Введение в Windows Server 2003
Новые возможности Active Directory
Windows Server 2003 содержит новые средства и функции для Active Directory и редактора групповых политик Group Policy Editor. Конечно, если вы переходите в Windows Server 2003 из Windows NT, то все средства Active Directory и Group Policy являются новыми для вас. Вы узнаете об Active Directory в лекции 10 курса "Внедрение, управление и поддержка сетевой инфраструктуры MS Windows Server 2003", а о групповых политиках – в лекции 13 курса "Внедрение, управление и поддержка сетевой инфраструктуры MS Windows Server 2003", поэтому в данном разделе дается просто обзор некоторых новых средств.
Новые способы навигации и управления в Active Directory
Теперь проще управлять объектами Active Directory и искать их. Функции поиска улучшены, поэтому поиск того, что вам нужно, не только упрощен, но и выполняется быстрее. Возможности поиска зависят, конечно, от количества информации, которую вы вводите при создании объектов Active Directory. Например, если вы вводите информацию о рабочем окружении пользователя (отдел, подразделение, имя руководителя и т.д.), то можете выполнять поиск по этим фильтрам.
Чтобы управлять объектами в Active Directory, вы можете выбрать сразу несколько объектов и внести изменения в свойства этих объектов за один раз. Кроме того, вы можете перетаскивать объекты между контейнерами методом "drag and drop". Это удобный способ добавления пользователей (или групп) в одну группу.
Администраторы могут теперь налагать квоты Active Directory, чтобы ограничивать количество объектов, которыми может владеть пользователь, группа или компьютер. Члены групп Domain Administrators (Администраторы домена) и Enterprise Administrators (Администраторы предприятия) исключаются из этих квот.
Вы можете изменять местоположение по умолчанию для пользовательских и компьютерных учетных записей. Перемещение этих учетных записей из контейнеров Users и Computers в организационные единицы (OU) означает, что вы можете применять к ним групповые политики.
Вы можете также создать контроллер домена (DC) путем восстановления из резервной копии существующего DC. Это невероятно эффективный способ развертывания домена (подробнее см. в лекции 9 курса "Внедрение, управление и поддержка сетевой инфраструктуры MS Windows Server 2003").
Сохраняемые запросы
Консоль Active Directory Users and Computers теперь содержит папку Saved Queries (Сохраняемые запросы) в дереве консоли, и вы можете использовать ее для создания, сохранения и редактирования запросов. Это позволяет обходиться без необходимости разработки нестандартных скриптов ADSI, которые выполняют запросы по объектам Active Directory. Сохраняемые запросы – это быстрый способ доступа к набору объектов каталога, когда вам требуется управление или просмотр этих объектов. Вы можете копировать свои настроенные запросы на другие контроллеры того же домена Windows Server 2003.
Создание сохраняемых запросов начинается со щелчка правой кнопкой на папке Saved Queries и выбора New/Query (Создать/Запрос). Задайте имя запроса и при необходимости введите описание.
Затем создайте запрос с помощью средств диалогового окна New Query. Щелкните на кнопке Browse, чтобы выбрать контейнер, который хотите использовать как корень для запросов.
Щелкните на кнопке Define Query (Определить запрос), чтобы определить типичный запрос, используя вкладку Users, Computers или Groups (вы не можете смешивать типы объектов).
Разделы каталогов приложений
Раздел каталога приложений (application directory partition) – это раздел каталога, который сконфигурирован для ограниченной репликации, когда данные реплицируются только на определенные контроллеры домена (DC). После репликации каждый из участвующих в репликации DC содержит полную реплику этого раздела.
Как приложения, так и службы ОС могут хранить данные в разделе каталога приложений, и единственным ограничением является то, что раздел каталога приложений не может содержать субъектов (принципалов) безопасности. В большинстве случаев раздел каталога приложений создается приложением, которое управляет этим разделом в дополнение к хранению его данных в этом разделе. Однако администраторы могут использовать утилиту командной строки Ntdsutil, чтобы вручную создавать разделы каталога приложений или управлять разделами, которые созданы приложениями.
Раздел каталога приложений может быть дочерним разделом каталога домена или другого раздела каталога приложений. Например, если я создаю раздел каталога приложений с именем AppsA как дочерний раздел моего домена ivenseast.com, то он имеет DNS-имя appsa.ivenseast.com и отличительное имя dc=appsa, dc=ivenseast, dc=com. Если я затем создаю раздел каталога приложений с именем AppsB как дочерний раздел первого раздела каталога приложений, то он имеет DNS-имя appsb.appsa.ivenseast.com и отличительное имя dc=appsb, dc=appsa, dc=ivenseast, dc=com. Вы увидите, что иерархическая логика этих разделов упрощает управление этими разделами.
Вы можете также создать раздел каталога приложений как корень нового дерева в существующем лесу. Например, ivenseast.com является корнем единственного дерева доменов в моем лесу. Я могу создать раздел каталога приложений с DNS-именем appsc и отличительным именем dc=appsc. Этот раздел каталога приложений не является частью того дерева, которое используется для ivenseast.com ; он является корнем нового дерева в данном лесу.
Достоинства этого средства очевидны: оно снижает трафик репликации в лесу. Кроме того, вы можете ограничить репликацию данных только теми DC, где эти данные нужны пользователям, которые подсоединяются к указанным DC, что позволяет резко ограничить трафик межсайтовой репликации.
Улучшения в репликации
В Windows Server 2003 изменен способ репликации базы данных Active Directory и глобального каталога за счет использования нового принципа, который называется linked value (связанное значение). Если в глобальном каталоге изменяются атрибуты, то реплицируются только изменения. Например, после изменений реплицируются только отдельные члены группы вместо репликации всех членов группы. Кроме того, новые алгоритмы делают процессы репликации более быстрыми и эффективными, действуя между несколькими сайтами и доменами внутри леса.
Переименование Active Directory и доменов
Windows Server 2003 позволяет вам изменять имена DNS и NetBIOS для домена. Ранее для переименования домена требовалось, чтобы вы создали новый домен и затем выполнили миграцию всех существующих объектов этого домена в новый домен. Эта новая возможность давно требовалась администраторам в компаниях, которые участвуют в слияниях и приобретениях. Кроме того, это великолепное средство для администраторов, которые решают отделить внутреннюю инфраструктуру от интернета путем создания отдельных DNS-имен (для повышения уровня безопасности).
Улучшения в уровнях готовности и надежности
Мы всегда стремимся получить надежность 0,9999, и в Windows Server 2003 включены некоторые средства, помогающие в этом.
Автоматизированное восстановление системы
Процедуры восстановления с помощью гибких дисков становятся все сложнее и сложнее для реализации в Windows. Последним "работающим" процессом восстановления было использование диска аварийного восстановления ERD (Emergency Repair Disk) в Windows NT 4. В Windows 2000 также существовал способ создания ERD-диска, но размер файлов данных делал его почти бесполезным.
Средство автоматизированного восстановления системы ASR (Automated System Recovery) – это средство восстановления с использованием гибкого диска, но в отличие от ERD средство ASR привязано к соответствующей резервной копии файлов, необходимых для загрузки Windows. Вы можете сохранять эту резервную копию на локальном ленточном накопителе или на локально подсоединенном съемном диске. Подробнее об этом см. в лекции 17 курса "Внедрение, управление и поддержка сетевой инфраструктуры MS Windows Server 2003".
Emergency Management Services
Служба Emergency Management Services (EMS) обеспечивает механизм управления серверами, когда не функционирует операционная система. Если сервер работает нормально, то вы можете управлять им дистанционно с помощью обычных средств администрирования, предоставляемых в Windows Server 2003. Дистанционное управление серверами с помощью этих средств называется управлением по каналам сети (in-band management) или работой с помощью in-band-соединения. К in-band-соединениям относятся сетевые адаптеры, модемы, ISDN и другие знакомые вам средства.
Если in-band-соединение недоступно, то вы можете использовать для доступа и администрирования компьютера Windows Server 2003 службу EMS. Это называют работой с помощью так называемого out-of-band-соединения (по вспомогательному каналу), для которого не требуются даже сетевые драйверы операционной системы. Вы можете использовать out-of-band-соединение даже для поиска и устранения проблем сервера, который не полностью инициализирован и не работает в полной мере. В большинстве случаев вы можете делать это дистанционно, если этот сервер снабжен оборудованием для out-of-band-соединения (под это описание подходят автономные [headless] серверы). На самом деле, вам нужно подходить к такому серверу, только когда требуется установить его оборудование.
EMS работает в текстовом режиме терминала, а не в графическом режиме, по-этому вы можете использовать эту службу с широким диапазоном устройств обмена информацией (наиболее типичные из них – последовательные порты) с помощью таких out-of-band-средств, как эмуляторы терминалов. Конечно, это также означает, что вы можете использовать EMS с другими платформами, такими как UNIX и Linux.
Средство миграции состояния пользователей (USMT)
Если вы развертываете Windows Server 2003 как модернизацию, то средство User State Migration Tool (USMT) считывает существующие настройки, файлы и документы. Вам не приходится повторно конфигурировать эти настройки.
Совместимость программ
Windows Server 2003 содержит два средства, помогающих вам запускать унаследованные программы: Compatibility Wizard (Мастер совместимости) и Program Compatibility Mode (Режим совместимости программ). Эти средства особенно полезны для программ вашей собственной разработки, которые содержат жесткие ссылки на версии Windows (распространенная проблема в программировании).
Мастер проводит вас через шаги, необходимые для тестирования программы с точки зрения совместимости с версией Windows. Если задан режим совместимости (например, программа наиболее совместима с Windows 9x), то данная программа всегда запускается в этом режиме. Вы можете также запускать мастер Program Compatibility Wizard в файле установки для соответствующей программы.
Program Compatibility Mode выполняет аналогичную задачу, но без мастера, работая непосредственно с исполняемым файлом. В Windows Server 2003 все исполняемые файлы имеют новую вкладку Compatibility (Совместимость) в диалоговом окне Properties (см. рис. 1.1). Вы можете использовать эти опции для задания версии Windows, настроек видео и настроек безопасности. В "Основы работы системы для серверов" содержатся подробные инструкции по использованию всех возможностей этого средства.
Рис. 1.1. Программы, которые работали раньше, будут продолжать работать с помощью опций вкладки Compatibility
Служба теневой копии тома
Теневая копия тома – это "моментальная" репликация папки документов. Вы можете конфигурировать эту службу для создания набора копий, отражающего текущее состояние каждого документа в папке (включая документы, с которыми работают в данный момент). Каждый набор создается отдельно в соответствии с датой и временем его создания. Когда пользователи вносят изменения в документы, они могут считывать предыдущие версии этих документов из теневой копии. Это лучше, чем просто резервные копии, для больших важных документов, над которыми работают несколько пользователей. (Подробнее об этом см. в лекции 7 курса "Внедрение, управление и поддержка сетевой инфраструктуры MS Windows Server 2003".)
Результирующий набор политики
Одной из наиболее удручающих сторон Windows 2000 является тот факт, что я, как и многие администраторы, в конце концов, теряю след политик, которые я применяю к пользователям и компьютерам. Интерфейс пользователя групповой политики не позволяет определить, что у вас сделано. Windows Server 2003 содержит удобное средство под названием RSoP (Resultant Set of Polices – Результирующий набор политики), которое позволяет вам видеть результат применения настроек политики к компьютерам и пользователям. И, наконец, я могу теперь выполнять отладку политик, если пользователи жалуются на неприемлемые ограничения или медленную загрузку из-за слишком большого числа политик. Еще важнее то, что RSoP имеет "режим планирования", который показывает вам результат политик до начала их применения.