Переключение домена в основной режим

Домены Windows 2000 могут находиться в двух режимах:

Переключение домена в основной режим - student2.ru Смешанный режим (mixed mode), позволяющий сосуществовать контроллерам доменов, работающим с программным обеспечением как Windows 2000, так и Windows NT более ранних версий. В этом режиме включены некоторые возможности Windows NT Server более ранних версий и отключены некоторые возможности Windows 2000 Server.

Переключение домена в основной режим - student2.ru Основной режим (native mode), где все контроллеры работают с программным обеспечением Windows 2000 Server. В этом режиме полностью доступны такие новые воамвжййейг, "М&с создание влбженньрс (nested) групп и междоменное членство в группах (универсальные группы).

По умолчанию домены создаются в смешанном режиме. В этом режиме в состав доменов могут входить BDC-контроллеры Windows NT 4.0. После того как все BDC-контроллеры будут обновлены или удалены, можно переключить домен в основной режим.

При переходе в основной режим в домене не должно быть BDC-контроллеров. После переключения в этот режим уже нельзя вернуться в смешанный режим и добавлять к домену контроллеры, работающие с программным обеспечением, отличным от Windows 2000 Server. Для переключения режима работы домена используется оснастка Active Directory — пользователи и компьютеры.После перезагрузки компьютера контроллер домена начнет работать в основном режиме, необходимо также перезагрузить все контроллеры в домене.

ПРО DNS

Обзор DNS

Что такое DNS

Домен DNS (рис. 17.4) основан на концепции дерева именованных доменов. Каждый уровень дерева может представлять или ветвь, или лист дерева. Ветвь — это уровень, содержащий более одного имени и идентифицирующий набор именованных ресурсов. Лист — имя, указывающее заданный ресурс (терминологию см. в табл. 17.2).

Таблица 17.2. Структура DNS

Тип имени Описание Пример
Корневой домен Корень дерева именованных доменов, задает неименованный уровень; часто указывается в виде двойных пустых кавычек (" "). При использовании в доменном имени указывается точкой в конце имени. Определяет, что имя расположено в корневом, самом высоком, уровне доменной иерархии Точка (.) или точка, стоящая в конце имени, например, "sample.mydomain.org."
Домен верхнего уровня Имя, состоящее из двух или трех символов, обычно указывающее страну (Россия — ш, Нидерланды — nl, Украина — иа и т. п.) или тип организации, использующей имя (com — коммерческая, mil — военная, США и т. д.) ".com" означает, что имя зарегистрировано фирмой или другой организацией для коммерческого использования в Интернете
Домен второго уровня Имя переменной длины, зарегистрированное частным лицом или организацией для использования в Интернете. Такие имена всегда основаны на домене верхнего уровня, в зависимости от типа организации или географического местоположения "mydomain.org" — имя домена второго уровня (вымышленное) L
Субдомен Дополнительные имена, которые организация может создавать в пределах домена второго уровня. Применяются для указания различных организационных единиц или территориальных подразделений больших организаций "sample.mydomain.org." — субдомен домена второго уровня "mydomain.org."
Имя хоста или ресурса Листья дерева имен DNS, задают определенный ресурс или хост "host.sampte.mydbmain.org.", где host— имя хоста или какого-либо ресурса в сети


Возможности серверов DNS

Служба DNS под управлением Windows 2000 Server обеспечивает следующие возможности:

Переключение домена в основной режим - student2.ru DNS-cepeep, соответствующий стандартам RFC. Служба DNS поддерживает открытый протокол и соответствует промышленным стандартам (RFC).
Переключение домена в основной режим - student2.ru Способность взаимодействовать с другими реализациями серверов DNS. Поскольку служба DNS соответствует стандартам DNS и "понимает" форматы стандартных файлов данных DNS и форматы ресурсных записей, она успешно работает совместно с большинством других реализаций DNS, например, использующих программное обеспечение Berkeley Internet Name Domain (BIND).
Переключение домена в основной режим - student2.ru Поддержка Active Directory. Служба DNS обязательна для работы Active Directory. При установке Active Directory на компьютере под управлением Windows 2000 Server операционная система автоматически (но с согласия пользователя) устанавливает и конфигурирует службу DNS для поддержки Active Directory.
Переключение домена в основной режим - student2.ru Интеграция с другими сетевыми службами Microsoft. Служба DNS обеспечивает интеграцию с другими службами Windows 2000 и содержит функции, не описанные в RFC. Это касается интеграции со службами WINS иОНСР.
Переключение домена в основной режим - student2.ru Улучшенные административные инструменты. Windows 2000 предоставляет оснастку с улучшенным графическим интерфейсом пользователя для управления службой DNS. Windows 2000 Server содержит несколько новых мастеров конфигурации для выполнения повседневных задач по администрированию сервера. Также имеется ряд дополнительных средств, помогающих управлять и поддерживать серверы DNS и клиентов в сети (рис. 17.6).
 
Рис. 17.6.Оснастка DNS


Переключение домена в основной режим - student2.ru Поддержка протокола динамического обновления в соответствии с RFC. Служба DNS позволяет клиентам динамически обновлять ресурсные записи при помощи динамического протокола обновления DNS (стандарт RFC 2136). Это облегчает администрирование DNS, избавляя от необходимости вносить эти записи вручную. Компьютеры под управлением Windows 2000 могут динамически регистрировать свои имена DNS и IP-адреса. а Поддержка инкрементных зональных передач между серверами. Зональные передачи используются между серверами DNS для частичного копирования информации. Инкрементная зональная передача используется, чтобы копировать только измененные части зоны. Зона — набор записей, относящихся к одному домену.
Переключение домена в основной режим - student2.ru Поддержка новых типов ресурсных записей. Служба DNS включает поддержку нескольких новых типов ресурсных записей (RR): записи SRV (расположение службы) и АТМА (адрес ATM), что значительно расширяет возможности использования DNS в глобальных сетях.

Возможности клиентов DNS

Клиентская служба DNS под управлением Windows 2000 служит для разрешения доменных имен DNS и предоставляет следующие возможности:

Переключение домена в основной режим - student2.ru Клиентское кэширование. Ресурсные записи (RR), полученные как ответы на запросы, добавляются в клиентский кэш. Эта информация хранится в пределах заданного времени и может использоваться для ответа на последующие запросы.
Переключение домена в основной режим - student2.ru Кэширование отрицательных ответов. В дополнение к кэшированию положительных ответов на запросы от серверов DNS, служба DNS также кэширует отрицательные ответы на запросы. Отрицательный ответ приходит, если ресурсная запись с запрошенным именем не существует. Кэширование отрицательных ответов предотвращает повторные запросы для несуществующих имен, снижающие производительность клиентской службы.
Переключение домена в основной режим - student2.ru Блокировка неотвечающих серверов DNS. Клиентская служба DNS использует список поиска серверов, упорядоченных по предпочтению. Этот список включает все серверы DNS, настроенные для каждого из активных сетевых подключений в системе. Windows 2000 перестраивает этот список, основываясь на следующих критериях: предпочтительные серверы DNS имеют высший приоритет, а остальные серверы DNS чередуются. Неотвечающие серверы временно удаляются из списка.

Использование DNS

Работа с DNS в Windows NT 4.0 и Windows 2000 Server

В табл. 17.3 приведены отличия при работе с сервером DNS в этих ОС.

Таблица 17.3. Работа с DNS в Windows NT4.0 и Windows 2000 Server

Задача Windows NT 4.0 Server Windows 2000 Server
Установить сервер DNS на компьютере Значок Network на панели управления Значок Установка и удаление программ на панели управления
Запустить DNS Manager Start | Administrative Tools (Common) | DNS Manager Пуск | Администрирование | DNS (Start | Administrative Tools | DNS)
Запустить или остановить сервер DNS Значок Services на панели управления Оснастка Службы (Services)
Добавить удаленный сервер в DNS Manager Узел Server в окне утилиты DNS Manager Контекстное меню узла DNS в оснастке DNS, команда Подключение к компьютеру

Установка сервера DNS

Для установки сервера DNS необходимо выполнить следующие действия:

1. Запустите Мастер компонентов Windows (Windows Component Wizard) (значок Установка и удаление программ(Add/remove programs) на панели управления, затем нажмите кнопку Добавление и удаление компонентов Windows(Add/remove Windows Components)).
2. Нажмите кнопку Далее(Next).
3. В списке Компоненты(Components) выберите пункт Сетевые службы (Networking Services).
4. Нажмите кнопку Состав(Details).
5. В списке Сетевые службы — состав(Subcomponents of Networking Services) установите флажок у элемента DNS(Domain name system (DNS)) и нажмите кнопку ОК.
6. При необходимости введите полный путь к файлам дистрибутива Windows 2000 и нажмите кнопку Продолжить(Continue). Требуемые файлы будут скопированы на жесткий диск, программное обеспечение сервера можно использовать после перезапуска системы.
Примечание
  • Установив сервер DNS, необходимо решить, как будут управляться сервер и файлы зон базы данных DNS. Хотя изменения в файлах базы данных можно вносить и при помощи текстового редактора, этот метод не рекомендуется. Лучше обслуживать сервер DNS и файлы зон базы данных средствами оснастки DNS.
  • После управления зонами при помощи оснастки DNSфайлы зон нельзя снова редактировать вручную.

Планирование

Перед использованием DNS в сети необходимо тщательно спланировать пространство имен DNS. При этом нужно определить, как будет применяться служба DNS и какие цели ставятся при ее развертывании. Вот вопросы, которые необходимо решить до установки службы:

Переключение домена в основной режим - student2.ru Выбор и предварительная регистрация имени домена, используемого в Интернете
Переключение домена в основной режим - student2.ru В какой сети будут установлены серверы DNS — в частной сети или в Интернете
Переключение домена в основной режим - student2.ru Нужно ли использовать DNS для поддержки работы Active Directory О Требования к выбору доменных имен для компьютеров.

Настройка сервера

Настройка и изменение конфигурации сервера DNS могут понадобиться по разным причинам, например:

Переключение домена в основной режим - student2.ru При изменении имени компьютера-сервера
Переключение домена в основной режим - student2.ru При изменении имени домена для компьютера-сервера
Переключение домена в основной режим - student2.ru При изменении IP-адреса компьютера-сервера
Переключение домена в основной режим - student2.ru При удалении сервера DNS из сети
Переключение домена в основной режим - student2.ru При изменении основного сервера (primary server) зоны

Управление клиентами

Для клиентов Windows конфигурация DNS при настройке свойств TCP/IP для каждого компьютера включает следующие задачи:

Переключение домена в основной режим - student2.ru Установка имени хоста DNS для каждого компьютера или сетевого подключения.
Переключение домена в основной режим - student2.ru Установка имени родительского домена, которое помещается после имени хоста, чтобы формировать полное (fully qualified) имя домена для каждого клиента.
Переключение домена в основной режим - student2.ru Установка основного DNS-сервера и списка дополнительных DNS-cepверов, которые будут использоваться, если основной сервер недоступен.
Переключение домена в основной режим - student2.ru Установка очередности списка поиска доменов, используемого в запросах для дополнения не полностью заданного имени компьютера.

Управление зонами

После добавления зоны при помощи оснастки DNSможно управлять следующими общими свойствами зоны:

Переключение домена в основной режим - student2.ru Запрещать или разрешать использование зоны
Переключение домена в основной режим - student2.ru Изменять или преобразовывать тип зоны
Переключение домена в основной режим - student2.ru Разрешать или запрещать динамическое обновление зоны

Также можно настраивать начальные записи зоны (Start Of Authority, SOA), ресурсные записи, делегирование зон, списки оповещения, использование просмотра WINS,а также управлять зонами обратного просмотра (reverse zone), необходимыми для обратного разрешения имен — из адреса в имя.

Мониторинг и оптимизация

В Windows 2000 Server можно производить мониторинг и по его результатам оптимизировать настройки службы DNS при помощи:

Переключение домена в основной режим - student2.ru Системного монитора (Performance Monitor)
Переключение домена в основной режим - student2.ru Опций протоколирования
Переключение домена в основной режим - student2.ru Статистики по DNS-серверу
Переключение домена в основной режим - student2.ru Настройки дополнительных параметров

Лабораторная работа № 4

"Настройка доверительных отношение между доменами"

Цель работы:

Научиться устанавливать доверительные отношения между доменами с помощью оснастки Active Directory - домены и доверие(Active Directory Domains and Trusts).

Краткая теория

Доверительное отношение – это отношение между двумя доменами, в которых один домен доверяет другому (один домен считает сведения, аутентифицирующие пользователя, полученные из другого домена, подлинными). Благодаря доверительным отношениям пользователи, зарегистрированные в одном из доменов каталога, могут подключаться к любым другим доменам, доверяющим этому домену. Кроме того, используя доверительные отношения, администраторы могут назначить разрешения на доступ к ресурсам одного домена в отношении учетных записей, расположенных в другом домене. В Windows 2000 между доменами Active Directoryавтоматически устанавливаются двухсторонние доверительные отношения по протоколу Kerberos. При этом пользователь, зарегистрированный в одном из доменов Active Directory, может использовать для подключения к сети любой компьютер, являющийся частью каталога.

Настраивают доверительные отношения с помощью оснастки Active Directory —Active Directory Domains and Trusts(домены и доверие).Домены Windows 2000 могут работать в одном из двух режимов:

- Смешанный режим (mixed mode) предполагает возможность одновременной работы контроллеров домена, основанных как на операционной системе Windows 2000 Server, так и на более ранних версиях Windows NT Server. Этот режим позволяет выполнять некоторые функции, характерные для более ранних версий Windows NT, и запрещает выполнение некоторых функций, характерных для Windows 2000.

- Основной режим (native mode) предполагает, что все контроллеры домена работают в операционной системе Windows 2000 Server, при этом все клиентские компьютеры должны иметь поддержку (установленный на них клиент) Active Directory (это касается систем Windows 9x и Windows NT 4.0). В этом режиме можно применять такие новые средства, как универсальные группы, вложенные группы и т. д.

Доверительные отношения, применявшиеся в сетях Windows NT 4.0, полностью поддерживаются в сетях Windows 2000. Они могут быть использованы для создания однонаправленного доверия между доменами Windows 2000 в дереве каталога и другими доменами, находящимися за границей вашего леса, которые могут быть образованы серверами Windows 2000, Windows NT 4.0 или более ранних версий. Это поможет вам поддерживать существующую инфраструктуру при переходе на сеть, полностью основанную на Active Directory. При создании нескольких доменов в одном дереве Active Directory автоматически устанавливаются междоменные двунаправленные доверительные отношения. Это значит, что пользователь может, зарегистрировавшись только в одном домене, получить доступ ко всем ресурсам всех доменов дерева. При объединении нескольких деревьев в лес между корневыми доменами каждого дерева также устанавливаются двунаправленные доверительные отношения. В этом случае необходимость дополнительной настройки доверительных отношений не возникает.

Конфигурирование доверительных отношений требуется, если:

Переключение домена в основной режим - student2.ru Необходимо установить однонаправленные доверительные отношения (в случае, когда соображения безопасности заставляют исключить возможность общего использования каких-либо ресурсов компьютерной сети).

Переключение домена в основной режим - student2.ru Возникла необходимость в установлении доверительных отношений между доменами, находящимися в различных лесах (организациях).

Переключение домена в основной режим - student2.ru Должны быть установлены доверительные отношения .между доменами Windows 2000 и Windows NT 4.0.

Рабочее задание:

  1. Установить на сервере службу каталогов Active Directory.
  2. Настроить доверительные отношения между двумя соседними доменами

Хода работы:

Для образования однонаправленных доверительных отношенийнеобходимо:

1. Запустить оснасткуActive Directory-домены и доверие.

2. Нажмите правую кнопку мыши на своем домене. В появившемся контекстном меню выберите команду Свойства.

3. В окне свойств домена перейдите на вкладку Доверия(Trusts) (рис. 7). Если другой домен, участвующий в отношении, должен стать доменом-доверителем (trusting), нажмите кнопку Добавитьв группе Домены, которые доверяют этому домену(Domains that trust this domain). Если другой домен должен стать доверенным (trusted), нажмите кнопку Добавить в группе Домены, которым доверяет этот домен(Domains trusted by this domain).

Переключение домена в основной режим - student2.ru

Рисунок 7. Вкладка Доверия (Trusts) окна диалога свойств домена

4. В окне диалога Добавление домена-доверителя(Add Trusting Domain) или Добавление доверенного домена(Add Trusted Domain), соответственно, укажите имя второго домена, принимающего участие в однонаправленном доверительном отношении, пароль для регистрации в указанном домене и затем подтвердите его. Нажмите кнопку ОК.Появится окно сообщения о том, что доверительное отношение не может быть проверено, поскольку не установлена вторая половина доверительного отношения.

5. Установите в окне оснастки указатель мыши на домен, который является второй стороной в доверительном отношении и имя которого было указано ранее на вкладке Доверия,и нажмите правую кнопку мыши. В появившемся контекстном меню выберите команду Свойства.

6. Повторите шаги 3 и 4, имея в виду, что роль домена изменилась на противоположную: если первый домен был доверителем, то второй домен должен быть доверенным, и наоборот. После окончания конфигурирования нажмите кнопку ОК.Появится окно сообщения об успешном создании однонаправленного доверительного отношения.

Для создания двунаправленного доверительного отношения между доменами, находящимися в различных лесах, следует повторить описанную выше процедуру, но поменять роли доменов. Тот домен, который был доверенным, должен стать доверителем, и наоборот.

Лабораторная работа № 5

"Управление пользователями и группами."

Цель работы:

Научится:

- управлять учетными записями пользователей, создавать подразделения, и организационные единицы с помощью оснастки Active Directory - пользователи и компьютеры(Active Directory Users and Computers);

- назначать пользователю или группе выдавать разрешения на доступ к определенному файлу или папке.

- управлять рабочей средой пользователя, создавать профили пользователей.

Краткая теория

Наши рекомендации