Rozdział 9 ¨ Tworzenie domen Windows 2000
W tym rozdziale Tłumacz ukochał 2 słowa, które powtarzają się tu bardzo często, a których użycie budzi moje wątpliwości:
1.Promować (np. promowanie serwera, promowac serwer do kontrolera).
2. Lokacja. Wydaje mi się, że lepszym słowem byłaby „lokalizacja”.
Nie mam możliwości zainstalowania Active Directory i sprawdzenia wszystkich nazw opcji... Większość jest na pewno poprawna, ale część może być przetłumaczona trochę inaczej...
Po części teoretycznego omawiania problemu wreszcie możemy rozpocząć etap praktyczny. Do tej pory rozważyłeś wiele alternatyw, spisałeś wiele raportów, narysowałeś wiele różnych schematów, wypiłeś litry kawy, brałeś udział w różnych spotkaniach, omawiałeś różne plany, broniłeś swoich racji, a teraz najwyższy czas na praktyczne wykorzystanie swoich wiadomości i utworzenie domeny Windows 2000. Poniżej w punktach przedstawione zostały czynności, które wykonałeś (a przynajmniej powinieneś wykonać) do tej pory:
· Utworzyłeś infrastrukturę IP.
· Sprawdziłeś działanie odwzorowywania nazw NetBIOS klasycznego systemu NT i zainstalowałeś serwer WINS Windows 2000 (jeżeli zachodziła taka potrzeba) — – rozdział 4. „Idea odwzorowania nazw NetBIOS”.
· Zaprojektowałeś obszar nazw DNS i utworzyłeś dynamiczny system DNS — – rozdział 5. „Zarządzanie usługami DNS i DHCP”.
· Poznałeś technologie Kerberos i Active Directory — – rozdział 6. „Zabezpieczenie dostępu do sieci i system identyfikacji Kerberos” i rozdział 7. „Usługi Active Directory”.
· Zaplanowałeś strukturę kontenerów katalogu i partycje domeny — – rozdział 8. „Projektowanie domen Windows 2000”.
· Określiłeś miejsce wzorców FSMO, serwerów globalnego katalogu i pomocniczych serwerów DNS — – rozdział 8. „Projektowanie domen Windows 2000”.
· Powiadomiłeś o tym swoją rodzinę.
W rozdziale 1. „Instalowanie i konfigurowanie Windows 2000” zostały zamieszczone informacje dotyczące instalowania i dostosowywania aktualizowania serwerów klasycznego systemu NT do Windows 2000. Nie omówiono w nim jednak zagadnienia aktualizowania kontrolerów domeny, które zostanie przedstawione właśnie w tym rozdziale. Proces aktualizowania kontrolerów domeny w z klasyczneym go systemie u NT i dostosowywania ich do systemu Windows 2000 składa się z dwóch etapów. Pierwszy etap obejmuje aktualizowanie podstawowego sieciowego systemu operacyjnego oraz wszystkich związanych z nim usług. Klasyczne konfiguracje kont i domen pozostają niezmienione w bazie SAM i są dostępne dla lokalnego logowania. Niedostępne jest natomiast logowanie sieciowe. Drugi etap obejmuje promowanie
?
serwera do kontrolera domeny Windows 2000 i przeniesienie danych z bazy SAM i bazy danych zabezpieczeń do Active Directory.
Dwuetapowe aktualizowanie wynika ze sposobu, w jaki Windows 2000 obsługuje kontrolery domeny. W klasycznym NT serwer może być kontrolerem domeny albo standardowym serwerem, lecz nigdy nie może pełnić obu funkcji naraz. Aby zmienić funkcję serwera, niezbędne jest ponowne zainstalowanie systemu. W Windows 2000 standardowy serwer może być promowany
do kontrolera domeny i z powrotem deklasowany do standardowego serwera dowolną ilość razy. Usługi kontrolera są natomiast częścią listy usług,
Usługi sa częścią listy usług
które serwer może udostępnić — – DNS, DHCP, usługi terminalowe, usługi uwierzytelniania. Ponieważ każdy serwer Windows 2000 może stać się kontrolerem domeny, jedyna rzecz, która odróżnia kontrolery Windows 2000 od kontrolerów klasycznego NT jest specjalne konto i założenia w grupach Security i SAM rejestru systemowego.
Zanim przedstawiony zostanie sam proces aktualizowania kontrolera domeny, trochę uwagi zostanie poświęcone j wymaganiom stawianym przez system. Bardzo istotne jest zachowanie kolejności czynności procesu aktualizowania. Gdy Twój warsztat pracy będzie już przygotowany do rozpoczęcia procesu, wróć do rozdziału 1. i na jego podstawie przeprowadź pierwszy etap aktualizowania — – przeinstalowanie sieciowego systemu operacyjnego. Następnie wróć do tego rozdziału i wykonaj kolejne kroki promowania
serwera do kontrolera domeny.
Jeżeli posiadasz sieć WAN, warto zapoznać się z częścią „Przedstawienie zagadnienia stron i replikacji lokacji
Nie znalazłem takiej części - nawet o zbliżonym tytule. Chyba że chodzi o Wprowadzenie do zagadnienia lokacji i ich replikacji.
” znajdującą się na końcu tego rozdziału, jak również z rozdziałem 11. „Zarządzanie replikacjami Active Directory”. Replikacje pomiędzy sieciami LAN zależą od struktury podsieci IP. Być może spędziłeś już mnóstwo czasu przed konsolą telnetu, usilnie próbując skonfigurować swoje rutery
, przy czym zdążyłeś już nakrzyczeć na dostawców, usług, zarzucając im złą konfigurację udostępnionych usług. W takiej sytuacji z pewnością zechcesz wstrzymać się z instalowaniem Windows 2000 i poczekać, aż infrastruktura IP będzie wystarczająco stabilna.
Drugi etap aktualizacji możesz przeprowadzić na dwa sposoby. Jeżeli zdecydowałeś się na rezygnację z klasycznej infrastruktury i chcesz zacząć od nowa tworzenie wszystkich kontrolerów domeny, przejdź do części rozdziału zatytułowanej „Rozpocznijmy aktualizowanie”. Jeżeli posiadasz domenę klasycznego systemu NT i chcesz zachować jej konta i prawa dostępu, niezbędne jest przeprowadzenie kilku dodatkowych operacji. Proponuję zacząć od zapoznania się z następną częścią rozdziału.
Na rysunku 9.1 przedstawiona została struktura domen klasycznego systemu NT (widoczne są trzy równorzędne domeny główne). Wszystkie relacje zaufania z domen zasobów do trzech domen kont są relacjami nieprzechodnimi systemu NT. Załóżmy na przykład, że jesteś administratorem w lokalnej domenie zasobów, takiej jak domena Phoenix z rysunku 9.1. Użytkownicy logują się do domeny kont US. Użytkownicy mogą uzyskać dostęp do zasobów lokalnych w domenie Phoenix, gdyż są członkami lokalnych grup, które zostały zapełnione przez grupy globalne i indywidualne z głównej domeny US.
Rysunek 9.1.
Brak rysunku.
Klasyczne domeny NT przedstawiające zazębiające się relacje zaufania
Account Domains = Domeny kont
Resource Domains = Domeny zasobów
Europe = Europa
Paris = Paryż
Lisbon = Lizbona
PacRim = Australia
Tokyo = Melbourne
Sydney = Sydney
Guam = Adelaide
Ponieważ klasyczne relacje zaufania domeny NT nie są przechodnie, nie można w prosty sposób wybrać konta użytkownika z innej domeny głównej (np. Europa) i umieścić go w lokalnej grupie Phoenix. Z tego samego powodu nie można umieścić użytkownika albo konta grupy domeny Europa albo Australia na liście kontroli dostępu folderu w domenie Phoenix.
Administratorzy w domenie US posiadają takie same ograniczenia. Mogą zapełniać grupy US użytkownikami tylko z domeny US. Jeżeli użytkownik z domeny Guan w Australia chce uzyskać dostęp do plików w domenie Phoenix, administrator domeny US musi utworzyć konto dla użytkownika w domenie US. Użytkownik w domenie Sydney może zalogować się do domeny US za pomocą konta US z komputera znajdującego się w domenie zasobów Sydney, dzięki wzajemnej relacji zaufania pomiędzy dwoma domenami kont.
Schemat domen z rysunku 9.1 przedstawia trzy domeny główne, które zazębiają się ze sobą wzajemnie za pomocą relacji zaufania. Większość domen NT w dużych organizacjach nie ma jednak tak czytelnie zdefiniowanych relacji zaufania. Relacje te są tworzone przez administratorów w miarę potrzeb. Gdy administrator stwierdzi, że potrzebne mu są zasoby z innej domeny, tworzy z nią relację zaufania. Relacje te są tworzone do momentu, gdy w końcu ktoś z centralnej grupy administratorów utworzy główną relację zaufania. Jednak do tego momentu sieć relacji staje się coraz mniej przejrzysta — – przykład tego został przedstawiony został na rysunku 9.2.
Rysunek 9.2.
Nieuporządkowana struktura domen
University = Uniwersytet
IS = Obsługa techniczna
Grad = Podyplomowe
Faculty = Fakultet
Staff = Kadra
UnderGrad = Dyplomowe
Science = Nauka
Chemistry = Chemia
Path-Phy = Metematyczno-fizyczny
Astronomy = Astronomia
Humanities = Humanistyczny
English = Angielski
Art = Sztuka
Business = Handel
Greeks = Grecki
MedCntr = Centrum medyczne
Surgical = Chirurgia
Obsterics = Położnictwo
Emergency = Pierwsza pomoc
Radiology = Radiologia
Jeżeli czytujesz różne czasopisma informatyczne, z pewnością natknąłeś się na artykuły opisujące uproszczenie architektury domen Windows NT dzięki aktualizacji i dostosowaniu ich do Windows 2000. Co prawda strukturze z rysunku 9.2 znacznie bardziej przydałaby się detonacja niż upraszczanie, ale to prawda lecz racja — – Windows 2000 pozwala na upraszczanie skomplikowanych struktur. Przed przeniesieniem klasycznych domen NT do Windows 2000 powinieneś jednakże spróbować uprościć je tak bardzo, jak jest to tylko możliwe. Nie możesz się łudzić, że po dostosowaniu ich aktualizacji do Windows 2000 struktura z rysunku 9.2 będzie przejrzysta — – bałagan jak był, tak pozostanie.
Jeżeli dokonałeś niezwykłego wyczynu i uporządkowałeś istniejące domeny NT, nie jest powiedziane, że najlepszym rozwiązaniem będzie pozostawienie istniejącej struktury. domen. Warto zastanowić się nad utworzeniem centralnego miejsca zarządzania i sąsiadujących obszarów nazw DNS. Z moich doświadczeń zdecydowanie lepszym rozwiązaniem jest skupienie się na nowej architekturze i nazwach DNS, niż kontynuowanie zarządzaniem jednolitej architektury klasycznej domeny NT.
Jeżeli planujesz ponowną konfigurację domen, znacznie łatwiej będzie tego dokonać przed
W rozdziałach 1-5 takie wyróżnienia były oznaczane TNR 10, kursywą.
dostosowaniem zaktualizowaniem systemu do Windows 2000. Po pierwsze wszystkie operacje będziesz przeprowadzać w znanym Ci środowisku NT, a po drugie udostępnione przez Windows 2000 narzędzia do przenoszenia kont i grup pomiędzy domenami nie są tak „dopracowane” jak w klasycznym systemie NT. A poza tym znacznie lepiej zbudować nowy system w oparciu o dobrą strukturę, niż później męczyć się z jej naprawianiem. Ponadto aktualizowanie systemu daje Ci jeszcze jedną możliwość — – możesz odpowiednio wcześniej dowiedzieć się, jakie są preferencje administratorów i zgodnie z uzyskanymi informacjami zaplanować odpowiednią strukturę. Na przykład, jeżeli administratorzy w Europie będą potrzebować własnej domeny, możesz to uwzględnić odpowiednio wcześniej i zaimplementować w strukturze domen Windows 2000.
Poniżej wypunktowane zostały czynności konfiguracyjne, które warto wykonać przed przeniesieniem struktury domen do Windows 2000:
· Przenieś konta użytkowników do nowej domeny, łącznie z lokalnymi i centralnymi profilami i wszystkimi wpisami rejestru systemowego, wpływającymi na konfigurację oprogramowania. Przeniesienie musi obejmować zaktualizowane listy kontroli dostępu oraz nowe identyfikatory zabezpieczeń użytkowników.
· Przenieś konta domeny i lokalnych grup do nowej domeny. Również nie zapomnij o zaktualizowanych listach kontroli dostępu.
· Przenieś konta komputera do nowej domeny. Uwierzytelnianie domeny użytkownika bazuje na połączeniu RPC pomiędzy daną stacją roboczą i jej domeną, z tego też powodu przeniesienie konta komputera jest niezmiernie ważne. Jest to również najtrudniejsza część tworzenia struktury domeny, gdyż przeprowadzenie tej operacji jest konieczne dla każdego komputera domeny (o ile nie posiadasz specjalnych narzędzi, które wykonują e tę ą czynność za Ciebie).
· Usuń stare kontrolery domeny i zainstaluj nowe NT, by móc przenieść je do nowej domeny.
Wykonywanie tych czynności przy użyciu standardowych narzędzi administracyjnych dostępnych w klasycznym systemie NT jest bardzo nużące. Jeżeli musisz przenieść do domeny setki albo tysiące kont, jest to prawie niemożliwe, by operację tę przeprowadzić szybko i sprawnie. W takiej sytuacji możesz zastanowić się nad zakupem dobrych narzędzi ułatwiających konfigurację domen:
· Virtuosity, Aelita Software, www.aelita.com. Cena aplikacji wynosi ok. $1000
Czy jest sens podawać ceny?
· na licencję. Do przechowywania przenoszonych informacji narzędzie to
Może: program ten.
· używa bazy Server SQL albo Access. Interfejs konfiguracji jest stosunkowo prosty w obsłudze.
· DM/Reconfigurator, FastLane Technology, www.fastlanetech.com. N To narzędzie jest nieco droższe niż Variousity, lecz jego możliwości wydają się dużo lepsze. Jeżeli na samą myśl o naciśnięciu klawisza, który e samodzielnie przeprowadzi konfigurację domeny 10 000 użytkowników serce bije Ci mocniej z radości dostajesz białej gorączki
Dostawanie białej gorączki jest synonimem wściekłości, pasji, a chyba nie o to tutaj chodzi.
· i marzysz o tym, aby móc sprawować kontrolę nad wszystkimi wykonywanymi czynnościami konfiguracyjnymi, zapoznaj się z tym narzędziem.
· Direct Admin, Entevo, www.entevo.com. Rdzeniem tego programu narzędzia jest interfejs ADSI. Projektanci Entevo dużo czasu poświęcili pierwszym wersjom Active Directory i COM+, co od razu widać po udostępnionych przez nich aplikacjach. Cena tego narzędzia nie była jeszcze znana podczas pisania tej książki, jakkolwiek powinna wahać się w granicach $1000. Entevo udostępnia również narzędzie DirectMigrate 2000, którego zadaniem jest jeszcze większe uproszczenie procesu aktualizowania systemu. Istnieje również program zarządzania NDS, który udostępnia wtyczkę konsolę MMC do zarządzania Windows 2000, klasycznym systemem NT i siecią NetWare. Jeżeli przenosisz się ze środowiska NetWare, jest to naprawdę dobre narzędzie.
· NDS
To narzędzie nie jest rozwijane i wspierane przez Novell’a
· for NT, Novell, www.novell.com. Jeżeli nie przenosisz się jednak ze środowiska NetWare, możesz wówczas skorzystać z narzędzia NDS for NT, za pomocą którego możesz przenosić konta użytkowników pomiędzy domenami. Korzystając z tego programu narzędzia nie uzyskasz tego samego wsparcia
· listy kontroli dostępu, jaki otrzymałbyś z jednego z pakietów NT, ale lecz przenoszone są wszystkie zależności NDS.
Jeżeli zdecydowałeś się na konfigurację domen po instalacji Windows 2000, masz do dyspozycji dwa narzędzia w pakiecie Resource Kit, umożliwiające przenoszenie, importowanie i eksportowanie obiektów. Są to Movetree (dla kont użytkowników i grup) oraz Netdom (dla kont komputerów). Narzędzia te zostały omówione w dalszej części rozdziału „Specjalne operacje domeny”.
Przed zaktualizowaniem kontrolerów domeny, niezbędne jest posiadanie serwerów DNS Windows 2000 albo zaktualizowanych istniejących serwerów DNS, tak by były zgodne z RFC 2136 „Dynamic DNS” oraz RFC 2052 „A DNS RR for Specifying the Location of Services (DNS SRV)”. W rozdziale 5. zostały zamieszczone szczegółowe informacje o konfiguracji serwerów DNS Windows 2000, a w rozdziale 8. znajdują się zalecenia dotyczące projektowania obszaru nazw DNS wspomagającego
domeny Windows 2000.
Rysunek 9.3.
Przykład obszaru nazw DNS i mapowania nazw domeny Windows 2000
DNS Namespace = Obszar nazw DNS
Windows 2000 Domain = Domena Windows 2000
Na rysunku 9.3 przedstawiony został prosty obszar nazw DNS i odpowiadające mu mapowanie nazw domeny Windows 2000. Poniżej wypunktowano czynności, które należy wykonać przed przystąpieniem do przeniesienia domen do Windows 2000:
· Skonfiguruj właściwości TCP/IP każdego kontrolera domeny klasycznego systemu NT, tak aby wskazywał serwer DNS pracujący w Windows 2000 albo innej wersji DNS zgodnej z RFC 2052. Serwer DNS powinien przechowywać tablice strefy dla domeny Windows 2000, którą zamierzasz utworzyć. Mówiąc innymi słowami, kontroler domeny powinien zawsze być tak skonfigurowany, aby wskazywać serwer DNS, który jest adresem startowym uwierzytelniania dla strefy zawierającej domenę Windows 2000. Na przykład, jeżeli zamierzasz promować
· kontroler domeny i utworzyć domenę Windows 2000 o nazwie Company.com, to serwer DNS dla kontrolera domeny będzie potrzebował przechowywać strefę company.com. Nie zapomnij sprawdzić innych serwerów DNS znajdujących się na liście konfiguracji. Może się zdarzyć, że serwer rezerwowy w innej lokalizacji nie został nawet zaktualizowany do dynamicznego DNS.
· Jeżeli nazwy domen klasycznego NT nie pasują do nazw domen DNS, których zamierzasz używać, zmień nazwy domen NT przed rozpoczęciem aktualizacji. Windows 2000 nie udostępnia żadnego narzędzia zmieniającego nazwę domeny.
...
lukaszwalda