Для начала можно почитать об этом в Internet на сайте Microsoft или в журнале Windows 2000 Magazine, обращая внимание на процедуры и технические приемы, специально разработанные для построения смешанной вычислительной среды. Правда, несмотря на то что за последнее время появилось много новой информации на данную тему, реальная помощь от нее будет крайне мала. Я тестирую смешанную среду - NT 4.0 и Windows 2000 - уже несколько месяцев и готова поделиться с читателями своим опытом в конфигурации систем Windows 2000 и их интеграции в сеть NT 4.0.

Тестирование в четыре приема

Моя тестовая вычислительная среда состояла из домена NT 4.0, одного основного контроллера домена (PDC), одного резервного контроллера (BDC), автономного сервера NT 4.0 RAS с PPTP и двух рабочих станций NT 4.0. На большинстве систем NT 4.0 установлены пакеты исправлений Service Pack 5 (SP5) и отдельные модули коррекции, написанные разработчиками Microsoft после выхода SP5. Со стороны среды Windows 2000 была задействована станция IBM ThinkPad 600E под управлением предустановленной Windows 2000 Professional (build 2194). Несколько позже я установила на ту же станцию Windows 2000 Advanced Server, как альтернативную операционную систему. Кроме того, я опробовала четыре разные варианта настройки Windows 2000 AS на компьютере Dell XPS T, а именно: автономный сервер, контроллер домена, контроллер домена с функцией Certificate Authority (CA) и, наконец, как VPN-сервер в режиме автономного сервера CA.

Всего было проведено четыре различных испытания. Во-первых, я исследовала все этапы процедуры установки и конфигурации для успешного запуска станции Windows 2000 Pro и автономного сервера Windows 2000 AS, а также их последующего подсоединения к домену NT 4.0. Во-вторых, были протестированы возможности доступа между доменами Windows 2000 и NT 4.0, при наличии и отсутствии доверительных отношений между ними. В частности, во время испытания смешанной доменной среды, я зарегистрировала систему Windows 2000 Professional в оба домена. В-третьих, я испытала несколько VPN-соединений, в том числе между станцией Windows 2000 Professional и сервером NT 4.0 RRAS, Windows 2000 Professional и сервером Windows 2000 RRAS и, наконец, между клиентом NT 4.0 VPN и сервером Windows 2000 RRAS. В-четвертых, я провела ряд экспериментов с оснастками Microsoft Management Console (MMC snap-ins), удаленно управляя системами NT 4.0 со станции Windows 2000.

Поскольку загрузка производилась в одну из четырех систем на станции Windows 2000 и в одну из трех систем на другой станции, требовалось отслеживать текущее состояние загруженной версии операционной системы. Скоро выяснилось, что имя и домен системы Windows 2000 можно быстро установить двумя способами:

  • открыв контекстное меню My Computer (щелчок правой кнопкой мыши) и выбрав закладку Identification;
  • открыв контекстное меню My Network Places, выбрав Properties, затем закладку Advanced и щелкув на Network Identification.

Множественная загрузка системы Windows 2000

Операционная система Windows 2000 AS нормально загружалась в один из двух системных каталогов, расположенных на одном физическом диске, и в один из трех системных каталогов, находящихся на одном и том же логическом диске. Нужно помнить о том, что для выполнения успешной загрузки при параллельно установленных ОС, следует обязательно присвоить уникальные имена системным каталогам. Добавлю, что у меня не возникло затруднений при двойной загрузке на портативном компьютере, при наличии на диске С системы Windows 2000 и NT 4.0. На станции Dell XPS T я загружалась в систему NT Workstation 4.0 (каталог C:winnt), в систему Windows 2000 Professional (каталог C:win2kpro), в систему Windows 2000 AS (каталог D:win2kas), в систему, реализующую контроллер домена (каталог D:win2kdc), и в систему с сервером VPN (каталог E:win2kserver). Во избежание путаницы при загрузке, файл boot.ini был своевременно отредактирован и записи по умолчанию заменены с таким расчетом, чтобы отражать загрузочную конфигурацию операционной системы (т. е. Windows 2000 AS, VPN и т. д.).

Рисунок 1. Выбор системы, загружаемой по умолчанию.

Чтобы задать загрузочный каталог по умолчанию, я открыла контекстное меню My Computer, выбрала в Properties закладку Advanced и щелкнула мышью на кнопке Startup and Recovery. Как показано на Рисунке 1, окно Startup and Recovery в части System startup в строках меню отображает все записи файла инициализации boot.ini. Из них я выбрала ту, которая соответствовала загрузочному каталогу (т. е. операционной системе), куда планировалось загружаться по умолчанию. В процессе начальной загрузки Windows 2000 выводит на экран все записи файла boot.ini, так что всегда есть возможность с помощью клавиш перемещения курсора отказаться от загрузочного каталога, принятого по умолчанию, и выбрать для загрузки другую операционную систему.

Включение системы Windows 2000 в домен NT 4.0

Как и в случае с NT 4.0, для успешной регистрации станции Windows 2000 в домен NT 4.0 предварительно необходимо создать для нее в домене учетную запись. Интересно, что после того, как я отключила переносной компьютер Windows 2000 Professional от сети на неделю, произошла рассинхронизация пароля для учетной записи ноутбука и соответствующего ему пароля в домене NT 4.0, так что зарегистрироваться в домене мне не удалось. Выясняя причину случившегося, я обнаружила в системном журнале событий переносного компьютера следующее сообщение:

Because of repeated network problems, the time service has not been able to find a domain controller to synchronize with for a long time. To reduce network traffic, the time service will wait 960 minutes before trying again. No synchronization will take place during this interval, even if network connectivity is restored...

«В связи с проблемами на сетевом уровне служба time service в течение долгого времени не могла обнаружить контроллер домена для выполнения процедуры синхронизации. Для снижения сетевого трафика служба time service увеличивает тайм-аут до 960 мин, прежде чем вновь попытаться запустить процедуру синхронизации. В течение этого времени синхронизация не будет выполняться, даже если сетевое соединение будет восстановлено…»

Служба времени Windows 2000 - time service - отвечает за синхронизацию системного времени и даты, и соответствующие модули Windows 2000 «отслеживают» состояние корневого контроллера домена, рассматриваемого по умолчанию в качестве штатного сервера времени. Процедура синхронизации времени необходима Windows 2000, поскольку Kerberos-аутентификация для формирования билета аутентификации станции использует ее системное время. В том случае, когда система по тем или иным причинам не в состоянии «достучаться» до контроллера домена Windows 2000 в течение всего периода обновления, службы протокола Kerberos не могут создать билет аутентификации, в результате чего ни пользователь, ни собственно станция не могут зарегистрироваться в домене.

Главный контроллер домена NT 4.0 - NT 4.0 PDC - в моем случае не является сервером времени, так что системы Windows 2000 не имели источника синхронизации, о чем, собственно, и говорилось в приведенном выше сообщении. Если в данный момент в сети NT 4.0 сервер времени отсутствует, его без труда можно организовать на базе любой серверной системы NT 4.0 или же, получив доступ в Internet, воспользоваться одним из нескольких общедоступных серверов времени Internet для установки системного времени на системах Windows 2000. Команда

net time /setsntp:

создает в сети штатный источник времени, а команда

net time /querysntp

сообщает администратору сети имя штатного сервера времени.

Для того чтобы вручную реактивировать учетную запись станции Windows 2000 (после рассогласования пароля на станции с паролем учетной записи в домене NT 4.0 на PDC), следует удалить и заново создать учетную запись станции в домене NT 4.0. Теперь нужно перезагрузить станцию Windows 2000, чтобы внешние изменения вступили в силу.

Рисунок 2. Два доступных домена.

Если не считать мелких шероховатостей, связанных с окончанием срока действия пароля учетной записи станции, компьютер с установленной Windows 2000 Professional был включен в состав домена NT 4.0 без осложнений. Процесс подключения станции к домену NT 4.0 происходит точно так же, как и в случае с доменом Windows 2000. Чтобы изменить принадлежность станции Windows 2000 к ранее заданному домену, нужно раскрыть контекстное меню My Computer, выбрать Properties, затем закладку Network Identification и щелкнуть кнопку Properties, после чего ввести название нового домена для данной станции. Далее потребовалось ввести имя и пароль пользователя, уполномоченного подключать к домену Windows 2000 рабочие станции. Завершив поиск контроллера домена Windows 2000, операционная система уведомила меня, что для активизации внесенных изменений следует перезагрузить рабочую станцию. После перезагрузки системы процесс подключения станции к домену Windows 2000 был успешно завершен. Я без труда неоднократно перемещала свою станцию из одного домена в другой в течение всего времени тестовых испытаний. На Рисунке 2 станция Windows 2000 принадлежит домену NT 4.0 под названием Wildwooda. Хочу отметить, что одна и та же рабочая станция может одновременно входить в состав нескольких доменов, но регистрируется лишь в каком-то одном из них.

Windows 2000 AS

В самом начале тестирования я пыталась сконфигурировать автономный сервер Windows 2000 AS таким образом, чтобы избежать смешения динамического DNS (DDNS), присущего Windows 2000 и NT 4.0 DNS. Когда во время процедуры установки системы я проверила сетевые службы Networking Services (нажав на кнопку Details), оказалось, что процедура установки инсталлировала по умолчанию службы DNS и WINS, так что мне пришлось снять флажки с этих сетевых служб, чтобы предотвратить их развертывание. Позднее, когда программа установки задала вопрос, требуется ли изменить адрес сервера, установленный при помощи DHCP, на статический, я явным образом указала некоторый статический IP-адрес, маску подсети, шлюз по умолчанию, а также адреса штатных серверов DNS и WINS. Через несколько экранов программа установки произвела перезагрузку моего сервера Windows 2000 AS, но при этом система не смогла обнаружить контроллер домена NT 4.0. Наконец, после самой последней перезагрузки мне удалось зарегистрироваться под учетной записью локального администратора системы и изменить принадлежность к домену NT 4.0. После чего мой сервер с первой попытки был включен в состав домена NT 4.0.

Дабы убедиться, что вновь созданный автономный сервер Windows 2000 нормально работает в домене NT 4.0, можно воспользоваться тремя настройками. Во-первых, внести запись о хосте для новой станции Windows 2000 в штатный сервер DNS до того, как система Windows 2000 будет включена в состав домена. Во-вторых, задать некоторый DNS-суффикс для новой автономной станции Windows 2000. Если следовать процедуре инсталляции, которая была описана выше, то автономный сервер Windows 2000, скорее всего не будет иметь суффикс DNS, поскольку ни процедура установки, ни я сама такой суффикс не вводили. (По данным Microsoft, подобная проблема встречается только лишь во время установки автономного сервера Windows 2000 AS; процедура инсталляции самостоятельно задает значение суффикса DNS при создании контроллера домена.) Если не ввести суффикс DNS, может оказаться, что сервер не в состоянии выполнить разрешение сетевых имен TCP/IP, хотя в закладке DNS в окне Advanced TCP/IP Settings и был введен правильный адрес TCP/IP для штатного сервера DNS. Чтобы установить, описан ли для системы суффикс DNS, следует запустить с командной строки команду Ipconfig/all. Если поле Primary DNS Suffix (вторая строка в тексте на экране) пустое, нужно самостоятельно задать значение суффикса DNS.

Чтобы указать имя компьютера Windows 2000 и его суффикс DNS, следует открыть контекстное меню My Computer, выбрать Properties, затем закладку Networking Identification и щелкнуть кнопку Properties для отображения окна Identification Changes. В этом окне задается имя хоста станции (т. е. имя сервера Windows 2000). Теперь нужно щелкнуть мышью на кнопке More, откроется диалоговое окно DNS Suffix and NetBIOS Computer Name, в котором требуется указать суффикс DNS (например, wildwooda.com). На Рисунке 3 приведены оба диалоговых окна. Затем следует ввести всю остальную информацию, связанную с настройками TCP/IP, в том числе адрес TCP/IP, шлюз, сведения о DNS и WINS (в закладке Properties для описания свойств адаптеров LAN). После того как, наконец, введен суффикс DNS, остается щелкнуть ОК для перезагрузки устанавливаемого сервера. После загрузки ОС рекомендую повторить запуск процедуры Ipconfig/all и убедиться в том, что суффикс DNS совпадает с тем, который только что был задан.

Рисунок 3. Указание DNS суффикса вручную.

В-третьих, нужно снять флажок Register this connection?s addresses in DNS в закладке DNS в окне Advanced TCP/IP Settings. Windows 2000 AS выбирает этот параметр по умолчанию. Однако штатный сервер NT 4.0 DNS не распознает динамическую регистрацию имени. Если флажок не будет заранее снят, в журнале системных событий, System event log, появится несколько сообщений об ошибках DNS, в том числе:

Event ID 7053 DNS Server sendto() 
function failed.
The data is the error.

(«Сбой в работе функции DNS Server sendto(). Event ID 7053. Ошибка данных».)

и

Event ID 5000 DNS Server is logging numerous
 run-time events.
This is usually caused by the reception of bad
 or unexpected
packets, or from problems with or excessive
 replication traffic...

Event ID 5000. DNS Server зарегистрировал несколько событий уровня run-time.

(«Это обычно вызвано тем, что были приняты искаженные либо неизвестные пакеты или же возникли проблемы в связи со значительным трафиком репликации.»)

Настройка контроллера домена Windows 2000

Создание контроллера домена Windows 2000 происходит в тот момент, когда сервер Windows 2000 AS устанавливается с компонентом AD. Когда данная возможность выбирается для нового домена, программа установки запрашивает имя домена, которое, как правило, является полностью определенным именем домена - TCP/IP Fully Qualified Domain Name (FQDN, например, win2000mag.com). Одновременно запрашивается имя NetBIOS, которое должно быть тем же самым, что и для компьютера с NT 4.0 (допустим, win2000mag); Windows 2000 регистрируют имя NetBIOS в WINS NT 4.0 для совместимости. После перезагрузки контроллера домена AD администратор системы может управлять доменом Windows 2000 с помощью трех оснасток MMC: Active Directory Users and Computers, Active Directory Domains and Trusts, а также Active Directory Sites and Services. Все три приложения на правах отдельных административных утилит расположены в программной группе Administrative Tools.

Утилита командной строки Dcpromo может «понизить» систему на базе Windows 2000, служащую контроллером домена Windows 2000, до уровня автономного сервера. Запустить утилиту Dcpromo можно или через программу Configure Your Server в группе Administrative Tools, из окна Run, воспользовавшись меню Start, или просто из командной строки. После того как команда Dcpromo отработала, нужно перезагрузить компьютер для активизации нового состояния Windows 2000 - в роли автономного сервера. Во время тестовых испытаний я многократно меняла роль контроллеров домена Windows 2000 с неизменно превосходным результатом, и система ни разу не «зависла». Понижение роли сервера Windows 2000 прошло гладко и в том случае, когда речь шла о контроллере домена Windows 2000, который становился автономным сервером в составе домена NT 4.0.

Когда я устанавливала DNS на контроллере домена Windows 2000, приятное впечатление произвела программа-мастер, позволяющая описывать зоны, в том числе с реверсными адресами, которые больше не нужно задавать вручную. Служба DNS, как и большинство протестированных мною служб Windows 2000, имеет функцию рестарта, что позволяет избежать перезагрузок, обычных в случае работы с NT 4.0.

Рисунок 4. Двухсторонние доверительные отношения между Windows 2000 и NT 4.0.

После тестирования DNS я решила проверить регистрацию между доменами Windows 2000 и NT 4.0. Установка явно определенных доверительных отношений между доменами Windows 2000 и NT 4.0 происходит точно так же, как в многодоменной среде сети NT. Что касается Windows 2000, то нужно сначала запустить утилиту Active Directory Domains and Trusts, которая сформирует список доменов Windows 2000. Затем следует щелкнуть правой кнопкой мыши на домене Windows 2000, для которого требуется установить доверительные отношения, выбрать Properties и, наконец, закладку Trusts. Экран, который при этом появится (см. Рисунок 4), будет иметь явное сходство с соответствующим экраном в NT 4.0. На Рисунке 4 показаны явные двусторонние доверительные отношения между доменами Windows 2000 (Wildwooda) и доменом NT 4.0 domain (Wildwood).

Рисунок 5. Тестирование доверительных отношений.

Система на базе Windows 2000 более интеллектуальна в плане организации доверительных отношений, нежели система NT 4.0. Для того чтобы отобразить статус доверительных отношений, нужно выбрать любой из доменов, участвующих в доверительных отношениях, и щелкнуть на кнопке Edit. Определить причину затруднений при работе через доверительное соединение возможно с помощью режима верификации (см. Рисунок 5). Для этого нужно щелкнуть на кнопке Verify, и тем самым обновить доверительные отношения доменов. Поскольку я выполняла загрузку одной и той же станции, но только в разных конфигурациях (как автономный сервер и как контроллер домена Windows 2000), мне приходилось часто использовать описанную выше функцию.Я таким образом подтверждала, что доверительные отношения с NT 4.0 все еще существуют, хотя контроллер домена Windows 2000 в течение нескольких дней был выключен.

RRAS и CA

Я давно использую VPN, поэтому мне было интересно, что может предложить Windows 2000 в плане работы с виртуальными частными сетями как на серверной, так и на клиентской части. Кроме того, мне хотелось познакомиться с особенностями взаимодействия клиентов Windows 2000 VPN и существующих серверов, с одной стороны, и существующих клиентов и сервера Windows 2000 VPN, с другой.

Используя параметры, принятые по умолчанию, мне удалось очень быстро установить сервер Windows 2000 RRAS. При проведении первого теста RRAS я описала 10 портов PPTP и без труда создала соединения VPN между системами Windows 2000 и NT 4.0 и сервером Windows 2000 RRAS. После этого было организовано соединение между клиентом Windows 2000 PPTP и существующим сервером NT 4.0 RRAS. При проведении следующего теста с сервером Windows 2000 RRAS я описала 10 портов типа Layer 2 Tunneling Protocol (L2TP). После подтверждения задачи (в связи с тем, что L2TP работает с участием механизма IP Security, IPSec, в целях шифрования информации) я столкнулась с тем, что клиентам Windows 2000 L2TP потребовалась сертификация станций для выполнения успешного соединения с сервером Windows 2000 RRAS.

В состав сервера Windows 2000 AS входит служба сертификации, CA service, которую при необходимости можно установить в режиме Enterprise или Standalone. Если служба устанавливается в режиме Enterprise, групповая политика, Group Policy, описывает, каким образом компьютеры и пользователи запрашивают сертификационную информацию. По умолчанию CA автоматически предоставляет или блокирует сертификаты, основываясь на мандатах (полномочиях) инициатора запроса.

Если же CA устанавливается в режиме Standalone, администратору необходимо использовать Microsoft Internet Explorer (IE) или же любой другой браузер, чтобы вручную запросить сертификацию. Standalone CA описывает каталог общего доступа, serverCertSrv, к которому пользователи могут обращаться за сертификационной информацией, предварительно заполнив специальную форму, генерируемую службой CA. В отличие от версии Enterprise CA, версия Standalone требует участия администратора домена Windows 2000 (или использования учетной записи, права которой достаточны для обслуживания CA), чтобы санкционировать обработку запроса на предоставление сертификационной информации. Я установила Standalone CA, после чего запросила и получила компьютерный сертификат для своей рабочей станции Windows 2000, с которой, используя L2TP/IPSec, подсоединилась к серверу Windows 2000 RRAS без какой-либо задержки.

Анимационные значки сети, появляющиеся в правом нижнем углу экрана, весьма полезны для поиска и устранения неисправностей в LAN-, WAN- или VPN-соединениях. В моем случае станция Windows 2000 Professional одновременно поддерживала ISP-соединение, соединение по LAN, а также PPTP- и L2TP/IPSec-соединения с сервером Windows 2000 RRAS. Каждое из перечисленных соединений имело свой значок, который в точности соответствовал текущему состоянию соединения, на обоих его концах. Обратная связь, осуществляемая с помощью данного значка, дает пользователю полезную информацию и может оказать неоценимую помощь в ситуации, когда требуется исправить неполадки в линиях коммуникации. Наконец, индикаторы приема и передачи информации иногда помогают понять причину неожиданно больших временных задержек, с которыми любой пользователь может столкнуться, пока система Windows 2000 пытается отыскать, возможно, тщетно, тот или иной сетевой ресурс.

Поскольку я загружалась с тестовой станции Dell в самых различных вариантах инсталляции, иногда с поддержкой Windows 2000 RRAS, иногда без таковой, я была приятно удивлена, что RRAS без проблем восстанавливала связь с Internet через WAN-соединения. Базовые функции RRAS, которые удалось протестировать в системе Windows 2000, работали безупречно.

Удаленное администрирование с использованием MMC

Перед тем как приступить к длительному тестированию систем Windows 2000, следует загрузить из Internet руководство «Step-by-Step Guide to the Microsoft Management Console» (http://www.microsoft.com/windows2000/ library/planning/). Оно поможет разобраться, каким образом настраивать окружение консоли MMC. Индивидуальная настройка окон MMC позволяет заметно сэкономить время при администрировании системы. Я организовала одно окно для всех служб AD, другое - для CA и сертификатов, и еще одно для нужд мониторинга и обслуживания локальной системы.

Многие оснастки MMC имеют параметр, с помощью которого можно перейти к администрированию удаленных систем. Советую не пренебрегать этой возможностью, она позволяет организовать администрирование систем NT 4.0 в удаленном режиме с контроллеров домена или обычных серверов Windows 2000.

Рисунок 6. Использование консоли MMC для управления системами Windows 2000 и NT 4.0.

На Рисунке 6 показано диалоговое окно оснастки Computer Management из состава MMC, используемой для мониторинга трех систем: локального сервера Windows 2000, резервного контроллера домена NT 4.0 и некоторого автономного сервера NT 4.0 с именем ASPEN. Чтобы создать представленную на рисунке многооконную «картинку», при загрузке оснастки я выбрала флажок Allow the selected computer to be changed when launching from the command line («Разрешить изменения для выбранного компьютера при запуске с командной строки»), чтобы иметь возможность использовать этот инструмент для управления удаленными системами. Несмотря на то что многие функции Computer Management (дисковые квоты, дефрагментация дисков, менеджер устройств) специфичны для Windows 2000, еще остается возможность проверить, есть ли в системе разделяемые каталоги, открытые соединения, функция запуска и остановки служб на удаленной системе NT 4.0 - и все это через интерфейс MMC. При обращении к функции, которая не поддерживается системой NT, появится сообщение The connection to computername could not be established («Соединение с <имя_компьютера> не может быть установлено»).

Общее впечатление

В целом я была приятно поражена тем, насколько хорошо новые и старые технологии Windows уживаются вместе. Легкость изменения роли станции Windows 2000 от контроллера домена до автономного сервера, а также бесконфликтная кооперация доменов Windows 2000 и уже присутствующих в сети доменов очень меня порадовали. Портативный компьютер IBM ThinkPad без проблем «грузился» и с Windows 2000 Professional, и с Windows 2000 AS, при этом безупречно работали функции энергосбережения, что также не может остаться незамеченным. Клиенты Windows 2000 и NT 4.0 свободно переходили из одного домена в другой, как мне было нужно. В течение нескольких недель тестовых испытаний станция Windows 2000 ни разу не «зависала» и не припугнула меня «голубым экраном смерти».

Мастера установки Windows 2000 облегчают инсталляцию новых компонентов, и, на мой взгляд, установки по умолчанию вполне адекватны для того, чтобы начать работу с системой. Добавляя новые компоненты или функции, стоит начать со значений по умолчанию и менять их только тогда, когда работа системы не оправдывает ожиданий. Чтобы облегчить процесс тестирования, можно включить аудит на вход в систему и выход из нее, на привилегированное использование контроллеров домена или серверов как в доменах Windows 2000, так и в доменах NT 4.0. Если результаты тестирования покажутся неожиданными, следует проверить журналы системных событий.

И напоследок несколько замечаний. Сетевые тайм-ауты по-прежнему остаются слишком большими, загрузка списка производителей драйверов для принтеров длится целую вечность, и, хотя разработчики Microsoft постарались сократить количество необходимых для нормальной работы системы перезагрузок, это еще приходится делать довольно часто. Но в общем и целом, я думаю, пользователи не будут разочарованы.

ОБ АВТОРЕ

Паула Шерик - редактор Windows 2000 Magazine и консультант по вопросам планирования, реализации и взаимодействия сетей. Ее адрес: paula@win2000mag.com.

Поделитесь материалом с коллегами и друзьями