Для создания нового домена необходимо запустить утилиту dcpromo (ее можно стартовать также из задачи управления сервером, выбрав в меню пункт создания контроллера домена). В зависимости от ответов на вопросы мастера операции, вы сможете добавить новый контроллер в существующем домене либо создать новый домен. Можно создать новый домен внутри уже существующего, либо создать новое дерево доменов, дав домену уникальное имя. Все операции достаточно просты и обычно выполняются в течение нескольких минут. После чего, перезагрузив компьютер, вы получаете новый контроллер домена.
Перед началом операции следует тщательно обдумать то доменное имя, которое вы дадите вновь создаваемому домену. Если ваша организация имеет уже зарегистрированное в Интернете доменное имя. то имя домена Windows может быть основано на нем. Ничто не запрещает вам избрать для внутреннего домена имя, которое не соответствует реальным доменам Интернета, например дать название myorg.Iocal.
Проследите, чтобы полное доменное имя не являлось именем первого уровня, а обязательно состояло из двух частей. В противном случае необходимо выполнить ряд дополнительных настроек, которые следует уточнить по документации с сайта разработчика.
Создание домена обязательно требует наличия сервера DNS. Если сервер DNS не настроен, по умолчанию программа установки предлагает создать и настроить сервер DNS локально. В общем случае служба каталогов не требует обязательного использования DNS-сервера разработки Microsoft. AD может быть установлена, например, на сервер BIND. При этом следует учесть, что BIND версии 4.9.7 и старше поддерживает возможность создания SRV-записей, которые необходимы для работы службы каталогов, а, начиная с версии 8.2.2, поддерживаются и динамические обновления записей данного типа.
Особенности создания дополнительного удаленного контроллера в домене Windows Server 2003
После создания нового контроллера домена программа пытается выполнить его синхронизацию с другими контроллерами. Объем данных, передаваемый в этой операции по сети, обычно составляет десятки мегабайт, а в средних организациях может превышать и несколько сотен мегабайт. Поэтому установку контроллеров для филиалов, подключенных через медленные каналы связи, лучше производить непосредственно в центральном офисе. После первоначальной синхронизации компьютер можно выключить и перевезти на удаленную площадку. Объем синхронизуемых данных, которые будут переданы после включения компьютера в удаленном офисе, в этом случае будет существенно ниже объема первоначальной синхронизации и не создаст критической нагрузки на каналы связи. В Windows 2003 введена новая возможность при создании контроллера домена— это выполнение первоначальной синхронизации из файлов резервного копирования. Для создания нового контроллера в удаленном офисе необходимо сначала выполнить резервное копирование состояния (system state) любого контроллера домена, после чего полученные файлы резервной копии любым способом передать в удаленный офис (например, нарезать на CD-матрицы). В удаленном офисе следует восстановить эти данные утилитой ntbackup в другое место (выбрать данную опцию и указать папку для восстановления). Затем запустить утилиту dcpromo с ключом /adv. При таком варианте ее запуска на одном из шагов появится дополнительная опция, запрашивающая место, откуда следует провести загрузку первичных данных . Вам достаточно указать папку, в которую было проведено восстановление данных с контроллера домена. В завершение операции система проведет синхронизацию последних изменений службы каталогов. Новая возможность Windows 2003 Server позволяет при создании второго контроллера загрузить большую часть данных из файлов резервного копирования основного контроллера, сократив объем реплицируемых по каналам связи данных.
Удаление контроллера домена
Штатное удаление контроллера домена производится с помощью той же утилиты dcpromo. Ее следует запустить на компьютере, роль которого предполагается понизить до обычного сервера. Указав необходимые параметры операции (например, пароль будущего локального администратора), администратору нужно только дождаться сообщения о требуемой перезагрузке системы. Для успешного завершения операции компьютер должен иметь связь с другими контроллерами (если это не последний контроллер домена). Бывают ситуации, когда контроллер выходит из строя, например из-за неполадок в оборудовании, и его не планируется восстанавливать из резервной копии. В таком случае необходимо удалить из службы каталогов все записи, которые связаны с этим контроллером. Для этого штатно используется утилита ntdsutil.
В Windows Server 2003 графические утилиты пополнены новыми опциями удаления контроллера, однако в Windows 2000 описываемый в тексте способ является единственным.
Опишем последовательность шагов, которые необходимо выполнить в данной утилите для удаления отсутствующего контроллера домена.
1. После запуска утилиты на экране появится окно ее интерфейса. Вам необходимо перейти к опции metadata cleanup. 2. Теперь нужно подключиться к работающему контроллеру домена (connections | connect to server <имя>) на котором мы будем выполнять операцию удаления метаданных. 3. После подключения к контроллеру снова возвращаемся в режим metadata cleanup. На этом шаге необходимо выбрать тот контроллер, данные о котором предполагается удалить. 4. Набираем команду Select operation target, после перехода в этот режим последовательно подключаемся к ресурсам организации. Например, чтобы указать на конкретный сервер, сначала нужно будет просмотреть список сайтов (List sites), после чего подключиться к нужному сайгу (Select site <номер, полученный на предыдущем шаге>). Затем просмотреть список доменов и подключиться к нужному и т. д. В завершение после выполнения команды List servers for domain in site вы увидите нумерованный список серверов. Вам нужно выбрать тот сервер, который предполагается удалить (Select server <номер>), и вернуться в меню metadata cleanup. 5. В меню metadata cleanup дать команду на удаление параметров выбранного сервера (Remove selected server).
Переименование домена
Имя домена Windows невозможно сменить для доменов на основе операционных систем Windows NT 4.0 Server/Windows 2000 Server. Для доменов, работающих в режиме Windows 2003, такая возможность появилась, и автору приходилось ее выполнять. Но эта операция весьма ответственна и не всегда в ходе ее осуществления могут быть изменены все наименования. Например, сертификаты, выданные на старые имена, окажутся недействительны, придется менять настройки почтового сервера и т. п.
Операция переименования домена возможна только при условии перевода домена в режим Windows 2003 Server.
Для выполнения операции необходимо загрузить с сервера Microsoft последнюю версию утилиты переименования домена ( Domain rename tool. ). В составе загрузочного комплекта присутствует весьма подробное описание условий и операций, которые необходимо выполнить в процессе подготовки и переименования домена.
Утилиты управления объектами службы каталогов
Управление доменом может проводиться не только с серверов Windows. При наличии соответствующих прав большинство операций может быть выполнено удаленно с рабочих станций . Для этого необходимо установить пакет администрирования (Adminpak.msi), который поставляется с дистрибутивом сервера. Стандартные средства для управления структурой службы каталогов— это оснастки управления пользователями и компьютерами, доменами и доверием, сайтами и службами. Как в случае любой графической утилиты, этими программами удобно и быстро можно выполнять типовые операции, для которых они были разработаны. В нашем случае— это операции создания пользователей и подразделений, назначение им свойств, перемещение пользователей, компьютеров и подразделений между различными контейнерами и т. п. Выполнение данных операций с помощью указанных оснасток достаточно прозрачно, все проблемы администратор легко решит с помощью справочной системы.
