Добро пожаловать в 8 статью моей
серии «Основные экзамены по Windows
2000 за 15 минут в неделю». Эта статья
первая из посвященных экзамену 70-215 -
Windows 2000 сервер – и она
является вводной в концепцию Windows 2000 сервер и Active Directory. Просматривая
мои материалы и заметки, я решил не
придерживаться обычного построения
курсов подготовки – тема за темой.
До некоторой степени
подготовительный курс по 70-215
выглядит как «разрезанный и
склеенный» из курса 70-210 и не дает
вам достаточной информации для
успешной сдачи экзамена. Я
попытаюсь избежать повторений того
материала, что уже был в нашей серии,
но я повторюсь еще раз и скажу, что
вы должны знать материалы каждого
из экзаменов, чтобы сдать любой из
них в отдельности. По моим подсчетам,
экзамену 70-215 будет посвящено 5 – 6
статей.
Материалы этой статьи включают в
себя следующие темы:
-
Введение в Windows
2000 сервер
-
Введение в концепцию Active Directory
-
Именование объектов
-
Логическая структура Active Directory
-
Физическая структура Active Directory
-
«Повышение» домена до Windows 2000
Введение в Windows 2000 сервер
Windows
2000 сервер и Professional
в основе своей достаточно похоже
выглядят в терминах архитектуры
интерфейса. Как следствие, их часто
объединяют вместе в процессе
обсуждения, и в ходе подготовки к
экзаменам. Однако, есть и ряд
фундаментальных отличий между ними.
Два главных отличия между Сервером
и Pro
– это вопросы оптимизации, а также,
предлагаемые ими службы. Professional оптимальна как настольная
операционная система, где
запускаются пользовательские
приложения, в то время как Сервер
создан для обслуживания различного
рода запросов от клиентов. Если
рассматривать, предлагаемые службы,
то Сервер предлагает их намного
больше, чем Pro, оснащенный такими службами,
как WINS,DNS,
Active Directory и так далее. Так как мы уже
рассмотрели требования к Pro, давайте теперь остановимся
на Сервере.
Прежде всего мы не можем
говорить о Сервере, как о продукте в
общем, так как на самом деле их
бывает три: Windows 2000 Server, Advanced Server и Datacenter Server. Много существует мнений по поводу их
различия, в то время как различия
проявляются, прежде всего в сфере
возможности наращивания (масштабируемости)
системы и производительности. Эти
различия отражены в таблице,
приведенной ниже:
|
Max RAM
|
Max CPUs
|
Кластеризация (объединение)
|
Windows
2000 Server
|
4 Гб
|
4
|
Нет
|
Windows 2000 Advance Server
|
8 Гб
|
8
|
Есть – 2 узла кластера и 32 – узла
для распределения нагрузки на
сеть
|
Windows 2000 Datacenter
Server
|
64 Гб
|
32
|
Есть – 4 узла кластера и 32 – узла
для распределения нагрузки на
сеть
|
Нужно знать, что минимальные
требования к процессору у Сервера –
Pentium
133, рекомендуемая память – 256 Мб,
хотя и 128 поддерживается как
минимальные требования.
Масштабируемость элементов
абсолютно очевидна из таблицы,
приведенной выше – Advanced
и Datacenter сервера могут
использовать гораздо больше памяти
и процессоров, чем базовый Сервер.
Обе старшие версии сервера
поддерживают два типа
кластеризации (объединения),
которые возможны технологически.
Когда серверы (называемые узлами)
объединяются, каждый из них
присоединяется к общему устройству
хранения, и они работают вместе, как
единая система, для обеспечения
уверенной работы важных (критических)
приложений. Если один из узлов
выйдет из строя, то приложение
останется доступным, так как
оставшийся узел будет продолжать
обслуживать запросы. Для Network Load Balancing
(NLB) – распределения нагрузки на
сеть, может быть создан кластер,
который будет обслуживать запросы
клиентов, распределяя их среди
нескольких систем, предоставляющих
доступ к одному приложению.
Например, у вас может быть 32 сервера,
которые снабжены одинаковыми
копиями вашего web-сайта и тогда NLB будет распределять запросы
среди всех этих серверов, входящих в
NLB
кластер, увеличивая
производительность, доступность и
надежность.
Также Windows
2000 Сервер отличается от Pro
тем, как он принимает входящие
соединения от клиентов. Windows Pro
поддерживает максимально 10
одновременных соединений, в то
время как Windows 2000 сервер
поддерживает то количество
соединений, которое определяется
доступным количеством CAL (client
access
licenses) – клиентских
лицензий. Как и в NT 4, существует два вида
лицензирования для сервера – Per Server (по количеству одновременных
подключений к серверу) и Per Seat (по количеству рабочих мест). При
подключении Per Server – количество одновременно
подключенных к серверу клиентов не
должно превышать количества
лицензий, а при подключении Per Seat – для каждого рабочего места, не
зависимо от того, подключено оно к
серверу или нет, есть лицензия на
подключение. Вы можете изменить тип
подключения к серверу с Per
Server на Per Seat, но не наоборот. Заметьте, что
лицензии не требуются для Telnet, FTP
и для анонимного подключения к web-серверу.
Как и в Windows
NT, когда вы
устанавливаете Windows 2000 сервер, система
спрашивает, хотите ли вы, чтобы ваш
компьютер был частью рабочей группы
или домена. Если вы делаете его
частью рабочей группы, пользователи,
которые входят в систему, будут
аутентифицироваться локальной
версией базы данных безопасности
сервера. Если же компьютер часть
домена, то учетная запись
компьютера должна быть создана для
системы или заблаговременно или в
процессе установки. Заметьте, что
решение, должен или нет компьютер
быть контроллером домена больше не
является частью процесса установки.
В отличии от Windows NT,
контроллеры домена создаются после
установки на компьютер Windows 2000 сервера.
Повышение сервера до контроллера
домена или понижение его до
рядового сервера домена теперь не
требует переустановки операционной
системы.
Введение в концепцию Active Directory
Безусловно, наиболее значимое
изменение, по сравнению с Windows NT 4, это включение в Windows 2000 важной новой службы – Active Directory.
Active Directory – это «родная» служба каталогов
для Windows 2000. В NT 4 домен был очень похож на
удаленный остров, с которым мы могли
соединиться только используя
механизм доверительных отношений. Active Directory – полнофункциональная служба
каталогов. Но что такое – служба
каталогов? Хорошо, скажем так:
служба каталогов – это попросту
соединение двух вещей – каталога и
служб, которые помогают с этим
каталогом работать. Упрощая, можно
сказать, что каталог хранит
информацию, подобно любому другому
каталогу, например, телефонному
справочнику. Каталог может хранить
различную информацию, относящуюся к
пользователям, группам, компьютерам,
принтерам, общим ресурсам и так
далее – мы будем называть все это объектами.
Каталог хранит также информацию о
самом объекте, или его свойства – мы
будем называть это атрибутами.
Например, атрибутами, хранимыми в
каталоге о пользователе, может быть
имя его руководителя, номер
телефона, адрес, имя для входа в
систему, пароль, группы в которые он
входит и многое другое. Для того,
чтобы сделать директорию полезной
для нас, должны существовать службы,
которые будут взаимодействовать с
директорией. Например, мы можем
использовать директорию, как
хранилище информации, по которой
можно аутентифицировать
пользователя, или как место, куда мы
можем послать запрос для того, чтобы
найти информацию об объекте.
Например, я могу запросить
директорию показать мне все цветные
принтеры в офисе во Франкфурте,
номер телефона Боба из офиса в
Дельфи или список всех
пользовательских учетных записей,
чье имя начинается на «Г». В Windows 2000 Active Directory
отвечает не только за создание и
организацию этих небольших
объектов, но также и за большие
объекты, такие как домены, OU
(организационные единицы) и сайты.
Для того, чтобы понять, что же есть Active Directory на самом деле, мы должны
рассмотреть еще несколько
связанных с ней концепций. Для сдачи
экзамена 70-215 вам не обязательно
хорошо знать их все. Углубленное
обсуждение Active
Directory
будет предпринято в статьях,
посвященных реализации и
администрированию AD.
Именование Объектов
Active
Directory
использует Lightweight
Directory
Access Protocol (LDAP)
– простой протокол доступа к
каталогам, как главный протокол
доступа. LDAP действует поверх TCP/IP
и определяет способы обращения и
доступа к объектам между клиентом и
сервером Active Directory. В LDAP
каждый объект имеет свое особенное Distinguished
Name (отличительное
имя), и это имя отличает его от
других объектов Active
Directory,
а также подсказывает нам, где данный
объект расположен. Два главных
составных части отличительного
имени – это CN
(common name) – общее имя и DC
(domain
component)
– доменная составляющая. Общее имя
определяет объект или контейнер, в
котором этот объект находится, в то
время как доменный компонент
определяет домен, в котором объект
находится. Например, отличительное
имя может быть следующим:
CN=Dan DiNicolo, CN=Users, DC=win2000trainer,
DC=com
В этом примере у нас есть
пользователь Dan DiNicolo, который находится внутри
контейнера, называемого Users, в домене win2000trainer, который является
поддоменом .com. Отличительное имя объекта
должно быть уникальным внутри леса Active
Directory.
В то время как отличительное имя
дает нам полную информацию о
расположении объекта, relative
distinguished
name (относительное
отличительное имя) определяет
объект внутри его родительского
контейнера. Например, если я
осуществляю поиск внутри
контейнера Users, относительное отличительное
имя объекта, который я ищу, может
быть Dan
DiNicolo.
Когда пользователь входит в
домен, расположенный в Active Directory, у него может быть два типа имени.
Первое из них – традиционное NetBIOS -имя.
В Windows 2000 на
него ссылаются как на downlevel logon name (имя регистрации в ранних версиях Windows). Этот тип
имени существует для совместимости
с ранними версиями Windows, процесс входа
в которые был основан на
использовании имен NetBIOS (такие OS как NT 4, Windows 9x и так далее).
Когда вы используете downlevel logon name (на вкладке свойств –«имя входа
пользователя пред-Windows 2000»)
для входа, пользователь должен
ввести имя пользователя, пароль и
выбрать соответствующий домен, в
который он собирается входить.
Второе имя – и это новинка в Windows 2000 – это возможность входа в систему с
использованием того, что называется
User Principal Name (основное имя пользователя) или UPN. Основное имя
пользователя имеет следующий
формат – user@domain.com (на вкладке свойств пользователя это
называется – User logon name (имя
входа пользователя)). Если это
соглашение действует, то
пользователю не нужно определять
домен, в который он хочет войти.
Фактически, когда для входа в Windows 2000используется
UPN, доменная часть окна имени для входа в
систему закрашена серым. Пример
этих двух типов имен показан на
вкладке свойств учетной записи
пользователя Active Directory:
Первое знакомство предполагает
также, что мы обсудим как логические,
так и физические элементы Active
Directory.
Логическая часть Active
Directory,
вы может быть уже слышали об этом,
включает в себя такие понятия как
лес, деревья, домены и OU.
Физическая часть Active
Directory связана с такими
понятиями, как сайты и контроллеры
доменов. Отличие между логическими
и физическими элементами важно для
понимания концепции Active
Directory.
Логическая структура Active Directory
Логическая структура Active Directory
зависит от нужд вашей организации.
Логические элементы Active Directory
это леса, деревья, домены и OU.
Домены
Домен в Windows
2000 очень напоминает домен в Windows
NT. Для различных
намерений и целей, домен является
логической группой пользователей и
компьютеров (объектов), которые
связаны как единица для
администрирования и репликации.
Прежде всего домен –это
административная единица.
Следовательно, администратор этого
домена может его администрировать и
для этого не нужен никто другой.
Кроме того, все контроллеры одного
домена должны осуществлять
репликацию друг с другом. Мы
ссылаемся на это как на топологию
репликации. В Windows 2000 домены
именуются в соответствии с
соглашением об именовании DNS, а не именовании NetBIOS.
Примером имени домена в Active
Directory
может быть 2000trainers.com. В Windows
NT имели
ограничения по величине, до которой
они могли увеличиваться и этот
размер ограничивался допустимым
размером базы данных SAM
(40 Мб или около того). Поэтому
приходилось создавать множества
доменов в компании, в которой
действовали тысячи пользователей и
компьютеров. Теперь же множество
доменов не являются необходимостью
в подобном сценарии под Windows 2000, так как Active Directory может вместить в себя многие
миллионы объектов. Учетные записи
пользователей в Windows
2000 существуют так же как и в Windows
NT. Active Directory
также позволяет вам иметь множество
доменов, формируя структуры,
которые называются деревьями и
лесами, о чем я и расскажу ниже.
Дерево
В Windows
2000, несколько доменов может все же
потребоваться, особенно в больших
организациях, которые продолжают
требовать надежного контроля над их
средой, их индивидуальностью (как в
случае различных организационных
единиц для ведения бизнеса) и
особого административного контроля.
В Active Directory
набор доменов может создаваться в
порядке, напоминающем структуру
дерева. В этом случае «дочерний»
домен наследует свое имя от «родительского»
домена. Например, я могу создать
отдельные домены для отделов моей
компании, расположенных в Европе и
Азии. В этом случае, я могу
остановиться на структуре,
изображенной ниже:
Заметьте, что каждый домен в
дереве является отдельной и явно
выраженной административной
единицей, так же как и границей для
целей репликации. То есть, если вы
создали учетную запись
пользователя в домене asia.win2000trainer.com, то эта учетная запись,
существующая на контроллере домена,
будет реплицирована на все
контроллеры домена asia.win2000trainer.com. Заметьте также, что каждый новый
«дочерний» домен имеет transitive (транзитивные)
двунаправленные доверительные
отношения с «родительским» доменом.
Это достигается автоматически в Active
Directory и позволяет
пользователям из одного домена
дерева иметь доступ к ресурсам в
другом. Даже не имея прямых
доверительных отношений,
пользователи в Азии могут получать
доступ к ресурсам (для чего у них
должны быть соответствующие
разрешения) в Европе и наоборот, к
тому же доверительные отношения
транзитивны (Азия доверяет своему «родительскому»
домену, который в свою очередь «доверяет»
Европе – таким образом Азия
доверяет Европе и наоборот). Дерево,
в общих чертах, можно определить как
набор доменов, которые связаны
отношениями «дочерний»/«родительский»
и поддерживают связанное
пространство имен.
Лес
Лес – это термин, применяемый для
описания совокупности Active Directory деревьев. Каждое дерево в лесе
имеет собственное отдельное
пространство имен. Например,
давайте предположим, что ваша
компания владеет еще одной более
мелкой, называемой Acme
Plumbing.
Если я хочу, чтобы Acme
Plumbing имел свое
собственное отдельное пространство
имен, я могу достичь этого объединив
деревья и сформировать лес, как
показано ниже:
Домен acmeplunbing.com является частью леса, так же
как и win2000trainer.com, но по-прежнему остается
доменом и может иметь собственное
дерево. Заметьте, что здесь
существуют транзитивные
доверительные отношения между «корневыми»
доменами каждого дерева в лесу –
это позволит пользователям домена acmeplunbing.com получать доступ к ресурсам в
дереве win2000trainer.com и наоборот, в то же время
поддерживает проверку подлинности
в собственном домене. Заметьте, что
первый домен, созданный в лесу,
рассматривается как «корень» леса.
Одна из самых важных особенностей
леса – это то, что каждый отдельный
домен поддерживает общую схему –
определения для различных объектов
и связанных с ними атрибутов,
которые созданы в лесу. Важно
осознать, что лес может быть создан
из одного дерева, которое содержит
всего один домен. Это будет
маленький лес, но формально это
будет лес!
OU
– организационные единицы
Организационные единицы (обычно
называемые OU) – это
контейнеры внутри Active Directory которые создаются для объединения
объектов в целях делегирования
административных прав и применения
групповых политик в домене. OU могут быть
созданы для организации объектов
несколькими путями, в соответствии
с их функциями, местоположением,
ресурсами и так далее. Примером
объектов, которые могут быть
объединены в OU могут служить учетные записи
пользователей, компьютеров, групп и
т.д. Диаграмма, приведенная ниже
показывает пример OU, основанной на
местоположении пользователей и
ресурсов:
Заметьте, что OU
может содержать только объекты из
того домена, в котором они
расположены. Также заметьте, что
структура OU
может широко варьироваться от
компании к компании. Она
разрабатывается с целью облегчить
администрирование ресурсов и
применения групповых политик. В то
время как полный административный
контроль может быть дан (делегирован)
пользователю через OU,
для больших организаций
становиться возможным иметь только
один домен, в котором каждая
структура будет имеет собственный
контроль только над своей OU.
Физическая структура
Физическая структура Active Directory
связана с двумя главными типами
объектов – сайтами и контроллерами
доменов.
Сайты
В отличии от NT
4, в Windows 2000 Active Directory
предусматривает концепцию
физического местоположения внутри
структуры. В Active Directory сайт – это совокупность
подсетей TCP/IP,
между которыми существует
высокоскоростное соединение. Хотя «высокоскоростное»
- это относительное понятие, обычно
под этим подразумевается
соединение на скоростях,
соответствующих LAN
– соединениям. Вы определяете сайт
в Active
Directory
для контроля репликации,
аутентификации и местоположения
служб. Как только сайт будет создан,
компьютеры клиентов будут пытаться
аутентифицироваться на контроллере
домена, который находится на данном
сайте, вместо того, чтобы посылать
запросы по WAN
(глобальной сети).
Сайты также позволяют вам
контролировать, когда репликация
может происходить между
контроллерами доменов. Например, в NT 4, все BDC
получают данные от PDC
в процессе репликации, используя 5-минутный
интервал уведомления об изменениях.
Так как в NT
не было предусмотрено простого пути
для контроля репликации между
физическими местоположениями (это
можно сделать, используя
специальные скрипты для регистра),
трафик репликации может
перегрузить линии и снизить
производительность сети. Если же вы
определите сайт в Active Directory,
вы можете также определить время и
дни, в которые репликация между
сайтами должна происходить, как
часто она должна происходить, и
преимущественные пути для ее
прохождения. Вы должны заметить,
однако, что по умолчанию существует
только один сайт, и пока вы не
создадите другие, репликация будет
происходить, как и раньше, каждый 5-минутный
интервал уведомления об изменениях.
Также важно отметить, что сайты –
это другой элемент, который
позволяет большим компаниям иметь
только один домен. Так как не
существует соотношения между
логической и физической структурой Active
Directory,
вы можете иметь один домен и сотню
сайтов. Возможность контролировать
трафик репликации – одно из
наибольших преимуществ
управляемости Active Directory.
Контроллеры доменов
Конечно, у вас не может быть
домена без по крайней мере одного
контроллера домена, ведь где-то же
должна храниться база данных Active Directory. В отличие от Windows
NT, где была
только одна копия базы, позволяющая
делать запись (хранящаяся на PDC; копии, хранящиеся на BDC имели атрибут «только для чтения»),
в Windows 2000 каждый
контроллер домена имеет копию базы
данных Active
Directory,
в которую можно производить запись.
Поэтому все контроллеры домена в
среде Active Directory достаточно равноправны. Однако,
это усложняет картину, так как
теперь каждый контроллер домена
может делать записи в базу данных.
Как и в NT 4, у вас должно быть как
минимум два контроллера в домене
для целей избыточности, а, как
правило, и гораздо больше, в
зависимости от размера организации.
Вы создаете контроллер
домена в Windows 2000,
запуская Installation Wizard (мастер установки Active Directory) – dcpromo.exe. Этот инструмент не только позволяет
вам создавать новые контроллеры
домена, но и также новые домены,
деревья и леса. Он позволяет вам
также понижать контроллер домена до
рядового сервера, если вы того
желаете. Когда вы запускаете dcpromo.exe, вам
предоставляется выбор, показанный
ниже:
После того, как контроллер домена
создан, он хранит копию базы данных Active Directory (ntds.dit) и может проводить
аутентификацию пользователей
домена. База данных Active Directory
состоит из того, что принято
называть тремя разделами, как
показано на рисунке ниже:
Раздел «домен» реплицируется между
контроллерами только внутри одного
домена, в то время как разделы «конфигурация»
и «схема» реплицируются в каждый из
доменов, расположенных в лесу.
Хоть я и остановлюсь на всем этом более
детально позднее в этой серии, вы
должны знать, что некоторые из
контроллеров домена отличаются от
других специальными ролями, которые
они выполняют. Я коротко
остановлюсь на каждой из этих ролей:
Global
Catalog
Server
(сервер Глобального Каталога) –
сервер Глобального Каталога – это
контроллер домена, который знает о
каждом единичном объекте, который
существует в Active Directory, в каждом из доменов. Однако, он
сохраняет только часть атрибутов
каждого объекта, которые считаются
наиболее важными. По умолчанию
только один контроллер домена во
всем лесу выполняет эту роль –
первый контроллер домена, созданный
в лесу. Большее число серверов
Глобального Каталога может (и
должно) быть создано в лесу. Когда
контроллер домена действует как
сервер Глобального Каталога он
хранит четвертый раздел, как часть
базы данных Active
Directory
– раздел Глобального Каталога.
Помимо роли сервера Глобального
Каталога, контроллеры домена могут
выполнять еще пять специальных
ролей, называемых Operations Masters
(основные контроллеры операций). Они
перечислены ниже:
Schema
Master
(хозяин схемы) – в лесу только один
контроллер домена может выполнять
эту роль. Schema Master поддерживает схему Active Directory
и поддерживает копию схемы,
доступную для записи. По умолчанию
первый контроллер домена, созданный
в корневом домене леса, выполняет
эту роль.
Domain
Naming Master (Хозяин
именования доменов) – этот
контроллер домена отслеживает
домены, которые создаются и
удаляются из леса, поддерживая
целостность структуры леса, если
какие-либо изменения имеют место. В
лесу существует только один Domain Naming
Master и, по умолчанию, эту роль
выполняет первый контроллер,
созданный в корневом домене леса.
PDC
Emulator
(хозяин PDC)
– эта роль существует по паре
причин, одна из которых – обратная
совместимость с NT
4 контроллерами. Когда домен
повышается до Windows 2000, первая система, которая
подвергается модернизации – это PDC (главный контроллер домена), и этот
новый контроллер домена Windows
2000 эмулирует (имитирует) старый PDC
для оставшихся BDC
(резервных контроллеров домена),
работающих под Windows NT. PDC
Emulator
отслеживает изменения паролей и
выступает «арбитром» перед тем, как
пароль может быть отвергнут
системой. По умолчанию клиенты
предыдущих Windows
OS,
таких как Windows
9x
и NT
продолжают изменять свои пароли на PDC
Emulator
(до тех пор, пока на систему не будет
установлен клиент Active
Directory).
Один контроллер в каждом домене
выполняет роль PDC Emulator,
по умолчанию, это первый контроллер
созданный в домене.
Relative
Identifier
(RID)
Master
(Хозяин RID
(relative
identificator))
– в NT
4, PDC
отвечает за создание всех SID
(security
identificator),
то есть отвечает за создание всех
объектов безопасности («пользователь»,
«группа», «компьютер»). В Windows
2000 каждый контроллер домена может
создавать объекты безопасности. На
самом деле SID
состоит из двух частей - SID
(который определяет домен) и RID
(который определяет уникальный
объект внутри домена).Для того,
чтобы быть уверенным, что SID
уникален, один контроллер в каждом
домене выполняет роль RID
Master,
отвечающего за создание доменного
пула RID, и размещения этих RID на других контроллерах в
домене. Это позволяет быть
уверенным, что не произойдет
дублирования объектов SID.
В каждом домене Active
Directory
действует один RID
Master,
по умолчанию, это первый контроллер,
созданный в домене.
Infrastructure
Master
(Хозяин инфраструктуры) - Infrastructure
Master
отслеживает информацию о том, какие
пользователи (из других доменов)
являются членами той или иной
группы данного домена и все
изменения, которые имеют место. Это
позволяет быть уверенным в
непротиворечивости участия
пользователей в группах в Active
Directory.
Каждый домен в Active
Directory
имеет одного Infrastructure
Master,
по умолчанию, это первый контроллер,
созданный в домене.
Хотите
узнать больше об Active Directory?
Смотрите
здесь.
Обновление
до Windows 2000
Вы
должны быть очень хорошо знакомы с
процессом обновления домена Windows
NT
4.0 до домена Windows
2000 для сдачи экзамена 70-215. Создание
нового домена в Active
Directory
вовлекает вас в процесс обновления
уже существующих контроллеров
домена до контроллеров, работающих
под Windows
2000. Заметьте, что рядовые серверы и
рабочие станции могут быть
обновлены в любое время, независимо
от того, обновлен ли уже сам домен.
Когда
вы обновляете домен, первая машина,
которая должна быть обновлена – это
PDC.
Обновление домена позволит всей
информации, которая существует в
домене о пользователях, группах и
компьютерах, быть перенесенной в Active Directory.
Однако, перед тем, как вы обновите PDC, Microsoft
рекомендует вам провести полную
синхронизацию домена, и затем
только перевести один из BDC
контроллеров в автономный режим.
Если процесс обновления домена
провалится по какой-то причине, вы
сможете вернуть BDC обратно в сеть, повысить его до PDC,
и тем самым вернуть систему в
исходное состояние.
После
того, как вы обновите PDC и установите Windows
2000, dcpromo стартует автоматически
для того, чтобы автоматически
сделать систему контроллером
домена. Ваш домен теперь окажется в
состоянии, которое принять называть
Mixed
Mode
(смешанный режим) или состояние, где
контроллеры BDC (NT 4) могут продолжать работать,
взаимодействуя с обновленным PDC (который теперь является PDC эмулятором), как с источником
синхронизации домена. Если все
контроллеры домена будут обновлены
до Windows
2000, то вы можете переключить домен в Native Mode (основное состояние) Windows
2000 домена. Основные различия между
смешанным и основным режимами
описаны ниже:
Mixed
Mode – это состояние позволяет
резервным контроллерам домена NT продолжать функционировать,
и даже возвращать контроллеры
доменов Windows
2000 назад в NT.
В любом сценарии ваш домен
автоматически создается в Mixed Mode, требуя явного
переключения домена в Native
Mode.
Native
Mode
– в этом состоянии все контроллеры
домена работают под Windows 2000. Переключение в Native
Mode
дает вам возможность создавать
Универсальные группы, вложенные
группы и контролировать удаленный
контроль через политики RAS наряду с другими механизмами.
Заметьте,
что переход из Mixed Mode в Native
Mode
является односторонним процессом и
не может быть проведен в обратную
сторону. Вот некоторые проблемы/последствия,
связанные с обновлением доменов, о
которых вам необходимо знать:
-
Все
контроллеры, работающие под Windows
2000 требуют, как минимум, один раздел
с файловой системой NTFS для размещения папки SYSVOL.
Это структура папок, которая
нуждается в репликации среди
контроллеров домена.
-
Система,
которая обновляется должна быть
настроена на использование сервера DNS,
который поддерживает записи SRV
(служба).
-
Если
ни один DNS сервер недоступен, то Windows
2000 создаст его для вас, используя
интегрированный в Active Directory
DNS-сервер
(больше об этом в других статьях).
-
Если
процесс dcpromo дал сбой или выдал сообщение об
ошибке, удостоверьтесь, что имена
домена введены правильно, и что
соответствующее сетевое соединение
работает нормально, и что у вас
имеется достаточное дисковое
пространство (dcpromo
требует приблизительно 250 Мб
свободного места).
Если
вы хотите посмотреть установочную
таблицу для контроллера домена, смотрите
здесь.
И вот материал еще одной недели
завершен. На следующей мы продолжим
изучение Windows
2000 сервера и рассмотрим как сетевые
службы, так и управление объектами в
домене. Спасибо всем, кто
поддерживает выпуск моей серии, я
искренне признателен за это. Как
всегда жду вашей реакции на мою
работу, ваших комментариев и
вопросов. До следующей недели,
успехов в учебе!
Дэн
Вернуться
к списку статей
|