Архитектура службы каталога позволяет администратору осуществлять формирование структуры каталога на трех уровнях:
доменная структура каталога (создание структуры доменов); логическая структура каталога (создание подразделений); физическая структура каталога (создание подсетей и сайтов).
Каждый из этих уровней индивидуален для каждой отдельной компании. Однако прежде чем приступить к их реализации, необходимо оценить существующее окружение, собрать информацию об организационной структуре и состоянии сетевых коммуникаций предприятия. Весь собранный на этом этапе материал явится основной для дальнейшего планирования. Оцените общее количество пользователей вашей сети. Если компания состоит из нескольких филиалов, оцените количество пользователей в каждом из них. Дополнительно оцените возможность увеличения числа пользователей. В процессе проектирования структуры каталога рекомендуется исходить из расчета, что произойдет увеличение количества пользователей в полтора раза. Такой подход позволит вам создать возможности роста вашей сети без необходимости ее реорганизации. Оцените состояние корпоративной вычислительной сети на физическом уровне. Соберите информацию о сушествующих коммуникационных линиях. Важными являются сведения о пропускной способности, степени ее использования, количестве компьютеров в каждой из подсетей.
В данной главе мы рассмотрим некоторые важные вопросы планирования структуры Active Directory, которые нужно решить до начала процесса развертывания доменов на базе Active Directory. Игнорирование этих вопросов (например, выбор правильного имени DNS для корневого домена) может привести к тому, что вся структура доменов окажется несоответствующей требованиям организации. Затем мы подробно рассмотрим операции по установке контроллеров и созданию дерева доменов.
В службе каталога Windows 2000 существует понятие режима функционирования домена (domain mode). Домен может находиться в одном из двух режимов — основном (native) или смешанном (mixed). Режим функционирования домена определяет возможность использования контроллеров домена Windows NT. В Windows Server 2003 появилось понятие функционального уровня (functional level). Функциональный уровень определяет доступные функциональные возможности.
Введение понятия функционального уровня позволяет обеспечить возможность сосуществования в сети контроллеров домена, находящихся под управлением различных версий операционных систем. Как следствие, администратор может реализовать постепенный, поэтапный перевод корпоративной сети на новую версию операционной системы. Необходимость введения понятия функционального уровня обусловлена ограничением на использование некоторых функциональных возможностей в ситуации, когда в домене (или лесе доменов) присутствуют контроллеры домена Windows NT/2000.
Функциональный уровень определяется как для отдельных доменов, так и для всего леса доменов в целом.
Функциональный уровень, на котором находится домен, определяет набор функциональных возможностей, доступных для этого домена. Уровни Windows 2000 mixed и Windows 2000 native соответствуют смешанному и основному режимам функционирования домена Windows 2000. Охарактеризуем каждый из функциональных уровней.
Windows 2000 mixed. Этот функциональный уровень допускает сосуществование в домене контроллеров домена, находящихся под управлением различных операционных систем (Windows NT/2000 и Windows Server 2003). Контроллеры домена Windows NT могут существовать в системе только в качестве резервных контроллеров домена (Backup Domain Controller, BDC). Один из контроллеров домена (Windows 2000 или Windows Server 2003) выступает для резервных контроллеров домена Windows NT в качестве основного контроллера домена Windows NT (Primary Domain Controller, PDC). На данном уровне недоступен ряд возможностей Windows 2000 доменов — универсальные (universal) группы безопасности, вложенность групп и т. д. Все создаваемые домены по умолчанию находятся на этом функциональном уровне. Windows 2000 native. Данный функциональный уровень ограничивает перечень используемых контроллеров доменов (Windows 2000 и Windows Server 2003). Это объясняется тем, что в домене больше не поддерживается механизм NTLM-репликации, используемый Windows NT. Тем не менее, клиенты могут работать под управлением любых операционных систем. На этом функциональном уровне становятся доступны все возможности Windows 2000 доменов. Однако ряд функциональных возможностей Windows Server 2003 недоступен — возможность переименования контроллеров домена, использование объектов класса InetOrgPerson, номера версий ключей Kerberos. Windows Server 2003. Если домен переведен на этот функциональный уровень, в нем допускается использование только контроллеров домена Windows Server 2003. На этом уровне становятся доступны все функциональные возможности службы каталога Windows Server 2003.
Существует одно серьезное ограничение, связанное с использованием функциональных уровней. Архитектура службы каталога допускает только повышение функционального уровня. Другими словами, если домен находится на уровне Windows Server 2003, он не может быть переведен на уровни Windows 2000 mixed или даже Windows 2000 native. Это обусловлено принципиальными изменениями, происходящими в каталоге после повышения функционального уровня.
Не требуется, чтобы все домены леса (или дерева доменов) находились на одном функциональном уровне. Тем не менее, функциональный уровень доменов определяет функциональный уровень леса.
Подготовка к установке контроллера домена
Прежде чем приступить к установке контроллера домена, администратор должен проделать несколько подготовительных операций. В первую очередь администратор должен убедиться в том, что компьютер, выбранный на роль контроллера домена (а, следовательно, носителя копии каталога), отвечает предъявляемым к нему требованиям. Прежде всего, речь идет о минимальных аппаратных и программных требованиях, соблюдение которых является одним из условий успешного выполнения операции установки.
Кроме того, перед выполнением установки контроллера домена необходимо убедиться в работоспособности службы DNS. Ранее уже неоднократно говорилось о роли этой службы в процессе функционирования Active Directory. Тестирование службы DNS на подготовительном этапе позволит предотвратить возникновение проблем в процессе установки контроллера домена.
Требования и ограничения
Процесс повышения выделенного сервера до контроллера домена требует выполнения определенных условий. Рассмотрим эти требования.
Перед установкой на сервере должен быть установлен стек протоколов TCP/IP и для каждого из интерфейсов сервера выделен статический IP-адрес. Впоследствии администратор может изменить этот адрес и заново зарегистрировать в базе данных DNS доменное имя с уже новым адресом. Для сервера должен быть установлен DNS-суффикс, соответствующий имени домена, для которого будет устанавливаться контроллер домена. Последнее требование является необязательным, если установлен флажок Change primary DNS suffix when domain membership changes. В этом случае система автоматически определит DNS-суффикс при включении сервера в состав некоторого домена. Служба каталога может быть установлена на раздел диска с файловой системой NTFS. Это требование обусловлено соблюдением должного уровня безопасности, требующего разграничения доступа к файлам, непосредственно на уровне файловой системы (скажем, файловая система FAT не предоставляет такой возможности). Кроме того, раздел, предназначенный для установки службы каталога, должен иметь как минимум 250 Мбайт свободного дискового пространства. С целью повышения производительности службы каталога администратор может разместить файлы хранилища каталога и журнала транзакций на отдельные физические диски. Это позволит избежать конкуренции операции ввода/вывода.
Разумеется, в этом случае каждый из задействованных разделов должен быть отформатирован под NTFS.
Операция установки контроллера домена требует наличия у выполняющего ее пользователя определенных полномочий. Установка первого контроллера домена в лесе осуществляется на одиночном сервере, не являющимся частью какого-либо домена. В этой ситуации пользователь должен обладать полномочиями локального администратора на том сервере, на котором происходит установка. Если происходит установка первого контроллера в домене (в рамках уже существующего леса доменов), пользователь должен являться членом группы Enterprise Admins (Администраторы корпорации). В случае установки дополнительного контроллера в домене пользователь должен быть либо членом уже упомянутой группы, либо членом группы Domain Admins (Администраторы домена).
Установка контроллера домена Windows Server 2003
Процедура установки контроллера домена (также называемая повышением роли сервера до контроллера домена) выполняется при помощи мастера Active Directory Installation Wizard (Мастер установки Active Directory). Этот мастер запускается утилитой командной строки Dcpromo.exe.
В процессе установки контроллера домена происходит наполнение каталога. В случае установки первого контроллера домена в лесе все содержимое каталога создается непосредственно мастером установки. Если в лесе создается новый домен, то мастер установки создает исключительно доменный раздел. Раздел схемы и каталога копируется с уже существующих контроллеров домена. В ситуации, когда администратор создает дополнительный контроллер в уже существующем домене, имеется два варианта наполнения каталога:
все содержимое каталога копируется с уже существующего контроллера домена; содержимое каталога воссоздается из резервной копии каталога.