ebook img

Active Directory: Подход профессионала PDF

534 Pages·2003·5.698 MB·Russian
Save to my drive
Quick download
Download
Most books are stored in the elastic cloud where traffic is expensive. For this reason, we have a limit on daily download.

Preview Active Directory: Подход профессионала

Федор Зубанов Active Directory подход профессионала Издание 2-е, исправленное Москва 2003 УДК 004 ББК 32.973.81(cid:6)018.2 З91 Зубанов Ф. В. З91 Active Directory: подход профессионала. — 2(cid:14)е изд., испр. — М.: Издательско(cid:14)торговый дом «Русская Редакция», 2003. — 544с.: ил. ISBN 5–7502–0118–Х В книге обобщен богатый опыт Microsoft Consulting Services в обла(cid:14) сти проектирования, развертывания и эксплуатации службы катало(cid:14) гов Active Directory® в самых разных организациях. Основной упор сделан на методике выявления проблем в работе Active Directory® и способах их устранения. На конкретных примерах разбираются вопросы настройки сетевых служб, репликации и групповых правил. Особое внимание уделяется специфике проектирования Active Direc(cid:14) tory® в крупных и очень крупных организациях. Книга состоит из вступления, 6 глав и словаря терминов. Это издание адресовано системным администраторам и специалис(cid:14) там в области проектирования корпоративных вычислительных систем на базе Windows 2000. УДК 004 ББК 32.973.81(cid:6)018.2 Использованные в примерах и упражнениях названия компаний и продуктов, персонажи и события являются вымышленными. Любые совпадения с реальны(cid:14) ми компаниями, продуктами, людьми и событиями являются случайными. Active Directory, ActiveX, JScript, Microsoft, Microsoft Press, MSDN, MS(cid:14)DOS, PowerPoint, Visual Basic, Visual C++, Visual InterDev, Visual SourceSafe, Visual Studio, Win32, Windows и Windows NT являются либо товарными знаками, либо охра(cid:14) няемыми товарными знаками корпорации Microsoft в США и/или других стра(cid:14) нах. MySQL является охраняемым товарным знаком компании MySQL AB. Все другие товарные знаки являются собственностью соответствующих фирм. © Зубанов Ф. В., 2002–2003 © Издательско(cid:14)торговый дом ISBN 5–7502–0118–Х «Русская Редакция», 2003 Оглавление Об этой книге . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . XIII Структура книги . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . .XIV Чего здесь нет . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . XVII Принятые соглашения . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . XVII Проектируем AD, или Мелочей не бывает . . . . . . . 1 Что в имени тебе моем?.. . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 2 Бизнес определяет имена . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 2 Имена DNS и имена Active Directory . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 4 Покажем корень миру . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 4 Алгоритм именования DNS . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 6 Именование объектов Active Directory . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 6 Именование пользователей . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 6 Именование компьютеров . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 8 Имена подразделений . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 9 Одоменивание . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 9 Один за всех... . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . .11 Критерии создания домена . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . .11 Когда одного домена достаточно . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . .11 Преимущества однодоменной модели . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 13 ... все за одного . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 14 Преимущества многодоменной модели (дерева) . . . . . . . . . . . . . . . . . . . . . . 18 Посадим деревья и вырастет лес . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 19 Преимущества модели с несколькими деревьями . . . . . . . . . . . . . . . . . . . . . 21 Преимущества модели с одним лесом . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 22 Модель с несколькими лесами . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 24 Мигрируем с доменной структуры Windows NT . . . . . . . . . . . . . . . . . . . . . . . . . . . 26 Миграция единственного домена . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 26 Миграция доменной структуры с одним мастер+доменом . . . . . . . . . . . . . . . 27 Миграция доменной структуры с несколькими мастерами . . . . . . . . . . . . . . 30 Миграция нескольких доменов с попарным доверием . . . . . . . . . . . . . . . . . . 31 Группы и стратегия их использования . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 32 Рекомендации по использованию универсальных групп . . . . . . . . . . . . . . . . . . . . 32 Рекомендации по использованию глобальных групп . . . . . . . . . . . . . . . . . . . . . . . 34 Рекомендации по использованию локальных групп домена . . . . . . . . . . . . . . . . . 35 Использование особых объединений . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 37 Административные группы . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 37 Если ОП создают, значит, это кому+нибудь нужно . . . . . . . . . . . . . . . . . . . . . . . . . . . 38 Модели организационных подразделений . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 40 Географическая иерархия . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 40 Организационная иерархия . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 40 IV Active Directory: подход профессионала Объектная иерархия . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 40 Проектная иерархия . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 41 Административная иерархия . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 41 Так кому нужны организационные подразделения? . . . . . . . . . . . . . . . . . . . . . . . . 43 Нужны ли подразделения пользователям? . . . . . . . . . . . . . . . . . . . . . . . . . . . 44 Подразделения нужны администраторам! . . . . . . . . . . . . . . . . . . . . . . . . . . . . 46 Делегирование административных полномочий . . . . . . . . . . . . . . . . . . . . . . . 46 Разбиваем на сайты . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 47 Так какой же все+таки критерий? . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 48 Сколько может быть сайтов? . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 49 Сколько нужно контроллеров и где их размещать . . . . . . . . . . . . . . . . . . . . . . . . 51 Менее 10 пользователей . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 51 От 10 до 50 пользователей . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 53 От 50 пользователей . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 54 Надежная связь между сайтами . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 55 Топология сетей . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 55 Межсайтовые связи . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 56 Объекты связи . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 59 Серверы+форпосты . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 59 Отказоустойчивые схемы . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 63 Мастера операций и Глобальный каталог. Оптимальное размещение . . . . . . . . . 65 Мастер схемы . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 65 Мастер доменных имен . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 66 Имитатор PDC . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 67 Мастер RID . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 67 Мастер инфраструктуры . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 67 Глобальные каталоги . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 68 Примеры размещения . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 69 Конфигурация контроллеров доменов для удаленных филиалов . . . . . . . . . . . . . 71 Политика изменения схемы . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 72 Когда и как модифицируют схему . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 73 Применение политики модификации схемы . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 73 Active Directory, межсетевые экраны и Интернет . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 75 Подключение доменов через VPN . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 75 Подключение доменов с использованием IPSec . . . . . . . . . . . . . . . . . . . . . . . . . . 78 Авторизация ресурсов в DMZ . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 80 Пример планирования . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 82 Постановка задачи . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 83 Предложенная архитектура . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 85 Леса . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 85 Домены . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 86 Сайты . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 86 Контроллеры доменов . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 87 Организационные подразделения . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 88 Группы безопасности . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 88 Сервер Web и доступ к нему . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 89 Заключение . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 90 Оглавление V Установка Active Directory . . . . . . . . . . . . . . . . . . . . . . . 91 Что делать с DNS . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 91 Мой первый DNS . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 92 Так он работает? . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 94 А что если наблюдаются проблемы? . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 96 Выводы . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 98 DNS уже есть. Ну, и что с ним делать? . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 99 Поговорим о версиях DNS . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 99 DNS Windows 2000 или BIND версии лучше 8.2.2 . . . . . . . . . . . . . . . . . . . . 100 BIND версии хуже 8.2.2 . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 100 А если сервер DNS расположен за межсетевым экраном? . . . . . . . . . . . . . 103 Строим лес доменов . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 106 Все домены в одном сайте . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 107 Каждый домен в своем сайте . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 108 Один домен разбит на несколько сайтов . . . . . . . . . . . . . . . . . . . . . . . . . . . 110 Проблема «островов» . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . .111 Использование «плоских» имен корневого домена . . . . . . . . . . . . . . . . . . . . . . . 112 DNS в крупной компании . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 112 Ну очень крупная компания . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 116 Так нужна ли служба WINS? . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 116 Краткий экскурс в историю NetBIOS . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 116 Как разрешаются имена NetBIOS . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . .118 А нужен ли NetBIOS? . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 119 Краткие советы по установке серверов WINS . . . . . . . . . . . . . . . . . . . . . . . . . . . 120 Как правильно настроить DHCP . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 122 Что дает авторизация . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 122 Зачем нужны суперобласти . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 123 DHCP сервер в сегментированной сети . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 125 Динамическая регистрация имен в DNS . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 125 Какие параметры определять в сети Windows . . . . . . . . . . . . . . . . . . . . . . . . . . . 128 Последовательность применения параметров . . . . . . . . . . . . . . . . . . . . . . . . 128 Как использовать идентификатор пользовательского класса . . . . . . . . . . . . 129 Как проконтролировать работу DHCP . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 130 DCPROMO и все, что с этим связано . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 130 Требования, предъявляемые DCPROMO . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 131 Файлы, создаваемые при работе DCPROMO . . . . . . . . . . . . . . . . . . . . . . . . . . . . 133 Файлы базы Active Directory . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 133 SYSVOL . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 135 Журналы регистрации . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 136 Служба синхронизации времени . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 137 Автоматическая установка контроллера . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 138 Новое дерево в новом лесу . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 140 Дополнительный контроллер в домене . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 140 Новый дочерний домен . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 141 Новое дерево в лесу . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 141 Понижение контроллера домена до уровня сервера . . . . . . . . . . . . . . . . . . 142 Описание параметров и значений умолчания . . . . . . . . . . . . . . . . . . . . . . . . 142 VI Active Directory: подход профессионала Анализируем журналы . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 145 DCPromo.log . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 145 DCPromoUI.log . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 146 Netsetup.log . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 150 DCPromos.log . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 151 Как подобрать компьютер? . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 151 Требования к процессору . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 153 Требования к оперативной памяти . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 155 Конфигурация жестких дисков . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 156 Как проверить работоспособность контроллера домена . . . . . . . . . . . . . . . . . . . . . . 156 А если он все+таки не работает? . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 162 Попробуем выяснить причину . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 162 Некорректные параметры TCP/IP или ошибки в сети . . . . . . . . . . . . . . . . . . 162 Некорректная работа службы DNS . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 163 Проблемы с оборудованием, в первую очередь с дисковой подсистемой . 163 Проблемы с репликацией Active Directory . . . . . . . . . . . . . . . . . . . . . . . . . . . 163 Проблемы с репликацией FRS . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 164 Некорректная групповая политика . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 165 А может, все переустановить? . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 165 Все работает. Что делать? . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 166 Обновление контроллера домена Windows NT 4.0 до Windows 2000 . . . . . . . . . . . . . 167 Кое+что о Windows NT 4.0 . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 167 Обеспечение безопасной миграции . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 168 Две стратегии миграции . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 168 Мигрируем домен Windows NT . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 171 Обновление первичного контроллера домена . . . . . . . . . . . . . . . . . . . . . . . . 171 Откат назад в случае сбоя . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 173 Совместная работа контроллеров разных версий . . . . . . . . . . . . . . . . . . . . . 174 Алгоритмы установки контроллера домена . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 178 Алгоритм установки нового контроллера . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 178 Алгоритм обновления контроллера Windows NT 4.0 . . . . . . . . . . . . . . . . . . . . . . 178 Заключение . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 178 Репликация Active Directory . . . . . . . . . . . . . . . . . . . . 179 Немного о том, как работает репликация . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 180 Обновления в Active Directory . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 182 USN . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 183 Штамп . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 184 Удаление объекта . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 186 Процесс репликации от А до Я . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 186 Создание объекта . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 186 Модификация объекта . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 187 Демпфирование распространения изменений . . . . . . . . . . . . . . . . . . . . . . . . 188 Разрешение конфликтов . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 192 Топология репликации . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 192 Какой транспорт предпочесть? . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 194 Синхронная и асинхронная передача . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 195 Внутрисайтовый транспорт . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 195 Особенности транспорта SMTP . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 196 Оглавление VII Управление пакетом репликации . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 197 Автоматическая генерация топологии . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 198 Простая топология для одного контекста имен . . . . . . . . . . . . . . . . . . . . . . 198 Сложная топология для одного контекста имен . . . . . . . . . . . . . . . . . . . . . . 198 Топология для нескольких контекстов имен . . . . . . . . . . . . . . . . . . . . . . . . . 200 KCC и его возможности . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 202 Генератор межсайтовой топологии . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 203 Репликация глобальных каталогов . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 208 Репликация критических событий . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 209 Тиражирование паролей . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 211 Диагностика репликации . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 212 Выяснение списка партнеров по репликации . . . . . . . . . . . . . . . . . . . . . . . . . . . 214 Active Directory Sites and Services . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 214 Repadmin /showreps . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 215 Replication Monitor . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 218 Контроль состояния партнеров по репликации . . . . . . . . . . . . . . . . . . . . . . . . . . 220 DsaStat . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 220 Dcdiag . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 222 Repadmin . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 225 Общая информация о параметрах репликации . . . . . . . . . . . . . . . . . . . . . . . . . . 227 Поиск и устранение проблем репликации . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 232 Запрет доступа (Access Denied) . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 233 Вероятная причина . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 233 Решение . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 234 Неизвестная служба аутентификации (Authentication service is Unknown) . . . . . 235 Контроллер домена не может установить связь репликации . . . . . . . . . . . . 235 Связь репликации существует . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 236 Неверное имя учетной записи цели (Target account name is incorrect) . . . . . . . 236 Отсутствие объекта trustedDomain . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 237 Не совпадает набор SPN . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 238 Недоступен сервер RPC (RPC Server Not Available) . . . . . . . . . . . . . . . . . . . . . . . 239 Ошибка поиска в DNS (DNS Lookup failure) . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 240 Служба каталогов перегружена (Directory service too busy) . . . . . . . . . . . . . . . . 240 Причина . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 241 Разрешение . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 241 Разница во времени (Ошибка LDAP 82) . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 242 Причина . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 243 Устранение . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 243 Внутренняя ошибка системы репликации . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 243 Причины . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 243 Устранение . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 244 Отсутствие конечной точки (No more end+point) . . . . . . . . . . . . . . . . . . . . . . . . . 244 Ошибка LDAP 49 . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 244 Сообщения, не являющиеся ошибками . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 244 Active Directory replication has been pre+empted . . . . . . . . . . . . . . . . . . . . . . 244 Replication posted, waiting . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 245 Last attempt @ … was not successful . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 245 Заключение . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 245 VIII Active Directory: подход профессионала Групповая политика . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 247 Общие сведения . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 247 Клиент, сервер или кто важнее . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 248 Типы групповых правил . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 250 Структура и обработка групповой политики . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 251 Устройство объекта групповой политики . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 251 Хранение параметров групповой политики . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 252 Версии и ревизии . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 255 Клиентские расширения . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 257 Обработка по медленным каналам связи . . . . . . . . . . . . . . . . . . . . . . . . . . . 258 Периодическое фоновое применение . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 259 Применение неизмененной политики . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 261 Параметры клиентских расширений . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 262 Применение групповых правил . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 263 Изменение последовательности . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 263 Блокировка наследования . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 263 Принудительное наследование . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 265 Перемычки . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 265 Деактивизация правил . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 267 Фильтрация . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 267 История применения правил . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 270 Где создавать и редактировать правила? . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 272 Делегирование полномочий . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 274 Делегирование прав на создание и модификацию ОГП . . . . . . . . . . . . . . . . 276 Делегирование полномочий на привязку ОГП к объектам Active Directory . . 277 Типы правил . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 277 Правила установки ПО для компьютеров . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 278 Установки Windows для компьютеров — сценарии . . . . . . . . . . . . . . . . . . . . . . . . 280 Параметры Windows для компьютеров: правила безопасности . . . . . . . . . . . . . 281 Правила учетных записей . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 282 Локальные правила . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 284 Правила журнала регистрации . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 289 Параметры Windows для компьютеров: правила групп с ограниченным членством . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 290 Параметры Windows для компьютеров: правила системных служб . . . . . . . . . . 291 Параметры Windows для компьютеров: правила реестра . . . . . . . . . . . . . . . . . 291 Параметры Windows для компьютеров: правила файловой системы . . . . . . . . 292 Параметры Windows для компьютеров: правила открытых ключей . . . . . . . . . . 292 Параметры Windows для компьютеров: правила IPSecurity . . . . . . . . . . . . . . . . 293 Административные шаблоны для компьютеров . . . . . . . . . . . . . . . . . . . . . . . . . . 294 Правила установки ПО для пользователей . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 296 Параметры Windows для пользователей: настройка Internet Explorer . . . . . . . . . 298 Параметры Windows для пользователей: сценарии . . . . . . . . . . . . . . . . . . . . . . . 299 Параметры Windows для пользователей: правила безопасности . . . . . . . . . . . . 300 Параметры Windows для пользователей: служба удаленной установки . . . . . . 300 Параметры Windows для пользователей: перенаправление папок . . . . . . . . . . 300 Административные шаблоны для пользователей . . . . . . . . . . . . . . . . . . . . . . . . . 303 Планирование групповой политики . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 306 Оглавление IX Начальство хочет, вы — желаете . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 307 От простого к сложному . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 308 Советы по применению . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 309 Один домен . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 309 Несколько доменов . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 312 Поиск и устранение проблем . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 315 Средства поиска проблем . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 316 GPRESULT . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 316 GPOTOOL . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 322 ADDIAG . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 324 SECEDIT . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 328 FAZAM2000 . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 328 Журналирование . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 329 Журнал событий приложений . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 330 Журналы политики для пользователей . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 332 Журналы установки приложений . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 335 Общие проблемы групповой политики . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 335 Зависание компьютера при регистрации пользователя или запуске компьютера . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 335 Определенная политика не обрабатывается полностью или частично . . . . 335 Обрабатывается не тот ОГП . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 336 Политика вообще не применяется . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 337 Заключение . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 337 Active Directory и файловая система . . . . . . . . . . . 339 Служба репликации файловой системы . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 340 Как распространяются изменения . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 340 Инициация тиражирования . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 341 Избыточность . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 342 Когда удобно использовать репликацию FRS . . . . . . . . . . . . . . . . . . . . . . . . 343 Работа службы FRS в подробностях . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 344 Выходная репликация . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 345 Входная репликация . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 347 Таблицы службы FRS . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 349 Объекты Active Directory, используемые FRS . . . . . . . . . . . . . . . . . . . . . . . . 350 Настройка FRS . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 352 Изменение интервалов опроса Active Directory . . . . . . . . . . . . . . . . . . . . . . . 352 Установка фильтров . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 353 Управление расписанием репликации . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 354 Рекомендации по оптимизации FRS . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 357 Журналирование . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 357 Топология репликации . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 358 Подготовительный каталог . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 359 Размер журнала NTFS . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 359 Использование FRS и удаленных хранилищ . . . . . . . . . . . . . . . . . . . . . . . . . 360 Использование резервного копирования для начальной конфигурации реплик . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 360 Не превышайте... . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 362 Поиск и устранение проблем FRS . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 362 X Active Directory: подход профессионала Журналы . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 363 Журнал регистрации File Replication System . . . . . . . . . . . . . . . . . . . . . . . . . 364 Журналы NTFRS . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 366 Связь между монитором производительности и сообщениями в журнале . . 370 NTFRSUTL . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 371 Восстановление реплицируемых файлов . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 373 Неавторитетное восстановление . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 374 Авторитетное восстановление . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 376 Восстановление конфигурации FRS . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 377 Оптимизация процессов восстановления . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 378 Сокращение числа серверов, создающих подготовительные файлы. . . . . . 379 Сокращение числа реплицируемых файлов на время выполнения процесса VV+join . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 380 Разрешение выполнения только одного подключения вектора версий на входном партнере . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 381 Распределенная файловая система . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 381 Немного о DFS . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 381 Таблица PKT . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 383 Взаимодействие клиента с сервером DFS . . . . . . . . . . . . . . . . . . . . . . . . . . 385 Репликация DFS . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 386 Сайты и DFS . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 388 Предельные возможности и ограничения . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 388 Ограничения доступа . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 390 Полезные советы . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 391 Работа DFS без NetBIOS . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 391 Резервное копирование пространства имен DFS . . . . . . . . . . . . . . . . . . . . . . . . . 392 Использование DfsCmd . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 392 Использование DfsUtil . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 392 Делегирование полномочий по управлению DFS . . . . . . . . . . . . . . . . . . . . . . . . . 393 Делегирование полномочий модификации конфигурации DFS . . . . . . . . . . 394 Делегирование полномочий настройки репликации томов DFS . . . . . . . . . . 395 Делегирование полномочий по управлению томами DFS и разграничению доступа . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 395 Поиск и устранение проблем DFS . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 396 DfsUtil . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 396 /list . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 397 /view . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 397 /pktinfo . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 399 Аргументы управления конфигурацией . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 401 Аргументы отладочного режима . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 402 Наиболее общие проблемы и их разрешение . . . . . . . . . . . . . . . . . . . . . . . . . . . 403 Обновление сервера до новой версии . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 403 Изменение имени хоста DFS . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 404 Удаление последнего корня DFS . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 404 Перемещение хоста DFS в другой сайт . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 405 Проблемы доступа к пространству имен DFS . . . . . . . . . . . . . . . . . . . . . . . . 406 Невозможность администрирования DFS . . . . . . . . . . . . . . . . . . . . . . . . . . . 406

See more

The list of books you might like

Most books are stored in the elastic cloud where traffic is expensive. For this reason, we have a limit on daily download.