тестирования:

• максимальная скорость динамических регистрации (в секунду) — 199;• максимальная скорость динамических удалений (в секунду) — 200;

• максимальное число обработанных запросов (в секунду) — 852.

При этом загруженность процессоров не превысила 25%.

jj6 Active Directory: подход профессионала

Конфигурация жестких дисковО конфигурировании дисковой подсистемы написано много: назовухотя бы [8] и справку к Windows 2000. Поэтому я просто приведу ти-повые конфигурации, прошедшие проверку в боевых условиях.1. Тестовая конфигурация или небольшая организация (до 20 пользо-

вателей). Жестких дисков (как ЮЕ, так и SCSI) в компьютере мо-жет быть не более двух. Если диск один, его желательно разбитьна два раздела. Системный диск (раздел) имеет объем 3-4 Гб, вто-рой диск (раздел) — от 3 Гб (в зависимости от того, какие допол-нительные функции выполняет компьютер). Оба раздела — NTFS.На системном диске размешаются система и журналы транзакций,на втором диске — файлы базы Active Directory, каталог SYSVOL,базы сетевых служб и, если надо, профили пользователей и ихдомашние каталоги.

2. Оптимальная конфигурация для организации малого и среднегоразмера. Жестких дисков — 6 штук типа SCSI объемом 18 Гб каж-дый. Скорость вращения 10 000 об/мин. Все диски подключены кRAID-контроллер у. Конфигурация: диски попарно объединены вмассивы RAID1. На первом массиве установлена система. Второймассив служит для размещения журналов транзакций. Третий мас-сив служит для хранения базы Active Directory, каталога SYSVOL.базы сетевых служб и при необходимости профилей пользовате-лей и их домашних каталогов.

3. Оптимальная конфигурация для крупных организаций и очень на-груженных контроллеров домена. Жестких дисков не менее 9. ТипUltraSCSI 160, от 10 000 до 15 000 об./мин. с возможностью заменыв «горячем* режиме. Обязательное подключение к двухканальномуRAID-контроллеру. К первому каналу подключено 6 дисков. Онипопарно объединены в разделы RAID 1. Объем каждого раздела от18 Гб. На первом — система, на втором — журналы транзакций, натретьем — база Active Directory: Раздел RAID 5 подключен ко второ-му каналу. Здесь размещаются каталог SYSVOL, базы сетевых служб,серверные приложения мониторинга и диагностики и при необхо-димости профили пользователей и их домашние каталоги.

Как проверить работоспособностьконтроллера доменаНу что ж, спроектировали систему, сконфигурировали сетевые служ-бы, запустили DCPROMO, перегрузили компьютер... А дальше? Можноприступать к работе? Конфшурировать остальные контроллеры? Неспешите. Сначала убедитесь, что все работает именно так, как вы изадумали. Не хочу пугать, но в жизни полно неожиданностей. Вы моглипросто отвлечься во время ответов на вопросы DCPROMO и выбратьчто-то не так, или на Солнце произошла мощная вспышка, но резуль-тат может быть любым. Поэтому выполните следующую проверку7.


Совет Установив контроллер домена, не торопитесь увидеть все ре-зультаты установки сразу, особенно если вы устанавливаете не пер-вый контроллер в лесу доменов. Подождите не менее 30 минут. За этовремя должна завершиться работа служб по конфигурированию DNSи Active Directory и выполнится внутрисайтовая репликация.

1. Просмотрите журналы событий в поисках предупреждений илисообщений об ошибках. Если они вам встретятся, выясните при-чину их появления и постарайтесь ее устранить. Многие из этихошибок уже были описаны выше.

2. Убедитесь, что запущены все нужные для установленного типазапуска службы. Должны быть запущены все службы с автомати-ческим запуском.

Ъ- Запретите запуск ненужных служб. Понимаю, что для многих этобольной вопрос. А что называть лишними службами? Ну, для кон-троллеров домена это определенно Print Spooler, Messenger иAlerter. Если вы были столь неразумны, что по умолчанию устано-вили IIS, запретите и его запуск. А вообще список нужных службнадо продумывать на этапе проектирования групповых правил дляконтроллеров доменов. Но об этом — в главе «Групповая политика*.

- '''f М4Й Ьшы!f t-iis4v!rt: la LAH

Оптимизация серверной службы

4, Выберите правильную роль для службы Server. Подумайте, будете ливы исполнять дополнительные приложения на этом сервере. Незабудьте про ресурс SYSVOL. Используются ли сценарии, как многопользователей и как часто имеет к ним доступ, где хранятся про-фили?

1_5_8 Active Directoty:jiOflxofl профессионала

5. Проверьте параметры протокола TCP/IP. Все имена должны нормаль-но разрешаться, а параметры, установленные для WINS и DNS, —верны. Используйте утилиты ipconfig и nslookup.

6. С помощью Netdiag проверьте сетевые подключения и регистра-цию в WINS/DNS. Эта мощная утилита позволяет проверить всесетевые параметры компьютера. Вы можете выполнить как отдель-ные тесты, так и все сразу, Причем информацию о них можновыводить подробно или общо. Для примера разберем результаттестирования с выводом результатов без подробностей.

Для начала сообщаются общие сведения о компьютере.

Computer Name: DC01DNS Host Name: dc01.fyodor.home

System info : Windows 2000 Server (Build 2195)

Processor : x86 Family 6 Model 8 Stepping 3, Genuinelntel

List of installed hotfixes :

Q147222

Далее тестируются сетевые платы. В данном случае вы видите пре-дупреждение о том, что, возможно, плата не функционирует вслед-ствие того, что это, например, единственный компьютер в сети:

Netcard queries test : Passed[WARNING] The net card 'Realtek RTL8l39(A)-based PCI Fast

Ethernet Adapter' may not be working because it has not receivedany packets.

Вот результаты тестирования каждого из интерфейсов, В нашемпримере один является реальным интерфейсом, а другой — вир-туальным, и именно с ним связаны все ошибкиPer interface results:

Adapter : Local Area Connection

Netcard queries test . . , : Passed

Host Name : dc01

IP Address : 10.1.1.3

Subnet Mask : 255.255.255.0

Default Gateway :

Primary WINS Server. . . . : 10.1.1.3Dns Servers : 10.1.1.3AutoConfiguration results : Passed

Default gateway test . . . : Skipped

[WARNING] No gateways defined for this adapter.

NetBT name test : Passed

WINS service test : Passed

Adapter ; VNware Virtual Ethernet Adapter (basic host-only

support for VMnetO


Netcard queries testHost NameIP AddressSubnet MaskDefault Gateway. . ,Dns ServersIpConfig results . .

PasseddcOl192.168.30.1255.255.255.0

FailedPinging DHCP server - not reachableWARNING: DHCP server may be down.

AutoConftguration results : PassedDefault gateway test . . . : Skipped

[WARNING] No gateways defined for this adapter,NetBT name test : Passed

No remote names have been found.WINS service test : Skipped

There are no WINS servers configured for this interface.

Теперь следуют глобальные параметры, не требующие дополни-тельных разъяснений.

Global results:Domain membership test ; PassedNetBT transports test : Passed

List of NetBt transports currently configured:NetBT_TcpipJ6C40DF85-48A3-4D93-941C-1D914F8B0907}

NetBT_TcpipJB48C7C30-72DE-494C-BDB9-D9391C986AEF'

2 NetBt transports currently configured.Autonet address test : PassedIP loopback ping test : PassedDefault gateway test : Failed

[FATAL] NO GATEWAYS ARE REACHABLE.

You have no connectivity to other network segments.If you configured the IP protocol manually thenyou need to add at least one valid gateway,

NetBT name test : PassedWinsock test : PassedDNS test : Failed

[FATAL]: The DNS registration for 'dc01.fyodor.home'is incorrect on all DNS servers.

PASS - All the DNS entries for DC are registered on DNS server'10.1.1.3* and other DCs also have some of the names registered.

Увиден такое предупреждение, запустите netdiag с ключом /v. Что-бы сократить выводимую информацию, лучше всего указать кон-кретный тест. У нас это тест DNS. Проанализировав результат в кон-кретном примере, приходим к выводу, что виноват снова вирту-


альный сетевой интерфейс, который, несмотря на свою виртуаль-ность, зарегистрирован в DNS как адрес сервера DNS в несуществу-ющей сети 192.168.30.0.

Redlr and Browser test : PassedList of NetBt transports currently bound to the Redir

NetBT_TcpipJ6C40DFe5-48A3-4D93-941C-1D914F8B09Q7}NetBT_Tcpip_{B46C7C30-72DE-494C-BDB9-D9391C986AEF}

The redlr is bound to 2 NetBt transports.

List of NetBt transports currently bound to the browserNetBT_TcpipJ6C40DF85-48A3-4D93-941C-1D914F8B09Q7}

NetBT_Tcpip_{B48C7C3Q-72DE-494C-B[}B9-D9391C986AEF}The browser is bound to 2 NetBt transports.

Ну и. наконец, тесты самого контроллера домена. Для целей об-щей диагностики этого вполне достаточно. Путь к подробностямоткроет вам ключик /V у команды:

DC discovery test. . . .DC list testTrust relationship test.

Kerberos test

LDAP test

Bindings testWAN configuration test .

No active remote access connections.Modem diagnostics testIP Security test , . .

PassedPassedSkippedPassedPassedPassedSkipped

PassedPassed

IPSec policy service is active, but no policy is assigned.

The command completed successfully

Утилита Dcdiag (о ее возможностях см. справку Support Tools Help)поможет выявить некорректности в работе контроллера: ее дос-таточно запустить без ключей. Выводимый результат предельноясен и понятен. Если не все гладко, воспользуйтесь рекомендаци-ями из главы «Поиск и устранение проблем».

Domain Controller DiagnosisPerforming initial setup:

Done gathering initial info.Doing initial required tests

Testing server: Site-1\DC01Starting test: Connectivity

DC01 passed test ConnectivityDoing primary tests

УстановкаАсНуе Directory 1ji1

Testing server: Site-1\DC01

Starting test: Replications

DC01 passed test ReplicationsStarting test: NCSecDesc

DC01 passed test NCSecDescStarting test: NetLogons

DC01 passed test NetLogons

Starting test: Advertising

DC01 passed test AdvertisingStarting test: KnowsOfRoleHolders

DC01 passed test KnowsOfRoleHoldersStarting test: RidManager

DC01 passed test RidManagerStarting test: MachineAccount

DC01 passed test MachineAccountStarting test: Services

DC01 passed test ServicesStarting test: ObjectsReplicated

DC01 passed test ObjectsReplicated

Starting test: frssysvolDC01 passed test frssysvol

Starting test; kcceventDC01 passed test kccevent

Starting test: systemlogDC01 passed test systemlog

Running enterprise tests on : fyodor.homeStarting test: Interaite

fyodor.home passed test IntersiteStarting test: FstnoCheck

fyodor.home passed test FsmoCheck

Если приведенная последовательность тестов дает ясно понять, чтовсе отлично и прекрасно работает, смело продолжаем установку дру-гих контроллеров.

Замечание На этом этапе перейти к установке других контролле-ров можно в небольших тестовых сетях, когда все контроллеры мож-но сконфигурировать за несколько часов. Если же вы собираете ра-бочую систему, см. раздел «Все работает. Что делать?».

А теперь обратимся к не самому радостному варианту. У вас пробле-ма. Что-то не работает. Как правильнее поступить в такой ситуации?

Acliyg Directory^noflxofl профессионала

А если он все-таки не работает?Если контроллер домена не работает после установки (а симптомамиявляются, например, многочисленные сообщения об ошибках в жур-налах, невозможность запуска средств контроля Active Director)' и т. п.),то общий алгоритм действий такой.

+ Выясняется причина неработоспособности. В 99% работоспособ-ность можно восстановить. Если найдена причина, остальное ужедело техники.

+ Если при выявлении причин трагедии выясняется, что вы попалив тот 1%, когда уже ничто не поможет, надо подумать о переуста-новке системы. Особо надо выделить ситуацию обновления кон-троллера домена Windows NT до Windows 2000.

ф Наконец, когда вы занялись переустановкой системы на бывшемдефектном контроллере, нужно вычистить информацию о нем изActive Directory (конечно, только если вы не переустанавливаетепервый и единственный контроллер в сети).

Попробуем выяснить причину

Я полностью посвятил одну главу книги поиску и устранению про-блем в Active Directory. Но там речь идет о системе, которая работала,работала и... перестала. Здесь же я хочу очень кратко остановиться насамых первых шагах системы, которые она попыталась сделать, да несмогла. Все причины неработоспособности контроллера домена мож-но разбить на такие категории:

• некорректно заданные параметры TCP/IP или ошибки в сети;

• некорректная работа службы DNS;

ф проблемы с оборудованием, в первую очередь с дисковой под-системой;

+ проблемы с репликацией Active Directory;

• проблемы с репликацией FRS.

Некорректные параметры TCP/IP или ошибки в сети

Если до запуска DCPROMO или в процессе ее работы с сетью все былонормально (хотя бы не было предупреждений или сообщений обошибках), а сейчас возникают ошибки связанные с сетью, то возмож-но, что-то изменилось в параметрах протокола TCP/IP. Вы спросите:что могло измениться, когда никто ничего не изменял? Ну, например,если сервер — клиент DHCP и получает от него постоянный адрес, топосле перезагрузки он этого адреса не получит или получит другой,не соответствующий своей подсети. И произойдет это потому, что кто-то очень «умный» в вашей сети запустит свой сервер DHCP «в тесто-вых целях*.


Огедовательно, первое ваше действие — выполнить команду' ipconfig /all.

Если все правильно, проверяем, доступен ли с контроллера сервер DNSи другие контроллеры домена. Думаю, излишне напоминать, что этимзанимается команда ping. Кстати, вероятность возникновения ошиб-ки по вине сети наиболее вероятна, если:

• вы устанавливаете контроллер домена в удаленном офисе, связан-ным с центральным сайтом неустойчивым каналом;

• вы- находитесь в отдельном сегменте сети, а маршрутизатор рабо-тает с перебоями;

+ часть сети, в которой установлен контроллер домена, расположе-на за межсетевым экраном, и за то время, пока шла установка кон-троллера, другой администратор изменил параметры экрана.

Кстати, ping позволит выявить и не вовремя «упавший» сервер DNS.

Некорректная работа службы DNS

Если же сервер DNS «жив», надо проверить его параметры. В первуюочередь выполните nslookup. Устраните обнаруженные некорректно-сти. Проверьте правильность делегирования зон, пересылки запросов,наличие необходимых зон, включая зону _тзс1сз.<имя леса>, а такжеее доступность для контроллера. Короче, используйте все инструмен-ты, о которых выше шла речь.

Здесь уместно описать фатальную ситуацию. Допустим, вы устанавли-вали второй контроллер домена в лесу. При перезагрузке после окон-чания работы DCPromo первый контроллер вышел из строя, и вос-становить его невозможно (скажем, «умер*- жесткий диск, а резервнуюкопию вы еще не успели сделать). Сожалею, но в этом случае придет-ся переустановить не только первый контроллер, но и второй.

Частным случаем, но с более тяжелыми последствиями, является ус-тановка контроллера домена в удаленном филиале. При перезагрузкепроисходит крупная авария у телекоммуникационного провайдера, наустранение которой потребуется несколько дней. Ждать вы не може-те и бросаете все до «лучших времен». Ваша беспечность обойдетсяадминистратору предприятия хорошей чисткой Active Directory'.

Проблемы с оборудованием, в первую очередь с дисковой подсистемой

Проблема настолько очевидна, что для ее диагностики не потребует-ся много времени. Журнал регистрации системных событий и ActiveDirectory будет заполнен взаимодополняющими сообщениями обошибках.

Проблемы с репликацией Active Directory

Проблемы с репликацией выявляются довольно быстро. Во-первых,надо подождать не менее 15 минут по окончании установки контрол-


лера и перезагрузки компьютера. Если записи в DNS были внесенысразу, компьютер с этого момента станет доступным для репликации.Служба КСС перестроит топологию репликации так, что включиткомпьютер в общее кольцо,

О том. что компьютер готов к репликации, можно судить по появле-нию у него объектов связи с другими компьютерами. Эти объектывидны в оснастке Active Directory Sites and Services. Щелкнув объектсвязи правой кнопкой, выберите команду Replicate now. Если не бу-дет выдано сообщений об ошибках, то скорее всего репликация ра-ботает нормально. Удостовериться в этом поможет команда repadmin/showreps. Если ошибок нет и показаны все партнеры по репликации,то этот этап проверки можно считать завершенным.

Если в ответ на команду вы получите сообщение об ошибке, не пани-куйте. Возможно, начальная репликация еще не завершилась. Минутчерез 5-10 повторите команду.

Совет Не забывайте периодически обновлять состояние параметровNTDS Settings, выполняя команду Refresh. Ее надо применять, щелкаяправой кнопкой имя сервера.

Если и теперь наблюдаются ошибки, см. главу «Репликация ActiveDirectory». Здесь же отмечу, что если в сообщении об ошибке указано,что доступ запрещен (Access denied), то скорее всего у вас нет полно-мочий для административного доступа к тому контроллеру домена,на который вы хотите выполнить репликацию.

Проблемы с репликацией FRSПроблемы с репликацией FRS встречаются гораздо реже, чем пробле-мы с репликацией Active Directory.

Чтобы убедиться, что репликация FRS завершилась, откройте каталогSYSVOL и сравните его содержимое с содержимым аналогичного ка-талога на других контроллерах того же домена. Если каталоги иден-тичны, можно считать, что репликация FRS работает. Для подстрахов-ки положите в каталог Scripts какой-нибудь файл и, следуя топологиирепликации, проверьте, как он будет последовательно появляться навсех контроллерах домена.

Если, однако, это не так и либо структуры каталогов SYSVOL на двухконтроллерах домена не идентичны, либо файл в каталоге Scripts нетиражируется, откройте журнал регистрации FRS. В нем вы обнару-жите сообщения, позволяющие выявить истоки проблемы. Это будет,например, сообщение о нехватке места в каталоге SYSVOL или об от-казе в доступе к нему. Проверьте, не установлено ли у вас квотирова-ние диска, не поменяли ли вы права доступа как к сетевым ресурсамSysvol и Netlogon, так и списки контроля доступа NTFS к каталогамSYSVOL и Scripts.


Некорректная групповая политика

Проблемы, связанные с некорректной работой'групповой политикина этом этапе вряд ли могут появиться. Дело в том, что для контрол-леров домена определяется Default domain controllers group policy. Есливы устанавливаете первый контроллер в домене, то она еще простоне определена, и действуют значения по умолчанию, конфликтов скоторыми нет.

Если же это не первый контроллер в домене, могут наблюдаться ошиб-ки, определенные на уровне домена для общей политики безопасно-сти. Характер таких ошибок может относиться скорее к казусам иневнимательности администратора.

А может, все переустановить?

Если поиск источника проблемы не дал желаемых результатов и всепопытки заставить контроллер заработать не увенчались успехом, вы,может быть, и зададитесь этим вопросом.

Что ж, если это единственный контроллер в лесу, то, возможно, этонаилучший выход. Главное, прежде чем все переустанавливать, поста-райтесь все-таки докопаться до причины проблемы. Иначе никто негарантирует, что вы не повторите той же ошибки.

Если это не первый контроллер домена, то идти на «мокруху» нужнокрайне осмотрительно. Во-первых, попробуйте запустить DCPROMOи корректно понизьте статус контроллера до сервера в домене. Еслиэто удалось, то на одном из оставшихся контроллеров откройте ос-настку Active Directory Users and Computers и убедитесь, что данныйобъект переместился из контейнера Domain Controllers в контейнерServers. После этого откройте оснастку Active Directory Sites and Servi-ces, найдите имя сервера, статус которого вы только что понизили, иудалите его. Если остались объекты-связи с этим компьютером у дру-гих контроллеров, удали!е их.

Если понижение статуса завершилось неудачно, придется удалитьконтроллер домена из Active Directory вручную. Для этого запуститена одном из нормально работающих контроллеров домена утилитуntdsutii. Войдите в ней в режим Connections и подключитесь к томуконтроллеру домена, на котором запущена утилита. Затем в режимеMetadata Cleanup войдите в режим Select Operations Target и, пооче-редно просматривая списки сайтов, доменов в них и серверов в до-менах, выберите сервер, который надо удалить из Active Directory.Вернувшись в Metadata Cleanup, удалите выбранный сервер. Далееоткройте оснастку Active Directory Users and Computers и убедитесь,что объект исчез из контейнера Domain Controllers. Затем откройтеоснастку Active Directory Sites and Services, найдите имя сервера, ис-ключенного из Active Directory, и удалите его, Удалите также объек-ты-связи с ним у других контроллеров. Наконец, откройте оснастку

Ш) Actiyg__Direclory: подход профессионала

управления DNS и удалите все записи (если они, конечно, там появи-лись), относящиеся к удаленному серверу.

Вот теперь повторно установите ОС и повысьте статус до сервера.

Вниманконтроллера в существуюие Описанная процедура можетиспользоваться только в случае установки новых контроллеров доме-нов Windows 2000. Если же обновляется контроллер домена WindowsNT 4-0, см. ниже раздел «Обновление контроллера домена Windows NT4.0 до Windows 2000*.

Все работает. Что делать?Убедившись, что все работает, не торопитесь устанавливать остальныеконтроллеры или подключать клиенты. Сначала надо подумать о ре-зервном копировании контроллера домена. Вы можете сказать: «А чтотут думать-то? Надо значит надо!» И все же представьте, что вы уста-новили первый контроллер н лесу. Сделали резервную копию. Затемвы устанавливаете второй контроллер и делаете его резервную копию.Однако состояние Active Directory изменилось по сравнению с теммоментом, когда выполнялось резервное копирование первого кон-троллера домена. Следовательно, надо сделать для него повторнуюрезервную копию? А надо ли?

Допустим, вскоре после установки второго контроллера домена про-изошел сбой первого. Переустановив его и восстановив содержимоерезервной копии, вы добьетесь того, что состояние Active Directoryбудет соответствовать моменту времени, предшествовавшему тому,когда был установлен второй контроллер домена. Следовательно, USNвосстановленных объектов будут меньше USN аналогичных объектовна втором контроллере. Это же справедливо и для вектора обновлен-ности (updateness vector). (О репликации см. главу «Репликация ActiveDirectory».) Поэтому начавшаяся репликация приведет к тому, чтообъекты с более высоким USN будут тиражированы на восстановлен-ный контроллер и информация на нем станет актуальной. Вывод:вовсе не обязательно выполнять резервное копирование Active Direc-tory на всех контроллерах доменов всякий раз после добавления но-вого контроллера. Достаточно сделать это сразу после установки кон-троллера и его синхронизации с остальными. В дальнейшем резерв-ное копирование надо проводить на регулярной основе.

Совет Выполнив резервное копирование системного состояния, неуспокаивайтесь. Попробуйте в тестовой зоне восстановить AD из ре-зервной копии. Вы не только будете уверенно себя чувствовать в слу-чае реального восстановления рабочей системы, но и будете хорошопредставлять длительность этого процесса, что просто необходимопри планировании.

Установка Active Directory „___^___ 167

Обновление контроллера домена Windows NT 4.0до Windows 2000Рассмотренные выше вопросы установки контроллеров доменов восновном применимы при проектировании новых сетей. Однако ча-сто встает вопрос о модернизации имеющейся сети, построенной набазе доменной структуры Windows NT, ее расширении или объеди-нении нескольких сетей. Рассмотренные выше методики будут при-менимы и тогда, и все же тут есть ряд особенностей.

Тот, кто хорошо знаком с сетями на базе Windows NT, знает, что су-ществует несколько моделей связи между доменами. Это может бытьпростая сеть, состоящая из одного домена, или несколько доменов,связанных между собой по схеме с одним или несколькими мастер-доменами и обеспечивающих полную централизацию управления,может быть и модель полностью доверительных отношений, предла-гающая полную децентрализацию, а также — смесь нескольких раз-личных моделей, соответствующая структуре организации (Подроб-нее см. [9]). Понятно, что для каждой из этих моделей существуетоптимальный способ миграции на новую систему, обеспечивающийэффективный и безопасный перенос учетной информации и мини-мально воздействующий на конфигурацию клиентских рабочих мест.Подробное описание различных вариантов перехода со старой сис-темы на новую, а также способы обеспечения нормального сосуще-ствования в одной сети как старых систем, так и новых, см. в [1].

Здесь же мы рассмотрим процесс миграции одного домена, обращаявнимание на вопросы, связанные с обновлением ОС на PDC.

Кое-что о Windows NT 4.0

Перед рассмотрением миграции вспомним некоторые основы рабо-ты сервера Windows NT 4.0 и доменов на его основе. Сервер можетбыть либо первичным контроллером домена (PDC), либо резервнымконтроллером (BDC), либо отдельно стоящим сервером. Роль, кото-рую он будет играть в домене, определяется на этапе установки и неможет быть изменена в дальнейшем. Так, в частности, контроллердомена нельзя сделать отдельно стоящим сервером, а сервер — кон-троллером домена, не переустановив их полностью. Можно лишьповысить роль резервного контроллера до статуса первичного, а пер-вичный — понизить до резервного. На резервном контроллере мож-но остановить сервис регистрации, но это приведет только к тому, чтоон не будет использоваться для регистрации входящих в домен, од-нако своей роли он не изменит.Так как в домене на базе Windows NT 4.0 широко применяются иден-тификаторы безопасности компьютеров, генерируемые при установ-ке системы, и основанные на них доверительные отношения староготипа, то переместить контроллер из одного домена в другой, не при-

бегнув к полной переустановке системы, невозможно. Кроме того, выне можете произвольно изменять имена контроллеров домена, не при-бегая к полной их переустановке.

Вспомним также, что учетная информация в домене может изменять-ся только на первичном контроллере, а резервные контроллеры слу-жат для регистрации пользователей. База учетных записей на BDC —точная копия базы PDC. Достигается это за счет тиражирования содним мастером (single master replication).

Репликацию файловой системы (Сетевой ресурс Netlogon) выполня-ет служба Lmrepl, работа которой несовместима со службой реплика-ции FRS в Windows 2000.

Контроллеры домена Windows NT 4.0 могут работать в домене Win-dows 2000. При этом домен должен обязательно работать в смешан-ном режиме (mixed mode) со всеми вытекающими из этого ограни-чениями, контроллеры Windows NT выполняют роль только резерв-ных контроллеров и аутентифицируют клиентов по протоколу KTLM.

Обеспечение безопасной миграцииВы уже поняли, сколько опасностей подстерегает на этапе установкиконтроллера домена. Но эфс]>ект от сбоев максимален при миграциисети, так как в этот процесс повлечены сотни пользователей. Эффек-тивность их работы во многом зависит от состояния сетевой инфра-структуры: бесперебойного доступа к файлам и принтерам, надежно-сти электронной почты, работы приложений. Вторжение е отлажен-ную доменную структуру чревато тяжелыми последствиями. Именнопоэтому требуется самое серьезное планирование и тестирование.Планирование включает в себя перечень организационных и адми-нистративных мероприятий и тщательную проработку этапов мигра-ции и отдельных ее операций.

Описание организационной стороны миграции выходит за рамкиданной книги (см. об этом материалы Microsoft Solutions Framework:Infrastructure deployment planning), но затронуть технические аспек-ты безопасной миграции необходимо.

Две стратегии миграции

Существует два принципиалы ю разных подхода к миграции. Выбор вомногом зависит от того, в какой степени пользователи нуждаются впостоянной доступности, от того, как быстро вы можете сообщатьпользователям об изменениях, и от ваших финансовых возможностей.

Первый подход подразумевает, что вы обновляете систему При этомтщательно прорабатываются этапы миграции, последовательностьперехода на новую систему различных подразделений и территорий,процедура обновления и настройки клиентских рабочих мест. Длякаждого шага предусматривается вариант отката в случае неудачи, длячего просчитывается длительность нормальной процедуры и разра-батываются сценарии «что, если*.

Установка Active Directory ' 169

Прежде чем начать миграцию, надо убедиться, что все обновляемыесерверы соответствуют требованиям. Это относится как к типам уст-ройств, используемых в компьютерах, так и объему ресурсов: частотепроцессора, объему памяти, объему жесткого диска. Последнее имеетособое значение. Если вы выполняете обновление не с компакт-дис-ка, а по сети, то на локальный диск будет скопировано практическиполное содержимое компакта. Обратите внимание и на тип файло-вой системы. Если в обновляемом контроллере домена нет разделовс NTFS, обновление не состоится.Если вы понимаете, что текущая конфигурация оборудования первич-ного контроллера домена не соответствует всем требованиям со сто-роны контроллера Windows 2000 и, более того, не может быть изме-нена, то существует два варианта развития событий. Первый: вы при-обретаете более мощный сервер, спецификации которого соответ-ствуют рассчитанным вами требованиям, устанавливаете на негоWindows NT 4.0 Server в качестве резервного контроллера домена, апотом повышаете статус до PDC. Дальнейшая миграция этого серве-ра пройдет без проблем. Второй: если существующий сервер в прин-ципе способен выполнять роль контроллера домена Windows 2000 безнагрузки, вы выполняете его обновление до Windows 2000, затем нановый сервер устанавливаете Windows 2000 в качестве контроллерадомена и передаете все функции мастеров операций с прежнего PDCна вновь установленный сервер. Преимущество данного способа в том,что новый контроллер домена «не знал» старой версии Windows NTи не несет в себе ее наследия.Следующий шаг — полное резервное копирование всех данных намигрирующем сервере. Это может оказаться весьма полезным, еслиобновление системы почему-либо не будет выполнено.

Совет Вместо резервного копирования можно установить в домендополнительный контроллер домена и после его полной синхрони-зации отключить от сети. Если при обновлении возникнут проблемы,то этот сервер можно будет использовать как источник информации.«не замутненный процессом миграции».

Может случиться, что не все серверные приложения, используемые ввашей организации, будут готовы к работе в Windows 2000. Тогда онимогут продолжить работу на старой версии, но в рамках обновлен-ного домена.

Преимущества и недостатки данного метода миграции таковы:


Последовательность действий Необходимо выполнять работыв выходные дни

Можно создать пилотные зоны Длительный процесссм. след. стр.



Не требуется большое количестводополнительного оборудованияВлияет на небольшой кругпользователей

Можно использовать существующееоборудование

Необходимо проектировать боль-шое количество процедур откатаНеобходимо обеспечить существо-вание «старой* и «новой» системв переходный периодНеобходимо проводить резервноекопирование всех серверов

Другой метод обеспечивает максимальную безопасность миграции,однако он и самый дорогой.

В лабораторной сети вы создаете новый домен на базе Windows 2000Server. Полностью конфигурируете все контроллеры домена и серве-ры приложений. Создаете структуру ОП.

Далее — подключение нового домена в существующую сеть. Пользо-вателям вашего домена новый остается пока недоступным. Потом выпереносите учетные записи всех пользователей в новый домен. Пе-ренос помогут выполнить либо сценарии cloncprincipal. либо ActiveDirector^' Migration Tool (ADMT).

После распределяете учетные записи по подразделениям из оснаст-ки Active Directory Users and Computers. Здесь же вы формируете груп-повые и системные правила.Следующий шаг — планомерное переключение пользователей нановую структуру. Переключение можно совместить с обновлениемоперационных систем на их компьютерах. С этого момента клиентымогут регистрироваться в новом домене. Если миграция прошла ус-пешно, старый домен можно выключить.

Описанный способ пригоден, если у вас хватает компьютеров. Напри-мер, вы делаете обновление своего парка машин.


Полная независимость тестовойсети от рабочейВозможность тщательноготестированияСистема создается *с нуля*

Оказывает влияние на небольшойкруг пользователейМиграция пользователей выполняетсяв предельно сжатые срокиПроцедура отката предельно проста.Не требуется резервное копирование

Необходимо выполнять ряд работв выходные дниТребуется большое количестводополнительного оборудованияНевозможно использоватьсуществующее оборудованиеНеобходимо перенастраиватьклиентские компьютеры

Второй метод миграции подразумевает, что установка контроллеров до-мена выполняется на новой системе, т. е. без обновления существующей.


Мигрируем домен Windows NT

Начиная миграцию домена Windows NT, вы должны четко представ-лять доменную структуру Active Directory. Как это описано в предыду-щей главе, для небольшого предприятия наиболее вероятной домен-ной структурой может быть либо один домен, либо дерево из двухдоменов. Корневой домен при этом пустой и играет роль носителяимени организации. Далее мы будем придерживаться этого предпо-ложения.

Замечание Миграция домена Windows NT в дерево, состоящее издвух доменов, является частным случаем включения одиночного до-мена Windows NT в лес Active Directory.

Обновление первичного контроллера доменаНачинается миграция домена с обновления ОС на PDC. Обновлениепервичного контроллера домена преследует две цели:

• сразу включить существующий домен в дерево, даже несмотря насмешанную структуру домена;

+ использовать новые инструменты управления службой каталога исоздания своих элементов в каталоге Active Directory.

Прежде чем начать обновление, убедитесь, что у вас есть сервер DNS,соответствующий требованиям Active Directory. Все, о чем написано вразделе, посвященном DNS, относится и к данному случаю.

Итак, если все предварительные условия выполнены, запускайте об-новление ОС на первичном контроллере домена. Здесь предположим,что обновление самой системы прошло без осложнений. (В этомдолжна быть ваша заслуга, так как надо запастись драйверами обору-дования, установленного в компьютере. Например, если это серверCompaq, то нужен диск Smart Start с необходимыми драйверами. Имен-но с него нужно запускать обновление ОС.) Сразу по завершенииработы программы установки ОС запустится DCPROMO.

Внимание Если размер базы SAM велик (50-70 Мб), то на финаль-ной стадии работы Winnt32 (это когда появляются сообщения «Perfor-ming final tasks» и «Save Settings») может показаться, что компьютерзавис. Продолжительность паузы может достигать 2,5 часов. Настоя-тельно рекомендуется не прерывать работу компьютера и дать завер-шить все операции. Вы можете исключить возникновение такой си-туации, выполнив одно из следующих действий:

+ установив максимальный размер реестра в 200 Мб:• установив объем файла подкачки на 20% выше объема ОЗУ;+ повысив объем ОЗУ;


ф уменьшив объем SAM, последовательно применив утилиты REGBACKи REGREST;

• добавив в систему новый BDC, повысив его статус до PDC.а потом обновив до Windows 2000.

Как и в процедуре установки, описанной для нового контроллера до-мена, вам будет предложено указать имя дерева, к которому будетприсоединен данный домен, или создать новое дерево. В первом слу-чае надо указать ссылку на будущий родительский домен. Если жемигрирусмый домен единственный, то при установке надо указать, чтоэто корневой домен нового дерева в новом лесу.

Может случиться, что вам понадобится изменить имя домена. Скажем,домен Windows NT имел NetBIOS имя CENTRAL; а новое имя доменаWindows 2000 должно быть mycorp.ru. Если бы вы устанавливали до-мен с нуля, то его NetBIOS-имя по умолчанию было бы MYCORP. Таккак вы выполняете обновление, NetBIOS-имя будет сохранено и оста-нется CENTRAL. Такое сохранение важно с точки зрения пользовате-лей домена: они по-прежнему будут регистрироваться в домене CENT-RAL, и вам не придется оповещать их об изменениях.

Корневойдомен

Windows т / Windows 2000 \ Windows NT

Миграция домена Windows NT в дерево доменов Windows 2000

Это соответствие между NetBIOS-именем домена и DNS-именем до-мена поддерживается с помощью объектов класса CrossRef, располо-женных в контейнере CN=Partitions,CN=ConfigurationXHMfl лесах

По мере выполнения обновления системы DCPROMO перенесет вкаталог Active Directory ооъектм из базы SAM: учетные записи пользо-вателей, локальных и глобальных групп, а также машин. Каждый


объект безопасности переносится в контейнер со своим именем. Небудучи организационными единицами, эти контейнеры являютсяобъектами с общим именем (сп). Ниже показано соответствие учет-ных записей и контейнеров, в которые они переносятся.

Учетные записи Контейнер

Все пользователи UsersКомпьютеры ComputersВстроенные локальные группы BuilunВстроенные глобальные группы UsersВсе остальные группы Users

После установки протокола Kerberos будут запущены службы аутен-тификации и выдачи начального билета TGT, а вслед за этим устано-вятся транзитивные двусторонние доверительные отношения с роди-тельским доменом.Контроллер родительского домена реплицирует данные в новый до-черний домен, который в спою очередь будет добавлен в структуру сай-та. Все контроллеры, домена получат уведомление о том, что к деревуподключен новый домен. Так как обновленный контроллер являетсяпервичным контроллером для остальных резервных контроллеровWindows NT, то все новые объекты будут тиражированы на них.После обновления ОС на PDC до Windows 2000 компьютер становит-ся виден как контроллер домена для всех серверов Windows 2000 икак первичный контроллер домена для серверов Windows NT 4.0.Windows 2000 обладает обратной совместимостью с предыдущейверсией. При этом данный компьютер по-прежнему можно применятьдля создания новых объектов безопасности (учетных записей пользо-вателей, групп и машин), сведения о которых будут тиражироватьсяна другие BDC в домене. Рабочие станции будут распознавать компь-ютер как PDC. Если выключить Windows 2000-компьютер, играющийроль PDC, то любой BDC может быть повышен до статуса PDC. Еслиже первичный контроллер домена с Windows 2000, выполняющийроль PDC. включен, то повышение статуса BDC невозможно.

Совет Обновив PDC, добавьте в домен новый контроллер Windows2000, установленный на новую машину, и передайте ему все ролимастеров операций. Это не обязательное действие. Его цель — повыситьустойчивость ОС, так как обновления не всегда работают стабильно.

Откат назад в случае сбоя

А если при обновлении РОС произошел сбой? Во-первых, не пани-куйте. В этой главе есть советы на все случаи вашей административ-ной деятельности. Но так как эти советы касаются только на 100% «чи-стой» среды Windows 2000, то ниже я расскажу, как сделать, чтобыдомен NT 4 продолжил нормально функционировать.


Итак, во время обновления контроллера домена в процессе работыDCPROMO произошел фатальный сбой, и вы поняли, что восстанов-лению система не подлежит. Дальнейшие ваши действия в доменеWindows NT зависят от того, как именно вы подстраховались передначалом обновления.

1. Если вы выполнили резервную копию РОС, то восстановите ее навновь установленный сервер Windows NT. В процессе репликацииисходное состояние базы SAM будет тиражировано по всем BDC.

2. Если вы сохранили в отключенном состоянии BDC, то включитеего в сеть, повысьте его статус до PDC, и предмиграционное со-стояние будет восстановлено во всем домене.

Завершив репликацию, убедитесь, что информация на всех контрол-лерах домена тождественна, а пользователи не испытывают проблемс регистрацией в сети и доступом к ресурсам.

Совместная работа контроллеров разных версий

На последней стадии миграции можно обновить ОС на других кон-троллерах домена и установить на них службу каталогов Active Direc-tory Также можно просто добавить в домен новые контроллеры сустановленной Windows 2000 Server. Но прежде чем вы это сделаете,система будет эксплуатироваться и переходном состоянии, когда у васбудут работать контроллеры домена разных версий. Ниже описанынекоторые особенности этого периода.

Так как контроллеры домена с гарого типа используют в своей работепоследовательно возрастающие относительные идентификаторы(RID) из ряда всех идентификаторов безопасности (SID), то толькопервичный контроллер домена с Windows 2000 может служить длясоздания объектов системы безопасности. Объекты, не имеющие от-ношения к системе безопасности, например организационные еди-ницы, могут быть созданы на любом контроллере с установленнойслужбой каталогов Active Directory.

На первичном контроллере домена используется два протокола ти-ражирования: для систем на базе Windows NT 4-0 и ранних версий —с одним мастером и для партнеров на базе Windows 2000 — с несколь-кими,

Особо скажу о файловой репликации. Репликация FRS несовместимас механизмом репликации LMRepl. При работе в смешанной средеконтроллеры Windows NT ничего не знают о файлах, реплицируемыхконтроллерами Windows 2000. Контроллер домена — имитатор PDC —не поддерживает работу LMRepl. В такой ситуации сценарии и файлысистемной политики не тиражируются на контроллеры Windows NT.Для разрешения этой проблемы рекомендуется сделать следующее.

• Перед обновлением ОС на PDC нужно сконфигурировать любойBDC в качестве источника для службы LMRepl.

Установка Active Directory 1 /!.

• Использовать файл Lbridge.cmd из состава Windows 2000 ServerResource Kit. Этот командный файл, запускаемый на одном из кон-троллеров Windows 2000, копирует файлы из каталога SYSVOL вкаталог Export на том контроллере домена Windows NT, которыйвы сконфигурировали как источник для службы LMRepl.

Совет Файл Lbridge.cmd использует команду хсору для копированияфайлов. Лучше ее заменить на утилиту robocopy из Windows 2000Server Resource Kit.

Контролпер доменаWindows 2000

Контроллер доменаWindows 2000

Резервный контроллердомена Windows NT

Организация моста для тиражирования файлов

Различия между моделями хранения и использования политики бе-зопасности Windows 2000 и Windows NT слишком велики, поэтомуперенос правил в процессе миграции невозможен. При подсоедине-нии к существующему дереву домен наследует объект политики толь-ко от сайта родительского домена. При обновлении отдельного до-мена в нем по умолчанию формируется новая политика и соответству-ющий объект в каталоге.

После перевода всех контроллеров в домене на Windows 2000 доменможет быть переведен из смешанного режима работы в естественный.ПрИ ЭТОМ:

• в домене используется механизм тиражирования каталога ActiveDirectory с несколькими мастерами; этот механизм применяется идля тиражирования объектов безопасности;

7-2005


Установка операционной системы

Форматирование диска

Алгоритм установки нового контроллера домена


:'

копирования РОС

t ,, fc,_ _ p.Э

1

Нет

**

4PING, NSLOOKIJP

tfla6

WINNT32

!7

;

Нет Обновлениес перацисн нойсистемы

Установка всех необходимыхдрайверов и пакетов обслуживания

a

•

29

Восстановление FDCсинхронизация с дои

3 ]|

с

э

Jla Выяснить причины и yi

г*10

DCPHOMO

I11

t Да13

*14

1 •

55

Запуск установки контроллера домена

Работа DCPROMO завершиласьбез ошибок? _

Нет

Перезагрузить компьютер

Net Start

WinNT4НОИ

сгановитьи сконфигурировать!nyxrjyDNS

Выяснить причиныи устранить

Неустранимаяошибка

транить

Выяснить причины

и устранить

12DCPROMO.LOG

DCPROMOU-LOQ

1EFIOGON,NETLOGON

*П NEROGON.DNS Н

Это DNS С динамическим_ обновлением?

1Щ 19

i.'

Это первый контроллер в лесу?

го

Да1

и

1i

24LBndge.cmd

JК

LH MSBACKUP|(C:\, System state)

j

26

Репликация AD работает? __

Нет

Репликация FRS работает?

Нет

Настроить репликацию LMBepl

Выполнить резервное копирование

Установка завершена

REPADMINREPLMON

23SYS\OI

Импортировать

J ssr™п

ны

1 Выяснить причины

Удалите информациюо контроллере из Active Directory

j

27NTDSUT1L,

Ш Sites S Services,DNS

2В |— '

Форматирование диска

Алгоритм обновления контроллера домена Windows NT


4 бывший первичный контроллер домена перестает поддерживатьтиражирование с одним мастером; т. е. в домен более нельзя доба-вить контроллер под управлением Windows NT 4.0;

• все клиенты используют преимущества транзитивных доверитель-ных отношений.

Решение о переводе домена в естественный режим принимает адми-нистратор — оно не может быть выполнено автоматически.

Алгоритмы установки контроллера доменаЭто своего рода квинтэссенция содержимого главы: здесь приводят-ся алгоритмы, отражающие последовательность действий при установ-ке нового контроллера домена и обновлении существующего контрол-лера Windows NT 4.0.

Алгоритм установки нового контроллера

Алгоритм установки нового контроллера домена охватывает все эта-пы: подготовки, установки, проверки работоспособности, резервногокопирования и действий при возникновении неустранимых ошибок.

Алгоритм обновления контроллера Windows NT 4.0

Алгоритм обновления контроллера домена Windows NT также охва-тывает все этапы: предварительной подготовки, установки, проверкиработоспособности, резервного копирования и действий в случаевозникновения неустранимых ошибок. Хотя последовательность ос-новных операций сохранилась, есть и важные отличия.

ЗаключениеРассмотренные в данной главе вопросы относятся к категории тех,что наиболее часто возникают на этапе установки контроллера до-мена. Конфигурирование DNS, DHCP, WINS, выполнение DCPROMO ипоиск ошибок работы этой программы, обновление контроллерадомена Windows NT 4.0 — все это перечень источников проблем,возникающих у корпоративных пользователей при миграции на плат-форму Windows 2000. Но не надо думать, что здесь описаны все про-блемные ситуации и способы их разрешения, Есть ряд вопросов, ко-торые я оставил за рамками книги. Если у вас возникнут проблемы,описание которых здесь не приведено, то первым источником дол-жен стать Microsoft Technet. Это могут быть как диски, распространя-емые по подписке, так и ресурс Интернета (support.microsoft.com).

В этой главе практически не рассматриваются вопросы поиска и ус-транения проблем с репликацией, ни слова не говорится о планиро-вании доменной структуры и структуры подразделений, обойденымолчанием вопросы, связанные с групповой политикой. Их обсужде-нию посвящены отдельные главы этой книги.

РепликацияActive Directory

Репликация — один из основных механизмов работы Active Directory-.Как только речь заходит о том, что более двух компьютеров хранятодну и ту же информацию, встает вопрос о репликации, т. е. о тира-жировании этих данных между серверами, обеспечивающем их иден-тичность.

Репликацию используют во многих системах. Так, база SAM в WindowsNT реплицируется с главного контроллера домена на резервные. Го-ворят, что на главном контроллере домена имеется мастер-реплика,а на резервных — резервные. Изменения в БД можно вносить тольков мастер-реплику — в Windows NT она единственная. Поэтому меха-низм репликации Windows NT называется репликацией с одним мас-тером.

Репликация Active Directory выполняется по топологии с нескольки-ми мастерами. При этом также встает вопрос о слабой связанностимежду партнерами по репликации, что означает возможность нали-чия неодинаковых данных на партнерах в конкретный момент вре-мени. А раз так, должен существовать процесс конвергенции, призван-ный уничтожить эти различия...

Как видите, терминов, характеризующих репликацию Active Directory,хватает, а сколько я еще не назвал! Словом, репликация — это слож-ный процесс, описанный во многих книгах и достаточно подробно.Увы, читать толстые книги и разбираться в премудростях процессовОС любят не все. Возможно, они считают, что уж коль что-то тампридумали, то оно будет работать бесперебойно. Многие прошедшие


школу Windows NT вообще не понимают, что может быть сложного вэтом процессе, так как им он меньше всего доставлял неприятностей.

Однако в Windows 2000 репликация в корне изменилась. Главным ис-точником всех потенциальных проблем стало то, что репликация вы-полняется по модели с несколькими мастерами. Если вы не понима-ете, как именно она работает, как строится топология репликации иработают обеспечивающие ее компоненты, выявить проблему и, темболее, устранить ее вам будет не по зубам.

Вот почему я рискну повториться и рассказать о некоторых краеуголь-ные камнях репликации — это нужно для того, чтобы мы с вами го-ворили на одном языке.

Немного о том, как работает репликацияИтак, вспомним основные компоненты и механизмы репликацииActive Director}'. В первую очередь — что тиражировать?

На каждом из контроллеров домена в лесу Active Director)1 имеетсябаза, в которой хранится локальная реплика трех контекстов имен:

• схемы;

• конфигурации;

+ домена.

Контексты схемы и конфигурации едины для всего леса, тогда какдоменный контекст имен хранится только на контроллерах «своего»домена. Эта реплика является полной, т. е. содержит все атрибуты всехобъектов в домене. Полные реплики доменного контекста имен ти-ражируются между контроллерами домена. Реплики схемы и конфи-гурации тиражируются между всеми контроллерами доменов в лесу.

Если контроллер является сервером Глобального каталога (ГК), то нанем, кроме контекста схемы и конфигурации, хранятся:

• полная реплика базы объектов того домена, контроллером кото-рого он является;

• частичная реплика всех объектов из других доменов в лесу; час-тичная реплика содержит только те атрибуты, для которых в схе-ме определен атрибут isMemberOfPartialAttributeSet, значение ко-торого равно True.

Частичные реплики тиражируются только между ГК.

Как уже упоминалось, репликация Active Directory выполняется посхеме с несколькими мастерами. Я бы уточнил, что не просто с «не-сколькими*, а только со всеми мастерами.

Репликация Active Directory 181

Замечание Некоторые службы каталогов допускают наличие под-чиненных партнеров по репликации наряду с мастерами. Однако вActive Directory такой подход не используется.

Все контроллеры домена выступают равноправными партнерами, т. е,изменение можно внести в каталог на любом из контроллеров доме-на и он обязан выполнить тиражирование на все остальные контрол-леры в домене.

Замечание Тиражирование схемы выполняется с одним мастером.Тиражирование неотложных изменений также использует несколькоотличную топологию.

Репликация выполняется не хаотично, а в соответствии с определен-ной топологией. Топология определяет последовательность передачиизменений в Active Directory между контроллерами. Причем правилаобновления исключают появление рассогласования в информации наразных контроллерах. Наличие правил позволяет говорить о предска-зуемости внесения изменений, что значительно упрощает поиск про-блем репликации.

• Первое правило Режим «получил — сохранил — передал». По-ясню его суть на примере: изменения, происшедшие на контрол-лере домена в Москве, не будут сразу переданы на все контролле-ры домена в Санкт-Петербурге. В соответствии с топологией реп-ликации они будут приняты тем контроллером в Москве, через

; который проводится репликация с Питером (сервер-форпост). Нанем они будут храниться до открытия окна репликации, а потомпереданы на питерский сервер-форпост и уж только с него тира-жируются по питерским контроллерам. Такое поведение суще-ственно освобождает каналы связи.

• Второе правило Механизм «вытягивания» информации: узнав,что на каком-то из партнеров по репликации произошли измене-ния, контроллер домена обращается к нему и скачивает изменен-ную информацию к себе. Мы еще рассмотрим этот процесс под-робно, а пока ограничимся тем, что сравним его с «проталкивани-ем» информации. Это прямо противоположный механизм тиражи-рования данных и подразумевает, что при изменении информа-ции на одном из партнеров по репликации он рассылает измене-ния по остальным партнерам. При этом его не интересует, готовли партнер к приему и нужны ли ему эти данные. Механизм «про-талкивания» в репликации Active Directory не применяется.


• Третье правило Репликация Active Director}' использует статусобъектов для определения необходимости их обновления. Когдаконтроллер домена получает оповещение об изменении репликиу партнера, он сравнивает полученную информацию о статусе из-мененных объектов с хранящейся у него. Если, с точки зрения дан-ного контроллера, статус объекта не изменился, то надобности врепликации нет. Если же это не так, контроллер запросит у парт-нера измененные объекты. Статус служит также и средством раз-решения конфликтов, так как позволяет решить, какое из измене-ний является более «свежим», и запросить именно его.

Обновления в Active Directory

Представим, что на одном из контроллеров домена произошло из-менение атрибутов объекта Active Directory. Обозначим этот моментТ0 (см. рисунок). Контроллер выдерживает после этого «паузу послеизменения* и в момент Т, сообщает об изменении своему первомупартнеру по репликации внутри сайта, затем, выдержав «паузу опове-щения», в момент Т, оповещает второго партнера. Спустя очередную«паузу оповещения» информируется третий партнер и т. д., пока всепартнеры по репликации не будут оповещены. Получив оповещение,партнеры запрашивают изменения. Пауза в оповещении позволяетпредотвратить одновременное обращение всех контроллеров к свое-му партнеру.

Длительность «паузы после изменения* по умолчанию — 5 минут,«паузы оповещения» — 30 секунд. Еще раз подчеркну, что описанныйпроцесс относится только к внутрисайтовой репликации. Межсайто-вая репликация выполняется по расписанию.

1.,

Пауза после изменения

Т, Т2 Тз

Паузы оповещенияК »

Временная диаграмма оповещения партнеров по внутрисайтовойрепликации

Паузы можно изменить: откройте ветвь HKLM\System\ CurrentControl-Set\Services\NTDS\Paramel:ers. Параметр Replicator/Notify pause after


modify (sec) устанавливает длительность паузы после изменения и поумолчанию равен 300. Параметр Replicator notify pause between DSAs(sec) устанавливает длительность паузы оповещения и равен 30.

Замечание Уменьшение этих параметров вряд ли приведет к сколь-нибудь заметным результатам. Дело в том, что все срочные измене-ния (типа паролей) тиражируются по иной схеме, а 5-минутногоинтервала вполне хватает для распространения изменений внутрисайта в течение 15 минут (почему это так, см. ниже). Если же вамнужно срочно реплицировать изменения на какой-то контроллер, тоэто можно сделать через оснастку Active Directory Sites and Services.

Посмотрим теперь, что происходит после того, как партнеры по реп-ликации оповещены. Для этого надо напомнить о таких понятиях, какисходные обновления и последовательные номера обновлений, ис-пользуемые для разрешения конфликтов.

Изменения атрибутов объекта Active Directory являются атомарнымитранзакциями. Если один LDAP-запрос к каталогу должен выполнитьмодификацию нескольких атрибутов объекта, то этот запрос рассмат-ривается как транзакция. Невозможность изменения хотя бы одногоиз запрошенных атрибутов приводит к откату транзакции. Если тран-закция была завершена, то говорят, что произошло исходное обнов-ление (originating update) объекта. Если в дальнейшем это обновлениетиражируется на другой контроллер, оно становится реплицирован-ным обновлением и отличается от исходного.

USN

Контроллер домена, уведомленный партнером по репликации в том,что у него произошло обновление базы, должен как-то решить, знаетли он об этом обноваении. Зачем лишний раз тиражировать обнов-ления, если они уже известны? Отследить обновления позволяют по-следовательные номера обновлений (USN — update sequence number).USN отсчитывается на каждом контроллере домена независимо отдругих контроллеров. Произошло обновление атрибута какого-тообъекта — номер USN увеличивается на 1. Но для каждого контролле-ра USN начинает отсчитываться в разные моменты. Скажем, самыйбольшой USN будет у первого контроллера в лесу — он ведь установ-лен раньше всех, а значит, на нем произошло больше всего измене-ний объектов. Поэтому и бесполезно сравнивать абсолютные значе-ния USN на разных контроллерах: для целей отладки важнее отсле-живать изменение USN в динамике.

Измененный USN сохраняется вместе с реплицируемым объектом.При этом способ сохранения зависит от типа обновттения. Для исход-

184 Active Directory: подход _профессионала

ного обновления существует три способа записи USN, а для реплици-рованного обновления — два. Вот они.

• Для каждого измененного атрибута объекта сохраняется его ло-кальный номер USN независимо от типа обновления. Узнать этотномер позволяет команда repadmin /shcwmeta <DN объектахВ выводимой на экран таблице значение локального USN будет встолбце Loc USN.

• Среди измененных атрибутов есть такой, чей локальный USN бу-дет самым большим. Например, если у пользователя поменялипароль и имя, локальный USN для этих двух атрибутов увеличитсяна 1. Если вслед за этим снова поменять пароль, то увеличитсятолько локальный USN для этого атрибута. Вот это максимальноечисло заносится в специальный атрибут объекта usnCbanged.Посмотреть значение этого атрибута можно, например, в програм-ме ADSI Edit.

• Если выполняется исходное обновление объекта, то для каждогоизмененного атрибута записывается значение исходного USN это-го атрибута. Узнать этот номер позволяет команда repadmin /showmeta <DN объектах В выводимой на экран таблице значениеисходного USN будет в столбце Org. CSN.

USN является 64-разрядным числом, что на практике означает егоуникальность в течение всей жизни контроллера домена. Если пред-положить, что атрибуты изменяются в Active Directory непрерывно соскоростью 1 атрибут в'секунду, то на исчерпание запаса номеров USNуйдет почти 585 миллиардов лет. Наша Вселенная гораздо моложе.

Штамп

Предположим теперь, что изменения одного и того же атрибута уобъекта были выполнены на двух разных контроллерах домена при-мерно одновременно, т. е. еще до того, как репликация раннего изме-нения завершилась. Нужен механизм, который бы гарантировал раз-решение конфликтных ситуаций.

Таким механизмом является добавление штампа к любому реплици-руемому атрибут}'. Штамп путешествует с ним от одного партнера порепликации к другому. Если значение штампа, пришедшего с репли-цируемым атрибутом, больше имеющегося у атрибута на контролле-ре, то значения локального атрибута и его штампа переписываютсяна новые. Если нет, изменение игнорируется.

Что содержит штамп? Информацию, аналогичную той, что иногдапроставляют секретари на исходящих письмах.


• Версия Всякий раз, как при исходном обновлении изменяетсязначение атрибута, номер его версии изменяется на 1. Если атри-бут никогда не изменялся, его версия равна 1.

• Исходное время Это тот момент времени на часах контроллерадомена, когда выполнилось исходное обновление атрибута.

• Исходный DSA Это GUID того контроллера домена, на которомбыло выполнено исходное обновление атрибута.

Штамп позволяет просмотреть команда repadmin /showmeta <DNобъектах Столбец Ver. содержит номера версий. Org. Time/Date —исходное время, a Originating DSA — исходный DSA. Вот пример вы-вода данных для пользовательского объекта:

repadmin /showmeta "сп=Федор 3y6anoB,cn=users,dc=fyodor,dc=home"Loc.USN Originating DSA O r g . U S N Org.Time/

Date Ver Attribute

3903 8e36de48-93cd-4b5e-9bc4-d697acea7470 2763 2001-02-06

22:34.42 1 objectClass

3903 Site-1\OC01 3903 2002-03-17

20:56.05 1 en

3903 8e36de48-93cd-4b5e-9bc4-d697acea7470 2763 2001-02-06

22:34.42 1 sn

3903 8e36de48-93cd-4b5e-9bc4-d697acea747Q 2764 2001-02-06

22:34.42 1 description

3903 8e36de48-93cd-4b5e-9bc4-d697acea7470 2763 2001-02-06

22:34.42 1 givenName

3903 8e36de48-93cd-4b5e-9bc4-d697acea7470 2763 2001-02-06

22:34.42 1 instanceType

3903 8e36de4B-93cd-4b5e-9bc4-d697acea7470 2763 2001-02-06

22:34.42 1 whenCreated

3903 8e36de48-93cd-4b5e-9bc4-d697acea7470 3805 2001-02-10

14:20.35 5 homeDrive

3903 8e36de48-93cd-4b5e-9bc4-d697acea7470 2765 2001-02-ОБ

22:34.43 2 dBCSPwd

При сравнении двух штампов сначала сравниваются версии. Тот ат-рибут, чья версия больше, имеет преимущество, и его значение будетзаписано как реплицированное обновление. Если версии одинаковы,сравнивается исходное время. Атрибут, исходное время которогопозже, победит. Наконец, если совершится столь маловероятное со-бытие, что в обоих штампах исходное время также одинаково, побе-дит тот, чей GU1D больше. В последнем условии, конечно, нет ника-кого смысла, но ведь кто-то должен победить!

. rt_IjJD Active Directory: подход профессионала

Удаление объектаВыше рассмотрены процессы создания и модификации объектов.А как быть в случае удаления объекта? Ведь если просто удалить объектна одном из контроллеров, надо как-то оповестить другие об этомсобытии. В Active Directory удаление объекта равноценно его измене-нию. Дело Б том. что объекты не удаляются физически, а просто по-мечаются как удаленные. Вот как это делается:

• значение атрибута isDeleted устанавливается равным true;

• объект помечается как памятник, что означает, что объект удален,но не изъят из Active Directory;

• относительное отличительное имя объекта изменяется так, что егонельзя изменить с помощью LDAP-приложения;

+ из всех атрибутов остаются только objectGuid, objeccSid, distin-guishedName, nTSecurityDescriptor и usnChanged;

• памятник перемещается в специальный скрытый контейнер.

После этого партнеры по репликации оповещаются о том, что про-изошло изменение, и репликация выполняется так, как это описановыше. Но не думайте, что все эти памятники так и остаются в ActiveDirectory. В Active Directory каждые 12 часов выполняется сбор мусо-ра. Этот процесс проверяет, нет ли памятников, срок существованиякоторых завершился. Если есть, они физически удаляются из ActiveDirectory. Мусор собирается независимо на каждом контроллере до-мена. Срок существования памятников по умолчанию — 60 дней. Этогохватает, чтобы выполнилась репликация на все контроллеры в домене.

Замечание Срок существования памятников (tombstonelifetime) иинтервал сбора мусора (garbagecolperiod) можно изменить, опреде-лив соответствующие атрибуты объекта CN=Directory Service,CN=Win-dows NT,CN=Services,CN=Configuration,<HMH леса>.

Процесс репликации от А до ЯТеперь рассмотрим репликацию в подробностях. Без понимания это-го процесса бесполезно заниматься поиском проблем с репликацией(ну, за исключением самых простых).

Создание объекта

Представим себе, что установлен новый контроллер домена ОСА и нанем создается новый пользователь. Для простоты вместо GUID будемиспользовать имя контроллера, а вместо полного набора его атрибу-тов — только несколько.

Пусть в момент создания пользователя USN контроллера домена былравен 2763. Добавление пользователя увеличит его на I.


Замечание В реальности при добавлении пользователя USN увели-чивается больше, чем на 1. но для нас это не существенно: главное,что он увеличивается.

В соответствии с этим будут присвоены значения и остальным атри-бутам и номерам. Для простоты все значения сведены в таблицу7.

UsnCreated: 2764

Атрибут

СП

givennameuserPassword

Значение

Иван ПетровИван

USN

276427642764

Версия

111

UsnChanged: 2764

Исходноевремя

22:34-4222:34-4222:34.42

ИсходныйDSA

ОСАОСАОСА

ИсходныйUSN

276427642764

Таким образом, выполнено исходное добавление.

Через 5 минут контроллер DCA оповестит своего партнера по репли-кации, контроллер DCB, о том, что у него произошло изменение. Те-кущий USN контроллера DCB равен 1533- После записи информациио пользователе его USN увеличится на 1. Соответственно изменятсязначения номеров usnChanged и usnCreated. Остальные параметрыштампа останутся прежними.

UsnCreated: 1534 UsnChanged: 1534

Атрибут

СП


Значение

ИванИван

Петров

USN

153415341534

Версия

111


22:34.4222:34.4222:34.42

ИсходныйDSA

DCA

DCADCA

ИсходныйUSN

276427642764

Так выполнилось реплицированное добавление.

Модификация объекта

Допустим теперь, что немного погода пользователь изменил парольи изменение произошло на контроллере DCB. К этому моменту USNэтого контроллера был равен 2211 (мало ли какие объекты модифици-ровались за это время). Значит, после изменения пароля USN контрол-лера увеличится на 1, а метаданные объекта будут выглядеть таю

UsnCreated: 1534 UsnChanged: 2212

Атрибут Значение USNИсходное Исходный Исходный

Версия время DSA USN

СП


Иван Петров 1534 1Иван 15М 1

2212 2

22:34.42 DCA22:34.42 DCA09:30.00 DCB

276427642212

1_88 Active^ Directory: подход профессионала

Заметьте, как изменились USN и штамп атрибута userPassword, а так-же атрибут usnChanged объема. Теперь они указывают на то, что ис-ходное обновление этого атрибута выполнено на контроллере DCB.

Обновленный атрибут тиражируется на контроллер DCA, номер USNкоторого к этому моменту равен 3517. Метаданные объекта записы-ваются на этом контроллере так:

UsnCreated: 1534

Атрибут

СП


Значение

Иван ПетровИван

USN

153415343518

Версия

112

UsnChanged: 3518


22:34.4222:34.4209:30.00

ИсходныйDSA

DCADCADCB

ИсходныйUSN

276427642212

Как видите, меняется атрибут объекта usnChanged и USN. Так выпол-няется реплицированное обновление.

Демпфирование распространения изменений

В реальной сети между контроллерами доменов может быть несколь-ко путей, по которым выполняется репликация. Это в свою очередьможет привести к тому, что одни и те же изменения придут на кон-троллер домена дважды, а то и трижды. Кроме того, из нашего при-мера можно сделать вывод о том, что, получив реплику от партнерапо репликации, контроллер домена оповестит его о том, что у негопроизошло изменение, и предложит те данные, которые только чтоон от него же и получил. Словом, может возникнуть положительнаяобратная связь, которая породит бесконечный цикл репликаций. Ну,уж коли мы использовали термин из радиотехники (я имею в видуположительную обратную связь — ПОС), то очевидно, что оттуда жеможно позаимствовать название термина борьбы с ПОС — демпфи-рование. Демпфирование затрудняет развитие обратной связи. Зна-чит, и в процессе репликации нужны механизмы, которые бы не про-сто затрудняли развитие паразитных репликаций, но препятствова-ли их возникновению. К таким механизмам относятся «верхняя ватер-линия» (high watermark) и «вектор обновленное™» (up-to-datenessvector).

Термин «ватерлиния» пришел из мореплавания. Верхняя ватерлинияобозначает предел осадки корабля. В репликации же это число, кото-рое на контроллере-приемнике соответствует изменениям объекта,полученным последними с контроля ера-источника. С другой сторо-ны, это число используется контроллером-источником для фильтра-ции объектов, предлагаемых партнерам по репликации.


Как я уже говорил, у каждого контроллера домена есть свой USN, от-слеживающий число изменений на контроллере. Также каждый кон-троллер хранит таблицу с записями известных ему максимальныхзначений USN партнеров по репликации. Эта таблица называется век-тором ватерлинии. Когда партнер запрашивает изменения, он посы-лает на контроллер-источник известное ему значение верхней ватер-линии для этого контроллера. Контроллер-источник анализируетполученное значение и реплицирует только те объекты, у которыхзначение атрибута usnChanged больше полученного значения верх-ней ватерлинии, так как только они еще не были им посланы партне-ру. Партнер, получив обновления, изменяет значение верхней ватер-линии для данного партнера. Тем самым сокращается объем репли-кации.

Дополнительно к верхней ватерлинии на контроллерах домена хра-нится и постоянно обновляется еще одна таблица. Она содержит GUIDконтроллеров домена, выполняющих оригинальное обновление, и ихномера USN. Эта таблица называется вектором обновленное™ и за-висит от контекста имен. В Active Directory она записана как атрибутreplUpToDateVector контекста имен. Когда контроллер домена запра-шивает изменения для раздела каталога, он передает свой вектор об-новленности на запрашиваемый контроллер. Тот. основываясь на этомзначении, определяет, актуальны ли значения атрибута на запросившемконтроллере, и, если нет, отсылает новое значение. Если же значениеактуально, то для этого атрибута не выполняется пересылка данных.

Верхняя ватерлиния и вектор обновленносги являются взаимодопол-няющими. В то время как верхняя ватерлиния не позволяет контрол-леру-источнику' рассматривать неподходящие объекты применитель-но к одному партнеру, вектор обновленности помогает источнику"отфильтровывать неподходящие атрибуты на основе взаимоотноше-ний между всеми источниками исходных обновлений и одним парт-нером. Для одного раздела Active Directory контроллер домена отсле-живает верхнюю ватерлинию только тех контроллеров, с которых онзапрашивает изменения, а вектор обновленности — для всех контрол-леров, на которых хоть раз выполнялось исходное обновление, т. е.практически всех контроллеров, хранящих полную реплику данногораздела.

Рассмотрим пример. Пусть в домене четыре контроллера DC1-DC4.Будем считать, что исходные обновления к данному моменту выпол-нялись только на контроллерах DC1 и DC2 и, может быть, на контрол-лере DC4.


DC2

USN2053

DCS

USN 1217

Пример выполнения репликации

Пусть USN для казкдого из контроллеров равны DC1 — 4711, DC2 -2052. DC3 — 1217. DC4 — 3388. Тогда вектор обновленности и верх-нюю ватерлинию на контроллере DC4 можно записать как:

Вектор обновленности DC4

GUIDконтроллера

DC1DC 2

Максимальныйномер исходного USN

47112050

Верхняя ватерлиния DC4

GUIDконтроллера

DC1DC3

Максимальныйизвестный USN

47111217

Пусть на контроллере домена DC2 добавили нового пользователя. ЕгоUSN увеличится на 1 и станет равным 2053.

После этого контроллер DC2 оповестит своего партнера по реплика-ции DC1 об изменении. Тот, сравнив последний известный ему USNдля контроллера DC 1, поймет, что нужно получить изменения, полу-чит их и увеличит свой USN на 1, т. е. станет равным 4712. При этом,как мы уже знаем, на контроллере DC1 для этого объекта будет записа-но, что его исходное обноатение было выполнено на контроллере DC2.

Далее DC1 оповестит DC4 о происшедшем изменении. В ответ на этоDC4 пошлет запрос GetChange. который будет включать следующуюинформацию.

ф Контекст имен, для которого запрашиваются изменения (NC).

• Если на DC4 хранится неполная реплика этого контекста имен (т. е.это ГК и контроллер другого домена), то список тех атрибутов,

Репликация Actjvejireclofy 191

которые на нем хранятся для данного контекста. Будем считать, чтоDC4 хранит полную реплику.

• Максимальный известный номер USN, связанный с контроллеромDC1 и с этим контекстом имен. (В рассматриваемом случае — 4711.)

ф Максимальное число измененных объектов, которое может запро-сить контроллер,

ф Максимальное число атрибутов, которое может запросить кон-троллер,

+ Вектор обновленности.

• Логическую переменную, указывающую на необходимость пере-сылки объекта родительского по отношению к запрошенному.

В ответ на запрос DC1 пошлет на DC4 запрашиваемые данные, изме-ненный номер USN для последнего объекта, а также флаг, указываю-щий, все ли данные были переданы или есть еще. Если есть другиеданные, посылается дополнительный вектор обновленности. В итогерепликации вектор обновленности и верхнюю ватерлинию на кон-троллере DC4 можно записать так:

Вектор обновленности DC4 Верхняя ватерлинии DC4

GU1D Максимальный GUID Максимальный

контроллера номер исходного USN контроллера известный USN

DC1 4711 DC1 4712

DC2 2053 DC3 1217

Когда пользователь был добавлен на контроллере DC2, то, помимоDC1, был также оповещен и второй партнер по репликации — кон-троллер DC3. Аналогично тому, как это было для DC1, его USN послерепликации изменится на 1218.

Контроллер DC3 оповестит DC4 об изменении, и последний запро-сит его, послав свой вектор обновленности. Так как в векторе обнов-ленности для источника изменений (т. е. DC2) уже записано актуаль-ное значение (2053), то DC3 не станет посылать данные, а ограничитсялишь номером USN последнего измененного объекта и векторомобновленности. После завершения репликации вектор обновленнос-ти и верхняя ватерлиния на контроллере DC4 будут выглядеть так:

Вектор обновленности DC4 Верхняя ватерлиния DC4

GUID Максимальный GUID Максимальный

контроллера номер исходного USN контроллера известный USN

DC1 4711 DC1 4712DC2 2053 DC3 1218

Active Directory; подход профессионала

Поскольку изменений на контроллере DC4 не произошло, он не бу-дет оповещать партнеров (DC1 и DC3), а значит, репликация завер-шится. Если бы не использовались механизмы демпфирования, про-цесс репликации пошел бы на второй крут, но в обратном направ-лении.

Разрешение конфликтов

Я уже показывал, как разрешать конфликты, сравнивая версии атри-бутов. Однако в каталоге LDAP с несколькими мастерами могут воз-никать у другие конфликты. Вот они.

Возможные конфликты в Active Directoryи способы 'их разрешения

Конфликт Описание Способ разрешения

Значение атрибута

Выполнение опе-раций Add или Moveпод удаленнымродительскимобъектом, удалениенепустогоконтейнераКонфликтравноправныхимен

На одном контроллередомена операция Modifyизменяет значение атри-бута. Одновременно надругом контроллереатрибуту присваиваетсяиное значениеОперациями Add илиMove объект С делаетсядочерним по отноше-нию к объекту Р. Одно-временно на другомконтроллере объект РудаляетсяОперации Add или Moveслужат для создания уобъекта Р дочернегообъекта С1 с относитель-ным отличительнымименем R. Одновременнона друтом контроллереу объекта Р создаетсядочерний объект С2с таким же именем

Атрибут с наибольшимзначением штампапобеждает

Объект Р удаляется.Объект С переноситсяв контейнер LostAndFound

Для объекта, чье относи-тельное отличительноеимя имеет меньшую вели-чину штампа, создаетсяновое уникальное имя потакому правилу: если доразрешения конфликта rdnобъекта было ABC, то пос-ле разрешения оно станетABC'CNF:<GUID>, где CNF— константа, обозначаю-щая разрешение конфлик-та, a GUID — значениеGUID объекта

Таким образом, все потенциальные конфликты имеют свой механизмразрешения.

Топология репликацииВ Active Directory под топологией репликации понимается набор со-единений, используемых контроллерами доменов для синхронизации


общих разделов каталога в масштабах леса. Заправляет процессомсоздания топологии репликации процесс Knowledge Consistency Chec-ker (КСС). В дословном переводе это значит нечто вроде «проверяю-щий однородность знаний». О каких знаниях идет речь? Этот процессвыполняется каждые 15 минут и, проверяя доступность контроллеровдоменов, создает связи между ними для тиражирования данных. Та-ким образом, речь идет о знаниях, известных каждому контроллеру.И именно КСС заботится о том, чтобы на каждом контроллере доме-на хранилась идентичная информация, т. е. он обеспечивает однород-ность знаний контроллеров.

Репликация призвана синхронизировать информацию в Active Direc-tory в масштабах всего леса. Однако, как мы только что видели, фак-тически в каждый конкретный момент времени она выполняется толь-ко между двумя контроллерами. Решение о том, с каким контролле-ром установить связь для выполнения тиражирования данных, при-нимается на основе целого ряда факторов, таких как разделы катало-га, хранимые на разных контроллерах, полнота этих разделов, при-надлежность к сайту и др. Так, все контроллеры одного домена долж-ны быть способны синхронизировать полную реплику своего разде-ла каталога. С другой стороны, все контроллеры в лесу обязаны син-хронизировать контексты имен схемы и конфигурации. Топологиярепликации схемы и конфигурации отличается от топологии домен-ной репликации, однако в простых случаях они совпадают.

Если рассмотреть все возможные топологии репликации Active Direc-tory, то получим:

• репликация конфигурации и схемы внутри сайта;

• репликация каждого из разделов каталога внутри сайта;

+ репликация разделов ГК внутри сайта;

+ репликация конфигурации и схемы между сайтами;

• репликация каждого из разделов каталога между сайтами;

ф репликация разделов ГК между сайтами.

Ряд объектов Active Directory составляет основу топологии реплика-ции. Здесь я их только перечислю — подробности см. в главе «Проек-тируем Active Directory».

Во-первых, это сайты и контроллеры доменов в них. Сайты — этоучастки сети с высокой пропускной способностью. Каждый сайт опре-деляется минимум одной подсетью. Сведения о подсетях в сайте ис-пользуются для поиска контроллеров домена. Контроллеры домена —партнеры по репликации представляются контейнерными объектами,содержащими специальный объект NTDS Settings, который хранитинформацию о входящих соединениях.


Входящие соединения определяют направление репликации и представ-ляют собой следующую категорию объектов репликации. Соединенияявляются однонаправленными от одного контроллера к другому. КССпытается, там где это возможно, использовать одни и те же соедине-ния повторно, удаляет ненужные соединения или создает новые.

Чтобы соединения между сайтами стали возможны, нужны связи, ина-че КСС не сможет создать соединения, а значит, не будет и реплика-ции. По умолчанию создается только первая связь, которую и исполь-зует КСС, но ее может быть недостаточно. Для каждой связи существуетрасписание, определяющее сроки выполнения репликации.

Связи не должны быть беспорядочными. Если внутри сайта практи-чески не важно, между какими партнерами выполняется репликация,то связи между сайтами должны иметь четкий характер. С этой це-лью КСС выбирает контроллер, через который будут осуществлятьсявзаимоотношения с другими сайтами. Этот контроллер называетсясервером-форпостом. Форпосты следят за тем. чтобы репликациямежду партнерами шла в основном внутри сайта, а внешние связивыполнялись по графику'.

Можно довериться выбору КСС и не вмешиваться в процесс назначе-ния форпоста. Но КСС может ошибаться и назначать далеко не луч-шего кандидата на роль форпоста. Дабы предупредить такие ошибки,можно вручную назначать выделенные серверы-форпосты (см. главу'•Проектируем Active Directory»).

Ну и, наконец, остается сегпевой протокол, по которому тиражируютсяданные при репликации. Протокол выбирается на основании того,сколь надежна связь между сайтами и что надо реплицировать. Еслиэто качественный канал, доступность которого не вызывает сомнений,оптимальным протоколом является IP. Если же канал ненадежен, боль-шую часть времени бывает недоступен или перегружен, то использу-ется SMTP. Но об этом мы поговорим ниже.

Какой транспорт предпочесть?Как вы уже знаете, в Windows 2000 два транспорта репликации. ЭтоRPC поверх IP и SMTP. Первый служит для внутри с айтовой реплика-ции и для синхронной межсайтовой, второй — для асинхронноймежсайтовой. При этом надо придерживаться следующих правил.

• Репликация внутри сайта осуществляется всегда только посред-ством RPC поверх IP. Топология репликации — кольцо. Сжатиеданных не используется.

ф Репликаций между сайтами может использовать как RPC поверх IP,так и SMTP. Топология репликации — дерево. При передаче исполь-зуется сжатие данных.


+ Репликация по SMTP поддерживается только между контроллера-ми из разных доменов. Контроллеры одного домена должны ис-пользовать RFC поверх IP независимо от качества канала. Следо-вательно, SMTP может применяться только для репликации разде-ла схемы, конфигурации и ГК.

Свойства внутрисайтовой и межсайтовой репликации таковы:

Сравнение свойств внутри- и межсайтовой репликаций

Внутрисайтовая репликация Межсайтовая репликация

Транспорт

ТопологияРасписание

Модельрепликации

Сжатие

RPC поверх IP

кольцозависит от чистотыоповещенийУведомление и запрос

'нет

RPC поверх IPилиSMTPдеревозависит от доступностиканалаЗапрос по расписаниюилихранение и передачада

Синхронная и асинхронная передача

Синхронная репликация Active Directory предполагает, что контрол-лер домена, запрашивая изменения у партнера по репликации, ожи-дает, пока запрашиваемый контроллер обработает запрос, составит иперешлет ответ. В период ожидания новые запросы не выполняются,т. е. в любой момент времени контроллер домена занят только однимзапросом. Если у него 10 партнеров по репликации, он будет опра-шивать их по очереди.

Если репликация асинхронная, то контроллер, послав запрос, не ждетответа. Он может послать запрос следующему партнеру. Главное от-личие асинхронной репликации в том, что время ответа на запроснеизвестно, в то время как при синхронной репликации гарантиро-ван максимальный интервал ожидания.

Внутрисайтовый транспорт

Как я уже говорил, внутриеайтовый транспорт — это RPC поверх IP.Это быстрый механизм, способный с небольшими интервалами пе-ресылать обновления внутри сайта. Так как из определения сайта сле-дует, что все связи между контроллерами имеют большую полосупропускания, нет смысла выполнять сжатие передаваемых данных.При обычной частоте тиражирования внутри сайта это приведет кдополнительному расходу ресурсов процессора.

Удаленный вызов процедур RPC использует динамическое назначениепортов TCP. Обращаясь к Active Directory, клиент подключается по RPCк хорошо известному порту — 135. Сервер запрашивает у локатора


RFC порт, назначенный в данный момент для репликации ActiveDirectory. По умолчанию этот порт назначается динамически при стар-те Active Directory и может быть любым среди портов с высокиминомерами. (Поэтому в главе, посвященной планированию Active Direc-tory, я сказал, что для обеспечения репликации через межсетевой эк-ран надо открывать много портов.)

Номер порта можно зафиксировать. Для этого надо в ветви реестраHKLM\SYSTEM\CurrentControlSet\Services\NTDS\Parameters изменитьпараметр TCP/IP Port. Значение может быть любым, кроме зарезер-вированных за другими службами.

Особенности транспорта SMTP

Говоря о межсайтовом транспорте, обычно подразумевают RPC, a SMTPпредпочитают не применять. Во-первых, это часто связано с тем, чтов сайтах располагаются контроллеры из одного домена, что автома-тически исключает использование SMTP Во-вторых, асинхроннаяприрода SMTP не позволяет гарантированно тиражировать измене-ния в течение заданного интервала. Если в удаленном сайте есть ГК,изменения до него могут доходить с большим опозданием, что принеудачном стечении обстоятельств может воспрепятствовать досту-пу пользователей к ресурсам или, наоборот, предоставить его в тотмомент, когда он уже отобран.

Асинхронность SMTP приводит к тому, что расписание доступностиканала, устанавливаемое для связи, полностью игнорируется. Что бы

„вы ни указали, это не будет иметь никакого значения. Можно указатьлишь частоту обращения к партнеру удаленного сервера.

В то же время и RPC, и SMTP имеют некоторые общие характеристи-ки, используемые при репликации:

• для передачи данных между сайтами посредством обоих транспор-тов используется сжатие данных;

• у Active Directory существует максимальное число изменений, ко-торые можно переслать в ответ на один запрос; оно зависит отразмера конфигурируемого пакета репликации:

• каждому партнеру по репликации для каждого раздела каталогаможет быть передан только один запрос изменений;

ф изменения, пересылаемые в ответ на запрос, передаются в одном илинескольких фреймах в зависимости от общего числа изменений;

• если передача части данных сорвалась, требуется повторно пере-дать все данные;

• если полоса пропускания мала, то для настройки используютсяодни и те же параметры TCP.

Репликаций Active Directory 1_97

Помимо недостатков, SMTP имеет ряд преимуществ, делающих егопорой незаменимым.

• Асинхронность. Помните, мы это свойство записали в недостат-ки? Но представьте себе жуткий канал, по которому тиражируют-ся данные. При синхронной репликации процесс может затянуть-ся, так как из-за постоянных тайм-аутов транзакции буду!1 незавер-шенными, и, следовательно, потребуется выполнять многократныеоткаты. И пока не будет завершена одна транзакция, не начнетсядругая. При асинхронной репликации транзакции растянуты, и ненужно ждать завершения одной, прежде чем инициировать следу-ющую. Поэтому на плохих линиях SMTP как транспорт реплика-ции имеет преимущество.

• Трафиком SMTP можно управлять, выполнять мониторинг и защиту.

• Там, где нет трафика по протоколу IP, репликация может выпол-няться по SMTP. Это могут быть, например, участки, базирующие-ся на Х.400.

Управление пакетом репликации

Если на контроллере установлено от 100 до 1 000 Мб ОЗУ, размерпакетов репликации равен 0,01 от объема ОЗУ. С другой стороны,размер пакетов в объектах равен 1/1 000 000 от объема ОЗУ (т. е. от100 до 1 000 объектов). Одно исключение: размер пакета для асинх-ронной межсайтовой репликации не превышает 1 Мб. Это связано стем, что на многих почтовых системах стоит ограничение на макси-мальный размер передаваемых сообщений.

Эти значения по умолчанию можно изменить, определив параметрыв ветви реестра HKLM\System\CurrentControlSet\Semces\NTDS\Para-meters. По умолчанию этих параметров в реестре нет.

Параметры реестра, ответственныеза размер пакетов при репликации

Параметр

Replicator inira sitepacket size (objects)Replicator into sitepacket size (bytes)Replicator inter sitepacket size (objects)Replicator inter sitepacket size (bytes)Replicator async inter sitepacket size (objects)Replicator async inter sitepacket size (bytes)

Назначение

Для репликации RFCвнутри сайтаДля репликации RPCвнутри сайтаДля репликации RPCмежду сайтамиДля репликации RPCмежду сайтамиД'ш репликации SMTPмежду сайтамиДля репликации SMTPмежду сайтами

Допустимая величина

от 1

от 10 ко

от 1

от 10 кб

от 1

от 10 кб

1_98 Active Directory: подход профессионала

\Автоматическая генерация топологии

Рассмотрим генерацию внутрисайтовой топологии, выполняемуюКСС. Мы пойдем от простого к сложному.

Простейший случай — один контроллер домена: репликация при этомне нужна, а значит, нет и топологии репликации.

Добавим второй контроллер. Естественно, между контроллерами уста-новятся две связи: для репликации от А к Б и наоборот. Причем обебудут использоваться для репликации как доменного контекста имен,так и схемы и конфигурации.

При добавлении третьего контроллера домена образуется простейшеекольцо. Каждый из контроллеров связан с двумя другими четырьмясвязями — по две связи на соединение.

Простая топология для одного контекста имен

Как только добавляется четвертый контроллер домена, между ним идвумя ближайшими контроллерами устанавливается соединение, какпоказано на рисунке. Налицо очевидная избыточность связей дляконтроллеров DC2 и DC3- Они, конечно могут продолжать реплика-цию напрямую, но есть и еще два пути: через контроллеры DC1 и DC2.Поскольку КСС стремится создать кольцо, то избыточные связи меж-ду DC2 и DC3 будут удалены.

Замечание В ряде случаев КСС не удаляет избыточные связи. Ихможно удалить вручную.

Как же определить, какой из контроллеров домена является ближай-шим соседом? Ведь внутри сайта все соединения имеют одинакововысокую пропускную способность, а других факторов будто нет. КССсчитает, что, коль естественной разницы между контроллерами нет,надо ввести искусственную и использует номера GUID контроллеров.Определив число доступных в момент проверки контроллеров опреде-ленного домена, он ранжирует их по возрастанию номера GUJD, КСС,исполняемый на каждом контроллере домена, выбирает два контролле-ра с ближайшими номерами и создает для них односторонние связи.

Сложная топология для одного контекста имен

Если продолжить наращивание числа контроллеров, то кольцо реп-ликации будет расти в диаметре. Сколь бесконечен этот рост? Крите-рий, влияющий на размер кольца и определяющий наличие допол-нительных связей, есть.

Примечание Критерий внутрисайтовой репликации определяетсятак: между любыми двумя контроллерами одного домена в сайте дол-жно быть не более 3 «прыжков» (hops) репликации.


Топология репликации: если контроллеров домена всего три, токаждый связан с двумя другими. При добавлении четвертогоконтроллера он устана&ъивает связи с двумя контроллерами,непосредственные связи между которыми становятся лишними

Длительность прыжка — 5 минут (по истечении этого времени кон-троллер уведомляет партнера об изменении) — гарантирует, что вре-мя полной репликации внутри сайта не превышает 15 минут.

Если продолжить наращивание числа контроллеров в домене, то то-пология в виде кольца удовлетворяет критерию только при числеконтроллеров не более 7. Стоит добавить восьмой контроллер, как мысразу переходим к усложненной схеме генерации топологии. КаждыйКСС создает произвольное дополнительное число связей с другимиконтроллерами. Изначально это число может быть любым, но не мень-ше такого, чтобы удовлетворялся критерий репликации. Например, нарисунке изображен случай 8 контроллеров. Рассмотрим процесс ге-нерации топологии во времени.

Допустим, первым начал работать КСС на контроллере DC1. Проана-лизировав число контроллеров, он вычислил, что для репликацииизменений с DC1 на самый дальний от него контроллер DC5 по коль-цевой схеме понадобится 4 прыжка. Поэтому, кроме соединений


с ближайшими соседями, он создаст прямое соединение с DC5. Этотконтроллер в свою очередь также создаст три соединения: два с бли-жайшими соседями и одно с DC1.

а

УС1

Основное правило при генерации топологии репликации3 «прыжков» между любым из контроллеров домена

не более

Далее предположим, что КОС запустится на DC3- Он также вычислит,что нужно создать соединение с самым далеким от него DC7. Тотответит на это созданием встречного соединения и пары соединенийс соседями.

КСС на остальных контроллерах уже будут знать о новых соединенияхи обнаружат, что им не требуется создавать дополнительные связи,кроме связей с ближайшими партнерами. Таким образом, формирова-ние топологии репликации для данного контекста имен завершится.

В реальности совершенно не обязательно, что будет сформированаименно такая топология. Выше мы предположили, что КСС запускает-ся на контроллерах домена в такой последовательности: DC1 — DC5 —DC3 — DC7 - DC2 — DC4 - DC6 — DCS. Если же предположить, чтоКСС на контроллере DC2 запустится сразу после DC5, а потом запус-тится КСС на DC7, то топология будет совершенно иной, и главное,связи «туда* и «обратно* не будут созданы между одними и теми жепарами контроллеров. Но результат все равно будет тот же, т, е. пол-ное соответствие критерию репликации.

Топология для нескольких контекстов имен

Что ж, усложним задачу. Пусть внутри сайта расположен не один, адва домена, т. е. кроме репликации общих контекстов схемы и кон-


фигурации, должна выполняться раздельная репликация каждого издоменных контекстов имен.

Сначала разберемся в топологии репликации схемы и конфигурации.Не трудно догадаться, что поскольку это один контекст имен, то фор-мирование топологии для него будет выполняться по тем же прави-лам, что и для одного домена в сайте. В частном случае с 8 контрол-лерами получим ту же топологию, что и на предыдущем рисунке.

Замечание Дальше будем считать, что в сайте нет серверов ГК.

Пусть в сайт с одним доменом добавили еще один домен, установивпервый контроллер. Так как база Active Directory на этом контролле-ре хранит раздел того домена, для которого в сайте нет других кон-троллеров, то это будет равносильно единственному контроллеру всайте, а значит, отсутствие репликации. Но не следует забывать, чтораздел схемы и конфигурации должен тиражироваться на новый кон-троллер, а значит, он будет включен в общее кольцо для этого кон-текста.

После добавления еще одного контроллера для этого контекста мыдобьемся того, что между двумя контроллерами установятся встреч-ные связи. Добавление третьего контроллера приведет к образованиюпростейшего кольца и т. д. в точном соответствии с тем описанием,которое приведено для случая с одним контекстом имен.

DCB2

DCB4 DCB3

Репликация каждого контекста имен выполняется по своему колы$>

Пока общее число контроллеров в двух доменах в сайте не превысит 7,топология репликации будет состоять из 3 колец: по одному для каж-дого доменного контекста и одного для схемы и конфигурации.


С ростом числа доменов топология будет усложняться. Но в любомслучае будет соблюдаться соответствие критерию репликации.

КСС и его возможности

Вся эта интеллектуальная работа по генерации внутрисайтовой топо-логии выполняется КСС. Как мы уже знаем, КСС — это процесс, вы-полняемый на каждом контроллере домена. КСС не стартует сразупосле запуска компьютера. Сначала он ждет некоторое время, назы-ваемое задержкой запуска топологии. По умолчанию — 5 минут.

После первого выполнения повторный запуск КСС состоится толькочерез 15 минут. Итак, каждые 15 минут КСС выполняет свою работу.

Замечание Указанные интервалы устанавливаются по умолчанию.Их можно изменить в ветви реестра HKLM\SYSTEM\CurrentControl-Set\Services\NTDS\Pararneters. На время начальной задержки влияет па-раметр Repl topology update delay (sees). По умолчанию он равен 300секундам. Если у вас не очень быстрый компьютер, а служба DNS ус-тановлена на нем же, это значение стоит увеличить до 500 секунд.Интервал времени между последовательными запусками КСС опре-деляет параметр Repl topology update period (sees), по умолчанию —900 секунд.

Что же конкретно выполняет КСС? У него две задачи.

1. Основываясь на сетевой топологии, описываемой объектами ActiveDirectory, создает объекты связи, используемые для репликации:

• для источников внутри сайта — входящей по отношению кконтроллеру домена, на котором выполняется КСС;

• для источников в других сайтах — входящей по отношению ктому сайту, в котором выполняется КСС; при этом контроллер,на' котором он работает, должен быть выбран генератороммежсайтовой топологии.

2. Преобразует объекты связи Active Directory, созданные как КСС, таки администратором, в конфигурацию, понятную для механизмарепликации.

Этот процесс не имеет интерфейса с пользователем в привычномпонимании. Нет ни утилиты командной строки, ни графической кон-соли, позволяющих задавать параметры работы или управлять запус-ком/остановкой процесса. Все сведения о работе КСС можно почерп-нуть из журнала регистрации. Степень подробности зависит от пара-метра «Knowledge Consistency Checker* в ветви реестра HKLM\SYS-TEM\CurrentControISet\Services\NTDS\Diagnostics. Если он равен 3 ивыше, в журнал будет заноситься максимум информации, однако ктакому радикальному методу стоит прибегать только в крайних слу-


чаях и на непродолжительное время, так как производительность кон-троллера домена очень сильно снижается.

Работой КСС можно управлять следующими инструментами.

• Редактор реестра служит для определения параметров КСС наодном отдельно взятом контроллере домена.

• Оснастка Active Directory Sites and Services позволяет контро-лировать и корректировать топологию репликации.

• ADSIEdlt или Ldp служат для изменения атрибутов объектаCN=NTDS Site Settings,CN=<HMH ca£rra>,CN=Sites,CN=Configura-1юп,<имя лесаХ Позволяют изменять работу всех КСС в сайте.

• Сценарии удобнее всего использовать для выполнения комплек-сных операций над всеми КСС в сайте.

Вот простейшие примеры использования этих инструментов. Пусть,редактируя топологию репликации, вы случайно лишили, один изсайтон всех объектов связи. Это, естественно, приведет к прекраще-нию тиражирования данных между этим сайтом и другими. Устано-вив через реестр уровень диагностики работы КСС равным 3- вы об-наружите в журнале регистрации сообщение об ошибке 1311- В со-ответствии с этим сообщением об ошибке вы откроете Active DirectorySites and Sen-ices и выполните корректировку

Второй пример. Вам может понадобиться остановить КСС на всехконтроллерах домена, например, при оптимизации ннутрисайтовойтопологии в больших сетях. Для этого вы открываете, скажем, ADSIEdit,находите объект CN=NTDS Site Settings,CN=<HMH caflTa>,CN=Sites,CN=Configuration,<HMfl леса> и измените значение атрибута options.Если ему задать 1. автоматическая генерация внутрисайтовой топо-логии остановится.

Генератор межсайтовой топологии

Среди задач, выполняемых КСС, особенно интересна генерация объек-тов связи для межсайтовой репликации. Рассмотрим ее подробнее,

Внутри сайта есть один контроллер домена на котором КСС выпол-няет, помимо обычных, и дополнительные обязанности. Он анализи-рует доступность партнеров по репликации из других сайтов для сер-веров-форпостов. При этом сам он может и не быть форпостом (ско-рее всего так и будет). Такой сервер принято называть генератороммежсайтовой топологии ISTG. Обнаружив необходимость созданиянового объекта связи. ISTG изменяет Active Directors' на своем локаль-ном контроллере домена. Это изменение тиражируется с помощьюобычного механизма внутрисайтовой репликации на все контролле-ры домена в том числе и на серверы-форпосты. Процессы КСС, кото-рые работают на форпостах, анализируют пришедшее изменение и


преобразуют объекты связи н соединения, используемые для репли-кации из удаленных сайтов.

1STG также периодически записынает в Active Directory атрибут, ука-зывающий на то, что именно он является генератором межсайтовойтопологии для данного сайта.

Замечание Генератор межсайтовой топологии всегда только одинвнутри сайта независимо от числа контекстов имен, которые должныбыть реплицированы.

По умолчанию такая запись выполняется каждые 30 минут. Вы може-те задать иную величину интервала в параметре КСС site generatorrenewal interval (minutes) в ветви реестра HKLM\SYSTEM\Current-ControlSet\Services\NTDS\Parametcrs. Эта информация тиражируетсяна все остальные контроллеры домена в сайте. КСС, исполняемые наних, проверяют, когда была выполнена последняя запись указанногоатрибута. Если в течение последнего часа такая запись не была вы-nojii (ена, выбирается новый сервер ISTG. Срок, в течение которого дол-жно произойти обнонление атрибута принадлежности к ISTG, зада-ется параметром КСС site generator fail-over (minutes) в той же ветвиреестра.'

Генератором межсайтовой топологии по умолчанию является самыйпервый контроллер домена л сайте. Если он вовремя не изменит ат-рибут в Active Directory, на его место будет выбран тот контроллер,чей номер GUID будет следующим в порядке возрастания. При воз-никновении этого события повторно произойдет выбор контролле-ра по тому же принципу. При этом самый первый контроллер будетнаходиться в конце очереди.

Узнать, какой контроллер домена в сайте является генератором меж-сайтовой топологии, позволяет значение атрибута interSiteTopology-Generator у объекта CN=NTDS Site Settings,CN=<HMfl caftTa>,CN=Sites,CN=Configura[ion.<HMfl лесаХ Оно содержит отличительное имя кон-троллера, выполняющего эту роль.

Что произойдет, если ныборы нового ISTG состоялись, а прежний ещежив? В этом случае временно могут существовать соединения, создан-ные этими двумя компьютерами. Но стоит репликации в сайте завер-шиться, «старый» генератор прекратит свою деятельность, а создан-ные им соединения будут удалены.

Теперь вернемся к рассмотренной выше ситуации, при которой тре-буется остановить работу' ISTG. Как об этом написано в главе «Проек-тирование Active Director^'», КСС имеет ограничение, выражаемоеформулой:


(1+D)*S"2 <= 100000

где D — число доменов, a S — число сайтов.

При большом числе сайтов КСС должен быть остановлен. Для этогонадо изменить у объекта CN=NTDS Site Settings,CN=<HMfl сайта>,CN=Sites,CN=Configuration,<HMH леса> значение атрибута options. До-пустимые значения;

• 0 — по умолчанию; КСС и ISTG работают в нормальном режиме;

• 1 — генерация топологии внутрисайтовой репликации остановлена;

4 16 — генерация топологии межсайтовой репликации остановлена;

• 17 - КСС и ISTG остановлены.

На практике оказывается неразумно останавливать КСС и генератортопологии межсайтовой репликации. При этом бремя отслеживаниясоединений и объектов связи ляжет на администратора. Он долженпросчитывать оптимальную топологию и заботиться о ее поддержа-нии. Альтернативой является временное включение/отключение КССв периоды незначительной загрузки сети. При включении КСС про-верит топологию внутри сайта и между сайтами и, если надо, обно-вит их. Затем его можно выключить до следующего раза. Нагрузка, ко-торая при этом ляжет на контроллеры доменов, не скажется на пользо-вателях, так как эту работу лучше выполнять во внерабочее время.

Управление работой КСС одновременно в нескольких сайтах облег-чают сценарии. Следующий сценарий на VBScript позволяет останав-ливать/возобновлять автоматическую генерацию топологии реплика-ции сразу во всех сайтах. Не составит никакого труда упростить егои использовать для тех же целей, но внутри одного сайта.

Сценарий остановки и запуска КСС

On Error Resume Next'прием параметров командной строки

Set Args = WScript.ArgumentsIf Args.Count=0 then Wscript.QuttIf lcase(Args(0))="/enable" Or lcase(Args(0))="/disable" thenCall ConflgureKCCOend if

Public Sub HeportError ()'сообщить об ошибке

«script.Echo "Произошла ошибка: (" + cstr(hex(err.number)) +_") " + cstr(err.description)

End Sub

Public Sub ConflgureKCC ()сн. след. стр.


On Error Resume Next'узнать имя локального компьютера

wscript.echo "Подключение к компьютеру..."set localMachine=GetObject("LDAP://localhost/rootdse")if err.number <> 0 then ReportErrorWscript.QuitServerName=localmachine.get("dnsHostName")if err.number <> 0 then ReportErroriWScript.Quitwscript.echo "Обнаружен локальный компьютер " + ucase(ServerName)

'получить конфигурацию контекста именconfigNC=localMachine.get("configurationNamingContext")if err.number о 0 then ReportErrorWscript.Quitwscript.echo "Контекст имен конфигурации: " + configNC

'подключиться к контейнеру SitesSet ObJSites = GetObject("LDAP://" & ServerName & "/CN=Sites,"

& configNC)objSites.filter = array("Site")For each obj in ObJSiteswscript.echo "Имя сайта: " + obj.CNSet SiteSettings = Obj.GetObjectC'nTDSSiteSettings", "CN=NTDS Site

Settings")

'извлечь значение атрибута optionsorigOptions=SiteSettings.Get("options")if hex(err.number) = "8000500D" then origOptions=0

elseif err.njmber=0 then'ничего не надоelseReportErronWscript.Quitend ifmodOptions=origOptions

'выяснить, что делать с КССif lcase(Args(0))="/disable" then'запретить КСС, если он разрешен, или оставить как естьif modOPtions And 16 thenwscript.echo " Автоматическая генерация топологии запрещена.

Изменений не вносится."elsemod20ptions=modOptions Or 16wscript.echo " Автоматическая генерация топологии разрешена. Запрещаем."



SiteSettings.Put "options", mod20ptionsSiteSettings.Setlnfoif err.number <> 0 then'если значения еще нет, то все нормальноif hex(err.number) = "8000500D" then'записываем значениеelseReportError«script.echo "Ошибка изменения значения атрибута options."«script.echo "Проверьте правильность текущего значения."wscript.echo "Выполнение прервано."Wscript.Quitend ifend ifend ifelse'если автоматическая генерация запрещена, то разрешить,

Иначе оставить неизменным,if modOPtions And 16 thenwscript.echo " Автоматическая генерация топологии запрещена.

Разрешаем."mod2Qptions=modO,ptions XOr 16SiteSettings.Put "options", mod20ptionsSiteSettings.Setlnfoif err.number <> 0 then'если значения еще нет, то все нормальноif hex(err.number) = "8000500D" then'записываем значение в любом случаеelseReportErrorwscript.echo " Ошибка изменения значения атрибута options."wscript.echo " Проверьте правильность текущего значения."wscript.echo " Выполнение прервано."Wscript.Quitend ifend ifelsewscript.echo " Автоматическая генерация топологии разрешена.

Изменений не вносится."end ifend ifNext

End Sub

8-2005


Для запуска сценария скопируйте текст в файл с расширением VBS ив командной строке введите:

cscript <имя файлахVBS /аргумент

где аргумент — enable для разрешения автоматической генерациитопологии, a disable — для ее запрещения.

Вот результат работы сценария (не забудьте, что вы должны обладатьдостаточными административными полномочиями в рамках леса):

Пример работы сценария: разрешение автоматической генерациитопологии

Репликация глобальных каталоговСерверы ГК, как известно, отличаются от остальных контроллеровдомена тем, что, помимо полной реплики того пространства имен,которому принадлежит контроллер, а также реплик конфигурации исхемы, они хранят усеченные версии реплик остальных разделовActive Directory. Необходимость хранения того или иного атрибута вГК определяет атрибут isMemberOfPartialAttributeSet. Если его значе-ние изменяется (с true на false или наоборот), то в течение следую-щего цикла репликации он или включается в частичную реплию.', илиизымается из нее.

Замечание Данный процесс порождает значительный трафик реп-ликации, так как обновляется не только данный атрибут, но и всеобъекты, обладающие данным атрибутом.

Партнером по репликации ГК могут выступать как обычные контрол-леры доменок, так и другие серверы ГК. Допустим, в сайте А находят-ся два домена mycorp.ru и msk.mycorp.ru, а в сайте Б — домен spb.my-corp.ru. Сначала будем считать, что в каждом сайте — по одному сер-веру ГК. Для ясности расположим ГК в сайте А на контроллере доме-на mycorp.ru. Тогда полную реплику контекста mycorp.ru он будетполучать от партнеров по репликации в домене mycorp.ru, частичнуюреплику msk.mycorp.ru — от одного из контроллеров домена msk.my-corp.ru, с которым будет установлена связь репликации, а частичнуюреплику spb.mycorp.ru — с сервера форпоста в сайте Б.

Репликаций Active Directory 209

Репликация Глобальных каталогов

Специально для этого будет установлена новая связь репликации, либобудет использована имеющаяся связь репликации схемы и конфигу-рации. Многое в этом процессе зависит от того, является ли сервер-форпост в сайте А выделенным. Если да, то скорее всего для реплика-ции ГК будут задействованы связи репликации схемы и конфигура-ции; нет — сервер ГК в сайте А будет назначен форпостом, и будетиспользована новая прямая связь.

Теперь добавим в сайт А еще один сервер ГК. Столь незначительноеизменение приведет к тому, что одному из этих серверов ГК не пона-добится создавать связь репликации с форпостом в сайте Б. Он мо-жет получить всю нужную информацию от своего партнера, А вот томууже придется действовать так, как описано выше.

А что, если все контроллеры домена в лесу являются также и сервера-ми ГК? Очевидно, для репликации будут задействованы связи, создан-ные для репликации схемы и конфигурации. Таким образом, нагруз-ка на КСС при этом снижается, но трафик репликации растет.

Репликация критических событий

Все изменения тиражируются между контроллерами доменов не сра-зу, а на основе оповещений или по расписанию. По умолчанию пол-ное время репликации внутри сайта — около 15 минут, а между сай-тами определяется расписанием и числом сайтов, связанных с сайтом-источником, и также составляет не менее 15 минут. В то же времясуществуют события в Active Directory, информация о которых долж-на тиражироваться сразу на все контроллеры домена. Перечень этихсобытий зависит от типа взаимодействующих контроллеров. Этоможет быть взаимодействие между контроллерами Windows 2000 имежду контроллером Windows NT 4.0 и контроллером Windows 2000.


Критические события репликацииWindows 2000 <-> Windows 2000 Windows 2000 <-> Windows NT 4.0

Репликация вновь заблокированныхучетных запискиИзменение секрета LSA (особеннодоверительной составляющейучетных записей компьютеров)Изменение состояния RID-мастера

Репликация вновь заблокирован-ных учетных записейИзменение секрета LSA (особеннодоверительной составляющейучетных записей компьютеров)Изменение пароля доверительныхотношений между доменами

Внутри одного сайта оповещения о таких изменениях тиражируютсямежду контроллерами, а вот что касается нескольких сайтов, то тутвсе гораздо хуже. По умолчанию оповещения не тиражируются помежсайтоным связям. А это значит, что в худшем случае информация,например о новом пуле относительных адресов, дойдет до удаленно-го контроллера домена не ранее, чем через 15 минут, что может при-вести к появлению объектов с одинаковыми ID.

ВЗШШЩЁШ

Syntax

Настройка трансляции оповещений между сайтами

Если такие задержки в распространении критических изменениймежду сайтами недопустимы, можно разрешить распространениеоповещений между сайтами. Для этого нужно изменить значение ат-рибута options для того объекта связи между сайтами, тиражированиеизменений по которому наиболее критично. Выполнить это позво-ляют утилиты ADSIEdit или Ldp. Скажем, если между двумя сайта ми су-


ществует объект связи DEFAULTIPSITELINK, то отличительное имя это-го объекта в Active Directory запишется как C№»DEFAULTIPSITEUNK,CN=IP, CN=Inter-Site Transports, CN=Sites, CN=Configuration,<HMH доме-на>. Значение атрибута options устанавливается либо в 1 (если доэтого оно не было установлено), либо определяется, исходя из поби-товой операции ИЛИ.

В результате данной модификации между сайтами будут передавать-ся все оповещения о срочных и не очень изменениях в Active Directory7

так, как это было бы внутри сайта. Замечу, что трансляция измененийвозможна только для связей по протоколу IP, но не по SMTP.

Замечание Не рекомендуется активизировать трансляцию измене-ний по коммутируемым каналам, так как это приведет к неоправдан-но завышенному времени связи.

Тиражирование паролей

Не менее критичной информацией являются пароли учетных запи-сей пользователей. В Windows NT изменить пароль можно было толь-ко на главном контроллере домена, в Windows 2000 — на любом. Этов свою очередь порождает следующую проблему. Допустим, в сети двасайта — А и Б, и в каждом по контроллеру домена. Пусть администра-тор изменил пароль на контроллере в сайте А. Некоторое нремя спу-стя пользователь пытается зарегистрироваться в сети в сайте Б. Па-роль передается на локальный контроллер домена, который к этомумоменту времени еще ничего не знает о выполненном изменении.Если бы не было специального механизма, доступ пользователя в сетьбыл бы отвергнут.

В Windows NT в такой ситуации пользователь переадресовывался наглавный контроллер домена, где и проходил авторизацию. Аналогич-ный механизм есть и в Windows 2000. Когда администратор изменя-ет пароль на любом из контроллеров, пароль «проталкивается» наимитатор PDC, который оповещает своих партнеров по репликацииоб изменении, и начинается обычный цикл репликации. Пользователь,пытающийся зарегистрироваться на контроллере, до которого еще недошла репликация, будет переадресован на имитатор PDC, где емубудет предоставлено право регистрации.

Этот механизм работает по умолчанию. Однако в случае медленныхсвязей между сайтами он может быть другим. Для этого в ветви реес-тра HKLM\SYSTEM\CurrentControlSet\Services\NetIogon\Parametersнадо изменить значение параметра AvoidPDCOnWan. По умолчаниюоно равно О. Если задать 1, новый пароль не будет передаваться наимитатор PDC с удаленного контроллера домена в ускоренном режи-


ме. Вместо этого будет задействован обычный механизм репликации.Данный режим целесообразно применять на коммутируемых линиях.

КлиентКонтроллер Б

Репликация изменения пароля по умолчанию

Если в нашем примере предположить, что в сайте Б два контроллерадомена, на одном из которых администратор изменяет пароль, на дру-гом регистрируется пользователь, а имитатор РОС расположен в сай-те А, то значение 1 параметра AvoidPDCOnWan в 1 приведет к тому,что:

• новый пароль не передается в ускоренном режиме на имитатор PDC;

+ пользователь не обращается к имитатору PDC, если контроллер, ккоторому он подключился, не может его авторизовать;

• изменение пароля будет тиражировано внутри сайта Б обычнымобразом.

2,-Регистрация - отказг -^ "

5. Регистрация - ОККлиент

Репликация изменения пароля при значении 1 параметраAvoidPDCOnWan

Замечание Хотя параметр AvoidPDCOnWan на контроллере доме-на равен 1Т контроллер обратится к имитатору PDC, если пользова-тель введет неверный пароль. Эта ошибка исправлена только я SP2.

Диагностика репликацииРабота репликации Active Directory зависит от:

• работоспособности контроллеров доменов;


• пропускной способности и доступности каналов связи;

ф настройки серверов DNS-,

• конфигурации топологии репликации;

• конфигурации параметров системы безопасности (пароли, дове-рительные отношения, IPSec);

• знаний и умений администраторов.

Для диагностики репликации могут применяться разные инструмен-ты как с интерфейсом командной строки, так и снабженные графи-ческим интерфейсом. Выбор зависит от того, какой способ админис-трирования вы предпочитаете: удаленный в командной строке илиудаленный в терминальном режиме.

Большая часть этих инструментов входит в состав вспомогательныхсредств Support tools, поставляемых на том же компакт-диске, что исистема. Эти инструменты наряду со средствами Windows 2000 Resour-ce Kit должны быть установлены на всех контроллерах домена, а так-же на рабочих станциях, предназначенных для администрирования.

Если вы делали все правильно и следовали моим советам, проблем срепликацией не должно быть вообще. Легче всего убедиться в этом, если;

+ поискать в журналах регистрации записи об ошибках и преду-преждения, относящиеся к системе репликации Active Directory;

+ запустить оснастку Active Directory Sites and Services, выбрать лю-бые соединения и выполнить команду Replicate now; сообщениеоб успешном завершении репликации будет свидетельством того,что выбранный сервер выполнил загрузку информации по указан-ному соединению.

Данный способ пригоден, если у вас один сайт и небольшое числоконтроллеров домена. В крупной сети такая методика может оказать-ся неэффективной. Ее можно рассматривать только как средство длялокальной диагностики и решения небольших проблем.

Как известно, репликация выполняется между партнерами на основа-нии их GUID. Номера GUID записаны в зоне DNS _msdcs.<HMH леса>(подробнее см. главу «Установка Active Directory»). Для контроля до-ступности этой зоны и ее содержимого служит утилита Nslookup.

Основными инструментами, позволяющими контролировать тополо-гию репликации и состояние партнеров по репликации являютсяrepadmin (интерфейс командной строки) и replmon (графическийинтерфейс).

Комплексную информацию о состоянии контроллеров доменов и базеActive Directory предоставляет DsaStat. Он позволяет сравнить содер-жимое разделов Active Directory на двух разных контроллерах или в


днух ГК. Удобно использовать сценарии диагностики, которые будутвызывать данные утилиты в процессе своей работы.

В диагностике репликации надо придерживаться определенной по-следовательности. Во-первых, надо решить, для какого контроллерадомена выполнить диагностику. Я уже говорил, что обычно реплика-ция работает сразу и без проблем. Поэтому в качестве контроллеравыберем тот, где возникли проблемы: сообщения об ошибках в жур-нале регистрации, невозможность регистрации пользователей иличто-то в этом роде.

Второе — выясните партнеров по репликации. По возможности надооценить топологию репликации для разных контекстов имен, нали-чие связи с ними, наличие межсайтовых связей (если партнеры на-ходятся в других сайтах), доступность информации о партнерах в DNS.

Затем надо попытаться выполнить репликацию вручную. Для этогоможно выполнить самый широкий спектр утилит и программ, начи-ная со стандартной оснастки Active Director)' Sites and Services.

Если репликацию выполнить не удается, то переходим к этапу поис-ка и устранения проблем. Понимая, как работает репликация, и знаядоступные инструменты, вы справитесь с этой задачей без особыхусилий. В противном случае поиск проблем может затянуться.

Вот почему после того, как мы подробно рассмотрели механизмырепликации, надо остановиться на инструментах диагностики. Мыобсудим их в связи с поставленными задачами. Для каждого типа за-дач мы рассмотрим применение всех доступных инструментов.

Выяснение списка партнеров по репликации

Для выяснения списка партнерол по репликации для данного контрол-лера домена удобно использовать:

• стандартную оснастку Active Director)7 Sites and Services;

• утилиту repadmin с ключом /showreps;

• графическую программу Replication Monitor.

Active Directory Sites and Services

Оснастка является стандартной, и вы обязаны уметь ее применять.Поэтому я лишь напомню, как с' ее помощью определить партнеровпо репликации данного контроллера. Сразу скажу, что из предлагае-мых инструментов она обладает минимальными возможностями.

Итак, как только вы ее запустите на любом из контроллеров домена,появится такое окно:


, П!Ч

'г

1

*iActive Directory Sites and Service; j

Ustes,f £j Inter-Site TransportsВ I) SiteA

В £Ш ServersФ- § MIDIы 1 ROOTI

5* Щ|£ЁЕЩкШяЙ- | ROOTS

Ш 3 S**6

Ш Ш Subnets

Й J

Jtenw_^ L?r;>rft ? u4L_, J !SE^ 1 JS^ ™L- _й З âutomatic ally general .. MlDi SiteB Comectior

ЭЭ <automati(:allv general,,, ЙООТ2 Site* ConrecCion

^g automatically general,,, МЮ1 5Кей Connection

v

.

___Ц__ Ц;Ш .._____ __.__J Jj

•П kjij '="' ,1s ::'

Окно оснастки Active Directory Sites and Services

Открыв в левой части ветвь, соответствующую выбранному серверу,и щелкнув объект NTDS Settings в правой части, вы увидите переченьсоединений с другими контроллерами. Информация, которой вы приэтом обладаете, — имя сервера-партнера и сайта, в котором он нахо-дится. Информация о реплицируемых контекстах имен доступна толь-ко в окне свойств, а о том, когда была последняя удачная или неудач-ная репликация, — недоступна вообще.

Repadmin /showreps

Гораздо более подробную информацию позволяет получить repadmin.Ниже приведен образец выводимой информации с комментариями,

Начинается вывод с сообщения о контроллере домена, на которомзапущена утилита. Из этой секции видно, к какому сайту принадле-жит контроллер и является ли он сервером ГК. Поля objectGuid иinvocationID — это одноименные атрибуты объекта NTDS Settings дляданного контроллера домена. В нашем примере они равны, хотя этоне всегда так. Для целей диагностики представляет интерес значениеobjectGuid. Именно это значение должно быть представлено в каче-стве записи CNAME в DNS-зоне _тзс1с8.<имя леса>. Любой из партне-ров по репликации будет искать данный контроллер в DNS не поимени, а по значению objectGuid.

Default-Flrst-Site-Name\ROOT1

DSA Options : IS_GCobject-Quid : a4818f4f-bd9a-4dd9-b8f9-f4e26a84eb7ainvocationID: a4818f4f-bd9a-4dd9-b8f9-f4e26a84eb7a

Далее следует перечень партнеров по репликации, информация с ко-торых тиражируется на данный контроллер. Партнеры рассортиро-

216 Active Directory^ подход профессионала

ваны по контекстам имен. В рассматриваемом примере специальнобыли созданы условия для возникновения ошибок, Разбор этих оши-бок проведем чуть ниже, а пока ограничимся только лишь констата-цией факта их наличия.

==== INBOUND NEIGHBORS ======================================

CN=Schema,CN=Configuration,DC=mycorp,DC=ruDefault-Flrst-Site-Nante\MID1 via RFC

obJectGuid: 19c9dbc3-d5d2-47cc-94e3-5135adfc4t>cbLast attempt • 2002-05-07 13:00.52 failed, result 8524:

Can't retrieve message string 8524 (Ox214c), error 1815,Last success 0 2002-05-06 19:52.36.4 consecutive failure(s).

Default-First-Site-Name\ROOT2 via RPCob]ectGuid: a6563eaf-9a97-40a9-9c28-23ba4f348593Last attempt @ 2002-05-07 13:39.47 was successful.

Из предыдущего раздела видно, что для контекста схемы у рассмат-риваемого контроллера домена есть два партнера по репликации:ROOT2 и MIDI, Оба этих партнера принадлежат к тому же сайту, ирепликация выполняется по протоколу IP (RPC через IP). Тиражиро-вание данных с компьютера ROOT2 было успешным, тогда как с ком-пьютера MIDI его уже четырежды постигала неудача, а последняя удач-ная попытка была почти сутки назад. Практически та же ситуация на-блюдается и для контекста конфигурации.

CN=Configuration,DC=mycorp,DC=ruDefault-First-Site-Name\MID1 via RPC

objectGuid: 19c9dbc3-d5d2-47cc-94e3-5135adfc4bcbLast attempt 9 2002-05-07 13:01,13 failed, result 1722:

Can' t retrieve message string 1722 (ОхбЬа), error 1815.Last success @ 2002-05-06 21:48.10.2 consecutive failure(s).

Default-First-Site-Name\ROOT2 via RPC

objectGuid: a6563e8f-9a97-40a9-9c28-23ba4f348593Last attempt @ 2002-05-07 13:39.47 was successful.

Далее идет информация о партнерах по репликации доменного кон-текста mycorp.ru. Для рассматриваемого контроллера есть только одинпартнер по репликации этого контекста — ROOT2, и проблем с тира-жированием не наблюдается,

DC=mycorp,DC=ruDefault-First-Site-Name\ROOT2 via RPC

ObjectGuid: a6563e8f-9a97-40a9-9c28-23ba4f348593Last attempt @ 2002-05-07 13:39.47 was successful.

Так как рассматриваемый сервер является ГК, у него должны бытьустановлены связи репликации с другими ГК или контроллерами дру-


гих доменов. Ниже видно, что для контекста имен msk.mycorp.ru су-ществует один партнер — сервер MIDI, связи с которым уже не былов течение двух последовательных попыток.

DC=msk,DC=mycorp, DC=ru

Default-Flrst-Site-Name\MID1 via RPC

object-Quid: 19c9dbc3-d5d2-47cc-94e3-5135adfc4bcb

Last attempt о 2002-05-07 13:02.16 failed, result 1722:

Can't retrieve message string 1722 (ОхбЬа), error 1815.

Last success @ 2002-05-06 21:47.40.

2 consecutive fallure(s).

Следующий блок информации — сообщение о партнерах по репли-кации, которым будут рассылаться оповещения в случае измененийна контроллере ROOT1.

==== OUTBOUND NEIGHBORS РОЙ CHANGE NOTIFICATIONS ============

Все партнеры тут тоже разбиты по контекстам имен. Для контекстовсхемы и конфигурации существуют те же два партнера: ROOT2 и MIDI.Только теперь в отличие от предыдущего случая нам неизвестно, по-лучили ли партнеры уведомления об изменениях и забрали ли ониновую информацию. Для этого нужно запустить repadmin на этихкомпьютерах либо указать в командной строке их имена.

CN=Schema,CN=Configuration, DC=tnycorp, DC=ruDefault-First-Site-Name\HID1 via RPC

ObjectGuid: 19c9dbc3-d5d2-47cc-94e3-5135adfc4bcbDefault-First-Site-Name\ROOT2 via RPC

objectGuid: a6563e8f-9a97-40a9-9c28-23ba4f348593CN=Configuration,DC=mycorp,DC=ru

Default-Flrat-Site-Name\HID1 via RPCobjectGuid: 19c9dbc3-d5d2-47cc-94e3-5135adfc4bcb

Default-First-Site-Name\ROOT2 via RPCobjectGuid: a6563e8f-9a97-40a9-9c28-23ba4f348593

Партнер по репликации контекста mycorp.ru тоже только один. А вотоповещаемых партнеров по репликации контекста msk.mycorp.ru нет.И это правильно, так как данный контроллер домена не входит в до-мен msk.mycorp.ru, а является всего лишь сервером ГК. Значит, он неможет быть инициатором изменений в данном контексте имен и неможет оповещать партнеров.

DC=mycorp,DC=ruDefault-First-Site-Name\ROOT2 via RPC

objectGuid: a6563e8f-9a97-40a9-9c28-23ba4f348593

Анализ данной информации позволяет построить топологию репли-кации для данного примера. Она изображена на рисунке ниже. По-нятно, что это не полная топология, а только та ее часть, которая


«видна* с одного отдельно взятого сервера на основании приведен-ной информации. Для построения полной топологии нужно запуститьутилиту repadmin на каждом контроллере домена.

Топология репликации, построенная на основании результатов,предоставленных repadmin /sbowreps

Замечание Узнать о соединениях между контроллерами, использу-емых для репликации, позволяет команда repadmin /showconn.

Replication Monitor

Второй инструмент обладает графическим интерфейсом и не мень-шими возможностями, чем описанный выше. Тому, кто предпочитаетработать с графическими программами, лучше всего использоватьReplication Monitor. К нему можно быстро привыкнуть и обнаружитьтакие функции, каких нет Б repadmin.

Чтобы увидеть партнеров по репликации у выбранного сервера,-надодобавить этот сервер в меню File. Сразу после этого на экране появит-ся изображение вроде показанного ниже.

Достоинство этой программы не только в том, что вы сразу же види-те всех партнеров по репликации, рассортированных по контекстамимен и с сообщениями об успешности репликации, но и в том, чтопоявляется возможность просмотра журнала, в котором собираетсяинформация о корректности тиражирования данных с заданнымивами интервалами времени.


Slalusasol БЙЗШЕ (HE 57

SBVH has snen Л charges for rhis direc Ihrougl- USN 6595

> Direct Replication Pane Сам а

sUSN Б555

•MS successful Т 1и look place at 6/29/2002 Г>36 2Э

of. 6/2Э/20С12 0:38 52

has seen at changes lor itiis director partition through USN GSD?

Direct RepktMion PelnM Dgla «

SBVH is cuienl Ihrough PropHto Update USN: 65Э5

Iba Ы iBOTcdion «mft was tuccesslul.

has seen al changes a this irectoiy paation <Ьа.ф Ш1. 6G07

of.6/30/3DCG10:0519

Direct Reptcabcm Fartnei Data <-

Server is current through Properly Updale USN 6595

Reolication Fertufe dianaes have nol been sucoeiifully replta!ed lioro R0072 lo

RsWcaliD" Failure The peasw is The FtPC serve fe unavaiatHe

Replication Failu с Т he lasi Tepfcaijon atteiroi ifiis 6/30/J002 9 4 ?« AM IbcaT

: . . • : ; .:- : «ЦУ'Ь, '?' ''! •''?-'$ »

Главное окно программы Replication Monitor

Вы можете использовать предоставленную информацию и построитьрепликацию аналогично тому, как это было сделано в случае с rep-admin. Можно поступить и проще. В контекстном меню рассматрива-емой программы есть команда показа топологии репликации. К со-жалению, ее работа не вполне очевидна. Чтобы отобразить тополо-гию, сделайте так.

• Щелкните правой кнопкой в левой части окна имя сервера и вы-берите в контекстном меню команду Show replication topologies.

• В появившемся окне View Replication Topology отобразятся всеконтроллеры доменов в сайте. Связей между ними не будет.

• Выберите в меню View команду Connection Objects only. На экра-не ничего не изменится.

• Щелкните правой кнопкой изображение выбранного сервера и вконтекстном меню выберите команду Show Intra-site connections.Будут показаны связи данного сервера с партнерами по реплика-ции. Эти связи направлены к выбранному серверу, т. е. по нимтиражируются изменения с других контроллеров.

Выполняя последнюю операцию для каждого из изображенных сер-веров, можно построить полную топологию. К сожалению, на рисун-ке не видно, какие именно контексты имен используют каждое изсоединений. Однако в сложных системах данная функция позволяетбыстро оценить топологию и вычислить компьютеры, для которыхрепликация не выполняется.


Построение топологии репликации в программе Replication Monitor

Контроль состояния партнеров по репликации

Обнаружить проблемный контроллер домена — только половина деля.Главное — выяснить корни проблемы. Обычно для этого надо иссле-довать состояние локальных баз Active Directory на каждом из парт-неров по репликации и найти различия, которые могли вызвать про-блему.

DsaStat

Утилита DsaStat позволяет выявить различия в контекстах имен, хра-нящихся на разных контроллерах доменов. Например, после интен-сивных операций добавления пользователей и компьютеров в доменможно сравнить содержимое контекста имен на всех контроллерахдомена. Вот пример сравнения для двух контроллеров ROOT1 (гдевыполнялось добавление) и конт роллере ROOT2. Команда выглядит так:

dsastat -s: rootl; root2 -b:dc=rnycorp,dc=ru -gcattrs:objectclass -p:16 -filter:(objectclass=user)

Я не раскрываю всех ключей команды (они подробно описаны в спра-вочном файле программы dsastat). но хочу обратить ваше вниманиена ключ -s. Он задает количество контроллеров, на которых будетвыполняться сравнение, а также номера портов, по которым будетпосылаться LDAP-запрос. Если бы надо было сравнить содержимоебазы на контроллере с содержимым ГК, то за именем сервера ГК сле-довало бы поставить номер порта 32б8.


Вот результат работы программы:

Stat-Only mode,

llnsorted mode.

Opening connections...rootl..,success.

Сначала выводится сообщение о поочередном подключении к кон-троллерам доменов и выполнении указанного запроса:

Connecting to rootl...reading,..**> ntHixedDomain = 0reading...+*> Options = 1

Setting server as [rootl] as server to read Config Info...root2...success.

Connecting to root2.,.reading...**> ntHixedDomain = 0

reading...LocalException <0>; Cannot get Options <2>.Generation Domain List on server rootl...> Searching server for GC attributes OID listRetrieving statistics...Paged result search...Paged result search.,....(Terminated query to rootl, <No result present in message>)...(Terminated query to root2. <No result present in message>)

По окончании запроса и форматирования результаты выдаются наэкран (или в файл).

-=»!*** DSA Diagnostics ***|«=-Objects per server;Obj/Svr rootl root2 Totalcomputer 2 2 4user 7 6 13

9 8 17FAIL Server total object count mismatch

Как видно из приведенной таблицы, число объектов типа user на двухконтроллерах домена различно. Это явно говорит о том, что репли-кация не была выполнена или не завершилась. Точнее можно сказать,проанализировав начальные условия. Скажем, если вы добавляли 500пользователей и компьютеров, а программа показывает, что разница

222 Active Directory: подход^профессионала

между контроллерами составляет 1-2 объекта, то скорее всего реп-ликация не завершилась и надо подождать окончания следующегоцикла. Если разница составляет именно то число объектов, которыевы добавили, то репликация еще и не начиналась, Это может свиде-тельствовать о том, что:

• внутри сайта не завершился цикл репликации — надо подождать15-20 минут;

• между сайтами не выполнялась репликация, так как окно репли-кации еще не открывалось согласно расписанию; надо подождать,пока откроется окно репликации, выполнится межсайтовая реп-ликация и потом повторно запустить dsastat;

• имеются проблемы с репликацией.

Далее следует статистическая информация, не играющая принципи-альной роли при диагностике репликации.

Bytes per object:

computer 164user 429

Bytes per server:

rootl 313root2 280

Checking for missing replies,..No missing replies! INFO: Server sizes are not equal (min=313,max=280).

Заключительная фраза выглядит, как приговор. Здесь подводится ито-говое число рассогласований в базах.

*** Different Directory Information Trees. 1 errors (see above). ***FAIL -=» FAIL «=-closing connections...

rootl; root2;

DcdiagЭта утилита также имеет интерфейс командной строки и в планедиагностики репликации ее возможности сходны с возможностямиутилиты repadmin. Правда, она позволяет выполнять диагностику сразувсех контроллеров домена, проверять межсайтовую репликацию и


дает более подробную информацию. Рассмотрим три контроллерадомена из нашего примера. Команда выполняет лишь один из тестов,позволяющий понять причину неудачной репликации.

dcdiag /test:replications /a

Результат работы с комментариями таков:

DC Diagnosis

performing initial setup:Done gathering initial info.

Doing initial non sklppeable testsTesting server: Default-First-Site-Name\ROOT1

Starting test: ConnectivityROOT1 passed test Connectivity

Первым выполнялся тест на подключение. Суть теста в том, что сна-чала имя компьютера разрешается в адрес IP, а потом выполняется pingпо указанному адресу. Контроллер ROOT1 выдержал его, а вот MIDI,как это видно из следующего фрагмента, нет, что позволяет предпо-ложить недоступность этого компьютера в сети. Возможно, он про-сто выключен.

Testing server; Default-First-Site-Name\MID1Starting test: Connectivity

Server MIDI resolved to this IP address 10.1.2.2,but the address couldn't be reached(pinged), so check the network.The error returned was: Win32 Error 11010This error more often means that the targeted server isshutdown or disconnected from the network

HID1 failed test ConnectivityКонтроллер ROOT2 также прошел тест на подключение.

Testing server: Default-First-Slte-Name\ROOT2Starting test: Connectivity

ROOT2 passed test Connectivity

Далее запускается основной тест, указанный в командной строке. Про-веряется репликация всех возможных контекстов с сервера MIDI,

Doing primary testsTesting server: Default-First-Site-Name\ROOT1

Starting test; Replications[Replications Check,ROOT1] A recent replication attempt failed:

From MIDI to ROOT1Naming Context: CN=Schema,CN=Configuration,DC=mycorp,DC=ru

The replication generated an error (1722):

Win32 Error 1722The failure occurred at 2002-05-07 19:10.02.

The last success occurred at 2002-05-06 19:52.36.


11 failures have occurred since the last success.

The source remains down. Please check the machine.

[Replications Check,ROOT1] A recent replication attempt failed:

From MIDI to ROOT1

Naming Context: CN=Configuration, DC=roycorp,DC=ru


Win32 Error 1722

The failure occurrad at 2002-05-07 19:10.44.

The last success occurred at 2002-05-06 21:48,10.9 failures have occurred since the last success,The source remains down. Please check the machine.

[Replications Check,ROOT1] A recent replication attempt failed:From MIDI to ROOT1Naming Context: DC"msk,DC=mycorp,DC=ruThe replication generated an error (1722):Win32 Error 1722The failure occurred at 2002-05-07 19:11.26.The last success occurred at 2002-05-06 21:47.40.9 failures have occurred since the last success.The source remains down, Please check the machine.

ROOT1 passed test Replications

Как и следовало ожидать, все тесты завершились неудачно. Более того,программа констатирует, что источник по-прежнему недоступен инадо проверить указанный компьютер.

Следующим в списке проверяемых идет сервер MIDI, Но он не можетбыть проверен, так как не отвечает на запросы. Поэтому соответству-ющий тест пропускается:

Testing server: Default-First-Site-Name\MID1

Skipping all tests, because server MIDI isnot responding to directory service requests

Аналогичные проблемы наблюдаются и при тиражировании измене-ний с сервера MIDI на ROOT2 Но на этот раз рассматриваются толь-ко два контекста имен — схемы и конфигурации, так как эти контрол-леры принадлежат разным доменам и ни один не является сервером ГК.

Testing server: Default-First-Site-Name\ROOT2Starting test: Replications

[Replications Check,RQOT2] A recent replication attempt failed:From MIDI to ROOT2

Naming Context: CN=Echeffla,CN=Configuration,DC=mycorp,DC=ruThe replication generated an error (1722):Win32 Error 1722The failure occurred at 2002-05-07 18:50.46.


The last success occurred at 2002-05-06 19:53.29,

10 failures have occurred since the last success,


[Replications Check,ROOT2] A recent replication attempt failed:

From MIDI to ROOT2

Naming Context: CN=Configuration,DC=mycorp,DC=ru


Win32 Error 1722

The failure occurred at 2002-05-07 18:50.25,

The last success occurred at 2002-05-06 21:48.38.

8 failures have occurred since the last success.


HOOT2 passed test Replications

Running enterprise tests on : mycorp.ru

Repadmin

Вернемся к утилите repadmin. Ее возможности диагностики не огра-ничиваются описанными выше. Допустим, мы выяснили, что репли-кация не завершилась. Как узнать, что именно осталось незавершен-ным? Нам поможет команда repadmin с аргументом getchanges:

repadmin /getchanges dc=tnycorp,dc=ru root2.mycorp.ru a4818f4f-bd9a-4dd9-b8f9-f4e26a84eb7a

Она позволяет узнать, какие изменения в контексте имен mycorp.ruдолжны быть переданы на контроллер root2 с контроллера, чей но-мер GUID указан в конце командной строки.

Сначала проверяется текущий статус указанного партнера по репли-кации. Обратите внимание на номера USN (для наглядности они вы-делены):

Building starting position from destination server root2.mycorp.ru

Source Neighbor:

dc=mycorp,dc=ru

Default-First-Site-Name\ROOT1 via RPC

objectGuid: a4818f4f-bd9a-4dd9-b8f9-f4e26a84eb7a

Address: a4818f4f-bd9a-4dd9-b8f9-f4e26a84eb7a._msdcs.mycorp.ru

ntdsDsa invocationld: a48l8f4f-bd9a-4dd9-b8f9-f4e26a84eb7a

WRITEABLE SYNC_ON_STARTUP DO_SCHEDULED_SYNCS

USNs:' 4798/OU, 4798/PU

Last attempt a 2002-05-07 20:05.51 was successful.


Далее выясняется вектор обновленное™ для двух партнеров:

Destination's Up To Dateness Vector:2ff7fbaa-6607-472c-b3a5-CCf8445de5bf 9 USN 4973

a4818f4f-bd9a--4dd9-b8f9-f4e26a84eb7a @ USN 4847

Наконец, сообщается о тон, что надо передать изменение фамилии

(атрибута sn) для объекта CN=u2,OU=test,DC=mycorp,DC=ru:

== SOURCE DSA: a4818f4f-bd9a-4dd9-b8f9-f4e26a84eb7a._msdcs.mycorp.ru ==

Objects returned: 1(0) modify CN=4j2,OU=test,DC=mycorp,DC=ru

1> objectGUID: db92fe3;J-d14a-49b9-98ae-ec905ec39bf11> sn: Petrov

1> instanceType: 4

По завершении репликации можно повторно выполнить указаннуювыше команду. Результат показан ниже. Снова взгляните на номераUSN. Как и следовало ожидать, они увеличились:

Source Neighbor:

dc=mycorp,dc=ruDefault-First-Site-Name\ROOT1 via RPC

objectGuid: a4818f4f-bd9a-4dd9-b8f9-f4e26a84eb7aAddress: a4818f4f-bd9a--4dd9-b8f9-f4e26a84eb7a._msdcs.mycorp.runtdsDsa iwocationld: Ei4818f4f-bd9a-4dd9-b8f9-f4e26a84eb7aWRITEA8LE SYNC_ON_STARTUP DO_SCHEDULED_SYNCS

USNs: 4850/OU, 4850/PULast attempt @ 2002-05-07 20:12.37 was successful.

Destination's Up To Dateness Vector:

2ff7fbaa-6607-472c-b3a5-ccf8445de5bf 0 USN 4989

a4818f4f-bd9a-4dd9-b8f9-f4e26a64eb7a 9 USN 4860

== SOURCE DSA: a4818f4f-bd9a-4dd9-b8f9-f4e26a84eb7a.jnsdcs.mycorp.ru ==

No changes.

На этот раз никакие изменения не ожидают очереди на тиражирова-ние. Но вернемся к номерам 1JSN. Выполните команду:

repadmin /showmeta CN=u2,OU=test,DC=mycorp,DC=ru

т. е. посмотрите метаданные для того объекта, который был реплици-рован на контроллер root2. В частности, интерес представляет USNатрибута sn. Он равен 4Й50, т. с. как раз тому значению, что указано вкачестве максимального USN для контроллера домена.

Репликация Active Directory . 227

Loc.USN Originating DSA Org.USN Org.Time/Date Ver Attribute

4678 Default-First-Site-Name\ROQT1 4678 2002-05-07 18:03.21

1 objectClass

4678 Default-First-$ite-Name\RQQT1 4678 2002-05-07 18:03.21

1 en4850 Default-FirST-Site-Narne\ROQT1 4850 2002-05-07 20:09.15

4 sn

4679 Default-First-Site-Name\ROQT1 4679 2002-05-07 18:03.22

1 description

4678 Default-Fir5t-Site-Name\ROOT1 4678 2002-05-07 18:03.21

1 givenName

4678 Default-First-Site-Name\ROOT1 4678 2002-05-07 18:03.21

1 instanceType4678 Default-First-Site-Name\ROOT1 4678 2002-05-07 18:03.21

1 whenCreated

4679 Default-First-Site-Name\ROOT1 4679 2002-05-07 18:03.22

1 displayName

Общая информация о параметрах репликации

Если нужно получить всеобъемлющую информацию о состояниирепликации, объектах связи, форпостах, номерах USN и т. п., лучшегоинструмента, чем Replication Monitor, не найти. Для этого надо исполь-зовать его способность создавать отчеты. При этом можете указать.какие сведения вы хотели бы в нем видеть.

В полном объеме размер отчета велик, и я не буду его приводить здесь.Однако ряд элементов отчета может вызвать интерес при анализе.

Первое, что бросается в глаза, — хорошая структурированностьотчета,

Active Directory Replication MonitorPrinted on 07.05.2002 20:45:06This report was generated on data from the server: ROOT1

Приводимый образец был создан на сервере ROOT1, у которого двапартнера по репликации. Вначале приводятся сведения о самом сер-вере. Помните, мы получили их с помощью repadmin? Но если рань-ше эту информацию приходилось извлекать, анализируя сообщенияпрограммы, то теперь она предоставлена на блюдечке.

ROOT1 Data

This server currently has writable copies of the following directory

228 Aclive Directory: подход профессионала

partitions:

CN=Schema,CN=ConfIguration,DC=mycorp, DC=ruCN=Configuration,DC=mycorp,DC=ruDC=mycorp,DC=ru

Как видите, перечислены вес контексты имен, содержащиеся на дан-ном контроллере. Также указано, что этот сервер является ГК, и пере-числены дополнительные контексты имен.

Because this server is a Global Catalog (GC) server, it also has copiesof the following directory partitions:

DC=msk,DC=mycorp,DC=ru

Следующий шаг — перечисление объектов связи с партнерами порепликации. Дополнительно к информации, которую позволяет по-лучить repadmin. приводятся сведения о том, кто и зачем создал этиобъекты. Это удобно при отслеживании репликации. Вот информа-ция только для одного из объектов связи:

Current NTDS Connection Objects

Default-F:irst-Site-Name\MID1Connection Name : 828a2adb-a24b-45dB-bfOc-b65aa4cbfb95Administrator Generated?; AUTO

Ffcepiiil Option*

p1 'Ewefideil Siie Catilguiatjcfl

I? Cem(«ti*tiM!eew*S*(a-,,

iv Sit* L**. ard Site U4; Виде Cpr

p1 «ifef-Sfle iVa-spoiiConfiguration-

F Subrtata

f7 Active Oi-ectarji Я« ю|ййп Рш

Выбор информации, включаемой в отчет

Репликацив Active Directory 229

Обратите внимание на название связи: это номер GUID. В окне осна-стки Active Directory Sites and Services имя этого объекта будет обо-значено Automatically generatedX Стоит только внести изменения всвойства объекта, как его имя изменится на указанный номер GUID.Об этом свидетельствует фраза AUTO в поле Automatically generated.Если бы использовался объект связи, созданный администратором,данная запись выглядела бы так:

Default-First-Site-Name\MID1Connection Name : From MIDI

Administrator Generated?: YES

т. е. имя связи показано в том виде, как его создал администратор.

Далее приведены причины, по которым была создана данная связь.Обратите внимание на новый термин — Ring neighbor. Дословно егоможно перевести как «сосед по звонку». На практике это относится ксвязям, создаваемым для оповещения ближайших партнеров по реп-ликации:

Reasons for this connection:Directory Partition (DC=msk,DC=mycorp,DC=ru)Replicated because the replication partner is a ring neighbor,

Directory Partition (CN=Schema,CN=Configuration,DC=mycorp,DC=ru)Replicated because the replication partner is a ring neighbor.

Directory Partition (CN=Configuration,DC=mycorp,DC=ru)Replicated because the replication partner is a ring neighbor.

В противоположность такой причине может быть указано «surpassedthe allowed failure limit». Это значит, что между контроллером и егопартнерами неоднократно наблюдались проблемы с репликацией.Дабы их искоренить, были созданы новые связи. Как правило, онисоздаются КСС. Если в сети есть альтернативные маршруты междууказанными серверами, будут использованы они.

Directory Partition (CN=Schema,CN=Configuration,DC=mycorp,DC=ru)This replication connection is created because anotherreplication partner has surpassed tne allowed failure limit.

Замечание Сообщение о данном событии появляется Е журналерегистрации событий Active Directory под номером 1308 от имениКСС. Описание этого события выглядит примерно таю «The Directory-Service consistency checker has noticed that 2 successive replicationattempts with CN=NTDS Settings,CN=ROOT2,CN=Servers,CN=Defaiilt-First-Site-Name,CN=Sites,CN=Configuration,DC=mycorp,DC=ruhave failedover a period of 787 minutes. The connection object for this server will


be kept in place, and new temporary connections will established to ensurethat replication continues. The Directory Service will continue to retryreplication with CN=NTDS Settings,CN=ROOT2,CN=Servers,CN=Default-First-Site-Name,CN=Sites.CN=Configuration,DC=mycorp.DC=ru; once suc-cessful the temporary connection will be removed*.

Далее следует описание состояния всех партнеров по репликации длякаждого из контекста имен. Эта информация во многом повторяет ту,что позволяет получить repadmin /showreps, но содержит и дополни-тельные сведения. Например, если проблем с репликацией нет, тоинформация записывается таю

Current Direct Replication Partner Status

Directory Partition: CN=Scheroa,CN=Configuration,DC=mycorp,DC=ru

Partner Name: Default-First-Site-Name\ROOT2Partner QUID: 2FF7FBAA-6607-472C-B3A5-CCF8445DE5BF

Last Attempted Replication: 5/7/2002 7:59:14 PH (local)Last Successful Replication: 5/7/2002 7:59:14 PH (local)Number of Failures: 0Failure Reason Error Code: 0Failure Description: The operation completed successfully.Synchronization Flags: DRS_WRIT_REP,DRS_INIT_SYNC,DRSJ>ER_SYNC

USN of Last Property Updated: 4928

USN of Last Object Updated; 4928

Transport: Intre-Slte RPC

А если были проблемы, узнать их источник совсем легко:

Directory Partit ion: CN=Schema,CN=Conf igura t ion,DC=mycorp,DC=ru

Partner Name: Default-First-Site-Name\MIDi

Partner QUID: 531BD902-1AEF-4F29-A8DC-D27AOCFC30Q3

Last Attempted Replication: 5/8/2002 9:52:06 AM (local)

Last Successful Replication: 5/7/2002 7:59:14 PH (local)

Number of Failures: 2

Failure Reason Error Code: 1722

Failure Description: T.he RPC server'is unavailable.Synchronization Flags: DRS_WRrr_REP,DRS_INIT_SYNC,DRS_PER_SYNC

USN of Last Property Updated: 6117

USN of Last Object Updated: 6117

Transport: Intra-Site RPC

Обратите внимание на выделенные строки. Видно, что было 2 ошиб-ки репликации, вызванные недоступностью сервера RPC. О том, как

Репликация Active Directory ______^___ 231

бороться с такой ошибкой и ее вероятных причинах, я расскажу вконце главы.

Следующая часть отчета содержит информацию о партнерах, уведом-ляемых об изменениях.

Внимание Данная часть отчета может обескуражить,

В том, что показано ниже, ничего необычного. Приведены имя парт-нера по репликации, номер его GUID, дата создания, транспорт реп-ликации... Все хорошо и не вызывает подозрений. К сожалению, та-кая запись — скорее исключение, чем правило:

Change Notifications for this Directory Partition

Server Name: Default-First-Site-Name\ROOT2

Object GUID: A6563E8F-9A97-40A9-9C28-23BA4F348593Time Added: 23.03.2002 13:14:31Flags: DRS_WRIT_REPTransport: RPC

Чаще всего картина несколько иная:

Server Name: Site-1\VM20002Object GUID: 5E29E488-863B-46B1-B7EB-6C54A63D6A44Time Added: 23.06,2016 14:27:53

Flags: DRSJIRIT_REPTransport: RPC

Для наглядности я выделил дату создания. Она больше реальной при-мерно на 15 лет. Мне не удалось заметить какой-либо точной зависи-мости между этим превышением и реальной датой создания. Иногдаразница чуть меньше 15 лет, иногда — чуть больше. Все мои попыткиотыскать причину закончились неудачей. Могу только с определен-ностью сказать, что на работу репликации это не влияет.

Далее в отчете приводятся сведения, влияющие на работу репликациии КСС. С параметрами, ответственными за это, мы познакомилисьвыше. Если значение какого-либо параметра не указано, используют-ся умолчания:

Performance Statistics at Time of Report

REPLICATION

Replicator notify pause after modify (sees): 300

Replicator notify pause between OSAs (sees): 30


Replicator intra site packet size (objects):

Replicator intra site packet size (bytes):Replicator inter site packet size (objects):

Replicator inter site packet size (bytes):Replicator maximum concurrent read threads:Replicator operation backlog limit:

Replicator thread op priority threshold:Replicator intra site RPC handle lifetime (sees):

Replicator inter site RPC handle lifetime (sees):Replicator RPC handle expiry check interval (sees):

KCC

Repl topology update delay (sees):Repl topology update period (sees):KCC site generator fail-over (minutes):KCC site generator renewal interval (minutes):KCC site generator renewal interval (minutes):CriticalLinkFailuresAllowed:MaxFailureTimeForCrtticalLink (sec):NofiCriticalLinkFailuresAllowed:MaxFailureTimeForNonCriticalLink (sec):IntersiteFailuresAllowed:MaxFailureTimeForlntersiteLink (sec):KCC connection failures:IntersiteFailuresAllowed:IntersiteFailuresAllowed:

Как видите, предоставляемый отчет позволяет разом получить исчер-пывающую информацию о работе репликации Active Directory и еепараметрах. К недостаткам стоит отнести значительный объем отче-та при большом числе контроллеров. При этом приходится долгопродираться сквозь дебри избыточной информации, чтобы докопать-ся до нужной.

Поиск и устранение проблем репликацииСообщения об ошибках репликации можно получать по-разному. Нознать об ошибке еще не значит устранить ее причины. Ниже приво-дятся наиболее характерные ошибки репликации и способы их уст-ранения. В любом случае виноваты вы, т. е. администратор. Это могутбыть и «крирые руки», и невнимательность, и непонимание механиз-мов репликации. Надеюсь, данная глава устраняет последнюю причи-ну. Ну, а с остальными — читайте дальше и боритесь самостоятельно.


Запрет доступа (Access Denied)

Сообщение о запрете доступа при выполнении репликации можетпоявиться в двух случаях:

• когда вы выполняете принудительную репликацию, находясь, на-пример, в оснастке Active Directory Sites and Services;

• когда выполняется обычный цикл репликации.

В первом случае выводится сообщение «The following error occurredduring the attempt to synchronize the domain controllers: Replicationaccess was denied*. Это, пожалуй, самое безобидное сообщение, при-чина которого в несоответствии полномочий учетной записи, подкоторой вы зарегистрированы в системе. Например, вы зарегистри-рованы как обычный пользователь домена. Репликацию нельзя ини-циировать от имени такой учетной записи. Другой пример — вы ад-министратор дочернего домена и пытаетесь инициировать реплика-цию с партнером в родительском домене. Если вы не член группыEnterprise Admins, такая попытка также будет отвергнута. Дабы убедить-ся в том, что причин для беспокойства нет, запустите оснастку ActiveDirectory Sites and Services от имени той учетной записи, котораяможет инициировать репликацию (например, включенной к группуEnterprise Admins для междоменной репликации). Если теперь репли-кация выполняется успешно, покорите себя за забывчивость и поста-райтесь так больше не ошибаться.

Все гораздо серьезнее, если в журнале регистрации появилось сооб-щение 1265: «The attempt to establish a replication link with parameters.... failed with the following status: Access is denied*. При этом в резуль-тате выполнения repadmin /showreps информация не выводится.

Не менее серьезна ситуация, когда в журнале регистрации не появля-ется настораживающих записей, а вот выполнение команды repadmin/showreps выводит сообщение для одного или нескольких контекстовимен о том, что последняя попытка выполнить репликацию быланеудачной, с ошибкой «Access denied error*

Вероятная причина

Самое вероятное — рассинхронизировались контроллеры. Это случа-ется, если контроллер домена был отключен от сети долгое время, чтоприводит к тому, что пароль учетной записи компьютера отличаетсяот того, что хранится в Active Directory.

Замечание Еще одной причиной может быть отсутствие права до-ступа к контроллерам доменов по сети. Это особенно актуально приобновлении контроллера Windows NT до Windows 2000.

234 __ Active Directory: подход профессионала

Решение

Есть два способа решения данной проблемы.

1. Остановите службу КОС (Key Distribution Center), удалите все би-леты Kerberos, сбросьте пароль учетной записи компьютера, син-хронизируйте доменный контекст имен и все остальные контек-сты имен. Используйте этот способ в первую очередь.

Рассмотрим данные процедуры подробнее.

а) На локальном контроллере домена выполняется команда:

net stop kdc

Если служба не останавливается, то в ее свойствах указываетсязапрет запуска (disabled), и контроллер перегружается.

б) Если служба kdc была остановлена, запустите утилиту klist сключом /purge (утилита входит в Windows 2000 Resource Kit).

в) Выполните команду:

netdom resetpwd /веп/ег:<имитатор PDO/userd:<flOMeH>\administrator /passworbd:*

В результате пароль учетной записи компьютера будет сброшен.Если же появится сообщение о невозможности сброса пароля,проверьте, находится ли данный компьютер в подразделенииDomain Controllers.

г) Убедитесь, что рассматриваемый контроллер домена являетсянепосредственным партнером по репликации для имитатораPDC в домене. Если это не так, создайте репликационное со-единение между ними. Для этого выполните команду:

repadmln /add <доменный контекстХполное имя контроллерахполноеимя имитатора POO /u:<.flOMeH>\administrator /pw:*

и пропустите пункт д.

д) Выполните команду:

repadmln /sync <доменнь'й контекстхимя контроллера доменахсиюимитатора PDO

е) Проверьте, что репликация работает, выполнив команду:

repadmln /showreps

Если в результате не будет партнеров по репликации, выполните:

repadmln /kcc

ж) Синхронизируйте все оставшиеся контексты аналогично тому,как это сделано в пункте д. Вместо GUID имитатора PDC ука-жите GUID обычных партнеров по репликации.


з) Запустите kde

net start kdc

2. Если repadmin /kcc или repadmin /sync выводят новое сообщениеоб ошибке 1265 с причиной отказа в доступе, нужно создать вре-менную связь между локальным контроллером домена и его парт-нером по репликации контекстов имен.

а) Для контекста имен конфигурации выполните команду:

repadmin /add <контвкст конфигурацииХполное имяконтроллерахполное имя партнера по репликацию/u:<flOMeH>\administrator /pw:«

б) Повторите предыдущую команду для контекста схемы.

в) Повторите предыдущую команду для контекста доменных имен.

В результате работа репликации должна нормализоваться.

Замечание Эти команды инициируют репликацию, и в крупнойсети они могут выполняться довольно долго.

Чтобы убедиться в том, что все работает нормально, выполните repad-min /showreps.

Неизвестная служба аутентификации(Authentication service is Unknown)

Данная ошибка может возникнуть в одном из двух случаев.

• Контроллер домена не может установить связь репликации. Приэтом в журнале регистрации событий появляется сообщение от«NTDS КСО Event ID 1265 «Intersite Transport (if any) ... failed wichthe following status: The authentication service is unknown».

+ Связь существует, но выполнить репликацию не удается. При этомв журнал регистрации ничего не заносится, но команда repadmin/showreps сообщает, что «Last attempt at <дата-время> failed withthe error Authentication service is unknown».

Способ разрешения этой проблемы схож с описанным выше.

Контроллер домена не может установить связь репликацииДля устранения проблемы придерживайтесь следующего алгоритма.

а) Остановите службу KDC и удалите все билеты Kerheros.

б) На контроллере домена запустите repadmin /kcc. При этом кон-троллер сняжется со своими партнерами и аутентифицирует себяс целью создания связей репликации,

в) Проверьте в журнале регистрации появление события 1264 о со-здании связей. Если такое сообщение есть, репликация начнет


работать при наступлении следующего цикла. Если нет, вы увиди-те сообщение об ошибке (Event ID 1265) с описанием причины.

г) Если все работает нормально, запустите службу kdc.

Связь репликации существует

Сделайте так.

а) Остановите службу KDC и удалите все билеты Kerberos.

б) Синхронизируйте контекст схемы (схема выбрана из тех сообра-жений, что ее контекст самый маленький). Для этого выполните:

repadmin /sync cn=schema,cn=configuration,<имя леса> <имяконтроллера домена> <GUID партнера по репл/кации>

в) Если предыдущий шаг не вызвал ошибок, синхронизируйте осталь-ные контексты имен.

г) Если появились ошибки репликации, выясните их причину и най-дите соответствующее описание в этом разделе.

д) Если ошибок нет, запустите службу kdc.

Неверное имя учетной записи цели(Target account name is incorrect)Такая ошибка возможна при попытке установить связь между контрол-лерами разных доменов или выполнении репликации. Например, припопытке выполнить репликацию из окна оснастки Active Directory Sitesand Services или в окне Replication monitor появляется сообщение«Logon Failure: The target account name is incorrect». Также можно об-наружить в журнале регистрации сообщение от «NTDS Replication»,Event ID 1645:

The Directory Service received a failure while trying to perform anauthenticated RPC call to another Domain Controller. The failure isthat the desired Service Principal Name (SPN) is not registered on thetarget server. The server being contacted is afb720fd-38c7-4505-aa9f-b658ca124773._.msdcs.mycorp, ru. The SPN being used is

E3514235-4B06-11D1-AB04-OOC04FC2DCD2/afb720fd-38c7-4505-aa9f-b658ca124773/mycorp.ruiwycorp.ru.

Please verify that the names of the target server and domain arecorrect.

Please also verify that the SPN is registered on the computer accountobject for the target server on the KDC servicing the request. If thetarget server has been recently promoted, it will be necessary forknowledge of this computer's identity to replicate to the KDC beforethis computer can be authenticated.


Еще одним свидетельством этой ошибки может стать сообщение вжурнале регистрации от «NTDS КСО, Event 1265:

The attempt to establish a replication link with parametersPartition:

CN=Configuration,DC=MyDomain,DC=net Source DSA DN: CN=NTDS

Settings,CN=HyServer,CN=Servers,CN=Default-First-Site-Name, CN=Sites,CN=Configuration,DC=MyDomain,DC=com

Source DSA Address: 5e5abf03-e902-48e2-a326-41977dee176d. jnsdcs.mycorp.ru

Inter-site Transport (if any): failed with the following status:Logon

Failure; The target account name is incorrect. The record data is the

status code. This operation will be retried.

Причин возникновения этой ошибки две:

+ требуемый набор главных имен службы (Services Principle Name —SPN) не совпадает на обоих контроллерах;

• на контроллерах разных доменов отсутствует объект crustedDo-main (TDO), который должен находиться в контейнере System.

Отсутствие объекта trustedDomain

Чтобы понять, имеется ли TDO в контейнере System, откройте его воснастке Active Directory Users and Computers и найдите в контейне-ре объект с именем того домена, в котором находится партнер по реп-ликации, например msk.mycorp.ru. Тип объекта будет указан как «Trus-ted Domain».

5* Acl-ive Directory Users and Computers

Âctive Directory Users and Computers

Й1 mycorp.ruSI- _2J Builhn:+1 UJ CompeersЩ Й Domain Controllers

•• Vj LostundFound

v*i - Testri; IE) Users

d

L H3 D Fi-Canf IguraHon

^Rle Replication Service(VjfileLinks

UJlPSecLnty

03 Meetings

dfs Configuration

FR5 Settings

flelinkTr ckirigContainer

^J Policies Containerand IA5 Servers Access Chech Contariet

RFC 5ervkei

•its Container

Здесь должен находиться объект TDO


Если этот объект есть, переходите к следующему разделу, если нет -его надо создать.

а) В том домене, где находится проблемный контроллер, откройтеоснастку Active Directors- Domains and Trusts, подключитесь к кон-троллеру — имитатору PDC и откройте окно свойств домена.

б) Открыв в этом окне вкладку Trusts, создайте двусторонние дове-рительные отношения с доменом, в котором расположен партнерпо репликации. При этом вы получите сообщение о невозможно-сти проверки доверия. Не смущайтесь. Скажите ОК, и будет созда-но транзитивное доверие- помеченное как «сокращение* (shortcut).

в) Далее будет предложено проверить доверие. Введите имя учетнойзаписи, которая обладает административными правами в двух до-менах и проверьте доверие. Вновь появится сообщение о невоз-можности проверки доверия, И опять не смущайтесь.

г) Выполните команду:

NETDOM TRUST локальный.домен /Оота1п:удаленный.домен/UserD:administrator /PasswordD:* /UserO:administrator /PasswordO:*/Reset /TwoWay

где UserD и UserO — имена учетных записей администраторов ло-кального и удаленного домена.

д) Перегрузите контроллер домена, на котором выполнялись изме-нения.

е) После перезагрузки подождите, пока КСС не восстановит соедине-ние. Отсутствие ошибок контролируйте по журналу регистрации.

Не совпадает набор SPN

Для разрешения этой проблемы сделайте так

а) Определите адрес IP контроллера, с которым должно установить-ся соединение. Для этого выполните команду ping того номераGUID, который фигурирует в сообщении об ошибке. В нашем при-мере это айэ720^с1-38с7-4505-аа9?-Ьб58са12477Э._твс1с5.<имялеся>.В результате вы узнаете имя партнера по репликации.

б) На обоих партнерах по репликации запустите ADSIEdk. выделитеобъекты, соответствующие локальному контроллеру домена, иоткройте окно их свойств.

Совет В данном случае ADSIEdit лучше запустить дважды на одномконтроллере: для локального контроллера домена и для удаленного.

в) В списке атрибутов найдите servicePrincipalName. Этот атрибутимеет много значений, одно из которых состоит как бы из двух


номеров GUID. Например, в нашем примере это будет Е3514235-4B06-llDl-AB04-OOC04FC2DCD2/afb720fd-38c7-4505-aa9f-b658cal24773/mycorp.ru.

г) Выделите это значение, нажмите кнопку Remove. Поле Edit Attributeзаполнится приведенным выше значением. Скопируйте его в бу-фер обмена и нажмите кнопку Add.

д) Скопируйте содержимое буфера обмена в поле Edit Attribute и всамый конец этой записи добавьте *@<имя.домена>». Скопируйтевсе содержимое поля в буфер обмена и нажмите кнопку Add.

е) В окне свойств второго контроллера домена добавьте то же зна-чение к атрибуту servicePrincipalName.

После этого можно вновь попробовать выполнить репликацию.

Замечание Выполняя указанные действия, можно столкнуться сдвумя проблемами:

• партнеры по репликации имеют разные пары GUID;

+ один из списков значений атрибута servicePrincipalName пуст.

Для избавления от этих проблем скопируйте значения атрибута сдругого контроллера домена.

Недоступен сервер RPC (RPC Server Not Available)

Это одна из самых распространенных ошибок. Причиной для ее воз-никновения могут быть:

• невозможность создания связи репликации;

+ отсутствие соединения с компьютером.

При невозможности создания связи репликации в журнале регистра-ции появится сообщение 12б5: «The attempt to establish a replicationlink with parameters .... failed with the following status: The RPC Server isunavailable*.

Если связь есть, но компьютер недоступен, сообщений в журнале ре-гистрации не будет, а вот repadmin /showreps сообщит об ошибке.

Для выяснения причины в первую очередь надо проверить доступ-ность указанного партнера по сети командой ping. Проверку' лучшеделать по номеру GUID. Если результат будет аналогичен изображен-ному ниже, то скорее всего сервер выключен или отключен от сети.

ping 19c9dbc3-d5d2-47cc-94e3-5135adfc4bcb._msdcs.mycorp.ru

Pinging mid1.msk.mycorp.ru [10.1.2.2] with 32 bytes of data:

Request timed out.

9-2005


Request timed out.Request timed out.Request timed out.

Ошибка поиска в DNS (ONS Lookup failure)Эта ошибка тоже часто встречается. Обычно — на этапах созданиядерепа Active Director)' и при подключении новых контроллеров до-менов. И все же появление этой ошибки возможно и потом из-за про-блем с сетью. В любом случае при отсутствии соединения реплика-ции в журнале регистрации появляется сообщение об ошибке 1265:«The attempt to establish a replication link with parameters .... failed withthe following status: DNS lookup failure».

Если соединение есть, в журнале ошибки не появляются, зато коман-да repadmin /showreps сообщает о такой же ошибке.

Проблема скорее всего в неверной конфигурации клиента DNS -иного просто быть не может, поэтому советую обратиться к разделу«•Что делать с DNS?» главы «Установка Active Directory*. Здесь же я дамобщие рекомендации по поиску источника проблем.

На сбойном контроллере домена выполните ping по номеру GUIDпартнера по репликации. Если имя не разрешается, проверьте доступ-ность зоны _rnsdcs,<HM£jieca> с этого компьютера. С помощью nsloo-kup выясните, какой сервер DNS первичный. Посмотрите, возможноли разрешение имени через рекурсию или через настроенные пере-адресации запросов. Особое внимание обратите на то, нет ли отри-цательного ответа по указанному адресу в кэше DNS.

Если причина отсутствия ответа не в этом, выполните команды:

net stop dns clientnet start dns client

Если это сработает, значит, и какой-то момент клиент DNS переклю-чился на альтернативный сервер.

Если имя разрешается, но ответ от партнера не приходит, возможно,дело в аппаратном сбое сетегого оборудования. Если нет, посмотри-те, не изменялся ли адрес IP партнера. Не исключено, что в локаль-ном кэше хранится старый адрес. Выполните ipconfig /flushdns. Так-же проверьте, отражена ли новая информация в записи CNAME на томсервере DNS, который указан первичным для рассматриваемого кон-троллера. Если нет, то выясните причину этого. Возможно, наблюда-ется проблема «островов».

Служба каталогов перегружена (Directory service too busy)В случае возникновения такой ошибки в журнале регистрации появ-ляется сообщение от «NTDS Replication» с Event ID=1083:

Репликаций Active Directory

"Replication warning: The directory is busy. It couldn't update objectCN=ROOT2,CN=Servers,CN=Default-First-Site-Name, CN=Sites, CN=ConfIguration,DC=mycorp, OC=ru with changes made by directory afb720fd-38c7-4505-aa9f-b658ca124773._msdcs.mycorp.ru. Will try again later."

Сообщение содержит отличительное имя объекта, вызвавшего пробле-му, и номер GUID партнера по репликации.

Причина

Причиной данной ошибки является появление в Active Directory- дуб-ля объекта снязи для партнера по репликации.

Разрешение

Эту проблему можно разрешить так.

а) Выполните ping по номеру GUID для выяснения имени и адреса IPпартнера по репликации. В рассматриваемом примере это:

ping afb720fd-38c7-4505-aa9f-b658ca124773,jnsdcs.mycorp.ru

б) Запустите программу Ldp, подключитесь к найденному адресу парт-нера и выполните hind с правами администратора.

в) Выполните поиск проблемного объекта. Поиск надо вести по под-дереву того домена, в котором находится объект.

» On:CM=ROOT2,CN=3<;rvris,CN^Si1eA.CN = Sites,CN^ Configuration, DC^myeoip.DC-n

1> canoniralName: mvccrp.iii/Co(ifiquralion/!!itea/SiteA/SErv(T4/ROOT2;l>cn:FWOI2:

?'> otijectClass: lop: reiver;I > name; ROOT?;

Поиск дубля объекта связи


Если обнаружен дубль (на рисунке он не показан), то выделите в пра-вой части окна Ldp его имя и скопируйте в буфер обмена. Затем вы-берите команду Delete и вставьте в поле DN содержимое буфера об-мена. Нажмите ОК.

Удаление дубля объекта из каталога

Удалив объект, убедитесь, что дублей больше нет.

Если вы не обнаружили дублированных записей, перенесите проблем-ный объект в другой сайт или подразделение. Это изменит отличи-тельное имя объекта. Обязательно зафиксируйте данное изменениедля последующего восстановления.

Выполните синхронизацию контекста конфигурации и домена.

repadmin /sync cn=configuration,<имя леса> <имя контроллера домена>

<GUID партнера по репликации>repadmin /sync <имя леса> <имя контроллера домена> <GUID партнера порепликации>

Если репликация возобновит нормальную работ}', то в журнал будетзаписано сообщение 1083. После этого перенесенный объект можновернуть на прежнее место.

Замечание Если вы не установили на контроллер SP2 или выше, томожет наблюдаться периодическая остановка входной репликации сзаписью в журнале регистрации «Event ID 8438 The directory service istoo busy to complete the replication operation at this time». Установитепоследний пакет обновления для решения этой проблемы.

Разница во времени (Ошибка LDAP 82)

Как я говорил в главе «Установка Active Directory*, синхронизация повремени между контроллерами доменов играет очень важную роль.Рассинхронизация приводит к ряду печальных результатов, один изкоторых — невозможность репликации. В таком случае в журналерегистрации появляется сообщение от NTUS КСС с Ш=12б5: «Theattempt to establish a replication link with parameters ... failed with thefollowing status: There is a time difference between the client and server».

Репликация jctive Directory 243

Причина

Причина рассогласования во времени может быть только одна -невозможность достуш к родительскому серверу времени. Отбросимслучай недоступности имитатора PDC как маловероятный. Остаетсяотказ в доступе.

Устранение

Чтобы убедиться в том, что причиной является именно отказ в досту-пе, выполните команду:

net time \\имя_имитатора_РОС /set

Если в результате получите сообщение Access denied, перейдите кразделу, описывающему борьбу с этой ошибкой.

Если команда выполнилась успешно, репликация возобновит своюработу. Вам же надо будет выяснить причину, по которой возникларассинхронизация времени.

Внутренняя ошибка системы репликации

О возникновении внутренней ошибки в системе репликации свиде-тельствует сообщение в журнале регистрации с ID=1084 «Replicationfailed with an internal error» либо сообщение с тем же самым ID, ноболее информативным:

Replication error: The directory replication agent (DRA) couldn'tupdate object CN="8f03823f-410c-4483-86cc-B820b4f2103fDEL:66aab46a-2693-4825-928f-05f6cd12c4e6",CN=DeletedObjects,CN=Configuration,DC=mycorp,DC=ru (GUID66aab46a-2693-4825-928f-05f6cd12c4e6) on this system with changeswhich have been received from source server 62d85225-76bf-4b46-b929-25a1bb295f51._msdcs.mycorp.ru. An error occurred during theapplication of the changes to the directory database on this system.

Причины

В локальной базе, вероятно, есть объект, чей родительский объект вActive Directory был удален так давно, что стал фантомом, а значит,репликация его дочерних объектов невозможна. С другой стороны,сборщик мусора не может удалить фантом если у него есть дочерниеобъекты. Подобная ситуация невозможна после применения SP2. ноесли уж такие объекты появились, SP2 их не уничтожит.

Еще одной причиной может быть некорректно выполненное автори-тетное восстановление объектов, выполненное устаревшей версиейntdsutil (см. главу «Поиск и устранение проблем*).


Устранение

Эту ошибку можно устранить так.

1) Найдите в сообщении об ошибке номер GUID проблемного объек-та. В приведенном примере это 66aab46a-2693-4825-928f-05f6cdl2c4e6, Скопируйте его в буфер обмена.

2) Запустите Ldp и подключитесь к локальному контроллеру домена.Выполните bind с привилегиями администратора.

3) Выберите команду Delete, вставьте в поле DN содержимое буфераобмена и нажмите ОК.

4) Проверьте, как работает репликация. Если вновь появляется сооб-щение 1084 с другим именем объекта, повторите пп. 1-3-

Отсутствие конечной точки (No more end-point)

Эта ошибка может возникнуть при выполнении команды repadmin/showreps. Причины ее появления скорее всего следующие.

• Отсутствуют конечные точки для установления TCP сеанса с парт-нером по репликации. Выяснить это позволяет команда netscat.Единственный способ избавиться от ошибки — закрыть текущиесеансы TCP,

• Партнер по репликации доступен, но интерфейс RFC DirectoryReplication Service не зарегистрирован. Обычно это указывает нато, что имя DNS контроллера домена зарегистрировано с невер-ным адресом IP.

Ошибка ЮАР 49

Эта ошибка связана с локальной службой КОС. Чтобы ее устранить,остановите службу КОС. Затем синхронизируйте контексты именкомандой repadmin /sync. Если все пройдет успешно, команда repad-min /showreps ошибок не покажет. После этого можно вновь запус-тить службу КОС. Если возникнут другие ошибки, устраните их, как япоказал в этой главе.

Сообщения, не являющиеся ошибками

Иногда при выполнении repadmin /showreps появляются сообщения,очень похожие на сообщения об ошибках, хотя таковыми не являются.

Active Directory (replication has been pre-empted

Означает, что при тиражировании данных от партнера был выпол-нен запрос на выполнение более приоритетной репликации. Тиражи-рование продолжится в следующий цикл репликации.


Replication posted, waiting

Появляется, когда контроллер домена послал запрос на тиражирова-ние данных и ожидает ответа. Это означает, что репликация выпол-няется в данный момент.

Last attempt @ ... was not successful

Может быть вызвано тем, что КСС создал связи репликации, но реп-ликация еще не прошла, например потому, что не открылось окно порасписанию. Проверить, так ли это, можно, инициировав репликациювручную.

Другая причина в том, что очередь на репликацию от других партне-ров столь велика, что она не дошла пока до рассматриваемого парт-нера. Чтобы проверить это предположение, запустите монитор про-изводительности и посмотрите значение счетчика DRA Pending Repli-cation Synchronizations.

ЗаключениеВ этой главе мы обсудили одну из важнейших функций Active Direc-tory — репликацию. Установить единственный контроллер домена иначать работу с ним может практически каждый — правильное кон-фигурирование крупной системы доступно немногим. Вы должны дос-конально разобраться в механизме, иначе вы рискуете оказаться взатруднительном положении. Увы, люди обычно обращаются за по-мощью, лишь когда рассинхронизированная система перестает адек-ватно работать, что лишний раз подтверждает народную мудрость;«гром не грянет, мужик не перекрестится».

В этой главе я опустил описания ошибок, возникавших в системе допоявления пакета обновления SP2, потому что установка SP2 являетсяобязательным условием адекватной работы системы.

Описание наиболее распространенных ошибок и способов их разре-шения — изюминка этой главы. Вряд ли вы найдете другой источникинформации, в котором было бы приведено столько подробностей.Тем не менее настоятельно рекомендую прочитать раздел AdvancedTroubleshooting в [3], [6]. особенно часть, посвященную репликации.

Групповая политика

Сегодня вряд ли стоит доказывать необходимость применения поли-тики для управления рабочими станциями и серверами. То, что этозаметно повышает управляемость системы и снижает совокупнуюстоимость владения, вполне очевидно. Для тех, кто представляет, что,как и зачем делать.

Групповая политика в Windows 2000 неразрывно связана с ActiveDirectory — ее архитектурой, топологией репликации и системойбезопасности. Связь эта двусторонняя: любой сбой в работе ActiveDirectory непременно отразится на работе групповых правил; непра-вильно примененные групповые правила могут воспрепятствоватьнормальной работе Active Directory. Порочный круг!

Но не все так страшно, если вы разберетесь в устройстве механизмагрупповой политики, Эта глава содержит теоретические сведения оработе и применении групповых правил ровно в том объеме, кото-рый достаточен для понимания тонкостей планирования правил и ихвнедрения, а также поиска проблем.

Общие сведенияТот, кто работал с Windows NT, помнит, что в той ОС существоваласистемная политика — набор правил, позволявший управлять пара-метрами клиентских компьютеров. Если вы считаете, что о систем-ной политике надо забыть и переключиться на групповую политикуWindows 2000, то должен вас огорчить: это не так. В то время каксистемная политика распространялась на клиенты Windows 9^/NT,групповая политика поддерживается только клиентами под управле-нием Windows 2000/XP. И виноваты в этом не разработчики Windows

248 Activej)ireclory: подход профессионала

2000. Как вы увидите дальше, мало создать хорошие правила — надонаучить клиенты их понимать и обрабатывать. Увы, все клиенты, вы-пущенные до Windows 2000, обрабатывать групповую политику неумеют. Microsoft, конечно, не мирится с этим и, там где это возмож-но, выпускает дополнения к устаревшим клиентам Windows, призван-ные обеспечить обработку самых важных правил. Но далеко не всетехнически осуществимо.

Клиент, сервер или кто важнееВ процессе регистрации в домене Windows NT 4.0 клиент обращалсяк файлу config.pol или ntconfig.pol, лежащему по умолчанию на кон-троллере домена в совместно используемом ресурсе NETLOGON. Та-кой файл был единственным для всего домена и содержал набор пра-вил, определенных отдельно для пользователей и для компьютеров.Эти правила позволяли модифицировать две ветви реестра; HKEY_CURRENT_USER (HKCU) для параметров пользователя и HKEYJLO-CAL_MACHINE (HKLM) для параметров компьютеров,

Групповая же политика может быть применена не однократно в пре-делах домена, а многократно к разным элементам в иерархии ActiveDirectory. Достигается это за счет объектов групповой политики (ОГП).Групповая политика хранится на сервере в разных местах: в папкахсовместно используемого ресурса SYSVOL и контейнерах в ActiveDirectory. Соответственно и сами групповые правила состоят из двухчастей: шаблонов и контейнеров групповых правил. Для каждого ОГПимеется свой контейнер в Active Directory.

Еще одно важное отличие системных правил от групповых в том,когда они применяются к клиенту. Если первые действовали толькопри регистрации пользователя на компьютере, то вторые применя-ются несколько раз: сначала ну этапе старта клиентской машины иее обращения к сети в поисках «своего* домена, затем при регистра-ции пользователя в домене, а потом периодически с устанавливаемыминтервалом. Так что от клиента не зависит, получит ли он групповуюполитику. Коль это Windows 2000 или Windows XP Pro, то политикаобязательно будет применена.

Но у каждого клиента своя локальная политика, хранящаяся в катало-ге %systemroot%\5ystern3 2 \grouppolicy. Будет ли она переписана при-мененной политикой полностью или частично либо будет главенство-вать? Думаю, что, читая книги по групповой политике на английскомязыке, вы сталкивались с аббревиатурой LSDOU. Это сокращение слу-жит для запоминания последовательности применения групповыхправил:

• локальные (L);

• для сайта (S):

Групповая политика 249

+ для домена (D);

ф для организационных подразделений (OU).

Таким образом, первыми применяются локальные правила. Вторыми —те, что определены на уровне сайта, и если они противоречат пер-вым, то первые игнорируются. Далее идут правила, применяемые науровне домена. Они имеют преимущество перед сайтовыми и локаль-ными правилами. И, наконец, — правила уровня ОП. Они важнее всехпредыдущих. Если вспомнить о том, что ОП в домене могут выстраи-ваться в иерархию, то ряд можно продолжить и дальше: правила, при-мененные к ОП второго уровня имеют преимущества перед правиламиОП первого, правила третьего «перебивают» правила предыдущих и т. д.

Но мало определить групповые правила на сервере, мало задать пос-ледовательность их применения. Надо, чтобы и клиенты понимали,как обрабатывать эти правила. Для этого на всех клиентах Windows2000/ХР устанавливается по умолчанию набор динамических библио-тек — клиентские расширения групповой политики. Именно в этихдинамических библиотеках реализована нужная функциональность.

Узнать, какие расширения установлены на вашем компьютере, мож-но в ветви реестра HKLM \Software\Microsoft\Winctows NT\CurrentVer-sion\Wmlogon\Gpextensions. Кроме стандартных, различные приложе-ния могут устанавливать собственные расширения для обработкиспецифических групповых правил.

Перечень клиентских расширений групповой политики в реестре

Как видите, однозначно сказать, кто главнее в процессе применениягрупповой политики: сервер или клиент, — нельзя. Эти компонентыдополняют друг друга. И если на клиентской машине не будет файлаscecli.dll, то групповая политика вообще не будет действовать.


Типы групповых правилГрупповые правила делятся на две основные категории: относящиесяк компьютерам и относящиеся к пользователям. Первые действуют наэтапе загрузки компьютера, вторые — при регистрации пользователяв домене. Поэтому, даже если компьютер просто подключен к сети иявляется членом домена, то независимо от того, зарегистрировался лина нем пользователь, групповые правила к нему уже применены.

Для каждой из этих двух категорий существует определенный наборправил, применение которых возможно по умолчанию:

Наборы правил для компьютеров и пользователей

Правила Описание

Правила дляSoftware settings —Software Instal lation

Позволяет [газначать установку на компьютерыприложений, использующих технологию WindowsInstallerОбеспечивает конфигурирование системы безопас-ности компьютеров по шаблонам безопасностиПозволяет исполнять сценарии при загрузке иливыключении компьютера. Сценарии могут бытьобычными командными файлами или сценариямиWindows Scripting Host (WSH)Шаблоны для конфигурирования HKLM ветвиреестра

Правила для пользователей-Software settings — Позволяет назначать установку приложений, исполь-Softwarc Installation зующих технологию Windows Installer, на те компью-

теры, где зарегистрировались пользователиПозволяет настраивать Internet Explorer для каждогопользователя а отдельности

Windows Settings —Security settingsWindows Settings —Scripts

AdministrativeTemplates

Windows Settings —Internet ExplorerMaintenanceWindows Settings —Folder Redirection

Windows Settings —Security settingsWindows Settings —Remote InstallationServicesWindows Settings —Scripts

AdministrativeTemplates

Перенаправление таких папок, как Desktop,My Documents и Startup, в каталоги, отличные отиспользуемых по умолчаниюПозволяют управлять параметрами инфраструктурыоткрытых ключей для пользователейОпределяют, конфигурацию средств удаленнойустановки ОС для каждого пользователя

Позволяют исполнять сценарии при регистрациипользователя в домене или выходе из него. Сценариимогут быть обычными командными файлами илисценариями Windows Scripting Host (WSH)Шаблоны для конфигурирования HKCU ветвиреестра

Мы еще обсудим эти типы правил, а пока подробно рассмотрим ме-ханизм групповой политики.


Структура и обработка групповой политикиА начнем мы с внутреннего устройства объектов групповой полити-ки — это окажет неоценимую услугу в поиске проблем.

Устройство объекта групповой политикиКак я уже говорил, объект групповой политики на самом деле не яв-ляется одним объектом. Это набор параметров, хранящихся н ActiveDirectory и связанных с набором файлов в каталоге SYSVQL Та частьинформации, что хранится в Active Directory, обычно называется кон-тейнером групповой политики (Group Policy Container — GPC). Вто-рая часть называется шаблоном групповой политики (Group PolicyTemplate - ОРТ).

Отличительное имя контейнера групповой политики CN=Policies,CN=System,<HMfl доменах Его можно •увидеть и в окне оснастки ActiveDirectory Users and Computers, но с точки зрения понимания объектаэто мало что даст. Гораздо информативнее утилита ADS1 Edit. Первое,что бросится в глаза. — это содержимое данного контейнера. В нембудет минимум два объекта с длинным названием, подозрительнонапоминающим GUID. Это и есть GUID групповых политик. По умол-чанию в любом домене две групповые политики: Default domain policy(Доменная политика, применяемая по умолчанию) и Default domaincontrollers policy (Политика для контроллеров доменов, применяемаяпо умолчанию). Вот именно их GUID и будут храниться в контейне-ре. Если же вы определите дополнительные правила, то для них будутсуществовать отдельные объекты с уникальными номерами GUID.

• S'CjJ CÎ-^6ДC17B6C-Cl6F-llD2-9'*iJЙ Ca CN={6D303CEA-AE9C-4663-B£

:~: S CM-HAS and IAS Servers Access C. '+' CJ CN-RocSe'Viws . l

Контейнер групповой политики в Actii 'с Directory

Почему я рекомендовал ADSI Edit? В отличие от оснастки Active Direc-tory Users and Computers она позволяет просмотреть атрибуты любо-го объекта и их значения.


Может, и найдутся любители ориентироваться в групповых правилахпо их GUID, но только не я. Поэтому, чтобы узнать полное имя поли-тики, соответствующей конкретному GUID, надо просмотреть значе-ние его атрибута dispalyName. Из чего мы узнаем, например, чтообъект с GUID {6AC1786C-Ol6F-llD2-945F-OOC04fB9S4F9} соответ-ствует групповой политике Default domain controllers policy. Средипрочих атрибутов интерес представляет еще один — gPCFileSysPath:он содержит строк)' с полным путем к шаблону групповой политики.Отношение между каждым контейнером групповой политики и шаб-лоном — 1:1, т. е. нельзя сделать так, чтобы на один шаблон ссыла-лось несколько контейнеров.

Так вот, значение атрибута gPCFileSysPath для рассмотренного вышеконтейнера будет равно \\имя.домена\5узУо1\имя.домена\РоНс1е8\{6AC1786C-Ol6F-llD2-945F-OOC04fB984F9}. Это и есть место храненияшаблона. То, что GUID объекта и имя папки совпадают, значительнооблегчает процесс поиска и устранения проблем.

Очевидно, что связь между контейнером и шаблоном должна суще-ствовать всегда. Ее нарушение может привести к серьезным пробле-мам применения групповых правил. Если же вспомнить, как создают-ся групповые правила, можно выделить два ключевых момента.

• Контейнер создаваемой групповой политики помещается в локаль-ную базу на том контроллере, где политика создается. Затем кон-тейнер тиражируется на остальные контроллеры в домене.

• Каталог шаблона групповой политики создается и редактируется вкаталоге SYSVOL на том контроллере, где политика создается. За-тем каталог тиражируется на все остальные контроллеры в домене.

Вроде никакого подвоха, но... Если подумать, становится понятно, чтов то время, как объект в Active Directory тиражируется, используя ме-ханизм репликации Active Directory, содержимое SYSVOL тиражиру-ется, применяя механизм репликации NTFRS. Хотя оба этих механиз-ма используют единую топологию репликации, расписание тиражи-рования может быть разным, а значит, может случиться, что контей-нер политики уже будет на контроллере домена, а шаблон — еще нет.

Хранение параметров групповой политикиКроме упомянутых атрибутов контейнера групповых правил display-Name и gPCFileSysPath, стоит рассмотреть и такие:

Атрибут Описание

gPCFunctionaH су Version Определяет версию расширения оснасткиGroup Policy, в которой был создан ОГП



Атрибут Описание

gPCMachineExtensionsName Указывает номер GUID для динамическойбиблиотеки, реализующей функциональностьданной групповой политики применительнок компьютерам

gPCUserExtensionsName Указывает номер GUID динамической биб-лиотеки, реализующей функциональностьданной групповой политики применительнок пользователям

versionNumber Версия политики в каталоге. Эта версия срав-нивается со значением, записанным в файлеgpt.ini в папке шаблона данной групповойполитики, чтобы понять, нуждается ли поли-тика в синхронизации или нет

Эти атрибуты нам понадобятся в дальнейшем.

Как вы помните, ОГП хранятся в двух местах: в Active Directory и в ка-талоге SYSVOL. Для каждого контейнера существуют два вложенныхконтейнера Machine и User, что, как легко догадаться, имеет отноше-ние к правилам для компьютеров и пользователей, Если раскрытьлюбой из этих контейнеров для политики, определяющей установкуПО, то внутри будет контейнер Class Store. Примечательный контей-нер. Во-первых, в нем находится еще один контейнер — Packages, гдехранятся объекты класса packageRegistration — назначенные или опуб-ликованные приложения. Во-вторых, Class Store можно рассматриватькак ветвь реестра HKEY_CLASSES_ROOT, но хранимую в Active Direc-tory. Как известно, эта ветвь содержит ассоциации расширений фай-лов с разными программами и зарегистрированные в системе СОМ-объекты. Если поместить в Class Store сведения о СОМ-объекте, то этотобъект будет доступен на всех компьютерах или для всех пользовате-лей, на которых распространяется действие данного ОГП.

Теперь вернемся к хранилищу шаблонов групповой политики. Еслиоткрыть папку любого из шаблонов (т. е. название которой совпадаетс номером GUID объекта групповой политики), то внутри обнаружатсяеще три папки и один файл:

Объект Что хранится

Папка Adm Все административные шаблоны, используемые полити-кой. Находятся в файлах с расширением .adm

Папка Machine Все правила, применимые к компьютерам, включая пра-вила реестра

Папка User Все правила, применимые к пользователям, включая пра-вила реестра

Файл Gpt.ini Информация о версии шаблонов

Содержимое папок Machine и User примерно одинаково и зависит Rобщем случае от того, какие именно правила были применены. Ниже


перечислены папки, которые там могут находиться, условия их появ-ления и описание содержимого:

Палка Когда создается Содержимое

Applications

Documents &Settings

При назначенииили публикацииприложений

При перенаправле-нии папок

Microsoft При конфигуриро-вании параметровSecurity ConfigurationEditor, IE Admin, RIS

Файлы сценариев установки прило-жений. Имя файла имеет формат<GUID>.aas. Сценарий ссылается напакет, описанный в контейнерегрупповой политикиФайл INI, в котором перечисляютсяусловия перенаправления. В разде-ле FoIderStatus перечислены пара-метры перенаправления. А далеедля каждой папки указываетсяусловие в виде SID объекта=путьк папке. Например:

[FoIderStatus]Application Data=11Desktop=11My Documents=11My Pictures=2Start Menu=0Proorams=2Startup=2[Application Data]s-1-1-0=\\fzhub\personal\Xusername>l\Application data[Desktop]s-1-1-u=\\fzhub\personal\*username)!\Desktop[Ну Documents]s-1-1-0=\\fzhub\personal\Kusername*\HyDocuments[My Pictures][Start Menu]s-1-1-0=\\fzhub\personal\*username*\Start Menu[Programs][Startup]Папки, соответствующие каждомуиз приложений. Так, для SecurityEditor создаются вложенные папки\Windows NT\Secedit. куда помеща-ется gpttmpLinf — файл, содержа-щий по сути правила доменнойбезопасности. Например:[Unicode]Unicode^yes[System Access]



Папка Когда создается Содержимое

Scripts

Названиекомпании-производителяпрограмм

При конфигурирова-нии сценаристе за-грузки/выключениясистемы и входа/вы-хода пользователейПри конфигурирова-нии параметров при-ложений третьихфирм, если разработ-чиками это предус-мотрено

MinimumPasswordAge = ОMaximumPasswordAge = 42MifiimumPasswordLength = 0PasswordComplexity = 0PasswordHistоrySize = 1Lockout Bad Co Lint = 0HequireLogonToChangePassword = 0ForceLogoffWhenHourExpire = 0ClearTextPassword = 0[Kerberoa Policy]MaxTicketAge = 10HaxflenewAge = 7MaxServiceAge = 600MaxClockSkew = 5TicketValidateClient = 1[Version]signature="$CHICAGQ$"Revislon=1

Файл scripts.ini. В нем записаныссылки на файлы сценариев, пара-метры, которые можно им пере-дать, а также условия вызовасценарияПапки, соответствующие каждомуиз приложений

Помимо указанных, в папках User и Machine находится файл Regist-ry.pol. Он содержит параметры, активизированные в разделе Administ-rative Templates объекта групповой политики. Содержимое этого файлатесно связано с файлами, лежащими в каталоге Adm. Именно в немзаписано, какие шаблоны из тех, что лежат в Adm, и как должны бытьприменены для конфигурирования системы.

Версии и ревизии

Версия ОГП хранится как в контейнере групповой политики в ActiveDirectory (атрибут version Number), так и в виде числа — и файле gpt.ini.Но не все так просто с версионностью групповой политики.

Чтобы разобраться в этом механизме, предлагаю запустить AD Replica-tion Monitor, щелкнуть любой из контроллеров в домене правой кноп-кой и выбрать команду Show Group policy object status. Появится ди-алоговое окно, аналогичное этому:


1 lJ-очр Pnliry Obfe

Time flestndenDelaut Dorian Connotois Policy

{Э1Р2РЭ4(Ю16D -11D 2-945г-<ШМРВ 9в4РЭ]{55!i1134e-9E7A-4F92-BB2C-3F8CU710BF24}!EAi:i 7B6C-G16F-11D2-3«F-CTOMtB994F3}

Версии групповых политик

Здесь перечислены все групповые политики, определенные в домене,и номера их версий, хранящиеся как в Active Directory, так и в папкеSYSVOL. Если вы изменяли политики хоть несколько раз, то величи-ны версий будут иметь тот же порядок, что и на рисунке. Не думайте,что у взс ослабла память до такой степени, что вы изменяли полити-ку 327 689 раз и забыли об этом. Не стоит подозревать и врагов, тай-но завладевших паролем администратора и меняющих политику еже-минутно. Это все следствие того неочевидного правила измененияверсий. Но прежде чем его объяснить, я напущу еще больше тумана.

Открыв окно свойств групповой политики, вы увидите поле Revisionsс иными цифрами, например. 3 (User) 2 (Computer). Попытка обна-ружить корреляцию между этими ревизиями и номером версии кон-чится неудачей.

Причина такой запутанности в следующем. Когда вы редактируетеправила для компьютера, это не отражается на правилах для пользо-вателя, и наоборот. Значит, надо отдельно считать версии пользова-тельских и компьютерных правил. Дня этого и существуют ревизии.Всякий раз, когда вы меняете правило для пользователей (не всюполитику, а только одно правило!) номер ревизии увеличивается на 1.При этом на 1 увеличивается и номер версии. Скажем, если я изменю10 параметров для пользователей, ревизия запишется как 0 (Computer),10 (User), а версия станет равной 10.


Совсем иная картина при изменении компьютерных правил. Приизменении одного компьютерного правила ревизия увеличивается на 1,а номер версии — на 65 536! Значит, в нашем примере ревизия запи-шется как 1 (Computer), 10 (User), а номер версии — как 65 546. Вся-кий раз при изменении правила для компьютера к версии будет при-бавляться 65 536.

Для тех. кто еще не понял фокуса, объясняю, что тип атрибута version-Number — INTEGER. Младшие 16 разрядов отвечают за номер пользо-вательской ревизии, а старшие — за номер ревизии политики длякомпьютеров. Вместе получается полная версия.

Клиентские расширенияКак вы помните, на каждом клиентском компьютере есть набор DLL.ответственных за обработку правил и называемых клиентскими рас-ширениями групповых правил. Эти расширения загружаются по меренадобности. Когда на компьютере рассматривается перечень группо-вых правил, которые должны быть к нему применены, то проверяет-ся, нет ли среди них таких, что требуют расширений. Если такое пра-вило находится, подгружается соответствующее расширение.

Каждое расширение хранится в реестре в виде номера GUID:

Соответствия номеров GUID расширениям и DLL.

Расширение

Квотирование дисков

Установка параметровв реестреПеренаправление папок

Обработка сценариев

Обработка политикипо таймерув Windows XPУправление парамет-рами безопасностиНастройкаInternet ExplorerУправление политикойвосстановления EFSУстановка программ

Управление политикойбезопасности IP

Номер GUID

{3610cda5-77cf-lld2-8dc5-OOcG4fa31a66)(35378EAC-683F-11D2-A89A-OOC04FBBCFA2}{25537BA6-77A8-11D2-9B6C-OOOOF8080861}{42B5FAAE-6536-lld2-AF5A-OOOOF87571E3}(42603 1сО-ОЬ47-485 2-hOca-ac3d37bfcb39(

{827D319E-6EAC-11D2-A4EA-OOC04F79F83A){A2E30F80-D7DE-1 ld2-BBDE-OOC04F86AE3B){B1BE8D72-6EAC-1 1D2-A4EA-OOC04F79F83A}{c6dc 5466-785;i- 1 1 d2-84dO-ООС041Ы6УГ7}{e437hclc-aa7d- 1 Id2-a382-0(ic04r991e27}

Название DLL

dskquota.dll

userenv.dll

fdeploy.dll

gptext.dll

Hptext.dll

scecli.dll

iedkcs.dll

scecli.dll

appmgmts.dll

gptext.UU


Вы можете управлять тем, как именно клиентские расширения вклю-чаются в процесс обработки правил. Делается это опять-таки черезспециальную групповую политику. Существует не более трех вариан-тов управления, Я говорю не более, потому что к некоторым расши-рениям некоторые варианты неприменимы.

Qi.-sb.-ed

Bas~proee£;ifi(j Kress a slow network

PTOESSS ev&n a| ife Eiioup Робсу оЬ|ейь have гиг

Варианты управления к.1иснтскими расширениямигрупповой политики

Обработка по медленным каналам связи

Разрешать обработку по медленным каналам связи (Allow pro-cessing across a slow network connection). Для каждого клиентскогорасширения существуют значения по умолчанию, согласно которымони используются или нет. Так, если канал медленный, а применениеправил приводит к передаче по нему большого количества данных,то это может вызвать перегрузку канала, что нежелательно. Я считаюумолчания достаточно разумными, но если в конкретных условияхнадо применять и другие праг;ила, то это нетрудно сделать.

По умолчанию применяются такие расширения независимо от поло-сы пропускания канала:

• обработка реестра (административные шаблоны);

• изменение параметров безопасности.

Такой выбор вполне оправдан. Судите сами: разве можно запретитьзадавать параметры безопасности? Чем пользователи, расположенныев удаленном сайте, связанном медленным каналом, хуже (или лучше)

Групповая полигика 259

остальных? Если в домене заданы определенные правила паролей, тоони должны относиться ко всем независимо от того, в каком сегмен-те сети пользователи находятся. Главный критерий то, что они при-надлежат данному домену.

Редактирование параметров реестра также зачастую связано с безо-пасностью. Обычно эти параметры влияют на доступность на клиен-тских компьютерах критичных элементов интерфейса. К примеру, выне хотите, чтобы пользователь мог запускать неразрешенные прило-жения. А ведь их запуск можно ограничить только через реестр.

Именно поэтому оба эти расширения не только применяются налюбых каналах по умолчанию, но и нельзя запретить их использо-вание вообще! А вот остальные расширения вы.можете разрешить намедленных каналах. Скажем, если установка какого-то приложенияобязательна для всех пользователей и ради этого вы готовы пожерт-вовать пропусканием канала, разрешите соответствующее клиентскоерасширение.

А какой канал считать медленным? И как система должна понять, чтоэтот канал медленный, а другой нет? Алгоритм вычисления скоростиканала следующий:

1. на сервер посылается пакет, содержащий 0 байт данных, и изме-ряется время отклика (П);

2. на сервер посылается пакет, содержащий 4 кб данных, и измеря-ется время отклика (t2);

3. измеряется разница D=t2-tl;

4. данная процедура выполняется трижды, и каждый раз к величинеD добавляется новое значение D;

5. выполняется усреднение D: D=D/3;

6. В=(4К * 1000/D ' 8)/1024 (кб/с).

Специальное правило в групповой политике — Group policy slow linkdetection — отвечает за установление порога скорости. Если оно неопределено, то медленным каналом считается любой, чья пропускнаяспособность ниже 500 кбит/с. Устанавливая данное правило, вы мо-жете указать граничную полосу пропускания канала в диапазоне от Одо 4,294,967,200 кбит/с. Любой канал, пропускная способность кото-рого меньше указанной вами, будет считаться медленным. Если ука-зать О, все каналы будут считаться быстрыми.

Периодическое фоновое применение

Групповая политика применяется к компьютерам неоднократно. Пер-вый раз это происходит на этапе загрузки компьютера; при этом дей-ствуют правила, относящиеся к компьютеру. Второй раз — при реги-страции пользователя в системе; на этот раз применяются только


пользовательские правила. Наконец, правила применяются регуляр-но в фоновом режиме. Интервал между последовательными примене-ниями зависит от типа политики и от параметров, определенных всоответствующих правилах. Некоторые правила никогда не применя-ются в фоновом режиме: это правила установки ПО и перенаправле-ния папок. В самом деле, представьте, что у вас сконфигурированоперенаправление папки My Documents в каталог на сервере А. В ка-кой-то момент данное правило администратор изменил так, что пап-ка перенаправляется в каталог на сервере Б. Если в момент периоди-ческого обновления политики клиентское расширение, ответственноеза перенаправление папок (Tdeploy.dll). обнаружит изменение и нач-нет перемещать файлы в новое место, это может оказаться весьмакритично как для пользователя, который уже открыл несколько доку-ментов в этой папке, так и для клиентского расширения, которое несможет переместить открытые файлы.

Периодическое обновлениеправил для пользователя

и компьютера

Загрузка РегистрацияВыход

из системы Выключение

Применение групповой политики к компьютеру

Ниже приведены величины интервалов для разных типов клиентов.

Интервалы применения политик в фоновом режиме

Политика Интервал по умолчанию Диапазон

Для компьютеров(обычный клиент)Для пользователей(обычный клиент)Для контроллеровдомена

90 минут + (О-ЗО)минут

90 минут + (О-ЗО)минут

5 минут

(7 секунд-45 дней) +(0-24) часа(7 секунд-45 дней) +(0-24) часа(7 секунд-45 дней) +(0-24) часа


Как видите, по умолчанию только на контроллерах домена правилаприменяются через фиксированные промежутки времени. Для осталь-ных клиентов существует разброс в пределах 30 минут. Этот разбросвведен для того, чтобы не все клиенты получали политику одновре-менно и не загружали каналы. Значения по умолчанию являются оп-тимальными, и вряд ли стоит их менять.

Иногда фоновое изменение любых правил не требуется совсем. На-пример, вы знаете, что политика в корпоративной сети может изме-няться только в соответствии с жестко прописанной процедуройпосле многократных согласований. Изменения выполняются во вне-рабочее время, когда нет включенных компьютеров. Фоновое приме-нение правил в такой системе лишь напрасно расходует ресурсы сетии компьютеров. Дабы уменьшить негативное влияние, можно запре-тить фоновое применение каких-либо правил вообще. Для этого надоустановить правило Запрета фонового обновления групповой поли-тики (Disable background refresh of Group Policy). После этого прави-ла будут действовать только при загрузке компьютера и регистрациипользователей в системе.

Применение неизмененной политики

Периодическое обновление правил кажется излишним и тогда, когдасами правила не меняются. По умолчанию это так и есть: пока прави-ла не изменились, клиентские расширения их не обрабатывают. Од-нако все мы знаем наших пользователей. В то время как основная.масса занята исключительно работой, находятся пытливые «юзеры»,которые, обнаружив административные полномочия на локальномкомпьютере, начинают перекраивать систему под себя. В итоге уста-навливаются непонятные программы, удаляются нужные файлы, по-верхность экрана захламляется разными картинками и т. п. И бедныесотрудники службы ИТ вынуждены сверхурочно работать, переуста-навливая приложения, а то и всю систему.

Бывают и горе-администраторы, способные ставить эксперименты наработающей системе, в частности, на контроллерах домена. Они изыс-кивают всевозможные способы включения себя в группы с болеевысокими полномочиями, чтобы проверять свои «теории».

Есть, наконец, мерзкие программы-трояны, пытающиеся включитьсебя в административные группы. Понятно, что такие попытки мож-но предотвратить, определив, например, правила ограниченного член-ства в группах. Но если сами правила не меняются, клиентское расши-рение не сможет проконтролировать неизменность состава группы.

Потому и существует правило Обрабатывать даже неизмененныеобъекты групповой политики (Process even if the Group Policy Objectshave not changed). Установите его, и правила будут применяться кпользователю и компьютеру независимо от того, менялись они или нет.


Параметры клиентских расширений

Для каждого из клиентских расширений в реестре прописано несколь-ко параметров.

Параметры клиентских расширенииПараметр

DllName

ProcessGroup-Policy

ProcessGroup-PolicyEx

NoMachinePoHcy

NoUserPoHcy

NoSlowLink

NoBackgroimd-Policy

NoGPOList-Changes

PerUserLocaJ-Settings

RequiresSuc-cessful Registry

E liable Asynchro-nousProcessing

Назначение

-

t

Определяет, обрабатывет ликлиентское расширение группо-вую политику для компьютеровОпределяет, обрабатывет ликлиентское расширение группо-вую политику для пользователейОпределяет, обрабатывет ликлиентское расширение групповуюполитику на медленных каналахОпределяет, ибрабатывет ликлиентское расширение группо-вую политику н фоновом режимеОпределяет, обрабатывет ликлиентское расширение группо-вую политику, если она не изме-нилась по сравнению с преды-дущим значениемЕсли устаноачено, пользователь-ские правила кэшируются длякаждой машины и каждогопользователяЕсли установлено, то требуетсяуспешная регистрация клиент-ского расширения, прежде чембудет отрабатываться политикаОпределяет, продолжать ли обра-ботку групповой политики, покаклиентское расширение не завер-шило обработку предыдущегоправила

Значения

Имя динамическойбиблиотекиИмя функции, вызы-ваемой при обработ-ке групповой поли-тики данным расши-рениемИмя функции, вызы-ваемой при обработ-ке групповой поли-тики данным расши-рением в Windows XP0 (или отсутствие) —обрабатывает,1 — не обрабатывает0 (или отсутствие) —обрабатывает,1 — не обрабатывает0 (или отсутствие) —обрабатывает,1 — не обрабатывает0 (или отсутствие) —обрабатывает,1 — не обрабатывает0 (или отсутствие) —обрабатывает,1 — не обрабатывает

0 (или отсутствие) —не установлено,1 — установлено

0 (или отсутствие) —не установлено,1 — установлено

0 (или отсутствие) —синхронно (одноза другим),1 — асинхронно


Применение групповых правилА теперь я постараюсь объяснить, как работать с групповой политикой.О том, какое диалоговое окно открыть и какую кнопку нажать, я расска-зывать не стану: это вы и так должны знать. Речь пойдет о том:

• как изменить порядок применения групповых правил;

+ как выполнять фильтрацию;

+ где создавать правила;

• как делегировать полномочия по созданию правил.

Предварительно замечу, что для того, чтобы создавать, редактироватьили удалять объекты групповой политики и чтобы изменять после-довательность их применения, нужно быть членом одной из групп:

ф Domain Admins;

+ Administrators;

• Enterprise Admins;

ф Group Policy Creators.

Изменение последовательности

Акроним LSDOU, как я уже говорил, показывает последовательностьприменения групповых правил: правила, определенные на более глу-боком уровне, имеют преимущество перед определенными на верх-них уровнях. С одной стороны, это весьма удобно, так как позволяетцентрализованно назначить политику на весь домен и в то же время,изменять отдельные правила для ОП. С другой — иногда такое насле-дование политик нежелательно, либо его нужно существенно изме-нить. В Windows 2000 несколько механизмов изменения последова-тельности применения правил:

+ блокировка наследования;

+ принудительный приоритет;

+ перемычки;

ф деактивизация правил.

Блокировка наследования

Представьте ситуацию, когда администратор домена делегировал ад-министрирование некоторого ОП другому пользователю. Для всегодомена назначена политика настройки интерфейса запрещающаяработать с приложениями, не соответствующими корпоративномустандарту. Пользователи упомянутого ОП занимаются тем, что тести-руют разнообразные приложения с целью выдачи рекомендаций обих пригодности и включении в корпоративный стандарт. Очевидно,

/v ".w. DiuKtniy подход прг)фс?г;сио1',-г.'ц

что групповая политика, ограничивающая их возможности по запус-ку приложений им совершенно не подходит.

Эту проблему можно решить несколькими способами.

1. Попросить администратора домена создать группу тестеров ивключить в нее упомянутых пользователей. Указать эту группу икачестве фильтра для объекта групповой политики, чтобы поли-тика не применялась к членам этой группы

2. Попросить администратора или пользователя, которому делегиро-ваны полномочия администрирования ОП, создать отдельнуюгрупповую политику, которая бы разрешала работать с любымиприложениями, и применить эту политику к ОП.

3. Попросить пользователя, которому делегированы административныеполномочия, блокировать действие общей групповой политики.

Хотя все три подхода приведут к желаемому результату, именно тре-тий выглядит предпочтительней, так как не требует создания новойполитики. Но такое решение подойдет, только когда надо отменитьдействие всех правил, которые могут быть унаследованы. Если избольшого списка правил надо отменить лишь несколько, блокировканаследования не является оптимальной, так как будет сопряжена ссозданием правил, фактически повторяющих большинство из унас-ледованных,

Блокировка наследования

Блокировка наследования правил может выполняться на уровне до-мена и на уровне любого ОП. Если она действует на уровне домена,то отменяется наследование любых правил, заданных для сайта. Еслина уровне ОП, то отменяется действие всех правил, заданных на уров-не сайта, домена и вышестоящих ОП.


Замечание Блокировка наследования не отменяет действия техправил, для которых выставлено принудительное наследование.

Принудительное наследование

Рассмотрим наш пример несколько с иной стороны. Допустим, в.на-шем ОП пользователи должны вкусить нес прелести политики, назна-ченной на уровне домена. Администратор домена не может на 100%быть уверенным, что пользователь, которому даны права по управле-нию ОП, не заблокирует наследование. Постоянно контролироватьпользователя невозможно. Раз так, надо применить метод, препятству-ющий блокированию, — принудительное наследование (No override).Помните, что этот метод устанавливается не для объекта групповойполитики, а для его связи с определенным контейнером. Иначе гово-ря, объект групповой политики может быть применен к одному кон-тейнеру с принудительным наследованием и к другому контейнеру —без него.

Принудительное наследование позволяет игнорировать локальныеправила

Принудительное наследование распространяется только на правила,определенные в групповой политике. Если какое-то правило задано вполитике, примененной к дочернему контейнеру, но не задано в по-литике родительского, в итоге будет действовать заданное.

Перемычки

Теперь представим организацию, в которой, кроме обычных ком-пьютеров пользователей, есть и специальные, например терминал-серверы. Требования к параметрам пользователей, открывающим тер-минальные сеансы, могут отличаться от их обычных параметров.


Скажем, в терминальной сессии может быть запрещено видеть вселокальные диски и работать с Windows Explorer. Понятно, что этострашно неудобно при работе на своем персональном компьютере.

Как вы. должно быть, знаете, упомянутые правила являются пользова-тельскими, но не распространяются на компьютеры. Учитывая, чтоучетную запись пользователя нельзя одновременно поместить в дваконтейнера, можно прийти к выводу, что реализовать нужную функ-циональность средствами групповой политики нельзя. Но это не так.

В групповых правилах существуют так называемые перемычки (loop-back processing). Смысл перемычек заключается в следующем. Пустьдля некоторого ОП определена групповая политика UGP. Пользова-тель U имеет все параметры в соответствии с этой политикой приработе на своем компьютере. Для другого ОП, в котором расположенсервер S, определена групповая политика CGP, которая описывает какправила для пользователей, так и для компьютеров. Если бы в этомОП находились учетные записи пользователей, они бы применялиправила политики CGP. Пусть пользователь U регистрируется на ком-пьютере S. В общем случае результат будет таков:

+ параметры компьютера будут взяты из политики CGP;

• параметры пользователя — из политики UGP.

Перемычка правил


В случае перемычек правил действуют два механизма создания резуль-тирующей для пользователя политики: слияние и замещение.

При слиянии правила из политики CGP будут объединены с правила-ми из политики UGR Если, например, в UGP стоит перенаправлениепапки My Documents па совместно используемый ресурс на сервере,а в политике CGP это правило не определено, то результат — пере-направление папки на сервер. Если же правила в политиках CGP и UGPконфликтуют, то преимущество будет иметь правило в политике CGP,т. е. в той, где расположен компьютер.

При замещении все правила из пользовательской политики UGP бу-дут заменены пользовательскими правилами политики СОР незави-симо от того, заданы они в ней или нет.

Деактивизация правил

Теперь обратимся к ситуации, когда вы отлаживаете результирующуюгрупповую политику на клиентских компьютерах. При этом полезноотключить временно действие каких-либо правил. С этой целью мож-но задействовать механизм деактивизации ОГП.

При деактивизации все правила, заданные этой групповой политикой,перестают действовать сразу после следующего цикла применения.Это значит, что если правилами предписывалось выполнить переад-ресацию папки My Documents на сервер, то после их деактивизациипапка должна вернуться в исходное состояние или в то, что указыва-ет вышестоящая политика.

Все это так и работает, но за одним исключением. Есть правила, вкоторых надо дополнительно описать изменение правил после уда-ления или деактивизации политики. К таковым относятся, в частно-сти, правила переадресации папок. По умолчанию предполагается, чтодеактивизация соответствующей политики не приведет к переносусодержимого папок в другое место. Во-первых, это может быть неже-лательно. Политика может охватывать десятки и сотни пользователей.и не у каждого на компьютере может хватить места, чтобы принятьвсе документы только из-за того, что вы отлаживаете политику длякого-то одного. Во-вторых, из-за объема перемещаемых данных сер-вер и сеть окажутся просто перегружены. Чтобы деактивизация пра-вил перемещения папок приводила к их возврат)' в исходное поло-жение, надо отметить соответствующий флажок в параметрах.

ФильтрацияИтак, групповая политика может быть применена на уровне сайта,домена и ОП. Но такая прямолинейность не всегда удобна. Например,администраторов домена не надо ограничивать в доступе к приложе-ниям, сетевым дискам и иным ресурсам. Если же в домене осуществ-


ляется политика, запрещающая пользователям некоторые действия,она будет распространена и на администраторов. Если администра-торов вынести в отдельное ОП, придется создавать специальную по-литику, отменяющую действие доменной.

Повысить гибкость работы с политиками позволяет фильтрация. Сутьэтого механизма проста: у каждой политики, как у любого объектаActive Director)', есть список контроля доступа. Помимо таких строк,как Read, Write, Full Control, в нем есть и Apply Group Policy. Отдельноот Read разрешение Apply не имеет смысла. Но если для группыпользователей в списке контроля доступа политики, указаны оба этихразрешения, политика будет применена к этой группе.

Разрешение Read означает, что член группы может только посмотретьпараметры правил, но они не будут применены к нему. Всякий раз присоздании нового объекта групповой политики к нему применяютсяразрешения, заложенные в схеме. Вот список таких разрешений:

Разрешения, применяемые к объектугрупповой политики по умолчанию

Create Delete Apply

Full All child All child GroupControl Read Write objects objects Policy

Authenticated Users / /Creator ownersDomain Admins / / / /Enterprise Admins / / / •/SYSTEM / / / /

Как видите, по умолчанию политика применяется ко всем членамгруппы Authenticated Users, в которую по умолчанию входят все заре-гистрированные в лесу пользователи, кроме анонимов и гостей. Сле-дуя этой логике, можно предположить, что и для администраторов,как для членов группы Authenticated Users, также будет применятьсяполитика, хотя ниже указано, что к ним она не применяется.

Это не так. Дело в том, что. рассматривая список контроля доступа,надо обращать внимание не на алфавитный порядок групп, а на ихрасположение. Достаточно открыть редактор списка контроля досту-па, чтобы увидеть, что на первой строчке — разрешения для группыDomain Admins. Так как для них разрешение Apply Group Policy неуказано, то правила к ним применяться не будут.

Замечание По умолчанию группа Enterprise Admins стоит в спискеконтроля доступа на последнем месте. Если ее члены не входят в груп-пу Domain Admins, то с точки зрения политики, они такие же пользо-ватели, как и нее другие, и правила будут применены к ним.


Обратим внимание на группу Creator Owners. To, что для нее по умол-чанию не определено стандартных прав, ничего не значит. Дело в том,что в списке контроля доступа для них заданы дополнительные раз-решения, применяемые ко всем дочерним для данного объектам, в ре-зультате чего по отношению к создателям политика ведет себя так:

+ создатель политики (не администратор) может просматривать имодифицировать только те правила, которые создал сам;

• он же может только просматривать, но не редактировать правила,разработанные другими создателями;

ф правила по умолчанию не применяются к создателям.

Умолчания не всегда подходят, поэтому естественно, что для тщатель-ной фильтрации применяются измененные списки контроля досту-па. Правила работы со списками похожи на те. что действуют при ра-боте со списками контроля доступа к каталогам файловой системыили объектам Active Directory', но есть и отличия.

Замечание Разрешения, о которых идет речь, применяются к ОПТ.а не к связям между объектами и контейнерами, к которым применя-ется политика.

Во-первых, наличие группы Authenticated Users не всегда желательно.Например, вы применяете политику' к ОП, но хотите, чтобы она рас-пространялась только на сотрудников группы маркетинга внутри это-го ОП. Поэтому можно либо лишить группу Authenticated Users раз-решения Apply Group Policy, либо вовсе удалить ее из списка контро-ля доступа. Плюс к тому надо включить в список локальную группудомена, в которую входят сотрудники маркетинга.

Во-вторых, никогда не включайте отдельных пользователей в списокконтроля доступа. Это правило является универсальным и примени-мо для всех типов списков контроля доступа.

В-третьих, вам дано право применить явное запрещение доступа Deny.Скажем, вы хотите, чтобы политика применялась ко всем пользовате-лям в домене, кроме небольшой группы технических специалистов.Вариантов достижения цели несколько:

• из списка контроля доступа к объекту групповой политики удалитьAuthenticated Users и включить все группы пользователей, кромегруппы технических специалистов;

+ создать отдельное подразделение, включить в него техническихспециалистов и заблокировать распространение правил на это ОП;

• в список контроля доступа ввести новую строку — запрет на при-менение политики (Deny Apply Group Policy) для группы техничес-ких специалистов.


Последний вариант кажется самым предпочтительным, так как тре-бует совершить минимум действий. Не спешите! Применение явныхзапрещений со временем может превратиться в большую головнуюболь. Поэтому вместо безоглядного использования Deny проанализи-руйте конкретную ситуацию.

Если в домене и так существует структура ОП и технические специа-листы могут быть помещены в свое собственное, то выберите этотпуть. Он не окажется трудоемким.

Если вы используете рекомендации по применению групп безопас-ности (см. главу 'Проектируем Active Directory*), то первый из пред-ложенных вариантов выглядит достаточно разумным.

Наконец, если у вас ни групп безопасности, ни ОП, можно использо-вать явное запрещение Deny.

Совет Если вы пошли по последнему пути, то очень рекомендуюпрограмму FAZAM 2000 компании FullArmor. Этот инструмент позво-лит значительно упростить процесс отладки групповых правил и ана-лиза результата применения в самых сложных случаях.

История применения правил

Узнать, какие правила применены к компьютеру или пользователю вданный момент, можно из истории применения правил (это можносделать и иначе, но об этом позже). История применения правил — этохранящийся в реестре список клиентских расширений и политик,которые каждое из расширений обрабатывало. Причем политикиперечисляются в той последовательности, в какой были применены.История политик компьютеров хранится в ветви реестра HKLM\Soft-ware\Microsot't\Windows\CurrentVersion\Group Policy\History, а пользо-вательских правил — в ветви HKCU\Software\Microsoft\Windows\Cur-rentVersion\G.roup Policy\History.

Каждый элемент в списке представляет собой номер GUID клиентс-кого расширения. Для каждого расширения приведены численные эле-менты О, 1, ..., соответствующие порядковому номеру использованиярасширения. Например, 0 соответствует расширению для обработкилокальных правил, 1 — правил сайта, 2 — правил домена и т. д. Вся-кий раз, как расширение обрабатывает правило, в историю записы-вается новый параметр, номер которого на 1 больше предыдущего. Длякаждого параметра записывается ряд поясняющих значений.


История применения компьютерных правил в реестре

Параметры истории применения правил

Параметр Назначение

DlspIayName Имя огпDSPath Отличительное имя контейнера групповой политики в

Active Directory. Для локальных правил этого параметра нет,так как локальные правила не хранятся в Active Director)'

FileSysPath Путь к шаблону групповой политики. Путь записывается ввиде UNC-пути к каталогу SYSVOL Для локальной политикион всегда начинается с %SystemRoot%\System32\GroupPolicy

GPOLink Указывает область применения ОГП:0 — нет информации;1 — ОГП связан с машиной (локальный);2 — ОГП связан с сайтом;3 — ОГП связан с доменом;4 — ОГП связан с подразделением

GPOName Имя объекта групповой политики. Для локальной политикиэто «Local Group Policy». Для остальных ОГП — это номерGUID данного объекта

Iparam Используется для выполнения различных функций над ОГП.Клиентские расширения применяют его по своему усмотре-нию (точнее, по усмотрению программиста)

Options Отражает параметры, которые администратор установилпри конфигурировании групповой политики. К ним отно-сятся, например, деактившация или принудительное насле-дование

Version Номер версии ОГП на тот момент, когда данные правилабыли применены в последний раз

Взглянув на историю правил, можно примерно оценить, сколь слож-но будет выяснить результирующий набор параметров. Но замечу, эти

10-2005


параметры реестра нужны не столько администратору, сколько кли-ентским расширениям. Они определяют, например, изменилась ли по-литика по сравнению с предыдущей, обращаясь к этой ветви реестра.

Где создавать и редактировать правила?Странный вопрос — конечно, только на контроллере домена, скаже-те вы, и будете почти правы.

Напомню, что объект групповой политики хранится как в ActiveDirectory, так и в каталоге SYSVOL, а репликация этих источниковвыполняется несинхронно. А значит, вы рискуете, что в какой-томомент для некоторых контроллеров домена будет наблюдаться рас-синхронизация. Кроме того, можно представить ситуацию, в которойдва администратора домена одновременно занимаются редактирова-нием групповых правил на разных контроллерах домена. Пока незавершится полная репликация, сведения о правилах на многих кон-троллерах также будут асинхронны.

По умолчанию редактирование выполняется на том контроллере, ккоторому подключена оснастка Group Policy. Обычно ее вызываетдругая оснастка — Active Directory Users and Computers. Открывая ее;

вы. как правило, не задумываетесь, к какому контроллеру она подклю-чилась, так как это не принципиально. Это значит, что и оснасткаGroup Policy открывается на любом произвольном контроллере, и длядвух одновременно работающих администраторов это скорее всегобудут разные контроллеры.

репликация

репликация

Контроллердомена

Администратор ААдминистратор Б

Одновременное редактирование правил на разных контроллерахприведет к конфликту при репликации


Дабы исключить такую рассинхронизацикх можно заниматься редак-тированием только на контроллере, исполняющем функцию имита-тора PDC. Это единственный контроллер, который можно указать дляиспользования оснасткой в принудительном порядке.

Увы. этот выбор не всегда удачен. Пусть в какой-то момент контрол-лер оказался недоступен. Тогда вы не сможете создать или отредакти-ровать политику. Предоставить постоянный доступ можно, выбранфункцию использования любого контроллера в домене, но это повы-сит риск рассинхронизации.

Словом, палка о двух концах. Что же выбрать? Ответ, как всегда, зави-сит от условий работы. Если редактированием политики может зани-маться только один человек, то открывать консоль оснастки лучшевсего на любом из контроллеров домена. Если нельзя исключить воз-можность одновременной работы днух администраторов, но вы зна-ете, что каналы связи надежны, то лучше редактировать все правилатолько на имитаторе PDC А если этот компьютер все-таки может бытьвременно недоступен? Ну, во-первых, такую ситуацию нужно исклю-чать на стадии проектирования Active Directory (см. главу «Проекти-руем Active Directory*). Во-вторых, если все спроектировано правиль-но, то не беда, что имитатор PDC недоступен из какого-либо одногосайта — он обязательно доступен из другого. Раз так, то минимум одинадминистратор сможет работать с правилами.

Есть еще одно мнение о месте создания и редактирования правил. Оноосновано на том, что сами по себе ОГП не влияют на назначаемыеправила, пока они не связаны с каким-либо контейнером или сайтомв Active Directory. Каждый ОГП может быть связан с несколькими кон-тейнерами. А раз так, то где лучше хранить ОГП?

Обычно, создавая ОГП, вы его сразу же привязываете к некоторомуобъекту Active Directory. Причем выходит это автоматически: вы вы-бираете объект, открываете окно его свойств, выбираете вкладку GroupPolicy, нажимаете кнопку New и.., и готово! Создается новая политика,связанная с выбранным объектом. Эта неочевидность шутит поройочень зло, когда вы указываете фильтрацию правил. Вы наивно пола-гаете, что указываемые права доступа относятся к политике_при-меняемой_к_данному_объекту, а реально это относится к ОГП вцелом и, значит, влияет на все объекты, с которыми ОГП связан.

Потом вы можете связать ОГП с любым количеством объектов. А вотможно ли создать ОГП, который не был бы связан ни с одним кон-тейнером в Active Directory? Да, и минимум — двумя способами.

Первый я бы назвал интуитивным. Вы создаете ОГП, связанный с не-которым объектом, а потом разрываете связь, Куда при этом денется


ОГП? Попадет в корневой контейнер всех ОГП. Вы можете просмот-реть его содержимое, если вместо того, чтобы нажать кнопку' New присоздании новой политики, нажмете кнопку Add и в появившемся ди-алоговом окне щелкните вкладку All.

f DelaJl Domain Conlrdieti Policy

I Default Domain Polcy

I Time Reduction

Перечень всех объектов групповых правил

Второй способ: вы сразу создаете ОГП в этом контейнере. Новый ОГПне будет связан ни с одним из объектов Active Directory. Корневойконтейнер удобен в том плане, что вы всегда знаете, какие ОГП высоздали. Если же они разбросаны по доменам и ОП, вы потратитемассу времени на поиски.

Делегирование полномочий

В крупной организации создание групповых правил централизовано.Это предполагает понимание каждым администратором того, что про-исходит в удаленном ОП. Так как на практике это неосуществимо, при-ходится прибегать к делегированию этих полномочий лицам, пони-мающим:

• зачем создавать групповые правила;

ф как их создавать.

Работа с групповыми правилами включает три этапа: создание, свя-зывание с объектами Active Directory и редактирование. Значит, лицо,ответственное за создание и поддержание групповых политик, долж-но иметь право выполнять эти три функции.

Простейший способ делегировать полномочия — включить учетнуюзапись пользователя в группу, наделенную требуемыми полномочия-ми. Я уже говорил, что создавать групповые правши могут по умол-


чанию члены групп Administrators, Enterprise Admins, Domain Admins,Group Policy Creator Owners. Вот только возможности членов этихгрупп различны:

Сфера ответственности и разрешенные действияпри работе с групповой политикой

Группа Сфера ответственности Разрешения

EnterpriseAdminsDomainAdmins

Все сайты, домены,ОП в лесуДомен и все ОПв нем

Administrators Домен

Group PolicyCreator Owners

Домен

Создание, редактирование, удале-ние OITI и их привязка к объектам ADСоздание, редактирование, удале-ние ОГП и их привязка к доме! [у и ОП;в корневом домене — привязкак сайтамСоздание ОГПРедактирование и удаление ОГП.созданных членами этой группы;привязка к домену и ОПСоздание ОГПРедактирование правил, созданныхим самим (но не другими членамигруппы)

Все члены этих групп могут создавать ОГП. Поэтому, включив пользо-вателя в одну из них. вы достигнете желаемого результата. И не толь-ко, к сожалению: ведь эти группы имеют еще массу полномочий и раз-решений, которых нельзя давать обычным пользователям!

Пожалуй, единственное исключение — группа Group Policy CreatorOwners (GPCO). Она обладает только перечисленными полномочия-ми. Но их явно мало. Судите сами. Пусть пользователь А является чле-ном группы GPCO. Он создал политику для своего ОП и хочет ее свя-зать с ним. А этого права он-то и лишен! Это прерогатива членов группAdministrators или Domain Admins (членов Enterprise Admins мы во-обще трогать не будем; их мало, и у них есть другие задачи). Следова-тельно, эти лица должны хотя бы посмотреть, что там сотворилпользователь А, и лишь затем привязать политику к ОП.

Допустим, в созданной политике они нашли кучу недочетов и реши-ли, что ее должен исправить пользователь Б. тоже член GPCO. Увы!Члены GPCO могут редактировать только ОГП, созданные ими сами-ми. В этом легко убедиться, взглянув на список контроля доступа кОГП. В нем нет группы GPCO — лишь имя ее создателя.

Значит, делегирование полномочий по созданию и редактированиюгрупповых правил через включение в группу GPCO не вполне удоб-но, и этому способу надо придумать замену.


Замечание Вообще-то такой регламент делегирования полномочийоправдан. Администратор домена не должен пускать процесс созда-ния групповых правил на самотек. Но если вы уверены, что делегиро-ванные вами полномочия не будут использованы во вред, прислушай-тесь к приведенным далее рекомендациям.

Делегирование прав на создание и модификацию ОГП

Давайте вспомним, что ОГП состоит из двух частей: контейнера груп-повой политики в Active Directory и каталога с номером GUID в ката-логе SYSVOL Как у контейнера, так и у каталога имеется свой списокконтроля доступа. Хотя полномочия доступа к объектам Active Direc-tory и к каталогам файловой системы различны, суммарный эффектприводит к эквивалентным разрешениям, Ниже перечислены разре-шения, применимые в этих списках контроля доступа, и эквивалент-ные им разрешения, относящиеся к групповой политике.

Разрешения, применяемые к контейнеругрупповой политики и соответствующий им результат

Разрешение Позволяет

Full Control Просмотр, создание, редактирование и удаление ОГПRead Просмотр ОГП и его свойств в оснастке Group PolicyWrite Редактирование ОГПCreate all child objects Создание и редактирование ОГПDelete all child objects Удаление ОГП

Разрешения, применяемые к каталогу шаблонагрупповой политики и соответствующий им результат

Разрешение Позволяет

Full Control Просмотр, создание, редактирование и удаление ОГПModify Просмотр, создание, редактирование и удаление ОГПRead & Execute Просмотр ОГПList folder contentsReadWrite Просмотр, создание, редактирование и удаление ОГП

Как видите, можно создать группу и включить ее в списки контролядоступа как контейнера групповой политики, так и папки с шабло-ном. При этом можно подобрать искомую комбинацию разрешений.

Но делегирование прав на создание и модификацию ОГП — это толь-ко полдела. Надо уметь делегировать полномочия привязки ОГП кконтейнерам в Active Directory.


Делегирование полномочий на привязку ОГП к объектам Active Directory

Лицо, обладающее возможностью привязать ОГП к конкретному кон-тейнеру в Active Directory, должно иметь права доступа к атрибутамэтого контейнера. Какие же это атрибуты?

Во-первых, gpLink. Именно он содержит информацию обо всех ОГП,связанных с данным объектом. Чтобы выполнять связывание, пользо-ватель должен обладать правами Read и Write на этот атрибут.

Во-вторых, как мы уже знаем, привязтса ОГП к ОП может сопровождать-ся блокированием наследования правил от вышестоящих контейнеров,За это отвечает атрибут gpOptions. Как и в предыдущем случае пользо-ватель должен иметь разрешения Read и Write для этого атрибута.

Изменить разрешения можно разными инструментами. Самый про-стой — мастер делегирования полномочий. Еще один — редакторсписка контроля доступа в оснастке Active Directory Users and Compu-ters. Ну и, наконец, это ADSIEdit и Ldp.

nattonot Control Wizard

Pel million iSelect the permissions you want lo delegate

ecific

П V/nle countrytode0 Read cPl.nkQWilegPLmk

EJ Write gPOptiais|P Read Managed By

Делегирование возможности привязки ОГП кв мастере делегирования

Типы правилВ начале этой главы я перечислял основные типы правил:

* Software settings (Установки программного обеспечения);

• Windows Settings (Установки Windows);

ф Administrative Templates (Административные шаблоны).


Каждый тип включает в себя несколько категорий правил, которыетеперь мы и рассмотрим. Мы начнем с наборов правил для компью-теров и рассмотрим их в том порядке, в каком они представлены воснастке Group Policy.

Правила установки ПО для компьютеров

Правила установки ПО описынают, как программы должны устанав-ливаться на компьютер. При этом предполагается, что любое прило-жение использует для установки Microsoft Installer. Этот компонент ОСберет в качестве исходных MSI-файлы — их называют пакетами уста-новки. Пакет содержит список файлов и каталогов приложения, атакже другую контрольную информацию. Обычно пакет постаатяет-ся вместе с приложением. Скажем, для Microsoft Office, кроме файлаустановки setup.exe, поставляются два MSI-файла: data 1 и msowc. Пер-вый является пакетом для установки офисного пакета целиком, вто-рой — только для установки его компонентов для Web.

В групповых правилах установки описано, как именно должен бытьустановлен выбранный пакет.

В первую очередь указывается .местоположение пакета. Это можно сде-лать только раз — при создании правила. Путь к пакет}7 указывается ввиде пути UNC. При этом нужно позаботиться о том, чтобы файлыбыли доступны, Часто администратор считает, что раз он имеет дос-туп к исходным файлам, то и во время установки доступ к ним такжебудет возможен. Обычно это справедливо, поскольку дистрибутивныефайлы располагаются на серверах — членах домена. Однако если онихранятся на отдельно стоящем сервере или на сервере — члене тогодомена, с которым нет доверительных отношений, данный вариантне пройдет. Дело в том, что доступ к файлам будет выполняться отимени учетной записи компьютера, а не администратора.

Далее нужно решить, как будет установлено приложение. В правилахдля компьютеров выбор небогат: приложение может быть либо назна-чено, либо вы можете описать дополнительные параметры назначе-ния. Эти правила не позволяют публиковать приложения. Описыватьдополнительные параметры не обязательно. Можно использоватьзначения по умолчанию, но тогда пакет будет установлен также поумолчанию, например, со всеми дополнительными функциями, кото-рые, вероятно, нужны не всем.

Выбрав редактирование, вы можете указать следующее.

ф Как поступить с приложением, когда компьютер выйдет из зоныдействия политики. Например, политика определена для ОП Мар-кетинг, в котором находится компьютер W2KIVANOV. Компьютер


перемещается в ОП Продажи. Что делать с приложением? Удалитьили оставить?

*ie loop* ot

Правила установочного пакета

• Сколь велико участие пользователя в процессе установки? Долженли он отвечать на вопросы программы установки или его участиеминимально?

ф Что делать, если приложение уже установлено на компьютере са-мим пользователем или иными средствами? Его можно удалить иливыполнить повторную установку.

• Если приложение поддерживает несколько языковых интерфейсов,то надо ли выбирать интерфейс в зависимости от региональныхпараметров компьютера или можно их проигнорировать?

• Если этот пакет является обновлением для установленного ранее,можно указать, для какого именно. Это важно в компаниях, исполь-зующих приложения собственной разработки. Новые версии про-грамм будут централизованно заменять старые.

• Для пакетов Microsoft Installer допускается применение файлов-модификаторов, или трансформеров. Трансформеры имеют рас-ширение MST и описывают изменения в параметрах пакета, ко-торые должны быть применены. Например, устанавливая офис-ные приложения на терминальный сервер, без трансформера необойтись.

280 Activjjirectory: подход профассионала

• Наконец, можно указать права доступа к данному пакету. Обрати-те внимание на разницу между правами доступа к ОГП и к устано-вочному пакету. Внутри одной политики может быть задано сразунесколько установочных правил, Разграничение доступа к нимпозволяет назначать разные приложения разным группам пользо-вателей в рамках одной политики.

После того как политика установки приложения определена и связа-на с контейнером Active Directory, любому компьютеру, чья учетнаязапись хранится в этом контейнере, будет назначена установка при-ложения. При следующей загрузке компьютера появится сообщение,аналогичное показанному на рисунке. Если приложение крупное,возникнет довольно длительная пауза.

Установка приложения, определенного в групповой политикево время загрузки компьютера

Вот основные характеристики приложений, заданных в правилах ус-тановки для компьютера:

• приложение устанавливается во время загрузки компьютера;

• приложение доступно любому пользователю компьютера;

+ приложение может удалить пользователь, имеющий нужные пол-номочия, но оно будет восстановлено при следующей загрузке.

Удалить правило установки пакета можно с удалением приложений скомпьютеров, входящих в область действия политики, и без удаления.Какой способ выбрать, решает администратор,

Установки Windows для компьютеров — сценарииСценарии, указываемые в групповой политике для компьютеров, — этокомандные файлы или файлы Windows Scripting Host, исполняемыена этапе загрузки или выключения компьютера. Как я уже говорил, онихранятся в каталоге Зувто1\имадомена\РоЦс1ез\{ОиГО полятики}\Ма-chine\Scripts в подкаталогах Startup и Shutdown.

То, что они исполняются на столь ранней стадии работы компьютера(или на столь поздней), подразумевает, что эти сценарии не должнывзаимодействовать с пользователем. Любые команды, требующие ре-акции пользователя (вплоть до простого нажатия клавиши) недопус-тимы, так как вызовут «зависание» компьютера,

Групповая политика 2»!

Определение списка сценариев, исполняемых:при загрузке компьютера

Если же взаимодействие на данном этапе необходимо, разрешить егоможно через правила в административных шаблонах:

Правила выполнения сценариев

Наименование правила Описание

Run logon scripts synchronously

Run startup scripts asynchronous!}'

Run startup scripts visible

Run shutdown scripts visible

Maximum wait time for GroupPolicy scripts

Синхронное исполнение сценариеврегистрацииАсинхронное исполнение сценариевзагрузкиВидимое для пользователя исполнениесценариев загрузкиВидимое для пользователя исполнениесценариев выключения системыМаксимальное время ожидания испол-нения сценариев групповой политики

Возможно, вы привыкли к тому, что файлы сценариев должны хра-ниться в каталоге 5у8Уо1\имядомена\ЗспрС8. Вы можете поместитьфайлы туда, но никакой выгоды от этого не получите. В любом слу-чае вы включаете файлы сценариев в ОГП.

Параметры Windows для компьютеров: правила безопасностиБезопасность — один из важнейших аспектов правил. Политики бе-зопасности распространяются как на отдельные компьютеры и пра-


вила доступа к ним. так и на взаимодействие компьютеров в системе.Правила безопасности для компьютеров делятся на следующие группы:

ф правила учетных записей;

• локальные правила;

ф правила журнала регистрации;

+ правила групп с ограниченным членством;

ф правила системных служб;

• правила реестра;

• правила файловой системы;

ф правила открытых ключей;

• правила IPSecurity.

Правила учетных записей

Правила учетных записей состоят из трех групп:

• правил паролей;

• правил блокировок учетных записей;

• правил Kerberos.

Действие правил учетных записей распространяется на весь домен.Нельзя создать отдельные правила для сайта или ОП. Вот правилапаролей и их краткое описание (подробнее о правилах, устанавлива-емыми в системах разной степени защищенности см. [1]).

Правила паралейНаименование правила Описание

Store passwords under Равносильно разрешению хранения паролей вreversible encryption открытом (не зашифрованном) виде. Представля-for aJl users in domain ет серьезную угрозу для безопасности системы.

Требуется для обеспечения сквозной аутентифи-кации в :етерогенных системах

Enforce password . Позволяет хранить историю паролей. Пока неhistory будет использовано указанное число паролей,

невозможно задействовать ни один из них.Эффективно при обязательной смене паролейчерез определенный интервал и запрете сменыпароля в течение другого интервала

Maximum password age. Максимальный срок, по истечении которогопароль должен быть изменен. Правила паролейпозволяют установить срок действия пароляв пределах от I до 999 дней или сделать егопостоянным

Minimum password age Параметр, ограничивающий минимальное время,через которое пользователь может изменять свойпароль: от 1 до 999 дней

см. cied. стр.



Minimum password Минимальная разрешенная длина пароляlengthPasswords must meet Если определено данное правило, пароли должныcomplexity requirements отвечать критерию сложности. Система следит за

тем, чтобы пароль содержал минимум три изперечисленных ниже типа символов:прописные буквы латинского алфавита;строчные буквы латинского алфавита;цифры;специальные символыПодразумевает обязательность для пользователярегистрироваться в системе, с тем чтобы сменитьпароль

User must logon tochange password,

Правил блокировки учетных записей всего три. Они позволяют обезо-пасить систему от «словарных атак* — программ взлома системы за-щиты, выполняющих подбор пароля путем перебора наиболее частоиспользуемых слов и фраз из своего словаря.

Правила блокировки учетных записейНаименование правила Описание

Account lockout Устанавливает количество неудачных попытокthreshold зарегистрироваться в системе после достижения

которого учетная запись будет заблокированаAccount locout duration Устанавливает срок блокировки в минутахReset lockout count after Сбрасывает отсчет неверных попыток входа

в систему по истечении определенного времени

Правила Kerberos устанавливают основные параметры протоколаKerberos (о Kerberos см. [1], [3]).

Правила KerberosНаименование правила Описание

Maximum lifetime foruser ticketMaximum lifetime forservice ticket

Maximum lifetime foruser ticket renewal

Maximum tolerance forcomputer clocksynchronization

Максимальное время жизни билета TGT. Устанав-ливается в часах. По умолчанию — 10 часовМаксимальное время жизни сеансового билета.Устанавливается в мшгутах. Это время должнобыть больше 10 минут, но меньше, чем макси-мальное время жизни билета ТОТМаксимальный срок, в течение которого билетможет обновляться. Устанавливается в днях.По умолчанию — 7 днейМаксимально допустимый разброс в показанияхчасов компьютеров. Устанавливается в минутах,По умолчанию — 5 минут




Enforce user logonrestrictions

Когда установлен этот параметр (Enabled), КОС,выдавая сеансовый билет, проверяет, имеет липраво клиент, запросивший билет, регистриро-ваться локально или по сети на том компьютере,доступ к которому запрашивается. Этот параметрустановлен по умолчанию, хотя и замедляетработу, так как требует выполнения несколькихдополнительных шагов

Локальные правила

Локальные правила также состоят из трех групп правил:

• правила аудита;

• назначения прав пользователей;

• параметры безопасности

Правилами аудита предписывается заносить в журнал события, отно-сящиеся к категории безопасности. Поэтому записи о них будут по-являться в журнале Security. Возможна регистрация как удачных, таки неудачных событий.

Правила аудита _


Audit Account Logonevents

Audit AccountManagement

Audit Directory ServiceAccessAudit Logon EventsAudit Object Access

Audit Policy ChangeAudit Privilege UseAudit Process Tracking

Audit System Events

Аудит событий регистрации учетной записи.События происходят при обращении одногокомпьютера к другомуАудит управления учетными записями. Всякий разпри изменении атрибутов учетных записейв журнал заносится записьАудит доступа к службе каталогов

Аудит событий регистрации пользователей.Аудит доступа к объектам файловой системыили реестраАудит изменения групповых правилАудит использования привилегийАудит отслеживания процессов. Не рекомендуетсяприменять в рабочих системах, так как заметноснижает производительность. Требуется толькопри отладке приложенийАудит системных событий

Права пользователей в системе имеют большое значение для ее безо-пасности. Ряд прав нужно применять только на контроллерах доме-нов, ряд — на серверах. Некоторые права действуют при делегирова-нии полномочий. Поскольку детальное описание каждого права вы-ходит за рамки книги, я их просто перечислю.


Права пользователейНаименование правила Описание

Access this computerfrom the networkAct as part of theoperating system

Add workstationsto domain

Back up files anddirectoriesBypass traverse checking

Change the system time

Create a pagefileCreate a token object

Create permanentshared objectsDebug programsDeny access to thiscomputer from thenetworkDeny logon as a batchjobDeny logon as a service

Deny logon locallyEnable computer anduser accounts to betrusted for delegation

Force shutdown froma remote systemGenerate security auditsIncrease quotasIncrease schedulingpriorityLoad and unloaddevice drivers

Доступ к компьютеру по сети. По умолчаниюопределен для всех компьютеровПозволяет действовать как части ОС. Требуетсядля учетных записей, от имени которыхработают разные службыПозволяет добавлять рабочие станции в домен.По умолчанию любой пользователь может доба-вить до 10 рабочих станций в доменПозволяет выполнять резервное копированиефайлов и каталогов на данном компьютереПозволяет при наличии разрешений иметь до-ступ к тем дочерним каталогам, у которых доступк родительским закрытПозволяет изменять системное время. На кон-троллерах доменов можно только изменить вре-менную зону, так как время все равно будет уста-новлено по серверу точного времениПозволяет создавать файл подкачкиПозволяет создавать объект-жетон.По умолчанию не дано никомуПозволяет создавать объекты, предоставленныев постоянное совместное использованиеПозволяет отлаживать программыЗапрещает доступ к компьютеру по сети

Запрещает регистрацию в качестве пакетногозаданияЗапрещает регистрироваться в качестве службы.Целесообразно назначать для учетных записейадминистраторов, дабы предотвратить использо-вание их учетных записей в побочных целяхЗапрещает регистрироваться локальноРазрешает применять учетные записи пользовате-лей и компьютеров для делегирования. Позволяетосуществлять доступ других учетных записейк иным системам от имени указанных учетныхзаписейРазрешает выключать компьютер удаленно

Позволяет генерировать аудит безопасностиПозволяет увеличивать квотыПозволяет повышать приоритет процессов

Позволяет устанавливать и изымать драйверыустройств




Lock pages in memoryLog on as a batch job

Log on as a service

Log on locallyManage auditing andsecurity logModify firmwareenvironment valuesProfile single processProfile systemperformanceRemove computer fromdocking station

Replace a process leveltokenRestore files anddirectoriesShut down the systemSynchronize directoryservice dataTake ownership of filesor other objects

Позволяет запирать страницы в памятиПозволяет регистрироваться в качествепакетного заданияПозволяет регистрироваться в виде службы.Обязательно для учетных записей всех служб.Позволяет регистрироваться локальноПозволяет управлять журналом аудитаи безопасностиПозволяет изменять параметры окруженияfirmware. Для платформы Intei не актуальноПозволяет профилировать процессПозволяет профилировать производительностьсистемыПозволяет извлекать компьютер из «дока». Стран-ное разрешение: выключенный компьютер всеравно можно извлечьПозволяет заменять жетон уровня процесса

Позволяет восстанавливать файлы и каталоги

Позволяет выключать системуПозволяет выполнять синхронизацию данныхслужбы каталоговПозволяет вступать во владение объектами

Параметры безопасности определяют дополнительные характеристи-ки, определяющие поведение системы. Можно сказать, что умолчания,определенные в системе, соответствуют необходимому уровню безо-пасности. Изменять данные правила требуется только при повышенииуровня защиты.

Параметры безопасностиНаименование правила Описание

Additional restrictions foranonymous connectionsAllow server operators toschedule tasks (domaincontrollers only)Allow system to be shutdown without havingto log onAllowed to ejectremovable NTFS mediaAmount of idle timerequired beforedisconnecting session

Дополнительные ограничения для ано-нимных подключенийРазрешение членам группы ServerOperators планировать задания на кон-троллерах доменовРазрешение выключать систему без пред-варительной регистрации в пей.По умолчанию запрещеноРазрешение извлекать носители данных,отформатированные в NTFSВремя простоя системы, после которогосеанс отключается

см. след, стр.



Audit the access of globalsystem objectsAudit use of Backup andRestore privilegeAutomatically log off userswhen logon time expires

Automatically log off userswhen logon time expires (local)

Clear virtual memory pagefilewhen system shuts downDigitally sign clientcommunication (always)Digitally sign clientcommunication (when possible)Digitally sign servercommunication (always)Digitally sign servercommunication (when possible)Disable CTRL+ALT+DELrequirement for logon

Do not display last user namein logon screen

LAN Manager AuthenticationLevel

Message text for usersattempting to log onMessage title for usersattempting to log onNumber of previous logonsto cache (in case domaincontroller is not available)Prevent system maintenanceof computer account password

Prevent users from installingprinter driversPrompt user to changepassword before expiration

Аудит доступа к глобальным системнымобъектамАудит использования привилегий резерв-ного копирования и восстановленияАвтоматическое отключение пользовате-лей от домена по истечении времениработыАвтоматическое отключение пользовате-лей от локальной станции при истечениивремени работы. По умолчанию запреще-но. Для клиентов Windows XP в доменеWindows 2000 это правило не работает.Требуется установка SP1 для Windows XPПредписание очищать содержимое файлаподкачки при выключении системыОбязательная цифровая подпись обменас клиентомНеобязательная цифровая подпись обменас клиентомОбязательная цифровая подпись обменас серверомНеобязательная цифровая подпись обменас серверомЗапрещение ввода CTRL+ALT+DEL для вхо-да в систему. Рекомендуется применять наобщедоступных системах типа киосковЗапрещение отображения имени после-днего пользователя, зарегистрировавшего-ся в системеУстанавливает уровень аутентификацииLAN Manager. He рекомендуется применятьуровни ниже NTLM в системах с клиента-ми Windows 9x и ниже NTLM v.2 в систе-мах с Windows NT-клиентамиТекст сообщения для пользователей,регистрирующихся в системеЗаголовок для окна сообщения, описанно-го вышеКоличество успешных регистрации наклиенте в отсутствие контроллера домена.Максимальное значение — 50Запрещает изменение пароля компьютеракаждые 7 дней. В противном случаепароль компьютера меняется еженедельноЗапрещает членам группы Users устанав-ливать драйверы принтеровОпределяет, за сколько дней до истеченияпароля пользователи будут предупреж-даться о необходимости сменить пароль


28В Active Directory: подход профессионала


Recovery Console: Allowautomatic administrative logonRecovery Console: Allow floppycopy and access to all drivesand all folders

Rename administrator accountRename guest accountRestrict CD-ROM access tolocally logged-on user only

Restrict floppy access to locallyloggcd-on user only

Secure channel: Digitallyencrypt or sign secure channeldata (always)

Secure channel: Digitallyencrypt secure channel data(when possible)

Secure channel: Digitally signsecure channel data(when possible)

Secure channel: Require strong(Windows 2000 or later)session key

Разрешает автоматический вход админист-ратора в консоль восстановленияРазрешает применять в параметрах окру-жения консоли восстановления команды:AlJowWiidCards — использование симво-лов подстановки в командах;AllowAllPaths — использование всехфайлов и каталогов;AllowRemovableMedia — копировать фай-лы на съемные носители такие, как дискеты;NoCopyPrompt — не предупреждатьпри переписывании файлаПо умолчанию эти возможности запрещеныНовое имя учетной записи AdministratorНовое имя учетной записи GuestОпределяет доступ к накопителю на CD.Если,установлено, доступ к CD имеюттолько локально зарегистрировавшиесяпользователи. Если локальных пользова-телей нет, досгуп к CD возможен по сети.Ясли не установлено, доступ к CD могутиметь как локальные, так и сетевыепользователи< Определяет доступ к дисководу. Еслиустановлено, доступ к дисководу имеюттолько локально зарегистрировавшиесяпользователи. Если локальных пользова-телей ист, досчуп к дисководу возможенпо сети. Если не установлено, доступк дисководу мопт иметь как локальные,так и сетевые пользователиЕсли определено это правило, то взаимо-действие с контроллерами доменов ис-пользует шифрование и цифровую под-пись для всех передаваемых данных. Приэтом автоматически активизируетсяследующее правилоЕсли установлено, взаимодействие с кон-троллерами доменов может использоватьшифрование для всех передаваемыхданныхЕсли установлено, взаимодействие с кон-троллерами доменов может использоватьцифровую подпись для всех передаваемыхдивныхЕсли установлено, используются крипто-стойкие ключи (Windows 2000 или позже).В противном случае длина ключа опреде-ляется в ходе переговоров с контроллеромдомена




Secure system partition(for RISC platforms only)Send unencrypted passwordto connect to third-partySMB serversShut down system immediatelyif unable to log security auditsSmart card removal behavior

Strengthen default permissionsof global system objects(e.g. Symbolic Links)

Unsigned driver installationbehavior

Unsigned non-driverinstallation behavior

Защита системного раздела дляRISC-платформЭто правило используется для взаимодей-ствия с SMB-серверами сторонних фирм,например SAMBAЕсли установлено, система останавливает-ся при переполнении журнала безопасностиУстанавливает последовательность дей-ствий при вынимании смарт-карты илиэлектронно ['о брелока. Доступно триварианта:No Action — ничего не предпринимать;Lock Workstation — запереть рабочуюстанцию;Force Logoff — инициировать выходиз системыЕсли установлено, обычные пользователимогут иметь доступ к системным объектам(устройствам DOS, мьютексам и семафо-рам) только на чтение. В противном слу-чае они могут их создавать и модифици-роватьПредписывает, как реагировать на уста-новку драйвера устройств, не имеющегоцифровой подписи. Возможны триварианта;Silently succeed — установить безпредупреждения;Warn but allow installation — предупредить,но разрешить установку;Do not allow installation — не разрешатьустановкуТо же самое, что и выше, но для установкине-драйверов, например для СОМ-объсктов

Правила журнала регистрации

Правила журнала регистрации определяют максимальные объемыжурналов и способы отслеживания их переполнения. По умолчаниюдля рабочих станций и серверов задаются одинаковые правила. Дляконтроллеров доменов существует одно отличие — на них запреща-ется выключать систему при переполнении журнала.

Объемы журналов безопасности и приложений во многом определя-ются правилами аудита и установленными приложениями. Если ин-формация в журнале вам интересна, позаботьтесь о том, чтобы онабыла доступна. С одной стороны, этого можно добиться увеличениемразмера журнала, с другой — определением правил обновления ин-


формации в журнале. Максимальный объем журнала — 4 Гб. Обнов-ление информации может выполняться тремя способами:

• при заполнении журнала новая информация будет заноситься в егоначало и переписывать существующую;

+ информация будет заноситься в начало журнала по истеченииопределенного срока; максимально можно задать 365 дней;

• старую информацию администратор должен удалять вручную.

Правила журналов регистрации


Maximum Log size forAppiication LogMaximum Log Size forSecurity LogMaximum Log Size forSystem LogRestrict Guest access toApplication LogRestrict Guest access toSecurity LogRestrict Guest access toSystem LogRetain ApplicationLog forRetain Security Log for

Retain System Log for

Retention method forApplication LogRetention method forSecurity LogRetention method forSystem LogShutdown system whensecurity audit log is full

Максимальный объем журнала приложений,гго умолчанию — 512 кбМаксимальный объем журнала безопасности,по умолчанию — 512 кбМаксимальный объем системного журнала,по умолчанию — 512 кбОграничить доступ гостей к журналуприложенийОграничить доступ тетей к журналубезопасностиОграничить доступ гостей к системному журналу

Срок, по истечении которого журналприложений будет обновленСрок, по истечении которого журналбезопасности будет обновленСрок, по истечении которого системный журналбудет обновленМетод обновления журнала приложений

Метод обновления журнала безопасности

Метод обновления системного журнала

Выключать систему при переполнении журналабезопасности

Параметры Windows для компьютеров:правила групп с ограниченным членством

Правила для групп с ограниченным членством устанавливают:

• имена таких групп;

• имена учетных записей, включенных в -эти группы;

• имена групп, в которые можно включать группы с ограниченнымчленством; это правило относится к именам локальных групп нарабочих станциях и серверах.

Групповая _пол итика 291

Эти правила особенно важны для корневого домена в лесу. Если длягруппы Enterprise Admins указать, кто именно может входить в этугруппу, то остальные администраторы не смогут себя включить в эту«супергруппу».

Замечание Включить-то учетную запись в группу с ограниченнымчленством можно, но она будет выброшена оттуда при следующемприменении правил.

Довольно часто администратор задает перечень групп с ограничен-ным членством, забывая указать членов этих групп. Как только поли-тика применяется, содержимое указанных групп обнуляется. Особен-но забавно видеть учетную запись, еще недавно бывшую в группеEnterprise Admins, ставшую теперь рядовым пользователем.

Параметры Windows для компьютеров:правила системных служб

Правилами системных служб устанавливаются тип запуска службы иправа доступа к ней. Обычно тип запуска каждой службы задается воснастке Computer Management Services. Однако в целях безопаснос-ти системы для некоторых служб устанавливаются правила, которыенельзя обойти. Существует три вида запуска служб:

+ Automatic (Автоматический);

• Manual (Ручной);

• Disabled (Деактивширована)

Помимо этого правила, указывают, кто конкретно может осуществлятьдоступ к службам и к какой именно. Основные виды доступа;

• Full control (Полный контроль);

• Read (Чтение информации о конфигурации);

• Start, Stop and Pause (Запуск, остановка и приостановка);

• Write (Запись информации о конфигурации);

• Delete (Удаление)

Параметры Windows для компьютеров: правила реестра

Правила реестра регламентируют разрешения доступа к ветвям реес-тра. Можно указать один из вариантов применения правил:

• Inherit (Наследовать) — применяются как к указанной ветви, так ико всем дочерним при условии, что для них не установлена бло-кировка наследования;


+ Overwrite (Переписать) — применяются как к указанной ветви, таки ко всем дочерним независимо от того, установлена для них бло-кировка наследования или нет;

ф Ignore (Игнорировать) — данная ветвь и все дочерние в правилахигнорируются.

Правила, устанавливаемые по умолчанию, существенно различны длярабочих станций, серверов и контроллеров домена.

Параметры Windows для компьютеров:правила файловой системы

Правилами файловой системы регламентируются разрешения досту-па к отдельным файлам и каталогам, установки аудита доступа к ним,а также владельцы файлов. Как и в правилах реестра, можно указатьодин из вариантов:

ф Inherit (Наследовать) — применяются как к указанному объекту, таки ко всем дочерним, если для них не установлена блокировка на-следования.

• Overwrite (Переписать) — применяются как к указанному объекту,так и ко всем дочерним независимо от того, установлена для нихблокировка наследования или нет.

• Ignore (Игнорировать) — данный объект и все дочерние в прави-лах игнорируются.

Параметры Windows для компьютеров:правила открытых ключей

Правила открытых ключей охватывают такую область, как работу ссертификатами (подробнее об этом см. [3]):

Правила открытых ключей для компьютеров

Правило Описание

Automatic Certificate Позволяет автоматически выдавать и обновлятьRequest Settings сертификаты всем компьютерам, которые входят

в область действия данной политики, а также ука-зывает, какой удостоверяющий центр и какойшаблон сертификатов использовать. Работаетпри наличии минимум одного удостоверяющегоцентра предприятия

Trusted Root Позволяет указать, какой удостоверяющий центрCertification Authorities является доверенным для всех компьютеров, на

которые распространяется действие данной по-литики. Это может быть как удостоверяющийцентр предприятия, так и любой сторонний удос-товеряющий центр. Для создания правила нужнолишь импортировать сертификат удостоверяю-щего центра


Групповая политику 293

Правило Описание

Enterprise Trust Позволяет создать списки доверенных сертифи-катов для того, чтобы определить, какие сертифи-каты и для таких целей могут использоваться

Encrypted Data Позволяет назначать агентов восстановления EFS.Recovery Agents По умолчанию агентом восстановления является

локальный администратор первого контроллерадомена. Так как это чаще всего недопустимо, тре-буется выбрать агента из пользователей, имею-щих соответствующий сертификат

Параметры Windows для компьютеров: правила IPSecurityПравила IPSecurity конфигурируют, если требуется защищенное вза-имодействие с или между серверами или контроллерами доменов.В главе «Планирование Active Directory», например, разбирается слу-чай использования IPSecurity для организации репликации через меж-сетевой экран. При этом два контроллера, расположенные по разныестороны экрана, общаются только с применением шифрования.С другой стороны, они должны взаимодействовать с другими контрол-лерами в своем сайте, а те — должны обслуживать запросы на авто-ризацию, поступающие от обычных клиентов.

Способов конфигурирования правил IPSec множество, но для просто-ты можно применить те правила, что уже сконфигурированы, но неактивизированы. Вот эти правила^

Правила IPSecurity


Secure server (require security) Подразумевает, что взаимодействие с дан-ным сервером осуществляется только с ис-пользованием IPSec

Server (Request security) Настраивает протокол взаимодействия так,что сервер сначала пытается установить вза-имодействие no IPSec, но если клиент не мо-жет ответить, то устанавливается открытоевзаимодействие

Client (Respond only) Подразумевает отсутствие шифрования поумолчанию. Если сервер запрашивает защи-щенное соединение по какому-либо портуили протоколу, шифруется только требуемое

Думаю, вполне очевидно, что в нашем примере к контроллерам до-мена, взаимодействующим через межсетевой экран, должно бытьприменено правило Secure Server. К остальным же контроллерам —Server, так как они могут выступать и клиентами и серверами прирепликации. Правило, применяемые к клиентам, — Client, что позво-


лит им авторизоваться на всех контроллерах домена в своем сайте,включая защищенные.



Клиенты

Использование стандартных правил IPSec для организациирепликации через межсетевой экран

Административные шаблоны для компьютеров

Это файлы с расширением .ADM, в которых в текстовом виде записа-ны установки, модифицирующие реестр компьютера, к которомуприменяется групповая политика. Новые параметры для компьютеровзаносятся в ветвь реестра HKEY_LOCAL_MACHINE.

Перечислять все параметры бесполезно — лучше показать, как ихприменяют, на конкретных примерах, что я и сделаю чуть позже. Здесьже я приведу' лишь базовые параметры, доступные для конфигуриро-вания по умолчанию.

Внимание Перечисленные административные шаблоны появляют-ся в Windows 2000, только если:

• установлен пакет обновления SP2 или выше;

ф установлены все последние заплатки для системы безопасности;

• в домене есть клиенты Windows XP.


Административные шаблоны для компьютеров


Компоненты WindowsNet Meeting

Internet Explorer

Task Scheduler

Terminal Services

Windows Installer

Windows Messenger

Системные компонентыUser profiles

Scripts

Logon

Disk Quotas

Net Logon

Group PolicyRemote Assistance

System Restore .

Позволяет запрещать предоставление удаленногорабочего стола в совместное использованиеПозволяет определять зоны безопасности, указы-вать параметры прокси-сервера для компьютерав целом, управлять обновлением Internet ExplorerПозволяет управлять утилитой запуска приложе-ний по расписаниюПолностью управляет настройкой терминальныхсерверов. Настраиваются практически все пара-метры реестра, ответственные за конфигурациютерминальных служб. (Подробнее см. [!})Устанавливает такие параметры Windows Installer,как учетная запись, от имени которой он работа-ет, параметры интерфейса, разрешение использо-вания из административного терминального се-анса и пр.Запрещает/разрешает использование WindowsMessenger

Определяет работу с блуждающими профилямипользователей: кэширование, работа на медлен-ных каналах, распространение на серверы и т. п.Управляет исполнением сценариев загрузки, ре-гистрации и выключения системы. Позволяет ис-полнять сценарии включения системы в режиме,видимом для пользователя. Устанавливает синх-ронный или асинхронный режим исполнениясценариевУправляет поведением системы при регистрациипользователей. Позволяет выбрать вид програм-мы регистрации для клиентов Windows XF, запре-тить выводить предупреждения и выполнениепрограмм из списка однократного исполнения,исполнять специфические приложенияКонфигурирует параметры квотирования диско-вого пространства, управляет регистрацией собы-тий квотированияУправляет параметрами службы NctLogon. Приме-нимо, в основном, только для серверов Windows.Net ServerПравила обработки групповой политики (см. ранее)Управляет режимом удаленной помощи на ком-пьютерах с Windows XPЗапрещает использовать функцию восстановле-ния системы в случае сбоя на компьютерах сWindows XP




Error Reporting

Windows File Protection

Remote Procedure Call

Windows Time Service

Сетевые компонентыDNS client

Offline files

Network connections

Управляет функцией сообщения об ошибках вWindows XP'Управляет подсистемой защиты системных фай-лов. Указывает расположение кэша файлов, огра-ничивает его размер, управляет сканированиемУправляет параметрами поиска проблем в меха-низме RPC. Применим для клиентов Windows XPУправляет параметрами службы временив Windows .Net Server

Управляет параметрами клиента DNS. Делает то,что н<: может сделать сервер DHCP: определяетимена серверов DNS, первичный суффикс, пере-чень и последовательность вторичных суффик-сов, времена жизни, параметры безопасности.Применим для клиентов Windows XP. Первичныйсуффикс можно определять и для клиентовWindows 2000Управление параметрами автономных папок; раз-решение использования, размер кэша, преду-преждения на экране, назначение. Для клиентовWindows XP дополнительно определяет парамет-ры безопасностиДля клиентов Windows 2000 запрещает предо-ставление соединения с Интернетом в совмест-ное использование. Для клиентов Windows XPдобавляются запреты использовать межсетевойэкран на таких соединениях и конфигурироватьмосты в сети DNS, а также устанавливает имя удо-стоверяющего центра для беспроводных сетейУправляет параметрами качества обслуживания.Только для клиентов Windows XPОпределяет сообщества, ловушки для сообществаPublic, менеджеров. Недоступен в чистой сетиWindows 2000Управляет публикацией принтеров в ActiveDirectory, установкой принтерных драйверов,просмотром списка принтеров, печатью черезWeb и другими параметрами, часть которых дос-тупна голыш для клиентов Windows XP

Так как файлы административных шаблонов являются обычными тек-стовыми файлами, то их можно модифицировать для управлениядополнительными элементами (см. об этом [1]).

Правила установки ПО для пользователейЭти правила описывают, как ПО должно устанавливаться на компью-тер при регистрации пользователя.

QoS Packet Scheduler

SNMP

Принтеры


В групповых правилах установки описывается, как именно долженбыть установлен выбранный пакет. Они во многом схожи с правила-ми для компьютеров, но есть и отличия.

+ Указывая местоположение пакета, помните, что доступ к файламбудет выполняться от имени учетной записи пользователя.

• Приложение может быть не только назначено, но и опубликованов Active Directory. Это значит, что такое приложение не будет сра-зу установлено, а объявление о нем будет размещено в панелиуправления в разделе Установка приложений. Это право пользова-теля установить такое приложение, или отвергнуть его.

• Даже назначенное приложение не устанавливается полностью.Вместо этого в системе будут зарегистрированы СОМ-объекты.ассоциации с расширениями файлов и созданы необходимые пун-кты меню. Реальная установка будет выполнена, только когдапользователь выберет соответствующий пункт в меню или щелк-нет документ, ассоциированный с данным приложением.

После того как политика установки приложения определена и связа-на с контейнером Active Directory, для любых пользователей, чьи учет-ные записи располагаются в этом контейнере, приложение будетопубликовано или будет назначена установка приложения.

Add a program from CD-ROM or floppy disk

To add a program from a CD-ROM or floppy disk, click CD or Floppy.

To add new Windows Featur^ device drivers, and system updatesover the Internet, click Windows Update,

A<Jd programs fVorn your netwctk:

•j£ Microsoft Office 3000 SR-1 Premium

Toaddttitspiogrera, dir

Microsoft Office Web Conipcrienti

Опубликованные приложения доступны для установкипользователем


Таким образом, основными характеристиками приложений, опреде-ленных в правилах установки для пользователей, являются:

+ приложение устанавливается при регистрации пользователя;

> приложение доступно только для тех пользователей, на которыхраспространяется действие политики;

• приложение может быть удалено пользователем, имеющим на тополномочия, но оно будет восстановлено при следующей попыт-ке запуска его пользователем или при следующей регистрации.

Администратор может удалить правило установки пакета двумя спо-собами: с удалением приложений с компьютеров, входящих в областьдействия политики, и без их удаления.

Параметры Windows для пользователей:настройка Internet ExplorerЭта категория правил представляет собой значительную часть InternetExplorer Authorization Kit (IEA.K) и предназначена для настройки па-раметров Internet Explorer и изменения его ^нешнего вида и поведе-ния. Правила разбиты на несколько групп.

Параметры настройки Internet Explorer


Интерфейс с пользователемBrowser title Заголовок обозревателя. Позволяет изменять за-

головок Internet Explorer и Outlook Express. Вве-денный текст будет добавлен после фраз«Microsoft Internet Explorer provided by» и"Outlook Express provided by*. Можно указать играфический файл, который будет наложен ввиде фона па панель инструментов InternetExplorer

Animated Bitmaps Позволяет заменить шарик, вращающийся в нра-вом у!лу Internet Explorer

Custom Logo Позволяет заменить стилизованную букву «с» навсе, что вам заблагорассудится

Browser Toolbar buttons Позволяет добавить на панель инструментов но-вые кнопки и связать их с программами или сце-нариями

СоединенияConnection settings Позволяет импортировать установки соединений,

выставленные на том компьютере, где запущенаконсоль оснастки групповой политики

Automatic Browser Позволяет указать путь к файлу конфигурацииConfiguration .INS или имя автопрокси-сервераProxi settings Позволяет указать, какой прокси-сервер и для

каких протоколов используется

см. след, стр.



User Agent String

URLFavourites and Links

Important URLs

ChannelsБезопасностьSecurity zones andcontent ratingsAuthenticodc settings

ПрограммыProgramms

Это строка, которая посылается обозревателем вответ на вопрос о его типе и версии. Например,Mozilla 4.0 (compatible; MSIE 5.0; Windows NT;ваша строка)

Позволяет указать перечень страниц, которыепомещаются в разделы Избранное и Соединенияпо умолчаниюПути к домашней странице, странице поиска исправкиСписок Интернет-каналов

Определяют зоны безопасности и рейтинг содер-жимого страниц (насилие, секс и т. п.)Здесь вы определяете, каким производителям ПОдля Интернета вы доверяете и соответственноразрешаете загрузку на компьютеры пользовате-лей программных модулей

Вы можете импортировать параметры исполняе-мых программ, выставленные на том компьютере,где запущена консоль оснастки групповой поли-тики

Параметры Windows для пользователей: сценарии

Сценарии, указываемые в групповой политике для пользователей, —это командные файлы или файлы Windows Scripting Host, исполняе-мые на этапе регистрации пользователя в домене или выхода из него.Как я уже говорил, они находятся в каталоге Зу5Уо1\имя.домена\Ро-Ucies\{GUID политики}\и5ЕК\5спр1з в подкаталогах Logon и Logoff.

Сценарии регистрации выполняются асинхронно. Если вас это неустраивает, то в административных шаблонах для компьютера надоустановить правило Run logon scripts synchronously, позволяющее ис-полнять их один за другим. Это. естественно, увеличивает время вхо-да в систему.

Возможно, вы привыкли к тому, что файлы сценариев должны разме-щаться в каталоге 5узуо1\имя.домена\5сг1р18. Вы можете поместитьфайлы туда, однако никаких дополнительных удобств от этого неполучите. В любом случае вы включаете файлы сценариев в ОГП.

Замечание Не путайте эти сценарии с теми, что определяются впрофилях учетных записей. Если они определены, то будут выполнять-ся по-прежнему.


Параметры Windows для пользователей:правила безопасностиДля пользователей можно установить только одно правило безопас-ности — Enterprise Trust. Оно позволяет вам создать списки доверен-ных сертификатов, с тем чтобы определить, зачем и какие сертифи-каты может применять пользователь. Остальные правила безопасно-сти определяются только на уровне компьютеров.

Параметры Windows для пользователей:служба удаленной установкиЭто правило определяет возможности пользователя во время автома-тической удаленной установи-! ОС с использованием службы RIS. Су-ществуют три варианта применения правил:

• Allow — правила применяются;

+ Don't care — применяются правила, стоящие в иерархии выше,например, для правил, определенных на уровне ОП, будут приме-нены правила домена;

+ Deny — правила не применяются.

Можно задать четыре правила:

• автоматическая установка — система устанавливается в авто-матическом режиме без учета, какой пользователь регистрирует-ся в сети;

+ настраиваемая установка — данный тип установки может учи-тывать имя пользователя и компьютера и в соответствии с этим'устанавливать специфические параметры;

• перезагрузка — позволяет выполнить перезагрузку компьютераи повторный запуск установки системы в случае неудачной попыт-ки установки:

• инструменты — предоставляет доступ пользователя к диагнос-тическим и отладочным программам.

Параметры Windows для пользователей:перенаправление папокЧетыре папки на локальном компьютере используются чаще всего ихранят самые важные для пользователя сведения:

• My Documents (и вложенная и нее папка My Pictures);

• Application Data;

• Start Menu:

• Desktop.


В папке My Documents хранятся файлы, с которыми работает пользо-ватель (а как ему не хранить их там, если по умолчанию в диалоговомокне сохранения или открытия файла всегда показывается ее содер-жимое!), в остальных — информация о персональных параметрах.

Скрытая папка Application Data расположена по умолчанию на сис-темном диске в каталоге Documents and settings\HMH пользователя.В нее приложения пишут информацию о своих персональных пара-метрах. Так, созданный нами шаблон документа Microsoft Word сохра-нен не в общем каталоге Templates, а в подкаталоге \Wbrd\Templates впапке Application Data. Когда в вы захотите создать документ на основеэтого шаблона, то в списке доступных шаблонов вы увидите как общиешаблоны, так и те, что хранятся в вашем персональном каталоге.

Папка Start Menu расположена по умолчанию на системном диске вкаталоге Documents and settings\HMH пользователя и содержит те эле-менты меню Start, которые имеют отношение только к вам. Все эле-менты меню Start делятся на общие и персональные. Первые присут-ствуют в меню всех пользователей, вторые же подгружаются только взависимости от того, какой пользователь зарегистрировался.

Папка Desktop расположена по умолчанию на системном диске в ка-талоге Documents and settings\HMH пользователя и содержит элемен-ты рабочего стола, принадлежащие вам. Как и пункты меню Start, ониотображаются на рабочем столе в'соответствии с тем. какой пользо-ватель вошел в систему.

Содержимое этих папок поддерживает ту атмосферу работы, которуюкаждый пользователь создает на своем компьютере. Стоит ему сме-нить компьютер — и где комфорт? Все надо создавать сначала. А ведьнередко пользователь работает более чем на одном компьютере ипезде хочет видеть привычное окружение. Вот тут-то на помощь иприходят правила перенаправления папок.

Если папки расположить на общедоступном сервере в персональныхкаталогах пользователей, то независимо от того, на каком компьюте-ре пользователь зарегистрировался, он будет иметь доступ и к своимдокументам и к своему окружению. Другой плюс перенаправленияпапок — возможность выполнения централизованного резервногокопирования и проверки на вирусы. Вряд ли пользователи занимаютсяэтим на локальных компьютерах. Наконец, если на сервере задатьавтономное использование перенаправленных папок, то мобильныепользователи, отключенные от сети, все равно смогут работать с до-кументами и иметь привычное окружение.

Замечание По умолчанию все перенаправленные папки доступныавтономно. Это свойство можно отменить с помощью пользователь-ского административного шаблона, описанного далее.


Но у перенаправления есть и недостаток — увеличенный сетевойтрафик. Все документы приходится открывать уже не локально, а посети, что несколько снижает производительность.

Существует две возможности перенаправления папок.

• Для всех пользователей указывается общий путь. При этом можнов пути задействовать переменную %username%, например \\root 1\users\%username%\My Documents. При этом для каждого пользова-теля будет создан персональный каталог с названием, соответству-ющим имени его учетной записи.

+ Для отдельных групп пользователей можно указать свои пути, Та-кой способ перенаправления удобен при создании временныхгрупп, работающих над общим проектом.

Щ0ШЩЩВ

l-t JjjranS (he jtej t^ckrave rigH;

- ftjfieji Removal -

!' Leave *e ЫА& irs (he пет toeMibft when poBcj1

Условия перенаправления папок

Правила перенаправления папок содержат несколько условий.

• Можно указать на необходимость предоставления эксклюзивныхправ доступа к перенаправленной папке. При этом права полногодоступа будут предоставлены тому пользователю/группе, для ко-торого создается папка. Администраторам будут предоставленыправа на чтение,

4 Текущее содержимое папки полностью перемещается в новое место.

4 Если к указанному пользователю политика перестает применять-ся, то палка может быть либо оставлена в том месте, куда она была


перенесена, либо будет перенаправлена на старое место в профи-ле пользователя.

• Папку My Pictures, вложенную в My Documents, можно либо пере-нести вместе с родительской, либо не применять к ней политикуи перенести в иное место.

Административные шаблоны для пользователей

Это файлы с расширением ADM, в которых в текстовом виде записа-ны параметры, модифицирующие реестр компьютера, на котором

4 регистрируется пользователь входящий в область действия групповойполитики. Новые параметры для компьютеров заносятся в ветвь ре-естра HKEY_CURRENTJJSER.

Перечислять все параметры бесполезно. Я лучше покажу их приме-нение на конкретных примерах, что и сделаю немного позже. Здесьже я лишь приведу базовые параметры, доступные для конфигуриро-вания по умолчанию.

Внимание Перечисленные административные шаблоны пояачяют-ся в Windows 2000, только если:

• установлен пакет обновления SP2 или выше;

• установлены все последние заплатки для системы безопасности;

ф в домене есть клиенты Windows XP.

Административные шаблоны для пользователей


Компоненты WindowsNet Meeting Шаблоны для пользователей в отличие от шабло-

нов для компьютеров позволяют управять предо-ставлением в совместное использование компо-нентов Net Meeting, управлять параметрами звука,внешним видом страницы параметров и другимипараметрами

Internet Explorer Позволяет определять доступность различныхфункций Internet Explorer для пользователя.

Windows Explorer Очень важный шаблон. Управляет доступностьюэлементов интерфейса Windows 2000/WindowsХР. Вот правила, общие для Windows 2000 иWindows XP:ф удаление команды'Folder Options в меню Tools;ф удаление меню File в Windows Explorer;• удаление функций «Map Network Drive» и

«Disconnect Network Drive*;ф удаление кнопки Search в Windows Explorer;фудаление контекстно-зависимого меню;


11-2005



ф удаление команды Manage в контекстно-зависимом меню;

• использование только разрешенныхрасширений оболочки;

ф запрет отслеживания ярлыков приперемещении;

ф запрет отображения указываемых дисковкомпьютера;

• запрет доступа к дискам;ф удаление вкладки Hardware;ф удаление вкладки DFS;фудаление средств изменения эффектов

анимированного меню;ф удаление средств изменения параметров

индикатора клавиатуры;ф удаление «Computers Near Me* в папке

My Network Places;ф удаление «Entire Network» в папке My Network

Places;ф ограничение числа показываемых документов

в списке недавно открытых;ф запрещение запроса альтернативных

ПОЛНОМОЧИЙ;

ф выполнение запроса полномочий для сетевыхустановок.

Следующие правила применимы только к клиен-там Windows XP:ф удаление вкладки Security;ф удаление функций записи компакт-дисков;фуапрет переноса удаленных файлов в корзину;ф требование подтверждения при удалении

файлов;ф максимальный размиф корзины;ф удаление Shared Documents из My Computer;ф отключение кэширования слайдов рисунков;ф использование классического вида оболочки.Кроме перечисленных, существуют правилауправления видом диалогового окна File Open.Доступность элементов окна влияет на защищен-ность системыПозволяют ограничить доступ пользователей коснасткам ММС. Особо отмечу возможность огра-ничения доступа к редактированию правил груп-повой политики. Эти правила удобно применятьпри делегировании полномочийПозволяет управлять доступностью функций ути-литы запуска приложений по расписанию

см. счед. стр.

Microsoft ManagementConsole

Task Scheduler



Terminal Services

Windows Installer

Windows Messenger

Windows Update

Windows Media Flayer

Меню Startи панель задач

Рабочий стол

Active Desktop

Active Directory

Панель управления

Add/Remove Programs

Display

Printers

Regional and LanguageOptionsПапки совместногодоступа

СетьOffline Files

Network Connections

Позволяет управлять настройкой пользователь-ских сеансов для терминальных серверов. Толькодля Windows XP/Windows .Net ServerУстанавливает некоторые пользовательские пара-метры Windows InstallerЗапрещает/разрешает работу с WindowsMessenger данному пользователю. Только длясистем Windows XPЗапрещает пользователю доступ к функции об-новления системы Windows XPУправляет внешним видом и параметрами медиа-проигрывателяУправляет содержимым меню Start и поведениемпанели задач. В частности, элементы меню, соот-ветствующие программам, назначенным для уста-новки групповыми правилами, но еще не уста-новленным, можно показывать бледноПозволяет управлять доступностью элементоврабочего столаРазрешает использование Active Desktop и огра-ничивает возможности по его модификацииУправляет средствами доступа к Active Directory:поиском в каталоге, возможностью использова-ния фильтров или просто ее просмотра в окнеNetwork NeigborhoodУправляет доступом к отдельным компонентампанели управления или ко всей панели в целом.Для Windows XP позволяет включать классиче-ское представление окна панелиУправляет доступностью элементов окна добавле-ния/удаления приложенийУправляет доступностью настройки отдельныхкомпонентов экрана и устанавливает некоторыепараметрыРазрешает/запрещает поиск принтеров в локаль-ной сети и на Web, а также их добавлениеЗапрещает выбор языка меню и диалоговых оконв приложенияхРазрешает/запрещает публикацию в ActiveDirectory совместно используемых папок иликорней распределенной файловой системы DFS

Определяет доступ к функциям управления досту-па и использования автономных папок. Так, мож-но отменить свойство перенаправленных папокбыть доступными автономноОграничивает доступ к элементам папки NetworkConnections: управлению параметрами протоко-лов, созданию новых соединений, просмотра ста-туса соединений и т. п.

см. cied. стр.



Системныекомпоненты

User profiles

Scripts

Ctr+AH+Dd Options

Logon

Group Policy

Power Management

Позволяет установить правила работы с систе-мой, специфичные для каждого пользователя. Таккак эти правила используют очень часто, я при-веду их все. Сначала следуют правила, общие дляWindows 2000 и Windows XP:фне показывать приветственный экран при

регистрации пользователя;+ интерпретация века для дат позже 2000 года;ф цифровая подпись драйверов устройств;ф приложение, используемое в качестве оболочки;+ запрет доступа к командной строке;ф запрет доступа к средствам редактирования

реестра;• перечень разрешенных к запуску приложений;• перечень запрещенных к запуску приложений;ф отключение автопроигрывания компакт-дисков.Следующие правила применимы тольков системах на базе Windows XP:фзагрузка пропущенных компонентов СОМ;• разрешение автоматического поиска

и установки обновлений Windows;• перечень мест где могут быть драйверы

устройств;• перечень программ, запрещенных к запуску

из справочной системыОграничение размера профиля, исключение ката-логов из блуждающих профилейУправление видимостью и синхронностью вы-полнения сценариев входа в системуУправление доступностью функций в окне, вызы-ваемом на экран по нажатии Ctrl+Alt+Del во вре-мя сеансаУправление списком программ, исполняемых прирегистрации пользователя в системеПравила применения групповых правил дляпользователей (см. ранее)Предписание вводить пароль при выходе систе-мы из состояния гибернации или приостановки

Планирование групповой политикиБ главе «Планирование Active Directory» много говорится о критери-ях построения доменной структуры, планирования структуры ОП исайтов. Там же я вкратце затро) гул вопросы применения групповой по-литики. Пришла пора поговорить об этом подробно.


Начальство хочет, вы — желаетеИтак, я говорил о противоречиях с руководством. Боссам нужно, что-бы «палочки были попиндикулярны». т. е. чтобы структура ActiveDirectory отражала структуру предприятия. Ваше желание — сделатьтак, чтобы система была защищенной, управляемой и не требующейпостоянного внимания. Групповая политика — это рубеж, отделяю-щий ваши желания от желания руководства. Так как же и волков на-кормить, и овец сохранить?

Вы уже знаете, что групповая политика позволяет сделать следующее.

• Установить в организации централизованную политику1 безопас-ности. Иначе говоря (это для начальства), создает такие условия,при которых каждый пользователь и каждый компьютер в систе-ме находятся под постоянным контролем, так что все несанкцио-нированные действия пресекаются автоматически, сведения о нихрегистрируются, а сам пользователь подвергается наказанию.

• Централизованно управлять приложениями, с которыми работаютпользователи. Или же (сами понимаете, кому это говорится), созда-ются условия, при которых обеспечивается соблюдение корпора-тивной политики работы с приложениями, так что пользователи:

• работают только с теми приложениями, что одобрены к при-менению;

• не могут сами устанавливать игры и прочие «вредоносные»программы;

• переходят на новые версии или обновляют существующие цен-трализованно;

• не могут случайно или преднамеренно уничтожить установлен-ные программы.

+ Упраапять пользовательскими профилями. Проще говоря; все па-раметры интерфейса на компьютерах пользователей задаютсяцентрализованно, так что при смене компьютера они сохраняют-ся и не позволяют пользователю сделать такое действие, котороеможет нанести вред его персональной или любой иной системе.

• Управлять автоматической установкой ОС на компьютеры. Чтобыпоставить систему на новый компьютер, не надо приглашать тех-нического специалиста на рутинные процедуры: все будет сдела-но автоматически в соответствии с ролью владельца компьютера,которую он играет в организации.

А главное то, что достигается это не путем найма огромного штататехнических специалистов, работающих в две смены без выходных итребующих за это надбавки к жалованию и премий, а минимальным


количеством квалифицированных инженеров со стабильной достой-ной зарплатой. Экономия!

Изложите это руководству так, чтобы оно прочувствовало смысл за-теи с Active Directory, и особенно последний аргумент, — тогда оноесли не станет вашим союзником, то хоть не будет настаивать на своемвидении этой задачи и ставить палки в колеса.

От простого к сложному

Подумаем, с какого конца лучше подойти к групповой политике.

Полагаю, вам хорошо знакомы Windows NT и политика безопаснос-ти в этой ОС. т. е. ограничения паролей, правила блокировки и т. д.А раз так, вот вам первый совет-, начните применение групповой по-литики с того, что вы хорошо знаете, например, с политики безопас-ности. Тем более, что применение этой политики облегчается гото-выми шаблонами безопасности [1]. Если вы работали с системной по-литикой Windows 9x или Windows NT, то применение административ-ных шаблонов не представит проблем.

Однако не торопитесь. Садясь за руль новой незнакомой машины,никто не выжимает сразу полный газ — надо привыкнуть к ее харак-теру. Так и с политикой. Примените ее сначала к тестовому контей-неру, посмотрите, как это скажется на компьютерах и на пользовате-лях, поиграйте с параметрами, поймите, что можно, а что нельзя. Этовторой совет.

Попробовали и хотите расширить плацдарм? Спокойнее! Применитеполитику на верхних уровнях иерархии Active Directory и не стреми-тесь привязать ОГП к куче подразделений. Посмотрите: может, этогои не стоит делать. Это третий совет.

Наконец, вы задумываетесь о делегировании полномочий. Правиль-ное решение — только реализовывать его надо с умом. Если есть у васединомышленники, которые, как и вы, знакомы с групповой полити-кой, делегируйте полномочия им. Посмотрите, потренируйтесь, вы-явите все узкие места. И. только набравшись достаточно опыта в де-легировании и написав соответствующие инструкции, можете пере-давать управление другим пользователям на местах. Четвертый со-вет в том и заключается, чтобы не передавать полномочий незнако-мым людям, пока вы не будете уверены, что это не приведет к неже-лательным результатам.

Я настоятельно прошу вас следовать этим советам. Путь от простогок сложному позволит вам не наломать дров и получить солидный опытприменения правил.


Советы по применениюКак же внедрить политики в организации? Прежде всего ответьте напять вопросов.

Вопрос 1. Принималось ли в расчет желание использовать группо-вую политику при проектировании структуры Active Directory?

Вопрос 2. Какую функциональность групповой политики иы хоте-ли бы использовать?

Вопрос 3. Как вы хотите управлять политикой: централизованно илидецентрализованно?

Вопрос 4- Хотите ли вы применять правила к ОП или, применивполитику к домену, использовать фильтрацию?

Вопрос 5. Как вы собираетесь управлять политикой, вычислять ре-зультирующий набор правил и вносить изменения?

Ответы на них позволят понять, сколько ОГП надо создать, где иххранить, с какими объектами Active Director)' связать, кого из адми-нистраторов сделать ответственным за применение правил и т. п.Разберем несколько примеров, в которых используем наш вопросник.

Один домен

Допустим, нужно применить групповую политик}' в организации, толь-ко что мигрировавшей с Windows NT 4.0 и структура Active Directoryкоторой представляет собой единственный домен. Вы задали этивопросы руководителю службы ИТ и получили такие ответы.

Вопрос Ответ

Принималось ли в расчет желание Нет, структура Active Directoryприменять групповую политику при полностью отражает потребностипроектировании структуры бизнеса, и это для нас оченьActive Directory? важноКакую функциональность групповой Мы бы хотели использовать поли-политики вы хотели бы использовать? тику блокировок учетных записей

и настройку интерфейса, приме-нявшиеся в домене Windows NT,интерес также представляет пере-направление папок. О других пра-вилах мы пока не думали

Как вы хотите управлять политикой: Это дело пашей централизованнойцентрализованно или службы ИТдецентрализованно?Хотите ли вы применять правила Мы бы хотели избежать сложное -к ОП или, применив политику тей. Но мы хотим держать правилак домену, использовать фильтрацию? под полным контролемКак вы собираетесь управлять поли- Мы об этом не думали и не хотелитикой, вычислять результирующий бы задумываться в дальнейшемнабор правил и вносить изменения?


Ответ на первый вопрос был подкреплен такой структурой ActiveDirectory:

Бухгалтерия СбытБухгалтерия С^ыт Бухгалтерия Сбыт

Струюпура Active Directory кампании

Как видите, структура ОП построена по классической организацион-ной модели, которая менее всего подходит для применения полити-ки- Но что ж делать, отступать поздно, поэтому подумаем, как опти-мальнее реализовать политику,

После миграции в домене остались такие локальные группы:

• Msk-Acct;

+ Msk-Sales;

+ Nsk-Acct;

• Nsk-Sales;

• East-Acct;

ф East-Sales,

Системная политика в домене Windows NT применялась к этим шес-ти группам пользователей. Причем параметры интерфейса были своидля каждой из групп.

Зная эти исходные данные, подумаем, какие ОГП и где разместить.Решений может быть несколько, но пойдем по порядку: от лобовогок оптимальному.

Начнем с доменной политики блокировок учетных записей. Это пра-вило относится к политике безопасности и, следовательно, применя-ется только ко всему домену в целом. Раз так, то соответствующий ОГПопределим на уровне домена. Он будет единственным.


Далее рассмотрим правило перенаправления папок, которое, как выпомните, может быть простым и сложным. В первом случае папки длявсех пользователей перенаправляются в одно место, во втором -перенаправление можно поставить в зависимость от принадлежнос-ти к группе. Выберем первый вариант. Тогда для каждого ОП второгоуровня надо создать свой ОГП, отвечающий за перенаправление па-пок сотрудников этого ОП.

Наконец, правила настройки интерфейса. Учитывая, что они должныбыть различны для каждого ОП, создаем шесть ОГП. Для простотыобъединим эти правила с правилами перенаправления папок. В ито-ге получим структуру ОГП, показанную на рисунке. Каждый ОГП имеетсвое имя, расположен и связан со своим уникальным ОП.

Доменная политикаблокировки учетных записей

Бухгалтерия Сбыт Бухгалтерия

ОГП

Бухгалтерия Сбыт

Все указанные ОГП определяют политику перенаправления папоки настройки интерфейса для каждого ОП.

Вариант размещения и привязки ОГП

Это решение отвечает требованиям, но. кажется, сложновато. Упростим?

В первую очередь применим сложное перенаправление папок — тог-да можно создать один ОГП, а в нем указать путь перенаправления длякаждой группы. Тогда этот ОГП можно создать на уровне домена исвязать с доменом, а не с ОП. На уровне домена у нас уже есть ОГП,определяющий политику безопасности. Можно правила перенаправ-ления включить в него, но лучше этого не делать, чтобы легче былоиспользовать ОГП.


Второй путь упрощения не так очевиден. Он связан с анализом пра-вил настройки интерфейса. Скажите, что особенного можно приду-мать для трех бухгалтерий, чтобы их параметры кардинально отли-чались от параметров отдела сбыта? Опыт показывает (да и дополни-тельный анализ правил в этом примере), что обычно 90% правилнастройки интерфейса совпадают. Существуют лишь незначительныеразличия, которыми в принципе можно пренебречь. В нашем приме-ре выяснилось, что различаются правила только по регионам. Поэто-му оптимхтьно оделать таю к домену применить ОГП, который опреде-ляет 90% общих параметров интерфейса, а к ОП первого уровня — ОГП,определяющие оставшиеся 10%. Вот вариант такого размещения ОГП,

Доменная политикаблокировки учетных записей

Политика перенаправленияпапок и определения

общих параметров интерфейса

ПолитикаОГП /параметров

/А -/ интерфейса

Москва

Политикапараметровинтерфейса

бухгалтерия Сбыт Бухгалтерия Сбыт Бухгалтерия Сбыт

Второй вариант размещения и привязки ОГП

Этот вариант стал возможен во многом благодаря тому, что парамет-ры интерфейса совпадают. Если б это было не так, пришлось бы ос-тановиться на первом варианте. Понятно, что, кроме предложенныхвариантов, могут быть и несколько отличные от них, но это не сутьважно. Главный урок, который нужно вынести из этого примера, зву-чит так: упрощайте решение и уменьшайте количество ОГП, исполь-зуйте анализ требуемых правил и стремитесь их обобщать.

Несколько доменов

Теперь рассмотрим случай посложнее. Допустим, надо спроектироватьгрупповую полигику для крупной компании, образовавшейся из двухразличных организаций. Ответы на пять вопросов выглядят так.


Вопрос Ответ

Принималось ли в расчет желаниеиспользовать групповую политикупри проектировании структурыActive Directory?Какую функциональностьгрупповой политики вы хотелибы применять?

Как вы хотите управлятьполитикой: централизованноили децентрализованно?

Хотите ли вы применять правилак ОП или, применив политикук домену, использоватьфильтрацию?

Как вы собираетесь управлятьполитикой, вычислятьрезультирующий набор правили вносить изменения?

Да, структура Active Directory проекти-ровалась именно с таким расчетом

Мы хотели бы применить максималь-ное количество правил, включая поли-тику безопасности, правила установкиПО и административные шаблоныСоздание ОГП и их привязка к доме-нам и сайтам должна выполнятьсяцентрализованно, но привязку локаль-ных политик к ОП мы хотели быделегировать региональным админист-раторамМы хотим по мере возможности воз-держаться от фильтрации и применятьправила к контейнерам, максимальноблизким для пользователей. Если жеэто будет иногда невозможно, тосогласны на использование фильтровМы хотим контролировать номераверсий правил и анализировать ре-зультирующий набор правил. Крометого, нам бы не хотелось, чтобы кодному пользователю применялосьболее 10 ОГП

Доменная структура компании показана на рисунке.

msk.mycorp.ru siberia.mycorp.ru

Сбыт

Москва Область ИТ Бухгалтерия

Доменная структура компании

ОМаркетинг Маркетинг Маркетинг


Если вы внимательно читали главу «Планирование Active Director}'*,то, взглянув на структуру, возмутитесь до глубины души. Разве этаструктура разрабатывалась с учетом применения групповой полити-ки? Да она вообще вся кривая! ОП первого уровня в доменах msk иSiberia организованы по разным принципам. В первом — по органи-зационному, во втором — по территориальному Все так, но напом-ню, что компания образовалась при слиянии двух других, каждая изкоторых имела свою структуру ИТ. В Москве две группы администра-торов управляют ОП Сбыт и Центр, а в Сибирском отделении имеет-ся три региональных центра ИТ. Раз так, то показанная структура какраз отражает административную модель.

Предлагаемый вариант применения политики показан на рисунке.

msk.mycofp.ru

Центр Запад \ОГГ1 5г центпСбыт

Москва Область ИТ Бухгалтерия

Маркетинг

Вариант применения групповой политики

Маркетинг Маркетинг

Администраторы предприятия размещаются в домене mycorp.ru. Боль-ше никаких учетных записей пользователей здесь нет. К этому доме-ну должна быть применена специальная «жесткая» политика безопас-ности. Именно она реализуется с помощью ОГП1. Этот ОПТ создан вдомене mycorp.ru и привязан к нему.

С точки зрения безопасности, домены msk и Siberia равноправны.Можно было бы создать один ОГП на уровне домена mycorp.ru, а за-

Групповая_полити1са 315

тем связать его с каждым из дочерних доменов. Но это неверное ре-шение, И вот почему: всякий раз при применении правил безопасно-сти в дочернем домене будет выполняться доступ к родительскомудомену для каждого из объектов, к которому применяется политика.Это вдвое увеличит загрузку. Кроме того, при отладке правил могутвозникнуть затруднения из-за удаленности ОГП, В связи с этим запом-ните: доменные политики надо создавать в том домене, к которому*они привязаны. Именно поэтому администраторы создают два совер-шенно одинаковых ОГП (ОГШа и ОГП26) в каждом из дочерних до-менов и связывают их с ними.

Теперь рассмотрим остальные политики в домене msk.mycorp'.ru.В соответствии с пожеланиями руководителя службы ИТ ОГП созда-ются администраторами предприятия на уровне домена. Далее правапо привязке ОГП делегируются службам ИТ, обслуживающим ОП Сбыти Центр. Здесь предполагаем, что правила одинаковы для всей служ-бы сбыта независимо от того, где она находится — в Москве или вобласти. Иные правила распространяются на ОП Центр, но они так-же одинаковы для всех дочерних подразделений.

Сходную картину наблюдаем для домена siberia.mycorp.ru. Вся разни-ца в том, что независимо от региона должна применяться единаяполитика. Можно было бы соответствующий ОГП создать на уровнедомена и связать с доменом. Но вспомните: руководитель ИТ службыхочет делегировать право привязки ОГП к ОП локальным админист-раторам. Да будет так! ОГП5 создается на уровне домена, а региональ-ные администраторы связывают его со своими ОП.

Чтобы не загромождать рисунок, я указал минимум ОГП. Но главноездесь не количество, а принцип создания и связи. Если в каком-то ОПвозникает потребность в отдельных правилах, то администраторыпредприятия создают нужный ОГП на уровне того домена, в которомрасположен ОП. и сообщают о его создании региональным админи-страторам. Администраторы, нуждавшиеся в этом ОГП, применяют егосразу. Остальные могут выяснить необходимость применения этихправил в их зоне ответственности, выполнить анализ результирующе-го набора правил и, если понадобится, связать ОГП со своими ОП.

Как видите, удовлетворены все запросы. Предложенное решение хо-рошо, но может быть и иным. Думаю, вы уже поняли, сколько «мело-чей» могут изменить дизайн групповой политики.

Поиск и устранение проблемА теперь обратим взгляд на такую животрепещущую тему, как поиски устранение проблем, связанных с групповой политикой. Правиланастолько эффективны, что сложно говорить о проблемах с правила-ми, возникшими по вине системы. Как всегда, виноваты мы — админи-

316 Active rjirectory: подход профессионала

страторы. Первопричина всех проблем — «горе от ума*: либо приду-мываются взаимоисключающие правила, либо их набор столь велики применяются они столь сложно, что результат оказывается совер-шенно не тот, которого ждали, либо в процессе создания правил до-пущены досадные ошибки — вами или вашим коллегой.

Справедливости ради отмечу, что случаются проблемы, причинойкоторых являются сбои в Active Director)7 или файловой системе, Ноэто скорее исключения, чем правило.

Средства поиска проблемНачнем со знакомства со средствами анализа и управления группо-вой политикой. Из тех. с которыми работал я и которые считаютсянаиболее полезными:

ф GPRESULT — утилита командной строки для анализа результирую-щего набора правил на компьютере;

• GPOTOOL — средство проверки ОШ на контроллерах доменов;

+ ADDIAG — инструмент, позволяющий отслеживать статус ПО, ус-танавливаемого с помощью групповых правил;

ф SECEDIT — средство конфигурации и анализа политики безопас-ности;

ф FAZAM2000 — графическая программа, позволяющая анализиро-вать результирующий набор правил и выполнять анализ «что -если».

GPRESULT

Собирает информацию о правилах, назначаемых для пользователя икомпьютера, и о политиках, ставших источником этих правил. У этойутилиты четыре параметра:

+ /v — информация выводится с подробностями;

• /s — информация выводится с «супер»-подробностями; выводитсядаже двоичное представление данных;

• /с — выводится информация только о правилах для компьютера;

+ /и — выводится информация о правилах только для пользователя.

Использовать утилиту несложно, однако замечу, что, запустив ее безуказанных параметров, вы получите урезанный результат — толькоимена групповых правил без объяснения того, что было ими сделанона компьютере.

Чаще всего утилиту сначала запускают без параметров. Анализируявыведенную информацию, оценивают, какие из правил заслуживаютболее подробного рассмотрения. Например, может быть непонятно,


к каким последствиям приводит правило или последовательностьсходных правил. Поэтому далее запускают программу с параметром/v. Если некоторые значения в реестре являются двоичными величи-нами, то Gpresult запускают с ключом /s.

Разберем пример результата, выводимого утилитой, запущенной спараметром /v.

Начинается вывод информации с сообщения сведений об ОС:

Microsoft (R) Windows (R) 2000 Operating System Group Policy Result toolCopyright (C) Microsoft Corp. 1981-1999

Created on 13Operating System Information:Operating System Type: ProfessionalOperating System Version: 5.0.2195Terminal Server Mode: Not supported

Обратите внимание на строку Created on (Создан ...)- Заметили зага-дочное число 13? Это следствие ошибки в Windows 2000. Если уста-новить американские региональные установки, то будет выведенаполная дата. Эта ошибка исправлена в Windows XP.

Теперь посмотрите на строку Terminal Server Mode. На клиентах Win-dows ХР этот режим поддерживается по умолчанию.

Следующий раздел — предоставление исчерпывающей информациио пользователе, зарегистрированном в данный момент в системе.О полноте судите сами:

User Group Policy results for:CN=u2,OU=test,DC=mycorp,DC=ru

Domain Name: MYCORPDomain Type: Windows 2000Site Name: Default-First-Site-Name

Roaming profile: (None)Local profile: C:\Documents and Settings\u2The user is a member of the following security groups:

MYCORP\Domain Users

\EveryoneBUILTIN\Users\LOCALNT AUTHORITY\INTERACTIVENT AUTHORITY\Authenticated Users

The user has the following security privileges;

Bypass traverse checkingShut down the systemRemove computer from docking station


Как видите, профили, членство в группах и привилегии приведеныполностью. Список привилегий должен привлечь ваше внимание. Ведьесли вы хотели в правилах безопасности указать привилегии дляпользователя, они должны быть тут отражены. Если их нет, проверьте:

• не ошиблись ли вы в определении правил;

• когда была применена доменная политика в последний раз (имен-но доменная, так как политика безопасности определяется на уров-не домена);

• была ли применена компьютерная часть.

Следующий раздел посвящен правилам групповой политики, приме-ненным к указанному пользователю. Начинается он с сообщения овремени, когда политика была применена в последний раз, и имениконтроллера домена, с которого она была применена.

Last time Group Policy was applied: 13 Group Policy was applied from:

ROOTt.mycorp.ru

Заметьте, что и здесь ошибка с выводом даты. Для целей диагностикиэто весьма неудобно, поэтому рекомендую временно установить наэтом компьютере регион US.

Д;шее идет перечисление всех правил, примененных для модифика-ции параметров реестра, т. е. административных шаблонов. Полити-ки перечисленные в порядке их применения. Сначала указывается имяполитики, в которой определены эти шаблоны;

The user received "Registry" settings from these GPOs:Restrict Environment

Revision Number: 72

Unique Name: {OD8EB430-79EB-4C3A-8118-A427B95E02BC}Domain Name: mycorp.ru

Linked to: Organizational Unit (OU=test,DT>mycorp,DC=ru)

Для каждого ОГП указываются:

ф дружественное имя (Restrict Environment);

• номер версии (72), из которого можно сделать примерный выводо том, сколько параметров будет изменено (во всяком случае небольше, чем номер версии);

4 номер GUID политики (или Local Policy для локальной политики);

• имя домена, в котором она определена;

• информация о связи ОГП с объектов в Active Directory; в нашемпримере видно, что это подразделение OU=test,DC=mycorp,DC=ru.

Если утилиту запустить без параметра /v, на этом информация о дан-ном ОГП кончится. Но так как мы задали отображение подробностей,

Групповая^ политика . 3_19

далее следует перечисление изменений в реестре, выполненных приприменении политики:

KeyName: Software\Hicrosoft\Windows\CurrentVersion\Policies\Comdlg32ValueName: NoPlacesBarValueType; REG_DWORD

Value: 0x00000001KeyName: Software\Microsoft\Windows\CurrentVersion\Policies\Comdlg32

ValueName: NoFileMru

ValueType: HEADWORD

Value: 0x00000001KeyName: Software\Hicrosoft\Windows\CurrentVersion\Policies\Comdlg32

ValueName: NoBackButtonValueType: REG.DWORD

Value: 0x00000001

Формат выводимой информации таков:

+ Key Name — имя ветви в реестре;

+ Value Name — имя параметра;

+ Value Type — тип параметра;

+ Value — значение.

Значение показывается, только если тип параметра не BINARY. Длявывода значений этого типа надо использовать параметр /s в коман-дной строке запуска Gpresult.

Замечание Групповая политика модифицирует только две ветви вреестре: \Software\Policies и \Software\Microsoft\Windows\CurrentVer-sion\ Policies. Если модифицируются другие ветви реестра, то передсообщением об этом правиле будет предупреждение Warning! The nextregistry setting is not a true policy setting and will be left in the registrywhen the GPO that created it is no longer applied (Внимание! Следую-щее значение реестра не является правильным параметром полити-ки и останется в реестре после завершения применения политики).

Далее следует информация о правилах перенаправления папок.

The user received "Folder Redirection" settings from these GPQs;

Restrict EnvironmentRevision Number: 72Unique Name: {ODBEB430-79EB-4C3A-B118-A427B95E02BC}

Domain Name: mycorp.ruLinked to: Organizational Unit (OU=test,DC=mycorp,DC=ru)

Desktop is redirected to \\root1\personal\KusernanieS\Oesktop.My Documents is redirected to \\root1\personal\XusernameX

\Hy Documents.


My Pictures is redirected to \\root1\personal\Kusernamel!\My Documentary Pictures.

Start Menu is redirected to \\root1\personal\*username!f\Start Menu.

Programs is redirected to \\root1\personal\!Susername)(\Start Menu\Programs.

Startup is redirected to \\root1\personal\*usernamei(\Start Menu\Programs\Startup.

Application Data is redirected to \\root1\personal\Xusername)(\Application Data.

Как видите, формат данных о политике аналогичен описанному ра-нее. Добавляется указание точного пути к перенаправленным папкам.

Далее могут идти сведения о других правилах в аналогичном форма-те. Для некоторых правил дополнительной информации не приводит-ся. Так, если вы модифицировали внешний вид Internet Explorer, со-общение об этом правиле будет весьма лаконичным:

The user received "Internet Explorer Branding" settings from these GPOs:Default: Domain Policy

Revision Number: 2Unique Name: {31B2F340-016D-11D2-945F-OOC04FB984F9}Domain Name: fnycorp.ruLinked to: Domain (DC=ntycorp,DC=ru)

Additional information Is not available for this type of policysetting.

К счастью, таких правил не так много. В основном приводится столькоинформации, что ее хватит для анализа результата на компьютере. Бот,например, сведения о политике установки приложений:

The user received "Application Management" settings from these GPOs:Install Office

Revision Number: 5Unique Name: <BBOB08E9-3E4F-4EAE-AA84-188CB97B3E8F}

Domain Name: mycorp.ruLinked to: Organizational Unit (OU=test,DC=mycorp,DC=ru)

The user has been assigned the following applications:Microsoft Office Web ComponentsGPO Name: Install OfficeRemoval Option: Application is orphaned when policy is removedMicrosoft Office 2000 Sfl-1 Premium

GPO Name: Install Office

Removal Option: Application is unlnstalled when policy

is removed

The user has installed the following published applications:

(None)


Как видите, здесь перечислены установленные приложения, а такжесказано, что с ними произойдет при удалении групповой политики.Если же утилиту Gpresult запустить с параметром /s, то дополнитель-но к показанной выше информации будет также сообщено о прило-жениях, доступных для установки (опубликованных), и об их статусе.

The user has the following applications availablein Add/Remove Programs:

Microsoft Office 2000 SR-1 PremiumGPO Name: Install OfficeInstalled: Yes

Microsoft Office Web ComponentsGPO Name: Install Office

Installed: Yes

В следующем разделе описаны правила, примененные к компьютеру.Как и для пользовательских правил, в начале идет сообщение обобъекте применения, т. с. о компьютере:

Computer Group Policy results for:

CN=W2KPRO,OU=test,DC=mycorp,DC=ruDomain Name: MYCORPDomain Type: Windows 2000

Site Name: Default-First-Site-NameThe computer is a member of the following security groups:

BUILTIN\Administrators

\EveryoneBUILTIN\UsersHYCORP\W2KPRQ$HYCORP\Domain Computers

NT AUTHORITY\NETWORKNT AUTHORITY\Authenticated Users

Следующее затем сообщение о времени применения политики такженеинформативно при установленном российском регионе.

Формат нывода информации о правилах для компьютеров полностьюидентичен описанному выше формату правил для пользователей. Еслизначение параметра реестра имеет тип BINARY, выводимая информа-ция имеет такой вид:

The following settings were applied from: Default Domain PolicyKeyName: Software\Policies\Microsoft\SystemCertificates\EFS

ValueName: EFSBlob

ValueType: REG.BINARYValue:

30 50 31 16 30 14 06 03 55 04 03 13 Od 41 64 6d OP1.0. . .U. . . ,Adm69 6e 69 73 74 72 61 74 6f 72 31 Oc 30 Oa 06 03 inistratoM .0. ..


55 04 07 13 03 45 46 53 31 28 30 26 06 03 55 04 U....EFS1(04..U.

Ob 13 1f 45 46 53 20 46 69 6c 65 20 45 6e 63 72 ...EFS.File.Encr

79 70 74 69 6f 6e 20 43 65 72 74 69 66 69 63 61 yption.Certifica

74 65 30 81 9f 30 Od 06 09 2a 86 48 66 f7 Od 01 t e O . . 0 . . . * . H . . . .

Совет Результаты работы программы Gpresult лучше всего выводитьв файл, чтобы потом было удобно выполнять поиск нужных правил ипараметров реестра. Если примененных правил не очень много, то,выводя результат в консольное окно, не забудьте установить размерыбуфера консольного окна достаточными для приема всей информации.

GPOTOOL

Утилита командной строки Gpocool входит в Windows 2000 ResourceKit и позволяет проверить, все ли хорошо с ОГП на контроллерахдоменов. Так, в частности, можно проверить:

• однородность ОГП — считываются значения атрибутов контейне-ра групповой политики и данных в каталоге SYSVOL, сравнивают-ся номера версий.

* репликацию ОГП — при этом ОГП считываются с каждого кон-троллера и сравниваются между собой (можно сравнивать отдель-ные атрибуты и выполнять полное рекурсивное сравнение).

В домене можно указать, для каких контроллеров выполнять сравне-ние. Если этого не сделать, то сравниваться будут ОГП на ксех до-ступных контроллерах домена. Кроме того, можно выполнять поискнужного ОГП по его имени или номеру GLJID. Ну и, наконец, можносравнивать правила н разных доменах.

Посмотрим на пример анализа групповых правил на двух контролле-рах. Чтобы получить максимум информации, запустим Gpotool с па-раметром /verbose.

В первой части результата приводится информация обо всех кон-троллерах домена независимо от того, доступны они в данный мо-мент или нет.

Domain: mycorp.ruValidating DCs. . .ROOT1.mycorp.ru: OKROOT2.mycorp.ru: OKAvailable DCs:ЯООТ1.mycorp. ruROOT2.mycorp.ru

Если контроллер домена в момент выполнения программы был не-доступен, он исключается из дальнейшего анализа. Далее сообщаетсяобо всех обнаруженных политиках:

Групповая полигика 323

Searching for policies...Found 4 policies

А затем выполняется их тестирование и сообщается статус Для поли-тик, прошедших тестирование, выводится:

Policy {ODBEB430-79EB-4C3A-B118-A427B95E02BC}Policy OK

Для политик, не прошедших тестирования, сообщение будет анало-гично этому:

Policy {ODBEB430-79EB-4C3A-8116-A427B95E02BC}Error: Version mismatch on ROOT2.mycorp.ru, DS=4718592, sysvol=4718593

Наконец, для каждого из контроллеров домена выводится информа-ция о каждом ОГП:

DC: flOOT1.mycorp.ruFriendly name: Restrict EnvironmentCreated: 12.05.2002 15:05:04Changed: 12,05.2002 15:48:25DS version: 72(user) O(machine)

Sysvol version: 72(user) O(machine)

Flags: 0User extensions: [{25537BA6-77AB-11D2-9B6C-OOOOF8080861H

88E729D6-BDC1-11D1-BD2A-OOC04FB9603F}K{35378EAC-683F-11D2-A89A-OOC04FBBCFA2HOF6B957E-509E-11D1-A7CC-OOOOF87571E3}]Machine extensions: not found

Functionality version: 2

На что здесь стоит обратить внимание? Я бы выделил:

• дату создания (Created) и последнего изменения (Changed);

• версии контейнера групповой политики (DS version ) и Sysvol;

+ значение флага (Flags), показывающего, что данная политика пол-ностью или частично деактивизирована;

• перечень клиентских расширений (User extensions)-.

+ версию функциональности (Functionality version); это значениедолжно быть не менее 2.

В случае прохождения теста групповой политикой ни на что и нестоит обращать внимания, а вот если для групповой политики сооб-щается об ошибке, следует сравнить содержимое правил на несколь-ких контроллерах. Например, увидев сообщение об ошибке, приве-денное выше, стоит насторожиться, так как несовпадение версий ОГПв Active Directory и в каталоге Sysvol может свидетельствовать либо обанально незавершенной репликации файловой системы или ActiveDirectory, либо о нарушениях в работе репликации. Подробная инфор-


мация, приведенная вслед за сообщением об ошибке, позволит кос-венно понять источник проблем. Взгляните:

DC: ROOTLraycorp. ru

Friendly name: Restrict EnvironmentCreated: 12.05.2002 15:05:04Changed: 13.05.2002 19:40:18

DS version: 72(user) 1(machine)Sysvol version: 72(user) 1(machine)Flags: 0User extensions: [{25537BA6-77A8-11D2-9B6C-QOOOF8080861}

<88E729D6-BDC1-11D1-BD2A-OOC04FB9603F}][{35378EAC-683F-11D2-A89A-

OOC04FBBCFA2HOF6B957E-509E-11D1-A7CC-OOOOF87571E3}]

Machine extensions: [{35378EAC-683F-11D2-A89A-OOC04FBBCFA2}

{UF6B957D-509E.-11D1-A7CC-OOOQF87571E3}]

Functionality version: 2

DC: ROOT2.mycorp.ru

Friendly name: Restrict EnvironmentCreated: 12.05.2002 15:05:04Changed: 13.05.2002 19:15:14

DS version: 72(user) O(machine)Sysvol version: 72(user) 1(machine)Flags: 0User extensions: [{25537BA6-77A8-11D2-9B6C-OOOOF8080861H88E729D6-BDC1-

11D1-BD2A-QOC04FB9603F>][{35378EAC-e83F-11D2-A89A-

OOC04FBBCFA2HOF6B957E-5Q9E-11D1-A7CC-OOOOF87571E3}]

Machine extensions: not foundFunctionality version: 2

Хорошо видно, что на контроллере ROOT1 была выполнена модифи-кация политики для компьютеров. Ее файловая часть уже «дошла» доконтроллера ROOT2, а та, что находится в Active Directory, — еще нет.Именно этим объясняется отсутствие клиентских расширений длякомпьютерных правил на втором контроллере.

Если повторить выполнение £!potool через некоторое время, причи-на возникновения- проблемы станет ясна. Если дело в репликации, тоона никуда не исчезнет, и тогда надо будет ее устранить средствами,описанными в главах «Active Directory7 и файловая система» или «Реп-ликация Active Directory».

ADDIAG

Утилита ADDiag из Windows 2000 Resource Kit предназначена для сбо-ра информации обо всех программах, установленных на компьюте-


ре с помощью технологии Windows Installer. Эта программа имеетинтерфейс командной строки и предоставляет сведения:

• о зарегистрированном пользователе, включая его полномочия, итакже о типе платформы;

ф о терминальном режиме работы

• об установленном или опубликованном ПО, почерпнутые из ре-естра;

• об опубликованном ПО, взятые из Active Directory;

ф о Windows Installer.

У программы масса параметров командной строки (описание см. всправочном файле). А я приведу пример выводимой информации ипрокомментирую отдельные моменты. Вывод начинается с информа-ции о пользователе, способной повлиять на установку приложений:

User - NameSamCompatlble: HYCORP\AdministratorUser - NameFullyQualifiedDN: CN=Admlnistrator,CN=Users,DC=mycorp,DC=ruUser - Logon Server: \\ROOT1

User - SID: S-1-5-21-947463027-762207816-1681286078-500User - Profile Type: LOCAL

User - Locale: 1049

Processor Architecture: xB6System Locale: 1049

Среди прочего обратите внимание на региональные параметры (Loca-le и System Locale). Они отвечают за язык интерфейса в системе и дляданного пользователя. Если устанавливаемые приложения поддержи-вают режим многоязыкового интерфейса, то эти параметры служатдля определения языка меню и диалоговых окон.

Далее приводится режим работы терминального сервера. Хорошоизвестно, что приложения на сервере, работающем в режиме сервераприложений, должны устанавливаться с применением модификато-ров или специальных сценариев совместимости. В то же время, еслисервер работает в режиме удаленного администрирования, то уста-новка приложений администраторами ограничена. Например:

Running Remote Admin TS

Далее идет информация обо всех установленных приложениях, взя-тых из реестра. Иначе говоря, эти приложения установлены в соот-ветствии с групповой политикой. Приложения перечисляются по ихномерам GUID.

User dump for mycorp.ruDumping GPO list (1 items)...

GPO GUID: {BBOB08E9-3E4F-4EAE-AA84-188CB97B3E8F}

Kame: Install Office


Microsoft Office 2000 SR-1 PremiumObject GUID: {4CA9546D-25B3-41EC-A809-CD787B06900D}CN: fcec044f-8e20-4883-a862-c7ea71d38660Package Flags;

PostBeta3User-InstallOnDemandlnstalLAssignedUninstallOnPollcyRemoval

Deployed on: 05/11/2002 13:05:46Changed on: 05/11/2002 13:07:31MsiFileList: \\root1\software\Office_2000_SR1

\data1.msiProductCocie: {00000409-78E1-11D2-B60F-006097C998E7}

Revision Count: 0Ul Level: Basic

Строка Package Flags указывает на флажок, связанный с данным при-ложением. Значение флажка указывает текущий статус приложения:

Величина Обозначает

0x1 Приложение назначено0x2 Приложение опубликовано0x4 Удалять такое же приложение, установленное иным способом,

перед применением политики0x8 Оставлять приложение после отмены групповой политики0x10 Удалять приложение после отмены групповой политики0x20 Оставить приложение без управления0x40 Удалить приложение

Полное значение флажка определяется комбинацией показанныхвеличин.

Параметр UI Level указывает на степень взаимодействия пользовате-ля с программой установки:

Величина Обозначает

0x0 Уровень взаимодействия не изменяется0x1 Уровень взаимодействия принятый по умолчанию0x2 Полностью автоматическая установка0x3 Индикаторы процесс:! установки и сообщения об ошибках0x4 Настраиваемая установка, но с запретом программ-мастеров0x5 Полностью настраиваемая установка0x40 Показывать только индикаторы процесса установки0x80 Сообщать об удачной или неудачной установке


Далее перечисляются приложения, установленные не с помощью груп-повых правил. Если для приложения в поле Product is указано Managed,то оно было установлено с помощью Windows Installer. Если указаноUnmanaged, то установка была выполнена иначе, например с помо-щью Systems Management Server (SMS).

Windows 2000 Support Tools

Product QUID: {242365CD-80F2-11D2-989A-QOC04F7978A9}

Install Name: Windows 2000 Support Tools

Install Source: \\10.1.1.3\SOFTWARE\W2KSUP-1\

Install Date: 20020513

Local Source: C:\WINNT\Installer\6bb94.msi

Product is: Managed

Transforms:

Language:

Version: 0.0

Install State: UseDefaultLocalOrSource

Если в командной строке указать параметр /verbose, будут приведенызаписи из журнала приложений. Вот, например, информационноесообщение:

EventID: 301

Type: INFO

Date: 20:13:20.0000 - 05/13/2002

User: MYCORPW

Computer: W2KPRO

Source: Application Management

Description: The assignment of application Microsoft Office Web

Components from policy Install Office succeeded.

Data:

А вот предупреждение:

EventID: 1001Type: WARNDate: 19:32:07.0000 - 05/12/2002User: N/AComputer: W2KPROSource: MsilnstallerDescription: Detection of product '{00000409-78E1-11D2-B60F-006097C99BE7}', feature 'ProductNonBootFiles1 failed during request forcomponent '{CC29E9CD-7BC2-11D1-A921-OOAQC91E2AA2}'Data:

Наконец, приводится пример сообщения об ошибке. О том, что обо-значает такая ошибка и как с ней бороться, я расскажу дальше:


EventID: 1000

Type: ERROR

Date: 12:38:S3.0000 - 05/11/2002User: NT AUTMORITY\SYSTEH

Computer: W2KPRO

Source: UserenvDescription: The Group Policy client-side extension Application Managementwas passed flags (1) and returned a failure status code of (1612).Data:

SECEDIT

Устанавливается в Windows 2000 по умолчанию и в первую очередьпредназначена для работы с политикой безопасности. Утилита позво-ляет:

• анализировать установленные параметры безопасности путемсравнения с шаблонами;

• конфигурировать параметры безопасности по шаблонам;

• экспортировать текущие параметры в виде шаблонов,

Эти функции полностью аналогичны оснастке ММС Security Configu-ration and Analisys и многократно подробно описаны. Но, помимо них,есть еще две важные функции, выполняемые этой программой, кото-рые весьма полезны при ан:шизе и отладке групповой политики. Этообноапение политики и ее проверка.

Функция обновления политики позволяет принудительно выполнитьобновление правил на компьютере, не дожидаясь наступления пери-ода обновления и не выходя из системы с повторной регистрацией.Одной командой обновляется либо политика для пользователей, либодля компьютеров. Для обновления надо выполнить:

secedit /refreshpolicy machine_policy | user_policy

Если вы не изменяли правил, но хотите повторно применить поли-тику, то к указанной выше команде добавьте параметр /enforce.

Замечание Клиент Windows XP больше не поддерживает примене-ние команды secedit для обновления политики. Вместо этого следуетиспользовать утилиту gpupdate.

FAZAM2000

FAZAM 2000 (Full Armor Zero Administration for Windows 2000) — оченьудачный инструмент компании FullArmor. Он имеет две основныефункции: диагностики и анализа. Диагностика выполняется как налокальном компьютере, так и на удаленном. Представьте, что вы за-


пускаете gpresult, но так, чтобы увидеть результирующий набор пра-вил на другом компьютере и для другого пользователя.

Диагностика весьма информативна, так как не включает ничего лиш-него. Сразу видно, какие правила и к каким объектам Active Directoryприменены.

Л/ •

f Defaufc Domsn Polity

instdl OftUt

Policy Name

User PolicyCommon Ope

Croup PD

File Dialog

F AZ AM aooo

Hide the cotraRemove da ccnunon dialog MEUdropdownHide Йи сошлют dialog bick buttc

ProhibitpanelDisable rag^try t-inng to

from nimmg Display (

oil

Microsoft Manage me til ConsoleKestnct uslist of tti 3f

Offline Files

usang COM

! to Йи rapbcitly £>e

PeMtyli

jtjj^ ™_J ±1 111 _ - _„- -,,^г„:.-.- ..._.--,^-^-, i JJ : >

•«- - '; ::; "" :z т ' " r

Окно программы FAZAM2000

Функция анализа позволяет прогнозировать, что произойдет, если тотили иной пользователь будет перемещен в другое ОП или будет до-бавлен/исключен в какую-либо группу, а также если он зарегистри-руется на другом компьютере. Такое моделирование ситуаций позво-ляет определить потенциальные проблемы и исключить их.

Еще одна полезная функция этого инструмента — резервное копиро-вание и восстановление ОГП. Этой функции нет в Windows 2000, хотябез нее порой приходится трудно. Допустим, вы сформировали оченьудачную групповую политик)- в тестовой зоне и хотите перенести еев рабочую систему. FAZAM 2000 позволяет сделать копию политики ввиде файла, перенести его в рабочую систему и там восстановить.

Журналирование

При поиске проблем важную информацию можно почерпнуть изжурналов регистрации событий. Не является исключением и поискпроблем в инфраструктуре групповой политики. К счастью, в Windows2000 хватает журналов, содержащих сведения о применении правил.


Я бы даже сказал, что журналов слишком много, поэтому далее пока-зано, какую информацию и где искать.

Вам доступны следующие типы журналов:

• журнал событий приложений (Application Log) содержит достаточ-но общие сообщения о том, как выполняется обработка ОГП нарабочей станции или сервере;

+• каталог %systemroot%\debug\Usermode содержит текстовые файлыс детальнейшим описанием процессов применения'пользователь-ской политики;

ф журналы Windows Installer содержат подробности установки при-ложений, размещенных с помощью групповой политики.

Журнал событий приложений

Журнал событий приложений должен быть первым источником ин-формации при выявлении проблем с групповой политикой. К сожа-лению, по умолчанию в нем выводятся лишь самые общие сообще-ния — для анализа проблемы этого мало. Чтобы вывести подробнуюинформацию, нужны изменения в реестре. В ветви HKLM\Software\Microsoft \Windows NT\Curren[ Version надо создать еще один ключ —Diagnostics, а затем создать для него несколько параметров, опреде-ляющих степень детализации.

Параметр, тип, значение Для чего служит

RunDiagnosticloggmGlobal Подробная регистрация всех событийREG_DWORD = 0x1 относящихся к групповой политике:

перенаправление папок, обработкаправил RIS, установка приложений

RunDiagnosticIXJgginGroupPolicy Регистрация только общих сообщенийREG_DWORD = 0x1 групповой политикиRunDiagnosticLogginlnteJlirnirror Регистрация событий политики удалсн-REG_DWORD = 0x1 ной установки системы (RIS)RunDiagnosticLogginAppDeploy Регистрация событий установки прило-REG_DWORD ;= 0x1 жсний, определенных в политике

Эти параметры нужно добавить на всех серверах и рабочих станци-ях, на которых выполняется диагностика. Дабы облегчить труд, этоможно сделать посредством административного шаблона. Шаблондобавляет параметр RunDiagnosticLogginGlobal (о том, как добавитьэтот шаблон, см. [1]):

CLASS MACHINECATEGORY И Custom

POLICY MGPOLogging

KEYNAME "Software\Microsoft\Windows NT\CurrentVersion\Diagnostics"EXPLAIN !IGPOLogging.Help


VALUENAME "RunDiagnosticLogginGlobal"VALUEON NUMERIC 1VALUEOFF NUMERIC 0

END POLICYEND CATEGORY; Custom

[strings]GPOLogging="Bwiio4HTb подробное журналирование групповой политики"СР01одд1пд_Не1р="Данная политика позволяет включить подробное журнали-рование всех событий, связанных с применением групповой политики."Сustom="Custom Preference"

События, связанные с групповой политикой, заносятся в журнал отимени одного из трех источников:

+ Userenv отвечает за перечисление ОГП и выявление всех, что небыли применены;

• Application Management — источник событий, связанных с установ-кой приложений;

4 Scecli отвечает за события политики безопасности.

В ряде случаев в сообщении фигурирует фраза типа: «The Group Policyclient-side extension Security was passed flags (17) and returned a failurestatus code of (1332)" [''Клиентскому расширению групповой полити-ки был передан флаг (17) и получен код статуса ошибки (1332)»]. Такоесообщение исходит от источника Userenv и имеет Event ID=1000. Какего интерпретировать?

Начнем с выяснения того, что же за флаг был передан. Возможныследующие значения флага:

Значения флага групповой политики и их смыслЗначение флага (шестнад-

цатеричное и десятичное) Смысл

0x00000001 (1) Применяемая политика является компьютерной(не пользовательской)

0x00000010 (16) Фоновое обновление политики0x00000020 (32) Политика применяется по медленному каналу0x00000040 (64) Установлена политика подробного вывода

информации в журнал0x00000080 (128) С момента последнего цикла применения

политики не обнаружено никаких изменений0x00000100 (256) Скорость канала связи изменилась с момента

последнего применения групповой политики

Значения, приведенные в журнале регистрации, являются десятичны-ми и получаются в результате побитового ИЛИ указанных в таблицевеличин. Так, в примере 17 образуется из сложения 1б и 1, т. е. это

332 Active Directoryijioflxofl профессионала

сообщение о том, что компьютерные правила были применены вфоновом режиме.

Разобравшись с флагами, нетрудно понять и код статуса ошибки. Все,что нужно для этого сделать, — выполнить;

net helpmsg <нонер кода>

В нашем примере код 1332 соответствует сообщению «No mappingbetween account names and security IDs was done' (He было назначеносоответствие между SID и именем учетной записи).

Если, даже раскрыв содержание ошибки, вы не поняли причины, покоторой она произошла, то самое время заняться изучением журна-лов политики для пользователей.

Журналы политики для пользователей

Если не менять параметров в реестре, то в каталоге Usermode вы об-наружите только файл userenv.log, причем небольшого размера и со-вершенно неинформативный. Для целей диагностики нужно изменитьзначения параметров в реестре.

Замечание По умолчанию указанные параметры могут отсутство-вать в реестре. Создавая их, учтите, что все они типа REG_DWORD.

Параметры, вносимые в реестрдля активизации подробного журналированияЧто будет регистрироваться Параметр и его неличина

Трассировка применения групповой IIKLM\Sonware\Microsoft\Wmdowsполитики и обработка профиля NT\CurrentVersion\Winlogon\пользователя. Данные заносятся UserEnvDebugLevel = 0x10002в файл userenv.logРегистрация ошибок на клиентской HKLM\Software\Microsoft\Windowsстороне, возникающих при редакти- NT\CurrentVersion\Wmlogon\ровании ОГП. Заносится в журнал GPEdicDebugLevel = 0x10002gpcdit.logРегистрация загрузки файлов HKLM \Software \Microsoft\Wmdowsадминистративных шаблонов NT\CurrentVersion\Wmlogon\в файле gptext.log GPTextDebugLevel - 0x10002Регистрация событий, связанных HKLM\Software\Microsoft\\X'4ndowsс перенаправлением папок в файле NT\CurrentVersion\Diagnostics\fdcploy.log FDeployDebugLevcl = OxOfРегистрация событий, связанных HKLM\Softwarc; \Microsoft\Wmdowsс установкой ПО в файле NT\Currc;mVersion\Diagn6stics\appmgmt-log AppmgmtDcbugLevel = Ox9b

Вы можете удивиться: зачем модифицировать какие-то потайные па-раметры в реесгре вместо того, чтобы использовать привычные эле-менты интерфейса или групповую политику! Затем, что поток инфор-


мации, который хлынет в журналы после модификаций, будет таков,что сразу скажется на производительности системы, а со временем —переполнит жесткие диски.

Не думайте, что. включив подробное журналирование, вы сразу обна-ружите причину'проблем с групповой политикой, Придется попотетьи, возможно, потратить не один час на то, чтобы продраться сквозьдебри информации в этих файлах. Не верите? Тогда взгляните например выводимой информации в файле userenv.log. Я не привожувсей информации, так как это слишком много для этой книги.

Обратите внимание на такую неприятную вещь, как отсутствие дат: втексте только время. Дабы понять, какие события произошли недав-но, надо посмотреть в конец файла, так как в отличие от большин-ства журналов регистрации события здесь пишутся в конец.

Начинаются записи с сообщения о начале обработки групповой по-литики и определения роли компьютера. Фраза PingComputer озна-чает, что эта функция вызвана на рабочей станции, чтобы определитьскорость канала связи. В следующей строке дается заключение о том,что канал быстрый, т. е. будут обрабатываться все клиентские расши-рения политики.

USERENV(cc.580) 20:04:46:870 ProcessGPOs: Starting computer GroupPolicy processing...USERENV(cc.580) 20:04:46:680 EnterCriticalPolicySection: Machinecritical section has been claimed. Handle = Ox5d4

USERENV(cc.580) 20:04:46:980 ProcessGPOs: Machine role is 3.

USERENV(cc.580) 20:04:46:890 PingComputer: First time: 0USERENV(cc.580) 20:04:46:890 PingComputer: Fast link. Exiting.

Теперь — регистрация имени учетной записи компьютера, именидомена и его контроллера и сообщение о вызове функции GetGPOInfoв нормальном режиме обработки политики.

USERENV(cc.580) 20:04:46:900 ProcessGPOs: User name is:CN=ROOT1,OU=Domain Controllers,DC=mycorp,DC=ru, Domain name is: HYCORPUSERENV(cc.580) 20:04:46:900 ProcessGPOs: Domain controller is:\\ROOT1.mycorp.ru Domain ON is mycorp.ruUSERENV(cc.580) 20:04:46:910 ProcessGPOs: Calling GetGPOInfo for normal

policy mode

Далее по очереди выполняется поиск ОГП в Active Directory и в ката-логе SYSVOL.

USERENV(cc.580) 20:04:47:250 ProcessGPO: =============================USERENV(cc,580) 20:04:47:260 ProcessGPO: =============================

USERENV(cc.580) 20:04:47:260 ProcessGPO: Searching <CN={6AC1786C-016F-


11D2-945F-OOC()4fB984F9},CN=Policies,CN=System,DC=niycorp,DC=ru>USERENV(cc.580) 20:04:47:260 ProcessGPO: Machine has access to this GPO.USERENV(cc.580) 20:04:47:260 ProcessGPO: Found functionality version

of: 2USEHENVCcc.580) 20:04:47:260 ProcessGPO: Found file system path of:<\\mycorp.ru\sysvol\mycorp.ru\Policies\{6AC1786C-Ol6F-11D2-945F-

OOC04fB984F9}>USERENV(cc.580) 20:04:47:280 ProcessGPO: Found common name of:<<6AC1786C-OieiF-11D2-945F-OOC04fB984F9}>USERENV(cc,580) 20:04:47:280 ProcessGPO: Found display name of:

<Default Domain Controllers Poltcy>USERENV(cc.580) 20:04:47:280 ProcessGPO: Found machine version of:GPC is 2, GPT is 2USERENV<cc.580) 20:04:47:280 ProcessGPO: Found flags of: 0USERENV(cc.58C) 20:04:47:280 ProcessGPO: Found extensions:[{827D319E-6EAC-11D2-A4EA-OOC04F79F83AH803E14AO-B4FB-11DO-AODO-OOAOC90F574B}]

Вся приводимая информация практически идентична той, что мырассматривали в разделе, посвященном утилите GPOTool. И впрямь: вследующем фрагменте показано, как в реестре определяется, были лиизменения с момента применения правил в последний раз:

USERENV(cc,580) 20:04:47:310 ProcessGPOs: Processing extension RegistryUSERENV(cc,580) 20:04:47:310 CompareGPOLists: The lists are the same.USERENV(cc.580) 20:04:47:310 CdeckGPOs: No GPO changes and no securitygroup membership change and extension Registry has NoGPOChanges set.Далее идут сообщения об обработки клиентских расширений.USERENV(cc.580) 20:04:47:321 ProcessGPOs: Processing extension FolderRedirectionUSERENV(cc.580) 20:04:47:321 ProcessGPOs; Extension Folder Redirectionskipped with flags 0x10007.Заканчивает эту порцию информации сообщение о том, что политика былаприменена, и о том, когда она будет применена в следующий раз. Нашкомпьютер является контроллером домена, значит, Default domaincontrollers policy будет применена через 5 минут.USEREHV(cc.580) 20:04:47:371 ProcessGPOs: Computer Group Policy hasbeen applied.USERENV(cc.580) 20:04:47:381 ProcessGPOs: Leaving with 1.USERENV(cc.580) 20:04:47:381 GPOThread: Next refresh will happen in 5minutes

И ничего страшного! Дело за малым — найти нужную информацию.


Журналы установки приложений

Рассмотрим последний тип журналов — журнал работы WindowsInstaller. Чтобы управлять объемом регистрируемой информации, ненадо прибегать к модификации параметров реестра вручную. Дляэтого существует правило Logging из раздела Windows Components\Windows Installer шаблонов компьютерной политики. Оно хорошодокументировано и не нуждается в дополнительных комментариях.

Выводимая информация идентична той. что выводит программаaddiag. Только в отличие от последней вы можете управлять степеньюподробности.

Общие проблемы групповой политики

Рассмотрим теперь характерные ошибки и способы борьбы с ними,отбросив те, что связаны с невнимательностью или забывчивостьюадминистратора.

Зависание компьютера при регистрациипользователя или запуске компьютера

Возможная причина Способ решения

Причин может быть несколько,но наиболее вероятная — непра-вильная политика сценариев.Например, вы определили сцена-рий запуска компьютера, требую-щий взаимодействия с пользова-телем, но забыли разрешитьиспользование таких сценариев

Проверьте доступность файлов сцена-риев. Возможно, вы указали неверныйпуть к ним, или сервер, на которомони расположены, недоступен.Попробуйте выполнить сценарии втестовом режиме. Посмотрите, требу-ют ли они взаимодействия с пользова-телем. Если да, то разрешите примене-ние таких сценариев.Измерьте время выполнения каждогоиз сценариев. Возможно, оно превы-шает установленный тайм-аут. Еслиэто так. подкорректируйте соответ-ствующую ПОЛИТИКУ

Определенная политика не обрабатывается полностью или частично


Наиболее вероятные причины:неправильные права доступа кконтейнеру (КГП) или шаблону(ШГП) групповой политики, КГПи ШГП рассинхронизированы,ОГП сконфигурирован так, чтообрабатывается только послевнесения изменений

Проверьте права доступа к КГП и ШГП.В списках контроля доступа должныприсутствовать учетные записи техгрупп пользователей и компьютеров,для которых политика предназначает-ся. Они должны иметь разрешенияRead и Apply Group Policy.Для проверки синхронности КГП иШГП примените Gpotool. Если рассин-хроншация имеет место, выяснитепричину Используйте Replication


12-2005



Компьютер, к которому приме-няется политика, обнаружилмедленный канал связис контроллером домена

Испорчена/отсутствует динами-ческая библиотека, ответственнаяза обработку клиентскогорасширения групповой политики

Monitor (см. главу «Репликация ActiveDirectory»),Чтобы понять, выполняется ли какая-либо часть политики, посмотритеисторию политики (раздел «Историяприменения правил»). Если нужно,чтобы политика применялась незави-симо от того, был ли изменен ОГП,установите соответствующее правило(см. раздел * Применение неизменнойполитики*)Проверьте по файлу userenv.log, дей-ствительно ли это так. Если канал мед-ленный, по политика должна бытьприменена, измените соответствующееправило. (См. раздел «Обработкапо медленным каналам связи»)Проверьте, что все клиентские расши-рения зарегистрированы на компьюте-ре путем сравнения содержимого вет-ви НКШ \Software\Microsoft \WindowsNT\CurrentVersion\Winlogon\GPExten-sions на проблемном и исправномкомпьютерах. Убедитесь, что всеуказанные динамические библиотекиприсутствуют в каталоге%systemroot%\system32

Обрабатывается не тот ОГП


Причин может быть несколько.Например, компьютер можетсчитать, что он находится вдругом сайте и поэтому получатьдругую политику.Возможно, используются пере-мычки правил(см. раздел «Перемычки»)

ОГП связан не с темконтейнером

Проверьте принадлежность компьюте-ра к сайту, выполнив команду nicest.Если сайт не верен, то разрешите этупроблему с помощью оснастки ActiveDirectory Sites and ServicesПроверьте, что для компьютера, накотором зарегистрирован пользова-тель, не установлена политикаLoopback (перемычка). Сделать этоможно, посмотрев значение параметраUserPolicyMode в ветви реестраHKI.M \Software\PoHcies\Mlcrosoft \Win-dows\ System. Если оно равно 1 или 2,то используется перемычкаТакое происходит по рассеянностиадминистратора. Проверьте, с какимиобъектами в Active Directory связануказанный ОГП


Политика вообще не применяется


Причин не так уж много.1. Вы забыли связать ОГП с

каким-либо объектом ActiveDirectory.

2. Рассинхропизация паролеймежду компьютером и контрол-лером домена.

3. Проблемы с разрешениемимен DNS.

4. Проблемы с репликацией ActiveDirectory или NTFRS

Для начала проверьте наличие связи.Если она все-таки есть, проверьтесостояние компьютера используя ути-литы netdom или nitest. При необходи-мости синхронизируйте пароли.Проверьте разрешение имен утилитойNslookup (см. главу «Установка ActiveDirectory»).Выясните как работает репликация(см. главы "Репликация Active Directory»и "Active Directory и файловая система»).Что касается рассинхронизации паро-лей, то она может возникать в пара-доксальной ситуации. Положим, выоткрыли терминальный сеанс на кон-троллере домена, зарегистрировавшиськак администратор. Спустя некотороевремя вы изменили пароль админист-ратора, используя оснастку ActiveDirectory Users and Computers на дру-гом контроллере. Именно с этогомомента возникнет рассинхронизацияпаролей между открытым терминаль-ным сеансом и контроллером, на кото-ром он открыт. Как следствие,пользовательская политика не будетприменяться на этом контроллерек администратору. В журнале событийпоявится сообщение с Event ID-1000 ине содержащее упоминаний о флагах(см. выше) вообще. Для разрешениядостаточно закрыть терминальныйсеанс, а потом открыть его заново

ЗаключениеНу вот. еще одна глава позади. Прочитав ее, кто-то скажет: «Зачемстолько подробностей? Правила — они и в Африке правила. Надобудет — открою Windows 2000 Server Resource Kit и прочитаю». Так-то оно так, но есть вещи, которые теряются в таких толстых книгах.Я же собрал здесь в концентрированном виде то, без чего не стоит идумать о групповой политике. Но не вздумайте, что теперь вам морепо колено! Упаси вас Бог браться за нее, не прочитав главу «Проекти-руем Active Directory'». Я уж не говорю о главе «Репликация ActiveDirectory», о системе безопасности, тиражировании NTFRS и т. д. Ко-роче, читайте и разбирайтесь.

Active Directoryи файловая система

Прочитав название главы, кто-то решит, что речь пойдет о файлахActive Directory, о том, как они хранятся на диске и как с ними рабо-тать. Но это не так. Во-первых, о файлах базы Active Directory расска-зано в главе «Установка Active Directory», а о том, как поддерживатьих целостность и исправлять, — в главе «Ищем и устраняем пробле-мы*. Во-вторых, в Windows 2000 хватает служб, которые активно ис-пользуют файловую систему и воздействуют на нее и в то же времянеразрывно связаны с Active Directory. Можно, конечно, упомянутьслужбу безопасности Windows 2000, тесно интегрированную с ActiveDirectory, но вопросы безопасности прекрасно разобраны в существу-ющей литературе (см. [1], [3]). Та служба, без описания которой этакнига была бы неполной, — это служба репликации файловой систе-мы NTFRS (далее — служба FRS). Она неразрывно связана со службойрепликации Active Directory и частенько упоминалась в соответству-ющей главе. Не менее часто на нее я ссылался в главе «Групповаяполитика*. Наконец, о ней я упоминал в главе "Установка Active Direc-tory*. Пора поговорить о ней подробнее.

Очень тесно с FRS связана служба распределенной файловой систе-мы (DFS). А так как DFS связана и с Active Directory, то не рассказатьо ней в этой книге нельзя. Однажды я уже описывал работу DFS до-вольно подробно в [1], так что здесь я шире освещу те вопросы, окоторых ранее лишь упоминал.


Служба репликации файловой системыКак вы знаете, программа DCPROMO создает каталог SYSVOL в кото-ром расположены файлы групповой политики Windows 2000, систем-ной политики Windows 9х/№Г, файлы сценариев и ряд других фай-лов, присутствие которых необходимо для нормальной работы ActiveDirectory. Содержимое каталога SYSVOL должно быть идентичным навсех контроллерах в домене, а это значит, что должен существоватьмеханизм репликации файлов.

В главе «Репликация Active Director}'» я подробно разобрал механизмрепликации объектов Active Directory. Механизм репликации файловво многом похож на него, но не во всем.

Как распространяются измененияПри распространении изменений атрибутов объектов Active Directoryиспользуется номер последовательного обновления USN объекта, ипрактически не используется время изменения объекта. РепликацияFRS осуществляется аналогично.

Когда на одном из контроллеров домена происходит изменение вфайле, он передается всем партнерам по репликации (причем цели-ком, даже если изменился всего 1 байт). Партнеры должны решить,принять этот файл или отвергнуть.

чРассмотрим этот алгоритм на примере. Пусть в домене два контрол-лера: А и Б. Файл, измененный на контроллере А, передается на кон-троллер Б. Для каждого файла хранится метка в которой записановремя его последней модификации. Итак, контроллер Б принял файл...

• Если на контроллере А файл изменлся на 30 минут позже, чем наконтроллере Б, то изменение (т. е. файл) принимается безогово-рочно. Если на контроллере А файл изменлся на 30 минут рань-ше, чем на контроллере Б, файл отвергается. Таким образом, еслимежду двумя контроллерами не выполнялась репликация FRS бо-лее 30 минут, а изменения вносились на обоих контроллерах, топосле восстановления репликации результирующими будут изме-нения, сделанные позже.

ф Если разница во времени изменения на обоих контроллерах непревышает 30 минут, используется дополнительная проверка. Дляначала сравниваются версии файлов. Под версиями понимаетсязначение, аналогичное номеру USN и поддерживаемое на контрол-лерах для каждого файла. Если версия файла на контроллере А мень-ше версии на контроллере Б. изменение отвергается, если же боль-ше — принимается. (Как видим, это в точности соответствует срав-нению номеров USN при репликации атрибутов Active Directory.)

Active Directory и файловая система 341

Когда номера версий совпадают, сравнивается точное время изме-нения файла. Побеждает тот контроллер, на котором файл былизменен позже.

Если случится (хоть это и маловероятно), что времена измененияфайла совпадают, сравниваются размеры файлов на двух контрол-лерах •— больший будет взят за основу.

Наконец, если и размер файлов одинаков, сравниваются номера GUIDконтроллеров домена — чей номер GUID больше, тот и победит.

Версияисточника

больше версии

назначения

Схема распространения изменений

Описанный алгоритм отличается от алгоритма разрешения конфлик-тов при репликации Active Directory только в сравнении размерафайла. Все остальные критерии совпадают.

Инициация тиражирования

Репликация FRS инициируется при изменении файла в каталоге SYSVOLЭто весьма похоже на инициацию репликации Active Directory. Еслипродолжить сравнение дальше, то репликация между сайтами иници-


ируется по расписанию. Как и репликация Active Directory, реплика-ция FRS выполняется по умолчанию, конфигурировать ее не надо.

Совсем иное дело — репликация отказоустойчивых томов DFS. Репли-кация FRS используется и в этом случае, но имеет ряд особенностей.

• Репликация FRS применима только к доменным томам DFS (см. [1]).

4 Служба NTFRS установлена только на серверах Windows 2000; наконтроллерах домена она запущена по умолчанию, а на членахдомена запускается по требованию. Для репликации DFS надо явноуказать, как ее выполнять.

• Изменение времени сохранения файла или каталога не иниции-рует репликации DFS,

• Изменение атрибута архивирования папки не инициирует репли-кации DFS. Это и предыдущее: условия указывают на необходимостьвыполнения репликации по расписанию.

+ Репликация DFS выполняется по собственному расписанию. Окнорепликации жестко определяет допустимое время тиражированияфайлов. Если к моменту закрытия окна репликация не была завер-шена, то в отличие от репликации Active Directory тиражированиефайлов будет прервано до следующего окна.

• Расписание тиражирования DFS можно создать как для объектасвязи, так и для набора реплик. Расписание, созданное для объек-та связи, имеет преимущество. Однако если набор реплик содер-жит большое число реплик, проще назначить расписание целом)'набору, чем заниматься этой работой для каждого объекта связи.

Чтобы репликация файлов DFS работала, надо соблюсти следующиеусловия.

+ Совместно используемый каталог DFS должен находиться на томе сфайловой системой NTFS v.5. -Это связано с тем. что для работы FRSнужен журнал изменений NTFS, где записываются изменения фай-лов. Если компьютер был выключен до репликации, это не страшно,так как все изменения по-прежнему хранятся в журнале NTFS.

• Совместно используемый каталог DFS не должен располагаться накластере.

• Компьютер с каталогом DFS должен быть членом домена Windows2000.

Избыточность

Репликация FRS обеспечивает избыточность для каталога SYSVOL и дляDFS. Избыточность заключается в следующем.

• Обеспечивается существование идентичных каталогов, доступ ккоторым, с точки зрения пользователя, непрерывен. Пользователь

Active Directory^ файловая_система 343

не может определить в каждый момент времени, к какому катало-гу он обращается. При выходе из строя любого каталога пользо-ватель автоматически подключается к другому, входящему в избы-точный набор.

• Может быть задействовано несколько путей тиражирования изме-нений в каталогах. Если один из путей недоступен, используетсядругой. Механизм демпфирования препятствует возникновениюбесконечных циклов репликации и обеспечивает однократнуюпередачу изменений между двумя контроллерами при наличиинескольких путей тиражирования.

Когда удобно использовать репликацию FRS

Дочитав до этого места, вы, наверное, задумались о практическомприменении FRS и пришли к выводу, что обеспечиваемый доступ кданным далек от того, который предоставляют специализированныерешения.

Обратите внимание на то, как реплицируются файлы. Если два пользо-вателя одновременно работают над одним документом, хранящимсяв разных репликах, то механизма, объединяющего сделанные ими из-менения, не существует. Если в одной реплике пользователь А доба-вил к документу 10 страниц, а в другой пользователь Б удалил 4 стра-ницы, но сделал это на 10 минут позже, то после репликации в доку-менте будет на 4 страницы меньше.

Открытый файл не реплицируется, а это чревато неприятностями.Допустим, пользователь создавал документ в течение нескольких днейв Microsoft Word. Все это время он держал документ открытым. Нако-нец, сохранив его, пользователь закрыл Word. И тут же вспомнил, чтозабыл поставить многоточие в эпиграфе. Открыв документ, он ставитнужный знак, сохраняет файл и... теряет плоды своего многодневно-го труда. Вы, конечно, поняли, что, вторично открыв документ, пользо-ватель обратился к другой реплике, до которой еще не дошли изме-нения. Так как ему было нужно самое начало документа, пользовательне удостоверился в том, что это тот файл, что ему нужен (точнее, ему ив голову это не пришло). Эта реплика стала авторитетной — ведь вер-сии документа совпали, а время сохранения оказалось более поздним.

Следует обратить внимание и на то, когда выполняется репликация.Представим два сайта, связанных небыстрым каналом связи. В целяхоптимального использования пропускной способности расписание-репликации составлено так, что изменения файлов тиражируютсятолько по ночам. А значит, все, что заносится в файл в одном сайте,станет доступно в другом только ночью, а реально — на следующееутро, когда пользователи выйдут на работу.


Что из всего сказанного следует? А вот что.

• Репликация FRS — идеальный вариант для редко изменяемых дан-ных, например, файлов групповой политики, сценариев, обязатель-ных профилей пользователей (все они расположены в каталогеSYSVOL), а также дистрибутивов программ, применяемых группо-выми правилами для установки на клиентские компьютеры, все-возможных справочников и нормативных документов, размещен-ных в каталогах DFS.

+ Репликация FRS не годится для тиражирования файлов БД (ониобычно имеют большой размер и тиражируются полностью прилюбой модификации), персональных каталогов пользователей(документы пользователей часто изменяются) и любой иной час-то обновляемой информации.

Работа службы FRS в подробностяхВ первую очередь следует уяснить, какой партнер является входнымдля другого, а какой — выходным. Если имеются два компьютера -партнера по репликации А и Б и изменение выполняется на компью-тере А. то он является входным партнерам для компьютера Б, а тот —выходным партнерам для компьютера А. (Выходной значит не «без-дельник», а «стоящий на выходе».) Если изменение происходит накомпьютере Б, то он становится входным партнером для компьютераА. а тот — выходным для компьютера Б.

Изменение

Компьютер А Компьютер Б

j Входной для Входной дляпартнера Б партнера А

Входной и выходной партнеры

Для тиражирования изменений между компьютерами должны суще-ствовать объекты связи. Объекты связи однонаправленны. Если изме-нение надо передавать от компьютера А к компьютеру Б и наоборот,то должны быть созданы два встречно направленных объекта связи.

Для каждого набора реплик должен быть создан список партнеров порепликации. Репликация каталога SYSVOL использует ту же тополо-гию и тех же партнеров по репликации, что и Active Directory. To естьпартнеры определяются КСС автоматически. Когда FRS используется


для репликации томов DFS, администратор вручную указывает парт-неров и топологию.

До сих пор все было весьма похоже на репликацию Active Directors'.А теперь различия.

Служба FRS является полностью многопоточной. Это значит, что одинпартнер по репликации способен одновременно принимать измене-ния от нескольких своих партнеров. Напомню, при репликации ActiveDirectory многопоточной является только исходящая репликация, прикоторой изменения забираются одновременно несколькими партне-рами. Входящая репликация является последовательной. В каждыймомент времени принимаются данные только от одного партнера.

Служба FRS постоянно следит за журналом NTFS и отслеживает мо-менты закрытия файлов. Когда файл закрывается, партнеры по реп-ликации оповещаются об изменении. Сам измененный файл при этомкопируется в подготовительный каталог, в котором файлы времен-но хранятся, пока их не заберут партнеры по репликации. Необходи-мость в таком каталоге очевидна.

ф Крупный файл тиражируется значительное время, в течение кото-рого файл заблокирован для доступа. Дабы пользователи не испы-тывали неудобств, файл быстро копируется в подготовительныйкаталог.

+ Если при тиражировании произойдет обрыв канала, пользовате-ли могут получить неполный файл. Избежать этого позволяет про-межуточное хранилище — подготовительный каталог.

После того как партнеры забирают файл из промежуточного катало-га, тиражирование считается завершенным, и файл удаляется из про-межуточного каталога.

Замечание Если какой-либо из партнеров длительное время незабирает причитающиеся ему изменения (например, выключен), топромежуточный каталог не очищается, и его размер растет, пока недостигнет максимально установленного значения. После этого рабо-та службы FRS прекращается. Поскольку такая ситуация нежелатель-на, в SP3 внесено изменение, в соответствии с которым промежуточ-ный каталог начинает освобождаться от «старых» файлов при дости-жении им 90% от максимально допустимого объема.

Выходная репликация

Выходная репликация начинается с момента занесения в журнал NTFSзаписи об изменении файла на партнере-иницииаторе (для всех сво-их партнеров по репликации это входной партнер).


Все этапы показаны на рисунке.

1. Все, что заносится в журнал NTFS. сохраняется даже при переза-грузке и крахе ОС. Это обеспечивается транзакционностью запи-сей. Объем этого журнала ограничен, но достаточен для работыслужбы FRS. При необходимости его можно увеличить.

2. Служба FRS выполняет постоянный мониторинг записей в журна-ле. Как только обнаруживается, что файл закрылся, выполняетсяпроверка, нет ли его в списке исключаемых из процесса реплика-ции. Все исключения записаны в фильтрах (см. о них ниже).

3- Если файла нет в фильтре, выдерживается пауза в 3 секунды, что-бы в файл были занесены последующие быстрые обновления.

4. В журнал входа заносится запись об изменении, указывающая, вкаком порядке относительно других изменений было сделано дан-ное. Это требует небольшого пояснения. Дело в том. что в этотжурнал заносятся данные обо всех изменениях, поступивших отпартнеров по репликации. Эти данные будут использованы для раз-решения конфликтных ситуаций. Одновременно в таблиц иден-тификаторов заносятся сведения, необходимые для восстановле-ния в случае краха ОС.

5- Копия измененного файла создается в подготовительном каталоге.

Замечание После установки SP2 поведение несколько изменяется,Если файл изменяется несколько раз в течение короткого срока, то вподготовительный каталог кладется только его последняя версия.Дополнительно файл в подготовительном каталоге сжимается.

6. Выполняется запись в журнал выхода, в котором регистрируетсяпоследовательность изменений, выполненных на локальном ком-пьютере для определенной реплики. Источником изменений мо-гут служить как локальные, тдк и поступившие с других партнеровпо репликации.

7. Партнеры по репликации уведомляются об изменении. Для рас-сылки служит защищенный механизм RPC, использующий про-токол Kerberos для аутентификации и шифрования передаваемыхданных.

С этого момента забудем об источнике — переместимся на компью-тер-приемник.


©

©©

Изменение в журнале NTFS

В журнал занесено событиезакрытия файла

Подождать 3 секунды

Записать изменениев журнал входаи в таблицу ID

Скопироватьфайл в локальный

подготовительный каталог

Внести записьв журнал выхода

Послать RPC-уведомлениепартнеру по репликации

Репликацию не выполнять

Алгоритм репликации на партнере-инициаторе

Входная репликация

Получив уведомление об изменении, партнер-приемник (для партне-ра-отправителя это выходной партнер) делает следующее.


1. Запрашивается файл. Файл передается по сети без сжатия.

Замечание После установки SP2 тиражируемый файл по сети пе-редается в сжатом виде.

2. Информация о файле заносится в журнал входа и таблицу иден-тификаторов.

3. Файл копируется в локальный подготовительный каталог.

4. Информация заносится в журнал выхода для оповещения партне-ров по репликации об изменении.

5. Измененный файл создается в предустановочном каталоге, а затемпереносится в нужное положение на диске.

На этом репликация завершается. Как видите, процесс довольно пря-молинеен. Пояснения требуют таблицы FRS и журналы в них.

© Запросить файл у партнера

Записать изменение в журнал

входа и в таблицу ID

Скопироватьфайл в локальный

подготовительный каталог

0 Виши записьв журнал выхода

Скопировать файлиз подготовительного

каталога в предустановочный

Поместить файлв финальное положение

Алгоритм репликации на партнере-приемнике


Таблицы службы FRS

В каталоге %systernroot%\ntfrs\jet хранятся файл mfrs.jdb и ряд ката-логов. Расширение .jdb указывает на то, то это файл БД Jet. Он содер-жит таблицы службы FRS для каждого набора реплик. В каталоге logрасположены файлы edb.log (журнал транзакций) и два файла resl.logи res2.log, которые служат для резервирования места на жестком дис-ке. В каталоге Sys лежит файл edb.chk — список контрольных точек,Такое устройство БД полностью аналогично устройству базы ActiveDirectory ntds.die.

В этом, каталоге хранится база транзакций NTFKS

В файле ntfrs.)et хранятся следующие таблицы.

• Таблица соединений — по одной записи для каждого партнера порепликации

• Журнал входа содержит очередь изменений, которые должны бытьсделаны на данном компьютере. Как только выполняется очередноеизменение, партнерам по репликации рассылаются уведомления.

• Журнал выхода содержит очередь изменений, которые должныбыть переданы всем партнерам по репликации. Записи остаютсяв журнале, пока все партнеры не сообщат о том, что приняли из-менения. Очевидно, что при неблагоприятных условиях размержурнала может оказаться весьма большим.

• Вектор версии (Version Vector) аналогичен вектору обновленнос-ти репликации Active Directory. Представляет собой массив чисел,указывающих на изменения, полученные от каждого из партне-ров — источников изменений. При определенных условиях век-тор версии посылается входному партнеру, чтобы тот решил, ка-кие изменения переслать, а какие нет.

• Таблица ID содержит список всех файлов в наборе реплик, с кото-рыми имеет дело служба FRS. Каждая запись состоит из номера


GUID, идентификаторов имени файла, родительского файла иобъекта файла, а также номера версии и времени события.

Объекты Active Directory, используемые FRS

Служба FRS использует Active Directory для хранения нужных ей све-дений о расположении файлов БД. каталогов, включенных в наборреплик, о фильтрах и т. п. Для хранения служат специальные объектыи атрибуты. Но прежде чем рассказать о них, я объясню пару терми-нов, используемых при рассмотрении службы репликации файлов.

Чтобы некоторые файловые объекты задействовали службу FRS, орга-низуется подписка на услуги. Объекты реплик, использующие службуFRS для тиражирования данных, называются подписчиками. Каждыйсервер, на котором работает служба FRS, имеет собственную подпис-ку, а в каждой подписке может быть свое количество подписчиков.Сведения о подписках и подписчиках хранятся в контейнере <имядомена>\Оотат Сотго11ег5\<имя сервера>\МТРК5 Subscriptions. Кон-тейнер является объектом класса ntFRSSubscriptions, а подписчики —объектами класса NtFrsSubscriber. По умолчанию подписчиками явля-ются объекты каталогов SY5VOL на контроллерах домена.

«j QiWWWn System Volume (SYSVOL share) nTWBSutBofcei OJ

# LJ OJ-{7«]3iacb-Oq2t-4755-.iabe-lH {ill CH-Doman system Volur* (SVSTOL shaej '-^

I см-*сют1I CN-RCiorj ^_______----''"

I CN-ffSeourtyО CN-Meeting?

Объекты репликации FRS

Если вы сконфигурировали отказоустойчивую доменную DFS,подписчикам добавятся объекты реплик каталогов DFS. Причем

то крас-

Active Directory и_файловая система 351

полагаться они будут в том же контейнере, что и объекты SYSVOL, ноне сразу, а во вложенных контейнерах \DFS \'о1итек\<номер СиЮ>\имятома DFS. Все эти контейнеры также являются объектами классаntFRSSubscriptions. Из атрибутов этих объектов интерес представля-ют, пожалуй, два:

• frsVersion может содержать номер версии;

ф frsWbrkingPath содержит путь к базе NTFRS.

Дополнительную информацию о подписчиках можно узнать, изучиватрибуты объектов класса NtFrsSubscriber:

+ frsRootPath указывает путь к корню реплики;

• frsScagingPath указывает путь к подготовительному каталогу реп-лики ;

• frsMemberRe fere псе укалывает на объект — член набора реплик,которому он принадлежит.

Поясню на примере. Допустим, на контроллере домена roocl.mycorp.ruсистема установлена в каталог c:\winnt, а остальные параметры приня-ты по умолчанию. Значения перечисленных атрибутов в этом случае:

frsWorkingPath = «c:\winnt\ntfrs»;frsRootPath = «c:\winnt\sysvol\domain»;

frsStagingPath = «C:\WINNT\SYSVOL\staging\domain»;frsMemberReference = «CN=ROOT1,CN=Domain System Volume(SYSVOL share),CN=File Replication Service,CN=System,DC=mycorp,DC=ru»,

Как видите, последний атрибут указывает еще на один контейнер вActive Director^', содержащий сведения о службе FRS. Замечу, что этоместо более предсказуемо, так как контейнер System (а речь идет онем) хранит данные о системных объектах. Именно в нем располо-жен контейнер File Replication Service. Если DFS не сконфигурирова-на, то в этом контейнере помещается только объект Domain SystemVolume (SYSVOL share). Большого интереса он не представляет. Дру-гое дело, если сконфигурирована доменная DFS. Тогда к упомянутомуобъекту добавляется иерархия объектов:

cn=DFS Volumes (класс nTFRSSettings)сп=<имя корня DFS> (класс nTFRSSettings)

сп=<имя набора реплик DFS> (класс nTFRSReplicaSet)сп=<номер GUID члена реплики> (класс nTFRSMember)

сп=<номер QUID объекта связи> (класс nTDSConnection)

сп=<иия реплики DFS>

Эту информацию можно использовать для построения топологиирепликации DFS.


Четыре атрибута связывают членов FRS с объектами-подписчиками:

1. Объект — член FRS использует атрибут frsComputerReference дляуказания на компьютерный объект.

2. Объект-подписчик использует атрибут frsMemberReference дляуказания на объект — член FRS.

3- Объект — член FRS использует атрибут serverReference для указа-ния на объект NTDS Settings. В нормальных условиях эта связьформируется только для объектов SYSVOL

4. Объект связи использует атрибут fromServer для указания наобъект — член FRS.

Знание этих атрибутов и взаимосвязей между ними может пригодить-ся при выяснении причин проблем с репликацией FRS.

Настройка FRS

Зная, какие компоненты службы FRS и за что отвечают, службу мож-но настроить:

• изменить общие параметры службы FRS

ф установить фильтры для реплик файлов и каталогов

• задать расписание репликации.

Изменение интервалов опроса Active Directory

Служба FRS постоянно сверяется с конфигурационной информаци-ей, записанной в Active Director)'. Первый раз это происходит призапуске службы. Затем FRS определяет партнеров по репликации длякаждого набора реплик.

Служба периодически обращается к Active Directory, чтобы понять, непроизошло ли изменений, способных повлиять на взаимоотношениякомпьютера с партнерами. Интервал обращения не постоянен.

Сначала используются 8 коротких интервалов (по умолчанию 5 ми-нут). Если в течение этого срока конфигурация не меняется, проис-ходит переключение на длинные интервалы (по умолчанию 5 минутдля контроллеров доменов и 60 — для серверов-членов домена). Еслиже изменения произошли, счет коротких интервалов сбрасывается в 0.Счет интервалов сбрасывают такие события:

ф добавление реплики;

ф удаление реплики;

+ добавление объекта связи;

+ удаление объекта связи;

ф изменение расписания;

+ изменение фильтра файлов или папок.


Длительность коротких и длинных интервалов можно регулировать,изменяя в ветви реестра HKLM\Systern\CurrentControlSet\Services\NtFrs\Parameters значения параметров DS Polling Short Interval inMinutes и DS Polling Long Interval in Minutes. Устанавливаемое значе-ние соответствует времени в минутах. Минимально возможная вели-чина — 1 минута.

Установка фильтров

Фильтры устанавливаются на файлы и каталоги, чтобы исключить ихиз репликации. Фильтрация возможна как для набора реплик SYSVOL,так и для набора реплик корня DFS и томов DFS.

По умолчанию не выполняется тиражиронание:

• зашифрованных файлов EFS — в Windows 2000 нет смысла копи-ровать зашифрованные файлы куда бы то ни было, так как нельзяорганизовать к ним совместный доступ;

• точек перехода NTFS — поскольку они не являются файлами (см.[1]), а лишь указывают на какое-либо еще место на локальном ком-пьютере или на съемном носителе;

• файлов с расширениями .bak и .tmp — они не представляют цен-ности, так как временно образуются в результате работы прило-жений таких, как Microsoft Word;

• файлов, начинающихся с символа <•"•>. — они тоже, как правило,служат для временного использования и удаляются по окончанииработы программ их породивших.

Внимание Действие фильтров распространяется только на файлы,добавляемые к набору реплик. Если файлы, описываемые фильтром,существовали до его добавления, действие фильтра не будет распро-страняться на них.

Допустим, вы заменили стандартные фильтры файлов с расширения-ми .bak и .tmp на новый фильтр файлов с расширением .??_. При этомвсе файлы с расширением, заканчивающимся символом подчерка исуществовавшие до установки фильтра, будут по-прежнему тиражиро-ваться. Все вновь добавляемые файлы с такими расширениями тира-жироваться не будут. Чтобы не выполнялось тиражирование всехфайлов этого типа, их надо удалить вручную.

С другой стороны, все «старые» файлы с расширениями .bak и .tmpтиражироваться не будут, а вот новые файлы таких типов — будут. Еслинадо разрешить тиражирование прежних файлов, их надо модифи-цировать.

Почему используется столь «неудобная» логика? Допустим иную ло-гику: действие добавленного фильтра распространяется на файлы


указанного типа независимо от того, существовали ли они раньше.В этом случае ваша ошибка может дорого обойтись. К примеру, еслислучайно в фильтре указать «*.doc», то не просто прекратится тиражи-рование указанных файлов, но они будут удалены во всех репликах.

Кроме файлов, можно фильтровать каталоги, для чего указываетсяспециальный фильтр. Правила примерно те же, что и для фильтровфайлов,, но дополнительно установлено, что если в исключаемом ка-талоге есть вложенные файлы и каталоги, то они также исключаютсяиз процесса репликации.

Фильтры можно установить двумя способами. Первый: с помощьюоснастки Active Directory Users and Computers. В контейнере System\FtleReplication Service надо найти объект, соответствующий требуемомунабору реплик, например Domain System Volume (SYSVOL share), открытьокно его свойств и вписать нужные фильтры файлов и каталогов.

и

RepicaSel !*euritjfj

ain i iein Volume (SYSVOL share)

Установка фшьтров для набора реплик SVSVOL

Второй способ такое. Фильтры хранятся в атрибутах объекта наборареплик frsFiJeFilter и f«Directory Filter. Атрибуты можно поменять, ис-пользуя программы Ldp, ADSIEdit или с помощью сценариев ADSI.

Управление расписанием репликации

Репликацией FRS можно управлять, определяя срок, в течение кото-рого репликация возможна. Как и в случае репликации Active Directory,репликация внутри сайтов выполняется автоматически, а между сай-тами — по расписанию. Расписание можно задать как для набора


реплик, так и для объектов связи, причем расписание для объектовсвязи имеет преимущество,

А как лучше управлять репликацией SYSVOL? Вы знаете (а если нет,см.,главу «Групповая политика*), что каталог SYSVOL в первую очередьслужит для применения групповой политики. Хранимые в нем шаб-лоны групповой политики должны точно соответствовать контейне-рам групповой политики в Active Director)'. Рассогласование версийне позволяет применять групповую политику к клиентам. Значит,нужно обеспечивать согласованную репликацию Active Directory икаталога SYSVOL Раз так, следует задать идентичное расписание ти-ражирования для Active Directory и службы FRS.

Расписание для межсайтовой репликации Active Directory определя-ется для объектов связи. Следовательно, расписание репликации FRSнадо определять для тех же объектов связи: хотя это два разных про-цесса, они используют одни и те же объекты связи. Делается это, каквы помните, в оснастке Active Directory Sites and Services.

Замечание В то время как инициировать репликацию Active Direc-tory позволяет команда Replicate Now контекстного меню объектасвязи в оснастке Active Directory Sites and Services, а вот репликацияFRS начинается только с открытием окна.

Совсем иное дело, когда речь идет о репликации DFS. Этот процессне связан с репликацией Active Directory и использует собственнуютопологию и расписание. Кроме того, нет условий автоматическойрепликации — она всегда выполняется по расписанию. Коли так, товы получаете право выбора объекта, для которого надо определятьрасписание репликации.

Если в наборе реплик содержится значительное количество реплик,то удобнее расписание определить для набора. Я, правда, не встречалеще систем DFS, тиражирующих тома DFS более, чем на 2-3 компью-тера. Однако это не значит, что такие системы нельзя создать.

Другой способ идентичен управлению расписанием репликации SYSVOLвы указываете доступность репликации для объектов связи. И эторасписание будет иметь преимущество над тем, что назначено длянабора реплик в целом.

Рассмотрим, например, набор реплик DFS, состоящий из 5 серверов.Каналы между четырьмя свободны с 18.00 до 9-00, а вот канал с пя-тым сервером — только с 12.00 до 21.00. Если определять расписаниядля каждого из объектов связи, придется проделать эту операцию 10раз (напомню, что объекты связи однонаправлены), причем 8 раз —повторить одно и то же. Очевидно, оптимальным решением будетразрешение репликации с 18.00 до 9-00 всему набору реплик и отдель-


но — объекту связи с пятым сервером с 12.00 до 21.00. Иначе говоря,понадобится только три расписания.

Сервер 1 4

Сервер 5

Сервер 2 Сервер 4

Комбинирование расписания для всего набора репликс расписанием для конкретного объекта связи

Чтобы изменить расписание репликации набора реплик, в оснасткеActive Directory Users and Computers надо открыть последовательноконтейнеры System a File Replication Service a DPS Volumes и т. д., покане откроется нужный объект набора реплик. В окне его свойств надощелкнуть кнопку Change Schedule и установить расписание.

Замечание Расписание устанавливается для каждого часа в течениенедели. Если час отмечен синим прямоугольником, репликация раз-решена, если нет — запрещена.

Чтобы изменить расписание репликации объекта связи, в оснасткеActive Directory Users and Computers надо открыть последовательноконтейнеры System a File Replication Service a DPS Volumes и т. д., покане откроется нужный объект связи. Объект связи узнать легко: вмес-то имени для него записан номер GIJID. а рядом указано, с какогокомпьютера и в каком домене он передает данные. В окне его свойствнадо щелкнуть кнопку Change Schedule и установить расписание.

Замечание Изменить расписание можно, изменив значение атри-бута schedule для объекта связи или объекта набора реплик, но этоне очень удобно.

Напоследок несколько советом по планированию репликации FRS.

• Не планируйте межсайтовую репликацию очень часто. Это можетвызвать перегрузку серверов-форпостов.

Active Directory и файяовая_систе_ма 357

• Узкие окна репликации могут привести к прерыванию репликациина полпути; в отличие от репликации Active Directory репликацияFRS прекращается, как только окно закрывается. Это может статьпричиной переполнения подготовительных каталогов и журналоввыхода. Улучшения, сделанные в SP2 (и планируемые к включениюв SP3), частично снимают остроту этой проблемы, но она не ис-чезает полностью.

• Не запрещайте репликацию полностью. Она не начнется сама, покаокно закрыто.

• Старайтесь не делать расписания разнообразными — это ослож-нит поиск проблем.

Рекомендации по оптимизации FRSОптимизировать службу FRS необходимо в основном при использо-вании распределенной файловой системы. Об оптимальной конфи-гурации FRS для каталога SYSVOL заботится КСС. Однако и здесь естьнад чем поработать. Ниже приведены некоторые рекомендации пооптимизации работы этой службы. Часть этих рекомендаций можнонайти в [3], но я все же повторю и дополню их здесь, чтобы создатьединую картину.

Журналирование

Итак, совет первый. Располагайте журналы регистрации FRS не на томдиске, на котором находятся база FRS ntfrs.jdb, подготовительные ка-талоги и сами реплицируемые файлы. Это особенно актуально привысокой степени подробности регистрации событий. Для перемеще-ния журнала регистрации в другое место надо указать его в парамет-ре Debug Log File в ветви реестра HKLM\System\CurrentControlSet\Ser-vices\Ntfrs\Parameters и перезапустить службу FRS. По умолчанию этотфайл расположен в каталоге %systemroot%\debug, т. е. как раз на томдиске, где хранятся перечисленные выше файлы и каталоги.

Степень подробности регистрации событий регулируется другимпараметром в этой же ветви реестра — Debug Log Seventy. Его вели-чина может изменяться от 0 (минимальная степень детализации вжурнале Ntfrs_000x.log) до 5 (максимальная). По умолчанию задано 4,однако если вы установили SP2, то значение равно 2.

Чем выше степень подробности, тем быстрее заполняются файлырегистрации. Как только заполнится файл Ntfrs_0001.log, начинаетзаполняться файл Ntfrs_0002.log, потом Ntfrs__Q003.log и так до 5. Послезаполнения пятого файла вновь заполняется первый. Если нужно от-следить события за длительный период времени, пяти файлов можетне хватить. Их число можно увеличить, указав нужное значение в па-раметре Debug Log Files.


Максимальный размер файла журнала определяется значением пара-метра Debug Maximum Log Messages, указывающим, сколько строкдолжно содержаться в каждом журнале. По умолчанию — 10000, новы можете установить любое другое.

Второй совет относится к случаю, когда регистрация вообще не тре-буется. Ее можно отключить, и надобность в переносе журнала реги-страции отпадет. Для этого в ветви реестра HKLM\System\CurrentCont-roISe i:\Services\Ntfrs\Pa га meters задайте 1 параметру Debug Disable.

Топология репликации

Третий совет относится к проектированию топологии репликацииDFS. По мере того как вы добавляете новые реплики, образуется всебольше объектов связей. При этом не используется никаких алгорит-мов оптимизации — каждая реплика связывается с остальными реп-ликами в наборе. В итоге получается каша из объектов связи и увели-чивается сетевой трафик. Поэтому при большом числе реплик в на-боре надо удалить ненужные связи. Так, при наличии четырех репликпо умолчанию создается 12 объектов связи. А ведь их можно сокра-тить вдвое:

Сервер АW w (g.

*А \\ Ж A Yv/ AСервер Б Сервер Б Сервер В

Сервер А

Сервер Г Сервер В

Сервер Г

Пример топапогий репликации: создаваемой по умолчаниюи оптимизированной

Проектируя топологию репликации, надо учитывать пропускную спо-собность каналов связи. Если один из компьютеров в наборе репликсвязан со всеми партнерами, кроме одного, быстрыми каналами, а составшимся — медленным, не исключено, что очередь на репликациюи объем подготовительного каталога на нем будут расти. Поэтому


совегп четвертый: проектируйте топологию так, чтобы балансироватьнагрузку между репликами.

Подготовительный каталог

Пятый и шестой совегпы относятся к размеру и местоположениюподготовительного каталога. Чтобы подготовительный каталог неразрастался, его объем можно ограничить. В этом случае после до-стижения им указанного объема входная репликация для данногопартнера приостанавливается, пока подготовительный каталог не раз-грузится за счет выходной репликации. Максимальный размер под-готовительного каталога (в кб) указывается в параметре Staging SpaceLimit in KB в ветви реестра HKLM\System\CurrentControlSet\Services\Ntfrs\Parameters.

Иногда стоит изменить местоположение подготовительного катало-га, По умолчанию он находится на том же диске, что и реплицируе-мые файлы, а подчас и там же, где хранятся системные файлы. Изме-нить положение подготовительного каталога можно так.

• Остановите службу NTFRS на том компьютере, где собираетесьвыполнить перенос каталога.

• Установите значение параметра BurFlags в ветви реестра HKLM\Sys-tem\CurrentControlSet\Services\Ntfrs\Parameters\Backup/Restore\Process в OxD2.

• С помощью программ Ldp или ADSIEdit измените значение атри-бута frsStagingPath для объекта-подписчика, соответствующеговыбранному компьютеру.

+ Создайте или переместите подготовительный каталог в указанноеместо.

+ Запустите службу NTFRS.

Внимание Обязательно задайте параметру BurFlags значение OxD2.Это инициирует обновление реплики и реинициализацию конт-рольной суммы файлов в подготовительном каталоге.

Размер журнала NTFS

Служба FRS постоянно просматривает журнал NTFS на предмет поис-ка в нем записей о закрытии файлов. Записи добавляются туда ОС прикаждой операции над файлами; открытии, изменении, закрытии, уда-лении. Очевидно, что по мере добавления записей в журнал NTFS ондостигнет своего максимального значения (по умолчанию 32 Мб) иначнет записывать новые данные в начало. Если скорость измененийфайлов такова, что за время заполнения журнала репликация FRS небудет выполнена, часть данных будет безвозвратно потеряна для служ-


бы репликации файлов. А раз так, встает вопрос об увеличении объе-ма журнала NTFS.'

Размер журнала для всех томов, содержащих файлы, обслуживаемыеFRS, задается в параметре Ntfs Journal size in MB в ветви реестраHKLM\System\CurrentControlSet\Services\Ntfrs\Parameters. Минималь-ное значение — 8 Мб, максимальное — 128 Мб. Но учтите: если приувеличении размера журнала достаточно только перезапустить служ-бу NTFRS, то при уменьшении нужно переформатировать все тома,содержащие реплицируемые файлы.

Использование FRS и удаленных хранилищ

Часть реплицируемых файлов может располагаться на магнитнойленте или ином носителе, используемом службой Remote Storage дляорганизации удаленного хранилища (подробнее см. [1]). Ничего за-претного в этом нет, только учтите, что компьютер, на котором уста-новлено удаленное хранилище, может испытывать перегрузки. Делов том, что всякий раз при полной репликации файлов (скажем, придобавлении нового компьютера в набор реплик) придется скачиватьс ленты все файлы. Поэтому надо вручную конфигурировать тополо-гию репликации так, чтобы минимизировать необходимость в пол-ной репликации с этого компьютера.

Использование резервного копированиядля начальной конфигурации реплик

В главе «Планирование Active Directory* я рассказывал о конфигури-ровании контроллеров домена в удаленных сайтах, связанных с цен-тральным медленными каналами связи. Думаю, стоит вернуться к это-му вопросу еще раз и подумать, как оптимально сконфигурироватьслужбу FRS для таких компьютеров.

Рассмотрим систему, в которой контроллеры домена А и Б располо-жены в центральном сайте, а В — в периферийном сайте, связанноммедленным каналом. Вы планируете развернуть DFS для хранениядистрибутивов приложений. Доступ к ним должен быть максимальноэффективным в любом сайте. Общий объем достигает несколькихгигабайт. Все три сервера должны входить в набор реплик. Понятно,что если В подключить к существующему набору реплик в централь-ном сайте, то все эти гигабайты потекут по медленному каналу. Какбыть?

Есть два решения. Первое: вы привозите контроллер домена для уда-ленного сайта в центральный сайт, выполняете репликацию, а потомотвозите контроллер назад. Если такой возможности нет, можно ис-пользовать Windows Backup для организации транспортировкиданных. Вот как сконфигурировать DFS.


1. На всех трех контроллерах домена создается каталог для хране-ния дистрибутивов и предоставляется в совместное использование.

2. Далее создается корень DFS и в нем каталог, в который включают-ся все три альтернативных тома с серверов А, Б и В. Репликацияразрешается для серверов А и Б.

3. После того, как нужные дистрибутивы записаны на А и реплици-рованы на Б, выполняется резервное копирование каталога насъемный носитель.

4. Этот носитель по почте или с курьером доставляется в удален-ный сайт.

5. На сервере В выполняется восстановление файлов с носителя вуказанный каталог.

6. Серверу В также разрешается участвовать в репликации. Если завремя доставки носителя в каталогах на А и Б произошли измене-ния, они будут реплицированы на В. Остальные файлы реплици-роваться не будут.

Использование Windows Backup для начального тиражированияв удаленный сайт

По умолчанию после добавления сервера В в набор реплик между ними серверами А-и Б образуются объекты связи. Поэтому тиражирова-ние будет выполняться как с А, так и с Б. Пусть первым начнется ти-ражирование с Б. Сравнив свою таблицу Ю с вектором версий серве-ра В, он станет пересылать измененные файлы. Но, как я уже сказал,репликация FRS — многопоточная, поэтому наряду с этим процессомто же самое начнет выполнять А, В результате В будет в сметанномпорядке принимать файлы с обоих серверов в зависимости от того,с какого из них файл придет первым, В итоге В обновит свою табли-цу ID и вектор версий так, чтобы отразить состояние на А и Б.


He превышайте...

Напоследок несколько значений, которые не рекомендуется превы-шать. Ни одно из них не «зашито» в код; это экспериментальные зна-чения для которых было сделано тестирование. Итак:

• максимальное число наборов реплик на одном компьютере — 50;при этом нельзя использовать топологию репликации по умолча-нию.

+ максимальное число файлов и каталогов в одном наборе реплик —64 000;

• максимальный объем данных в одном наборе реплик ограничентолько объемом диска;

• максимальное число входных и выходных партнеров по реплика-ции в одном наборе реплик — 32; при этом нельзя использоватьтопологию репликации по умолчанию;

• максимальное число членов в одном наборе реплик — 1 000; этозначение не тестировалось, но для SYSVOL должно поддерживаться,

Поиск и устранение проблем FRSПроблемы с репликацией FRS обычно возникают неожиданно. Нео-жиданно для вас, но не для системы. И система честно предупреждаетвас об этом заблаговременно, занося сообщения об ошибках в жур-налы, Только ведь «плох тот администратор, который заглядывает вжурналы и читает документацию»! Именно поэтому о маленькой не-приятности узнают тогда, когда она вырастает в крупную проблему.Дабы не доводить систему до критически неработоспособного состо-яния, надо выполнять постоянный мониторинг журналов. Большуюпомощь в этом окажет Microsoft Operations Manager, который спосо-бен не только централизованно собирать все сообщения, заносимыев журналы на всех серверах, но и аккумулировать их и предупреждатьадминистратора о надвигающейся опасности. Но уж коль этого непроизошло, надо заняться поиском и устранением проблем.

Итак, если репликация файлов внезапно прекратила работать, надосделать следующее.

Далее будем полагать, что есть два компьютера: А — источник данныхрепликации и Б — приемник.

1. В журнале регистрации событий Fiie Replication System поищитесообщения с Event 10=13511 или 13522. Если они есть, проверьтесвободное место на дисках, на которых находятся:

На компьютере А На компьютере Б

Исходный каталог Приемный каталогПодготовительный катало)4 Предварительный каталог-Фай.'! ntfrs.jdb Файл ntfrs.jdb


Воспользуйтесь советами из раздела «Журналы» для данных сооб-щений. Полезно перечитать и «Рекомендации по оптимизации FRS».Возможно, переполнение подготовительного каталога вызвано тем,что между компьютерами долго не было соединения.

2. Создайте тестовый файл на компьютере Б и посмотрите, выпол-нится ли его тиражирование на компьютер А.

3. Посмотрите, доступны ли оба компьютера в сети и разрешаютсяли их имена DNS. Для этого лучше всего выполнить команду ping.

4. Посмотрите, запущены ли службы FRS на обоих компьютерах. Еслинет, загляните в журнал и выясните, почему это произошло. Еслив журнале нет каких-либо сообщений об ошибках, запустите служ-бу повторно.

5. Проверьте связь по RPC между компьютерами с помощью утили-ты RFC Ping из комплекта Windows 2000 Resource Kit. Если связьпо RPC невозможна, а в журнале появилось сообщение 13508, по-старайтесь выявить и ликвидировать причины, перечисленные всоответствующей части следующего раздела.

6. Проверьте расписание репликации. Возможно, она просто запре-щена в данное время,

7. Проверьте, не заблокированы ли файлы. Если они открыты налюбом из компьютеров, репликация невозможна.

8. Проверьте фильтры репликации файлов и каталогов. Возможно,интересующие вас файлы просто исключены из разрешенных ктиражированию. Убедитесь, что они не зашифрованы и не явля-ются переходами NTFS.

9- Если ничто из перечисленного не помогает, обратитесь к рабоче-му журналу ntfrs (см. раздел «Журналы NTFRS»). Дополнительнуюинформацию предоставит программа NTFRSUTL (см. ниже).

10. В ряде случаев придется восстанавливать службу FRS на компью-тере из резервной копии или из других реплик (см. разделы «Вос-становление реплицируемых файлов» и «Восстановление конфи-гурации FRS»).

ЖурналыЖурналы — единственное средство диагностики проблем. К счастьюдля диагностики работы службы FRS, используются два вида журна-лов: журнал регистрации File Replication System, доступ к которомуосуществляется через оснастку Event Viewer, и рабочий журналNTFRS_OOOOx.log, содержащий отладочную информацию о работемодуля ntfrs. Этот журнал — ваше последнее средство диагностики, таккак содержит избыточную информацию, через которую порой не тагелегко продраться к поисках истины.


Журнал регистрации File Replication System

Это первый и главный источник информации о работе службы FRS.Каждое сообщение имеет свой идентификатор (ID); основные пере-числены ниже.

13501 — сообщение о запуске службы NTFRS.

Если в системе нет особенностей, влияющих на работу FRS, следую-щим и последним за весь сеанс работы будет сообщение 13516. Онопоявляется только на контроллерах домена и свидетельствует о том,что реплика каталога SYSVOL успешно инициализирована.

В промежутке между этими двумя может появляться сообщение 13512.Для диска, на котором расположена база ntfrs.jdb, должно быть за-прещено кэширование записи. Обычно при старте ОС кэшированиедиска запрещается. Если же ОС не удается этого сделать (скажем, есливы запустили Windows 2000 в виртуальной машине VMWare), выво-дится это сообщение. Это предупреждение о том, что в случае крахаОС или внезапного выключения питания служба репликации файловможет и не восстановиться.

Если компьютер не может выполнить репликацию со своим входнымпартнером, то в журнал записывается сообщение 13508. Причин мо-жет быть много: и невозможность разрешения доменного имени парт-нера, и остановленная служба FRS на партнере, и незавершенная реп-ликация сведений об объектах связи, и невозможность создания за-щищенного соединения между контроллерами, и элементарная недо-ступность партнера в сети.

Как только репликация с партнером становится возможной, в журналзаносится сообщение 13509-

Сообщение 13562 может возникать в разных ситуациях, но всегда врезультате наших ошибок. Так, следующее сообщение возникло из-затого, что вы создали дубликат объекта связи и назвали его «from root 2».

Following is the summary of warnings and errors encountered by FileReplication Service while polling the Domain Controller ROOT1.mycorp.rufor FRS replica set configuration information.The nTDSConnection object cn=d489f659-bab5-4163-b6cb-c030db6715d4,cn=ntds settings,cn=root1,cn=servers,cn=default-first-site-name,cn=sites,cn=configuration,dc=nycorp,dc=ru is conflicting withcn=from root2,cn=ntds settings,cn=root1,cn=servers,cn=default-first-site-name,cn=sites,cn=configuration,dc=mycorp,cfc=ru. Using cn=d489f659-bab5-4163-b6cb-c030db6715d4,cn=ntds

settings,cn=root1,cn=servers,cn=default-first-site-name,cn=sites,on=configuration,dc=mycorp, dc=ru


В этом нет ничего страшного. Гораздо хуже, когда в описании причи-ны появляется:

The nTFRSMember object cn=dc1,cn=dornain system volume (sysvolshare),cn=file replication service,cn=systeiMc=a,dc=com has a invalidvalue for the attribute ServerReference,

Это сообщение появилось скорее всего потому, что вы удалили объектNTDS Settings в контейнере Configuration — придется его восстано-вить.

Сообщение 13522 появляется при переполнении подготовительногокаталога. При этом FRS приостанавливает свою работу до того, какобъем подготовительного каталога не уменьшится либо вы не увели-чите значение максимального объема подготовительного каталога (см.выше советы по оптимизации подготовительного каталога). Возмож-но, проверив объем свободного места на диске, вы будете удивленытем, что его еще «много», а сообщение уже появилось и репликацияостановилась. Скорее всего дело в том, что реплицируемый от вход-ного партнера файл больше, чем свободного места на диске. Если этотак, освободите диск и запустите службу репликации командой:

net start ntfrs

Служба FRS может остановиться и сообщить о событии 13511. Про-исходит это при переполнении диска, на котором расположена базаNTFRS. Выходов может быть два:

• освободить место на диске и перезапустить службу FRS;

+ переместить базу на другой диск (этот способ несколько сложнеепервого).

Сообщение 13555 — не предупреждение, как все предыдущие, а ошиб-ка. Оно свидетельствует о серьезной проблеме в работе службы FRS.Возможно, разрешит ее перезапуск службы:

net stop ntfrsnet start ntfrs

Если компьютер, на котором возникла данная ошибка, является кон-троллером домена и на нем нет реплик DFS, дхпьнейшие действиязависят от наличия других контроллеров домена. Если, кроме этогоконтроллера, есть еще хотя бы один, выполните неавторитетное вос-становление состояния системы (см. раздел «Восстановление конфи-гурации FRS»)- Если на всех прочих контроллерах та же ошибка, не-авторитетное восстановление состояния системы выполняется на всехконтроллерах, кроме того, на котором выполняется авторитетноевосстановление. Если это единственный контроллер, выполните ав-торитетное восстановление состояния системы.


Если на контроллере домена также есть реплики DFS, то, прежде чемвыполнять неавторитетное восстановление состояния системы, надоскопировать содержимое каталогов DFS в безопасное место и ликви-дировать все объекты связи, которые могли сохраниться от прежнихвремен. Под этим термином подразумеваются бывшие контроллерыдомена, статус которых был понижен до уровня серверов.

Журналы NTFRS

В разделе «Рекомендации по оптимизации FRS» описаны журналы, вкоторые служба FRS заносит всю информацию о своей работе с тойстепенью подробности, которую вы укажете. Количество файлов жур-налов и их объем также определяете вы (см. указанный раздел). Есливы занимаетесь поиском сложной проблемы, для идентификациикоторой надо просмотреть огромный объем информации, можетезадать количество файлов журналов равным 50, а после того, как онизаполнятся, — сделать резервную копию для последующего анализа.

Что же содержат журналы FRS'; Подробно рассматривать каждую стро-ку не имеет смысла — я остановлюсь на самых важных и характер-ных местах. Далее будем разбирать файл, степень подробности кото-рого установлена равной 2 (умолчание при установленном SP2).

Для начала запомним общий формат выводимых сообщений:

Имя функции + :[0 потока + номер строки в коде + степень подробности +

время + сообщение

Запуск службы начинается с регистрации в журнале информации осистеме и о самой службе.

<DbgPrintInfo: 1328: 933: S2: 16:13:03> :Н: Service running onROOT"! as SYSTEM at 16:13:03

<DugPrintInfo:<DbgPrintInfo:

1328:

1328:

935:

936:

S2:. :>•

16к/

1313

03>

03> 1!; ***** COMPILE

INFORMATION;

<DbgPrintInfo: 1328: 937: Б2: II 1 > 03> . 1 1 -

D:\nt\private\net\svcimgs<DbgPrintInfo:

<DbgPrintrnfo:<DbgPrintInfo:<DbgPrintInfo:<DbgShowConfig:

<DbgShowConfig:

1328:

1328:

1328:1328:

1328:

1328:

938:2000

942:

942:

946:

741;

745;

: :•'1 1

Б2

: • • .

soi. H '

II01

1 .16161616

г

45

13

i.IS

IS

13

03>

03>

03>

03>

03>

03>

H:

H;H

H

H

Module\ntrepl\main\roain.cCompile Date Nov 7

Latest changes:Windows 2000-SP2

08

Sf»Version 5.0 (2195) -(2.0) SM: 0x0000

<DbgShowConfig: 1328:

Level: 0x0006

PT: 0x02

755: SO: 16:13:03> :H: Processor: INTELRevision: 0x0803 Processor num/mask: 1/00000001


Хочу обратить внимание на отсутствие в файле дат. Они и не нужны:дату можно узнать из самого файла журнала. Далее следует внушитель-ный кусок отладочной информации, которая вряд ли пригодится припоиске проблем с репликацией. Многое можно узнать из реестра.Взгляните, например, на эти строки:

16:13:03>16:13:ОЭ>16:13:03>16:13:03>16:13:03>

C:\WINNAdebug\NtFrs960: S2: 16:13:03>969: S2: 16:13:03>971: S2: 16:13:03> :Н

<DbgPrintInfo:

<Dbg Print Info:<DbgPrintInfo:<DbgPrintInfo:

<DbgPrintInfo:

1328:1328:1328:1328:1328:

950: S2:

951: S2:

953: 82:954: S2:959: S2:

1328:

1328:

1328:

Hi i .

i i .! i .

H:g.

i i :

. I I :

H:

***** DEBUG INFORMATION:

Total Log Lines:Log SeverityLog Flush Int.

Log File :

Max Log Lines

Log FilesForce VvJoin

202099: 2: 20000

: 20000

: 5

: FALSE

<DbgPrintInfo:<ObgPrintInfo:<DbgPrintInfo:

Особое внимание надо уделить последней строке. Если бы компью-тер, на котором регистрировались эти записи, подключался к новомунабору реплик или параметр BurFlags был бы установлен равным OxD2,то Force VvJoin равнялся бы TRUE. Это означает инициацию репликии процесса W-join (подробнее см. раздел «Оптимизация процессоввосстановления*).

Далее в файле встретится запись:

<FrsNewDsFindComputer: 1220: 9762: S2: 16:22:38> :DS: Computer FQDNIs cn=root1,ou=domain controllers,dc=mycorp,dc=ru

<FrsNewDsFindConiputer: 1220: 9768: S2: 16:22:38> :OS: Computer'sdns name is ROOT1.mycorp.ru

Это сведения об имени компьютера.

<FrsNewDsFindComputer: 1220: 9782: S2: 16:22:38> :DS: Settingsreference-is cn=ntds settings,cn=root1,cn=servers,cn=default-first-site-name,cn=sites,cn=configuration,dc=mycorp,dc=ru

А вот здесь ищется информация об объектах связи с партнерами порепликации.

<FrsNewDsGetSubscribers: 1220: 8980: SO: 16:22:38> :DS: NoNTFRSSubscriber object found under cn=dfs volumes,cn=ntfrssubscriptions,cn=root1,ou=domain controllers,dc=mycorp,dc=ru!<FrsNewOsGetSubscribers: 1220: 8980: SO: 16:22:38> :DS: NoNTFRSSubscriber object found under cn=72b484ac-f61d-4e7b-8a1e-e8ca284ddae5,cn=dfs volumes,cn=ntfrs subscriptions,cn=root1,ou=domalncontrollers,dc=mycorp,dc=ru I

Какая неожиданность: не обнаружено ни одного объекта-подписчи-ка DFS! А раз так, то надобности в процессе W-Join нет.

13-2005


<MainWJoln: 1326: 2343: S1: 16:24:51> :S: Vv Join Thread is exiting.

Если бы надобность в этом процессе возникла и он стал работать, вжурнале появились бы такие записи:

<VvJoinSend: 1328: 1860: SO: 16:14:36> :V: MTXDM.DLL (9cOdOa84):

Wjoin sending create

Запись свидетельствует о том, что файл MTXDM.DLL добавлен в реп-лику и его идентификатор 9сОсЮа84 занесен в таблицу ID. Очевидно,что таких строк в журнале будет ровно столько, сколько добавляетсяфайлов. Другое дело, что идти они могут не все сразу, а группами.

Подключение реплики завершается выводом сообщения вида:

<HainVvJoin: 1328: 2281: S1: 16:19:51> :V: vvjoin succeeded for

DFSROOT|SOFTWARE\{4C95CE9D-32B3-407F-97FF-83EE1C828419>\

{4C95CE9D-32BC-4D7F-97FF-83EE1C826419} (3702 sent)

Оно означает, что для реплики DPS (DFSROOT\SOFTWARE), расположен-ной на члене FRS с GUID=4C95CE9D-32BC-4D7F-97FF-83EE1C828419,было успешно добавлено 3702 файла.

Если к существующей реплике добавить новый файл, в журнале по-явятся такие записи. Заметьте: в сообщениях впервые появляется дата.

<FrsStageCsSuMnitTransfer:1400: 1357: S1: 12:47:38> Stage: submittransfer Qxe4c490

5/26-12:47:39 :Т: CoG: 3b9040ca CxtG: fb4f87bd [LclCo] Name: Copy of5tnall2-1.bmp

5/26-12:47:39 :T: EventTime: Sun May 26, 2002 12:47:35 Ver: 0

5/26-12:47:39 :T: FileG: fbOdbS75-fOa8-4b9c-bcf749cabcc1fOb7 FID:

ООЭеОООО ОООСЗОЗе

5/26-12:47:39 :T: ParentG: e82cefbb-ece8-4c50-b7a6625515f43eb2 Size:

00000000 00001800

5/26-12:47:39 :T: OrigG: 3ae7eff6-10b7-4040-b99689cccd8490c5 Attr:

00000020

5/26-12:47:39 :T: LocnCmd: Create State: IBCO_COMMIT_STARTED

ReplicaName: DOMAIN SYSTEM VOLUME (SYSVOL SHARE) CD

5/26-12:47:39 :T: CoFlags: 0100042с [Content Locn LcLCo NeiwFiie

CmpresStage ]

5/26-12:47:39 :T: UsnReason: 00008003 [DatOv-Wrt DatExt Info ]

Я специально выделил имя файла, его версию, а также причины, покоторым нужно выполнить репликацию: новый файл (New File) изапись файловой системы (DatOvrWrt). Что произойдет при модифи-кации файла? Изменится версия. Могут измениться размер или атри-буты, но не его идентификатор. И это действительно так:

<FrsStageCsSubmltTransfer: 1340: 1357: S1: 12:52:28> Stage: submittransfer Oxe53770

Active Directory и файловая система ^ 369

5/26-12:52:28 :Т: CoG: 988e323d CxtG: fb4f87bd [LclCo] Name; Copy ofsrrial!2-1 . bmp

5/26-12:52:28 :T: EventTime: Sun May 26, 2002 12:52:25 Ver: 15/26-12:52:28 :T: FileG: fbOdb575-fOa8-4b9c-bcf749cabcc1fOb7 FID:

ООЭеОООО 0000308с5/26-12:52:28 :T: ParentG: e82cefbb-ece8-4c50-b7a6625515f43eb2 Size:

00000000 000018005/26-12:52:28 :T: OrigG: 3ae7eff6-10b7-4040-b99689cccd8490c5 Attr:

000000205/26-12:52:28 :T: LocnCmd: NoCmd State: IBCO.COMHIT.STARTED

ReplicaName: DOMAIN SYSTEM VOLUME (SYSVOL SHARE) (1)5/26-12:52:28 :T: CoFlags: 01000024 [Content LclCo CmpresStage ]5/26-12:52:28 :T: UsnReason: 00000001 [DatOvrWrt ]

Версия увеличилась на 1, хотя и размер, и атрибуты файла не изме^

нились. Причиной репликации в этом случае стало изменение содер-

жимого файла (Content). Как частный случай рассмотрим замещение

файла другим с таким же именем. С точки зрения файловой системы,

произойдет изменение содержимого файла, а значит, как минимум

увеличится номер версии. Иное дело, если не просто заместить файл, а

предварительно его удалить. После удаления в журнал будет занесено:

5/26-12:52:52 :Т: CoG: 8ca26282 CxtG: fb4fB7bd [LclCo ] Name: Copy of

snall2-l.bmp5/26-12:52:52 :T: EventTime: Sun May 26, 2002 12:52:52 Ver: 25/26-12:52:52 :T: FileG: fbOdb575-fOaB-4b9c-bcf749cabcc1fOb7 FID:

ООЭеОООО 0000308с5/26-12:52:52 :T: ParentG: e82cefbb-ece8-4c50-b7a6625515f43eb2 Size:

00000000 000018005/26-12:52:52 :T: OrigG: 3ae7eff6-10b7-4040-b99689cccd8490c5 Attr:

000000205/26-12:52:52 :T: LocnCmd: Delete State: IBCO_COMMIT_STARTED

ReplicaName; DOMAIN SYSTEM VOLUME (SYSVOL SHARE) (1)5/26-12:52:52 ;T: CoFlags: 00000028 [Locn LclCo ]

5/26-12:52:52 :T: UsnReason: 00000000 [<Flags Clear>]

Вы видите, что теперь версия файла стала равна 2, а недь он удален!

И об этом свидетельствует отсутствие флагов в журнале NTFS (UsnRea-

son). Если теперь в каталог скопировать файл с таким же именем, то

с точки зрения FRS. это будет иной файл. Его идентификатор (FID)

будет отличаться от идентификатора только что удаленного файла, а

версия будет равна 0.

Теперь рассмотрим сообщение об ошибке репликации,

<SndCsHain: 1464: 768: SO: 11:15:20> ++ ERROR - EXCEPTION

(ОООООбЬа) : WStatus: RPC_S_SERVER_UNAVAILABLE


<SndCsHain: 1464: 769: SO: 11:15:20> :SR: Cmd 00e1e200, CxtG

4c71259c, WS RPC_S_SERVER_UNAVAILABLE, To ROOT2.mycorp.ru Len: (374)

[SndFail - rpc exception]

Его появление связано с тем, что сервис RPC недоступен на партнерепо репликации. Скорее всего компьютер выключен. Это, пожалуй,самое безобидное сообщение, так как вполне ясна причина. Если жевы уверены, что все партнеры доступны, а репликация тем не менеене идет, то для выявления причин выполните в журнале на входномпартнере поиск строки «:: COG». На всех его выходных партнерах, скоторыми нет репликации, выполните поиск в журнале сообщений сего собственным номером G1JID.

Сообщение «SHARING_VIOLATION» связано с тем, что один из репли-цируемых файлов открыт. Как вы помните, выполняется репликациятолько закрытых файлов.

Если вы смотрите содержимое журнала сразу после запуска в первыйраз контроллера домена либо после удаления файла ntfrs.jdb, появят-ся ошибки типа «jet attach db — 1811». He стоит придавать им боль-шого значения. Просто БД в момент старта службы FRS еще не быласоздана.

Поиск ошибок в журнале удобно осуществлять командой find:

find /I /n " e r r o r | w a r n | f a i l " n t f r s* . log >err . tmp

Вы получите сообщения обо всех ошибках и предупреждениях, со-бранные из всех файлов журнала.

Связь между монитором производительности и сообщениями в журнале

Если вы обратили внимание на формат выводимых в журнал сообще-ний, то заметили в нем идентификатор потока (thread ID). Его можноиспользовать при анализе причин снижения производительности спомощью монитора производительности. Рассмотрим пример.

Допустим, вы выполняете мониторинг загрузки процессора, так каквас удивляет его постоянно высокая загрузка. Анализ показывает, чтобольшую часть времени процессор отводит на работу процесса ntfrs.Чтобы выяснить, чем занимается служба FRS, воспользуйтесь любойпрограммой, показывающую загрузку потоков. Ниже показано окнопрограммы qslice из Window.s 2000 Resource Kit. В нем отображеныперечень потоков процесса ntfrs и их текущая загрузка.

Допустим, вас заинтересовала высокая загрузка потока с ID=Qx52c. Безжурнала ntfrs не выяснить, что именно вызвало повышенную загруз-ку. Если же такой журнал под рукой, сделаем поиск всех сообщений,относящихся к данному потоку. Так как шестнадцатеричному числуОх52с соответствует десятичное 1324, выполним:


find /i /n "1324" ntfrs_000x.log > 1324.txt

и в файле 1324-txt обнаружим целую серию записей вида:

[198]<FrsGetOrSetFileObjectId: 1324: 4398: SI: 16:14:36> ++ ERROR - Set

old failed on file Policies; NTStatus: STATUS_DUPLrCATE_NAME

[199]<StuExecuteInstall: 1324: 1647: SO: 16:14:36> :: CoG 27272447,

CxtG 9f8bf811, FV 0, FID 00570000 ООООЗОЬЬ, FN: Policies, [Deleting

conflicting file (ERROR_DUP_NAME)]

Сразу становится понятна причина возникновения проблемы.

/10•, . ,,..> '

т

i i т т! I . '

: • .• • i -

! ' .. .

•, , .

' '

.:: :•;,

Выяснение наиболее загруженного потока NTFRS

NTFRSUTL

Эта утилита из состава Windows 2000 Resource Kit может избавить васот просмотра параметров в реестре или поиска необходимых атри-бутов в Active Directory. Кроме того, только она позволяет отображатьсодержимое таблиц FRS. Хотя NTFRSUTL имеет интерфейс команднойстроки, предоставляемая ею информация весьма полна.

Общую информацию о службе FRS на любом компьютере вы получи-те, выполнив команду:

ntfrsutl ds <имя компьютера>

Выводимая информация понятна без комментариев. Единственное,что нуждается в небольшом пояснении, — это вывод сведений о рас-писании репликации. В общем случае они имеют такой вид:


ScheduleDay 1: 111111111111111111111111Day 2: ffffffffffffffffffffffffDay 3: 000000000000000000000000Day 4: ffffffffffffffffffffffffDay 5: 555555555555555555555555Day 6: ffffffffffffffffffffffffDay 7: ffffffffffffffffffffffff

Первый день соответствует воскресенью, последний — субботе. Циф-ры (а их по 24 в каждой строке) соответствуют частоте репликации втечение часа:

• 0 — репликация не выполняется;

• 1 — репликация выполняется раз в час (значение для реплика-ции DFS);

• 5 — репликация выполняется дважды в час;

ф F — репликация выполняется четырежды в час (значение по умол-чанию для репликации SYSVOL).

Ошибки, найденные в конфигурации, легко обнаружить по метке«WARN».

В предыдущем разделе рассказывалось, как обнаружить поток служ-бы FRS, отбирающий процессорное время, с помощью журнала и ути-литы Qslice. Статический снимок этой же информации позволяетполучить и утилита Ntfrsutl, запущенная с ключом threads:

NTFRS THREAD USAGE:FrsDs 2 CPU Seconds (2 kernel, 0 elapsed)DelCs 0 CPU Seconds (0 kernel, 0 elapsed)OutLog 0 CPU Seconds {0 kernel, 0 elapsed)JRNL 0 CPU Seconds (0 kernel, 0 elapsed)DBCs 2 CPU Seconds (1 kernel, 0 elapsed)

COAccept 0 CPU Seconds (0 kernel, 0 elapsed)ReplicaCs 0 CPU Seconds (0 kernel, 0 elapsed)ReplicaCs 0 CPU Seconds (0 kernel, 0 elapsed)ReplicaCs 0 CPU Seconds (0 kernel, 0 elapsed)PROCESS 15 CPU Seconds (14 kernel, 0 elapsed)

Отличие в том, что вместо идентификаторов отображаются «друже-ственные* имена потоков.

В начале главы я много говорил о таблице идентификаторов файлов.Выполнив команду:

ntfrsutl idtable

вы получите список всех записей в этой таблице. Вот пример:


Table Type: ID TableFileGuidFilelDParentGuid

ParentFilelDVersionNumber

EventTimeOrlginatorGuid

OriginatorVSNCurrentFileUsnFileCreateTime

FileWriteTime

FileSizeFileObjIDFileNameFilelsDirFileAttributes

FlagsReplEnabled

TombStoneGCOutLogSeqNum

Extension

for DOMAIN SYSTEM VOLUME (SYSVOL SHARE)

5c918aff-c623-4cc5-BfOe3bf7f340822a00050000 00000071

2f74c499-6780-4ecc-ae832a17fbbea46300060000 0000007400000000

Tue Jan 15. 2002 22:19:337bca9f4d-b794-444a-ad7db40711f3acel

01c19df9 3c204cff

00000000 OOOfeefSTue Jan 15, 2002 22:19:33

Tue Jan 15, 2002 22:19:3300000000 ООООООЭ800000000-0000-0000-0000000000000000fdeploy.ini00000000

00000022 Flags [HIDDEN ARCHIVE ]00000000 Flags [<Flags Clear>]00000001

Sun Mar 17, 2002 22:00:39

00000000 00000000MD5: а6Ь54997 Ы8с9Ь2Ь 39382аа8 64се0830

Последняя строка содержит контрольную сумму файла используемуюпри сравнении файлов в репликах.

Наконец, эта утилита позволяет управлять временем опроса ActiveDirectory на предмет внесения изменений в конфигурацию. Если про-сто выполнить команду:

ntfrsutl poll

будет выведено сообщение о текущих интервалах опроса:

Current Interval: 5 minutesSnort Interval : 5 minutesLong Interval : 60 minutes

Дополнительные ключи Now (сейчас). Quickly= (быстро) и Slowly^(медленно) позволяют задать быстрый и медленный интервал, а так-же выполнить опрос незамедлительно.

Пример диагностики проблем репликации каталога SYSVOL с помо-щью NTFRSUTL см. в Microsoft Technet в статье * Trouble shoot ing MissingSYSVOL and NETLOGON Shares [Q257338]».

Восстановление реплицируемых файлов

Когда заходит речь о файлах и их хранении, как правило, затрагива-ется тема резервного копирования и восстановления. Обычно для этихцелей используют специальные программы вроде Windows Backup,

374 Active J3ir ectory : ^одхдд^ профессионала

встроенной в ОС. Несомненно, что для резервного копирования фай-лов. тиражируемых службой FRS, используются те же программы. Ре-зервное копирование не представляет какого-либо интереса (програм-ме все равно, какие файлы сохранять), а вот восстановление — пред-мет отдельного разговора.

Служба FRS отслеживает изменения в файлах и хранит их версии —это основа работы механизма репликации. Однако версии файлов несохраняются при резервном копировании, а значит, восстановленнаяинформация оказывается в неопределенном положении: служба FRSдолжна получать указания, что делать с восстановленными файлами:заменить новыми или тиражировать их на все остальные партнерыпо репликации в наборе реплик,

Эта дилемма существует и для объектов Active Directory. Там действу-ют понятия авторитетного и неавторитетного восстаноатений изрезервной копии. Те же понятия актуальны и для механизмов восста-новления FRS.

При неавторитетном восстановлении те файлы в восстановленнойреплике, контрольная сумма которых совпадает с контрольной сум-мой файлов у партнера по репликации, остаются неизменными. Еслиже контрольная сумма различна, место восстановленного файла за-нимает файл, переданный партнером по репликации.

При авторитетном восстановлении восстановленные файлы являют-ся истиной в конечной инстанции. Сведения о них передаются всемпартнерам по репликации, и там, где наблюдается различие конт-рольных сумм, они заместят файлы в других репликах.

Неавторитетное восстановление — предпочтительный способ восста-новления файлов. Он применяется, например, при восстановленииреплицируемого каталога на одном из серверов или при переносесодержимого реплицируемого каталога на удаленный сервер на маг-нитной ленте или ином съемном носителе. Авторитетное восстанов-ление используется в крайних случаях, скажем, при полном крахе илипорче всех реплик. К примеру, если вы случайно удалили все катало-ги групповых политик и заметили это, только когда ваши действиябыли реплицированы на все компьютеры, без авторитетного восста-новления не обойтись.

Замечание Файл ntfrs.jdb (БД FRS) не копируется. При его порче илиуничтожении его восстанавливает ОС при сравнении файлов в раз-ных репликах.

Неавторитетное восстановление

Неавторитетное восстановление применяется в случаях:

Active Directoryji файловая система 375

• нарушения в работе службы FRS;

• повреждения локальной базы ntfrs.jdb;

+ ошибок, связанных с переполнением журналов и, как следствие,потери информации из-за перезаписи;

+ ошибок при репликации.

Неавторитетное восстановление можно выполнить:

+ с резервной копии;

• с других партнеров по репликации.

Первый способ предполагает, что вы следуете всем рекомендациям пообслуживанию ОС и поэтому у вас есть актуальная резервная копия.Поэтому данный способ и описан в [3], [6]. Здесь я только короткоскажу, что надо сделать.

1. Исключите из набора реплик компьютер, на котором нужно вос-становить реплику.

2. Восстановите файлы из резервной копии в тот каталог, которыйдолжен реплицироваться.

3. Включите компьютер в набор реплик, указав при этом на восста-новленный каталог как на реплицируемый.

После этого служба FRS обнаружит, что ее конфигурация изменилась.и добавит новый член. Все вновь добавленные файлы будут перене-сены во временный каталог. Далее будет запрошен входной партнерпо репликации обо всех файлах в его реплике. В результате сравне-ния контрольных сумм будут выявлены отличающиеся файлы и заме-нены теми, что хранятся у партнера.

Второй способ пригоден для нерадивых администраторов, считающихроскошью регулярное резервное копирование. Основан он на том, чтоза счет изменения значения флага BurFlags можно инициировать ав-торитетное и неавторитетное восстановление реплики.

1. Остановите службу FRS на компьютере

2. Задайте параметру BurFlags в ветви реестра HKLM\SYSTEM\Current-ControlSet\Services\NtFrs\Parameters\Backup/Restore\Processat Star-tup значение OxD2. Это позволит выполнить неавторитетное вос-становление всех реплик на компьютере. Если надо восстановитьтолько конкретную реплику, измените этот параметр в ветвиHKLM\SYSTEM\CurrentControlSet\Services\NtFrs\Parameters\Cumu-lative Rcpiica Sets\<HOMep GUID репликиХ

3. Вновь запустите службу FRS

Далее произойдет следующее.

ф Значение параметра BurFlags снова сбросится в 0.


• Файлы из реплицируемых каталогов будут перемещены в каталогNtFrs_PreExisting See_EventLog. При этом в журнале службы реп-ликации файлов появится сообщение с Event ID=13520 о выпол-ненной операции.

• БД службы FRS будет перестроена заново.

• Произойдет начальное подключение к набору реплик (созданиевектора версий — процесс W-join) того партнера, с которым име-ется входной объект связи, либо того, что прописан в параметреRepiica Set Parent для реплики SYSVOL Сообщение об успешномдобавлении к набору реплик появится в журнале регистрации подномером 13553- Как только откроется окно репликации, будетвыполнена полная синхронизация реплик.

Зачем перемещать файлы в каталог NtFrs_PreExisting See_EventLog?Допустим, незадолго до того, как аы обнаружили, что реплика нужда-ется в восстановлении, в нее были внесены изменения, которые небыли тиражированы на другие компьютеры. В таком случае послезавершения синхронизации можно сравнить содержимое этого ката-лога с реплицируемым, выяснить различия и, если понадобится, по-вторить их путем копирования нужных файлов. Когда вы поймете, чторепликация завершилась нормально и перенесете файлы из каталогаNtFrs_PreExisting See_EventLog, вес файлы в нем можно удалить дляосвобождения диска.

Замечание Если указанный каталог не отличается от реплицируе-мого, он будет удален автоматически по завершении синхронизации.

Внимание Прежде чем выполнять неавторитетное восстановлениеэтим способом, убедитесь, что ны уже ликвидировали причину сбоя,данный компьютер связан с «эталонным* компьютером, хранящимверную реплику и топология репликации такова, что неверные реп-лики с других партнеров по репликации не исказят данных.

Авторитетное восстановление

Авторитетное восстановление — последняя соломинка. К нему мож-но прибегнуть, только когда вы поняли, что уже ничто не поможет.Авторитетное восстановление выполняется двумя способами: из ре-зервной копии и с партнера по репликации. Первый описан в [6] издесь приведен вкратце. Второй способ описан полностью.

Восстановление с магнитной ленты. Магнитная лента, конечно, неединственный носитель: восстановление можно сделать с любогосъемного носителя, используя Windows Backup. Эта программа уст-роена так, что при восстановлении реплицируемых файлов на кон-


троллере домена она позволяет указать, что восстанавливаемые дан-ные являются первичным источником для всех реплик. Для этогоотметьте флажок When restoring replicated data sets, mark the restoreddata as the primary data for all replicas. Иная картина на сервере — чле-не домена, где этот флажок использовать нельзя, Авторитетное вос-становление возможно только на сервере, являющемся первым в на-боре реплик. Для этого все файлы из реплицируемого каталога пол-ностью удаляются, а потом восстанавливаются из резервной копии.Если сервер не первый в наборе реплик, возможно только неавтори-тетное восстановление.

Восстановление из реплики выполняется следующим образом.

1. Остановите службу FRS на всех компьютерах в наборе реплик.

2. На компьютере-эталоне задайте параметру BurFlags в ветви реест-ра HKLM\SYSTEM\CurrentControlSet\Services\NtFrs\Parameters\Ba-ckup/Restore\Process at Startup значение OxD4. Это позволит выпол-нить авторитетное восстановление всех реплик на компьютере.Если надо восстановить только конкретную реплику, измените этотпараметр реестра в ветви HKLM\SYSTEM\CurrentControlSet\Servi-ces\NtFrs\Parameters\Cumulative Replica 5ес5\<номер GUID репликиХ

3. Запустите службу FRS на эталонном компьютере.

Далее произойдет следующее.

+ Значение параметра BurFlags снова сбросится в О.

• Файлы, расположенные в реплицируемом каталоге, останутся насвоем месте и станут * авторитетными» для всех остальных парт-неров по репликации.

ф БД FRS будет перестроена на основании данных файлов.

Обязательно дождитесь появления в журнале событий службы репли-кации файлов сообщений о событиях 13553и 13516. Далее можно поочереди включать службу FRS на партнерах по репликации, предва-рительно задав параметру BurFlags значение OxD2, т. е. инициировавна них неавторитетное восстановление.

Восстановление конфигурации FRS

Говоря о конфигурации FRS, я подразумеваю те объекты Active Direc-tory, что относятся к этой службе и были рассмотрены ранее. Восста-новление объектов Active Directory возможно из резервной копии со-стояния системы (System State). В главе «Поиск и устранение проблем»я подробно описываю восстановление системного состояния. Здесьже я напомню, что, выбирая System State в программе резервного ко-пирования, вы позволяете сохранять БД и журналы Active Directory,загрузочные файлы, зарегистрированные в системе СОМ+- объекты,реестр и... файлы каталога SYSVOL

378 Active Р1гес{огумподход^п^рофессионала

Ага, значит, из того, что относится к службе репликации файлов, всистемное состояние включены объекты FRS и файлы SYSVOL! Воз-можно, что все, что сказано выше о восстановлении реплик, можносделать иначе? Возможно... Но разберемся по порядку. Начнем с вос-становления объектов FRS в Active Directory.

Допустим, вы удалили объекты FRS. Для восстановления объектов в AD,как известно, надо проделать авторитетное восстановление систем-ного состояния из резервной копии:

• загрузите контроллер домена в режиме восстановления службыкаталогов;

• восстановите самую свежую версию System State с помощью Win-dows Backup;

• отметьте удаленный контейнер как авторитетный с помощью про-граммы ntdsutil;

• загрузите контроллер домена в нормальном режиме и дождитесьзавершения репликации;

• если с момента выполнения резервного копирования состояниясистемы были добавлены новые реплики, добавьте их повторно.

А если удалены файлы в каталоге SYSVOL? Можно следовать алгорит-му авторитетного восстановления объектов AD. Несомненно, этимспособом удастся восстановить содержимое SYSVOL, но при этомвосстановятся объекты Active Directory, соответствующие старомусостоянию системы и, так как они восстановятся авторитетно, ониперезапишут информацию на всех остальных контроллерах домена.То есть вы отбросите всю систему на какое-то время назад. Так значит,авторитетное восстановление в ntdsutil для восстановления SYSVOLиспользовать нельзя? Можно, но только делать это надо так:

+ загрузите контроллер домена в режиме восстановления службыкаталогов;

• восстановите самую свежую версию System State с помощью Win-dows Backup в другое место на диске (поле Restore Files To);

+ скопируйте удаленные файлы в каталог SYSVOL;

4> если удалены были файлы групповой политики, синхронизируй-те версии контейнеров групповой политики я файлов групповойполитики.

Оптимизация процессов восстановления

Когда выполняется нормальная репликация файла, входной партнерсоздает один подготовительный файл для всех выходных партнеров.В случае выполнения восстановления файлов инициируется подклю-чение вектора нерсий (Vector Versiom Join — W-Join), при котором

Active Directoiy и файловая система 379

для каждого реплицируемого файла создастся по 1 подготовительно-му файлу для каждого выходного партнера. Если надо тиражировать10 файлов для 10 партнеров, будет создано 100 подготовительныхфайлов. Это может отрицательно сказаться на производительностисерверов, поэтому данный процесс нужно оптимизировать, т. е.:

+ копировать содержимое на новые члены набора реплик с помо-щью программы Windows Backup (см. выше);

+ уменьшать число серверов создающих подготовительные файлы;

• сокращать число реплицируемых файлов в каталогах на времявыполнения процесса W-join.

• разрешать выполнение только одного подключения вектора вер-сий на входном партнере.

Выходнойпартнер




Входнойпартнер



Создание подготовительных файлов при обычной репликациии при инициации процесса W-join

Сокращение числа серверов, создающих подготовительные файлы

Сначала посмотрим на репликацию SYSVOL. При добавлении компь-ютера в домен репликация SYSVOL выполняется с того контроллерадомена, с которого пришла информация об Active Directory. Его имявременно появляется в виде значения параметра Replica Set Parent вветви реестра HKLM\SYSTEM\CurrentControlSet\Services\NTFRS\Para-meters\SysVol\<HMH доменах При неавторитетном восстановлении ка-талога SYSVOL можно принудительно указать, с какого сервера долж-на выполняться репликация, добавив этот параметр в реестр. Напри-мер, это может быть контроллер, расположенный в том же сайте.


Увы, такой механизм невозможен для реплик DFS, и приходится идтив обход.

• Остановка службы FRS на всех возможных входных партнерах,кроме того, что является пред почтительным. Идеальным это реше-ние не назовешь: несмотря на остановку службы FRS, изменения вжурнале NTFS будут накапливаться, и при длительной остановкежурнал может переполниться, что приведет к возобновлению за-писи новых событий в начало, а значит будут потеряны сообще-ния об изменении файлов.

• Управление количеством объектов связи со входными серверами.Удаляя объекты, можно добиться того, что репликация будет вы-полняться только с одного сервера.

• Ограничение времени передачи файлов между серверами перио-дами наименьшей загрузки канала. По каналу с пропускной спо-собностью 64 кбит/с и загрузкой 25% можно передавать до 21 Мбданных ежечасно, или 506 Мб ежедневно. Значит, за выходной деньможно передать около 2 Гб при степени сжатия 50%. Правда, надоучесть, что те серверы, что стоят в центральном сайте и «кормят*периферийные серверы данными репликации, должны иметь боль-шой объем свободного пространства на диске и высокое значениепредельной: емкости подготовительного каталога.

Сокращение числа реплицируемых файловна время выполнения процесса VV-join

Чем меньше файлов в каталоге, тем меньше времени займет реплика-ция, тем меньше объем подготовительного каталога и тем меньше под-готовительных файлов будет создано.

Данный подход наиболее актуален при инициализации реплик DFS,так как для DFS характерны огромные объемы реплицируемых томови большое число партнеров, попарно связанных между собой. В мень-шей степени это актуально для репликации SYSVOL, так как тополо-гия репликации в этом случае оптимально задана КСС

И все же как для DFS, так и для SYSVOL файлы из реплицируемогокаталога надо переместить в безопасное место и инициировать про-цесс W-join (реинициализации членов реплики). Если речь идет окаталоге SYSVOL, то из всех файлов нужно оставить каталоги, соот-ветствующие политике домена и политике контроллеров домена поумолчанию, задать параметру BurFlags на эталонном компьютере зна-чение OxD4, а на всех остальных — OxD2. По завершении реинициа-лизации файлы возвращаются на прежнее место, и их репликациявыполняется обычным ш/тем.

ActiveJHreclory и файловая система 381

Разрешение выполнения только одногоподключения вектора версий на входном партнере

Для крупных реплик DFS, содержащих десятки гигабайт данных, сле-дует рассмотреть возможность добавления не более одного члена зараз. Добавив новый компьютер, надо дождаться завершения началь-ной синхронизации и выхода из процесса W-join. Проконтролиро-вать это можно по исчезновению всех файлов из подготовительногокаталога.

Предел объема подготовительного каталога надо задать равным объе-му 128 самых крупных файлов в реплицируемом каталоге.

Распределенная файловая системаРаспределенная файловая система (Distributed File System — DFS),позволяет объединить серверы и предоставляемые в общее пользо-вание ресурсы в однородное пространство имен. DFS обеспечиваетоднородный поименованный доступ к набору серверов, совместноиспользуемых ресурсов и файлов, организуя их в виде иерархии.В свою очередь новый том DFS может быть иерархично подключен кдругим совместно используемым ресурсам Windows 2000. Таким об-разом, DFS позволяет представлять физические устройство храненияв виде логических элементов, доступ к которым прозрачен и дляпользователей, и для приложений.

DFS подробно описана в [б], Здесь же основной упор сделан на до-менную DFS, репликацию отказоустойчивых томов DFS, оптимизациюработы и поиск проблем. Для начала рассмотрим общие концепцииDFS, чтобы дальше использовать единую терминологию.

Немного о DFSЛюбая UFS начинается с корня. Если речь идет об отдельно стоящейDFS, то корнем DFS является локальный ресурс, который предостав-ляется в совместное использование и применяется как точка отсчетадля остальных ресурсов. Доступ к такому ресурсу осуществляется поимени сервера, на котором этот ресурс расположен:

\\server\DFSRoot

Если мы говорим о доменной DFS, то корнем также является совмес-тно используемый ресурс на сервере, но доступ к нему осуществляет-ся по имени домена независимо от того, на каком именно серверерасположен корень:

\\mycorp\DFSRoot

Замечание Доступ к доменной DPS возможен и по имени того сер-вера, который администратор выбрал в качестве хоста DFS.


В домене может быть несколько корней, но на одном.сервере в доме-не может располагаться не более одного корня доменной DFS. Корнидоменной DFS могут находиться либо на контроллере домена, либона сервере — члене домена. Любой корень DFS может иметь несколь-ко корневых реплик. Между репликами можно организовать тиражи-рование данных. По умолчанию репликации между корневыми реп-ликами нет.

Как было сказано, информация о доменной DFS, в том числе обо всехрепликах, хранится в Active Directory. Там же находится информацияоб объектах связи между репликами.

Корень доменной DFS\\Mycorp\Public

\\IIS\Boot

\IIS\Root\ Обычный каталогCorpinfo \use;rs

Точка перехода "\Sasha

Реплика корняRoqt2.mycorp.ru

Реплика корняRoot1.mycorp.ru

Это видит пользователь

Q PublicЙ-О intranet

• - О CorpinfoВ ill Users

j'-Qj DirnaИ-О Sasha

-•С) ActiveX

Точка перехода\lntranet

\\Sasfia2\DataBackup\ActiveX

Альтернативные тома(Реплики томов DFS)

Обычный каталог\Users

Точка перехода\Sasfia

Точка перехода\Dima

\\NW4n\Public\Users\DimaТом нижнего уровня

В доменной DFS может быть несколько реплик корняи альтернативных томов DFS

Под корнем находятся каталоги, часть которых является точкамиперехода DFS на другие ресурсы, как правило, на каталоги, предостав-ленные в совместное использование на любых других серверах, ккоторым есть доступ с любой реплики. Такую точку перехода совме-стно с каталогом, на который она указывает, называют томом DFS.


Замечание Под корнем могут храниться обычные каталоги, и ихможно использовать для хранения данных точно так же, как в ката-логах на любом другом сервере. Однако учтите, что в клиентскойчасти DPS есть ошибка, которая не позволяет переименовывать ката-логи в корне доменной DFS. названные по-русски. Эта ошибка исправ-лена только в .Net Server.

Если одна и та же точка перехода указывает на несколько альтерна-тивных ресурсов с идентичным содержимым, эти точки переходаназываются отказоустойчивыми томами DFS, а сами ресурсы —реп-ликами тома DFS. Между репликами тома можно организовать тира-жирование их содержимого. При запросе пользователем тома DFS сприменением службы DNS на клиент передаются все реплики. Затемклиент выбирает ближайшую реплику, основываясь на сведениях отопологии узла в Active Directory. Если выбранная реплика недоступ-на, клиенту не надо выполнять повторный запрос к DFS.

Все тома, расположенные не на серверах Windows NT/2000, являютсятомами нижнего уровня. Они могут быть видны в структуре DFS, носами не могут быть точками перехода или хостами DFS. К таким си-стемам относятся Windows NT Workstation, Windows 9x. Windows forWorkgroups, а также все сетевые ресурсы других производителей, ккоторым имеется доступ. Замечу, что DFS-клиент для Windows 95может осуществлять доступ ко всем томам высокого уровня и всемSMB-томам нижнего, но не способен взаимодействовать не с 8MB-томами.

Таблица РКТКлючевую роль в работе DFS играет таблица знаний о разделах (Parti-tion Knowledge Table — РКТ), где хранится информация обо всех точ-ках перехода. Структура таблицы такова:

Путь DFS Список [Сервер + совместноиспользуемый ресурс]

Время жизни

РКТ существует на клиентской стороне, на сервере и в Active Director)'.

Дня отдельно стоящей DFS таблица РКТ хранится в реестре сервера,являющегося хостом, тогда как РКТ доменной DFS хранится в ActiveDirectory. Доступ к РКТ и его администрированию имеют все маши-ны, участвующие в создании отказоустойчивого тома DFS.

РКТ в Active Directory представляет собой атрибут рКТ у объекта <имякорня DFS>,CN=Dfs-Connguration,CN=System,<HMH доменаХ Вообщеименно этот объект хранит сведения о DFS. Это. скажем честно, не


лучшее решение, так как сказывается на масштабируемости отказоу-стойчивых корней DFS (см. раздел «Предельные возможности»).

На клиентской стороне существует одна РКТ для каждого тома DFS,После получения ссылки из серверной РКТ информация о ней оста-ется в таблице в течение 30 минут. В случае повторного использова-ния той же ссылки время жизни соответствующей строки таблицыобновляется. Если в течение 30 минут повторного обращения не про-исходит, соответствующая ссылка удаляется из таблицы РКТ. Еслиссылка соответствует отказоустойчивому тому то кэшируется инфор-мация обо всех альтернативных ресурсах, и при повторном обраще-нии к такой ссылке ОС произвольно выбирает один из них.

По умолчанию время кэширования — 30 минут, Но его можно изме-нить. Значение устанавливается для каждого тома DFS отдельно. По-мните: если клиент обратится по ссылке, которую он выбрал из кэ-шированной таблицы РКТ до истечения срока хранения, он не узна-ет об изменениях. Если к этому времени физическое положение томаизменится, доступа к нему пользователь не получит,

Как видно из рисунка, в РКТ хранится соответствие логических именDFS ссылкам на физические ресурсы. В случае альтернативных томовдля точки перехода хранится список альтернативных ресурсов. Каж-дая строка в таблице занимает около 300 байт.

Пытаясь пройти точку перехода, клиент сначала обращается к РКТ,хранящейся в локальном кэше. Если описания этой точки там нет, онобращается к корню DFS. Если же при этом не происходит определе-ние точки перехода, выдается сообщение об ошибке. Если ссылкаразрешается, информация о ней заносится в локальную РКТ.

В РКТ хранятся сведения, позволяющие пользователям Windows 2000/ХР подключаться к ресурсам в том сайте, в котором они находятся.

Внимание Данные о принадлежности к сайту заносятся в РКТ наэтапе конфигурирования DPS. Если сервер переносится в другой сайт,DFS надо перешнфигурировать. Помните об этом, используя подго-товительный сайт в крупных компаниях (см. главу «ПланированиеActive Directory'").

Как известно, существуют две ревизии клиентской части DFS; 2 (реа-лизована на клиентах Windows 9^/NT) и 3 (реализована на клиентахWindows 2000/XP). Между ними много различий, но я хочу обратитьвнимание на то,, как данные об отказоустойчивых томах передаютсяклиентам из РКТ в зависимости от номера ревизии.

Для клиентов ревизии 2 таблица ссылок на все реплики передается втом виде, как она хранится на сервере. Записи предварительно не


сортируются. Клиент сам произвольно тасует полученные записи ивыбирает первую попавшуюся.

Для клиентов ревизии 3 таблица ссылок предварительно разбиваетсяна две части: в первой перечисляются ссылки на реплики, располо-женные в том же сайте, что и клиент, во второй — все остальные.Клиент перемешивает каждую из частей в произвольном порядке.

Описанный алгоритм обеспечивает балансировку нагрузки междурепликами. И хотя такая балансировка весьма относительна, так какне принимает в расчет реальной загруженности реплик, она дает свойположительный эффект.

Замечание Принадлежность к сайту игнорируется в двух случаях:если доступ к корню или тому DFS осуществляется из консоли управ-ления сервером DFS и из терминальной сессии, открытой на сервереDFS.

Взаимодействие клиента с сервером DFS

Как клиент взаимодействует с сервером DFS? Взгляните на рисунок:

Клиент

IQТом DFS

Том DFS

Последовательность обращений клиента к корню DPS

1. Допустим, клиент обращается к серверу, на котором расположенкорень DFS, и передает ему SMB запрос к ресурсу вида \\server\pub-lic\file.txt.

2. Первым делом сервер пытается обратиться к своему локальномуресурсу.

3- Довольно быстро обнаруживается, что такого локального ресурса нет.


4. Поэтому сервер посылает клиенту ответ STATUS_PATH_NOT_COVERED.

5. Если бы такой отпет получил обычный клиент (скажем, Windows 9л-).он бы сообщил пользователю о неверно введенном имени файла.Иное дело, когда такой ответ получает клиент DFS. В ответ онпосылает на сервер запрос TRANS2_DFS__GIiT_REFERRAL

6. Обрабатывая этот запрос, сервер DPS обращается к РКТ. Если длязапрашиваемого файла имеется только одна ссылка, на сервервозвращается полное UNC-имя файла. Если есть ссылки на альтер-нативные тома, передается список альтернативных путей.

7. Сервер передает список клиенте

8. Клиент выбирает из списка произвольный пут например \\fsl\pub-lic\file.txt, и обращается к указанному ресурсу.

9- Допустим, выбранный сервер недоступен в момент обращениялибо на нем нет указанного файла. В первом случае клиент пре-рвет обращение по тайм-ауту, во втором — сервер пошлет клиен-ту ответ STATUS J>ATH_NOT_ COVERED.

10. Это сообщение будет расценено клиентом иначе, чем при обра-щении к корню DFS. На этот раз клиент пошлет уведомление сер-веру TRANS2_REPORT_DFSJNCONSISTENCY.

11. Уведомив сервер, что у того не все в порядке, клиент выбирает излокальной РКТ следующий путь к файлу, например \\fs2\pub-lic\file.txt. и обращается к нему. Если файл доступен, начинаютсяобычные операции чтения-записи.

Репликация DFS

Первая часть этой главы практически полностью охватывает вопро-сы, связанные с репликацией DPS. Поэтому здесь я коротко рассмот-рю те вопросы, которые обошел вниманием ранее.

Начну с того, что для репликации DPS не обязательно использоватьслужбу FRS. Если у вас есть механизм, обеспечивающий большуюэффективность, задействуйте сто.

Как я неоднократно говорил, реплицировать можно как содержимоеальтернативных томов DFS, так и сами корни доменной DFS.

Говоря о репликации корней доменной DPS, я имею в виду два раз-личных механизма репликации. Первый — тиражирование объектовконфигурации DFS между контроллерами доменов. При этом задей-ствован механизм репликации Active Directory. Второй — тиражиро-вание содержимого корней на серверах-носителях корней. Если вдомене три контроллера и два сервера — члена домена, на которыхрасполагаются корни DPS, репликация выполняется по кольцу для

Active Directory и файловая система 38/

контроллеров домена и напрямую — между двумя серверами. И этипроцессы между собой не связаны. Поэтому в определенные момен-ты после внесения изменений в конфигурацию DFS (а вносятся онивсегда только на имитаторе РОС) будет существовать разное знаниеконтроллеров о DFS, и клиенты, обращающиеся к разным контролле-рам, будут получать разные сведения о DFS и ее структуре.

Контроллер домена Контроллер домена

Контроллер домена,хост DFS

Сервер,xocrDFS

Топология репликации конфигурации DFS отличаетсяот топологии репликации корней DPS

Следует учитывать и объем, занимаемый в Active Directory объектомконфигурации DFS. Для DFS, содержащей порядка 100 ссылок, он со-ставит около 40 кб.

Репликация альтернативных томов по умолчанию не включается.Вообще можно содержимое альтернативных томов сделать различ-ным, и DFS на это не отреагирует, так как не занимается проверкойидентичности. Если же тома включены в набор реплик, служба FRSобеспечит их идентичность.

Как я уже говорил, топология репликации между репликами томов DFSпо умолчанию представляет собой набор попарных связей междучленами набора реплик. Чем больше реплик в наборе, тем труднееадминистрировать такую топологию и тем более искать проблемы.С другой стороны, такая топология обеспечивает минимальное вре-мя распространения изменений. И все же топологию рекомендуетсяоптимизировать и делать ее подобной той, что используется при реп-ликации Active Directory. Особое внимание следует обратить на суще-ствование сайтов.

368 Active^Directory:_подход профессионала

Сайты и DFSВ главе <• Репликация Active Directory* показана роль сайтов в форми-ровании топологии репликации Active Director)'. Но сайты влияют ина топологию репликации DFS, и на обращение клиентов к ресурсам.

• Репликация конфигурации доменной DFS идет в строгом соответ-ствии с разбиением на сайты. То есть между сайтами репликациявыполняется по расписанию, а значит, сведения о конфигурацииDFS в удаленных филиалах могут существенно отличаться от ре-альных, так как изменения дойдут, только когда откроется окномежсайтовой репликации.

• При старте сервера — хоста доменной DFS происходит обраще-ние к контроллеру домена для считывания конфигурации. Приобращении учитывается сайтовая информация, так что выбирает-ся ближайший контроллер.

• Пытаясь получить доступ к ресурсу DFS, клиент не только обра-щается к серверу, находящемуся и одном сайте с ним, но и к кон-троллеру домена в том же сайте.

• Когда администратор запускает оснастку управления DFS, она под-ключается к контроллеру домена, расположенному в том же сайте.

Предельные возможности и ограничения

Теперь обсудим масштабируемость DFS. В разных источниках приво-дятся противоречивые сведения и, чтобы исключить путаницу, я при-веду данные, опубликованные в Microsoft Technet в статье «DFS Scala-bility in Windows NT 4.0 and Windows 2000 [Q232613]».

Масштабируемость DFS

Ресурс Предел

Максимальное число отказоустойчивых корней 1 на сервере, 16 в доме-в домене не (рекомендуется)Максимальное число отдельных корней 1на компьютереМаксимальное число точек переходи 5 000в доменной DFSМаксимальное число точек перехода 10 000в отдельно стоящей DFSМаксимальное количество корневых реплик Рекомендуется

Fie более 16Максимальное количество реплик томов 256

Максимальное число корней на одном сервере будет увеличено вследующих после Windows 2000 версиях. Пока же приходится мирить-ся с этим ограничением.

ActitfgjHrectory и файловая^ система 3139

Отдельно стоящая DFS хранит сведения о конфигурации в реестре вветви HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\DfsHost. Предел,установленный для размера файла реестра и равный 13 Мб, не явля-ется сдерживающим фактором. При числе точек перехода, превыша-ющем 10 000, производительность ОС во время загрузки сильно сни-жается. После загрузки она продолжает работать в обычном режиме.Исходя из этого, рекомендуется создавать несколько корней, когданужно использовать более 10 000 точек перехода.

Для доменной DFS вся информация о корне, точках перехода, репли-ках и их сайтовой принадлежности хранится, как я уже говорил, в ат-рибутах одного объекта Active Directory. Рекомендуемый размер этогообъекта — не более 5 Мб. Размер можно рассчитать по формулам:

объем, занимаемый корнем (в байтах):

180 + (число символов в имени DFS к 4) + (число символов в каждойреплике корня х 2}

объем, занимаемый каждой точкой перехода:

180 + (число символов в имени точки перехода относительно доменного

имени х 4}

Объем занимаемый каждой репликой =

20 + (число символов в имени реплики х 2)

объем, занимаемый каждым сервером, на котором располагается реплика:

12 + (число символов в имени сервера + число символов а названии сайта) х 2

Узнать текущий размер объекта позволяет команда dfsutil (см. далее).Превышение указанного значения отразится на скорости загрузкикомпьютеров.

Вас может заинтересовать, почему доменная DFS поддерживает вдвоеменьше точек перехода, чем отдельно стоящая DFS. Объяснений это-му факту несколько.

• В доменной DFS сервер занимается рандомизацией ссылок в РКТ,предоставляемой клиентам. Как ни мала нагрузка, она вносит свойвклад.

• Конфигурация DFS хранится в Active Directory как двоичный блок(blob) и в таком виде обновляется. Обращение к блобам требуетбольших процессорных ресурсов.

• Этот блоб реплицируется за одну транзакцию при изменении кон-фигурации Active Directory, Если обновление одного из свойствсрывается, происходит откат всей транзакции и ее последующееповторение.

• Отдельно стоящие DFS хранят данные в реестре и во время рабо-ты ОС располагаются в резидентной памяти. Active Directory xpa-


нит информацию в базе NTDS.dit, загружаемой в нерезидентнуюобласть памяти. Доступ к объектам в резидентной памяти в общемслучае выполняется быстрее доступа к объектам в нерезидентной.Значит, отдельно стоящая DFS должна обеспечивать большую про-изводительность.

Один из показателей, характеризующим производительность серве-ра, — количество одновременно поддерживаемых сеансов. Для сер-вера DFS это 3 000-6 000. Столь большой разброс связан с тем, чтоэто число зависит от загруженности сеансов. Для повышения числасеансов можно оптимизировать параметр Autodtsconnect командой:

net config server /autodisconnect:xx

где хх — время в минутах, диапазон — от -1 до 65 535. Этот параметруказывает время простоя в сеансе, по истечении которого сеанс от-ключается. При значении -1 отключение не выполняется.

Если пользователей, работающих с сервером, много, значение пара-метра можно уменьшить. Если же на DFS-сервере хранятся персональ-ные каталоги пользователей, его стоит увеличить, чтобы пользовате-ли не отключались в течение рабочего дня.

Ограничения доступа

С точки зрения пользователя, доступ к ресурсам DFS не отличаетсяот доступа к ресурсам любого сервера. Можно использовать UNC-имена или назначать буквы подключаемым в виде сетевых дисковкаталогам. Раскрывая любой каталог, пользователь прозрачно входитв него и продвигается по дереву в пространстве имен DFS, не задумы-ваясь о том, на каком конкретно сервере он в данный момент «нахо-дится».

Такое поведение DFS наблюдают только пользователи, зарегистриро-ванные в том домене, где создан корень DFS, либо в доменах, имею-щих с этим доверительные отношения. Если пользователь не принад-лежит к домену либо домен, в котором он зарегистрирован, находит-ся в отдельном лесу, картина кардинально меняется.

По умолчанию пользователь не имеет доступа к корню DFS. Если жепри подключении к корню он введет верные для данного домена имяучетной записи и пароль, то получит доступ к корню и к ресурсамэтого сервера. Попытка обратиться к томам DFS, расположеннымфизически на других серверах, закончится неудачей, так как DFS непредложит ввести ему альтернативные параметры регистрации.

Рассмотрим пример. Пользователь, зарегистрированный в доменеmycorp.ru, пытается обратиться к ресурсу Software\User на сервереfsl.test.com. Ресурс входит в пространство имен DFS. Между домена-ми mycorp.ru и test.com нет доверительных отношений, но поль-


зователь знает, что для доступа можно применить учетную записьTestU.

Пользователь набирает в окне Run строку \\fsl.test.com\software. Даль-нейшее зависит от параметров сервера DNS в домене mycorp.ru и отпараметров клиентской части DNS на компьютере пользователя. Оче-видно, что, если на сервере DNS нет зоны test.com или перенаправле-ния запросов на тот сервер, где эта зона определена, доступ к ресур-су по имени будет невозможен. (Предполагаем, что у клиента в пара-метрах TCP/IP указан только адрес «своего* сервера DNS.) Для преодо-ления этой препоны пользователь должен либо прописать в парамет-рах клиента дополнительный адрес сервера DNS, либо обращаться кнему по адресу IP.

Пусть и эта преграда преодолена, Появляется приглашение ввестиальтернативные полномочия в формате «имя домена\имя учетнойзаписи» и пароль. Если все введено верно, появляется окно WindowsExplorer со списком папок, лежащих под корнем DFS. Пользовательщелкает папку User и.., получает сообщение «Access denied».

Реальный выход из этой ситуации — напрямую подключиться к сер-веру, на котором физически размещен этот ресурс. Если известно, чтона нем хранится много томов DFS, удобно подключиться к скрытомуресурсу IPCS, и тогда использование DFS вновь станет прозрачным.

Если переход DFS содержит ссылки на несколько альтернативныхтомов, придется напрямую подключиться ко всем либо не использо-вать DFS, а осуществлять прямой доступ к серверам. При этом, конеч-но, исключается какая-либо отказоустойчивость доступа.

Полезные советыВ этом разделе приведен ряд советов по эксплуатации DFS.

Работа DFS без NetBIOS

В главе «Установка Active Directory» мы обсуждали возможность отка-за от поддержки имен NetBIOS и решили, что без поддержки NetBIOSклиенты Windows 2000 будут обладать полной функциональностью,кроме возможности обзора ресурсов сети. Но это не совсем так.

DFS использует имена NetBIOS для предоставления доступа к своемупространству имен. Это позволяет клиентам Windows 9л: осуществ-лять доступ к ресурсам DFS (с установленным клиентом, конечно). Новот если у клиентов Windows 2000 отключить поддержку NetBIOS, онине смогут подключиться к DFS по умолчанию.

Если использование только таких клиентов не планируется, передконфигурированием DFS нужно модифицировать реестр на всех ком-пьютерах, включаемых в пространство имен DFS. Параметру DFSDns-


Config в ветви реестра HKLM\System\CurrentConcrolSet\Services\DFSнадо задать значение 1.

Внимание Если параметр DFSDnsConfig модифицировать не на всехкомпьютерах, включенных в проегранство имен DFS, или доступ к DFS,кроме клиентов Windows 2000/XP с отключенной поддержкой Net-BIOS, будут осуществлять клиенты, понимающие только NetBIOS-име-на, это отрицательно скажется на доступе к DFS.

Резервное копирование пространства имен DPSВыше, когда речь шла о службе FRS, я рассказал о резервном копиро-вании реплицируемых файлов и каталогов. Это, несомненно, важнопри работе с DFS, но не менее важно иметь возможность резервногокопирования и восстановления пространства имен DFS.

Эти операции можно сделать двумя инструментами:

• Dfscrnd;

• DfsUtil.

Работу с этими многофункциональными программами мы обсудимниже. А здесь я расскажу, как их использовать для резервирования ивосстановления пространства имен DFS.

Использование DfsCmd

Для сохранения пространства имен с целью его последующего восста-новления команду DfsCmd следует выполнить с такими параметрами:

dfscmd /view \\Имя домена\имя корня DFS /batchrestore > DFS_bacKup.bat

В итоге в указанный файл будет записана последовательность команд,необходимых для воспроизведения при восстановлении. Вот примертакого файла, полученного при запуске на сервере rootl. являющем-ся хостом доменной DFS в домене mycorp.ru. Для корня и тома Softwareсуществуют альтернативные реплики на сервере root2.

REM BATCH RESTORE SCRIPTREM dfscmd /map \\MYCORP\DFSRoot \\ROOT1\DFSRoot "" /restoreREM dfscmd /add \\MYCORP\DFSRoot \\ROOT2\DFSRoot /restoredfscmd /map \\MYCORP\DFSRoot\Software \\root1\software "" /restoredfscmd /add \\MYCORP\DFSRoot\S3ftware \\root2\software /restore

Чтобы восстановить DFS, достаточно просто выполнить этот файл.

Использование DfsUtil

Если для резервного копирования пространства имен DFS использо-вать DFSUtil. ее надо выполнить с такими параметрами;

dfsutil /view:\\HMH DFS\HMH корня DFS /export:DFS_backup.txt


где:

имя DFS — либо имя сервера-хоста DFS, либо имя домена для домен-ной DFS;

имя корня DFS — имя. данное корню DFS на хосте.

Вот пример файла, получаютцегося в результате этой команды для тойже DFS, что и выше.

// uncomment the addroot lines if// you want the script to create the root// ADDROOT:dfsroot SERVER:ROOT2 SHARE:DFSRoot

// ADDROOT:dfsroot SERVER:ROOT1 SHARE:DFSRoot

// Load the dfs informationLOAD:\\mycorp\dfsroot// Link InformationLINK:Software /MAP GUIO:C9B44B5EEB4EE64DAF6E3DOE132AADAF TIMEOUT;1800

ADD:\\root2\softwareADD:\\root1\software

// Site InformationSITE:ROOT1 /MAP

ADD:Default-First-Slte-NameSITE:ROOT2 /MAP

ADD:Default-First-Site-Name// Save the dfs informationSAVE:

В отличие от предыдущего этот файл нельзя использовать самостоя-тельно для восстановления DFS. Его нужно указать как файл импорта:

dfsutil /view:\\HMfl ОР8\имя корня DFS /import:DFS_backup.txt

Делегирование полномочий по управлению DFSДелегирование полномочий для доменной DFS отличается от предо-ставления тех же полномочий для отдельно стоящей DFS. Чтобы ад-министрировать последнюю, пользователь должен иметь админист-ративные права на корневом сервере. По минимуму это означаетвключение его учетной записи в локальную группу Administrators насервере — хосте DFS. Но это не все. Создание пространства именподразумевает создание точек перехода к ресурсам на других серве-рах. Если эти ресурсы уже есть, дополнительных прав не требуется.Если нет, то пользователю надо предоставить локальные админист-ративные права и на всех серверах —носителях томов DFS.

Делегирование полномочий по управлению доменной DFS включаетв себя предоставление полномочий на:

+ изменение конфигурации DFS (создание корней, добавление то-чек перехода, создание альтернативных корней и томов);


• настройку репликации томов и корней DFS (факультативно);

• создание ресурсов на других серверах, предоставление их в совме-стное использование для подключению к DFS, ограничение правдоступа.

Для выполнения этих трех категорий задач нужны разные полно-мочия.

Делегирование полномочий модификации конфигурации DFS

Конфигурация DFS хранится в свойствах объекта имядоМена/System/Dfs-Configurai:ion. По умолчанию полномочия доступа к этому объек-ту установлены так:

Права доступа к объекту Dfs-ConfigurationГруппа Полномочия

_Authenticated Users ЧтениеDomain Admins Чтение, запись, создание и удаление дочерних

объектовSYSTEM Полный лоступAdministrators (доменная) Чтение, запись, создание дочерних объектовEnterprise Admins Полный доступPre-Windows 2000 Просмотр содержимого, чтение объектовCompatible Access групп и пользователей

Для делегирования полномочий учетной записи надо предоставитьсоответствующие права доступа к этому объекту. Обычно достаточноправ, которыми обладает группа Administrators. Пользователь, правакоторому делегированы указанным способом, сможет управлять кон-фигурацией всех доменных DFS. Чтобы ограничить сферу его ответ-ственности, права доступа надо предоставить не ко всему контейне-ру Dfs-Configuration, а только к объекту, соответствующему нужномукорню DFS.

Замечание Механизма более тонкого разграничения полномочийпо управлению DFS не существует. Нельзя назначить администрато-ров для отдельных томов DFS.

Однако обеспечить возможность создания корней DFS предоставле-нием только доступа к объекту конфигурации нельзя. Пользователюнужны права на создание и модификацию каталогов на корневомсервере, а также права по предоставлению этих каталогов в совмест-ное использование. Например, можно включить учетную запись поль-зователя в локальные группы администраторов на серверах — хостахDFS. Этого уже хватит, чтобы создать корень.


Делегирование полномочий настройки репликации томов DFS

В разделе «Объекты Active Directory, используемые FRS- я рассказал,какие объекты служат для хранения конфигурации службы реплика-ции файлов, используемой в том числе и для репликации DFS. Объек-ты, относящиеся к репликации DFS, располагаются в контейнере имя.-до мена/System/File Replication Service и в контейнерах CN=NTFRSSubscriptions,CN=HMfl cepBepa,OU=Domatn Согиго11егз,<имя доменаХ Сле-довательно, пользователю нужны права доступа к этим контейнерам.

По умолчанию права доступа к объекту File Replication Sendee в точ-ности соответствуют правам доступа к объекту Dfs-Configuration, опи-санным выше. Изменить эти права можно в оснастке Active DirectoryUsers and Computers. Права доступа к контейнеру подписчиков служ-бы FRS по умолчанию таковы:

Права доступа к объекту NTFRS Subscriptions

Группа Полномочия

Authenticated Users ЧтениеDomain Admins Полный доступSYSTEM Полный доступAdministrators (доменная) Чтение, запись, спадание дочерних объектовEnterprise Admins Полный доступFre-Windows 2000 Просмотр содержимого, чтение объектовCompatible Access групп и пользователей

Изменить права доступа к этому контейнеру позволяет программаADSlEdit.

Как видите, чтобы делегировать полномочия по управлению и моди-фикации DFS. надо изменять полномочия доступа к большому числуобъектов. Поэтому удобнее создать локальную группу домена DFSAdmins, включить ее с соответствующими полномочиями в спискиконтроля доступа перечисленных выше объектов, а в нее включатьглобальные группы или пользователей, которым надо делегироватьсоответствующие полномочия.

Делегирование полномочий по управлениютомами DFS и разграничению доступа

Для создания томов DFS пользователь должен иметь возможность:

• создания каталога на NTFS-разделе сервера;

• предоставления этого каталога в совместное использование;

ф разграничения прав доступа к этим каталогам.

Такие права имеют члены локальной группы Administrators на серве-ре. Можно включить учетную запись пользователя в эту группу. Еслиже это неприемлемо по соображениям безопасности, можно задей-


ствовать группу DPS Admins и предоставить ей нужные полномочиячерез групповую политику.

Поиск и устранение проблем DFSТеперь можно перейти к животрепещущей теме поиска и устраненияпроблем. Как я уже говорил, DFS тесно связана со службой FRS (ко-нечно, если вы используете альтернативные тома и несколько репликкорня). Значит, советы, которые я давал ранее в отношении устране-ния проблем этой службы, применимы и в данном случае. Но есть исвоя специфика.

При работе с DFS могут возникнуть:

• проблемы доступа к пространству имен DFS;

+ проблемы доступа к томам DFS;

• задержки репликации содержимого альтернативных томов;

+ проблемы, связанные с безопасностью.

Администраторы часто чувствуют себя абсолютно беспомощными привозникновении элементарных проблем лишь потому, что не знают оDFSUtil — средстве избавления от головной боли с DFS.

DfsUtil

DFSUtil входит в состав Support Tools и является основным инструмен-том отладки и администрирования DFS из командной строки.

Внимание Рекомендуется применять DFSUril из состава SupportTools, поставляемого с сервисным пакетом SP2 для Windows 2000,Стандартная утилита, поставляемая на диске с сервером Windows 2000,содержит серьезные ошибки.

Она имеет два варианта использования:

• выполнение отдельных команд, вводимых как параметры команд-ной строки;

• выполнение сценариев, записанных в файле.

Синтаксис программы описан в справке к ней, поэтому здесь я оста-новлюсь только на приемах работы с ней. В разделе «Наиболее об-щие проблемы и их разрешение* я рассмотрю дополнительные при-меры использования DFSUtil для разрешения конкретных проблем.

Внимание Не рекомендую использовать примеры, приведенные всправке к этой программе в Support Tools: они содержат невернуюинформацию.


/list

Аргумент /list позволяет вывести информацию обо всех DFS в доме-не. Если вместо «голого» аргумента использовать /Н51:имя.домена, бу-дет выведен список всех корней DFS в указанном домене. В против-ном случае выводится список корней в том домене, где находитсяклиентский компьютер. Вот пример выводимой информации:

Getting D o m D f s ' s inConnecting to R O O T 1 . m y c o r p . r uFound 1 DomDfs 'sDFSRootThe command completed successfully.

Если у вас есть сомнения в идентичности конфигурации DFS на раз-ных контроллерах домена, можете дополнительно указать аргументД1спате:имя.контроллера,домена. При этом будет предоставлена ин-формация о конфигурации DFS на этом контроллере. Простое срав-нение покажет, тождественны ли реплики.

/view

Аргумент /view позволяет не просто узнать, сколько корней DFS вдомене, но и получить исчерпывающие сведения о каждом. Степеньподробности данных можно изменять. По умолчанию выводится ин-формация вроде этой:

C:\>dfsutil /view:\\mycorp\dfsroot

Здесь mycorp — это NetBIOS-имя домена (хотя ничто не запрещаетиспользовать DNS-имя), a dfsroot — имя корня,

\\mycorp\dfsroot is a DomDfsConnecting to ROOT1

Итак, тип DFS — доменная. Сведения будут взяты с контроллераROOT1. По умолчанию берется информация с имитатора PDC. Еслибы надо было взять информацию с другого контроллера, то в коман-дной строке надо указать аргумент Д1спате:имя.контроллера.

- Blob is 826 bytes...

Эта строка говорит о размере объекта конфигурации DFS в ActiveDirectory.

Type is OomDfsThere are 2 dfs-links in this Dfs.\\MYCORP\DFSRoot []

Timeout is 300 seconds

\\ROOT2\DFSRoot

\\ROOT1\DFSRoot

\\HYCORP\DFSRoot\Software []Timeout is 1800 seconds


\\root2\software\\root1\software

Приведенные данные свидетельствуют о том, что два альтернативныхкорня расположены на серверах ROOT1 и ROOT2 в каталогах DFSRoot.Период опроса Active Director)' об изменениях в их конфигурации —5 минут. Кроме того, два альтернативных тома имеют в пространствеимен DFS имя Software, они расположены также на серверах ROOT1и ROOT2 в каталогах Software. Период опроса Active Directory об из-менениях в их конфигурации — 30 минут.

Site information:

ROOT1

Default-First-Site-Name

ЯООТ2

Default-First-Site-Name

The command completed successfully.

Завершается вывод информации сведениями о сайтовой принадлеж-ности этих двух серверов.

Дополнительный аргумент /level:! позволяет получить более подроб-ные сведения, например:

C:\>dfsutil /view:\\mycorp\dfsroot /level:1

\\mycorp\dfsroot is a DomDfs

Connecting to FIOOT1— Blob is B2Ei bytes...Type is DomDfsThere are 2 dfa-links in this Dfs.До этого момента выводимая информация совпадает:

Version:1

remoteServerNaine:[\\ROOT2\DFSRoot][\\ROOT1\DFSRoot][*]

\\HYCORP\DFSROot []

GUID: D642DOB5E77CB04B94B99EF486B4C076

ShortPrefix: \MYCORP\DFSRoot

ObjectName: \domainroot

State:0x1 Type:0x81 Version:0x3

Timeout is 300 seconds

\\ROOT2\DFSRoot

State:0x2 (DFS_STORAGE_STATE_QNLINE) Type:0x1 <DFS_STORAGE_TYPE_DFS)

\\ROOT1\DFSRoot

State:0x2 (DFS_STORAGE_SWE_ONLINE) Type:0x1 (DFS_STORAGE_TYPE_DFS)

\\MYCORP\DFSRoot\Software []

GUID: C9044B5EEB4EE64DAF6E3DOE132AADAF

ShortPrefix: \MYCORP\DFSRoot\Software

Obj ectName: \domain root\C9B44B5EEB4EE64DAF6E3DOE132AADAF

State:0x1 Type:0x1 Version:0x3


Timeout is 1800 seconds\\root2\software

State:0x2 (DFS_STORAGE_STATE_ONLINE) Type:0x2 (DFS_STORAGE_TYPE_NONDFS>

\\root1\software

State:0x2 (DFS_STORAGE_STATEJ>NLINE) Type:0x2 (DFS_STORAGE_TYPE_NONDFS)

Но на этом возможности применения аргумента /view не исчерпыва-ются. Как я уже говорил, DFSUtil позволяет задействовать конфигура-ционные сценарии DFS. Сценарий можно написать самостоятельно,так как язык сценария прост и все доступные функции можно узнать,выполнив команду dfsutil /scripthelp. Однако чаще требуется сохра-нить текущую конфигурацию DFS для ее последующего воспроизве-дения. Сохранение конфигурации также выполняет команда dfsutil /view, но с аргументом /ехроН:имя_файла. Пример выполнения этойкоманды см. в разделе «Резервное копирование пространства именDFS». Сценарий запускается аргументом /1трогс:имя_файла. В упомяну-том разделе приведен пример использования и этого аргумента.

/pktinfo

Этот аргумент позволяет клиентской стороне узнать содержимое РКТ,хранящееся в локальном кэше и на сервере, с разной степенью под-робности. Эта информация позволяет сравнить содержимое кэширо-ванной таблицы РКТ с серверной, что поможет при поиске проблем.

Запуск программы только с аргументом /pktinfo выводит сведения оРКТ, хранящиеся в локальном кэше:

C:\>dfsutil /pktinfo-mup.sys-

Вот это сообщение и говорит о том, что данные берутся из локально-го кэша, так как mup.sys — один из основных компонентов клиентаDFS.

3 entries...Entry: \mycorp.ru\sysvolShortEntry: \mycorp.ru\sysvolExpires in 660 secondsUseCount: 0 Type:0x81 ( REFERRAL_SVC DFS )

0: i:\ROOT1.mycorp.ru\sysvol] State:0x39 ( ACTIVE )1:[\ROOT2.mycorp.ru\sysvol] State:0x29 ( }

Любопытно, да? Оказывается, ссылка на каталог SYSVOL тоже хранитсяв РКТ! Таким образом, вы получаете лишнее подтверждение близостиDFS и службы FRS.

Строка Expires in (Истекает через..,) показывает срок, по истечениикоторого данная ссылка будет исключена из кэша РКТ.

Entry: \mycorp\dfsrootShortEntry: \mycorp\dfsroot

14-2005

400 Activa^ Pi rectory:подход профессионала

Expires in 180 secondsUseCount: 0 Type:0x81 ( REFERRAL_SVC DPS )

0:[\ROOT2\DFSRoot] State:0x09 С )1:[\ROOT1\DFSRoot] State:0x19 ( ACTIVE )

Entry: \mycorp\DFSRoot\SoftwareShortEntry: \mycorp\DFSRoot\Software

Expires in 1080 secondsUseCount: 0 Type:0x1 ( DPS )

0:[\root2\software] State:0x21 ( )1:[\root1\software] State:0x31 { ACTIVE )

He совсем ясно, что значат фраза State и числа рядом с ней. Но если

указать аргумент /level:!, та же информация будет выглядеть таю

C:\>dfsutil /pktinfo /level:1-mup.sys-3 entries...Entry: \mycorp.ru\sysvolShortEntry: \mycorp,ru\sysvolExpires in 900 secondsUseCount: 0 Type:0x81 { REFERRAL_SVC DFS )

0:[\ROOT1.mycorp.ru\sysvol] State:0x39 С ACTIVE MASTER REFERRAL DOWNLEVEL )1:[\ROOT2.mycorp.ru\sysvol] State:0x29 ( MASTER REFERRAL DOWNLEVEL )

Entry: \mycorp\dfsrootShortEntry: \mycorp\dfsrootExpires in 180 secondsUseCount: 0 Type:0x61 ( REFERRAL.SVC DFS )

0:[\ROOT2\DFSRoot] State:0x09 ( MASTER REFERRAL }1:[\ROOT1\DFSRoot] State:0xl9 ( ACTIVE MASTER REFERRAL )

Entry: \mycorp\DFSRoot\SoftwareShortEntry: \mycorp\DFSRoot\Sol:twareExpires in 1080 secondsUseCount; 0 Type:0x1 { DFS )

0:[\root2\software] State:0x21 ( MASTER DOWNLEVEL )1:[\root1\software] State:0x31 { ACTIVE MASTER DOWNLEVEL )

Теперь понятно, что значения State (состояние) соответствуют следу-

ющим элементам DFS:

Значение Чему соответствует

0x09 Главная реплика ссылки на корень0x19 Активная главная реплика ссылки на корень0x21 Главная реплика тома нижнего уровня0x29 Главная реплика ссылки на том нижнего уровня0x31 Активная главная реплика тома нижнего уровня0x39 Активная главная реплики ссылки на том нижнего уровня


Активность реплики означает, что именно к ней выполняется обра-щение.

Кстати, срок, по истечении которого сведения о томе SYSVOL будутудалены из кэша, изменился. Дело в том, что между последовательновыполненными командами dfsutil было выполнено обращение к SYSVOLи счетчик обновился.

Сравнить локальную таблицу РКТ с .тем, что хранится на сервере,позволяет аргумент /dfs:

C:\>df8util /pktinfo /dfs-dfs.sys-

Заметьте: предыдущая строка говорит о том, что информацию предо-ставил модуль dfs.sys — один из основных компонентов сервернойчасти DFS.

2 entries...Entry: \MYCORP\DFSRootShortEntry: \HYCORP\DFSRootExpires in 0 secondsUseCount: 0 Type:0x581 ( LOCAL PERMANENT REFERRAL_SVC DFS )

0:[\ROQT1\DFSRoot] State:0x09 { )1:[\ROOT2\DFSRoot] State:0x09 ( )

Entry: \MYCORP\DFSRoot\SoftwareShortEntry: \MYCORP\DFSRoot\SoftwareExpires in 0 secondsUseCounti 0 Type:0x901 ( LOCAL.XPOINT PERMANENT DFS }

0:[\root1\software] State:0x21 ( )1:[\root2\software] State:0x21 ( )

Первое, что бросается в глаза, — полное отсутствие информации отомах SYSVOL. И правильно: ведь формально они не имеют отноше-ния к серверу DFS. Второе — величина времени в строке Expires in.Она равна О. Это значит, что информация постоянно хранится и неможет быть выброшена из РКТ на сервере, пока конфигурация неизменится. Наконец, в этой таблице РКТ не показано, какая из реп-лик активна. Сервер не может этого знать, так как для разных клиен-тов активной может быть своя реплика.

Аргументы управления конфигурацией

Для управления конфигурацией служат:

• оснастка ММС Distributed File System с графическим интерфейсом;

• программа DFSCmd с интерфейсом командной строки.

Однако и DFSUtil может оказаться полезной, так как выполняет этиоперации по-другому. Например, удаление реплики корня и последу-

402 Active Directory: подход профессиоцала

ющее его восстановление не приводят к запуску процесса начальнойсинхронизации W-join.

Среди аргументов можно выделить группу тех, что позволяют управ-лять конфигурацией DFS (примеры их использования см. далее):

• /addroot создает корень отдельно стоящей или доменной DFS;

+ /remroot удаляет корень отдельно стоящей или доменной DFS; еслиприменить команду с этим аргументом к последней реплике кор-ня, вся информация о DFS будет удалена;

ф /reinit реинициализирует корень DFS на выбранном сервере;

• /clean обновляет записи в реестре сервера так, что оттуда удаля-ются все записи, свидетельствующие о том, что это корень DFS;

• /unmap удаляет точку перехода к совместно используемому ката-логу на другом сервере.

Аргументы отладочного режимаДумаю, всем хорошо известно, что на диске с Windows 2000 Server естькаталог, в котором хранятся все файлы ОС, скомпилированные сотладочной информацией. Если их установить вместо обычных фай-лов, получается так называемая «checkede-сборка системы, которуюудобно использовать при отладке системы.

Чтобы в отладочном режиме запустить DFS, надо заменить файлnetapi32.dll. Это не так просто. Скорее всего потребуется загрузка сдискеты и утилита ntfsdos Марка Руссиновича.

Далее надо изменить значение параметра NetAPIDfsDebug в ветвиреестра HKLM\System\CurrentControlSet\Services\Dfs и задать ему зна-чение 1. После перезагрузки компьютера станут доступны аргументы;

• /VERBOSE устанавливает степень подробности выводимой инфор-мации на клиенте;

+ /DEBUG переводит DFSUtil в отладочный режим;

+ /SFP показывает информацию о защите системных файлов; допол-нительные аргументы /on или /off позволяют включать или отклю-чать защит;/;

• /DNS показывает значение параметра DfsDnsConfig на выбранномкомпьютере; дополнительный аргумент /VALUE: позволяет изме-нять это значение;

• /NETAPIDFSDEBUG показывает значение параметра NetApDfsDebugна выбранном компьютере; дополнительный аргумент /VALUE: по-зволяет изменять это значение;

• /DFSSVCVEFIBOSE показывает значение параметра DfsSvcVerbose навыбранном компьютере; дополнительный api-умент /VALUE: позво-ляет изменять это значение;

Active Рита|огу_и_файлрвая система 403

ф /LOGGINGDFS показывает значение параметра RunDiagnostic-LoggingDfs на выбранном компьютере; дополнительного аргумен-та /VALUE: позволяет изменять это значение.

• /SYNCINTERVAL показывает значение параметра Synclntervalln-Seconds на выбранном компьютере; дополнительный аргумент /VALUE: позволяет изменять это значение.

• /DFSREFERRALLIMIT показывает значение параметра DfsReferral-Limit на выбранном компьютере; дополнительный аргумент /VALUE: позволяет изменять это значение.

Наиболее общие проблемы и их разрешение

Теперь самое время рассмотреть типовые проблемы и способы ихразрешения. В основном для устранения проблем служит утилитаDFSUtil. Но и на ней свет не сошелся клином. Другие инструментыадминистрирования DFS тоже не помешают.

Описанные ниже проблемы ни в коей мере не охватывают все мно-жество затруднений, с которыми можно столкнуться. Это всего лишьхарактерные ошибки и сбои в работе DFS. Если ваша проблема неассоциируется ни с одним из описанных ниже случаев, обратитесь кпервому советчику в таких ситуациях — Microsoft Technet.

Обновление сервера до новой версии

Одна из тривиальных проблем — обновление версии. Пусть компью-тер входит в пространство DFS (не будем уточнять, как именно: онможет быть и корнем, и сервером, несущим том DFS). Вы хотите об-новить на нем ОС. Непосредственное обновление никак не затраги-вает конфигурации DFS — это похоже на установку сервисного паке-та. Но есть любители переустанавливать ОС целиком с нуля. Очевид-но, что переустановленная таким образом система не будет ничегознать о том, что когда-то на этом компьютере существовала DFS.

DFS, с другой стороны, не осведомлена о ваших действиях и будет по-прежнему пытаться обратиться к этому компьютеру (если вы дали емуто же имя). Результат — ошибка в работе.

Значит, прежде чем переустановить ОС, компьютер надо исключитьиз пространства имен DFS. Если же переустановка выполнялась не повашей вине (скажем, произошел невосстанавливаемый крах ОС), вы-полните восстановление DFS с помощью команды DFSUtil.

В первую очередь надо исключить сервер из конфигурации DFS:

dfsutll /иптар:\\Имя домена\Имя корня DFS \\Имя сврвера\имя ресурса

Далее сервер нужно добавить вновь. Это можно сделать либо из стан-дартной оснастки управления DFS. либо командой:

dfsatil /addroot:Имя корня DFS /8еп/ег:Имя сервера 8Каге:имя ресурса


Изменение имени хоста DFS

Похожая проблема связана с переименованием серверов, входящих впространство DFS. Этого надо, конечно, избегать, но уж если вы ре-шились переименовать сервер, входящий в DFS, то удалите его изконфигурации DFS, переименуйте и после вновь включите в DFS.

Если переименование было сделано иначе, DFS надо восстановить.Думаете, администратор, понимая, что нельзя переименовывать сер-вер «в лоб», может на это решиться? Может: ведь бывают ситуации,когда могут происходить события, равносильные переименованию.

Рассмотрим пример. На сервер, входящий в пространство DFS в каче-стве одного из томов, установлено новое устройство, воспринимае-мое системой как жесткий диск. На самом деле диском оно не являет-ся. До установки в качестве ресурса DFS предлагался каталог E:\Soft-ware. После установки устройства буквы дисков на сервере сдвигают-ся так, что каталог Software оказывается на диске F и, значит, он боль-ше не предоставляется в совместное использование, о чем система васи предупредит.

Замечание Стандартными средствами нельзя отменить предостав-ление ресурса в совместное использование, если этот ресурс принад-лежит DFS.

Даже если вы отмените предыдущее предоставление и создадите ре-сурс с таким же именем, это будет, точки зрения DFS, другой ресурс,но поскольку БЫ ее об этом не предупредили заранее, DFS будет пы-таться обратиться по старому имени и сообщать об ошибке.

Для восстановления конфигурации следует выполнить описанныедалее команды.

С любого клиента в домене:

dfsutil /игшар:\\Имя домена\Имя DFS \\Старое имя сервера\ресурсdfsutil /clean:Новое имя сервераdfsutil /reinit:Новое имя сервера

На сервере надо перезапустить службы DFS:

net stop dfsnet start dfs

С этого момента сервер будет подхвачен службой DFS и вернется кнормальной работе.

Удаление последнего корня DFS

Иногда при удалении последней реплики корня DFS появляется со-общение о запрете доступа и невозможности администрирования DFS.


Подобная ошибка возникает, когда у пользователя нет нужных правдоступа к объекту конфигурации DFS в Active Directory (см. раздел^Делегирование полномочий модификации конфигурации DFS»). Приэтом корень DFS на сервере-хосте удаляется, а вот в Active Directoryэта информация остается.

Для выхода из данной ситуации следует:

+ зарегистрироваться в системе с надлежащими полномочиями;

• выполнить команду:

dfsutil /игшр:\\Имя домена\Инн корня DFS

Внимание Команда будет выполнена, даже если, помимо удаляемойреплики корня DFS, существуют другие реплики. В результате новыеклиенты не получат доступа к DFS, но те клиенты, у которых в кэшеосталась информация о корневых репликах, смогут по-прежнему кним обращаться.

Для очистки «повисших* корней надо выполнить две команды:

dfsutil /clean:имя сервераdfsutil /reinit:HMH сервера

Перемещение хоста DFS в другой сайт

При перемещении сервера — носителя реплики DFS в другой сайтинформация о его сайтовой принадлежности не обновляется. Вслед-ствие этого клиенты будут обращаться не к тому серверу по каналусвязи между сайтами.

Чтобы уточнить, в каких сайтах находятся серверы с точки зрения DFS,выполните:

Dfsutil /view:Имя домвна\Имя корня DFS

Такое поведение признается Microsoft в качестве проблемы, котораябудет разрешена в следующей версии Windows. А пока... ее надо как-то решать.

Простейший вариант: используя графическую консоль управленияDFS, исключить сервер из пространства имен DFS, а потом вклю-чить его снова. Это вынудит DFS обновить принадлежность серве-ра к сайту.

Это решение, однако, не лишено недостатков — они проявятся в слу-чае использования службы FRS для репликации корня или томов DFS.Основной недостаток связан с тем, что, удаляя реплику DFS такимобразом, вы удаляете ее и из топологии репликации FRS. При повтор-ном подключении реплики начинается процесс W-join, т. е. начина-ется полная синхронизация реплики с остальными.


Эту проблему позволяют решить следующие команды.

Для обновления информации о принадлежности к сайту реплики томаDFS (например, \\Server\Share) ныполните:

Dfscntd /remove \\Имя_домена\Имя_ОР5\Имя_перехода_ОР5 \\Server\ShareDfscmd /add \\Имя_домена\Имя_ОР5\Иня_перехода„ОР8 \\Server\Share

Для обновления информации о принадлежности к сайту репликикорня DFS (например. \\RootServer\Share) выполните:

Dfsutil /Remroot:HMfl_KopHfl_DFS /Server:RootServer /SharerShare

Внимание Эту команду нельзя использовать, если существует толькоодна реплика корня, так как это удалит всю конфигурацию DFS.

Dfsutil /Addroot: Иия_корня_ОРЗ /Server:RootServer /Share:Share

Проблемы доступа к пространству имен DFS

Доступ к пространству имен DFS предоставляется без проблем, кро-ме тех случаев, когда;

+ клиент работает на Windows 9л"-компьютере без поддержки DFS —установите клиентскую часть;

4 корень отдельно стоящей DFS недоступен или выключен — выяс-ните причины недоступности клиента и устраните их, и DFS вновьстанет доступной;

+ доменное имя не разрешается правильно — проверьте зарегист-рированные имена на сервере WINS и в DNS, а также выясните наклиенте причину неразрешения имен; скорее всего проблема свя-зана с неверной конфигурацией сети или параметрами TCP/IP, по-лученными от сервера DHCP;

• клиент находится в рабочей группе или домене, с которым нетдоверительных отношений — см. раздел «Ограничения доступа»;

• произошло рассогласование конфигурации DFS в Active Directoryс реальной конфигурацией, например, при переименовании сер-веров-реплик DFS или при установке ОС с нуля — см. выше.

Невозможность администрирования DFS

Подобных случаев не так много, но вот один из них. При попыткезапуска оснастки Distibuted File System выводится сообщение «Distri-buted File System. The internal database maintained by the DFS service iscorrupt». Если при этом попытаться запустить Dfscmd, то выводитсясообщение об ошибке «System Error 2660 has occurred. The Internaldatabase maintained by the DFS service is corrupt». Это случается толькопри соблюдении трех условий:

ActiveDirectory и файп_ов_ая_систе_м_а 407

ф в домене более одного контроллера домена (что бывает чаще всего);

• переходы DFS указывают на 3 и более серверов (альтернативныхтомов) — это встречается гораздо реже;

• вы не установили сервисный пакет Windows 2000.

Установите SP1, и данная проблема исчезнет.

Еще одна проблема: при попытке администрирования DFS выдаетсясообщение «System error 1355 has occurred. The specified domain eitherdoes not exist or could not be contacted».

Эта ошибка связана с тем, что DFS не может осуществить доступ кимитатору PDC в домене, так как все изменения в конфигурации DFSвыполняются именно на нем. Проверить доступность контроллерадомена позволяет команда:

nltest /dsgetdc:MMfl_floneHa /pdc

Удаление конфигурационной информации DFSПорой всю информацию о DFS на компьютере надо удалить (обычноэта необходимость возникает, когда стандартные средства управленияDFS уже не могут помочь). Это приходится делать вручную.

Удаление доменных корней

Вот как полностью удалить информацию о доменной DFS.

1. Остановите службу DFS. Откройте редактор реестра.

2. Найдите папку HKLM\Software\Microsoft\DfsHost\Volumes и удалитеее со всем содержимым.

3. Найдите папку HKLM\System\CurrentControlSet\Services\ DfsDri-ver\LocalVolumes и удалите все вложенные в нее папки.

4. В оснастке Active Directory Users and Computers найдите контей-нер DFS-Configuration. Удалите из него объект корня DFS.

5. Запустите службу DFS.

Удаление корней отдельно стоящих DFS

Чтобы полностью удалить информацию об отдельно стоящей DFS.сделайте так.

1. Остановите службу DFS. Откройте редактор реестра.

2. Найдите папку HKLM\Software\Microsoft\DfsHost\Volumes удалитеее со всем содержимым.

3. Найдите папку HKLM\System\CurrentControlSet\Services\ DfsDri-ver\LocalVolumes и удалите все вложенные в нее папки.

4. Запустите службу DFS.

408 Active Directory; подаод профессионала

ЗаключениеКак видите, репликация FRS и распределенная файловая система DFSиграют важную роль в жизни ActiveDirectory. Первая обеспечиваетподдержку групповой политики, вторая может оказаться подспорьемв реализации персональных каталогов пользователей и в удобном до-ступе к их ресурсам. Возможно, стоит перечитать главу «Групповаяполитика», чтобы понять все нюансы сосуществования этих функций.

Надеюсь, теперь вы поняли, как важно правильно спланировать ActiveDirector^'. Ведь стоит неверно определить сайты, как репликация ка-талогов SYSVOL сразу перегрузит ваши каналы. Поленитесь оптими-зировать топологию репликации DFS — и все серверы, составляющиепространство имен DFS, окажутся загруженными процессами конвер-генции репликации. Так что, если вы еще не ознакомились с главой«Планирование Active Directory», отсылаю вас к ней.

А вообще прочитанное должно подвигнуть вас смелее использовать DFS.

Поиски устранение проблем

Ну, а теперь перейдем к рассмотрению общих вопросов, связанных споиском и устранением проблем Active Directory, Вы можете спросить:а разве еще что-то осталось? Ведь в каждой главе, будь она посвященаустановке Active Directory или репликации, рассказывалось о поискеи устранении проблем, связанных с той или функцией. Все так. Но вреальной жизни рядом с вами не окажется кого-то, кто напомнит: «Этаошибка связана с групповой политикой, открой книгу на странице.,.*Вам для начала придется понять, что явилось причиной возникнове-ния нештатной ситуации. Записи об ошибках в журналах регистра-ции напоминают снежный ком: они стремительно растут, сигнализи-руя о проблемах в той или иной подсистеме. Но бросаться исправ-лять ошибки, не выявив первоисточник проблемы, бесполезно. Вотпочему здесь я привожу общий алгоритм поиска и устранения непри-ятностей с Active Directory.

90% успеха при восстановлении ОС я отношу к наличию качествен-ной и своевременно сделанной резервной копии. Это ваша страхов-ка на случай катастрофы, и я искренне не понимаю администрато-ров, которые отсутствие резервных копий оправдывают нехваткойоборудования. Это то «железо*, которое надо закупать в первую оче-редь! Ну, а если его действительно нет, то резервное копированиеможно выполнять не только на магнитные ленты, но и на любыеносители. Поэтому значительное внимание в этой главе я уделяюрезервному копированию.

410 Active Diiectory: подход профессионала

Но мало иметь резервную копию — надо уметь правильно ею распо-ряжаться в критической ситуации. Порой администратор, регулярновыполнявший резервное копирование с дрожью в коленках присту-пает к восстановлению системы при сбое. Его состояние понятно: онведь до конца не уверен в том, что произойдет при восстановлении,не исчезнут ли очень важные данные, заработает ли система. Вотпочему большой раздел посвящен восстановлению Active Directory.

Но резервная копия — не всегда единственный способ восстановле-ния системы. Иногда в восстановлении из копии просто нет нужды.Поэтому далее мы обсудим механизмы восстановления системы безприменения резервных копий.

Ну и, наконец, самый тяжелый случай. Это полный крах системы —когда в лесу доменов не остается ни одного «живого» контроллера,когда все мастера операций погибли. Но даже такую систему можновосстановить! Как? Об этом — последний раздел данной главы.

Алгоритм поиска и устраненияпроблем Active DirectoryПроблемы с Active Directory можно разделить на четыре категории:

• повреждение базы Active Directory;

• искажение данных в Active Directory;

+• нарушение работы репликации;

ф проблемы с групповой политикой.

Причем, как я уже подчеркивал, все они могут возникать, конечно, повине оборудования или программ, но источником большинства явля-ются «кривые руки» и невнимательность.

Взять, например, повреждение базы. Оно может возникнуть при:

• внезапном отключении питания при включенном режиме отло-женной записи;

+ сбое диска;

ф сбое контроллера домена.

Где тут человеческий фактор? Перечитайте-ка две первые главы. На-писано там, что режим отложенной записи должен быть отключен?А что базу нужно разместить по крайней мере на массиве дисковRAID 0+i? И кто не знает, что выбор сервера, сделанного на МалойАрнаутской улице из соображений дешевизны, неминуемо приведетк краху? И чего же вы хотите?

А если рассмотреть проблему искажения данных в Active Directory, тона 99,996 это дело рук человеческих. Только администратор способен

Поиск и устранение проблем 411

одним движением уничтожить контейнер Active Directory' или устано-вить без предварительного тестирования приложение, делающее схе-му каталога малопригодной для дальнейшей работы!.. Но хватит обэтом: книга эта ведь не чтобы корить, а чтобы учить.

Итак, есть четыре магистральных направления решения проблем.Каждое имеет свой алгоритм. Изобразив отправную точку на рисун-ке, отправимся по первому пути — Повреждение базы.

Не применяется групповая политика

Искажение данных —м 2 )

Возможные пути восстановления

Обычно эта проблема выражается в том, что контроллер домена неможет загрузиться. В главе «Установка Active Directory» я говорил о том,что может явиться причиной долгой загрузки контроллера. Если жеон не грузится совсем, надо попытаться загрузить его в режиме вос-становления Active Directory. (Полагаю, вы отличите проблему, связан-ную с «железом* или «кривыми^ драйверами, от проблемы, связаннойс Active Directory.)

Если незадолго до этого печального события вы установили новоеустройство или новый драйвер, то скорее всего причина в них, ивосстанавливать Active Directory не надо.

Иное дело, когда контроллер домена, работавший до этого без пере-боев, внезапно показал «синий экран» или молча ушел на перезагруз-ку. Вероятность повреждения базы при этом, особенно на дешевыхкомпьютерах, весьма велика. Именно в этом случае загрузка в режи-ме восстановления Active Directory поможет найти источник пробле-мы. Что она дает? Немало. Например, при этом не стартуют службы,имеющие отношение к Active Directory, а значит, нет причины, пре-

41j Active Directory: подход профессионала

пятствующей нормальной загрузке, и, что самое главное, файлы ActiveDirectory при этом становятся доступны для анализа, замены, переме-щения и пр.

Также вы получаете доступ к журналу регистрации. Именно здесь выпрочтете ID и описание ошибки, которая не дала загрузиться контрол-леру. А дальше.,, ваш путь лежит на сайт http://support.microsoft.com,где стоит заняться поиском причин возникновения ошибки. Толькопомните, что искать надо первопричину', а не ее следствие.

Если поиск в базе знаний Microsoft не увенчался успехом и решениепроблемы не обнаружено, стоит подумать о восстановлении базы.Наилучших результатов вы добьетесь, имея резервную копию базы:восстановление займет ровно столько времени, сколько потребуетсяна считывание файлов с ленты (или другого носителя). Перед восста-новлением контроллера — мастера операций стоит поручить роли ма-стеров другим контроллерам в домене. Ну а после восстановления надопроверить его качество и приступить к нормхчьной работе.

Вы были столь беспечны, что резервной копии у вас нет или она сде-лана более 2 месяцев назад? Попытайтесь восстановить контроллер спомощью утилиты NTDSUtil. Если же это был не единственный кон-троллер в домене, то так легко вы не отделаетесь.

В первую очередь1 надо передать роли мастеров операций другимконтроллерам в домене. Передать их, конечно, нельзя (ведь контрол-лер домена, их выполнявший, — мертв!), но можно принудительноназначить (см. об этом ниже). Затем Active Directory надо почистить,чтобы и духу от сбойного контроллера в ней не осталось. Этот про-цесс подробно описан в главе «Установка Active Directory» в разделе«А может, все переустановить?».

Теперь можно заняться «больным». Сначала замените компонент, вы-звавший уничтожение контроллера. Менять его на аналогичный нестоит — лучше подобрать что-то понадежнее.

Далее установите ОС с нуля, потом сервер повышает свой статус доконтроллера домена, и за счет нормальной репликации его база на-полняется данными. Если до кончины сервер исполнял роль Глобаль-ного каталога (ГК), имеет смысл вернуть ее ему.

Теперь рассмотрим ситуацию, когда база цела, но хранится в ней со-всем не то, что должно. Б этом случае за счет механизмов реплика-ции все неверные данные будут тиражированы по остальным контрол-лерам, так что борьбу придется вести на всех фронтах.

К счастью, это не так сложно, как кажется. Для начала прикиньте: ачто, собственно говоря, восстанавливать? Может, это объект или не-сколько атрибутов, которые несложно создать заново? Если это так,то и воссоздайте их.


Последовательность действий при повреждении базы

Если количество утраченного и его значимость таковы, что заново егосоздать нельзя, то задаем традиционный вопрос: «Есть ли в нашемраспоряжении актуальная резервная копия?» Если нет, увы, ручноговоссоздания объектов не избежать. Счастье, коль она есть.

Теперь главное не переборщить, ведь речь пойдет об авторитетномвосстановлении каталога. Хорошо подумайте: восстанавливать веськаталог или только одну-две ветви в нем. На ваш выбор должна ока-зать влияние дата резервной копии. Как много изменений было вне-сено в каталог с момента резервирования?


Обратитесь к главеУстановка Active Dirt:ctory»,

тгобы освежить в памяти

Удалите объект,соответствующий сбойному

компьютеру из AD

Если был сбойоборудования, замените

сбойный элемент

Повысьте роль до уровняконтроллера домена

Восстановление контроллера димена после сбоя оборудования

После авторитетного восстановления данные будут реплицированына другие контроллеры домена.

Таким образом, решается и эта проблема. Думаю, вы уже обратиливнимание на важность сохранения актуальной резервной копии.Именно поэтому чуть дальше процесс резервного копирования ипоследующего восстановления Active Directory мы обсудим весьмаподробно.


Есть лиНет -<Г резервная копия этого

контроллера?Создайтеобыжгили

о&ьепы заново

Перечитайтераздел «Восстановление

из резервной копии»

Выполните авторитетноевосстановление

уничтоженных объектов

-

Выполните авторитетноевосстановление

всех объектов

Убедитесь в правильностивосстановления

Восстановление поврежденных данных

Проблемы, связанные с групповой политикой, и способы их разре-шения детально описаны в главе «Групповая политика». Здесь я позво-лю себе набросать лишь общий алгоритм.

Итак, если выяснилось, что групповая политика вызывает зависаниекомпьютера на этапе загрузки, то причина скорее всего в сценарияхзагрузки. Посмотрите, какое изменение вы внесли в сценарии или вправила их обработки. Возможно, что они просто ждут реакции отпользователя, а «сказать» об этом не могут, так как соответствующаяполитика запрещает это.

Если политика применяется лишь частично, проверьте права доступак компонентам ОГП, сверьте версии шаблона групповой политики исоответствующего контейнера. Если версии разные, то это следствие


нарушений в работе службы репликации. Еще одной возможной при-чиной может быть отсутствие или повреждение динамических биб-лиотек, ответственных за определенные клиентские расширения.А может, и вообще все просто: клиентский компьютер находится надругом конце медленного канала?

Если политика не применяется вообще, то в первую очередь следуетпроверить, связали ли вы ее с: каким-либо объектом Active Directory.Кроме того, проверьте, нет ли фильтров, запрещающих применениеданных правил к выбранной категории пользователей, не установле-на ли перемычка правил и т. п.

Выявление проблем с групповой политикой

Если в этом плане все так, как вы и предполагали, стоит проверить,нет ли рассинхронизации пароля компьютера с тем, что хранится вActive Director)', Не лишне проверить параметры клиента DNS. Мо-жет, имя контроллера домена не разрешается? Если все верно, а груп-повая политика все же не применяется, следует приглядеться к реп-ликации.

Проблемы, возникающие при тиражировании данных Active Directory',описаны в главе «Репликация Active Directory», а связанные с работой


службы FRS, — в главе «Active Directory и файловая система». Кудапойти, подскажет сравнение каталогов SYSVOL на контроллерах до-мена. Если они разные или на каких-то контроллерах их вообще нет,надо разбираться с репликацией FRS. Загляните в журнал регистра-ции событий этой службы. Если там есть ошибка 13508. ищите при-чину в репликации Active Directory. Если нет, обратите внимание натот диск, где находятся каталог SYSVOL и подготовительные каталоги(обычно там же). Вполне возможно, что на нем осталось мало места.Освободите пространство или переместите каталог на другой диск.

Вероятно также, что кто-то из администраторов удалил объекты кон-фигурации FRS из Active Directory. Без резервной копии тогда не обой-тись. Надо сделать авторитетное восстановление.

Наконец, некоторые непонятные на первый взгляд проблемы реша-ются простым перезапуском службы NTFRS.

Проблемы репликации Active Directory надо разделить на те, что свя-заны с внутри- и межсайтовой репликациями. Если не работает толь-ко последняя, то причина скорее всего в недоступности канала связи,в закрытом «окне» репликации или в неправильном выборе выделен-ных форпостов.

Если проблемы связаны с внутрисайтовой репликацией, проверьтетопологию и с помощью утилиты repadmin или Replication Monitorвыясните причину (см. главу «Репликация Active Directory»).

Резервное копирование Active DirectoryОдним из условий создания отказоустойчивой системы является раз-работка стратегии резервного копирования. Цели этой стратегиитаковы.

• Разработка методов резервного копирования и восстановления,позволяющих быстро восстанавливать утраченные данные.

• Обеспечение резервирования всех томов, на которых хранятсяданные. В случае тотальной катастрофы это позволит восстановитьданные полностью.

• Резервирование Active Directory, включающее весь домен и все кон-троллеры доменов. В резервной копии должны быть все учетныезаписи и вся информация о безопасности.

• Выявление файлов, которые не были скопированы из-за исполь-зования их другими приложениями, с помощью журналов резерв-ного копирования. Эта информация пригодится для создания рас-писания копирования, учитывающего занятость файлов приложе-ниями.

• Использование не менее трех резервных копий и постоянная ихсмена. Лучше всего иметь 5 или 7 резервных копий (по одной на


См. раздел«Поиск и устранениепроблем репликаили>

Устранение проблем с репликацией

каждый рабочий день или день недели). Одна из них должна хра-нится за пределами предприятия на случай крупной аварии, вле-кущей уничтожение всех копий на предприятии.

• Регулярное учебное восстановление данных. Учения помогают ад-министраторам чувствовать себя уверенно в критических ситуа-циях, а также выявляют непредвиденные проблемы.

4 Ограничение доступа к устройству резервного копирования дляпредотвращения восстановления на сервере ложных данных по-сторонними людьми. Также следует охранять носители с данными.

Резервное копирование позволяет восстанавливать данные, уничто-женные как вследствие выхода из строя жестких дисков, так и вслед-ствие ошибочных или преднамеренных действий администраторовили лиц, ответственных за работу с данными.

Планируя процесс резервного копирования и восстановления данных,надо иметь точное представление о том, какое время займет этотпроцесс. Это крайне важно, так как позволяет точно рассчитывать


«критическую точку» в процессе, после которой выполнение восста-новления данных в заданное время становится невозможным.

На сроки выполнения резервного копирования существенно влияетзагруженность сервера. В течение рабочего дня попытка копированияупрется в следующие факторы:

• сервер занят обработкой пользовательских запросов;

• многие файлы открыты и не будут скопированы в резервную копию;

ф копируемые файлы недоступны для других процессов и для дос-тупа пользователей;

ф копирование по сети загружает сетевой адаптер.

Поэтому никогда не выполняйте резервное копирование в рабочеевремя.

Все сказанное выше в равной мере относится к резервному копиро-ванию как данных «вообще», так и Active Directory. Теперь посмотрим,что же особенного в копировании Active Directory.

Чем нужно копировать

Копирование Active Directory должно удовлетворять ряду условий.

+ Резервное копирование нужно проводить в то время, когда кон-троллер домена активен и выполняет свои нормальные операции.С точки зрения многих программ резервного копирования, файлбазы и другие сопутствующие файлы являются открытыми, а зна-чит, копироваться не могут.

• Помимо файла базы, надо копировать ряд дополнительных сис-темных файлов, которые также задействованы системными служ-бами. Это и файлы, используемые службой FRS, и файлы службысертификатов, и файл реестра системы, зарегистрированные объ-екты СОМ+, и др.

+ Желательно выполнить резервное копирование не только на маг-нитную ленту, но и на другие носители: жесткие диски, съемныедиски, библиотеки дисков или лент, пул носителей.

Уверен, что существуют инструменты, удовлетворяющие этим усло-виям. Но стоит ли далеко ходить, когда в Windows 2000 встроеносредство ntbackup! Помимо прочих видов резервного копирования(см, [1]), оно обеспечивает и обычное (normal), которое на сегодняш-ний день является единственно возможным для резервного копиро-вания Active Directory. Особенностями последнего являются:

+ выполнение во время обычной работы контроллера домена:

• сброс атрибута файлов Archive, что помечает файлы как скопиро-ванные;


• файлы журналов баз данных обрезаются;

ф восстановление данных выполняется с одного носителя за одинпроход.

NtBackup обладает графическим интерфейсом и имеет встроенныемастера резервного копирования и восстановления. Кроме того, онапозволяет создавать диск аварийного восстановления. Но NtBackupимеет и интерфейс командной строки, что позволяет выполнять всеоперации и без графической оболочки. Следовательно, можно созда-вать командные файлы и запускать их по расписанию.

NtBackup способна работать с лентами, записанными иными програм-мами резервного копирования. Почему это важно? Допустим, вы ре-гулярно использовали некоторую программу для резервированиясостояния системы. В результате катастрофы сервер, на котором былаустановлена эта программа, уничтожен. В условиях дефицита време-ни можно применить штатное средство для восстановления данных.

Замечание Чтение лент, записанных сторонними программами,возможно, только если не использовалось сжатие и формат записибыл MTF (Microsoft Tape Format).

Кстати, справедливо и обратное: ленты, записанные с помощью NTBa-ckup. могут быть прочитаны программами резервного копированиясторонних производителей.

Кстати о сторонних производителях. Среди программ, поддержива-ющих резервное копирование и восстановление Active Director)', сто-ит назвать;

• Veritas Backup Exec (www.vericas.com);

• Computer Associates ARCServelT (www.cai.com);

• UltraBAC for Windows 2000 (www.ultrabac.com);

• Aelita Software ERDisk for Active Directory (www.aelita.com).

Еще одна особенность NtBackup в том, что она позволяет выполнятьрезервное копирование состояния системы (system state).

Что нужно копироватьПод состоянием системы на контроллере домена понимаются следу-ющие компоненты:

• файлы Active Directory (ntds.dit, edb.chk, edb.Iog, resx.log);

• системные стартовые файлы;

+ системный реестр;

• база регистрации объектов СОМ+;


• каталог SYSVOL;

• база сертификатов (если развернута инфраструктура PKI);

• зоны DNS интегрированные с Active Directory;

• контрольные точки и кворумный журнал для кластерной службыв случае ее использования.

Помимо копирования состояния системы, для восстановления кон-троллера домена нужна резервная копия системного диска. Комбина-ция системного диска и состояния системы — одно из условий хоро-шей резервной копии. О других условиях поговорим далее.

Файлы базы Active Directory и журналы могут располагаться на раз-ных физических дисках, и такое деление предпочтительно для нагру-женных систем (см. главу «Установка Active Directory»). Но и в этомслучае резервное копирование состояния системы будет выполненов полном объеме.

Достаточно ли резервной копии только одного контроллера в доме-не? Да — для восстановления именно этого контроллера, но не дру-гих. Этот очевидно хотя бы уже потому, что каждый из контроллеровимеет свой номер GUID как партнер по репликации, свой SID какобъект системы безопасности, а также может исполнять различныероли в домене. Поэтому, говоря о резервном копировании Active Direc-tory, надо иметь в виду резервное копирование всех контроллеров.

Кто может копировать

Чтобы выполнять резервное копирование состояния системы, нужнысоответствующие полномочия. По умолчанию ими обладают;

• члены группы Backup Operators;

+ члены группы Administrators;

Это право можно делегировать любому обученному пользователю.

Для восстановления состояния системы на контроллере домена поль-зователь должен быть локальным администратором.

Файлы, игнорируемые при резервном копировании

Используя программу NtBackup, следует знать о тех файлах, которыепо умолчанию не копируются и не восстанавливаются. Сведения отаких исключениях хранятся в реестре.

Файлы, исключаемые из процесса резервного копирования перечис-лены в виде параметров в ветви реестра HKLM\System\CurrentControl-Set\Control\EackupRestore\FilesNotToBackup.


Файлы, исключаемые при резервном копированииПараметр Значение

Certificate Authority

ClientSideCacheComPlusInternet ExplorerMemory Page FileMS DistributedTransaction CoordinatorNectogonNtfrs

Power ManagementTask SchedulerTemporary filesWinlogon debug

%systemroot%\ system3 2 \certlog\'.edb%systemroo№\system32\cerciog\*.%systcmroot%\csc\' /s%syMemroot%\regiscration\*.crmIog /s%I_serProfile%\index.dat /s\p;igefile.sys%syMemroor%\sys tem32\dtclog\msdtc.log

%systemroot%\ne tlogon.chg%systemroot% \ntfrs \jet\' /s%systemroot%\debug\ntfrs'%systemroot%\sysvol\domain\DO_NOT_REMOVE_NtFrsj>remstall__Directory\" /s%systemroot% \sysvoJ\domain\Nti;rs_PrcExisting See_EventLogY /s%systemroot%\sysvo! \staging\domain\NTFRS.\hiberfil.sys%systemroot%\schdlgu.txt%tcmp%\ /s%windir%\debug\"

Ветви реестра, исключаемые из процесса резервного копирования,перечислены в виде параметров в ветви реестра HKLM\System\Current~ConrrolSet\Control\BackupRestore\KeysNotToBackup.

Ветви реестра, исключаемые при резервном копированииПараметр Значение

Active Directory Restore

Certificate Authority

Fault ToleranceInstalled Sen-icesLDM Boot InformationMount ManagerNtfrs

Pending RenameOperationsPlug And Play-

Session ManagerWindows Setup

CurrentControlSet \Serviccs\NTDS\Restore In ProgressCurrentControiSet\Services\NTDS\Paramerers\Ncw Database GUIDCurrentControlSct\Services\CertSrv\Conflguration\Restore In ProgressDisk\CurrentControlSet\Services\"CurrentControlSet\Services\dmio\boot info\MountedDevices\Cur rentContro!Set\Services \Ntfrs \Parameters\ Backup/Restore\Process at startupCurrentControlSet\Control\Session ManagerPendingFileKenameOperationsCurrentControlSet\Enurn\Current ControlSet\Control\CriticalDeviceDatabase\CurrcntControlSet\ControI\SessionSetup\SystemPartition


Актуальность резервной копииВ главе «Репликация Active Directory'' я рассказал о времени жизнипамятников удаленным объектам в Active Directory'. По умолчанию это60 дней. По истечении срока все удаленные и помеченные как памят-ники объекты будут удалены из Active Director^' сборщиком мусора.

Этот параметр является значением аргумента thombstoneLifitime объ-екта службы каталогов. Например, в домене mycorp.ru отличительноеимя этого объекта:

CN=Directory Service,CN=Wlndows NT,CN=Services,CN=Configuration,DC=mycorp,DC=ru.

Но вдумайтесь в смысл этого атрибута. Раз через какое-то время све-дения об объекте удаляются полностью из Active Directory, значит, этотобъект не только больше не нужен, но и не может быть воссоздан! Все,что можно сделать, —- это создать новый объект такого же класса,возможно, с таким же именем и значениями атрибутов, но... это будетдругой объект, с уникальным номером GUID, Восстановление жеобъекта из резервной копии после указанного срока породит «зом-би», само существование которого способно поставить под угрозуцелостность каталога. Именно поэтому в момент выполнения резер-вной копии в нее записывается специальная метка, указывающая, докакого момента может использоваться данная резервная копия, По ис-течении этого срока восстановление из этой копии невозможно.

Но как быть, если единственная резервная копия, имеющаяся в вашемраспоряжении, просрочена, а контроллер домена вышел из строя?

• Посмотрите, нет ли в сети хотя бы одного контроллера этого до-мена. Если «в живых» остался хотя бы один контроллер, этого впол-не достаточно для воскрешения всех погибших. Об этом расска-зано далее.

• Убедитесь, что резервная копия действительно просрочена. Неисключено, что вы успели увеличить время хранения памятниковдо выполнения резервной копии. Тогда, восстановив данные на од-ном контроллере в авторитетном режиме, их можно реплициро-вать на остальные контроллеры.

• Если вы поняли, что резервной копией воспользоваться не удаст-ся, а этот контроллер единственный, придется его переустановитьс нуля, создать заново все объекты на нем (хорошо, если это дела-лось с помощью сценариев) и... больше не забывать выполнятьрезервное копирование.

Правда, самые хитрые могут спросить, что будет, если перед выпол-нением резервного копирования передвинуть время на компьютерена год (два, три, десять) вперед? Ведь по идее тогда на ленту будетзаписана дата истечения срока годности с большим запасом.


Никогда не ставьте время на контроллере больше текущего

Название этого раздела — настоятельная рекомендация. Почему ястоль категоричен? Судите сами:

Последствия перевода времени вперед

Репликация FR5 Репликация Active Directory

Памятники удаленным файлам н таблицеID удаляются раньше установленноговремени. Реплицируемые данные с дру-гих контроллеров вступят в конфликтс ситуацией на контроллере. В итогеможет оказаться, что файлы в каталогеSYSVOL или корне DFS на разных конт-роллерах и партнерах по репликациистанут разными. Более того, выполнениерепликации может прекратиться вовсе

Компьютер с переведенными впередстрелками не сможет присоединитьсяк другим компьютерам в качестве парт-нера по репликации, так как процессW-join (см. главу «Active Director),'и файловая система-) выполняетсятолько при условии рассинхропшациивремени между компьютерами не болееустановленного значенияИзменения локальных файлов на ком-пьютере с «убежавшим» временем зано-сятся в журнал выхода. При этом регист-рируется текущее время изменения.В силу причин, изложенных выше, этиизменения не могут быть переданы надругие контроллеры. Когда время на ком-пьютере вернется в заданные пределы,начнется репликация изменений на дру-гие компьютеры. Однако те отвергнутчти изменения, так как время 'непра-вильное* и указывает далеко в будущееФайлы, измененные в период«будущего* времени, будут присутство-вать только на одном компьютере и небудут тиражироваться на другие

При разрешении конфликтоввыигрывает не тот партнер.Если, например, атрибут объек-та был изменен на компьютерес "будущим временем», а потом— на компьютере с нормаль-ным, то в итоге значение атри-бута будет таким, как на первомкомпьютере, что неправильно(см. главу «Репликация ActiveDirectory*)Если два объекта с одним име-нем создаются на двух компью-терах, время на одном из кото-рых ушло вперед, то победитего объект, а другому будетприсвоен маркер дублированно-го имени

Восстановить резервную копию,сделанную в «будущем времени*,на компьютер в «прошедшем»нельзя с помощью ntbackup.Если вы используете инстру-мент, позволяющий это сделать,возникнет конфликт «зомби»

Билеты аутентификации Kerberosокажутся просроченными,а значит, потребуется запроситьновые. Однако это не удастсясделать, так как для протоколаKerberos требуется синхрониза-ция по времени [1]

Как видите, последствия перевода времени вперед оказывают кудабольшее влияние на репликацию FRS. Поэтому, если вам все-таки нуж-но временно перевести часы вперед, то для исключения проблем сослужбой FRS сделайте это так.


1. Остановите службу ntfrs.

2. Переведите время вперед.

3. Выполните то, ради чего время переводилось вперед. При этом. категорически запрещается вносить изменения в содержимое ка-

талога SYSVOL или реплики DFS.

4. Верните время назад.

5. Запустите службу ntfrs.

Если все-таки реплика была изменена в период «будущего времени»,то для избавления от последствий выполните неавторитетное восста-новление реплики (см. раздел "Неавторитетное восстановление» вглаве «Active Directory и файловая система»).

Резюмируя сказанное, повторю: никогда не ставьте время вперед привыполнении резервного копирования. Это принесет вам больше про-блем, нежели выгод.

Восстановление Active DirectoryПриступая к восстановлению Active Director}', ответьте на следующиевопросы:

• Есть ли актуальная резервная копия?

• Что повреждено? Это только локальная реплика на контроллередомена или все реплики имеют одинаковое состояние?

ф Должны ли восстанавливаемые данные иметь преимущество и за-местить текущие на всех контроллерах или нет?

В зависимости от ответов выбирается способ восстановления. Очевид-но, что если резервной копии нет, то выбирается восстановление,связанное с переустановкой контроллера и последующей репликациейс других контроллеров.

Если копия есть, то в зависимости от масштабов бедствия выбирает-ся авторитетное или неавторитетное восстановление Active Directory.Механизмы, применяемые для восстановления Active Directory, замет-но отличаются от используемых для восстановления службы FRS.

Восстановление через переустановкуНачнем с простейшего случая — восстановления через переустанов-ку и репликацию. Как я уже говорил, для этого типа восстановлениядолжны удовлетворяться такие условия:

ф в домене, помимо восстанавливаемого, есть другие контроллеры;

ф реплики на других контроллерах хранят адекватную информацию;

• нет резервной копии состояния системы для данного контроллера.


Сбойныйконтроллер

ЧерезпереустановкуПартнер

по репликации

L-/Партнер

по репликации

Восстановленныйконтроллер

Три возможных способа восстановления. Тонкими линиямипоказано направление репликации

При этом следует учесть пропускную способность канала, связываю-щего данный контроллер с остальными. На рисунке приведена зави-симость времени репликации базы Acvtive Directory объемом 2 Гб отпропускной способности какала. Данная зависимость была полученана компьютере с двумя процессорами РП-266, объемом ОЗУ 256 Мб иодним жестким диском. Применение систем, рекомендованных в главе«Установка Active Directory», поапияет на эти результаты в сторону со-кращения необходимого времени.

Чтобы выполнить восстановление, сделайте следующее.

1. Выясните причину, приведшую к необходимости восстановления.Если это был сбой оборудования, замените его.

2. Удалите из Active Directory всю информацию о сбойном контрол-лере (см. раздел *А может, все переустановить?* главы «УстановкаActive Directory»). Напомню, что при этом вам придется использо-вать утилиту Ntdsutil и оснастки Active Directory Users and Compu-ters, Active Directory Sites and Services и DNS.

Поиск ч устранение проблем 427

3. Если сбойный контроллер являлся мастером операций, передайтесоответствующие роли другим контроллерам с помощью Ntdsutil.

4- Повторно установите контроллер домена. Имя нового контролле-ра и его IP-адрес могут совпадать с существовавшими ранее. Тогдавыполняйте п. 2 с особой тщательностью.

18 т

16

• 1544 .'и'.- IGOOQ

Пропускная способность (Кбит/с)

Зависимость времени репликации Active Director)'от пропускной способности капала

Принудительное назначение мастеров операций с помощью Ntdsutil

Ntdsutil — мощный инструмент для выполнения разнообразных опе-раций с Active Directory. В главе «Установка Active Directory» я расска-зывал о ее использовании для удаления компьютерных объектов изActive Directory'. Теперь обсудим еще одну возможность — перемеще-ние и принудительное назначение ролей мастеров операций контрол-лерам.

Известно, что роль любого мастера операций можно передать любо-му контроллеру домена с помощью оснасток Active Directory Users andComputers (роли мастера RID, инфраструктуры, имитатора PDC),Schema Management (роль мастера схемы) и Active Directory Domainsand Trusts (роль мастера доменных имен). Такая передача возможна,если оба контроллера — и передающий, и принимающий роль -работают и доступны. В случае краха контроллера, выполнявшего рольодного или нескольких мастеров, передача роли невозможна автома-тически. Можете себе представить человека, который через мгнове-


ние погибнет в автокатастрофе, вдруг позовет нотариуса, чтобы сде-лать последние распоряжения? То-то. Поэтому для разрешения такойситуации используется Ntdsutil.

Эта утилита может выполнять как перенос ролей, так и принудитель-ное назначение роли контроллеру домена. Для входа в режим пере-носа мастеров операций следует после запуска Ntdsutil выполнитькоманду roles.

Следующий шаг — подключение к тому контроллеру, которому рольбудет передаваться или назначаться. Для этого выполняется командаConnections, а затем — Connect to server <имя серверах

Замечание Нет нужды вводить команды полностью — достаточноиспользовать однозначное сокращение. Например, вместо командыConnect to server можно ввести «con to set*.

После подтверждения успешного присоединения к серверу надо вер-нуться в предыдущее меню Roles, для чего ввести команду Quit.

Теперь роль можно либо перенести, либо назначить. В первом случаеиспользуются команды, начинающиеся со слова Transfer. Далее сле-дует имя роли, например Transfer PDC. Во втором — команды, начи-нающиеся со слова Seize, например Seize RID master. Для выполнениялюбой операции требуется подтверждение администратора. При этомобратите внимание, что, несмотря на отсутствие у программы Ntdsutilграфического интерфейса, запросы на подтверждение действий вы-водятся в стандартных диалоговых окнах.

;rcsJsure?raJwant server "dcQ3" *.n ssfes t>w РЭС rote Withe vdus b

Запрос на подтверждение операции и программе Ntdsutil

Если выполняется команда назначения роли, то сначала Ntdsutil пы-тается передать роль от текущего мастера новому. Если контроллер-исполнитель роли недоступен, попытки передачи прекращаются че-рез некоторое время, и роль передается.

Вот, например, перечень команд, которые необходимо выполнить дляназначения роли имитатора PDC контроллеру DCO1. В скобках для яс-ности указано продолжение имен команд,

ntdsutil: r(oles)fsmo maintenance : c(onnections)server connections: con(nect) to ser(ver) dc01


Binding to dc01 ...

Connected to dc01 using credentials of locally logged on userserver connections: q(uit)fsmo maintenance: seize pdc

В этом месте и возникает запрос на подтверждение. В зависимостиот вашего ответа далее следует сообщение об отмене или успешном(или неуспешном) выполнении операции.

Замечание Так как роль мастера доменных имен может исполнятьтолько контроллер, являющийся одновременно и ГК, принудительноеназначение этой роли возможно только серверу ГК. С другой сторо-ны, ничто не запрещает .назначить роль мастера инфраструктурысерверу ГК, хотя это противоречит требованиям, предъявляемым кконтроллерам, исполняющим эту роль.

Восстановление из резервной копии

Теперь рассмотрим восстановление из имеющейся резервной копии.Далее полагаем, что эта копия достаточно свежа, чтобы и Ntbackup, ианалогичные программы сторонних производителей смогли восста-новить базу без негативных последствий. Восстановление из резерв-ной копии отбрасывает состояние базы на момент резервирования.И вот тут-то и нужно знать, есть ли в домене другие контроллеры,сохранившие актуальную информацию, или эта резервная копия —все, что у вас осталось. В зависимости от этого делается вывод о ме-тоде восстановления. Как я уже говорил, доступны два альтернатив-ных метода:

+ неавторитетное восстановление;

ф авторитетное восстановление.

Замечание Говоря о восстановлении Active Directory, нужно по-мнить, что одновременно надо восстанавливать и каталог SYSVOL (см.главу «Active Directory и файловая система*). Здесь же я буду лишьнапоминать о необходимости восстановления этого каталога.

Неавторитетное восстановление

Неавторитетное восстановление состояния системы выполняется поумолчанию Ntbackup. Вообще это единственный способ восстановле-ния, который можно выполнить, не прибегая к другим инструментам.

Этот тип восстановления можно сравнить с предыдущим, использу-ющим только механизм репликации Active Directory. Там новые дан-ные в базу передаются по сети с других контроллеров. При этом ти-ражируется полный объем базы. При восстановлении из резервной

430 • Active Directory: подход профессионала

копии большая часть данных заносится в базу локально, а по сетипередается только разница, возникшая с момента выполнения резер-вного копирования. Следовательно, нагрузка на сеть существенноснижается, что наглядно демонстрирует следующий график. На немпоказана зависимость времени восстановления базы в зависимости отее размера на компьютере с процессором РН-400, ОЗУ 256 Мб и лен-точным накопителем 4/SGb DAT.

~ 40

| 30

j" 20

L Юtt о

0,5 1 1,5 2 2,5

Размер .dit-файла

Зависимость времени восстановления состояния системыот размера базы Active Directory

В отличие от резервного копирования, которое можно выполнять внормальном режиме работы Active Directory', восстановление выпол-няется только в специальном режиме работы контроллера домена —Directory services restore mode (Режим восстановления службы ката-лога). Входя в этот режим, вы обязаны зарегистрироваться как локаль-ный администратор компьютера. Заметьте: поскольку Active Directoryв этом режиме не функционирует, то и авторизоваться в ней вы несможете, Единственный механизм авторизации — база SAM, хранящаяучетную запись локального администратора. Помните: пароль дляэтой записи был введен вами во время работы DCPROMO при уста-новке контроллера домена и скорее всего не совпадает с паролемадминистратора домена.

Ntbackup позволяет восстановить файлы в новое место. Если указатьэту возможность, то в иное место будут восстановлены только загру-зочные файлы, каталог SYSVOL, файлы реестра и, если восстанавлива-ется кластер, то его база. Ни база Active Directory, ни база серверасертификатов, ни база регистрации объектов СОМ+ восстановлены небудут!

Это не значит, что данный режим не годится для восстановления ActiveDirectory. Если, например, надо восстановить только отдельные фай-лы групповой политики, этот метод весьма удобен, так как позволяетвыбрать нужные ОГП после восстановления и скопировать их в *на-стоящий» каталог SYSVOL.

Поиск и устранение проблем 13 !

ШБагЬир-[BestИГР]

w locfe Help

scfjip Restae j .

$jff, to asfcoi the tb^fewt to W drive, fofcto. ш file thai joj «an» fa teilcre

Jl*i*_ v T_Media treated 12.04 \ 1o entries found.

Восстановление состояния системы в иное место на диске

Внимание Безусловным требованием для восстановления состоя-ния системы является сохранение корня системы. Если на моментрезервного копирования это был диск С:, то и при восстановлениикорневым должен быть тот же диск.

Хочу предостеречь от ошибки. При восстановлении состояния сис-темы восстанавливается не только база Active Directory, но и реестр.Вследствие этого все службы, установленные или переконфигуриро-ванные на контроллере после резервного копирования, но до егокраха, будут возвращены к прежней конфигурации или удалены. Тоже произойдет и с объектами СОМ+. Я уж не говорю о том, что есливы меняли адрес IP контроллера, то он вновь станет прежним, чтоможет вызвать цепочку неприятных последствий. Так что, прежде чемвыполнять восстановление, подумайте, как это отразится на работо-способности контроллера и системы.

Теперь посмотрим, что происходит с базой Active Directory, когда оназаполняется новыми данными из резервной копии.

После перевода в нормальный режим работы Active Directory обнару-живает, что находится в состоянии восстановления. На это указываетпараметр RestorelnProgress в ветви реестра HKLM\System\Current-ControlSet\Services\NTDS. Зачем это надо? Дело в том, что само по себе

15-2005


восстановление не гарантирует целостности БД. Поэтому надо про-верить целостность и выполнить реиндексирование средствами, ко-торые обычно используются Active Directory. Вот именно этим систе-ма и станет заниматься довольно долго.

И только когда Active Directory будет готова, запускается обычныймеханизм репликации. Тут-то и кроется опасность. В главе «Реплика-ция Active Directory* я говорил, что последовательный номер обнов-ления (USN) является критерием, определяющим, какие данные наконтроллере должны быть тиражированы партнерам по репликации.После восстановления должен восстановиться и тот номер USN, чтосуществовал на момент резервного копирования. Раз так. то именноэтот номер и должен использоваться. Однако он уже был однаждыиспользован, и его повторение может привести к непредсказуемымрезультатам. Для избавления от этой неприятной ситуации на этапевосстановления формируется новый номер USN, не противоречащийизвестному на остальных контроллерах. И вот уже после этого можетначинаться репликация с партнерами.

Проверка восстановления с помощью Ntdsutil

Представьте себе, что вы выполнили восстановление, загрузились внормальный режим работы и... с ужасом обнаружили, что в резерв-ной копии были ошибки или что это была не та копия, на которуювы рассчитывали. Короче, репликация, возможно, уже разнесла ошиб-ки по остальным контроллерам в домене.

Очевидно, до перевода контроллера в нормальный режим надо вы-полнять проверку. Как? Очень просто. Надо запустить утилиту Ntdsutil,войти в режим Files и выполнить команду Info. Если Active Director}'была восстановлена без оширок, на экране появится информация оконфигурации, например:

ntdsutil: files

file maintenance: infoDrive Information:

C:\ NTFS (Fixed Drive ) free(133.2 Mb) total(1.9 Gb>DS Path Information:

Database : C:\WINNT\NTDS\ntds.dit - 10.1 MbBackup dir : C:\WINIfTWDS\dsadata.bakWorking dir: C:\WINNT\NTOSLog dir : C:\WINNANTDS - 30.0 Mb total

res2.log - 10.0 Mbres1.log - 10.0 Mbedb.log - 10.0 Mb


Конечно, эти сведения не дают представления о том, какие именноданные восстановлены, но это не позволит внести в структуру фаталь-ных ошибок.

Восстановление на другую технику

Все сказанное выше относится к восстановлению того же самого кон-троллера домена либо его полного «тезки», т. е. одной модели с иден-тичным набором системных ресурсов. Но это справедливо и для слу-чая восстановления на иной компьютер. Возможно, что причинойкраха контроллера была его постоянная перегруженность и вы реши-ли заменить его на новую современную технику. Конечно, можносконфигурировать новый контроллер и позволить репликации самойнаполнить его данными. Но, как вы видели, этот процесс может затя-нуться. Поэтому считаем, что новый компьютер конфигурируется стем же именем и готовится к восстановлению резервной копии.

Замечание Так как новый компьютер будет иметь то же имя, что ивышедший из строя, позаботьтесь об удалении из Active Directory со-ответствующих объектов.

Как указано в [3]. новый компьютер должен иметь столько же дисков,сколько и предыдущий. Кроме того, если он имеет друтие видеоадап-тер и сетевую плату, то перед восстановлением их надо отключить.Далее их подключит функция Plug and Play. На этом все рекоменда-ции в [3] кончаются. А жаль, потому что самое интересное дальше.

Чтобы восстановленный на новом компьютере контроллер заработал.придерживайтесь такой последовательности.

1. У вас должна быть полная резервная копия как состояния систе-мы, так и системного диска.

2. Установите сервер на новый компьютер. При этом убедитесь, что:

• сервер не входит в домен;

• системный диск тот же самый;

• файловая система — NTFS;

• каталог, в который устанавливается система, имеет то же имя,что и в предыдущем контроллере.

3. Запустите NtBackup, выберите нужную резервную копию, укажитевосстановление в то же место и установите переключатель в поло-жение Always replace the file on the disk. Начните восстановление.

4. По завершении восстановления перезагрузите компьютер. Даль-нейшие ваши действия зависят от того, по какому из трех возмож-ных сценариев начнут развиваться события:


• система загрузится;

• система не сможет загрузиться в обычном режиме, но загрузит-ся в безопасном режиме;

• система не загрузится ни в одном из режимов.

Если система загрузилась

То, что система загрузилась после восстановления, не гарантирует, чтовсе службы запустились и работают. На проблемы укажет сообщениео том, что одна или несколько служб не смогли запуститься. Посмот-рите в журнхте регистрации, что вызвало это сообщение.

Вполне возможно, что данное сообщение не имеет отношения к ра-ботоспособности службы каталогов, а связано с отсутствием какого-то драйвера устройств. Тогда достаточно установить нужный драйвер.Возможна и прямо противоположная проблема — драйвер оборудо-вания, присутствовавшего в прежнем компьютере, не сможет запустить-ся из-за отсутствия такого устройства в новом компьютере.

Иное дело, если прежний компьютер был, например, сервером DNS,WINS или DHCP. Тогда надо сконфигурировать эти службы (см. главу"Установка Active Directory*). Особое внимание надо уделить серверуи клиенту DNS. Если тип сетевой карты отличается от того, что ис-пользовался на прежнем компьютере, все параметры TCP/IP будутпотеряны, и их надо восстановить. Если контроллер был серверомDNS, клиенту надо указать использовать самого себя. Затем надо пе-резапустить службу Netlogon и проверить наличие записей о доменев DNS. Если к этому времени вы уже сконфигурировали другой сер-вер DNS, клиент должен указывать на него в качестве первичногосервера. Тогда перезапуск службы Netlogon должен отразиться появ-лением записей в этом сервере.

После проверки работы всех служб и устройств, установки нужныхдрайверов систему надо перезапустить и проверить по журналу реги-страции отсутствие ошибок.

Если в журнале регистрации появится сообщение об ошибке с EventID=l656 и его источником будет NTDS. значит, не все в порядке с про-токолом RPC на компьютере. Откройте в реестре ветвь HKLM\Softwa-re\Microsoft\Rpc\CHentProtocols и убедитесь, что там присутствуютпять параметров:

• ncacn_http;

• ncacn_ip_tcp;

• ncacn_nb_tcp;

• ncacn_np;

• ncadg_ip_udp.


Тип этих параметров — REG_SZ, а значение у всех одинаковое -rpcrt4.dll

Совет Для надежности рекомендую открыть эту ветвь реестра на дру-гом, работоспособном контроллере и посмотреть значение парамет-ров. Если оно отличается, то и вам следует установить иное значение.

Далее выполните команду Dcdiag. В зависимости от ошибок, которыеона сообщит, надо выполнить соответствующие действия. Они опи-саны в предыдущих главах.

Наконец, если этот контроллер выполнял роли мастеров операций,то их ему надо восстановить (см. раздел «Принудительное назначе-ние мастеров операций с помощью Ntdsutil*).

Если система загружается только в безопасном режиме

Загрузка системы только в безопасном режиме свидетельствует ско-рее всего о том, что ее архитектура или набор микросхем отличают-ся от тех, что использовались в предыдущем компьютере. Поэтомусистему при загрузке надо перевести в режим восстановления/обнов-ления, загрузив компьютер с установочного диска Windows 2000 Serverи выбрать команду R(epair),

В этом режиме будут добавлены драйверы нужных устройств, а такжепредложено установить дополнительные компоненты. Проверьте, ус-тановлена ли служба DNS (конечно, если восстанавливаемый серверисполнял ранее эту функцию).

По окончании обновления/восстановления системы компьютер дол-жен перегрузиться, и система запустится без проблем. В этом случаепереходите к предыдущему разделу и следуйте приведенным в неминструкциям.

Если система не загружаетсяЕсли система не загружается даже в безопасном режиме, то наиболеевероятная причина — использование несоответствующего уровняабстракций HAL (см. [1]). Для изменения типа HAL надо загрузиться сустановочного диска, войти в режим восстановления и нажать F7 длязагрузки стандартного HAL. Подробнее об этом см. в базе знанийMicrosoft статью Q237556.

Замечание Если восстановление не помогло, загрузитесь в консольвосстановления, выполните команду «disable acpi», перезагрузите ком-пьютер и войдите в режим восстановления.

После восстановления и загрузки системы обратитесь к разделу «Еслисистема загрузилась» и следуйте приведенным в нем инструкциям.


Авторитетное восстановлениеАвторитетное восстановление применяется обычно, когда из катало-га случайно удаляется объект(ы). Тогда эти объекты можно восстано-вить из резервной копии, в которой они присутствуют, а далее онибудут тиражированы по остальным контроллерам. И это будет сдела-но, даже если эти объекты старше, чем объекты на партнерах по реп-ликации,

Авторитетное восстановление возможно только для объектов, нахо-дящихся в доменном контексте имен или в контексте конфигурации.Авторитетное восстановление схемы невозможно, так как в против-ном случае нарушается целостность данных (см. раздел «Политикаизменения схемы» главы «Проектируем Active Directory»).

Чтобы лучше понять возможности авторитетного восстановления,рассмотрим пример. В пятницу вечером администратор создал два ОП.В воскресенье было выполнено резервное копирование состояниясистемы. В понедельник утром он получил команду разнести пользо-вателей из одного ОП по другим. Выполняя эту операцию, админис-тратор случайно удалил оставшееся ОП вместе со всем, что в нем было.К счастью, это было вовремя замечено, и начался процесс авторитет-ного восстановления. Прежде чем его начать, были проанализирова-ны все действия, совершенные после последнего резервного копиро-вания. Их можно условно разделить на две категории: полезные (те,результат которых должен остаться в Active Directory) и вредные (те,что надо отменить). Вредным, разумеется, является удаление ОП, аполезным — разнесение пользователей из одного ОП по другим. Есливыполнить авторитетное восстановление всей базы Active Directory,то наряду с ликвидацией последствий вредного действия (удаленныйОП восстановится), будут удалены плоды созидательного труда (поль-зователи вновь вернутся из ОП, в которые они были разнесены). Зна-чит, требуется авторитетное восстановление только части базы. Ксчастью, это выполнимо.

Авторитетное восстановление выполняется в два этапа:

+ обычное восстановление данных из резервной копии с помощьюNtBackup.

• авторитетное восстановление с помощью Ntdsutil.

Авторитетное восстановление с помощью Ntdsutil

При авторитетном восстановлении Ntdsutil лишь помечает базу илиотдельные ее части как авторитетные. Остальное — дело репликации.Чтобы пометить данные объекта как авторитетные, версия его долж-на быть значительно больше, чем известная остальным контроллерамдомена.


Для выполнения авторитетного восстановления нужно после запускаNtdsiuil дать команду Authoritative restore. Далее вы можете выбратьодин из четырех режимов восстановления:

Режимы авторитетного восстановленияКоманда Назначение

Restore database Помечает все содержимое базы как автори-тетное

Restore subtree %s Помечает только указанную часть базы какавторитетную

Restore database verinc %d Помечает все содержимое базы как автори-тетное, но увеличивает номер версий на ука-занную величину. По умолчанию — это100000. Применяется в основном приповторном авторитетном восстановленииодного и того же объекта

Restore subtree %s verinc %d Помечает только указанную часть базы какавторитетную, но увеличивает номер версийна указанную величину. Применяется обычнопри повторном авторитетном восстановленииодного и того же объекта

Покажем использование режима восстановления отдельной ветви напримере. Пусть на момент резервного копирования в каталоге име-лось ОП Test (ou=test,dc=mycorp,dc=ru). В нем находились учетныезаписи пользователей и компьютеров, в том числе ОП TbBeDeleted, вкотором в свою очередь находился пользователь ТоВе Deleted.

После выполнения резервного копирования администратор внес:

• в ОП Test добавил ОП PostBackupExt;

• в ОП ToBeDeleted также добавил ОП PostBackup;

• ОП ToBeDeleted удалил со всем содержимым.

Далее система была перезагружена в режим восстановления ActiveDirectory. Было выполнено восстановление из резервной копии спомощью Ntbackup, затем запущена Ntdsutil.

ntdsutil: auth resauthoritative restore: re sub "ou=ToBeDeleted,ou=Test,dc=mycorp,dc=ru"

Последняя команда предписывает выполнить авторитетное восстанов-ление удаленного ОП ToBeDeleted.

Opening OIT database... Done.

The current time is 06-08-02 16:40.19.Most recent database update occured at 06-08-02 16:20.31.Increasing attribute version numbers by 100000.


Утилита определила, что последнее обновление было выполнено 20минут назад, и увеличила номера нсех атрибутов на 100000.

Counting records that need updating...Records found: 0000000002

Done.

Found 2 records to update.

Обнаружено, что надо обновить две записи. Резонно предположить, чтоэто ОП ToBeDeleted и учетная запись пользователя ТоВе Deleted в нем.

Updating records...Records remaining: 0000000000Done.

Successfully updated 2 records.

Authoritative Restore completed successfully.

Обновление выполнено, перегружаем компьютер в нормальный ре-жим и смотрим на результат.

Кажется, цель достигнута: ОП ToBeDeleted с пользователем внутривновь в Active Directory! То: что в этом ОП нет ОП PostBackup, легкообъяснимо. Его ведь не было в резервной копии — оно находилось вудаленном контейнере. Так как последний восстановлен авторитетно,то восстановилось состояние на момент резервирования, т. е. без вло-женного ОП.

^^^тататмшт' 'дтат1

Оэпй*? Wlr*fow b£lp

ToSeDtfeted ГэбМй

. .

С ТоБе Deleted

£i i

Результат авторитетного восстановлениядо репликации с партнерами

Но куда делось ОП Post Вас kupExt? Ведь оно располагалось в ОП Test,которое должно было восстановиться неавторитетно, т. е. не восста-навливая своего состояния на момент резервного копирования. Рас-


суждая так, вы заоываете, что неавторитетное восстановление означа-ет не то. что объект не восстанавливается из резервной копии, а то, чтообъект будет замещен на более актуальную версию при репликации.

Состояние, изображенное на предыдущем рисунке, соответствуетмоменту сразу после загрузки контроллера домена в нормальныйрежим. Репликация с партнерами еще не выполнена. А вот после реп-ликации все придет в норму;

ft Ai tivt Dirpcfury users лпа Lomputcfs

\r. > Г' -ч

Active Ditectoty Iheriand Compiier: [ROOTl.mvcorp.ru]

iil ^J Domain Contrderj

SI -Ш ForagnSecunty Principals

И [Ц LostAndFound

sfi 1| System

IjBtMtГ*: Ш PostBackijpExt

mmToBe

Результат авторитетного восстановленияпосле репликации с партнерами

Обеспечение правильности авторитетного восстановления

Выполняя авторитетное восстановление ОП, доменов и сайтов, помни-те, что с ними могут быть связаны ОГП. А значит, надо уделить осо-бое внимание восстановлению каталога SYSVOL Во-первых, его нельзясразу восстановить в исходное положение. При этом вы рискуетенарушить синхронизацию между КГП и ШГП (см. главу «Групповаяполитика*). Поэтому его следует восстановить в другой каталог надиске, а потом вручную скопировать нужные каталоги групповыхправил для авторитетно восстанавливаемых объектов.

Во-вторых, процесс восстановления SYSVOL выполняется так, чтокаталог SYSVOL после него публикуется не сразу, а только после реп-ликации с партнерами. Теперь представьте, что вы авторитетно вос-становили Active Directory на всех контроллерах в домене одновре-менно. Начнется репликация SYSVOL, увы, бесконечная. Чтобы этогоизбежать, восстановите Active Director)' изначально только на одномконтроллере, дождитесь публикации SYSVOL и только потом начинай-те восстановление на остальных контроллерах.

440 Active Directory:, подход профессионала

Чтобы убедиться в выполнении авторитетного восстановления объек-та, достаточно выполнить команду repadmin /showmeta <имя восста-навливаемого объектах

repadmin /showmeta ou=tobedeleted,ou=test,dc=mycorp,dc=ru

8 entries.

Loc.USN Originating DSA Org.USN Org.Time/Date Ver Attribute

•9645 Default-First-Site-Naine\ROOT1 9645 2002-06-0816:20.04 1 objectClass

9665 Default-First-Site-Name\ROOT1 9665 2002-06-0817:59.22200001 ou

9665 Default-First-Site-Name\ROOT1 9665 2002-06-0817:59.22200001 InstanceType

9665 Default-First-Site-Name\ROOT1 9665 2002-06-0817:59.22200001 whenCreated

9665 Dsfault-First-Site-Name\ROOT1 9665 2002-06-0617:59.22200000 isDeleted

9665 Default-First-Site-Name\ROQT1 9665 2002-06-0817:59.22200001 nTSecurityDescriptor

9665 Default-First~Site-Name\ROOT1 9665 2002-06-0817:59.22200001 name

9665 Default-First-Site'Name\RQOT1 9665 2002-06-0817:59.22200001 objectCategory

Номер версии атрибутов наглядно показывает, на какую величину быловыполнено изменение версии при авторитетном восстановлении.

Влияние авторитетного восстановления

Авторитетное восстановление — вещь опасная, так как может восста-новить в каталоге те объекты и атрибуты, которые могут негативносказаться на работе контроллера домена или системы в целом. Средипрочего я хотел бы остановить внимание на восстановлении:

• паролей компьютерных учетных записей;

+ членства в группах.

Первое может привести к неработоспособности контроллера, второе —к нарушению правильного функционирования всей системы,

Влияние на доверительные отношения и учетные записи компьютеровПароли учетных записей компьютеров и доверительных отношенийпериодически изменяются. Для компьютеров и доверительных отно-


шений Windows 2000 этот интервал равен 30 дням, для Windows NT4.0 — 7 дням. Кроме того, хранится история двух паролей, что позво-ляет системам взаимодействовать даже при рассннхронизации пос-ледних паролей. Для Windows 2000 этот период равен 60 дням, а вотдля Windows NT 4.0 — всего 14-

Замечание В [3] эта информация приведена довольно невнятно, иможно подумать, что максимальный срок синхронизации для компь-ютеров Windows 2000 равен 14 дням, но это не так.

Теперь представьте, что вы восстанавливаете систему авторитетно изрезервной копии, срок которой превышает 60 дней. (Выше я показал,что стандартными средствами это сделать нельзя. Но ведь есть же инестандартные...) При этом будут восстановлены старые пароли до-верительных отношений и учетных записей контроллера, которые непозволят ему связаться со своими партнерами по репликации, а кли-ентским станциям — подключиться к контроллеру. В журнале регис-трации появится одно или оба следующих сообщения:

The session setup from the computer DOMAINMEMBER failed toauthenticate. The name of the account referenced in the security

database is DOMAINMEMBERS. The following error occurred: Access is

denied.

NETLOGON Event ID 3210:

Failed to authenticate with \\DOMAINDC, a Windows NT domain controller

for domain DOMAIN.

Если рассинхронизированы пароли, появится сообщение:

NETLOGON Event 5722:

The session setup from the computer X1 failed to authenticate. Thename of the account referenced in the security database is S2. The

following error occurred: XnX3

В таком случае надо сбросить пароль учетной записи контроллерадомена с помощью утилиты Netdom (см. раздел «Поиск и устранениепроблем репликации* главы «Репликация Active Directory» или статьюQ216393 в Microsoft Technet).

Наиболее вероятно авторитетное восстановление паролей для связис доменами Windows NT, так как они гораздо чаще изменяют своипароли. Поэтому, если в сети есть такие домены либо в домене Win-dows 2000 есть контроллеры Windows NT 4.0, надо внимательно от-носиться к дате резервной копии при авторитетном восстановлении.


Влияние на членство в группах

Последствия авторитетного восстановления групп могут быть кудаболее серьезными. Наихудший вариант — потеря информация о член-стве в восстановленной группе.

Допустим, вы случайно удалили группу и несколько ее членов. Членыгруппы представлены в атрибуте member, имеющем много значений.К тому же связи, обратные связи и удаления распределены по ActiveDirectory. Это все приводит к тому, что результат авторитетного вос-становления группы зависит от того, какой из объектов будет репли-цирован первым: группа или пользователи в ней.

Если первой произойдет репликация восстановленных пользователей,членство в группе будет отражено правильно как в атрибутах группы,так и в атрибутах пользователей.

Если первой выполнится репликация восстановленной группы, то напартнерах по репликации пользователи будут исключены из группы,так как на этот момент их. с локальной точки зрения контроллеров,нет. А раз так, они и не могут быть членами группы.

К сожалению, нет способа указать, какие объекты должны реплици-роваться первыми. Значит, конечный результат будет правильным свероятностью 50%. Можно ли с этим бороться?

Можно. После авторитетного восстановления группы вы добавляетев нее фиктивного пользователя. Сразу же после добавления вы его

Восстанавливаемыйконтроллер

Партнерпо репликации

1.Репликацияпользователей

2. Репликация

группы

Если первой прошла репликация пользователей,то восстановление правильное


удаляете.'Это нехитрое действие укажет, что членство в этой группедолжно быть обновлено на остальных контроллерах домена. Так какк этому моменту учетные записи восстановленных пользователей ужебудут присутствовать на остальных партнерах по репликации, член-ство в группе восстановится совершенно правильно.

Восстанавливаемыйконтроллер


Если первой прошла репликация группы, членство в ней теряется

•|\

| Добавить Кузнецова/

7 /^Удалить Кузнецова\|N

Восстанавливаемыконтроллер

Группа А:

Иванов,Петров,Сидоров

Иванов

Петров

Сидоров

Кузнецов

,i

Репликациячленства в группе

~\//


Добавление и удаление фиктивного члена в группы исправляетположение


Тут есть небольшая опасность: если до того, как вы добавите и удали-те фиктивного пользователя на восстанавливаемом контроллере, дру-гой администратор внесет изменение на другом контроллере в член-ство этой группы или для любого ее члена, вы вновь получите невер-ный результат. Тогда авторитетное восстановление группы придетсяповторить, дополнительно увеличив при этом номер версии с помо-щью аргумента verinc.

Восстановление Глобального каталогаСпособ восстановления ГК зависит от способа восстановления ActiveDirectory. Если оно выполнялось путем полной переустановки кон-троллера с последующей репликацией, ГК по умолчанию восстанов-лен не будет. Вам придется отметить соответствующий флажок в ос-настке Active Directory Sites and Services для преобразования контрол-лера в сервер ГК. Естественно, при этом надо уделить внимание про-пускной способности канала, так как объем ГК может быть весьмавелик при большом числе доменов.

Иное дело, когда восстановление выполнялось из резервной копии.Независимо от вашего желания вместе с состоянием системы будутвосстановлены все разделы Active Directory и в том числе ГК. Уже послеего восстановления вы можете решить, нужен ли он вам на этом кон-троллере.

Восстановление мастеров операцийЯ уже рассказал об этом в разделе «Принудительное назначение ма-стеров операций с помощью Ntdsutit». Здесь же остановимься натом, когда восстанавливать мастер и что будет, если его нельзя вос-становить.

Если сервер, выполнявший одну или несколько ролей мастеров опе-раций, восстанавливается из резервной копии, восстанавливаются исоответствующие роли. Если же восстановление выполнялось путемполной переустановки и последующей репликации, роли мастеровнадо назначать принудительно.

Кто может быть мастером операций?Странный вопрос! Им может быть любой контроллер в домене, ска-жете вы. Но это утверждение справедливо для нормально работающегодомена, а не для восстанавливаемого после аварии. Ведь при этомнельзя гарантировать, что репликация завершена и все контроллерыимеют одинаковую информацию о домене.

Выяснить, какой из них обладает самыми последними данными, по-зволяет утилита repadmin (см. главу «Репликация Active Director)'»).Я перечислю здесь лишь выполняемые команды.

Поиск странение проблем 445

Пусть в домене mycorp.ru два контроллера домена rootl и root2, одиниз них был восстановлен. В данный момент ни тот, ни другой не яв-ляется мастером операций. Чтобы выяснить, какой обладает самымиточными знаниями о домене, выполним команды:

C:\>repadmin /showvector dc=mycorp,dc=ru root2.itiycorp.ruDefault-First-Site-Name\ROOT2 9 USN 7214Default-First-Site-Name\ROOT1 e USN 9261

C:\>repadmin /showvector dc=mycorp,dc=ru root1.mycorp.ruDefauit-Flrst-Site-Name\ROOT2 • USN 7208Default-Flrst-Site-Name\ROOT1 9 USN 9261

Как видно из результата, сервер root2 имеет более полные сведения осебе (7214 > 7208) и одинаковые сведения с партнером о нем(USN=926l). Значит, наиболее актуальная информация хранится наroot2, и его имеет смысл принудительно сделать мастером операций,

Восстановление мастера схемыМастер схемы требуется, только когда должна быть модифицированасхема (см. главу «Проектируем Active Directory*). А часто ли вы изме-няете схему? Думаю, это случалось один-два раза — при установкеприложений, вносящих в схему собственные атрибуты или объекты..В остальных случаях мастер схемы и не нужен.

Так, может, от него вообще избавиться? Я бы не был столь категори-чен. Допустим, вышел из строя контроллер, бывший мастером схемы.То, как быстро вам его надо восстановить, зависит от необходимостимодификации схемы. Б принципе можно не торопясь собрать и про-тестировать новый сервер, поднять на нем контроллер домена и ужпотом восстановить исполняемую роль.

Иное дело, когда авария произошла в самый ответственный момент,когда вы устанавливали, например, Microsoft Exchange 2000. Тратитьвремя на восстановление контроллера — значит, сорвать план уста-новки почтовой системы. В такой ситуации можно принудительноназначить другой контроллер мастером схемы и продолжить работу.Потом, когда аварийный контроллер будет восстановлен, ему можнобудет вновь передать эту роль от «и. о. мастера схемы*.

Восстановление мастера доменных имен

Аналогичная ситуация наблюдается и для мастера доменных имен. Какизвестно, он нужен при добавлении в домен или удалении контрол-леров домена. В нормальных рабочих системах это происходит до-вольно редко. (Конечно, если вы не занимаетесь расширением сети идобавлением новых территорий.) Значит, можно не торопясь собрать


и протестировать новый сервер, поднять на нем контроллер доменаи потом восстановить исполняемую роль.

Если мастер доменных имен нужен позарез, можно принудительноназначить другой контроллер мастером доменных имен и продолжитьработу. Передача этой роли возможна, только если контроллер-адре-сат является сервером ГК. Восстановленному контроллеру можновновь передать эту роль.

Восстановление мастера RID

Отсутствие мастера RID серьезно сказывается на домене. Так, еслиодин из контроллеров домена полностью исчерпал свой пул RID, а это512 идентификаторов, то при попытке создать объект системы безо-пасности появится сообщение об ошибке: «Windows cannot create theobject because: The directory sendee has exhausted the pool of relativeidentifies». Дополнительно к этому в журнал регистрации событийтого контроллера, на котором выполнялась попытка добавленияобъекта, будет занесено сообщение с ID=l6645.

Значит ли это, что надо все бросить и спешно восстанавливать мас-тер RID? Все зависит от того, сколько контроллеров в домене и на-сколько они исчерпали свои пулы RID. Три контроллера в доменеобеспечивают до 1536 идентификаторов. Поэтому в крайнем случаеобъекты можно продолжить создавать на них.

Иное дело, если вы переносите объекты безопасности из других до-менов. Тогда отсутствие мастера RID не позволит вам это сделать, таккак нет обходных путей.

Решение о принудительном назначении контроллера домена масте-ром RID должно приниматься, исходя из того, что потом он и только,он будет исполнять роль мастера RID. Если вы надеетесь восстановитьаварийный контроллер, выполнявший эту функцию, то принудитель-но назначать роль мастера RID другим контроллерам категорическизапрещено. Дело в том, что восстановленный впоследствии мастер RIDпотенциально может выдать пул ID. выданный однажды временныммастером RID, что приведет к появлению в системе объектов безопас-ности с одинаковыми SID.

Восстановление имитатора РОС

Отсутствие имитатора PDC в домене может привести к следующимпоследствиям.

• В домене, работающем в смешанном режиме, при наличии кон-троллеров Windows NT 4.0 станет невозможно выполнять админи-стрирование этих контроллеров. Попытка использования Usermanager for domains или Server manager будет заканчиваться вы-водом сообщения о недоступности РОС.


• В домене, работающем в естественном режиме, участятся отказыв доступе. В частности, при смене пароля пользователя на одномиз контроллеров регистрация пользователя на другом контролле-ре будет невозможна, пока репликация не передаст новое значе-ние пароля. Если нужна срочная регистрация пользователя в до-мене, пароль можно изменить прямо на том контроллере, где онбудет регистрироваться.

+ Неудобство редактирования групповой политики. Как известно ре-дактирование ОГП выполняется на имитаторе PDC, а потом тира-жируется на остальные контроллеры (см. главу «Групповая поли-тика*). Поэтому отсутствие имитатора PDC приведет к выводу со-общения о том, что контроллер домена не обнаружен, и будетпредложено выбрать иной контроллер. Это сообщение будет вы-водиться при каждой операции редактирования ОГП.

+ Невозможность внесения изменений в конфигурацию DFS. Моди-фикация конфигурации DFS выполняется только на имитаторе PDC(см. главу «Active Directory и файловая система»).

Раз так, то имитатор PDC должен постоянно присутствовать в доме-не. В отличие от мастера RID нет принципиальной разницы, какиеконтроллеры домена и в какой последовательности выполняют этуроль. Главное условие: имитатор должен быть один. Поэтому послеаварии контроллера, являвшегося имитатором PDC, достаточно выб-рать другой контроллер и принудительно назначить ему эту роль.После восстановления аварийного контроллера эта роль ему можетбыть возвращена.

Замечание В смешанном режиме работы контроллер, назначаемыйимитатором PDC, необходимо синхронизировать с остальными.

Восстановление мастера инфраструктуры

Недоступность мастера инфраструктуры на конечных пользователяхне сказывается. Более того, это проблема администраторов. Выража-ется она в том, что при различных манипуляциях с группами опера-ции будут выполняться чрезвычайно медленно. Но будут. Есть огра-ниченное число операций, которые не могут быть выполнены безмастера инфраструктуры

Поэтому в случае аварии контроллера, исполняющего эту роль, еговосстановления можно подождать. Если же ждать невозможно, этуроль можно принудительно передать любому контроллеру, на кото-ром нет ГК.


Проверка целостности и восстановление базыNtdsutil позволяет выполнять проверку целостности базы Active Direc-tory, Не могу сказать, что это полезно. На мой взгляд, поиск статьи,описывающей вашу конкретную ситуацию в базе знаний Microsoft,принесет больше практической пользы, чем такой анализ. Но иногдадля самоуспокоения (мол, с Active Directory-то все в порядке — про-блема в чем-то другом) имеет смысл выполнить эти тесты. Помнитетолько, что их выполнение может затянуться.

Среди предлагаемых тестов следует выделить:

• ^мягкое» восстановление журналов базы;

• проверка целостности базы;

• семантический анализ базы.

«Мягкое» восстановление журналов базыВ случае внезапного отключения контроллера домена (например, приаварии электропитания) его перезагрузка сопровождается проверкойжурнала базы и повторным воспроизведением транзакций, записан-ных в нем (см, главу 'Установка Active Directory»). Эту же операциюможно выполнить самостоятельно. Для этого достаточно в Ntdsutilвойти в режим File Maintanance и выбрать команду Recover. Вот при-мер такого восстановления.

C:\>ntdsutil

ntdsutil: filesfile maintenance: recoverExecuting Command: C:\WINNT\system32\esentutl.exe /r /8 /o

/1"C: \WIWrrVrrDS" /s"C;\WINNT\NTDS" /110240

Initiating RECOVERY mode...Log files: C:\WINNT\NTDS

System files: C:\WINNANTDS

Performing soft recovery...

Operation completed successfully in 7.851 seconds.Spawned Process iixit code 0x0(0)

If recovery was successful, it is recommendedyou run semantic database analysis to insure

semantic database consistency as well.


Проверка целостности базы

Команда Integrity позволяет проверить структуру базы на низком уров-не. Также проверяется целостность таблиц, правильность заголовкови т. д. Эта операция может занимать длительное время. Примернаяскорость проверки — 2 Гб/час. При этом на экран выводится инфор-мация о том, какая часть работы уже выполнена, обнаруженные ошиб-ки заносятся в журнал. Например:

file maintenance: integrity

Opening database [Current].Executing Command: C:\WINNT\system32\esentutl.exe /g"C:\WINNT\NTDS\ntds.dit" /110240 /8 /v /x /o

Initiating INTEGRITY mode,..Database: C:\WINNT\NTDS\ntds.dit

Temp. Database: INTEG.EDBgot 6107 bufferschecking database headerchecking database integrity

Scanning Status ( X complete )

0 10 20 30 40 50 60 70 80 90 100|_-__|._._|-__l—_|— -|— _,„__|„__|.„_ | _„[___ |

checking SystemRootSystemRoot (OE)SystemRoot (AE)

checking system tableMSysObjectsShadowHSysObjectsNameRootObjectsrebuilding and comparing indexes

checking table "datatable" (6)checking data

checking long value tree (48)checking index "LCL_ABVIEW_index00000419" (89)checking index "DNT_IsDeleted_Index" (88)checking index "INDEX_000901FD" (87)checking index "INDEX_000901F6" (86)

checking index "INDEX_000900DE" (85)

checking index "INDEX_000201D5" (84)

checking index "INDEX_000902BB" (83)checking index "INDEX_0000002A" (24)


checking index "INDEXJ)0000004" (23)checking index "NC_Acc_Type_Name" (22)

checking index "PDNT_index" (21)checking index "INDEX_00090001" (20)checking index "Ancestors_index" (13)checking index "DRA_USN_CREATED_tndex" (12)checking index "DRA_USN_index" (11)

checking index "del_index" (10)

checking index "INDEX_00090002" (9)checking index "NC_Acc_Type_Sid" (8)checking index "INDEX_00090092" (7)

rebuilding and comparing indexeschecking table "hiddentable" (16)

checking data

rebuilding and comparing indexeschecking table "link_table" (14)

checking data

checking index 'backlink_index" (15)

rebuilding and comparing indexeschecking table "MSysDefragl" (90)

checking data

checking index 'TablesToDefrag" (91)

rebuilding and comparing indexeschecking table "sdproptable" (17)

checking data

checking index "clientid_index" (19)

checking index "trim_index" (18)rebuilding and comparing indexes

integrity check completed.Operation completed successfully in 11.26 seconds.

Spawned Process Exit code 0x0(0)

If integrity was successful, it is recommendedyou run semantic database analysis to insuresemantic database consistency as well.

Семантический анализ базы

Позволяет протестировать логическую целостность базы. Вот чтопроверяется.

• Счетчик ссылок Проверяется, что у каждого объекта есть номерGUID. отличительное имя и ненулевое число ссылок на него. Для

Поиску устранение проблем 451_

удаленных объектов проверяется, что у них есть дата и время, нонет номера GUID и отличительного имени. Проверяется и целос-тность таблиц ссылок (см. [3]).

+ Удаленные объекты. Проверяется, какое именно время имеют уда-ленные объекты и есть ли у них специальное отличительное имя.

+ Описатели безопасности. Проверяется наличие у каждого дескрип-тора контрольного поля и списка контроля доступа. Если у удален-ных объектов нет списка контроля доступа, выводится предупреж-дение.

+ Правильность репликации. Проверяется вектор обновленности дляраздела каталога. Также проверяются метаданные объектов.

Для выполнения семантического анализа надо в утилите Ntdsutil вой-ти в режим Semantic database analysis, включить подробный вывод(Verbose on) и запустить проверку командой Go:

ntdsutil; sem da ansemantic checker; ver onVerbose mode enabled.semantic checker: goFixup mode is turned offOpening database [Current] Done.

Getting record count,..2678 recordsWriting summary into log file dsdit.dmp.ORecords scanned: 2600Processing records..Done.

Результаты анализа можно найти в файле dsdit.dmp.xx, где хх — по-рядковый номер. Ниже приведен пример результатов анализа. Этотанализ выполнялся на контроллере домена mycorp.ru, который былтакже и сервером ГК. Помимо него, имелся дочерний домен msk.

INFO: UpToDate vector found for NC head 1162(mycorp)INFO: UpToDate vector found for NC head 1163{Configuratlon)WARNING: Deleted object 1175 has timestamp[12/30/9999] later than now

WARNING: Deleted object 1177 has timestamp[12/30/9999] later than nowINFO: UpToDate vector found for NC head 1179(Schema)

Данные строки указывают на то, что обнаружен вектор обновленно-сти для контекстов mycorp.ru, схемы и конфигурации.

Warning SE_DACL_PRQTECTED for

i337(VolumeTable)

Warning SEJJAC^PROTECTED for 1343({31B2F340-016D-11D2-945F-QOC04FB984F9»

Warning SE^DACL^PRQTECTED for 1346({6AC1786C-016F-11D2-945F-OOC04fB984F9})

Warning SE_DACL_PROTECTED for 1396(AdminSDHolder)

Warning SE_D AC PROTECTED for l402(Administrator)Warning SE_DACL_PROTECTED for 1421(Schema Admins)


Warning SE_DACL_PROTECTED for 1422(Enterprise Admins)

Warning SE_DACL_PROTECTED for 1424(Domain Admins)

Подтверждено существование непустых списков контроля доступа косновным учетным записям домена mycorp.ru.

INFO: UpToDate vector found for NC head 2622(nsk)INFO: Partial Attributes List found for NC head 2622(msk)

WARNING: Deleted object 2652 has timestamp[12/30/9999] later than now

Обнаружен ГК и в нем — контекст msk.

Warning SE_DACL_PROTECTED for 2664(VolumeTable)Warning SEJ>ACl._PROTECTED for 2670({31B2F340-016D-11D2-945F-OOC04FB984F9})

Warning SE_DACL._PROTECTED for 2673«6AC1786C-016F-11D2-945F-OOC04fB984F9})

Warning SE_DACL_PROTECTED for 2768(AdminSDHolder)Warning SE_DACL_PROTECTED for 2769(Domain Admins)

Warning SE_DACL_PROTECTED for 2770(Administrator}Warning SE_DACL_PROTECTED for 2810({BBOB08E9-3E4F-4EAE-AAB4-188CB97B3E8F»

Warning SE_DACL_PROTECTED for 2824({ODBEB430-79EB-4C3A-B118-A427B95E02BC})

Подтверждено существование непустых списков контроля доступа косновным учетным записям домена msk.mycorp.ru в ГК.

2678 total records walked.

Summary:

Active Objects 2651

Phantoms 12Deleted 15

Информация достаточно исчерпывающая, но повторюсь: в повседнев-ной практике от нее мало толку. В основном применение этих функ-ций имеет смысл при восстановлении базы Active Directory не с по-мощью резервной копии.

Ремонт базыДанную операцию я назвал «ремонтом», чтобы указать на отличие отпроцессов восстановления, описанных ранее. Пойти на ремонт мож-но только в крайнем случае, когда у вас нет возможности восстано-вить базу из резервной копии или путем репликации.

Ремонт также выполняется с помощью утилиты Ntdsutil. Но это негарантирует, что база останется работоспособной. Это последняянадежда, когда терять больше нечего.

Для выполнения ремонта надо войти в режим File maintanance и выб-рать команду7 repair. Процесс ремонта может затянуться, но в любомслучае надо дождаться его завершения. А затем надо обязательно вы-полнить проверку целостности и семантический анализ.


Перенос базы Active DirectoryКогда в главе «Установка Active Directory» мы обсуждали конфигури-рование контроллеров домена, я подчеркивал, что файлы базы и жур-налов транзакций в нагруженных контроллерах нужно разнести наразные физические диски. Жизнь показывает, что не все верят этомулибо верят, но не имеют возможности так поступить при разверты-вании Active Directory. Когда же осознается необходимость разнесе-ния этих файлов или пояачяется такая возможность, требуется исполь-зовать Ncdsutil. При этом:

• уточните, на каких дисках в настоящее время размещаются фай-лы базы и журналов;

• перенесите файл базы/файлы журналов на новый (желательно от-казоустойчивый) диск.

Выяснение местоположения файловДля выяснения текущего положения файлов базы Active Directory ижурналов транзакций надо запустить утилиту Ntdsutil, войти в режимFile maintanance и выбрать команду Info.

Замечание Данная команда выполняется только в режиме восста-новления Active Directory.

При этом проверяется свободное место на диске и сообщаются теку-щие размеры файлов:

file maintenance: info

Drive Information:C:\ NTFS (Fixed Drive ) free<534.6 Mb) total(1.9 Gb)

DS Path Information:

Database : C:\WINNT\NTDS\ntds.dit - 10.1 MbBackup dir : C:\WINNT\NTDS\dsadata.bakWorking din C:\WINNT\NTDS

Log dir : C:\WINNT\NTDS - 40.1 Mb totalres2.log - 10.0 Mbres1.log - 10.0 HbREPAIR,TXT - 0.0 Kb

ntds.pat - 16.0 Kbedb00001.log - 10.0 Mbedb.log - 10.0 Mb

Перенос файлов базы

Файлы базы нельзя перенести простым копированием. Дело в том, чтосистема должна как-то узнать, куда файлы перенесены. Поэтому пе-ренос может осуществить одним из двух способов.


+ Файлы базы копируются на новый диск. В режиме File maintenanceвыберите команду Set path DB 96s. указав в ней новый путь к базе.Я бы рекомендовал этот способ при добавлении новых жесткихдисков. При этом сами файлы базы никуда не перемещаются, а вотбуква, присвоенная диск)' может измениться.

• Второй способ удобнее именно при физическом переносе базы надругой диск. В режиме File maiiitanance выберите команду Move DBto 96s, подставив в нее путь к каталогу с базой. Программа сама ско-пирует файлы в новое положение и обновит свою информацию.

В любом случае после переноса файлов надо произвести мягкое вос-станоатение журналов либо просто перезагрузить контроллер. Восста-новление будет выполнено автоматически при загрузке компьютера,

Внимание Мягкое восстановление журналов занимает длительноевремя после переноса файла базы на другой диск. Так, для базы раз-мером всего 10 Мб оно может выполняться 15-20 минут на машинес процессором РШ-866 и объемом памяти 512 Мб.

Перенос файлов журналовКак перенос файлов базы нельзя выполнить простым копированиемфайлов, так и для переноса журналов нужна Ntdsuril. Это связано с тем,что система должна как-то узнать, куда файлы перенесены. Перенес-ти журналы можно одним из двух способов.

ф Файлы журналов копируются на новый диск. В режиме File main-tanance выберите команду Set path logs %s, указав в ней новый путьк журналам.

+ Перенося журналы на другой диск, в режиме File maintanance вы-берите команду Move logs to 96s, указав в ней путь к каталогу с жур-налами. Программа сама скопирует файлы в новое.место и обно-вит свою информацию.

После переноса выполните мягкое восстановление журналов либопросто перезагрузите контроллер. Восстановление будет выполненоавтоматически во время загрузки компьютера.

Если надо переустановить домен в лесуНе часто, но случается, что в дереве доменов появляется полностью«•расстроенный* домен. Причин тут может быть несколько, например,желание администратора постоянно экспериментировать с рабочейсистемой. Как бы там ни было, приходит день, когда в домене пере-стают устанавливаться приложения, те, что работают, начинают сбо-ить, а пользователи чаще и чаще сталкиваются с проблемами регист-рации и входа в домен. Несомненно, опытный администратор может


проанализировать поведение системы и восстановить нормальноефункционирование. Вот только времени на это уйдет гораздо боль-ше, чем того заслуживает такая система. Поэтому можно предложитьальтернативный способ решения проблемы — обновление домена.

Он применим только к тем доменам, которые не имеют/дочерних,либо дочерние домены являются небольшими ресурсными доменамии могут быть расформированы с переносом ресурсов в другие доме-ны в дереве.

Для обновления домена все учетные записи групп и пользователейнужно перенести во временный домен, затем существующий доменуничтожить и воссоздать. Проверив корректную работу воссозданногодомена, сохраненные учетные записи нужно возвратить назад.

Постановка задачиРассмотрим обновление на примере. Допустим, лес состоит из трехдоменов. К корневому домену mycorp.ru подключены дочерние:test.mycorp.ru и msk.mycorp.ru. Проблемным является домен test.

mycorp.ru

test.mycorp.ru msk.mycorp.ru

Начальная топология леса

В корневом домене нет учетных записей пользователей и ресурсов,Все пользователи находятся в доменах test и msk, В обоих есть серве-


ры — члены домена, где размещены файлы и принтеры. Доступ поль-зователей к ресурсам регулируется через членство в локальных и гло-бальных группах. В домене test есть иерархия ОП, к некоторым из нихприменяется групповая политика.

К обновлению предъявляются следующие условия:

ф после обновления текущая конфигурация должна быть сохранена;

• пользователи домена msk не должны испытать неудобств при об-новлении домена test;

• пользователи домена test должны сохранить свои права доступа кресурсам домена и свою групповую политику.

Общая последовательность действий

Начать надо с резервного копирования одного из контроллеров тогодомена, обновление которого планируется, т. е. test. Нужно сделатькопию состояния системы и системного диска одного из контролле-ров домена. Лучше выбрать мастер операций в домене и ГК. Далее надопринять ключевые решения, определяющие ход обновления.

Определение правил переносаТак как обновление начинается с переноса объектов из одного доме-на в другой, определимся с его порядком.

1. Какой домен выбрать в качестве временного: корневой (inycorp.ru)или дополнительный?

Можно рассмотреть и третий случай — задействовать в качествевременного пристанища домен msk, но пользователи не должныиспытывать неудобств при обновлении домена test.

При использовании корневого домена дополнительное оборудо-вание не требуется. Во втором случае нужно задействовать допол-нительный контроллер домена. Для понимания сути не важно,какой домен выбрать, — будем считать, что у нас нет лишних ком-пьютеров и использование корневого домена в качестве времен-ного "перевалочного пункта* — единственно возможный вариант,В дальнейшем будем называть его доменом-приемником.

Теперь выполним резервное копирование всех контроллеров вэтом домене. Необходимо сохранять состояние системы.

2. Когда выполнять обновление? Лучше всего в выходные: пользова-телей в домене test будет минимум. Кроме того, это позволит из-бежать проблемы открытых, а значит, неперемещаемых файлов.

3- Какие ОП переносить? Для них надо создать такие же в домене-приемнике. Удобнее создать новую структуру внутри специальновыделенного ОП, например Temp Migration.


4. Какие группы перенести? Не переносятся встроенные группы, рас-положенные в контейнере Users. Если в этом контейнере есть груп-пы, отличные от встроенных, удобно их переносить в ОП TempMigration\Users в домене-приемнике.

5. Каких пользователей перенести? Не переносятся встроенные учет-ные записи (Administrator, Guest). Если в контейнере Users есть поль-зователи, они переносятся отдельно от своего контейнера. Удобноих переносить в ОП Temp Migration\Users в домене-приемнике.

6. Какие учетные записи служб, выполняемых не от имени локаль-ной системы, перенести? Если они располагались в отдельном кон-тейнере, надо создать такой же контейнер в домене-приемнике,если же в контейь:ере Users — они переносятся в контейнер TempMigration\Users.

Последовательность действий с первого взгляда

Следующий шаг — документирование текущей конфигурации обнов-ляемого домена. Иерархию ОП нужно сохранить. Желательно напи-сать сценарий для воссоздания такой же иерархии.

Если использовались групповые правила и их надо перенести в об-новленный домен, то соответствующие ОГП должны быть примене-ны к ОП в домене-приемнике.

Замечание К переносу групповых правил надо подходить с боль-шой осторожностью, так как возможно, что именно они явились од-ной из причин некорректной работы домена.

Дальнейшая последовательность действий в общих чертах такова.

1. Перенос серверов-членов домена в домен-приемник. Если на кон-троллерах домена размещались файловые и принтерные ресурсы,их надо перенести в домен-приемник. Перенос должна выполнятьпрограмма, сохраняющая права доступа, например хсору/о /х. До-ступ пользователей к этим ресурсам временно будет потерян.

2. Перенос учетных записей служб в соответствующий контейнер вдомене-приемнике.

3- Перенос локальных и глобальных групп домена. Удобно совмес-тить эту операцию с переносом учетных записей пользователей,входящих в эти группы.

4. Перенос пользователей, не входящих в уже перенесенные группы,и перенос их блуждающих профилей.

5. Понижение статуса всех контроллеров в обновляемом домене достатуса серверов. С этого момента пользователи не смогут зареги-стрироваться в домене test под прежними именами и паролями.


б. Переустановка ОС на бывших контроллерах домена. Проверкаправильности работы системы.

Перенос объектов

mycorp.ru

test.mycorp.ru msk.mycorp.ru

Все объекты переносятся в домен-приемник

myoorp.ru

msk.mycorp.ru

Домен временно прекращает свое существование


7. Повышение статуса одного из серверов до контроллера доменаtest.mycorp.ni. Воссоздание в нем структуры ОП. Обратный пере-нос файловых и принтерных ресурсов, ранее перенесенных в кор-невой домен. Назначение ОГП воссозданным ОП.

8. Обратный перенос учетных записей служб из корневого доменапо завершении репликации.

9. Перенос назад локальных и глобальных групп.

10. Перенос назад пользователей, не входящих в группы.

11. Резервное копирование воссозданного контроллера после провер-ки работоспособности домена, работоспособности репликации иправильности доступа к ресурсам и отработки профилей.

mycorp.ru

Перенос объектов

test.mycorp.rumsk.mycorp.ru

После установки первого контроллера в домене все перенесенноевозвращается назад

12. Переустановка второго контроллера домена.

Перенос пользователей и групп в деталях

Из перечисленных выше операций детального описания требует пе-ренос групп и пользователей. Удобнее всего выполнять его с помо-щью Active Directory Migration Tool (ADMT).


ADMT, распространяемая свободно на Web-сайте Microsoft, помимомиграции пользователей и групп, позволяет переносить компьютеры,параметры безопасности, доверительные отношения, учетные запи-си служб, а также готовить отчеты о выполненных операциях.

Замечание При переносе домен-приемник должен работать в ес-тественном режиме.

Перенос может выполняться в двух режимах: тестовом и рабочем.Рекомендуется предварительно выполнить тестовый перенос, а потом,если ошибок нет, — рабочий.

ADMT содержит набор программ-мастеров. Для переноса групп слу-жит мастер переноса групп. Запустив его, выберите переносимые ло-кальные и глобальные группы в домене-источнике. Затем укажите, вкакой контейнер (к этому моменту он должен существовать) н доме-не-приемнике их поместить.

Укажите свойства переноса. Так как нам важно сохранить права до-ступа к ресурсам обновляемого домена, надо выполнить перенос группс сохранением атрибута SID history. С этой целью в диалоговом окнемастера отметим флажок Update User rights.

С другой стороны, нужно сохранить членство в группах. Поэтомуотметим флажок Copy group membership. При этом переносятся нетолько указанные, но и все группы и учетные записи пользователей —члены переносимых групп. Так мы убиваем двух зайцев: переносим игруппы, и пользователей. Например, если в локальную группу LG1входит глобальная GG1. а в нее — ряд пользователей, то при перено-се групп будут перенесены все пользователи из группы GG1.

Переносимые группы можно переименовать, добавив к именам пре-фикс или суффикс. Так, при переносе группы Password resetters ее имяможно преобразовать в Test_Pa.ssword Resetters. Это актуально, если:

+ группы переносятся в общий контейнер с другими группами в до-мене-приемнике,

+ перенос выполняется «навечно*, т. е. не ставится задача возвраще-ния групп в исходный домен после его обновления.

Поскольку выбран перенос групп в специальные контейнеры на вре-мя, переименовывать группы нет смысла, Поэтому соответствующийпереключатель остается в том же положении, что и на рисунке.

Если бы в домене-приемнике имелись учетные записи и группы, надобыло бы позаботиться об уникальности переносимых имен. В нашемслучае в этом нет нужды, но когда есть вероятность обнаруженияодноименных групп, можно определить правило, предписывающее


добавлять к именам префикс или суффикс при обнаружении в доме-не-приемнике «тезки» переносимой группы.

Если такой способ разрешения конфликта не подходит, можно выб-рать один из следующих.

• При обнаружении конфликтных имен перенос таких групп не вы-полняется. Это самый безопасный вариант, однако впоследствиивы должны проверить, какие группы перенесены, а какие нет,

uu ftitouiit 4Hjr.il ism wizard

Group OptionsYou can rragiate the objects in a group slongwSti their secjBylD (SIO| setthgs.

i rights '

Rananewilb EJ»N

|. й*

Управление параметрами переноса групп

мт Account Migration WI/HI n

Naning ConllictiA name conlid occurs v*en a taigel account already emsls with the sans nameл; а $ошсе account

Та ;aec! t'raw уш илнЙ 6los lo («solve оТшр асешлч пале sontfcts, cicfe an lotion' ' ' " ' "

Разрешение конфликтов именования групп

462^ Active Р1гес1огу^подход профессионала

• Перенос сопровождается замещением одноименных групп в доме-не-приемнике. При этом можно лишать прав пользователей в груп-пах и исключать членов замещаемых групп. Как видите, это жест-кий вариант, который не оставляет группам в домене-приемникешансов на выживание.

В нашем примере наиболее удачным является путь переименования.

После определения начальных параметров начинается процесс пере-носа. Чтобы понять, не было ли ошибок, достаточно взглянуть нафинальное окно мастера с кратким отчетом о проделанной работе. Авот если ошибки были, то, чтобы понять, в чем они заключались, надооткрыть файл migration.log. Взгляните на пример такого файла. Сна-чала сообщается, что именно должно быть сделано. В нашем приме-ре из домена Test в домен Мусогр переносятся две глобальные груп-пы GG01 и GG02, две локальные — LG01 и LG02. а также включенныев них учетные записи пользователей.

2002-06-07 02:56:41-2002-06-07 02:56:41-Active Directory Migration Tool, Starting...

2002-06-07 02:56:41-Starting Account Replicator.

2002-06-07 02:56:42-Account MigrationWriteChanges:No TEST MYCORP

CopyUsers:Yes CopyGlobalGroups:Yes CopyLocalGroupsiYes CopyComputersiNo

2002-06-07 02:56:48-User account CN=Fy01 will be moved.

2002-06-07 02:56:48-User account CN=Fy02 will be moved,

2002-06-07 02;56:48-User account CN=Fyt01 will be moved.

2002-06-07 02:.56:48-User account CN=fyt02 will be moved.

2002-06-07 02:56:48-Group CN=GG01 will be moved.




2002-06-07 02:56:46-Group CN=LG01 will be moved.2002-06-07 02:56:48-Group CN=LG02 will be moved.

После этого перечислены все действия по переносу. Я не стал воспро-изводить все строки журнала, так как они одинаковы для каждогопереносимого объекта, а оставил только некоторые, дающие представ-ление о ходе переноса. Сначала сообщается, что пользователь Fy02был перенесен из домена Test в домен Мусогр. Перенос пользовате-лей — членов групп должен выполняться первым, иначе будет поте-ряна информация о членстве.

2002-06-07 02:5S:49-MovedLDAP://TEST/CN=Fy02,CN=Users,DC=test,DC=mycorp,DC=ru toLDAP://MYCORP/CN=Fy02,OU=Test Unit,DC=mycorp,DC=ru

А вот эта строка говорит, что этот же пользователь удален из глобаль-ной группы GGO1 в домене Test:


2002-06-07 02:56:50- RemovedLDAP://TEST/CN=Fy02,CN=Users,DC=test, DC=ffiycorp,DC=ru from

LDAP://DC01/CN=GG01, OU=Test, DC=test, DC=mycorp, DC*ru

После переноса всех пользователей-членов группы и их исключенияиз нее сообщается о переносе глобальной группы GG01;

2002-06-07 02:56:50-MovedLDAP://test.mycorp.ru/CN=GG01,OU=Test, DC=test,DC=mycorp,DC=ru toLDAP://MYCORP/CN=GG01,OU=Test Unit, DC=mycorp,DC=ru

И вслед за этим удаляются остальные члены этой группы:

2002-06-07 02:56:50-Removing members from group CN=GG01

С LDAP://DC01/CN=GG01,OU=Test,DC=test,DC=myco rp,DC=ru).

Далее идут аналогичные операции для оставшейся глобальной груп-пы и для локальных групп, Так как с информационной точки зренияв них ничего нового, я их опустил.

А вот следующая операция — добавление пользователей в перенесен-ные группы, но уже в домене-приемнике.

2002-06-07 02:56:51-Readding members to group CN=GG01

(LDAP://MMS-SERVER/CN=GG01,OU=Test Unit,DC=mycorp,DC=ru).2002-06-07 02:56:51-Readding members to group CN4G01

(LDAP://MMS-SERVER/CN=LG01,OU=Test Unit,DC=mycorp,DC=ru).

И под конец сообщается об обновлении прав доступа, т. е. об измене-нии атрибута SID history для перенесенных групп и занесении в негоSID пользователей, перенесенных из домена Test.

2002-06-07 02:56:52-Updated user rights for CN=Fy02

2002-06-07 02:56:52-Updated user rights for CN=GG012002-06-07 02:56:52-Updated user rights for CN=LG012002-06-07 02:56:53-0peration completed.

Если при переходе возникает ошибка, она также заносится в этотжурнал. Наиболее вероятная причина ошибки — использование учет-ной записи, не имеющей административных прав в обоих доменах.Учетная запись запрашивается мастером на начальных этапах. Удоб-нее всего применять -учетную запись администратора предприятия.

Помимо журнала регистрации, рассмотренного выше, для контроляможно использовать мастер создания отчетов. Он выводит ту же ин-формацию наглядно.

Если после переноса групп остаются пользователи, не входящие вгруппы или расположенные в контейнере Users, то перенести их по-может специальный мастер переноса пользователей. Его работа ана-логична работе мастера переноса групп.

16-2005


В ADMT есть ряд других мастеров, в том числе мастер откатов, позво-ляющий отменить результат последнего переноса. Мастер работаеттак, что все параметры последней операции берет из своей базы ивоспроизводит их в обратном направлении.

Проверка результатаОбновив домен, надо проверить правильность действий.

• Включив клиентскую машину в обновленный домен, надо зареги-стрироваться в домене под именем любого пользователя этого до-мена. (Например, под именем Test\FY02 в нашем примере.) Невоз-можность регистрации свидетельствует об одной из двух проблем:

• учетные записи пользователей не были перенесены или пере-нос был выполнен некорректно;

• учетные записи компьютеров не были повторно созданы вобновленном домене.

• Далее с помощью утилиты Gpresult (см. главу «Групповая полити-ка») надо проверить, применены ли к этому пользователю опре-деленные для него групповые правила. Если правила отличаютсяот ожидаемых:

» проверьте привязку ОГП к домену и ОП; если используетсяфильтрация, проверьте списки контроля доступа, к ОГП;

• проверьте содержимое каталога SYSVOL — возможно, вы забы-ли перенести шаблоны групповой политики.

+ Теперь надо проверить доступ пользователя к его ресурсам. Еслидоступа к ним нет:

• возможно, ны забыли отметить флажок Update User rights припереносе пользователей и групп — следовательно, атрибут SidHistory не был обновлен;

• возможно, вы забыли при переносе сохранить членство пользо-вателя в группах;

• возможно, вы забыли указать на необходимость сохранениясписков контроля доступа при переносе ресурсов.

• Наконец, надо проверить работу служб и приложений, действую-щих от имени несистемных учетных записей и существовавших вдомене до обноатения. Если приложения не запускаются или ра-ботают некорректно:

• возможно, учетные записи служб не были перенесены или пе-ренос был выполнен некорректно:

• возможно, вы забыли отметить флажок Update User rights припереносе учетных записей служб — следовательно, атрибут SidHistory не был обновлен;


• возможно, вы не применили групповую политику, определяю-щую права данных учетных записей; как правило, это правалокальной регистрации, работы от имени ОС, работы в пакет-ном режиме и т, п.;

• возможно, вы забыли при переносе сохранить членство служеб-ных учетных записей в группах, в частности, в группе Admi-nistrators;

• возможно, вы забыли указать сохранение списков контролядоступа при переносе ресурсов; если приложение осуществля-ет доступ к файлам от имени своей учетной записи, он будетневозможен.

План аварийного восстановления

Теперь несколько слов о том, как поступать, если что-то пойдет не так.

Работы лучше начать в пятницу вечером или в субботу утром. Самперенос начинаем только после выполнения резервного копированияконтроллера домена-источника.

Если перенос пользователей завершился неудачно либо внезапносообщено о большом числе ошибок, надо запустить мастер откатов.В случае его нормальной работы перенесенные учетные записи воз-вратятся назад. Если этого не произошло, рекомендуется на контрол-лере-источнике переустановить Active Directory и сделать авторитет-ное восстановление из резервной копии. На контроллере-приемникенадо проверить, не осталось ли перенесенных учетных записей и приих обнаружении — удалить.

Если после обновления домена пользователи нормально входят вдомен и имеют доступ к ресурсам, а приложения не работают, надовыяснить причину (см. выше). Если причину не удастся обнаружить иликвидировать, следует авторитетно восстановить в домене данные изрезервной копии и отложить перенос до выяснения причин неудачии повторной попытки обновления домена.

Если в лесу все перестало работатьВ заключение рассмотрим ситуацию, когда в лесу доменов ActiveDirectory перестало работать все. Как этого добиться — разговор от-дельный: это под силу не каждому. Но уж коли это произошло, надокак-то выходить из создавшегося положения.

Далее предполагаем, что условия таковы.

• В лесу не осталось нормально работающих контроллеров домена.Под этим будем понимать, что базы на контроллерах рассинхро-низированы, репликация FRS работает не так или с перебоями, кон-троллеры периодически или постоянно не видят друг друга, лоль-


зователи не могут регистрироваться в домене, приложения не ра-ботают или работают с ошибками.

+ У вас есть копии, недавно выполненные на нормально работаю-щей системе.

• Вы пробовали восстановить работоспособность системы всемиспособами, но увы... Ни один из контроллеров не годится на дол-жность идеального. Авторитетное восстановление базы из резер-вной копии не помогает. Ремонт Active Directory с помощью Ntds-util не дал положительного результата. Вы уже проконсультирова-лись со всеми знакомыми и прочитали массу литературы — всебесполезно. Даже специалисты Microsoft не смогли вам помочь ирекомендовали -жесткое» восстановление системы.

Остается последовать совету спецов. Итак, «жесткое* восстановление...

Общая последовательность действий

Жестким восстановление называется потому, что сопровождаетсямассой неприятных последствий.

• Вы отбрасываете систему назад во времени. Все изменения, вне-сенные в Active Directory в последнее время, аннулируются. Учет-ные .записи пользователей и компьютеров, добавленные после по-следнего резервного копирования, придется добавлять заново.

• Приложения, работавшие на контроллерах домена, придется пе-реустановить. Остальные приложения, возможно, тоже придетсяпереустанавливать, хотя это может и не потребоваться.

• Если использовалась служба DNS, интегрированная с Active Direc-tory, то ее также придется восстанавливать. Возможно, сначала еепридется восстанавливать в иной конфигурации и лишь потом, позавершении восстановления части леса, можно будет перейти коригинальной конфигурации DNS.

Последовательность ваших действий приведена на диаграмме.

Как видите, восстановление начинается с предварительных шагов.которые помогут понять, какие серверы восстанавливать первыми, атакже порядок дальнейших действий.

Помните: восстановление леса, как и установка нового, всегда выпол-няется с корневого домена. Именно здесь находятся группы EnterpriseAdmins и Schema Admins. Кроме того, только отсюда можно устанав-ливать отношения с дочерними доменами.

Убедившись, что корневой домен восстановлен, можно браться заостальные домены. Если вы обладаете достаточным количеством ре-сурсов, восстановление доменов можно выполнять параллельно, нопри этом помните;


• в каждом домене восстанавливается не более одного контроллера;

ф нельзя восстанавливать домены с нарушением их родительско-до-черних взаимоотношений.

Параллельно с выполнением предыдущего шага можно переустанав-ливать ОС на оставшихся контроллерах, устанавливать сервисныепакеты и заплатки системы безопасности, которые будут рекомендо-ваны к установке на тот момент времени.

Предварительные шаги:

выявление в каждом доменеконтроля еров- кандидатов

на восстановление в первую очередь

ВЫКЛЮЧЕНИЕ ВСЕХ

КОНТРОЛЛЕРОВ ДОМЕНА В ЛЕСУ

Восстановлениев автономном режиме

контроллера корневого домена

Подключение контроллера к сети

активация иа нем ГК

Переустановка операционной

системы на всех компьютерах,бывших контроллерами

Подьем на серверах контроллеровдомена через запуск DC PROMO

Восстановление в автономном

режиме одного контроллерав следующем домене

с Выполнение

заключительных операций )

Подключение контролера к сети

и восстановление связей доменас родительским

Алгоритм выполнения жесткого восстановления леса Active Directory

Убедившись, что все домены в лесу восстановлены и работают (т. с.выполняется репликация Active Directory и FRS, все базы синхронны,тестовые подключения пользователей показывают отсутствие проблемс регистрацией в сети) можно на оставшихся переустановленныхсерверах выполнить команду DCPROMO для повышения их статуса доконтроллеров нужных доменов.


Замечание В Windows .Net Server эта операция может выполнятьсяс использованием резервной копии базы Active Directory, сделаннойна самом первом контроллере в домене.

Предварительные шаги

От того, как тщательно вы их выполните, зависит успех операции. Вотчто надо сделать:

• задокументировать текущую конфигурацию леса;

• разработать процедуру восстановления текущей конфигурации вслучае неудачи;

• выявить в каждом из доменов тот компьютер, с которого начинатьвосстановление;

• выключить ВСЕ контроллеры домена в лесу.

Документирование текущей структуры лесаДокументируя структуру леса, надо зафиксировать такую информацию.

+ Иерархия доменов. Ее нужно запомнить как с целью определенияпорядка восстановления, так и с целью разработки плана отката вслучае неудачи.

• Имена контроллеров в каждом домене, их роли и список прило-жений, исполняемых на них.

• Пароль администратора каждого из доменов. При восстановленииэто единственная учетная запись, которую можно будет применять.

ф Структура сайтов. Это необязательное условие, но если структураперед этим была тщательно протестирована и не вызывала наре-каний, то лучше восстановить именно ее. Особое внимание стоитуделить расположению серверов-форпостов, связям, их расписа-нию и стоимости.

Информацию занесите в таблицу вроде показанной ниже. Далее мывоспользуемся данными из нее.

Рассмотрим лес, состоящий из двух доменов: mycorp.ru и дочернегоmsk.mycorp.ru. В первом 4 контроллера, а во втором — 3- В обоихнаходятся учетные записи пользователей, работа которых в последнеевремя осложнилась. После бесплодных попыток восстановления до-менов принято решение восстановить весь лес. Конфигурация доме-нов собрана в таблицу Поскольку- структура сайтов не является в этомпримере определяющей, сведения о ней не сохранялись.


Пример документирования текущей конфигурации леса

Имяконт-роллера Мастер

Доменrootlroot2root3гооНДоменmidlmid 2miclS

mycorp.ruсхемы, имитатор PDCнетинфраструктурыдоменных имен, RID

msk.mycorp.ntRID, инфраструктурыНетимитатор PDC

Наличиерезервнойкопии

ДаДаНет

i .

ДаДаНет

Наличиеразделов дляприложений

НетDNS, DHCPНетDNS

WINSDNS, WINSНет

гк

Да! |

Нет

Да

НетДаНет

DNS

НетДаНет

Да

Нет

ДаНет

Разработка процедуры отката назадВозможно, вы спросите: зачем возвращаться в состояние, которое итак рассматривалось как критическое? Оно, конечно, так. Только нестоит забывать, что, несмотря на всю сложность ситуации, системапродолжала работать, а пользователи, хоть и с трудом, но могли осу-ществлять доступ к ресурсам. Если процесс восстановления окажетсянеудачным или затянется, пользователи вообще не смогут работать.

Для разработки процедуры отката надо иметь представление о том,что может произойти при восстановлении. Из очевидных последствийотмечу следующие.

• Система вообще не может быть восстановлена и потребует пол-ной реконфигурации. Это может произойти в том случае, когда выне делали резервных копий либо все копии плохие или уничто-жены.

• После восстановления состояние системы далеко от требуемого.Многих учетных записей нет, свойства объектов устарели. Этоможет случиться, когда последняя хорошая копия делалась доволь-но давно и с тех пор в систему было внесено много изменений.

+ ОС может быть восстановлена, но на это уйдет больше времени,чем вы предполагали. Значит, надо вернуться на исходные пози-ции, разработать новый план (возможно, с привлечением допол-нительных ресурсов) и выполнить обновление в другой раз.

Раз так, то в плане процедуры восстановления надо выделять крити-ческие точки. Например, если на одном из этапов предполагаетсяотключение всех контроллеров всех доменов, то критическая точказдесь — момент выключения последнего контроллера в домене: ведьс этого момента ни один пользователь больше не имеет доступа кресурсам. Следующая критическая точка — переустановка ОС на кон-


троллере: пока контроллер не возобновит работу, его нельзя включитьв сеть для обработки запросов пользователей.

Для каждой критической точки нужно определить действия, которыевы должны выполнить, если что-то вдруг идет не так. Скажем, дляпервой из описанных выше критических точек действия весьма про-сты: вновь включить контроллеры домена. Для второй — восстанов-ление прежней конфигурации контроллера из резервной копии.

Помимо описанных критических точек, надо учитывать критическоевремя. Допустим, вы планируете восстановить систему за выходные.Предварительное тестирование позволило узнать, сколько временизанимает та или иная процедура. Просуммировав время и расспарал-лелив, где надо, процесс, вы решили, что к 12 часам дня воскресеньявы завершите всю работе Предполагая, что что-то может пойти не так,надо определить точку, после которой все ваши действия должны бытьостановлены. Например, тестирование показывает, что для восстанов-ления исходного состояния системы требуется 8 часов, а пользовате-ли начинают работу с 9.00 в понедельник. Это значит, что если к 1часу ночи в воскресенье система не восстановлена, то все работынужно прекратить и начать откат к прежнему состоянию. Никакиесоображения типа «еще полчасика» принимать в расчет нельзя. Сис-тема должна быть работоспособна к началу рабочего дня.

Действия, выполняемые в случае неудачи в критических точках, опре-деление критического времени и действий в случае его наступленияи составляют план отката. В итоге алгоритм восстановления системыс учетом плана отката можно составить так (см. рис. на стр. 471).

Выявление лучшего кандидата на восстановление

Вернувшись к плану восстановления, вы увидите, что первоначальновосстанавливается только по одному контроллеру в каждом домене.Они заложат основу вашей восстановленной системы.

При отборе наилучших кандидатов необходимо учитывать:

ф наличие резервной копии контроллера;

• качество резервной копии;

• функции, выполнявшиеся контроллером до краха.

Вполне очевидно, что если резервная копия для какого-то контрол-лера не существует, то он не может быть кандидатом на восстановле-ние. Это справедливо, даже если этот контроллер был установлен всегодень назад.

Качество резервной копии определяется сроком ее давности. Навер-няка вы подозреваете, что явилось причиной тотального сбоя в лесу.А если нет, то примерно знаете время, когда появились первые при-


знаки проблемы. Следовательно, дата резервной копии должна бытьне позже этого времени. Но и очень далеко назад уходить не стоит,так как чем дальше вы отбросите систему назад, тем больше коррек-тив вам придется вносить после восстановления.

Выполняемые контроллером функции оказывают противоречивоевлияние на выбор кандидата, Так, если контроллер являлся серверомГК, его восстановление займет гораздо больше времени в многодомен-ной организации. Поэтому вряд ли стоит выбирать этот контроллерв качестве базового. С другой стороны, если он являлся и серверомDNS, то, восстанавливая контроллер, вы восстановите и DNS, что уп-ростит вам дальнейшие действия.

В нашем примере контроллеры root3 и mid3 отпадают сразу, так какдля них нет резервных копий. Из оставшихся в домене mycorp.ru иде-альным кандидатом является контроллер root2, так как он являетсясервером DNS и DHCP. Он, правда, еще и сервер ГК. но так как имеют-ся всего два домена, объем ГК невелик. В домене msk наилучшим кан-дидатом является контроллер mid2: ведь он еще и сервер DNS и сер-вер WINS.

Вместе с тем ни один из выбранных контроллеров не является масте-ром каких-либо операций, Вообще это не имеет значения за исклю-

Ачгоритм выполнения работ


чением. пожалуй, мастера RID. Так как он будет в итоге создан зано-во, есть вероятность, что он выдаст пулы ID. которые уже использо-вались. Чтобы избежать этого, надо предпринять некоторые меры.

Выключение всех контроллеров доменов

Зачем выключать все контроллеры в лесу? Как вы помните, каждыйвосстановленный контроллер подключается к корпоративной сети встрого определенном порядке. Если не все контроллеры выключены,после подключения первого восстановлеиного контроллера можетначаться репликация. В данном случае эта репликация нежелательна,так как она будет выполняться с контроллеров, содержащих испор-ченные данные. Поэтому все контроллеры должны быть выключены.

А если у вас большая распределенная сеть с множеством сайтов, раз-бросанных по огромной территории? Все их выключить одновремен-но затруднительно. В таком случае надо принять меры, препятствую-щие взаимодействию с такими сайтами. Возможно, связь с ними при-дется временно порвать на физическом уровне, запретив, например,маршрутизацию.

Восстановление

Итак, восстановление состоит из трех блоков работ:

4 восстановление корневого домена;

+ восстановление остальных доменов;

+ добавление переустановленных контроллеров в домены.

Восстановление корневого домена

Внимание Восстановление корневого домена выполняются на кон-троллере, отключенном от корпоративной сети.

Восстановление начинается с контроллера домена, выбранного в ка-честве наилучшего кандидата.

Шаг 1 На этом контроллере домена выполните неавторитетноевосстаноа!ение состояния системы и каталога SYSVOL (см. раздел«Неавторитетное восстановление»). Восстановление выполняется изрезервной копии, признанной наилучшей.

Убедитесь, что восстановление выполняется:

+ в то же самое место;

* с восстановлением параметров безопасности;

• с восстановлением точек перехода ntfs;

+ с сохранением точек монтирования томов;


• с пометкой восстанавливаемых реплик как первичных для наборареплик.

/7рм выполнении восстановления должны бытьотмечены эти флажки

Шаг 2 Выполните проверку контроллера после перезагрузки. Впол-не возможно, что загрузка займет длительное время, так как не будетобнаружен сервер DNS (см. главу «Установка Active Directory*). Это нестрашно. Хуже, если структура Active Directory будет содержать ошиб-ки, которые перед этим привели к краху всего леса. В этом случае надовоспользоваться еще более ранней резервной копией и повторитьвосстановление контроллера.

Внимание Это первая критическая точка.

Шаг 3 Если данный компьютер был сервером DNS, на котором со-держалась зона, интегрированная с Active Directory', надо войти в ос-настку DNS и посмотреть на содержимое зоны _тзс1с5.<имя лесахВ этой зоне надо удалить все записи, относящиеся к контроллерам вдомене за исключением только что восстановленного. Также удалитевсе SRV-записи, относящиеся к остальным контроллерам. Это позво-лит предупредить нежелательную репликацию с партнерами, которыеостались невыключенными. Клиентская часть DNS на этом контрол-лере должна указывать только на этот контроллер. Если это не так,внесите соответствующее изменение.

Если вы использовали зоны DNS, интегрированные с Active Directory,но восстанавливаемый сервер не был сервером DNS, то на нем надоустановить и сконфигурировать службу DNS:

• создайте необходимые зоны с теми же именами, что и ранее;

ф разрешите защищенные динамические обновления зон;

• настройте делегирование зон и переадресацию неразрешенныхзапросов,


Настроив службу DNS, перезапустите службу Netlogon (см. раздел «Чтоделать с DNS» главы <• Установка Active Directory*).

Замечание Указанные действия выполняются, только если контрол-леры домена выступали серверами DNS. Если же используется специ-ализированный сервер DNS (не обязательно Windows 2000), очисти-те зоны от указанных записей.

Шаг 4 Если восстановленный контроллер был сервером ГК, сбросьтесоответствующий флажок в оснастке Active Directory Sites and Services.

Зачем? Как я уже говорил, для восстановления каждого контроллера вразных доменах используется своя резервная копия. Не факт, что всекопии делались в один день. А это значит, что при восстановлениикаждого из доменов будут восстанавливаться данные, соответствую-щие разным периодам . Если восстановленный ГК содержит сведенияо каком-то разделе более позднюю, чем та, что будет восстановленадля этого раздела на «его» контроллере, то эти данные будут неакту-альны и, что хуже всего, навсегда останутся в ГК и будут тиражирова-ны по остальным серверам ГК. Поэтому после восстановления кон-троллера, бывшего ГК его надо лишить этой функции.

Шаг 5 Назначьте все роли мастеров операций в лесу и в домене это-му контроллеру (см. раздел «Принудительное назначение мастеровопераций с помощью Ntdsutil»).

Шаг 6 Вычистите из Active Directory все метаданные, имеющие отно-шение к остальным контроллерам домена (см. раздел «А может, всепереустановить?» главы «Установка Active Director;.7»). Это необходи-мо, чтобы КСС не попытался задействовать объекты связи с несуще-ствующими партнерами по репликации.

Шаг.7 Откройте оснастку Active Directory Users and Computers и уда-лите все объекты, соответствующие остальным контроллерам в доме-не. То же проделайте и в оснастке Active Directory Sites and Services.

Шаг 8 Увеличьте значение текущего пула RID на 100000. Как я ужеговорил, принудительное назначение контроллеру роли мастера RIDчревато неприятными последствиями. Так, если после выполнениярезервной копии, с которой произошло восстановление контролле-ра, некоторым объектам системы безопасности были предоставлены.какие-то права доступа или полномочия, они сохранятся и после вос-становления контроллера. Так клк новый мастер RID не знает о SIDобъектов, существовавших до него, он может выдать точно такие жеID новым объектам. В результате в системе появятся объекты с оди-наковыми SID, что, с точки зрения системы безопасности, расцени-вается как один и тот же объект. А значит, возникает угроза несанк-ционированного доступа к ресурсам.

Поиск и устранение проблем л. /Ь

Для предотвращения такой ситуации надо изменить пул относитель-ных ID.

+ На восстановленном контроллере запускается ADSIEdit или Ldp.Лучше использовать обе эти утилиты. Далее ищется объект cn=RIDManager$,cn=System.<HMH домена>, а у пего — атрибут rIDAvailPool,Тип этого атрибута — INTERGER8. т. е. длинное целое.

I м -BID Mrtfiaqetu J>raaert«s$ .V x,

Атрибут указывающий на текущий пул RID

• Старшая часть указывает на количество объектов безопасности, ко-торые можно задействовать в системе. Младшая — текущее значе-ние пула номеров RID. Чтобы их вычислить, лучше всего исполь-зовать преобразователь длинных целых чисел в программе Ldp.Так, для значения, показанного на рисунке, младшая часть равна2604. Учитывая, что каждый раз контроллеру домена выдается пулв 512 номеров ID, увеличение пула на 100000 застрахует вас отпоявления объектов с одинаковыми SID.

Шаг 9 Дважды сбросьте пароль учетной записи компьютера и секретLSA, выполнив команду:

netdom resetpwd имя.донена

Внимание Сброс паролей надо обязательно выполнить дважды,чтобы исключить даже потенциальную возможность репликации сконтроллерами, не прошедшими через восстановление. Так как в ис-тории хранится не более двух паролей, такой сброс позволяет исклю-чить из истории пароли, использовавшиеся в проблемном домене.


Шаг 10 Дважды сбросьте пароль для учетной записи krbtgt. Это дела-ется точно так же, как и для любой учетной записи пользователя.

Шаг 11 Сделайте контроллер домена сервером ГК. Это позволитпользователям авторизоваться в домене. Однако сервер не будет себяобъявлять ГК, пока не будет выполнена синхронизация с другимиразделами Active Director)7. Это возможно только после установки поодному контроллеру в других доменах.

Теперь можно подключить контроллер домена к корпоративной сети.

Внимание Это вторая контрольная точка. Пользователи корнево-го домена (если они есть) могут регистрироваться в домене, однакоэтого не следует пока допускать, разве только в тестовых целях.

Восстановление остальных доменов

Восстановление остальных доменов похоже на процедуру восстанов-ления корневого, но есть и некоторые отличия, их мы и обсудим.

Восстановление дочерних доменов можно выполнять одновременно —главное, не нарушать порядок наследования: для одного родителяодновременно могут восстанавливаться только его непосредственныедочерние домены.

Б каждом восстанавливаемом домене поступаем следующим образом.

Шаг 1 Кандидат на восстановление отключен от корпоративной сети.Он загружается в режиме восстановления Active Directory, и выполня-ется неавторитетное восстаногшение каталога из резервной копии.Каталог SYSVOL помечается как первичный для остальных реплик.

Шаг 2 Проверьте контроллер после перезагрузки. Если структураActive Directory содержит ошибки, воспользуйтесь более ранней ре-зервной копией и повторите восстановление.

Внимание Это третья критическая точка.

Шаг 3 Если компьютер был сервером DNS, на котором содержаласьзона, интегрированная с Active Directory, войдите в оснастку DNS иудалите SRV-записи, относящиеся к восстанавливаемому домену, кро-ме тех. что относятся к службам текущего контроллера. Клиентскаячасть DNS на контроллере должна указывать на сервер DNS в корне-вом домене и на этот контроллер. Если это не так, внесите соответ-ствующее изменение. Проверьте, есть ли в зоне корневого доменаделегирование зоны, соответствующей восстанавливаемому домену.

Если пы использовали зоны DNS интегрированные с Active Directory,но восстанавливаемый сервер не был сервером DNS, то на нем надоустановить и сконфигурировать службу DNS,


Замечание Указанные действия нужны, только если контроллерыдомена были серверами DNS. Если же используется специализирован-ный сервер DNS (не обязательно Windows 2000). то выполните очи-стку зон от указанных записей.

Шаг 4 Если восстановленный контроллер был сервером ГК, сбросьтесоответствующий флажок в оснастке Active Directory Sites and Services.

Шаг 5 Назначьте все роли мастеров операций в домене этому кон-троллеру.

Шаг 6 Удалите из Active Directory метаданные, относящиеся к прочимконтроллерам домена.

Шаг 7 Удалите все объекты, соответствующие остальным контролле-рам в домене.

Шаг 8 Увеличьте значение текущего пула RID на 100000.

Шаг 9 Дважды сбросьте пароль учетной записи компьютера и секретLSA.

Шаг 10 Дважды сбросьте пароль для учетной записи krbtgt. Это дела-ется так же, как и для любой учетной записи пользователя.

Шаг 11 Подключите восстановленный контроллер к корпоративнойсети. Инициируйте его репликацию с контроллером в родительскомдомене. Репликация должна выполниться в обоих направлениях длякаждого контекста имен. Для ее инициации служит команда:

repadmin /sync <контекст имен> <DNS.имя.контроллера.назначения>

<нонер QUID контроллера-источника> /force.

Следовательно, ее нужно дать трижды на дочернем контроллере идважды — на родительском. Такая асимметричность связана с тем, чтоконтроллер в родительском домене является ГК, а в дочернем — нет,

Например, в рассмотренном ранее случае восстановления доменовmycorp.ru и msk.mycorp.nj на контроллере mid2 выполняются команды:

repadmin /sync cn=configuration,dc=mycorp,dc=ru root2.msk.mycorp.ru19c9dbc3-d5d2-47cc-94e3-5135adfc4bcb /forceSync from 19c9dbc3-d5c]2-47cc-94e3-5l35adfc4bcb to root2.insk,mycQrp. rucompleted successfully.repadmin /sync cn=schema,cn=configuration,dc=mycorp,dc=ru root2.msk.mycorp.ru 19c9dbc3-d5d2-47cc-94e3-5135adfc4bcb /forceSync from I9c9dbc3-d5d2-47cc-94e3-5135adfc4bcb to root2.msk.mycorp.rucompleted successfully.repadmin /sync dc=msk,dc=mycorp,dc=ru root2.msk.mycorp.ru19c9dbc3-d5d2-47cc-94e3-5135adfc4bcb /forceSync from 19c9dbc3-d5d2-47cc-94e3-5135adfc4bcb to root2.msk.mycorp.rucompleted successfully.


На контроллере root2 выполняются команды:

repadmin /sync 'Dn=configuration,dc=mycorp,dc=ru mid2.msk.mycorp.rua4818f4f-bd9a-4iJd9-b8f9-f4e26a84eb7a /forceSync from a4818f4f-bd9a-4dd9-b8f9-f4e26a84eb7a to mid2.msk.inycorp.rucompleted successfully.repadmin /sync cn=schema,cn=configuration,dc=mycorp,dc=ru mid2.msk.mycorp.ru a4618f4f-bd9a-4dd9-b8f9-f4e26a64eb7a /forceSync from a4818f"4f-bd9a-4dd9-b8f9-f4e26afl4et>7a to mid2.msk.mycorp.rucompleted successfully.

Выполнять команды надо по очереди: сначала выполняется реплика-ция контекста на контроллере в корневом домене, потом — реплика-ция того же контекста на контроллере в дочернем домене.

После успешного восстановления по одному контроллеру домена вкаждом из доменов можно переходить к установке дополнительныхконтроллеров в домены.

Восстановленный контроллер домена можно сделать сервером ГК.

Внимание Это четвертая критическая точка. В зависимости от кон-кретной конфигурации сети на этом этапе можно говорить об удач-ном восстановлении леса Active Director)'.

Шаг 12 Проверьте содержимое Active Directory. Если вы обнаружите,что некоторых принципиально важных объектов или учетных запи-сей нет, их можно добавить. Это просто сделать, если вы документи-ровали все ваши действия в домене до его краха,

Добавление дополнительных контроллеровУстановку дополнительных контроллеров домена можно продолжитьв рабочее время, когда пользователи выйдут на работу. И все же еелучше выполнить до этого момента, по крайней мере установить поодному дополнительному контроллеру.

К установке контроллеров специальных требований не предъявляет-ся — вы используете программу DCPROMO (см. главу «Установка ActiveDirectory»).

Замечание Если вы хотите задействовать в качестве источникаданных для вновь устанавливаемых контроллеров только тот, что былвосстановлен первым, выберите автоматический режим установки иукажите в качестве параметра ReplicationSourceDC нужное имя (см.раздел «'Автоматическая установка контроллера» главы «УстановкаActive Directory*).

Если контроллеры домена располагаются в других сайтах, то приподключении их к основному сайту создайте соединения, восстано-


вите расписание репликации и стоимость, предоставьте возможностьКСС создать объекты связи.

Заключительные шаги

Последними шагами в восстановлении леса Active Directory должныстать следующие.

• Переустановите приложения, выполнявшиеся ранее на контроле-рах. В то время как на тех контроллерах, что были установленызаново с применением DCPROMO все приложения должны бытьустановлены с нуля, на восстановленных контроллерах они сохра-нились. Если информация этих приложений хранилась в реестре,она там сохранилась и была восстановлена во время неавторитет-ного восстановления из резервной копии. Об этом следует по-мнить при запуске приложений.

+ Выполните резервное копирование всех контроллеров доменов.С этого момента именно эти копии станут для вас «хорошими» ко-пиями, которые будут использоваться для восстановления системы.

ф Модифицируйте конфигурацию DNS, чтобы обеспечить оптималь-ную для сети схему разрешения имен.

• Перераспределите роли мастеров операций между контроллера-ми доменов.

• Проверьте доступ пользователей в сеть. Если какие-то пользователине могут войти, повторно включите их рабочие станции в домен.

• Проверьте функционирование групповых политик. Если групповыеполитики восстановились в «раннем» состоянии, переопределите ихи проверьте их привязку к доменам, сайтам и подразделениям.

• Проверьте возможности доступа пользователей к файловым ипринтерным ресурсам. Если ресурсы располагались на выделенныхсерверах, то невозможность доступа к ним или неправильный виддоступа связан с тем, что не восстановились группы или учетныезаписи, появившиеся в Active Directory после создания резервнойкопии, использованной для восстановления. Если ресурсы распо-лагались на контроллерах домена, установленных с нуля, восста-новите файловые ресурсы из резервной копии и предоставьте всовместное использование; установив соответствующие драйверы,предоставить в совместное использование и принтеры.

На этом восстановление можно считать завершенным. И начинаетсяежедневное сопровождение системы. Если вы не хотите повторенияописанной процедуры, рекомендую на сайте Microsoft найти все, чтоотносится к Microsoft Operations Framework (MOF). Поверьте, это весь-ма полезные указания по ежедневному управлению Active Directory,


ЗаключениеКак бы мне хотелось, чтобы, дойдя до этого места, вы сказали, чтотеперь готовы самостоятельно бороться с любой проблемой в ActiveDirectory!

Возможно, что кто-то так и решит, что вот она, волшебная книга,которая открывает путь к выходу из любой трудной ситуации, Увы,это не так. Здесь я описал только общий подход к решению проблем,а также затронул некоторые конкретные случаи. Увы, в реальностислучается такое, что не приснится и в стрзшном сне. Порой решениеодной проблемы порождает другую, третью и т. д. Да, описанныйподход, позволит в конечном итоге найти решение, но путь можетбыть долог и тернист. Чтобы его сократить, настоятельно рекомен-дую использовать базу знаний Microsoft. Она доступна либо по под-писке на дисках Technet, выходящих ежемесячно, либо на сервереhttp://techner.microsoft.com. Только гут вы отыщете решение своейпроблемы среди нескольких сотен тысяч статей.

Словарь терминов

ААвтономная папка - offline folderПапка на сервере, все документы в которой кэшируются на клиент-ской стороне. При отсутствии связи между клиентом и сервером ра-бота с документами остается возможной в автономном режиме. Привосстановлении связи выполняется синхронизация документов.

Авторизация - authorizationПроцесс проверки полномочий доступа к ресурсу системы.

Авторитетное восстановление - authoritative restoreВ Active Directory такое восстановление данных из резервной копии,при котором они имеют преимущество перед данными, хранимымив Active Directory.

Агент восстановления - recovery agentЛицо, уполномоченное выполнять восстановление зашифрованныхфайлов. Должно обладать соответствующим сертификатом. По умол-чанию это администратор системы. Рекомендуется переопределятьс помощью групповой политики.

Администратор - administratorЛицо, ответственное за управление учетными записями пользовате-лей локального компьютера или домена, конфигурирование систем-ных служб, управление политикой безопасности и групповой поли-тикой. Входит в группу Administrators и обладает всеми полномочия-ми в рамках домена или локального компьютера.

482 Название книги

Администратор предприятия - enterprise administrator

Лицо, ответственное за исполнение административных задач н пре-делах леса доменов. Входит в группу Enterprise Admins, расположен-ную в корневсш домене леса.

Администратор схемы - schema administratorЛицо, ответственное за модификацию схемы Active Directory. Входитв группу Schema Admins, расположенную в корневая домене леса.

Атомарная транзакция - atomic transactionЪ Active Directory транзакция, выполняемая как единое целое. Если одиниз компонентов транзакции не выполнен, происходит откат всейтранзакции, т. е. возврат к состоянию, предшествовавшему началутранзакции.

Атрибут объекта - object attributeХарактеристика объекта в Active Directory. Иногда называется свой-ством объекта. Атрибуты имеют одно или несколько значений и бы-вают нескольких типов.

Атрибут файла - file attributeФлаг, устанавливающий определенное свойство файла. В Windows2000 существуют следующие атрибуты файлов: R (файл доступен толь-ко для чтения), Н (скрытый файл), S (системный файл). А (архивныйфайл), С (сжатый файл), Е (зашифрованный файл). Атрибуты приме-нимы и к каталогам файлов.

Аудит - auditОтслеживание работы отдельных компонентов системы и регистра-ция результатов в журнале событий.

Аудит доступа к: службе каталогов - Active directory service access auditРегистрация удачных и неудачных попыток доступа к службе катало-гов Active Directory.

Аудит каталогов - folder auditОтслеживание использования одного или нескольких каталоговфайловой системы. Отслеживаются попытки удачного и неудачногодоступа.Аудит печати - print audit

Функция, позволяющая отслеживать доступ к указанным принтерам.

Аудит приложений - application auditРегистрация событий, связанных с процессами ввода, обработки ивывода внутри приложений.

Аудит реестра - registry auditОтслеживание событий, связанных с попытками открыть ветвь реес-тра или извлечь из нее данные.


Аудит событий регистрации учетных записей - account logon events auditРегистрация удачных и неудачных попыток регистрации учетной.записи в системе.

Аутентификация - authenticationПроверка регистрационной информации о пользователе. Если пользо-ватель регистрируется к Windows 2000 Professional или на отдельностоящем сервере, аутентификация выполняется на этом компьютере.Если пользователь регистрируется в домене, аутентификация выпол-няется на контроллере домена с применением данных, хранящихся вкаталоге Active Directory.

Аутентификация Kerberos - Kerberos authentication

Аутентификация по протоколу Kerberos. В основе метода лежит ис-пользование инфраструктуры открытых ключей. Для проверки до-стула применяются билеты. Аутентификация выполняется в несколь-ко этапов. 1. Начальная аутентификация. 2, Получение сеансовогобилета. 3. Имперсонация. В трехъярусных системах клиент — сервердополнительно выполняется делегирование аутентификации.

Аутентификация NTLM - NTLM authentication

Механизм аутентификации в Windows NT. Имеются две версии этогомеханизма. Вторая обеспечивает повышенный уровень криптозащи-ты. Обе версии поддерживваются в Windows 2000 для обеспечениясовместимости с Windows NT.

ББаза данных SAM - SAM database

База данных информации безопасности, содержащая имена учетныхзаписей пользователей и пароли, а также параметры политики безо-пасности в Windows NT. В Windows 2000 используется либо на отдель-но стоящих серверах, либо на контроллерах домена для защиты дос-тупа в режиме восстановления Active Directory.

Безопасный режим - safe modeРежим загрузки Windows 2000, при котором загружается только ми-нимально необходимое число проверенных драйверов устройств,Применяется для восстановления системы после установки некоррек-тно работающего драйвера устройств.

Билет - ticketОбъект Kerberos. содержащий данные об участнике системы безопас-ности и служащий для его аутентификации. В Windows 2000 два видабилетов: TGT (билет на право получения билетов) и билет для досту-па к службе.

Блокирование политики - policy blocking

Определяя групповую политику'для подразделения, можно установитьзапрет на применение всех правил, наследуемых от вышестоящих


контейнеров. Запрет не распространяется на те правила, для которыхустановлен запрет блокировки.

Блокировка учетной записи - account lockout

Функция, позволяющая блокировать определенную учетную записьна заданный срок при превышении указанного количества неудачныхпопыток регистрации в системе.

ВВетвь - branchЧасть дерева службы каталогов, исходящая шузпа дерева и содер-жащая все дочерние объекты узлового контейнера.

Взаимная аутентификация - mutual authenticationПроцесс аутентификации, характерный для аутентификации КегЬе-ros. При этом не только сервер проверяет подлинность клиента, но иклиент проверяет подлинность сервера.

Видимость объекта - object visibility

Свойство объекта в каталоге Active Directory1 быть видимым для пользо-вателей. Объекты, размещенные в контейнерах, к которым пользова-тели не имеют доступа, считаются невидимыми.

Владелец - ownerВладелец объекта имеет над ним полный контроль и может изменятьправа доступа к нему. По умолчанию а^дельцем объекта являетсясоздавший его пользователь. Владельцем ресурса является лицо, ис-пользующее ресурс в данный момент.

Время жизни билета - ticket lifetimeВремя, в течение которого сеансовый билет считается действитель-ным и может применяться для доступа к серверу. Время жизни биле-та определяется доменной политикой и обычно равно 8 часам. По ис-течении времени жизни билета поставщик функций безопасностиKerberos возвращает соответствующую ошибку, что позволяет клиен-ту и серверу обновить билет.

Встроенные группы - built-in groupsГруппы, входящие в Windows 2000 по умолчанию. Встроенные груп-пы обладают набором привилегий и прав.

Вторичная зонд DNS - DNS secondary zoneЗона DNS. являющаяся копией первичной зоны. Не позволяет вноситьизменения в записи.

ГГлобальная группа - global groupГлобальные группы могут включать в себя учетные записи из своегодомена и могут быть включены в локальные группы других доменов.Используются для предоставления прав доступа и делегирования ад-


министративных полномочий. Информация о членстве в глобальныхгруппах не тиражируется в глобальный каталог.

Глобальный каталог - Global CatalogХранит реплики всех объектов Active Directory, но с сокращеннымчислом атрибутов. К хранимым относятся атрибуты, используемыенаиболее часто при выполнении операций поиска (например, имяпользователя, имя входа в систему и т. д.) и достаточные для обнару-жения полной реплики объекта. ГК позволяет быстро находить объек-ты, не требуя указания того, в каком домене хранится объект, а такжеиспользования смежного расширенного пространства имен на пред-приятии.

Глобальный уникальный идентификатор - Globally Unique ID (GUID)Уникальное 128-разрядное число, характеризующее любой объект вActive Directory.

Горизонтальное доверие - horizontal trustДоверительные отношения, установленные между двумя доменами вразных деревьях в одном лесу. Используются для сокращения путидоверия.

Гостевая учетная запись - guest accountУчетная запись, применяемая для регистрации в домене при отсут-ствии в нем или в доверяемых доменах личной учетной записи. Поумолчанию использовать учетную запись запрещено.

Группа - group

Объект службы каталогов Active Directory, включающий в себя учет-ные записи, называемые членами группы. Права и привилегии груп-пы предоставляются и ее членам, что удобно для определения общихсвойств ряда учетных записей пользователей. Группы могут находить-ся как в домене, так и в организационных подразделениях домена.Группы делятся на почтовые и группы безопасности.

Групповая политика - group policyНабор правил, определяющих параметры системы: безопасность, ра-боту приложений и служб, установку ПО и т. п. Групповая политикаприменяется к объектам Active Directory в следующем порядке: сайт,домен, подразделение. Объект, стоящий последним, имеет приоритетгрупповой политики.

Группы безопасности - security groupsГруппы, используемые для разграничения доступа к ресурсам и деле-гирования административных полномочий. Бывают локальными, гло-бальными и универсальными. В противоположность им существуютпочтовые группы.

Название книги

дДвунаправленные доверительные отношения - two-way trust relationshipsВид доверительных отношений между доменами, при котором каж-дый из двух, доменов доверяет друг другу.

Делегирование зон - zone delegationМеханизм передачи управления зоной DNS с одного сервера на дру-гой. Сервер, отвечающий за зон)', называется авторитетным для нее.Делегирование используется для эффективного разрешения имен.

Делегирование полномочий - delegationВозможность предоставления отдельных административных полно-мочий пользователям или группам в домене. Применяется для распре-деления административных обязанностей и позволяет избавиться отвсесильных администраторов. Полезно наделить администраторовфилиалов частичными полномочиями, не противоречащими полно-мочиям центральной службы информационных технологий.

Демилитаризованная зона - DMZ

Часть корпоративной сети, отделенная от корпоративной сети и отИнтернета межсетевыми экранами так, что доступ в нее возможен, асквозной проход — нет. Позволяет предоставлять доступ к ресурсамкак из корпоративной сети, так и из Интернета. Предназначена дляразмещения общедоступных ресурсов.

Дерево - treeИерархическая структура, состоящая из объектов. Объекты на концахдерева называются листьями. В листьях не содержится других объек-тов. Узловые точки дерева (места, из которых выходят ветви) являют-ся контейнерами. Внешний вид дерева показывает взаимосвязи меж-ду объектами.

Дерево доменов - domain treeДерево доменов состоит из нескольких доменов, использующих однуи ту же схему и конфигурацию и образующих единое пространствоимен. Домены в дереве связаны между собой доверительными отно-шениями. Служба каталогов Active Director}' состоит из одного илинескольких доменных деревьев.

Дескриптор безопасности - security descriptorАтрибуты безопасности для объекта: идентификатор владельца (SLD),идентификатор группы, список контроля доступа (ACL) и системныйсписок контроля доступа.

Динамически подключаемая библиотека - dynamically loaded library (DLL)Процедура API, доступ к которой из приложений осуществляется пу-тем вызова обычных процедур. Код этой процедуры не входит в ис-

Словарь терминов _^_____ 487

полняемый образ приложения. ОС автоматически изменяет исполня-емый образ в процессе работы так. чтобы он указывал на DLL

Дистрибутивный диск - distribution disk

Диск, на котором записаны файлы и каталоги, необходимые для уста-новки Windows 2000. При создании собственных дистрибутивныхдисков рекомендуется использовать программу Setup Manager.

Доверительные отношения - trusted relationshipsРазновидность связи между доменами, предусматривающая выполне-ние аутентификации, когда пользователь имеет учетную записьтолько в одном домене, но может обращаться ко всей сети. Доверяю-щий домен предоставляет право аутентификации доверяемому доме-ну. Доверительные отношения бывают транзитивными и нетранзи-тивными.

Доверяющий домен - trustee domainДомен, предостаапяющий доступ к своим ресурсам пользователямдругих, доверяемых даменов.

Доверяемый домен - trusted domainДомен, пользователи которого могут осуществлять доступ к ресурсамдругих, доверяющих доменов.

Домашний каталог - home directoryКаталог на диске, доступный пользователю и содержащий файлы ипрограммы этого пользователя. Домашний каталог можно назначитьлибо отдельному пользователю, либо нескольким сразу.

Домен - domainОрганизационная единица безопасности в сети. Active Director)' со-стоит из одного или нескольких доменов. Домен может охватыватьнесколько физических сайтов. В каждом домене своя политика бе-зопасности и отношения с другими доменами. Домены, объединен-ные общей схемой, конфигурацией и глобальным каталогом, обра-зуют дерево доменов. Несколько доменных деревьев можно объеди-нить в лес.

Дочерний домен - child domainДомен, стоящий в иерархии дерева доменок ниже, чем родительский.Дочерний домен связан с родительским двусторонними транзитив-ными доверительными отношениями.

Драйвер устройства - device driverПрограмма, позволяющая определенному устройству взаимодейство-вать с Windows 2000. Хотя устройство физически может быть установ-лено в компьютер, Windows 2000 не использует его, пока не будетустановлен необходимый драйвер.

488 Назеаниэ книги

ЕЕстественный режим работы домена - native modeРежим работы домена Windows 2000, в котором в домене не могутсуществовать машины, не поддерживающие работу с Active Directory.В этом режиме в домене могут существовать универсальные группы.Альтернативой является смешанный режим работы.

ЖЖурнал событий - event logФайл, содержащий информацию о событиях аудита, таких как по-пытки регистрации, попытки использования ресурсов и т. п.

Журнал безопасности - security logФайл, содержащий ошибки, предупреждения и информацию, порож-денные системой безопасности при включенном аудите безопасно-сти Windows 2000

Журнал изменений NTFS - change journalФункция NTFS, позволяющая отслеживать все изменения файлов втоме. Используется механизмом репликации FRS для определенияизменен ых файлов.

Журнал приложений - application log

Файл, содержащий ошибки, предупреждения и информацию, порож-денные прикладными программами, исполняемыми в Windows 2000.

Журнал системы - system log

Файл, содержащий ошибки, предупреждения и информацию, порож-денные системой Windows 2000.

Журнал Active Directory - Active Directory logФайл, содержащий записи, связанные с регистрацией работы службыкаталогов.

3Загрузочный раздел - boot partition

Раздел диска, отформатированный в NTFS, FAT или FAT32 и содержа-щий файлы ОС Windows 2000 и файлы поддержки. Загрузочный раз-дел может совпадать с системным разделом.

Запись DNS - DNS recordРесурсная запись в базе сервера DNS.

Запись DNS типа А - A recordЗапись в базе сервера DNS, ставящая в соответствие имя хоста и егоадрес IP.

Запись DNS типа CNAME - CNAME record

Запись в базе DNS, используемая для идентификации хоста по разнымименам. В Active Directory служит для обнаружения и регистрациипартнеров по репликации.


Запись DNS типа SRV - SRV record

Ресурсная запись DNS, используемая для регистрации и обнаруженияинформации о хорошо известных службах. В Windows 2000 служитдля поиска информации о контроллерах доменов.

Запрет наследования - inheritance blockingМеханизм, позволяющий дочерним объектам не наследовать все иличасть свойств родительского объекта.

Зона - zoneЧасть пространства имен DNS, администрируемая как самостоятель-ная сущность. Зона имеет имя и содержит ресурсные записи DNS. Имядомена Active Directory совпадает с одной из зон DNS.

Зона интегрированная с Active Directory - Active Directory integrated zoneВ отличие от стандартной зоны DNS, хранящей информацию в тек-стовом файле, зона интегрированная с Active Directory хранит инфор-мацию в базе AD. Использует механизмы тиражирования Active Direc-tory для передачи информации между серверами DNS. Позволяет вно-сить динамические изменения в защищенном режиме.

ИИдентификатор безопасности - security identifier (SID)Уникальный номер, идентифицирующий пользователя или группу вдомене Windows NT/2000.

Имя ~ nameИмена служат для идентификации объектов в Active Directory. Суще-ствует несколько видов имен: полное имя, отображаемое имя, общееимя, отличительное имя и прочие.

Имя компьютера - computer nameИмя компьютера однозначно определяет конкретный компьютер всети. Не может быть двух компьютеров с одинаковыми именами. Ком-пьютеры с Windows 2000 имеют два типа имен: NetBIOS и полное.NetBIOS-имя служит для совместимости с существующими система-ми. Полное имя является полностью квалифицированным и состоитиз имени компьютера и имени домена. NetBIOS-имя компьютера неможет совпадать с именем любого пользователя в домене.

Имя учетной записи пользователя - user account nameВ домене однозначно характеризует пользователя при регистрации.Иногда его называют именем регистрации. В зависимости от типасистемы, в которой выполняется регистрация, применяется один издвух видов имен: имя_домена\имя_пользователя или имя_пользова-теля@полное.имя.домена.

Имитатор PDC - PDC simulatorМастер операций, выполняющий роль главного контроллера домена.В смешанном режиме работы домена играет роль PDC для всех ре-


зервных контроллеров домена Windows NT. В естественном режимеработы хранит сведения обо всех изменениях в домене до заверше-ния тиражирования.

Интерактивная регистрация - interactive logon

Пользователь должен ввести учетную информацию с клавиатуры тогокомпьютера, на котором регистрируется. Исключение составляет ре-гистрация в терминальном режиме, которая также является интерак-тивной для терминал-сервера. Противоположна удаленной регист-рации.

Интерфейс NetBIOS - NetBIOS interface

Интерфейс программирования, позволяющий посылать и приниматьзапросы ввода/вывода удаленного компьютера. Скрывает техническуючасть сети от программ.

Интернет - InternetГлобальная сеть компьютеров, взаимодействующих посредством на-бора общих протоколов, таких как HTTP и TCP/IP.

Интрасеть - intranetТермин относится к любой сети TCP/IP, не связанной с Интернет, ноиспользующей коммуникационные стандарты и средства Интернетадля предоставления данных пользователям частной сети.

Инфраструктура открытых ключей - public key infrastructureТермин, используемый для описания законов, стандартов, правил и ПОдля регуляции или управления открытыми и личными ключами. Напрактике представляет собой набор сертификатов и центров сер-тификации, удостоверяющих подлинность участников защищенно-го обмена информацией.

ККаталог - catalog

Хранилище чего-либо нужного или интересного. Отличительной осо-бенностью каталогов является возможность систематизации храни-мой в них информации, быстрого поиска данных, возможности до-бавления и расширения его возможностей. Служба каталогов хранитсведения об объектах системы и позволяет манипулировать ими.

Квотирование дискового пространства - disk quoting

Ограничение дискового пространства, выделенного пользователю.Квотирование выполняется относительно каждого пользователя икаждого дискового тома

Клиент - client

Компьютер, осуществляющий доступ к ресурсам другого компьютера(называемого сервером}, предоставленным в совместное использование.

Словарь терминов ______ 491

Клиентский сертификат - client certificateТермин относится к использованию сертификатов для аутентифика-ции клиентов. Так, Web-браузер можно рассматривать в качестве кли-ента сервера Web. Пытаясь осуществить защищенный доступ к серве-ру Web, Web-браузер должен послать клиентский сертификат дляподтверждения подлинности клиента.

Ключ - keyВ инфраструктуре открытых ключей это некоторая величина, ис-пользуемая для шифрования и дешифрации. Ключи бывают откры-тыми или личными.

Ключ восстановления - recovery keyКлюч, который наряду с личным ключом пользователя, применяетсядля шифрования ключа, которым зашифрован файл. Этот ключ при-надлежит агенту восстанов.1ения и применяется в экстремальныхситуациях.

Командный файл - batch fileНеформатированный текстовый файл, содержащий одну или несколь-ко команд Windows 2000. Командный файл имеет расширение .CMDили .ВАТ Его команды выполняются последовательно.

Консоль восстановления - recovery consoleРежим загрузки Windows 2000, в котором доступна лишь текстоваяконсоль с ограниченными правами доступа к ресурсам ОС. Позволя-ет восстановить ОС в случае невозможности ее нормальной загрузки.

Консоль управления ММС - Microsoft Management ConsoleПрограмма, являющаяся контейнером для загрузки оснасток. Позво-ляет путем комбинации оснасток создавать специализированные ин-струменты, решающие определенные административные задачи всистеме. Может использоваться для управления как локальным, так иудаленным компьютером.

Контейнер - containerОбъект, который может содержать в себе другие объекты. Например,папка — контейнер для документов, а шкаф — контейнер для палок.Контейнер каталога является контейнером объектов каталога.

Контейнер групповой политики - group policy containerКонтейнер Active Directory, в котором хранятся объекты групповойполитики.

Контроллер домена - domain controllerВ Windows 2000 — сервер, на котором находится служба каталоговActive Directory. В предыдущих версиях Windows NT — сервер, на ко-тором хранится база учетных записей SAM и который выполняет авто-ризацию доступа.


Конфигурация - configuration

Специальный контейнер Active Director}', в котором хранится конфи-гурация леса доменов,

Корень DPS - DPS rootНачальная точка доступа к пространству имен DFS, Для доменной DFSможет быть отказоустойчивым, т. е. состоять из нескольких реплик

Корневое доверие - root trustВид поперечного доверия, используемый для связи всех корневыхдоменов в лесу; является двунаправленным и транзитивным.

Корневой домен - root domainСамый первый домен в иерархии. Различают корневой домен дерева,являющийся первым доменов в дереве, и корневой домен леса — са-мый первый домен в лесу. В корневом домене леса находятся такиегруппы, как Enterprise Admins и Schema Admins.

Кэширование диска - disk caching

Метод повышения производительности файловой системы. Вместотого чтобы постоянно обращаться к диску для выполнения операцийчтения и записи, файлы хранятся в кэше в памяти. Все операции чте-ния/записи выполняются со скоростью обращения к памяти, что го-раздо быстрее, чем обращение к диску.

ЛЛес - forest

Набор несмежных деревьев, которые не образуют единое простран-ство имен. В то же время деревья используют одну и ту же схему, кон-фигурацию и Глобальный каталог. Деревья в лесу связаны между со-бой доверительными отношениями Kerberos. Для обращения к лесуиспользуется имя самого первого домена,

Личный ключ - private key

Служит для шифрования и дешифрации данных, хранится в секретеи известен только одному человеку. Для хранения личного ключа ис-пользуются сертификаты или смарт-карты.

Логический диск - logical drive

Подраздел расширенного раздела жесткого диска.

Локальная группа - local group

Может содержать учетные записи своего домена, а также учетныезаписи и глобальные группы из других доменов. Служит для предо-ставления доступа к ресурсам своего домена. Информация о член-стве в локальных группах не тиражируется в Глобальный каталог.

Словарьтврминое 493

мМаксимальный срок жизни пароля - maximum password lifetimeПериод, в течение которого можно использовать пароль, прежде чемсистема потребует его изменить.

Мастер домен - master domainДомен, хранящий учетные записи всех пользователей в доменнойструктуре Windows NT.

Мастер операций - operations masterКонтроллер домена, исполняющий одну из функций, выполняемуютолько одним контроллером. В домене три мастера операций, а влесу — два. Функция мастера операций может быть передана лю-бому контроллеру.

Мастер доменных имен - domain naming masterМастер операций, ответственный за добавление новых доменов в лесили их удаление. Обеспечивает уникальность имен.

Мастер инфраструктуры - infrastructure masterМастер операций, ответственный за уникальность объектов и за под-держание связей между ними. В каждом домене один мастер инфра-структуры.

Мастер схемы - schema masterМастер операций, ответственный за внесение изменений в схемуActive Directory. Эту роль выполняет единственный контроллер в лесу.

Мастер RID - RID masterМастер операции, в рамках домена выделяющий пулы RID другимконтроллерам.

Минимальный срок жизни пароля - minimum password lifetimeПериод, в течение которого будет использоваться установленныйпароль, прежде чем его можно будет изменить.

Н

Наследование - inheritanceМеханизм, позволяющий дочерним объектам наследовать все свой-ства родительского объекта.

Набор реплик - replica setСовокупность компьютеров, между которыми выполняется реплика-ция раздела Active Directory1 или содержимого каталога файлов.

Назначение приложений - application assignmentПроцесс, используемой Windows Installer для принудительной установ-ки приложений пользователям или группам пользователей.


Неавторитетноо восстановление - поп-authoritative restore

В Active Directory процесс восстановления данных из резервной ко-пии, при котором данные, хранящиеся в Active Directory и изменен-ные после выполнения резервной копии, замещают восстановленныеданные в процессе репликации.

Неактивная учетная запись пользователя ~ disabled accountУчетная запись пользователя, которому запрещено регистрировать-ся; появляется в списке учетных записей и может быть активизирова-на в любое время.

Нетранзитивные доверительные отношения - non-transitive trustrelationshipsДоверительные отношения, при которых доверие устанавливаетсятолько между двумя доменами. Если один из них доверяет третьему,то второй не будет доверять третьему домену. Нетранзитивные дове-рительные отношения устанавливаются либо с доменами Windows NT,либо между доменами в разных лесах.

ООбъект - objectОтдельный набор атрибутов, соответствующих чему-либо конкретно-му, например, пользователю, компьютеру или приложению. В атри-бутах содержатся данные о субъекте, представленном данным объек-том. Так, атрибуты пользователя могут включать его имя, фамилию,домашний адрес, адрес атектронной почты, семейное положение и т. п.

Объект связи - connection objectОбъект, создаваемый между двумя контроллерами доменов для реп-ликации от одного к другому. Всегда направлен только в одну сторо-•ну. Направление объекта соответствует направлению репликации.

Общее имя - common nameОбязательный атрибут любого объекта Active Directory. Служит дляидентификации объекта.

Организационное подразделение - organizational unit

Контейнерный объект внутри домена. Может содержать в себе дру-гие объекты, объединенные в древовидную структуру. Внутри могутбыть как контейнеры, так и листья. Используется для отслеживанияорганизационной структуры предприятия.

Оснастка - snap-inПрограммный компонент, являющийся минимальной единицей рас-ширения консоли ММС. Одна оснастка соответствует единице возмож-ностей управления. Технически оснастки являются In-proc-серверамиOLE.


Отказоустойчивость - reliabilityСпособность компьютера и ОС адекватно реагировать на катастро-фические события (например, пропадание напряжения или отказ тех-ники). Обычно под отказоустойчивостью понимается способностьсистемы продолжать функционировать без потери данных или закры-тие системы с перезапуском и последующим восстановлением всехпроцессов, имевших место до момента аварии.

Открытый ключ - public keyКлюч, используемый для шифрования данных и не являющийся сек-ретом. Данные, зашифрованные открытым ключом пользователя,можно расшифровать только его личным ключам.

Отличительное имя - distinguished name (DM)Содержит имя домена, в котором находится объект, а также полныйпуть к этому объект}' в иерархии контейнера

ППакет - package

Специальным образом подготовленный набор файлов, необходимыхдля установки приложения службой Windows Installer. Содержит све-дения о типе установки и необходимые параметры.

Пароль - passwordУникальная строка символов, которую нужно ввести для аутентифи-кации доступа при регистрации. Является средством защиты для огра-ничения входа в систему и доступа к компьютерным системам и ре-сурсам,

Партнер по репликации - replication partnerПри репликации службы каталогов — контроллер домена, оповеща-емый об изменениях на другом контроллере и запрашивающий у негоэти изменения. Один контроллер может иметь несколько партнеровпо репликации. При репликации F.RS — сервер, получающий уведом-ления от другого об измененых файлах в реплике. При репликацииDFS партнерами по репликации являются все компьютеры, входящиев набор реплик.

Первичная зона DN5 - ONS primary zone

Зона DNS, авторитетная для остальных зон. Позволяет вносить изме-нения в записи. Тиражирует информацию во вторичные зоны.

Переадресация запросов - forwardingВ DNS процесс перенаправления запросов неразрешенных на данномсервере другим серверам DNS.

17-2005


Перенаправление папок - folder redirectionПравило групповой политики, позволяющее перенаправлять обраще-ния к некоторым системным каталогам на сетевые файловые ресурсы.

Полная реплика - full replicaВ Active Directory — набор объектов пространства имен, содержащихвсе атрибуты. На каждом контроллере домена хранятся полные реп-лики схемы, конфигурации и того домена, которому принадлежитконтроллер.

Поставщик функций безопасности (ПФБ) - Security providerЧасть ПО, выполняющая функции безопасности. Взаимодействие сПФБ выполняется через стандартные интерфейсы (например, Crypto-API), что позволяет сделать систему независимой от типа ПФБ.

Право доступа - access rightРазрешение процессу определенным образом воздействовать на опре-деленный объект. Разные типы объектов поддерживают разные пра-ва доступа, хранящиеся в списках контроля доступа.

Предоставление файлов в совместное использование - file sharingСпособность Windows 2000 использовать часть (или всю) своей ло-кальной файловой системы совместно с другим компьютерами.

Привилегия - privilegeПозволяет пользователю выполнять определенные действия в систе-ме. Привилегии предоставляются к системе в целом в отличие от правдоступа, применимых к определенным объектам.

Проверка доступа - access verificationПроверка информации об учетной записи пользователя для опреде-ления возможности предоставления субъекту права выполнения за-прашиваемой операции.

Программа-мастер - wizardСпециальная программа, предназначенная для облегчения выполне-ния рутинных операций. Использует пошаговый подход к выполне-нию последовательности действий. Не позволяет пропустить ввод илиопределение важных параметров.

Пространство имен - namespaceУпорядоченный список всех узлов, доступных для данного инструмен-та, отформатированный в виде дерева. Изображение пространстваимен аналогично изображению структуры файлов и каталогов нажестком диске.

Протокол - protocolНабор правил и соглашений, используемых двумя компьютерами дляпередачи сообщений по сети. В сетевом ПО обычно несколько уров-ней протоколов, расположенных один над другим.


Публикация приложений - application publishing

Процесс, применяемый Windows Installer для предложения пользова-телям программ, доступных для установки. Пользователи могут отка-заться от установки опубликованных приложений.

Пул адресов - address poolДиапазон адресов IP, используемый сервером DHCP для назначениярегистрирующимся клиентам.

Пул RID - RID pool

Диапазон относительных идентификаторов (RID), выделяемых мас-тером RID другим контроллерам в домене для генерации уникальныхидентификаторов безопасности (SID).

Путь доверия - trust pathПуть, который проходится при аутентификации в домене учетнойзаписи из другого домена в том же лесу.

Р

Рабочая поверхность - desktop

Фоновая поверхность экрана, над которой располагаются окна, знач-ки и диалоговые окна. На рабочей поверхности располагаются такиезначки, как My Computer, My Network Places, Recycle bin.

Рабочая станция - workstationКомпьютеры, на которых исполняется Windows 2000 Professional, на-зываются рабочими станциями в отличие от серверов, на которыхвыполняется Windows 2000 Sender.

Рабочий стол - desktopСм. рабочая поверхность.

Распорядитель локальной безопасности - Local Security Authority (ISA)Создает маркер безопасного доступа для каждого пользователя, обра-щающегося к системе.

Распределенная файловая система - distributed file system (DFS)Сетевое расширение, позволяющее представлять совместно исполь-зуемые ресурсы сети в виде единого дерева с общим корнем. Доступк ресурсам выполняется без уточнения того, какому конкретному сер-веру в сети они принадлежат. Обладает возможностью балансировкинагрузки и предоставления альтернативных ресурсов в случае сбоев.

Редактор Реестра - Registry EditorСистемное приложение Windows 2000, позволяющее просматриватьи редактировать записи в реестре. Имеются две версии редактора:regedit и regedt32.

Редиректор - redirectorСетевая программа, принимающая запросы ввода/вывода для удален-ных файлов, именованных каналов или почтовых слотов и передаю-


щзя их сетевым службам на другом компьютере. В Windows 2000 ре-директоры выполнены как драйверы файловой системы.

Реестр - registryАрхив баз данных Windows 2000 для хранения информации о кон-фигурации компьютера, включая аппаратные средства, установленноеПО, параметры окружения и др.

Режим восстановления Active Directory - Active Directory repair modeТакой режим загрузки контроллера домена, при котором Active Direc-tory переводится в автономный режим и перестает взаимодействоватьс остальными контроллерами и отвечать на запросы LDAP. Позволяетвыполнять восстановление целостности базы, перемещение файлови другие ремонтные операции.

Резервное копирование - backupСохранение данных на магнитной ленте, в файле или ином носителес целью восстановления в случае искажения или потери данных. Вос-становление бывает авторитетным и неавторитетным.

Реплика - replicaСоставляющая часть набора реплик. Все реплики в наборе имеютидентичный набор данных. Идентичность обеспечивается механиз-мом репликации.

Репликация - replicationПроцесс копирования данных с одного компьютера, называемогорепликой, на остальные, называемые партнерами по репликации исоставляющие набор реплик с целью поддержания идентичностихранимой информации.

Репликация службы каталогов - directory services replication

Процесс копирования модификаций, внесенных в Active Directory наодном контроллере домена, на партнеры по репликации. Различаютрепликацию внутри сайта и между сайтами.

Репликация FRS - FRS replication

Процесс копирования измененных файлов с одной реплики на дру-гие в пределах набора реплик с помощью службы NTFRS. Позволяетсинхронизировать каталоги SYSVOL на разных контроллерах доме-на, а также отказоустойчивые тома DFS.

Ресурс - resourceЛюбая часть компьютерной системы или сети (например, диск, прин-тер, память), которая может быть предоставлена программе или про-цессу во время работы.

Родительский домен - parent domain

Домен, являющийся вышестоящим в дереве доменов по отношению крассматриваемому.


Родительский класс - parent class

Класс объекта в каталоге, выступающий старшим по отношению крассматриваемому. Классы, образованные от родительского, наследу-ют от него все обязательные и вспомогательные атрибуты.

СI

Сайт ~ site

Место в сети, все части которой связаны быстрыми соединениями.Сайт обеспечивает надежность связи всех серверов и быстрый поискнеобходимой информации.

Свободное пространство - free space

Неиспользуемая и неформатированная часть жесткого диска, котораяможет быть разбита на разделы или подразделы. Свободное простран-ство внутри расширенного раздела доступно для создания логическихдисков. Пространство, не используемое расширенным разделом, до-ступно для создания раздела. Максимальное число разделов — 4-

Сеансовый билет - session ticket

Билет, выдаваемый клиенте Центрам распределения ключей для до-ступа к серверу в течение одного сеанса работы. Сеансовый билетхранится в кэше билетов и может быть использован неоднократно втечейис времени жизни билета.

Сервер - serverВ Windows 2000 Professional — компьютер, предоставляющий своиресурсы для совместного использования в сети. См. также клиент.В Windows 2000 Sewer — компьютер, содержащий копию базы дан-ных защиты домена и идентифицирующий регистрацию по сети. См.также контроллер даыена.

Сервер-форпост - bridgehead server

Контроллер домена в сайте, через который выполняется репликацияс другими сайтами. Сервер-форпост выбирается КСС из числа доступ-ных контроллеров домена. Форпост, назначенный администратором,называется выделенным форпостом.

Серверный сертификат - server certificateТермин относится к использованию сертификата для аутентификациисервера. Например, сервер Web может послать свой серверный сер-тификат браузеру, чтобы последний удостоверился в подлинностисервера.

Сетевой интерфейс - network interfaceСетевая плата, устройство удаленного доступа, виртуальный каналРРТР и др. Устройство, через которое компьютер подключен к сети.В одном компьютере может быть несколько сетевых интерфейсов, скаждым из которых могут быть связаны различные протоколы.


Сетевой каталог ~ network directoryСм. совместно используемый ресурс.

Системный раздел - system partitionТом, содержащий файлы, зависящие от типа техники, необходимыедля загрузки Windows 2000.

Скрипт - scriptСм. сценарий.

Служба - serviceПроцесс, выполняющий определенные функции системы и частопредоставляющий API для вызова других процессов. Службы Windows2000 поддерживают RPC, что подразумевает возможность вызова про-цедур API с удаленных компьютеров.

Служба каталогов Active Directory

Служба, интегрированная с Windows 2000 Server и обеспечивающаяиерархический вид сети, наращиваемость и расширяемость, а такжефункции распределенной безопасности. Содержит информацию обовсех объектах системы и их свойствах, а также о взаимосвязях междуобъектами.

Смешанный режим работы - mixed mode

Режим работы домена Windows 2000, допускающий наличие в доме-не контроллеров домена старых версий. В этом режиме не существу-ет универсальных групп и запрещено вложение групп.

Событие - eventЛюбое значительное происшествие в системе или в приложении, окотором надо оповестить пользователя или занести запись в журнал.

Совместно используемый ресурс - shared resourceРесурс (каталог, принтер, страница книги обмена и т. п.), доступныйпользователям сети.

Сокращение пути доверия - shortcut trust

Использование горизонтальных доверительных отношений дляуменьшения длины пути доверия.

Список контроля доступа - Access Control List (ACL)

Часть дескриптора безопасности, перечисляющая защитные функции,примененные к объекту. &ъаделец объекта может изменять списокконтроля доступа к объекту для предоставления или запрещения до-ступа к объекту другим. Список контроля доступа состоит из строкконтроля доступа.

Строка контроля доступа - access control entry (АСЕ)Элемент в списке контроля доступа (ACL). Строка содержит иденти-фикатор безопасности пользователя (SJD) и набор прав доступа.


Процесс с совпадающим идентификатором имеет либо разрешающиеправа, либо запрещающие, либо разрешающие права с аудитом. См,список контроля доступа.

Сфера влияния службы каталогов - directory services scopeМожет включать любые объекты (пользователи, файлы, принтеры ит. д.), серверы в сети, домены и даже глобальные сети.

Схема - schemaНабор экземпляров классов объектов, хранящихся в каталоге. Прило-жения могут динамически изменять схему, добавляя в нее новые ат-рибуты и классы. Модификация схемы сопровождается созданием илимодификацией объектов, хранящихся и каталоге. Все внесенные из-менения моментально становятся доступны для других приложений.Доступ к любому объекту схемы (впрочем, как и к любому объекту вActive Directory) защищен списками контроля доступа, что гарантиру-ет внесение изменений только лицами, уполномоченными делать это.

Сценарий - scriptПоследовательность команд, написанных на некотором языке сцена-риев. Для исполнения сценариев применяется хост или процессор.Сценарии служат для определения среды пользователя при его реги-страции, для выполнения функций на серверах Web по запросу кли-ентов, для автоматизации административных задач и т. п.Сценарий загрузки - startup scriptОбычно командный файл. Исполняется на этапе загрузки ОС, Исполь-зуется для запуска приложений или служб исполняемых от именикомпьютера.

Сценарий регистрации - logon script

Обычно командный файл, автоматически выполняемый при каждойрегистрации пользователя в системе. Может служить для настройкиокружения пользователя или рабочей среды. Сценарий регистрацииназначается одному или нескольким пользователям сразу.

Т

Терминальный сеанс работы - terminal sessionСеанс работы с Windows 2000 Sewer с использованием Terminal Se-rvices. На экране удаленного терминала отображается окно сеансаWindows 2000 независимо от версии ОС клиента. Служит для удален-ного администрирования и для исполнения приложений на сервере.

Тиражирование с несколькими мастерами - multi master replication

Процесс репликации службы каталогов подразумевающий, что изме-нения могут выполняться на нескольких контроллерах домена. Ис-пользует специальный алгоритм для разрешения конфликтных ситу-аций.


Тиражирование службы каталогов - directory replicationСм. репликация службы каталогов.

Том - volumeРаздел диска или несколько разделов, форматированных для исполь-зования файловой системой.

Том DFS - DFS volumeСовокупность переходов DFS и совместно используемых ресурсов, накоторые они указывают. Характеризуется именем, по которому' осу-ществляется доступ к ресурсам.

Топология репликации - replication topologyНабор объектов связи между контроллерами доменов, определяющийпоследовательность репликации изменений между контроллерами.Топология, формируемая внутри сайта по умолчанию, — двунаправ-ленное кольцо.

Точки перехода NTF5 - NTF5 junction points

Места в файловой системе NTFS, позволяющие переходить из теку-щего каталога в другой каталог или на другой диск.

Транзитивные доверительные отношения - transitive trust relationshipsДвусторонние доверительные отношения между доменами, установ-ленные так, что если один из них доверяет третьему домену, то вто-рой также доверяет ему. Устанавливаются автоматически при включе-нии нового домена в дерево доменов.

Транспорт TCP/IPСм. TCP/IP.

У

Удаленная регистрация - remote logonКогда пользователь устанавливает связь с удаленного компьютера,проверка доступа осуществляется на компьютере, не имеющем мар-кера доступа для данного пользователя. (Маркеры доступа создаютсяпри интерактивной регистрации.)

Удостоверяющий центр - Certificate AuthorityСм. Центр сертификации.

Узел - nodeЛюбой управляемый объект, задание или вид: компьютеры, пользова-тели, страницы Web и т. д.

Универсальные группы - universal groups

Группы безопасности или почтовые группы, в которых могут бытьучетные записи пользователей, глобальных или универсальных группиз любого домена влесу. Членство в глобальных группах публикуется


в Глобальном каталоге. Универсальные группы могут менять свойстатус и переходить из групп безопасности в почтовые и наоборот.

Уникальность пароля - password uniquenessЭлемент групповой политики, определяющий число паролей, которыенеобходимо сменить, прежде чем сможет быть использован первона-чальный пароль.

Учетная запись пользователя - user accountОбъект каталога Active Directory', содержащий всю информацию опользователе Windows 2000: имя и пароль, необходимые для регист-рации, группы, в которые входит данная учетная запись, права и при-вилегии при работе в системе и доступе к ресурсам.

Ф

Файловая система с шифрованием - encrypting file system (EPS)Расширение файловой системы NTFS, позволяющее прозрачно дляпользователя шифровать/расшифровывать данные, хранимые на дис-ке. Для шифрования применяется произвольный ключ. Текущая реали-зация не позволяет совместно использовать зашифрованные файлы.

Файловая система NTFS - NTFS file systemФайловая система Windows NT. разработанная для использования спе-циально с Windows NT и Windows 2000. Поддерживает средства вос-становления файловой системы и допускает применение чрезвычай-но больших носителей данных, а также различные функции подсис-темы POSIX. Также поддерживает объектно-ориентированные прило-жения, обрабатывая все файлы как объекты с определяемыми пользо-вателем и системой атрибутами.

Фильтр групповой политики - group policy filter

Список контроля доступа к объекту групповой политики. Среди стан-дартных прав доступа содержит Apply, позволяющее регулировать при-менение политики к пользователям и группам.

Форпост - bridgeheadСм. сервер-форпост.

ЦЦентр сертификации - Certificate authorityИнститут, ответственный за выдачу сертификатов. Это может бытьорганизация, сертификатам которой вы доверяете, например Verisign.Также это может быть программный компонент системы, такой какMicrosoft Certificate Server.

Цифровая подпись - digital signatureЦифровая последовательность, связанная с документом и применяе-мая для подтверждения истинности передаваемой информации. Со-


здается с использованием личного ключа отправителя. Для проверкиподлинности применяется открытый ключ отправителя.

ЧЧастичная реплика - partial replicaВ Active Directory — копия объектов пространства имен, содержащихтолько часть атрибутов. Частичные реплики всех доменных про-странств имен хранятся в Глобальном каталоге.

Членство в группе - group membershipПринадлежность к группе. Права и привилегии, предоставленные груп-пе, распространяются на ее членов. Обычно действия, которые можетсовершить пользователь Windows 2000, определяются принадлежно-стью к той или иной группе.

ШШаблон групповой политики - group policy templateЧасть объекта групповой политики, хранящаяся на диске в каталогеSYSVOL Тесно связан с соответствующим ему контейнером группо-вой политики.

Шифрование данных - data encryptionИзменение формата данных, так чтобы их нельзя'было прочитать. См.файловая система с шифрованием.

Я

Язык сценариев - script languageЯзык, на котором пишется сценарий. Это может быть обычный наборкоманд системы, собранных в командный файл, либо некоторый стан-дартный язык программирования. В Windows 2000 стандартно под-держиваются два языка сценариев: VB Script и Jscript,

А

АСЕ

См. строка контроля доступа.

ACLСм. список контроля доступа.

Active DirectoryСм. служба каталогов Active Director)}.

ADSI (Active Directory Services Interface)Интерфейс программирования, позволяющий приложениям исполь-зовать службу каталогов Active Directory и обращаться к объектамкаталога. Также позволяет добавлять новые классы и атрибуты объек-тов путем модификации схемы.


ADSI Editor

Мощный инструмент просмотра объектов Active Directory и их атри-бутов. Позволяет модифицировать атрибуты. Имеет графическийинтерфейс. Входит в состав Windows 2000 Support tools.

ССА (Certification Authority)

См. центр сертификации.

Certificate serverСм. сервер сертификатов.

CRL (Certificate Revocation List)Документ, публикуемый и обслуживаемый центрами сертификациии содержащий список сертификатов им аннулированных.

DDCPROMO

Программа-мастер, используемая для повышения статуса сервераWindows 2000 до контроллера домена.

DONS (Dynamic DNS)Динамический сервер AYS. Клиенты Windows 2000 динамически об-новляют информацию о своих адресах в базе DNS.

DFS (Distributed File System)См. распределенная файловая система.

DfsutilИнструмент для диагностики и управления службой распределеннойфайловой системы. Имеет интерфейс командной строки. Входит всостав Windows 2000 Server Resource Kit.

DHCP (Dynamic Host Configuration Protocol)Протокол автоматического предоставления адресов IP клиентскимкомпьютерам. В Windows 2000 реализована соответствующая служба.Кроме того, позволяет динамически регистрировать имена компью-теров в базе DNS. Требует обязательной авторизации в Active Directory.

DLL (Dynamic Link Library)

См. динамическая библиотека.

DNS (Domain Name System)Система имен домена. База данных, обеспечивающая соответствиеимен компьютеров и IP-адресов.

ЕEPS (Encrypted File System)

См. файловая система с шифрацией.

506 . -Название книги

FFAZAM 2000Мощный инструмент компании FullArmor, позволяет анализироватьрезультирующий набор групповых правил на клиенте, а также выпол-нять планирование групповой политики.

FSMO (Flexible Single Master Object)Главная копия для некоторых функций каталога Actit>е Directory, испол-няемых только на одном контроллере домена. Контроллер, хранящийобъект FSMO, называется мастером операций.

FTP (File Transfer Protocol)Протокол передачи данных, позволяет перемещать файлы с одногокомпьютера в Интернете или в интрасети на другой. Серверы, пред-назначенные для предоставления файлов для загрузки на другие ком-пьютеры, называются серверами FTP,

ISTG (Inter-site Topology Generator)Генератор межсайтовой топологии — процесс ответственный за со-здание объектов связи между сайтами. По своей сути это функция КСС.

К

КСС (Knowledge Consistency Checker)Процесс, выполняемый на контроллерах домена и ответственный заформирование топологии репликации. КСС создает объекты связимежду контроллерами внутри сайта. Один из КСС выполняет рольгенератора межсайтовой топологии (ISTG).

КОС (Key Distribution Center)См центр распределения ключей.

KerberosСм. аутентификация Kerberos.

LLdp

Мощный инструмент просмотра, поиска и редактирования объектовActive Director}' и их атрибутов. Имеет графический интерфейс. Тре-бует знания языка запросов ШАР. Входит в состав Windows 2000Support tools.

LDAP (Lightweight Directory Access Protocol)Протокол доступа к службе каталога, основанный на стандарте Х.500.

мММС (Microsoft Management Console)См. консоль управления ММС.

Словарь терминов _.^_____^___ 507

MMS (Microsoft Metadirectoiy Services)Сервер, позволяющий синхронизировать несколько разнородныхслужб каталогов. Может служить для объединения нескольких лесовс целью создания единого пространства имен.

NNtdsutil

Основной инструмент диагностики и исправления базы ActiveDirectory.

NTFR5 (NT File Replication System)

Служба репликации файлов, применяемая в Windows 2000 для реп-ликации каталогов SYSVOL и томов DFS.

NtfrsullОсновной инструмент диагностики и исправления службы NTFRS.

NTFS (New Technology File System)См. файловая система NTFS.

NTLMСм. аутентификация NTLM.

Р

РКТ (Partition Knowledge Table)Таблица, используемая сервером DFS для хранения информации осоответствии между переходами DPS и совместно используемымиресурсами, на которые они указывают. Клиенты кэшируют РКТ дляускорения доступа к ресурсам DFS.

RRepadminОдин из основных инструментов диагностики репликации ActiveDirectory. Имеет интерфейс командной строки. Входит в состав Win-dows 2000 Support tools.

Replication MonitorОдин из основных инструментов диагностики репликации ActiveDirectory. Имеет графический интерфейс. Входит в состав Windows2000 Support tools.

RID (Relative Identifier)Компонент SID. Каждый контроллер в домене использует свой пул KIDдля идентификации своих объектов,

SSID (Security Identifier)

См. идентификатор безопасности.


SSPI (Security Support Provider Interface)Интерфейс поставщика функций безопасности. Набор функций, ко-торые приложения могут использовать для доступа к механизмамаутентификации Kerberos или NTLM.

иUNC (Universal Naming Convention)Универсальное соглашение об именовании, используемое в сетяхMicrosoft. Синтаксис соглашения: \\сервер\ресурс\каталог\файл.

UPN (User Principal Name)Дружественное имя пользователя, определяющее его в каталоге ActiveDirectory. Состоит из регистрационного имени пользователя и суф-фикса. Суффиксом может быть полное имя домена либо виртуальноеимя домена.

USN (Update Sequence Number)64-разрядное уникальное число, применяемое для отслеживания из-менений свойств объектов в Active Directory. Используется механизмомтиражирования при разрешении конфликтных ситуаций.

W

Windows 2000 Professional

Младшая система в семействе Windows 2000. Предназначена для на-стольных и мобильных компьютеров в качестве клиентской рабочейстанции.

Windows 2000 Server

Младшая система в семействе серверных продуктов Windows 2000.Поддерживает работу с оперативной памятью до 4 Гб и до 4 процес-соров.

Windows 2000 Advanced ServerСредняя система в семействе серверных продуктов Windows 2000.Поддерживает работу с оперативной памятью до 8 Гб и до 8 процес-соров. Поддерживает кластеры серверов и кластеры с сетевой балан-сировкой нагрузки.

Предметный указатель

Active Directory-FRS 350— авторизация серверов 122— восстановление

— аварийное 465— авторитетное 436— базы 448— из резервной копии 4-29— на другой компьютер 433— неавторитетное 429— через переустановку 425

— журнал транзакций 134— именование объектов 6— контейнер 38— лес 2— объект 38— объем базы 155— ограничение 133— перенос базы 453— планирование 2— проектирование 1— резервное копирование 417

— обычное 419— состояния системы 420

— сайт 47— система именования 4— срочное тиражирование

изменений 67— стратегия именования 2— тиражирование изменений 47— установка 91— устранение проблем 410— целостность базы 449Active Directory Domains and Trusts

Active Directory Migration Tool CM. ADMTActive Directory Sites and Services

203, 214Active Directory Sizer 152Active Directory Users and

Computers 395, 427ADMT (Active Directory

Migration Tool) 170. 459ADSI 36ADSIEdit 203, 395АеШа Software ERDisk for Active

Directory 420AH (authenticated header) ~8AutoSiteCoverage 115

ВBDC 167, 173BIND 92, 100BOOTP relay agent

см. агент передачи BOOTP

СCGP 267CNAME 4, Ю6, 111Computer Associates ARCServerv 420

DDcdiap 222DCPROMO 94, 130, 340DFS (Distributed File System) 47, 339.

381— делегирование полномочий 393— доменная 381, 407— доменный том 342— доступ 390-имена NetBIOS 391


— конфигурация 394, 402-корень 381, 390, 404— корневая реплика 382— масштабируемость 388— пространство имен 392, 40б— резервное копирование 360— сервер 385— том 382

— отказоустойчивый 383— реплика 383— создание 395

— точка перехода 382— устранение проблем 396-хост 381,404DfsCmd 392DFSCmd 401DfsUtil 392, 396DFSUtil 401,403DHCP 54, 122, 125, 153— авторизация в Active Directory" 122— контроль 130— сервер

— авторизация 122— размещение 122

DHCPDISCOVER 123distinguished name •

см. имя, отличительное объектаDistributed File System см- DPSDLL 25?DMZ см. демилитаризованная зонаDN 67, 68DNS (Domain Name Service) 2, 54. 76.

78,91, 153— динамическая регистрация

имен 122, 125— зона 4— имя 4— пространство имен 2— сервер 4— стратегия именонания 6DSA 185DsaStat 213,220

ЕЕАР 82encapsulated security payload см. ESPESE (Extensible Storage Engine) 130ESP (encapsulated security payload) 78Event Viewer 363Extensible Storage Engine CM. ESE

FFKS 47, 339— Active Directory 350— восстановление конфигурации 377— журнал 366— журналирование 357

— интервал опроса ActiveDirectory' 352

— механизм восстановления 374

— авторитетное 374. 376— из реплики $77— неавторитетное 374— с магнитной ленты 376

— оптимизация 357— таблица 349— устранение проблем 362— фильтр 353

GPC (Group Policy Container) 251,см. также групповая политика

ОРТ (Group Policy Template) 251,см. также групповая политика

GIJID 59, 68, 185

нhigh watermark см. репликация. Active

Directory, «верхняя ватерлиния*HTTP 75HTTPS 75

IIAS (Internet Authentication Server) 81ICAAN 3ID 67IEAK (Internet Explorer Authorization

Kit) 298IKE (Internet Key Exchange) 78Integrity 449Internet Authentication Server CM. IASInternet Explorer 298Internet Explorer Authorization Kit

CM. IEAKInternet Key Exchange CM. IKEIP (Internet Protocol) 4IPSec 75, 78ISTG 49- 59,63, 153-204

КKCC (Knowledge Consistency Checker)

49, 60, 153, 193, 198. 202, 344, 380KDC 244Kerberos 76, 78, 346Knowledge Consistency Checker CM. KCC

L2TP/IPSec 82LAN Manager 117LDAP 39, 76Ldp 203LMHOSTS 118LSDOU 263


Мmaster browser см. домен,

обозревательMicrosoft Consulting Services 153Microsoft Exchange 2000 45, 66Microsoft Identity Integration Server

(MIIS) 2003 25Microsoft Installer 278Microsoft Tape Format CM. MTFMMC 328.401MTF (Microsoft Tape Format) 420

NNAT (Network Address Translation) 5.

76, 106NetBIOS 67, 76. 116, 391— имя 116— отключение поддержки 120— разрешение имени 118Netdiag 158Netlogon 9", 114Network Address Translation CM. NATNovell Netware 92ntbackup 419N'tbackup 429Ntdsutil 427..432, 436NTFRSUTL 371NTFS v.5 342

originating update ом. объект, исходноеобновление

Partition Knowledge Table см. РКТPDC 138. 167, 171PKI 24, 78РКТ (Partition Knowledge Table) 383PPTP 82

RRADIUS 5. 81Remote Storage 360repadmin 213. 215,225Replication Monitor 218. 227replmon 213RID 67, 174,427,446Routing and Remote Access Server

сч. RRASRFC 76, 78— динамическое назначение портов

TCP 195-поверх IP 194. 195RRAS (Routing and Remote Access

Server) 125

SAM 67, 130. 171Schema Management 427Server 157SID 67,68. 131. 174SID history см. истории SIDSimple Network Time Protocol CM. SNTPsingle master replication еж тиражи-

рование с одним мастеромSMB 76SMTP (Simple Network Time

Protocol) 59, 63, 137, 194, 196special identities см. особые

объединенияSPN 238SRV 4, 92subscription forest см. лес, подпискиSYSVOL 135, 340

ТTCP 195TCP/IP 111, 125, 158thread ID см. идентификатор потока

иUGP 267L'UraBAC for Windows 2000 420UNC 278update sequence number CM. USNupdateness vector си, вектор,

обновленное™USN (update sequence number) 166,

183, 189, 340— исходный 184— локальный 184— сохранение 183UTF-8 100

Vector Versiom Join (W-Join) CM.подключение вектора версий

Veritas Backup Exec 420Version Vector см. вектор версииVPN 75

wW32Time 137Web-интерфейс 36Windows 2000 100. 119, 121. 211, 24"Windows Backup 360Windows Installer 335Windows Internet Naming Service

CM. WINSWindows NT 6, 26, 39. 42. 21 1Windows NT 4.0 167

512 ^noflxofl профессионала

Windows Scripting Host 280, 299Windows XP 119, 121WINS 54, 116, 153WINS (Windows internet Naming

Service) 76

авторизация 80агент передачи ВООТР 125административный шаблон 294, 3('3адресная книга 45аргумент— /addroot 402- /clean 402-/DEBUG 402-/DFSREFERRALLIMIT 403-/DFSSVCVERBOSE 402-/DNS 402-/list 397-/LOGGINGDFS 403-/NETAPIDFSDEBUG 402-/pktinfo 399- /remit 402— /remroot 402-/SFP 402- /SYNCINTERVAL 403— /unmap 402- /VALUE 402-/VERBOSE 402-/view 397аренда адреса 127

Ввектор— версии 349— обновленное!» 166виртуальный туннель 64

генератор межсайтовой топологиисм. ISTG

глобальный каталог (ГК) 32, 68, 103.444

группа 32— Administrators 37— Authenticated Users 268— Domain Admins 37— Enterprise Admin;: 37, 38— Everyone 132- Pre-Windows 2000 Compatible

Access 132— Schema Admins 38-Windows 2000 32— административная 37, 38

— глобальная 28, 32, 37— размер 34

— формирование 34— локальная 28, 32, 35, 37— правило Restricted Groups 38— универсальная 32

содержимое 32— сортировка учетных записей 33

членство 32— членство 442групповая политика 38, 165, 247

еж также групповые правила-ADDiag 324-ADDIAG 316- FAZAM 2000 328-FAZAM2000 316-Gpotool 322-GPOTOOL 316-GPRESULT 316-SECEDIT 316.328— журналировэние 329— контейнер см, GPC-объект (ОПТ) 251, 276, 248— планирование 306— список контроля доступа 268— сценарий 299— устранение проблем 315— фильтрация 26?— флаг 331— фоновое применение 259— хранение параметров 252— шаблон см. ОРТгрупповые правила

см. также групповая политика— делегирование полномочий 274— для домена 249— для компьютеров 250— для организационных

подразделений 249— для пользователей 250— для сайта 248— изменение последовательности

применения— блокировка наследования 263. 264— леактивация 267— перемычка 265— принудительное

наследование 265— история применения 270— контейнер 248— локальные 248— применение 263— редактирование 272— создание 272— шаблон 248

Предметный указатель : : I

делегирование административныхполномочий 39, 46

демилитаризованная зона 75, 80, 100демпфирование 188дерево 10. 20, 106динамическая библиотека 249дисковая подсистема 163доверительные отношении 440— иетранзитнвные 10— попарные 30— транзитивн ыс I Одокумент— печать 45— поиск 44— редактирование 44— совместное использование 45домен 1, 10— административная политика 11— безопасность 1 1— глобальный 1 2— дочерний 10— имя 2, 4— контекст имен 53— контроллер 4, 10. J7- корневой 1, 2, 10. 14, 112

— пустой 38— миграция 2(\ 31

— (. несколькими мастер-доменами 30

— с одним мастер-доменом 27— модель

— по'лностью доверительныхотношений 10

— с несколькими мастер-доменами 9

— с одним доменом 9. 11— обозреватель 6~— объединение 30— отношения доверия 10— переустановка 454— плоское ими 112— подключение через VHN 75— подразделение 1— политика 19— промежуточный I— пул идентификаторов б"7

- размер 11— родительский 10— уникальное имя 66доступ к файловым ресурсам 35

Жжурнал-NTFS 34 5: 359— входа 346, 349— выходи 346, 349

— политики для пользователей 332— регистрации 13б

— Tile Replication System 364— системных событий 163— событий 95

— событий приложений 330— транзакций 134, 349— установки приложений 335

3зона 4, 93— демилитаризованная 5— динамическое обновление 95- имя 102

Иидентификатор безопасности см. SIDидентификатор потока 370имитатор РОС 67, 138, 153, 174, 273,

427, 446и мя- Сп 6— DisplayName 6- NetBIOS 2~!— Sam Account Name 6- UserPrincipalName (liPN) 7

— компьютера 8— общее 6— отличительное об'ьекта 9— подразделения 9— пользователи 6инфраструктура открытых ключей

см. PKIистория S1D 28

Ккаталог— восстановление 413коммутируемая линия 64контроллер домена 51-Windows 2000 U3— генератор мсжоантоиой

топологии 203— главный си. РОС.— понижение статус;! 165— проверка 1 56-- резервный <.м. БОС— установка 138. 178кэширование 384

Ллес 1. 10, 20, 32— добавление домена 66— имя 2— корень 10— подписки ^5— структура 468логическое имя 116


Mмаршрутизатор 125мастер— доменных имен 66, 445— инфраструктуры 61, 447— операций 427, 444— относительны*

идентификаторов см. RID— переноса групп 4бО— подготовки 66— схемы 65, 44:5— установки Active Directory 93межсайтовая связь 56— интервал репликации 58— объект 59

— имя 59— направление 54— создание 59

-протокол репликации 59— расписание 58— создание 55— стоимость 57— топология 55— транзитивная 57мсжсайтовый мост 5"межсетевой экран 75миграция 39му.и.тисеть 123

Ообъект- NTDS Settings 193— исходное добавление 187— исходное обновление 183S 188— модификация 187— ограничение числа 39— памятник 186— рассортировка 39— реплицированное добавление I Ч "— реплицированное обновление

183, 188— связи 59— создание 186— удаление 186ОГП см. групповая политика, объекторганизационное подразделение

(ОП) 10, 38— глубина вложения 39— иерархия 39— модель

- административная 41— географическая 40— объектная 40— организационная 40— проектная 41

— первого уровня 39— принцип построения 39

— ресурсное 47— учетное 46особые объединения 37— категория

— Authenticated Users 37— Everyone 37— Interactive Users 37— Network Users 37

относительный идентификаторс;-и. RID

ппакет установки 278пароль учетной записи 211плоская сеть 122подготовительный каталог 345пол ключе пне вектора версий 378подписка 350пользовательский идентификатор

122, 128последовательный помер

обновления см. USNправила- IPSecurity 293— безопасности 300— выполнении сценариев 281— групп с ограниченным

членством 290— журнала регистрации 289— локальные 284

— параметры безопасности 286— правила аудита 284— правила пользователей 285

— открытых ключей 29^— реестра 291— системных служб 291- учетных записей 282

— правила Kerberos 283— правила блокировки учетных

записей 283— правила паролей 282

— файловой системы 292прокси-сервер 5пропускная способность каналов

связи 48пространство имен 10протокол трансляции сетевых

адресов см. NAT

Рраспределенная файловая система

см. DF.Sрегистрация 47редактор реестра 203резервное копирование 392реплика— базы объектов домена 180


—-домена 180— доменного контекста имен 180— конфигурации 180— локальная 180— мастер 179— полная 180— резервная 179— схемы 180— частичная 180репликация 10. 32. 227

см. также тиражирование-Active Directory 47, 72, 163. 179, 424

— асинхронная ) 95— «вектор обновленности» 188— «верхняя ватерлинии» 188— внутрисайтепая 195, 198— входящее соединение 194— выделенный сернер-форпост 194-ГК 208— конвергенция 179— контроллер домена 193— межсайтовая 195— пакет 197— с несколькими мастерами 179— сайт 193— связь 194— сервер-форпост 194— сетевой протокол 194— синхронная 195— слабая связанность 179— топология 181, 192— штамп 184

-DPS 342,355,386— объект 395- сайт 388— топология 358

-FRS 47, 164, 174.340.424— избыточность 342— инициация 341— объект 350— планирование 356— расписание 354— список партнеров 344

— журнал NTFS 359-SYSVO1. 379— внутри сайта 194— входная 347— выходная 345-ГК. 208— диагностика 212— интервал 58— контроллер домена 48— критических событий 209— между сайтами 194— механизм LMRepl 174- механизм NTFRS 252— отказоустойчивых томов DFS 342

— ошибка- LDAP 49 244— внутренняя ошибка системы 243— Отсутствие конечной точки

(No more end-point) 244— Ошибка поиска в DNS

(DNS Lookup failure) 240-по SMTP 195— пропускная способность канала

связи 358— пропускная способность каналов 48— протокол 59— Разница во времени

(Ошибка LDAP 82) 242— расписание 49, 58, 65— связь 235— Служба каталогов перегружена

(Directory service too busy) 240— список партнеров 214— схемы 72— трафик 47, 48— файла 378— файловая 174— файловой системы 168

Ссайт 47, 193— планировка 1—топология репликации 1сегментированная сеть 125сервер- DFS 385-DHCP 122-DNS 54,92. 121-ISA 77-Windows NT 4.0 122-«'INS 118, 120— аутентификации 81- ГК 54, 66, 68— обновление 403— терминальный 52— файловый 52— форпост 54, 59, 194

— автоматический 60— выделенный 60, 194— репликация 62— тиражирование 61

сертификат 78, 292системная политика 247служба— распределенной файловой

системы см. DFS— репликации

—Active Directory 339— файловой системы NTFRS см. FRS

— каталогов Windows NT I— синхронизации времени 137


смарт-карта 14, 82список— контрольных точек 349— контроля доступа 132, 149— совместимого оборудования 151суперобласть 122, 123схема— модификация 73— политика изменении 72сценарий 203, 280-ADSI 36

Ттаблица— знаний о разделах см. РКТ-ID 349— идентификаторов 34й— соединений 349тиражирование

с-м. также репликация— с одним мастером 168топология сети 55— звсзла 5 5— кольцо 55— сложная (комбинированная) 56точка перехода NTFS 353транзакция атомарная 183трафик— LDAP-эапросов 52- SMTP 197— компрессия 49— межсайтоный 49— регистрации 52— репликации 47— управление 49— шифрование 75туннелирование 76

удаленное хранилище ЗбОудаленный вызов процедур см. RPCучетная запись 440

Ффайл— config.pol 248-DCPromo.log 137, 145-DCPromos.log 137. 151-DCPromoUI.log 137. 146-edb.chk 134, 349-edb.log 134. 349— Lbridge.cmd 175-netapi32.dll 402- NetsetupJog 137, 150— ntconfig.pol 248-NTDS.DIT 133— ncfrs.jd.b 349- ntfrsjct 349- res 1.log 133, 349-res2.log 133.349— userenv.Jog 332— восстановление 373— ответов 142— резервное копирование 373

Xхост 4

шшироковещательная рассылка 118штамп 184

Список литературы1. Зубанов Ф. Microsoft Windows 2000. Планирование, развертывание,

управление. 2-е изд., испр. и доп. — Русская Редакция. М., 2000 г.

2. Межсетевое взаимодействие, Ресурсы Microsoft Windows 2000 Server. —Русская Редакция. М., 2001 г.

3. Распределенные системы. Книга 1, Ресурсы Microsoft Windows 2000Server. — Русская Редакция, М., 2000 г,

4. Сети TCP/IP. Ресурсы Microsoft Windows 2000 Server. — Русская Редак-ция, М„ 2000 г,

5. Active Directory- Branch Office Planning Guide, http://www.microsoft.com/windows20QO/techinfo/plaiining/activedlrecmry/branchoffice/default,asp

6. Windows 2000 Server Distributed Systems Guide. — Microsoft Press, 2000 r.

7. Windows 2000 Server Operations Guide. — Microsoft Press, 2000 r.

8. Windows 2000 Server Deployment Planning Guide. — Microsoft Press, 2000 r.

9- Зубанов Ф. Windows NT: выбор «профи*. 2-е изд. — Русская Редакция.М, 1997 г.

Об авторе

Федор Зубанов работает в Российском отделении корпорации Micro-soft. За 10 лет он прошел путь от системного инженера до старшегоконсультанта службы Microsoft Consulting Services. Долгое время зани-мался популяризацией системы Windows. Последние 5 лет занимает-ся планированием и внедрением систем на базе Windows NT/2000. Егоконек — построение службы каталогов Active Directory. Федор прини-мал активное участие в проектах по развертыванию сетевой инфра-структуры на базе Windows 2000 в таких компаниях, как Альфа-банк,Вымпелком, Лукойл, Роснефть, Юкос и др. В последнее время привле-кается российскими компаниями в качестве эксперта по Active DirccTory.

Попав под сильное давление издательства «Русская Редакция» Федорнаписал в 1995 г. свою первую книжку — о Windows NT 3-51. После-довавшие за ней книги по администрированию Windows NT 4.0 иWindows 2000 сразу стали бестселлерами. Настоящая книга — пятаяпо счету, обобщает многолетний опыт работы с Active Directory. Всекниги были написаны в свободное от основной работы время. Так чтовопрос о хобби отпадает сам собой.

Зубанов Федор Валерианович

Active Directory:подход профессионала

Издание 2-е, исправленное

Компьютерная верстка В. Б. Хильченко, Е. Б. Сярая

Технический редактор О. В. Дергачева

Дизайнер обложки Е. В. Козлова

Оригинал-макет выполнен с использованиемиздательской системы Adobe PageMaker 6.0

л е г а л ь н ы й п о л ь з о в а т е л ь

Главный редактор А. И. Козлов

Подготовлено к печати издательством * Русская Редакция*123317, Москва, ул. Антонова-Овсеенко, д. 13

тел.: (095) 256-5120, тел./факс: {095} 256-4541e-mail: info@rusedi[.ru, http.-// www.rusedir.ru

пикет Р Е Д Н УПодписано в печать 20.10.2003 г. Тираж 2 000 экз.

Формат 60x90/16. Фиэ. п. л. 34

Отпечатано в ()АО «Типография "Новости"*105005, Месива, ул. Фр. Энгельса, 46

Наши книги Вы можете приобрести

• в Москве:Специализированный магазин«Компьютерная и деловая книга»

Ленинский проспект, строение 38,

тел.: (095) 778-7269

«Библио-Глобус-ул. Мясницкая. 6.

тел.: (095) 928-3567

"Московский дом книги» уп. Новый Арбат, в.

тел.: (ОЭ5) 290-4507

«Дом технической книги» Ленинский пр-т, 40,тел-(095) 137-6019

"Молодая гвардия» ул. Большая Полянка. 28.тел.: (095) 238-5001

-Дам книги на Соколе» Ленинградский пр-т,

78, тел.: (095) 152-4511

•Дом книги на Войковской" Ленинградское ш.

13, стр. 1, тел.: (095) 150-6917

«Мир печати» ул. 2-я Тверская-Ямская, 5-1,

тел: (095) 978-5047

Торговый дом книги «Москва» ул. Тверская, 8,

тел.: (095) 229-6483

• в Санкт-Петербурге:СПб Дом книги. Невский пр-т., 28

тел.: (812)318-6402

СПб Дом военной книги. Невский пр-т, 20

тел.: (812)312-0563,314-7134

Магазин «Подписные издания»,Литейный пр-т., 57, тел.: (812) 273-5053

Магазин «Техническая книга», ул. Пушкинская,

2, тел.: (812) 164-6565,164-1413

Магазин «Буквоед», Невский пр-т., 13,тел.: (8121312-6734

ЗАО «Торговый Дом «Дналект».

тел: (812) 247-1483

Оптово-розничный магазин «Наука и техника»,

тел.: (812) 567-7025

• в Екатеринбурге:

Магазин «Дом книги»ул. Валека, 12,

тел.: (3432) 59-4200

• в Великом Новгороде:

"Наука и техника».ул. Большая Санкт-Петербургская, 44,

Дверец Молодежи, 2-й этаж

• в Новосибирске:000 „Ton-книга», тел.: (3832) 36-1026

• в Алматы (Казахстан):

ЧП Болат Амреев,моб тел.: 8-327-908-28-57, (3272) 76-1404

• в Киеве (Украина):000 Издательства «Ирина-Пресс»,тел.: (+1038044) 269-0423

"Техническая книга на Петровке»,тел, (+1038044) 268-5346