Другие варианты установки контроллера домена

Включение в домен дополнительных контроллеров

Создание дополнительных контроллеров домена также выполняется при помощи мастера установки Active Directory:

1. Регистрируйтесь в системе как Администратор.

2. Запускаете программу DCpromo и нажимаете кнопку Далее.

3. Для данного варианта установки следует установить переключатель Добавочный контроллер домена в существующем домене (Additional domain controller for an existing domain) и нажать кнопку Далее.

4. Вводите имя, пароль и полное DNS-имя домена для пользовательской записи с административными правами в домене (это может быть член группы Администраторы или пользователь, имеющий права на подключение компьютеров к домену).

5. Вводите полное DNS-имя существующего домена; при этом можно выбрать домен из списка существующих, нажав кнопку Обзор (Browse).

6. В следующих окнах мастера указываете дополнительные параметры (местоположение базы данных Active Directory, журналов регистрации событий, реплицируемого системного тома, а также пароль администратора для восстановления службы каталогов).

7. В появляющемся окне сводки проверьте правильность параметров и нажмите кнопку Далее и начнется процесс повышения роли сервера.

После перезагрузки компьютер будет работать как один из контроллеров указанного домена

Примечание:
Если на сервере до начала процесса повышения роли была установлена служба DNS, то она полностью конфигурируется с использованием записей основного DNS-сервера.

Таким образом, легко получить резервный DNS-сервер, повысив отказоустойчивость сети. При этом предпочтительнее, если зоны DNS хранятся в Active Directory

Добавление к дереву дочерних доменов

Создать в существующем дереве дочерний (подчиненный) домен также можно с помощью мастера установки Active Directory:

1. Запустите программу Dcpromo.

2. Установите переключатель Контроллер домена в новом домене.

3. Введите полное DNS-имя существующего домена, который будет родительским для создаваемого домена, например, mycompany.com.

4. Введите краткое имя нового дочернего домена, например, finance. Тогда полное имя создаваемого домена будет finance.mycompany.com.

5. Введите или подтвердите NetBIOS-имя для нового домена.

6. Введите имя, пароль и название домена для учетной записи, имеющей административные полномочия в родительском домене.

7. Укажите дополнительные параметры (местоположение базы данных Active Directory и т. д.).

8. После проверки всех заданных параметров нажмите кнопку Далее - и начнется процесс повышения роли сервера.

После перезагрузки компьютер будет работать как первый контроллер домена в новом дочернем домене

Создание нового дерева в лесе

Процесс создания новых деревьев в существующем лесе аналогичен описанной выше процедуре создания дочерних доменов. Отличий совсем немного:

запустите мастер установки Active Directory, установите переключатель Контроллер домена в новом домене, укажите, что новый домен является первым доменом в новом дереве существующего леса (переключатель Создать новое доменное дерево), а затем введите полное DNS-имя нового дерева, например, new-corp.com (это имя не должно быть смежным ни с одним: из деревьев, существующих в выбранном лесе), и NetBIOS-имя нового домена.

После установки Active Directory и перезагрузки компьютер начнет работать как первый контроллер домена в новом дереве, при этом новый домен будет связан доверительными отношениями с корневыми доменами существующих деревьев.

Понижение контроллера домена

Для того чтобы превратить контроллер домена в рядовой сервер, также используется утилита DCPromo, т. е. мастер установки Active Directory.

Процесс понижения роли контроллера домена имеет ряд особенностей, связанных с количеством контроллеров в домене (доменах) и их функциями.

Если понижается контроллер домена, являющийся сервером глобального каталога, то будет выдано предупреждение.

Его можно проигнорировать в двух случаях

• если контроллер домена - единственный и уничтожается вся доменная структура;
• если в лесе имеются другие контроллеры, выполняющие эту функцию.

В противном случае нужно назначить сервером глобального каталога другой контроллер домена и выполнить репликацию, после чего можно снова запускать мастер установки Active Directory.

Кроме того, мастеру установки Active Directory необходимо указать, является ли контролер домена последним в домене.

Если флажок Этот сервер - последний контроллер домена в данном домене (This server is the last domain controller in the domain) остается сброшенным (т. е. контроллер домена становится рядовым сервером), то в следующем окне нужно указать и подтвердить пароль администратора на выбранном компьютере.

Если же флажок установить (т. е. контроллер домена становится изолированным сервером, и домен полностью уничтожается), то в следующем окне нужно указать имя пользователя с правами администратора предприятия для этого леса, пароль и имя домена, а затем пароль, назначаемый администратору компьютера.

Выводится окно сводки, в котором можно проверить правильность выполняемых действий.

После нажатия кнопки Далее начинается сам процесс понижения роли сервера. После появления сообщения об удалении Active Directory с компьютера нужно перезагрузиться.

Переключение домена в основной режим

Домены Windows 2000 могут находиться в двух режимах

Смешанный режим (mixed mode)

Смешанный режим позволяет сосуществовать контроллерам доменов, работающим с программным обеспечением как Windows 2000, так и Windows NT более ранних версий.

В этом режиме включены некоторые возможности Windows NT Server более ранних версий и отключены некоторые возможности Windows 2000 Server.

Основной режим (native mode)

Все контроллеры работают с программным обеспечением Windows 2000 Server.

По умолчанию домены создаются в смешанном режиме. В этом режиме в состав доменов могут входить BDC-контроллеры Windows NT 4.0. После того как все BDC-контроллеры будут обновлены или удалены, можно переключить домен в основной режим.

Примечание:
Множественная репликация (multi-master replication) между контроллерами домена в Windows 2000 выполняется всегда, даже в смешанном режиме

При переходе в основной режим в домене не должно быть BDC-контроллеров. После переключения в этот режим уже нельзя вернуться в смешанный режим и добавлять к домену контроллеры, работающие с программным обеспечением, отличным от Windows 2000 Server.

Как осуществить переключение режима работы домена мы увидим немного позже.

Переход к Active Directory

Active Directory имеет множество достоинств, однако, это весьма значительное изменение в существующих технологиях. Как же внедрить новое средство? С одной стороны, многие службы каталогов уже существуют, и имеются средства для их переноса в Active Directory. Для многих организаций самой важной из уже используемых каталогов является служба каталога Exchange, поэтому компания Microsoft предлагает утилиту Active Directory Connector (ADC) для Exchange 5.x, упрощающую миграцию.

Кроме этого, в большинстве организаций переход от Windows NT 4.0 к Windows 2000 не произойдет мгновенно и займет некоторое время.

Поэтому важно иметь возможность совместного использования в одном домене обеих операционных систем.

Для клиентов Windows NT 4.0 домен Windows 2000 выглядит как обычный домен Windows NT 4.0, для клиентов Windows 2000 как домен Windows 2000.

Для реализации такой возможности Контроллер домена Windows 2000 Server может эмулировать РDС-контроллер Windows NT Server 4.0. BDC-контроллеры в таком домене выполняют репликацию с контроллера домена Windows 2000 Server так, будто это традиционный PDC-контроллер.

Нужно понимать, что за этим стоит: для перехода от домена Windows NT Server 4.0 к домену Windows 2000 Server необходимо сначала обновить существующий PDC-контроллер, чтобы он смог загрузить в Active Directory имеющуюся учетную информацию (учетные записи пользователей, компьютеров и т. д.). Затем, по мере необходимости, можно обновить до Windows 2000 другие BDC-контроллеры, рядовые (member) серверы и клиентов.

В домене Windows 2000, в который входят BDC-контроллеры Windows NT 4.0, репликацию системного тома SYSVOL нужно настраивать дополнительными средствами/поскольку контроллеры домена на базе Windows 2000 не реплицируют эту информацию на BDC-контроллеры.

При переходе к Windows 2000 Server можно также пересмотреть существующую структуру домена. Лучше иметь меньшее число доменов, и, поскольку Active Directory позволяет использовать домены больших размеров, можно объединить несколько доменов в один. Если новый домен получится слишком большим, могут появиться проблемы с трафиком при репликации, однако с меньшим числом доменов все равно справиться легче.

Кроме того, Windows 2000 Server позволяет делегировать административные функции на уровне учетных записей, входящих в организационную единицу внутри домена, а не только на уровне домена.

Наконец, имеет смысл потратить больше времени на проектирование доменов и пространств имен внутри каждого домена. В среде Windows NT Server 4.0 во многих организациях домены "размножались" без должного контроля, что приводило к запутанной системе имен и доверительных отношений.

При использовании Active Directory создание эффективной структуры "с нуля" окупится в дальнейшем простотой администрирования сети.