Л Р У С С КИ Федор Зубанов Active Directory подход профессионала Издание 2-е, исправленное Москва 2003 . Р У С С К АЯ ШИШ УДК 004 ББК 32.973.81-018.2 391 Зубанов Ф. В. 391 Active Directory: подход профессионала. — 2-е изд., испр. — М.: Издательско-торговый дом «Русская Редакция», 2003. - 544 с.: ил. ISBN 5-7502-OJ 18-Х В книге обобщен богатый опыт Microsoft Consulting Services в обла- сти проектирования, развертывания и эксплуатации службы катало- гов Active Directory® в самых разных организациях. Основной упор сделан на методике выявления проблем в работе Active Directory® и способах их устранения. На конкретных примерах разбираются вопросы настройки сетевых служб, репликации и групповых правил. Особое внимание уделяется специфике проектирования Active Diiec- tory* в крупных и очень крупных организациях. Книга состоит из вступления, 6 глав и словаря терминов. Это издание адресовано системным администраторам и специалис- там в области проектирования корпоративных вычислительных систем на базе Windows 2000. УДК 004 ББК 32.973-81-018.2 Использованные а примерах и упражнениях названия компаний и продуктов, персонажи и события янля.отся вымышленными. Любые совпадения с реальны- ми компаниями, продуктами, людьми и событиями являются случайными. Active Directory. ActiveX, .(Script, Microsoft, Microsoft Press, MSDN, MS-DOS, PowerPoint, Visual Basic, Visual C++, Visual InterDev. Visual SourceSafe, Visual Studio, Win32, Windows и Windows NT являются либо товарными знаками, либо охра- няемыми товарными знаками корпорации Microsoft в США и/или других стра- нах. MySQL являемся охраняемым товарным знаком компании MySQL АН. 13се другие токарные знаки являются собственностью соответствующих фирм. © Зубанов Ф. В., 2002-2003 © Издательско-торговый дом ISBN 5-7502-0118-Х «Русская Редакция», 2003 Оглавление Об этой книге XIII Структура книги XIV Чего здесь нет XVII Принятые соглашения XVII Проектируем AD, или Мелочей не бывает 1 Что в имени тебе моем? 2 Бизнес определяет имена 2 Имена DNS и имена Active Directory 4 Покажем корень миру 4 Алгоритм именования DNS 6 Именование объектов Active Directory 6 Именование пользователей 6 Именование компьютеров 8 Имена подразделений 9 Одоменивание 9 Один за всех 11 Критерии создания домена 11 Когда одного домена достаточно 11 Преимущества однодоменной модели 13 ... все за одного 14 Преимущества многодоменной модели (дерева) 18 Посадим деревья и вырастет лес 19 Преимущества модели с несколькими деревьями 21 Преимущества модели с одним лесом 22 Модель с несколькими лесами 24 Мигрируем с доменной структуры Windows NT 26 Миграция единственного домена 26 Миграция доменной структуры с одним мастер-доменом 27 Миграция доменной структуры с несколькими мастерами 30 Миграция нескольких доменов с попарным доверием 31 Группы и стратегия их использования 32 Рекомендации по использованию универсальных групп 32 Рекомендации по использованию глобальных групп 34 Рекомендации по использованию локальных групп домена 35 Использование особых объединений 37 Административные группы 37 Если ОП создают, значит, это кому-нибудь нужно 38 Модели организационных подразделений 40 Географическая иерархия 40 Организационная иерархия 40 IV Active Directory: подход профессионала Объектная иерархия 40 Проектная иерархия 41 Административная иерархия 41 Так кому нужны организационные подразделения? 43 Нужны ли подразделения пользователям? 44 Подразделения нужны администраторам! 46 Делегирование административных полномочий 46 Разбиваем на сайты 47 Так какой же все-таки критерии? 48 Сколько может быть сайтов? 49 Сколько нужно контроллеров и где их размещать 51 Менее 10 пользователей 51 От 10 до 50 пользователей 53 От 50 пользователей 54 Надежная связь между сайтами 55 Топология сетей 55 Межсайтовые связи 56 Объекты связи 59 Серверы-форпосты 59 Отказоустойчивые схемы 63 Мастера операций и Глобальный каталог. Оптимальное размещение 65 Мастер схемы 65 Мастер доменных имен 66 Имитатор РОС 67 Мастер RID 67 Мастер инфраструктуры 67 Глобальные каталоги 68 Примеры размещения ' 69 Конфигурация контроллеров доменов для удаленных филиалов 71 Политика изменения схемы 72 Когда и как модифицируют схему 73 Применение политики модификации схемы 73 Active Directory, межсетевые экраны и Интернет 75 Подключение доменов через VPN 75 Подключение доменов с использованием IPSec 78 Авторизация ресурсов в DMZ 80 Пример планирования 82 Постановка задачи 83 Предложенная архитектура 85 Леса 85 Домены 86 Сайты 86 Контроллеры доменов 87 Организационные подразделения 88 Группы безопасности 88 Сервер Web и доступ к нему 89 Заключение .. 90 Оглавление Установка Active Directory 91 Что делать с DNS 91 Мой первый DNS 92 Так он работает? 94 А что если наблюдаются проблемы? 96 Выводы 98 DNS уже есть. Ну, и что с ним делать? 99 Поговорим о версиях DNS .- 99 DNS Windows 2000 или BIND версии лучше 8.2.2 100 BIND версии хуже 8.2.2 100 А если сервер DNS расположен за межсетевым экраном? 103 Строим лес доменов 106 Все домены в одном сайте 107 Каждый домен в своем сайте 108 Один домен разбит на несколько сайтов 110 Проблема «островов» 111 Использование «плоских» имен корневого домена 112 DNS в крупной компании 112 Ну очень крупная компания 116 Так нужна ли служба WINS? 116 Краткий экскурс в историю NetBIOS 116 Как разрешаются имена NetBIOS 118 А нужен ли NetBIOS? 119 Краткие советы по установке серверов WINS 120 Как правильно настроить DHCP 122 Что дает авторизация 122 Зачем нужны суперобласти 123 DHCP сервер в сегментированной сети 125 Динамическая регистрация имен в DNS 125 Какие параметры определять в сети Windows 128 Последовательность применения параметров 128 Как использовать идентификатор пользовательского класса 129 Как проконтролировать работу DHCP 130 DCPROMO и все, что с этим связано 130 Требования, предъявляемые DCPROMO 131 Файлы, создаваемые при работе DCPROMO 133 Файлы базы Active Directory 133 SYSVOL : 135 Журналы регистрации 136 Служба синхронизации времени 137 Автоматическая установка контроллера 138 Новое дерево в новом лесу 140 Дополнительный контроллер в домене -. 140 Новый дочерний домен 141 Новое дерево в лесу 141 Понижение контроллера домена до уровня сервера 142 Описание параметров и значений умолчания 142 VI Active Directory: подход профессионала Анализируем журналы 145 DCPromci.log 145 DCPromoUl.log 146 Netsetup.log 150 DCPromos.log 151 Как подобрать компьютер? 151 Требования к процессору 153 Требования к оперативной памяти 155 Конфигурация жестких дисков 156 Как проверить работоспособность контроллера домена 156 А если он все-таки не работает? , 162 Попробуем выяснить причину 162 Некорректные параметры TCP/IP или ошибки в сети 162 Некорректная работа службы DNS 163 Проблемы с оборудованием, в первую очередь с дисковой подсистемой . 163 Проблемы с репликацией Aclive Directory 163 Проблемы с репликацией FRS 164 Некорректная групповая политика 165 А может, все переустановить? 165 Все работает. Что делать? 166 Обновление контроллера домена Windows NT 4.0 до Windows 2000 167 Кое-что о Windows NT 4.0 167 Обеспечение безопасной миграции 168 Две стратегии миграции 168 Мигрируем домен Windows NT 171 Обновление первичного контроллера домена 171 Откат назад в случае сбоя 173 Совместная работа контроллеров разных версий 174 Алгоритмы установки контроллера домена 178 Алгоритм установки нового контроллера ' 178 Алгоритм обновления контроллера Windows NT 4.0 178 Заключение 178 Репликация Active Directory 179 Немного о том, как работает репликация 180 Обновления в Active Directory 182 USN 183 Штамп 184 Удаление объекта 186 Процесс репликации от А до Я 186 Создание объекта 186 Модификация объекта 187 Демпфирование распространения изменений 188 Разрешение конфликтов 192 Топология репликации 192 Какой транспорт предпочесть? 194 Синхронная и асинхронная передача 195 ВнутрисайтовыЙ транспорт 195 Особенности транспорта SMTP 196 Оглавление Управление пакетом репликации 197 Автоматическая генерация топологии 198 Простая топология для одного контекста имен 198 Сложная топология для одного контекста имен 198 Топология для нескольких контекстов имен 200 КСС и его возможности 202 Генератор межсайтовой топологии 203 Репликация глобальных каталогов 208 Репликация критических событий 209 Тиражирование паролей 211 Диагностика репликации 212 Выяснение списка партнеров по репликации 214 Active Directory Sites and Services 214 Repadmin /showreps 215 Replication Monitor 218 Контроль состояния партнеров по репликации 220 DsaStat 220 Dcdiag 222 Repadmin 225 Общая информация о параметрах репликации 227 Поиск и устранение проблем репликации 232 Запрет доступа (Access Denied) 233 Вероятная причина 233 Решение 234 Неизвестная служба аутентификации (Authentication service is Unknown) 235 Контроллер домена не может установить связь репликации 235 Связь репликации существует 236 Неверное имя учетной записи цели (Target account name is incorrect) 236 Отсутствие объекта trusted Domain 237 He совпадает набор SPN 238 Недоступен сервер RFC (RFC Server Not Available) 239 Ошибка поиска в DNS (DNS Lookup failure) 240 Служба каталогов перегружена (Directory service too busy) 240 Причина 241 Разрешение 241 Разница во времени (Ошибка LDAP 82) 242 Причина 243 Устранение 243 Внутренняя ошибка системы репликации 243 Причины 243 Устранение 244 Отсутствие конечной точки (No more end-point) 244 Ошибка LDAP 49 244 Сообщения, не являющиеся ошибками 244 Active Directory replication has been pre-empted 244 Replication posted, waiting 245 Last attempt @ ... was not successful 245 Заключение .. 245 VHI Active Directory: подход профессионала Групповая политика 247 Общие сведения 247 Клиент, сервер или кто важнее 248 Типы групповых правил 250 Структура и обработка групповой политики 251 Устройство объекта групповой попитики 251 Хранение параметров групповой политики 252 Версии и ревизии 255 Клиентские расширения 257 Обработка по медленным каналам связи 258 Периодическое фоновое применение 259 Применение неизмененной политики 261 Параметры клиентских расширений 262 Применение групповых правил 263 Изменение последовательности 263 Блокировка наследования 263 Принудительное наследование 265 Перемычки 265 Деактивизация правил • 267 Фильтрация " 267 История применения правил 270 Где создавать и редактировать правила? 272 Делегирование полномочий 274 Делегирование прав на создание и модификацию ОГП 276 Делегирование полномочий на привязку ОГП к объектам Active Directory .. 277 Типы правил 277 Правила установки ПО для компьютеров 278 Установки Windows для компьютеров - сценарии 280 Параметры Windows для компьютеров: правила безопасности 281 Правила учетных записей 282 Локальные правила 284 Правила журнала регистрации 289 Параметры Windows для компьютеров: правила групп с ограниченным членством 290 Параметры Windows для компьютеров: правила системных служб 291 Параметры Windows для компьютеров: правила реестра 291 Параметры Windows для компьютеров: правила файловой системы 292 Параметры Windows для компьютеров: правила открытых ключей 292 Параметры Windows для компьютеров: правила IPSecurity 293 Административные шаблоны для компьютеров 294 Правила установки ПО для пользователей 296 Параметры Windows для пользователей: настройка Internet Explorer 298 Параметры Windows для пользователей: сценарии 299 Параметры Windows для пользователей: правила безопасности 300 Параметры Windows для пользователей: служба удаленной установки 300 Параметры Windows для пользователей: перенаправление папок 300 Административные шаблоны для пользователей 303 Планирование групповой политики 306