К делу, господа !!!
|
|
|
ЧИТАЕМ УСТАНОВКУ КОНТРОЛЛЕРА ДОМЕНА ЗДЕСЬ!!! (можно посмотреть и сюда) И все?!! - скажете вы, из-за этого ты развел весь сыр-бор?!! Летят помидоры, тухлые яйца, кто-то судорожно достает магнум 45-го калибра… :-)
|
|
|
Однако я мог сразу конечно дать ссылку, вы наверняка же думаете, что все так просто, и наш «пушистик» тут же станет белым и чистым… но как же тогдапроблемы, часто встречающихся при установке Active Directory в Windows 2000? Да, действительно – проблемы, установку еще даже сравнивают с игрой в шахматы, хотя не так страшен черт, как его малюют ?. А надо ли подлить масла и сказать, про профилактическое обслуживание AD – наш «зверек» любит уход :-).
|
|
|
Из своей практики (она есть, поверьте), большинство проблем при установке DC связано с DNS. Бывает, что даже приходится удалять корневой домен ДНС. (Коротко о ДНС.)
(Для любознательных : как использовать утилиту DNSLint для устранения неполадок при репликации Active Directory, и само описание утилиты DNSLint. ) С ДНС бывает и такая забавная штука, как «проблема островов», т.е. когда в свойствах TCP/IP контроллер домена ссылается на себя как на основной сервер DNS. Одним словом, устраняем неполадки в ДНС.
|
|
|
Однако не только служба ДНС, есть еще куча служб. Важно научиться использовать журнал событий. Более редкой проблемой, но знать о возможности существования которой надо удаление и повторная установка протокола TCP/IP на контроллере домена Windows 2000, понимать установку адаптера Microsoft замыкания на себя Windows 2000. И не забудьте про синхронизацию времени в домене. Рекомендую не только почитать часто задаваемыми вопросами по Windows, но и пользоваться элементарно поисковиком вроде google.
|
|
|
Конечно, в двух словах раскрыть проблемы, возникающие с AD невозможно, однако гораздо важнее научиться решать их самостоятельно. Многие вопросы можно решить с помощью поиска по сборнику технических статей .
|
|
|
|
|
|
И все же мы будем устанавливать сервер с контроллером домена по-своему (а неймется нам).
|
|
|
Тут надо сделать отступление. Прежде чем вы будете "реально" развертывать домен для своей организации, очень-очень настоятельно рекомендую развернуть домен в VMWare. Если вы первый раз слышите это слово, тогда можно посмотреть в окончание статьи, где я остановлюсь подробней на этом.
Так как статья является лишь приложением к "в-след-идущим" материалам, то кратко остановлюсь на сети, где мы будем развертывать службу каталогов. Сеть класса C, а именно 192.168.48.0 с маской 255.255.255.0 . Имеются сервера с Windows 2000 Server и клиентские машины Windows 2000 Pro и Windows XP. Активного сетевого оборудования нет, развернутых служб нет, сеть не имеет выхода в Интернет.
Для работы нашего будущего домена потребуется служба ДНС и соответственно зона
Как назвать домен конечно можно выбирать из различных соображений, одно хочу посоветовать, что наш домен будет как минимум второго уровня (а именно songi.local ( local – принятое условно обозначение «локальных» доменов, т.е. не имеющих выхода в интернет, однако это не правило, и назвать мы можем как угодно)) , это рекомендуется для избежания проблем со сложными настройками в будущем для имен, еще называемых «плоским» (сведения о настройке Windows 2000 для доменов с DNS-именем, состоящим из одной метки).
|
|
|
Имя компьютера DC1.
Начнем с того, что ДНС мы установим самостоятельно, до развертывания контроллера домена.
|
|
|
|
|
|
а если вы видите такой набор действий
|
|
|
|
|
|
то рекомендую удалить и снова установить службу ДНС
|
|
|
|
|
|
|
|
|
Да же в таком состоянии, т.е. еще без зон, уже служба ДНС будет работать ( только в качестве кэширующего сервера).
Запускаем мастер настройки сервера в оснастке DNS:
|
|
|
|
|
|
Указываем о том что это первый ДНС-сервер (оно должно соответствовать действительности - других серверов еще нет).
|
|
|
|
|
|
Далее создаем зону прямого просмотра:
|
|
|
(если создавать зону отдельно, то это будет выглядеть так)
|
|
|
Выбираем «основной» тип зоны, так AD у нас еще нет:
|
|
|
|
|
|
указываем днс зону «songi.local»:
|
|
|
|
|
|
и файл
|
|
|
(такое окно появиться, если настраивать зоны отдельно)
|
|
|
Зону обратного просмотра не обязательно, однако в нашем случае, когда домен не имеет выхода в интернет и обращнеия к корневым зонам домена не будет, создаем зону обратного просмотра(это не единственная причина, критериями могут и безопасность, и совместимость с сетевыми приложениями…):
|
|
|
(если создавать отдельно, то это будет так)
|
|
|
|
|
|
Наша подсеть класса C, поэтому код сети будет такой 192.168.48(см. выше описание сети)
|
|
|
|
|
|
Указываем файл для зоны
|
|
|
|
|
|
В результате у нас должно получится следующее, т.е. когда мы завершим работу мастера, то в оснастке сможем увидеть:
|
|
|
|
|
|
|
|
Корневая зона «.» служит для обозначения корня, или начала зоны. Все зоны находятся под ней, так же, как все файлы располагаются ниже корневого каталога, т.е. такой домен "." является единым корнем для всех доменов и по умолчанию не пишется (это могло бы выглядеть для домена первого уровня так - "ru.") Другими словами - это начало иерархии зон Интернет, а в нашем случае начало для локальной сети :-). Все остальные домены лежат "ниже" его. Создавая "." в нашей базе, мы тем самым "локализуем" обрабатываемые запросы, и наша служба ДНС будет "совершать попытке разрешить ip-адреса и имена именно впределах нашего сервера. Таким образом запросы будут обрабатывать ТОЛЬКО внутри нашей сети благодаря такой настройке ДНС, а не физическому отсутствию подключения в Интернет. Мы применили этот прием при установке (см. выше) именно потому, что не имеем выхода в интернет. В противном случае, когда наша служба ДНС будет обращаться к инетернет-зоне, этот "." корень мы создавать не должны.
Не забудем про динамическую регистрацию в ДНС, используемую AD, которую укажем для всех зон в свойствах:
|
|
|
|
|
|
|
|
|
|
|
|
Мы завершили подготовку службы DNS.
Так как службу DNS юзают все, кто относится к Active Directory (в большей или меньшей степении, особенно сетевые службы) для поиска контроллеров домена, то рекомендуется использовать DNS-сервер, поставляемый вместе с Windows 2000 Server. Но это не единственное решение, а точнее другие DNS-серверы, имеющие нужные функции (описанные в междунароных стандартах RFC 2136 и 2052; например можно использовать BIND версии не ниже 8.2.2). Конечно, если читатель сможет объяснить (пишите на форум www.forum.mista.ru), чем тот же BIND лучше для практического применения, то с удовольствием расскажу в следующий раз.
Ну а дальше запускаем DCPROMO:
|
|
|
]
еще процес установки контроллера домена называют повышением роли сервера (promotion) :-)
|
|
|
|
|
|
дальше отвечаем на вопросы мастера, а точнее создаем все «новое»
|
|
|
|
|
|
|
|
|
имя домена как имя ДНС:
|
|
|
|
|
|
|
|
|
По возможности рекомендуется разносить базу данных и журнал в целях повышения производительности (при условии что эти логические диски размещены на разных ФИЗИЧЕСКИХ дисках):
|
|
|
|
|
|
|
|
|
Возможно появления такого окна, не пугайтесь:
|
|
|
|
|
|
в данном случае перезагрузите компьютер, и удалите папки, которые "не пустые" для использования нашим мастером DCPROMO
|
|
|
Несмотря на наши настройки, мастер предложит автоматическую настройку ДНС:
|
|
|
|
|
|
Если вы настроили правильно ДНС, проигнорируйте и выберите:
|
|
|
|
|
|
Условимся считать, что в сети нет Windows NT машин и выберем:
|
|
|
|
|
|
Вводим пароль администратора восстановления, не путать администратором домена:
|
|
|
|
|
|
|
|
|
(бывает и такое, не пугайтесь, проверьте пути, удалите содержимае каталогов типа NTDS и SYSVOL, если они уже есть, а домена нет, это бывает на не новом сервере, может остаться папка от старого домена, перезагрузите компьютер и повторите операцию создания домена)
ну и все
|
|
|
на этом мастер выведет итоговое окно и работа почти завершена, останется лишь дождаться завершения работы мастера (это довольно большой промежуток, так как будет совершена значительная работа по созданию AD).
После того, как установится наш первый контроллер домена, кричать "ура" немного преждевременно. После завершения работы мастера DCPROMO нам будет предложено перезагрузить контроллер. Во-первых, после перезагрузки мы больше не увидим профилей учетных записей локальных пользователей. Это значит, что если наш любимый саундтрэк лежал в папке "Моя музыка", значит его уже нет нигде... Да вот так печально может произойти, если предварительно не сохранить наши данные отдельно.
Контроллер перезапущен и начинает выполняться первый запуск уже в новом качестве. Что происходит:
- на основе шаблона NTDS.DIT из каталога %systemroot%\System32 формируется база Active Directory (в каталоге %systemroot%\NDTS например появятся файлы res1.log и res2.log, которые весят 10 мегабайт и просто занимают место, что в дальнейшем в случае отсутствия свободного места "удалится", увеличив при этом NTDS.DIT; файл транзакций edb.log (и ему подобные;файл контрольных точек edb.chk используемый в совокуности с файлом транзакций для повторного воспроизведения транзакции при необходимости; в самом конец работы DCPROMO появятся еще файлы регистрации выполнения DCPromoUI.log, DCPromo.log, Netsetup.log, DCPromos.log в каталоге %systemroot%\Debug);
- создается новая учетная запись (и новый идентификатор безопасности SID) администратора и др. стандартные записи службы каталогов;
- создаются ресурсы NETLOGON и SYSVOL;
- некоторые службы меняют параметры запуска из "вручную" в "автоматически";
- служба времени выполняет синхронизацию с внешним источником (в нашем случаи синхронизацию проводить не с кем, однако все же надо знать, что время синронизируется контроллером с ролью PDC (сейчас он естественно на единственном контроллере) командой net time /setsntp:<список серверов точного времени>).
Примечание. Установку можно также производить с ключом Dcpromo /answer:<файл ответов>, но делать это без опыта первый раз не рекомендую.
Мало того, что контроллер будет первый раз "медленно" запускаться, так еще после входа в систему рекомендую сделать паузу на 30 минут, в это время контроллером будет совершаться конфигурирование ДНС и службы каталогов, а также произойти внутрисайтовая репликация.
Что сделать затем:
- посмотреть журнал событий в поисках ошибок, постараться выяснить причину и устранить (вспомните про файлы логи, указанные чуть выше, они тоже пригодятся);
- проверьте, что все службы с параметром запуска "автоматически" запущены;
- ненужные службы (очень осторожно и внимательно) можно перевести в статус "вручную" и остановить;
- проверьте настройки TCP/IP и службу ДНС.
Если все работает, ок. Делаем резервную копию системного состояния (system state) контроллера. Причем не просто сделали и забыли, а в тестовой машине (можно использовать VMWare) делаем проверку восстановления, т.е. смотрим, как будет осуществлено восстановление на тестовой машине - это операция должна осуществиться успешно на 100%!!! До появления второго контроллера в домене рекомендую делать бэкап как можно чаще.
Приложение к статье. Применение VMWare
Начну пожалуй с самого неоднозначного факта - по этому продукту специально сертифицируются!!! Серьезность такого подхода со стороны разработчиков о чем-то да говорит. Для желающих сдать этот экзамен в Москве (но только по собственному опыту) хочу посоветовать учебный центр "Инветна" .
Но не будем пугаться. Ведь эта программа просто создает "виртуальное железо". Вот так сложно и одновременно просто я дал определение. Что это значит?
Да что угодно это значит. Главное, что надо уложить мысленно в голове тот факт, что мы некоторое количество компьютеров, содединенных кстати в сеть с помощью сетевых устройств заменяем программой !!! т.е. моделируем это железо с помощью программы. КАК? ЗАЧЕМ? и ПОЧЕМУ?
Честно говоря, здесь нашим врагом становятся наши же привычки и представления. Мне поначалу было трудно "въехать", а за каким же компьютером я сижу. Да, да, не смейтесь :)))
ПОЧЕМУ...
использовать именно эту программу (это мое мнение) я решил неслучайно, ведь есть аналоги, например фирма Microsoft недавно приобрела фирму Connectix, занимавшуюся разработками аналога VMWare и теперь выступает на рынке с программой VirtualPC, но обещания не поддерживать Линукс..я оставлю без комментариев. Другие конкуренты (список здесь) тоже имеют недостатки, которые для меня оказались решающим фактором в выборе "хочу всё" :)
Настоятельно рекомендую посетить сайт www.twoostwo.ru, посвященный виртуальным машинам и эмуляторам операционных систем, где вы сможете получить исчерпывающую информацию обзорного характера, особенности той или иной программы, понять разницу между эмуляцией железа и эмуляцией операционной системы в конце концов.
ЗАЧЕМ...
вообще-то использовать эту программу можно в слишком во многих случаях, скажу лишь навскиду, что придумаю сходу:
- новичкам: получить навыки в установке операционных систем, причем можно разных, и ... одновременно :)));
- пользователям: возможность проверить настройки программ и системы без ущерба для железа;
- разработчикам: создавать код и портировать под различные системы, переносить данные;
- системным администраторам и инженерам: проектировать сети (в частности как построить двухузловой кластер на портативном или настольном компьютере.)и подготовиться к сдаче сертификационых экзаменов;
- специалистам по безопасности: в ущерб быстродействию можно установить программу на шифрованном диске, тогда можно спрятать важные секретные программы как таковые, также можно создавать ложные хосты.
остальные применения можете придумать сами... :)
КАК
поскольку эта статья не посвящена особенностям vmware, тем более, что в приведенных ссылках уже это есть, я расскажу о самом принципе использования.
первым шагом мы должны создать виртуальную машину, где указываем какое железо будет начинкой, особое внимание уделить сетевым картам ("бридж", т.е. мост позволяет использовать "вместе" с основной операционкой ту же сетевую карту; "хост-онли" - позволяет создавать виртуальное сетевое соединение между основной и виртуальной машинами;"нат" - позволяте организовывать NAT-трансляцию внешних IP-адресов во внутренние)
далее, запустив виртуальную машину, мы получим вообщем-то "голое" железо, т.е. надо будет "с нуля" установить тот же Windows
последнее, установить драйвера, они будут не от реальной машины, а от vmware.
далее в помощь, прилагаю другие статьи в интернете:
VMWare. Компьютер в компьютере
На лугу пасутся ОСы
ОС Linux на Вашем персональном компьютере
Как построить двухузловой кластер на портативном или настольном компьютере.
VMware - виртуальный полигон для администратора и разработчика на основе Linux и VMWare
Система виртуальных машин фирмы VMWare
Сайт (старый, но очень доходчивый) о VMWare
Так ли хороша VMware для пользователей Linux?
VMWare или все виндовсы под линуксом ходят
отдельного внимания заслуживает статья для профи: Обнаружение работающей VMWare, Узнай врага своего
бонус: VMWARE. Клонируем компы. Делаем из одного компа много разных
---
Программа: VMWare Workstation 4.5.1-768
Описание: Позволяет, работая в одной операционной системе (например - Windows XP), одновременно работать и в Windows 2000, Windows NT, Windows 9*, FreeBSD или Linux - без необходимости выделять под операционные системы отдельные партиции и перезагружать компьютер при переходе с одной ОС на другую.
URL производителя: www.vmware.com
Лицензия: Shareware
Платформы:Windows, UNIX
Ссылки:
Скачать Windows версию
Скачать Linux версию
|
Do'stlaringiz bilan baham: |
