Внедрение, управление и поддержка сетевой инфраструктуры MS Windows Server 2003
[+]
Опубликован: 15.10.2008 | Доступ: свободный | Студентов: 3514 / 742 | Оценка: 4.48 / 4.23 | Длительность: 45:21:00
Темы: Сетевые технологии, Операционные системы
Специальности: Архитектор программного обеспечения
Теги: appletalk, BSOD, DFS, EAP, GPOS, MFT, microsoft word, NTLM, PPTP, remote access, tcp-ip, vpn, безопасность, интернет, кластеры, клиенты, компоненты, маршрутизаторы, поиск, политика, приложения, производительность, протоколы, серверы, телефония, теневые копии
Лекция 9:

Контроллеры доменов
A
|
версия для печати
< Лекция 8 || Лекция 9: 123456 || Лекция 10 >

Хозяин именования доменов

Хозяин именования доменов - это роль на уровне леса, и она используется для добавления или удаления доменов в лесу. У вас может быть только один хозяин именования доменов в лесу. Вы можете создавать и удалять домены с любого DC, но "хранителем данных" является DC, исполняющий роль хозяина именования доменов, и он разрешает или отклоняет ваши действия. Это препятствует тому, чтобы администраторы, работающие на различных DC, могли создать новый домен с тем же именем, но с другими настройками конфигурации. Остается только первый из доменов.

Примечание. Мастер именования доменов в лесу, находящемся на собственном функциональном уровне Windows Server 2003, не обязательно должен быть задан как глобальный каталог. Это отличается от Windows 2000.

Способ передачи роли хозяина именования доменов другому DC зависит от того, где вы работаете: на текущем хозяине именования доменов или на DC, который вы хотите сделать хозяином именования доменов. Но в любом случае вы должны быть членом группы Domain Admins (если у вас имеется только один домен в лесу) или группы Enterprise Admins (если у вас несколько доменов в лесу).

Если вы работаете на контроллере домена, который исполняет на данный момент роль хозяина именования доменов, то выполните следующие шаги.

  1. Откройте оснастку Active Directory Domains and Trusts из меню Administrative Tools.
  2. В дереве консоли щелкните правой кнопкой на Active Directory Domains and Trusts и выберите Connect to Domain Controller (Подсоединиться к контроллеру домена), чтобы открыть диалоговое окно Connect to Domain Controller (рис. 9.1).
  3. Чтобы выбрать другой домен для этой задачи, щелкните на кнопке Browse и выберите этот домен.
  4. Введите имя нужного DC или выберите это имя из списка контроллеров домена.
  5. Щелкните на кнопке OK.
  6. В дереве консоли снова щелкните правой кнопкой на Active Directory Domains and Trusts и выберите Operations Master, чтобы открыть диалоговое окно Change Operations Master (Сменить хозяина операций).

    Выберите домен и DC в этом домене, чтобы использовать этот DC как хозяина именования доменов

    Рис. 9.1. Выберите домен и DC в этом домене, чтобы использовать этот DC как хозяина именования доменов
  7. Щелкните на кнопке Change.
  8. Подтвердите изменение, щелкните на кнопке OK, чтобы убрать сообщение об успешном окончании, и щелкните на кнопке Close.

После этого произойдет передача роли хозяина именования доменов указанному компьютеру.

Если вы работаете на контроллере домена, которому хотите передать эту роль, то выполните следующие несколько шагов.

  1. Откройте оснастку Active Directory Domains and Trusts из меню Administrative
  2. Щелкните правой кнопкой на Active Directory Domains and Trusts и выберите Operations Master.
  3. В диалоговом окне Change Operations Manager (Изменение хозяина операций) будет представлено имя текущего хозяина именования доменов, и система будет предполагать, что вы хотите передать эту роль текущему DC.

  4. Щелкните на кнопке Change.
  5. Подтвердите изменение, щелкните на кнопке OK, чтобы убрать сообщение об успешном окончании, и щелкните на кнопке Close.

После этого произойдет передача роли хозяина именования доменов этому локальному компьютеру.

Хозяин относительных идентификаторов (RID)

Это роль на уровне домена, и в каждом домене может быть только по одному хозяину относительных идентификаторов (relative ID - RID). Хозяин RID - это "хранитель" пула уникальных идентификаторов безопасности (SID). Как уже говорилось выше в этой лекции, администраторы могут создавать новые объекты (пользователи и компьютеры) на любом DC. При создании этих новых объектов каждому из них присваивается свой идентификатор SID, который создается из нескольких частей.

  • Набор идентификаторов, привязанный к домену (все объекты в этом домене имеют одинаковые доменные идентификаторы).
  • Набор идентификаторов, привязанный к новому объекту, который называется относительным идентификатором (RID) и генерируется случайным образом.

Чтобы все объекты имели идентификаторы SID с уникальными RID, нужно, чтобы у вас был один источник для идентификаторов RID, и эту роль исполняет хозяин RID.

Обращение к хозяину RID происходит не при каждом создании нового объекта; вместо этого он предоставляет пул идентификаторов RID (500 RID за один раз) каждому DC Непосредственно перед тем, как DC исчерпает свой запас идентификаторов RID, он запрашивает у хозяина RID еще 500 RID. Поскольку хозяин RID не запрашивается все время, его работа не влияет на пропускную способность сети. И, конечно, из этого следует, что передача роли хозяина RID другому, более занятому DC, маловероятна. Но если у вас все же есть причина передать эту роль другому DC

в том же домене, то вы можете выполнить эту задачу с текущего хозяина RID и с DC, которому хотите передать эту роль.

Чтобы передать роль хозяина RID, когда вы работаете на компьютере, который является текущим обладателем этой роли, выполните следующие шаги.

  1. Откройте оснастку Active Directory Users and Computers.
  2. В дереве консоли щелкните правой кнопкой на Active Directory Users and Computers и выберите Connect to Domain Controller.
  3. Введите имя нужного DC или выберите его из списка имеющихся контроллеров домена.
  4. Щелкните на кнопке OK.
  5. В дереве консоли снова щелкните правой кнопкой на Active Directory Users and Computers и выберите All Tasks/Operations Masters (Хозяева операций).
  6. В диалоговом окне Operations Masters щелкните на вкладке RID.
  7. Щелкните на кнопке Change.
  8. Подтвердите изменение, щелкните на кнопке OK, чтобы убрать сообщение об успешном окончании, и щелкните на кнопке Close.

После этого произойдет передача роли хозяина RID указанному компьютеру.

Если вы работаете на DC, которому хотите передать эту роль, то выполните следующие шаги для передачи этой роли от текущего обладателя роли.

  1. Откройте Active Directory Users and Computers.
  2. В дереве консоли щелкните правой кнопкой на Active Directory Users and Computers и выберите All Tasks/Operations Masters.
  3. В диалоговом окне Operations Masters щелкните на вкладке RID.
  4. Щелкните на кнопке Change.
  5. Подтвердите изменение, щелкните на кнопке OK, чтобы убрать сообщение об успешном окончании, и щелкните на кнопке Close.

После этого произойдет передача роли хозяина RID локальному компьютеру.

Хозяин эмулятора главного контроллера домена (PDC)

Это роль на уровне домена, и в каждом домене леса может быть только один хозяин этой роли. Чтобы управлять хозяином эмулятора PDC, вы должны быть членом группы Domain Admins. Это довольно интересная роль, поскольку она предусматривает несколько различные функции в зависимости от функционального уровня домена, в котором она действует.

Пока в вашей сети не останется компьютеров с версиями Windows, которым не требуется PDC, роль PDC будет исполнять DC, который назначен как хозяин эмулятора PDC, и он будет использоваться для части сети, где еще остались резервные контроллеры домена. Если вы модернизировали не все DC NT 4 в своей сети, то оставшиеся DC NT 4 (то есть BDC) не будут допускать изменений учетных записей и будут искать PDC для внесения этих изменений. Кроме того, BDC будет выполнять доступ к этому эмулируемому PDC, когда ему требуются изменения в SAM. Если вам потребуется установить доверительное отношение с сетью NT 4, то эта сеть NT 4 не будет "контактировать" с любым компьютером, который не является главным контроллером домена (PDC). NT 4 действует только таким образом, и вы не можете "научить" ее действовать по-новому.

Но роль эмулятора PDC требуется также для других функций, и она остается востребованной даже после того, как вы удалили все DC NT 4 из своей системы. Услуги PDC могут требоваться клиентским компьютерам. Например, Network Neighborhood и My Network используют функции "обзора" и требуют выбора "главного обозревателя" (компьютер, который отслеживает имена всех компьютеров данной сети, чтобы представить их в сетевых папках). Поскольку таким главным обозревателем является по умолчанию PDC, то поддерживать эмулятор PDC в предположении этой задачи намного проще, чем выполнять все шаги, которые требуются, чтобы изменить способ выбора этого главного обозревателя.

Даже если ваша сеть состоит исключительно из компьютеров, работающих под управлением Windows 2000/XP/2003 Server, эмулятор PDC продолжает использоваться для одной полезной функции. Кроме услуг главного обозревателя он также обеспечивает важную функцию "срочной репликации". Хотя большинство изменений Active Directory реплицируются по всему предприятию через регулярные запланированные промежутки времени, одно изменение, внесенное вами в Active Directory, помечается как "срочная доставка" (urgent delivery) и реплицируется сразу. Это изменение пароля пользователя. Как только произошло изменение любого пароля на каком-либо DC предприятия, этот DC обращается к хозяину эмулятора PDC и записывает это изменение. Следующая запланированная репликация для этого не используется.

Когда пользователь пытается выполнить вход по этому новому паролю на другой DC (то есть не на тот DC, где первоначально было сделано это изменение), этот DC, возможно, еще не прошел через процесс репликации. Если соответствие этому паролю не найдено, то прежде чем отказать пользователю в праве входа, этот DC обращается к эмулятору PDC, запрашивая, есть ли какие-то изменения по данному пользователю. Эмулятор PDC отвечает, что имеется новый пароль, и если он совпадает с введенным паролем, то пользователю разрешается ввод.

Преимущества эмулятора PDC могут по-настоящему оценить администраторы, которые поддерживают пользователей в нескольких сайтах. Например, предположим, что у вас имеется пользователь, которого нет на работе, когда истек срок действия его пароля, а домен сконфигурирован таким образом, что пользователь должен выполнять вход для изменения паролей. Или, предположим, что у вас есть забывчивый пользователь, который несколько раз ввел неверный пароль, что вызвало блокировку его учетной записи. Этот пользователь находится в филиале East Overcoat, (штат Айова), а администраторы находятся в офисе Denver, штат Колорадо. Если бы не было эмулятора PDC, то после ввода нового пароля для этого пользователя (с помощью оснастки Active Directory Users and Computers) в офисе Denver вам пришлось бы ждать следующей репликации, чтобы новый пароль был передан аутентифицирующему DC в East Overcoat. Даже если прибегнуть к ручной репликации, ее выполнение через глобальную сеть может оказаться долгим процессом и ваш пользователь не сможет выполнять свою работу некоторое время. Кроме того, если имеются перемещающиеся (блуждающие) пользователи в системе, где требуется регулярная смена пароля, вы легко увидите преимущества использования эмулятора PDC.

Возможно, наиболее важной (и наименее оцененной) ролью эмулятора PDC является синхронизация времени на уровне леса. Компьютеры Windows 2000/XP/2003 Server конфигурируются для периодической сверки с сервером времени, чтобы их время соответствовало времени на этом сервере. Хозяин эмулятора PDC является уполномоченным сервером времени для леса.

Хотя очевидно, что синхронизация таймеров нужна для поддержания точности меток времени документов и записей баз данных, имеется намного более важная причина для синхронизации времени в сети Windows Server 2003 или Windows 2000, поскольку это связано с безопасностью вашего предприятия. Kerberos использует синхронизированное время как одну из контрольных точек, прежде чем разрешить пользователям доступ к сетевым ресурсам. Kerberos действует, исходя из принципа, что если время на вашем компьютере отличается от времени сетевого компьютера, к которому выполняется доступ, значит, вы "злоумышленник".

Информацию по временным службам, которые требуются на вашем предприятии, см. ниже в разделе "W32Time". Если вы осознали важность временных служб, то после передачи роли эмулятора PDC другому DC, вы сконфигурируете также этот новый DC для синхронизации времени с каким-либо внешним уполномоченным источником времени.

Чтобы передать роль эмулятора PDC, когда вы работаете на компьютере, который является текущим обладателем этой роли, выполните следующие шаги.

  1. Откройте оснастку Active Directory Users and Computers.
  2. В дереве консоли щелкните правой кнопкой на Active Directory Users and Computers и выберите Connect to Domain Controller.
  3. Введите имя нужного DC или выберите его из списка имеющихся контроллеров домена.
  4. Щелкните на кнопке OK.
  5. В дереве консоли снова щелкните правой кнопкой на Active Directory Users and Computers и выберите All Tasks/Operations Masters.
  6. В диалоговом окне Operations Masters щелкните на вкладке PDC.
  7. Щелкните на кнопке Change.
  8. Подтвердите изменение, щелкните на кнопке OK, чтобы убрать сообщение об успешном окончании, и щелкните на кнопке Close.

После этого произойдет передача роли эмулятора PDC указанному компьютеру.

Если вы работаете на DC, которому хотите передать эту роль, то выполните следующие шаги для передачи этой роли от текущего обладателя роли.

  1. Откройте Active Directory Users and Computers.
  2. В дереве консоли щелкните правой кнопкой на Active Directory Users and Computers и выберите All Tasks/Operations Masters.
  3. В диалоговом окне Operations Masters щелкните на вкладке PDC.
  4. Щелкните на кнопке Change.
  5. Подтвердите изменение, щелкните на кнопке OK, чтобы убрать сообщение об успешном окончании, и щелкните на кнопке Close.

После этого произойдет передача роли эмулятора PDC локальному компьютеру.

Дальше >>
< Лекция 8 || Лекция 9: 123456 || Лекция 10 >

Вопросы и ответы

вопросов: 0