Установка и начальная настройка сервера Windows Server 2003 [Занятие 1. Подготовка к установке]
Развертывание и администрирование сети с выделенным сервером на базе Windows Server 2003 на Wednesday 07 June 2006 от в Сетевые Операционные Системы ОС > ОС Windows
Обновление домена Windows NT.
Обновление домена Windows NT существенно сложнее, чем обновление просто сервера Windows NT. Кроме того, процедуры обновления главного и резервных контроллеров домена несколько различаются.
Не смотря на то, что процедура обновления домена Windows NT достаточно проста и обычно завершается без ошибок, рекомендуется сначала провести экспериментальное обновление домена на специально созданной тестовой конфигурации. Для этого вполне приемлемо установить в сети еще один резервный контроллер домена, после чего перенести его в отдельную физически изолированную сеть и повысить до главного контроллера домена.
Если серверы либо клиентские компьютеры работают под управлением Windows NT 3.51, рекомендуется установить на них операционную систему более поздней версии, или выполнить обновление имеющейся версии на всех этих компьютерах, либо отказаться от их использования. Если имеются несколько доменов, необходимо обновить контроллеры доменов под управлением Windows NT 3.51, чтобы обеспечить надежную проверку учетных данных при входе в систему. В любом случае, обновление или отказ от использования компьютеров под управлением Windows NT 3.51 повышает безопасность и снижает количество расхождений версий между компьютерами, что упрощает управление и устранение неполадок.
Для обновления домена Windows NT рекомендуется указанная ниже последовательность действий:
Планирование и создание пространства имен и инфраструктуры DNS Так как служба DNS необходима для Active Directory, необходимо убедиться, что создана служба DNS и пространство имен Active Directory, а также настроены серверы DNS, либо служба DNS будет автоматически создана с помощью мастера установки Active Directory.
Определение функциональности леса Функциональность леса определяет, какие возможности Active Directory могут быть включены внутри одного леса. Каждый режим работы леса имеет специальные требования к версиям операционных систем, под управлением которых могут работать контроллеры домена в лесу. Например, для работы леса в режиме Windows Server 2003 необходимо, чтобы все контроллеры домена работали под управлением продуктов семейства Windows Server 2003.
При обновлении первого домена Windows NT до Windows Server 2003 рекомендуется установить режим работы леса предварительной версии Windows Server 2003, который будет предложен в процессе установки. Этот режим включает все возможности режима Windows 2000, в том числе две существенные, указанные ниже, дополнительные обработки репликации Active Directory.
Улучшенная эффективность и масштабируемость репликации.
Репликация связанного значения для повышения эффективности репликации участия в группах.
Режим работы леса предварительной версии Windows Server 2003 доступен только при обновлении первого домена Windows NT в составе нового леса и может быть настроен вручную после обновления. Данный режим работы леса поддерживает контроллеры домена под управлением только Windows Server 2003 и Windows NT и не поддерживает контроллеры домена под управлением Windows 2000. Невозможно установить Active Directory на серверы под управлением Windows 2000 в лесу, работающем в режиме предварительной версии Windows Server 2003.
Обновление основного контроллера домена Первый сервер, который необходимо обновить, это основной контроллер домена (PDC) под управлением Windows NT или более ранних версий. Во время обновления с помощью мастера установки Active Directory следует выбрать присоединение к существующему дереву доменов или лесу, либо создание нового дерева доменов или леса. Если необходимо присоединиться к существующему дереву доменов, следует указать желаемый родительский домен.
С помощью мастера установки Active Directory устанавливаются все необходимые компоненты контроллера домена, например хранилище данных каталога и программное обеспечение проверки подлинности протокола Kerberos V5. После установки протокола Kerberos V5 процесс установки запускает службу проверки подлинности и службу выдачи билетов.
При создании нового дочернего домена устанавливается транзитивное доверительное отношение с родительским доменом. В итоге, контроллер домена копирует все данные схемы и конфигурации в контроллер нового дочернего домена. Объекты диспетчера учетных записей (SAM) будут скопированы из реестра в новое хранилище данных. Эти объекты являются участниками безопасности.
В процессе обновления для хранения учетных записей и групп из домена Windows NT создаются объекты-контейнеры. Эти объекты-контейнеры называются Users, Computers и Builtin и отображаются как папки в консоли Active Directory — пользователи и компьютеры. Учетные записи пользователей и стандартные группы направляются в контейнер Users. Учетные записи компьютеров направляются в контейнер Computers. Встроенные группы направляются в контейнер Builtin.
Группы, существующие в Windows NT 4.0 и более ранних версиях, помещаются в различные папки в зависимости от характера группы. Встроенные локальные группы Windows NT и более ранних версий (такие как «Администраторы» и «Операторы сервера») помещаются в контейнер Builtin. Глобальные группы Windows NT и более ранних версий (например «Администраторы домена») и любые созданные пользователем локальные и глобальные группы помещаются в контейнер Users.
Обновленный главный контроллер домена может синхронизировать изменения участников безопасности для оставшихся резервных контроллеров домена (BDC) под управлением Windows NT 4.0 или более ранних версий. Резервные контроллеры домена под управлением Windows NT 4.0 или более ранних версий распознают обновленный главный контроллер домена как хозяина домена.
Обновленный контроллер домена является полнофункциональным членом леса. Новый домен добавляется в структуру домена и узла, и все контроллеры домена получают уведомление о присоединении к лесу нового домена.
Обновление всех оставшихся резервных контроллеров домена После обновления главного контроллера домена под управлением Windows NT 4.0 или более ранних версий можно приступать к обновлению всех оставшихся резервных контроллеров домена. В процессе обновления для обеспечения сохранности данных в случае возникновения каких-либо проблем следует удалить резервный контроллер домена из сети. Данный резервный контроллер домена будет хранить защищенную копию текущей базы данных домена.
В случае возникновения каких-либо проблем в процессе обновления имеется возможность удалить все контроллеры домена под управлением Windows Server 2003 из рабочего окружения, затем вернуть резервный контроллер домена в сеть и сделать его основным. После этого новый основной контроллер домена реплицирует данные внутри домена и домен будет возвращен к первоначальному состоянию.
Единственным недостатком этого метода является то, что все изменения, сделанные за время, когда защищенный резервный контроллер домена был отключен, будут потеряны. Чтобы свести к минимуму эти потери, можно периодически включать защищенный резервный контроллер домена и затем снова выключать его (когда домен находится в устойчивом состоянии) в процессе обновления для обновления защищенной копии каталога на этом резервном контроллере.
Если контроллер домена под управлением Windows Server 2003 отключен и других контроллеров домена под управлением Windows Server 2003 в домене нет, то для выполнения роли отключенного контроллера домена резервный контроллер домена под управлением Windows NT может быть повышен до основного контроллера домена.
При обновлении доменов Windows NT 4.0 или более ранних версий только контроллер домена под управлением Windows Server 2003 может создавать основные объекты безопасности (учетные записи пользователей, групп и компьютеров). Отдельный контроллер домена настроен как хозяин операций эмулятора основного контроллера домена. Хозяин операций эмулятора основного контроллера домена эмулирует Windows NT 4.0 или более раннюю версию основного контроллера домена.
Завершение обновления домена После обновления всех существующих основных и резервных контроллеров домена Windows NT 4.0 и более ранних версий до серверной операционной системы Windows Server 2003, если не планируется дальнейшее использование контроллеров домена Windows NT 4.0 и более ранних версий, можно изменить режим работы домена со смешанного Windows 2000 на основной Windows 2000.
При изменении режима работы домена на основной режим Windows 2000 происходит следующее:
Контроллеры домена более не поддерживают репликацию NTLM.
Контроллер домена, эмулирующий хозяина операций основного контроллера домена, не может синхронизировать данные с резервным контроллером домена под управлением Windows NT 4.0 или более ранней версии.
Контроллеры домена под управлением Windows NT 4.0 и более ранних версий не могут быть добавлены к домену. Можно добавлять новые контроллеры домена только под управлением Windows 2000 или Windows Server 2003.
Пользователи и компьютеры, использующие предыдущие версии Windows, получают преимущества использования транзитивных доверительных отношений Active Directory и получают доступ ко всем ресурсам леса при наличии соответствующих разрешений. Несмотря на то что предыдущие версии Windows не поддерживают протокол Kerberos V5, контроллерами домена обеспечивается сквозная проверка подлинности, предоставляющая возможность пользователям и компьютерам проходить проверку подлинности в любом домене леса. Это предоставляет возможность пользователям или компьютерам получать доступ в любом домене в составе леса к ресурсам, на которые у них есть соответствующие разрешения.
Кроме расширенного доступа ко всем остальным доменам леса клиенты не будут извещены о каких-либо изменениях в домене.
После обновления домена Windows NT 4.0 до домена Active Directory рекомендуется удалить и создать заново все существовавшие ранее доверительные отношения с доменами Active Directory. Даже после обновления домена доверительные отношения остаются доверительными отношениями Windows NT 4.0. IP-безопасность (IPSec) не работает для доверительных отношений Windows NT 4.0.
Установка клиентского программного обеспечения Active Directory на устаревшие компьютеры клиентов Компьютеры под управлением клиентского программного обеспечения Active Directory могут использовать возможности Active Directory, такие как проверка подлинности, для доступа к ресурсам в дереве доменов или лесе и запросам каталога. По умолчанию клиентские компьютеры под управлением Windows 2000 Professional и Windows XP Professional имеют встроенное клиентское программное обеспечение и имеют обычный доступ к ресурсам Active Directory.
Для компьютеров под управлением предыдущих версий Windows (Windows 95, Windows 98 и Windows NT) для получения доступа к ресурсам Active Directory требуется установка клиентского программного обеспечения Active Directory. Без клиентского программного обеспечения предыдущим версиям Windows домен доступен только как обычный домен Windows NT 4.0 и более ранние версии, а также доступны только те ресурсы, которые доступны через односторонние доверительные отношения Windows NT 4.0 и более ранних версий.
Обновление главного контроллера домена.
Перед началом обновления главного контроллера домена выполните следующие действия:
Отключите от сети все резервные контроллеры домена
Остановите службу WINS. Если работоспособность клиентских компьютеров на период обновления не критична, то рекомендуется деинсталлировать WINS
Остановите службу DHCP. Если работоспособность клиентских компьютеров на период обновления не критична, то рекомендуется деинсталлировать DHCP
Зарегистрируйтесь на компьютере под учетной записью администратора домена
При обновлении главного контроллера домена вам будет предложено создать новый домен (дочерний или корневой), новое дерево доменов и новый лес. Вы должны выбрать вариант, удовлетворяющий вашему плану развертывания Active Directory.
После обновления главного контроллера домена восстановите необходимую конфигурацию служб DHCP и WINS (последняя, скорее всего, будет не нужна), а затем проверьте возможность регистрации клиентов в домене и доступность необходимых сетевых ресурсов.
Обновление резервного контроллера домена.
После обновления главного контроллера домена вы можете по отдельности обновлять резервные контроллеры домена, последовательно подключая их к сети. После подключения резервного контроллера к сети дайте ему время на установление связи с новым контроллером домена и репликацию данных каталога.
При обновлении резервного контроллера домена у вас будет возможность сделать компьютер еще одним контроллером домена, либо сделать его простым членом домена. Независимо от выбора вы должны провести процедуру обновления на всех резервных контроллерах домена, чтобы домен считался обновленным.