Чтобы Active Directory сделать былью
Многие администраторы корпоративных сетей решают сейчас судьбу своих доменов или рабочих групп: оставлять ли их под управлением NT4 или переходить на Active Directory?

Этот вопрос становится еще более актуальным в связи с появлением новых представителей семейства Win-dows - Windows XP и NET. Отставание от новых технологий и боязнь их внедрения могут повергнуть в уныние любого специалиста по информатике. Не стоит расстраиваться. Сис-тема Windows 2000 действительно подходит для больших территориально распределенных сетей. Но ее можно использовать и в небольших организациях, она легко масштабируема, а инструменты управления удобны и просты в применении.

Конечно, в нормально развивающейся организации вопрос перехода на архитектуру Windows 2000 решается однозначно. Но как, не имея фундаментальных знаний о работе службы каталогов Active Directory (AD), безболезненно перенести свой любимый домен NT4.0 в новую среду? Эта статья поможет сделать необходимые шаги для такой модернизации и осуществить первоначальные настройки AD. Я расскажу о том, что нужно сделать, чтобы после инсталляции AD работала надежно и не требовала ежедневного вмешательства и изменения основных параметров.

В качестве эталона мы рассмотрим компьютерную сеть небольшой организации, состоящую из нескольких десятков машин и работающую под управлением одного контроллера домена NT4.0 при условии, что он не является файловым сервером и не выполняет никаких функций по предоставлению общих ресурсов в сети. В качестве сетевого протокола используются TCP/IP и приватная адресация хостов. Для распознавания имен в IP применяется сервер WINS. К сети подключены клиентские машины с различными операционными системами (Windows 95, Windows 98, Win-dows NT Workstation и Windows 2000 Professional). Такого рода сети у нас используются чаще всего, и уровень обслуживающих их специалистов примерно одинаковый.

Немного планирования

Предположим, что предварительная договоренность с начальством уже дос-тигнута и в вашем распоряжении имеется новенький сервер, предназначенный для установки в качестве контроллера домена Windows 2000, так как имеющийся контроллер домена (далее DC) с трудом дотягивает по своим техническим характеристикам до нужных требований. Напомню, что минимальные требования, определенные Microsoft для семейства Win-dows 2000 Server и Windows 2000 Ad-vanced Server следующие: Pentium 133 или совместимый, 128 Мбайт оперативной памяти, приблизительно 3-4 Гбайт свободного места на жестком диске, монитор VGA и 12-скоростной привод CD-ROM.

Следует помнить, что для установки AD необходимо дополнительно 250 Мбайт дискового пространства.

Указанные требования являются начальными и при нынешних темпах развития аппаратного обеспечения кажутся смешными. Не стоит покупать компьютер с экзотическими комплектующими и дешевой оперативной памятью, также не следует покупать «крутую» видеокарту. Все это может вызвать проблемы в процессе инсталляции и при дальнейшей работе.

Сформулируем задачи, которые необходимо решить:

  • сохранить учетные записи пользователей и компьютеров домена;
  • после установки AD убрать из сети устаревший контроллер NT или сделать его вторым контроллером AD;
  • произвести дополнительные настройки для взаимодействия некоторых служб.

Процесс перехода к AD будет базироваться на возможности обновления главного или резервного контроллера домена NT4.0 до Windows 2000 Server (Advanced Server).

Необходимо сразу отметить, что, в отличие от NT, Windows 2000 Server может быть установлен вначале как автономный сервер - процесс назначения его контроллером домена является обратимым и не требует переустановки операционной системы. Вы можете сколько угодно раз делать его DC и освобождать от этой роли.

Почему желательно произвести обновление контроллера домена NT? Основная причина заключается в необходимости сохранить имеющиеся учетные записи пользователей и компьютеров, которые как раз и хранятся на контроллере домена NT. В этом случае они автоматически переносятся в базу AD. Даже в небольших сетях это условие остается решающим.

Установка Windows 2000 на новом сервере

Итак, начнем. Предварительно следует установить Windows 2000 Server на новый компьютер, который в результате заменит старый контроллер домена. Я не буду подробно описывать этот процесс, так как он достаточно прост и не требует детальной проработки. Отмечу лишь, что тип файловой системы для контроллера домена должен быть NTFS. Если же решено использовать эту машину еще и как сервер удаленной установки Remote Instal-lation Service (RIS), следует учесть, что в этом случае на жестком диске необходимо иметь как минимум два раздела, так как операционная система не позволит использовать системный том для установки службы RIS.

После инсталляции Windows 2000 Server следует убедиться в работоспособности всех устройств компьютера и в правильности установки драйверов. Для этого нужно открыть My Computer/Manage, затем выбрать Device Manager. Наличие красных крестиков говорит о сбое в работе устройства или о неверно установленных драйверах (см. Экран 1, где показано, что неправильно функционирует сетевой адаптер Intel 21143).

Далее необходимо назначить этому компьютеру статический IP-адрес (или адреса, если используется несколько сетевых карт). Данный компьютер должен быть членом домена NT. На этом настройки нового сервера временно завершим и начнем модернизацию старого DC до Windows 2000 Server.

Перед тем как приступить к обновлению, необходимо создать резервную копию системы. Удалите все сетевые службы независимых поставщиков и программы защиты от вирусов (особенно те, которые работают в режиме реального времени - Real time protection). Рекомендуется отключить последовательные кабели, через которые подключены устройства бесперебойного питания (UPS).

Далее следует вставить компакт-диск с установочными файлами Windows 2000 Server и выбрать режим обновления до Windows 2000. В процессе обновления предстоит выполнить ряд настроек. Прежде всего следует указать, что устанавливается первый контроллер домена в лесу и задается его имя (например, mycompany.ru). Мы не будем подробно останавливаться на понятиях «лес» (forest) и «дерево» (tree), так как это тема для отдельного разговора. Все, что необходимо сделать, - это выбрать режим создания нового леса и его первого домена (дерева).

Следует учесть, что в процессе инсталляции система будет запрашивать региональные установки, которые имеют важное значение для дальнейшей работы домена AD. Региональное расположение нужно задать по умолчанию (Set default), и эта установка должна быть одинаковой на всех контроллерах AD домена (в нашем случае - на двух). IP-адрес должен быть статическим. Система предложит установить службу DNS, которая является основной для взаимодействия компьютеров в домене AD. Не следует отказываться от установки DNS-сервера, так как в этом случае можно сразу настроить зоны DNS. Необходимо настроить прямую (Forward lookup) и реверсную (Reverse lookup) зоны.

Проделав все необходимые операции, система производит перезагрузку.

Установка DNS

Теперь необходимо проверить, успешно ли прошла операция обновления. Убедитесь, что локальная база учетных записей SAM заблокирована.

Запустите из меню Start/Programs/Administrative Tools оснастку Active Directory users and Computers. Эта оснастка является основной для работы с объектами AD и заменяет привычный USER MANAGER в NT (но можно использовать и из NT для работы с пользователями и группами). Откройте объект USERS и убедитесь, что все учетные записи пользователей и групп присутствуют. Теперь следует открыть Start/Pro-grams/Administrative Tools/DNS. В открывшемся окне выберите имя компьютера, доберитесь до названия вашей зоны в контейнере Forward lookup zones и откройте ее свойства (Properties).

На вкладке General проследите, чтобы тип зоны был Active Directory-integrated и параметр Allow dynamic updates? был установлен в Yes. Закройте окно Properties. Затем следует создать зону «точка». Для этого правой кнопкой мыши нужно щелкнуть на Forward Lookup Zones и выбрать «New Zone...». Запустится мастер создания зоны. В окне Zone Type следует выбрать Active Directory-integrated (см. Экран 2). Далее в окне Zone Name, в поле Name поставьте точку. По окончании работы мастера в контейнере Forward Lookup Zones должно присутствовать две зоны: зона «точка» и зона mycompany.ru. В контейнере Reverse lookup zone должна присутствовать зона, которая соответствует адресу вашей IP-сети (например, 192.168.2.x Subnet). Эту зону тоже следует настроить на динамическое обновление и интегрировать в AD, как и в случае с зоной mycompany.ru. Процедура аналогичная. После всех проверок и настроек необходимо перезапустить службу DNS (правой кнопкой мыши щелкнуть на названии сервера и выбрать All Tasks/Restart). Теперь следует снова раскрыть зону mycompany.ru и убедиться в наличии объектов: _msdcs, _sites, _tcp, _udp.

Протестируем наш DNS-сервер. Для этого нужно выбрать в левом окне сервер, правой кнопкой мыши выбрать Properties/Monitoring, установить галочки, как показано на Экране 3, и нажать Test Now. Если зоны настроены правильно, то результат должен быть Pass-Pass.

Следует уделить особое внимание настройке DNS-сервера, так как без этого нормальное функционирование AD невозможно.

И последнее, что нужно сделать, - это проверить наличие общих папок (Shared folders) NETLOGON и SYSVOL, которые автоматически создаются в случае успешной установки AD.

Плавное превращение

Теперь займемся подготовкой к переносу AD на новый сервер. Для этого нужно зарегистрироваться в домене mycompany.ru с консоли нового сервера с учетной записью администратора. Еще раз проверьте настройки TCP/IP (статический IP-адрес и адрес DNS-сервера). В командной строке следует ввести DCPROMO.

Запустится мастер, который сделает ваш сервер еще одним контроллером домена. Эту же утилиту мы будем использовать и для освобождения компьютера от роли контроллера домена. После перезагрузки необходимо проверить наличие общих папок NETLOGON и SYSVOL. Запустите оснастку Active Directory users and Computers и убедитесь, что в контейнере Domain Controllers появился новый сервер.

Следует принудительно инициировать репликацию между старым и новым серверами.

Для этого из меню Start/Pro-grams/Administrative Tools нужно открыть оснастку Active Directory Sites and Services и произвести репликацию (см. Экран 4). Если репликация проходит нормально, значит, можно быть уверенным в правильном взаимодействии контроллеров домена AD.

В сетях AD процесс смены ролей основного (PDC) и резервного (BDC) контроллеров домена отличается от аналогичной процедуры в NT. Я не буду касаться теории этого процесса, скажу лишь, что теперь все контроллеры равноправны, и управлять объек-тами AD можно с любого DC. В рассматриваемой ситуации сервер, который был модернизирован до Windows 2000 Server, в данный момент служит эмулятором PDC для клиентов сети NT. Помимо этого, он является мастером относительных идентификаторов (RID-master), мастером инфраструктуры (Infrustructure master), мастером именования доменов (Domain Naming master), мастером схемы (Schema master) и, наконец, держателем глобального каталога (GC). Для того чтобы перенести эти функции на новый сервер, воспользуемся четырьмя оснастками.

  1. Откройте оснастку Active Directory Users and Computers и выберите новый сервер. Далее правой кнопкой мыши нужно открыть контекстное меню и выбрать «Operation Mas-ters...». В появившемся окне требуется последовательно сменить роли серверов (RID, PDC, Infrastructure).
  2. Откройте оснастку Active Directory Domains and Trusts, выберите новый сервер. Затем правой кнопкой мыши откройте контекстное меню и выберите «Operation Masters...». Смените роли серверов.
  3. Для изменения роли мастера схе-мы необходимо зарегистрировать в системе соответствующую библиотеку. Для этого из командной строки выполняем следующую процедуру: regsvr32 %systemroot%system32schmmgmt.dll». Затем из командной строки вызываем консоль управления MMC и добавляем оснастку Active Directory Schema. Далее в появившемся окне выбираем новый сервер. Снова открыв правой кнопкой мыши его контекстное меню, выберите «Operations Master...» и нажмите Change.
  4. Откройте оснастку Active Directory Sites and Services, выберите в папке Servers новый сервер и щелкните на нем левой кнопкой мыши. В правой панели окна появится контейнер NTDS Settings, откройте его свойства и поставьте флажок в поле Global Catalog.

На этом процедуру смены ролей можно считать завершенной. Теперь следует освободить от роли контроллера домена старый сервер. Для этого используем ту же процедуру DCPROMO. Если планируется оставить в сети два DC, то я рекомендую переустановить старый сервер и вновь сделать его контроллером. Эта операция позволит гарантировать надежную работу AD.

Последние штрихи

Для бесперебойной работы AD желательно иметь в сети второй сервер DNS, который мы установим на новый сервер. Для его установки следует открыть Start/Settings/Control Panel/Add/Remove Programs и выбрать Add/Remove Windows Compo-nents. Затем нужно выбрать Net-working Services и открыть Details, выбрать Domain Name System и продолжить установку. Следует указать, что устанавливаемый сервер в существующем домене являет-ся дополнительным. После тестирования нового DNS-сервера необходимо отредактировать настройки протокола TCP/IP. На обоих серверах первичным DNS-сервером должен быть он сам, адреса вторичных DNS должны указывать друг на друга. Теперь пришло время установить DHCP-сервер на новом DC. Но прежде следует уточнить некоторые детали. Клиентские машины с операционными системами версий до Windows 2000 не могут динамически обновлять зоны DNS. При условии, что мы убираем из сети службу WINS, можно установить DHCP-сервер, который будет динамически обновлять информацию в DNS о подключенных компьютерах. Многие пользователи жалуются на сбои и неточности в работе службы WINS. Вдобавок она создает дополнительный трафик в сети. Я рекомендую обойтись без нее. Для установки DHCP следует открыть Start/Set-tings/Control Panel/Add/Remove Pro-grams и выбрать Add/Remove Windows Components. Затем нужно выбрать Networking Services и открыть Details. Укажите Dynamic Host Configuration Protocol (DHCP). После завершения инсталляции сделайте все необходимые настройки. Процедура практически не отличается от установки DHCP в NT. Однако есть определенные тонкости. После установки службы DHCP ее необходимо авторизовать в AD, а затем настроить на обновление DNS. После этого можно безболезненно избавиться от службы WINS.

Необходимо дополнительно настроить протокол времени Simple Network Time Protocol (SNTP). Следует учесть, что настройка этого протокола времени в сети Windows 2000 обязательна. После инсталляции AD в EVENT VIEWER будет периодически появляться ошибка с ID54 и ID64. Она свидетельствует о неправильной настройке службы W32TIME. Для ее корректной настройки на контроллере домена требуется проделать следующие операции. Из командной строки введите:

NET TIME /SETSNTP:
имя_сервера
(т. е. имя этой же машины)
NET STOP W32TIME
W32TM -S
NET START W32TIME

После этого следует проверить правильность настроек. Для этого из командной строки нужно ввести:

W32TM -V

и найти запись W32Time:

ntpserver - имя_сервера

Если все в порядке, то теперь эта служба не будет вам докучать.

Итак, мы сделали все необходимые настройки. Теперь давайте проверим, как наши контроллеры домена аутентифицируют пользователей. Я предлагаю сделать следующее: на одном из контроллеров остановить службу NET LOGON и с любой машины Windows 2000 Professional или Win-dows NT Workstation зарегистрироваться в домене. В командной строке наберите:

SET

Эта команда выдаст на экран некий отчет. В нем нужно отыскать запись LOGONSERVER=имя_сервера. Это и есть тот сервер, который зарегистрировал вас в сети. Затем следует запустить службу NET LOGON и проделать ту же операцию с другим контроллером. На этом будем считать нашу задачу выполненной.

Надеюсь, что мои рекомендации окажутся полезными, и вы без труда осуществите переход на Active Directory.

Кирилл Дмитриев - ведущий инженер по компьютерным технологиям в холдинге НПО «Альтернатива». Имеет сертификат MCSE. С ним можно связаться по адресу: dmitriev_k@otop.ru.

Поделитесь материалом с коллегами и друзьями