Active Directory для осваивающих

Автор статьи: Вячеслав Гилёв (aka Demiurg)03.03.2004, доработки от 30 марта 2004 г.

 

   

(В статье приведены ссылки на официальные ресурсы корпорации

Microsoft, а также другие организации и частные лица. Все права принадлежат их

правообладателям.)

   

     

Изначально, эта заметка задумывалась как приложение к другой статье, однако, выяснилось, что это может быть отдельная статейка, которую и хочу предложить на ваш суд,

с уважением, автор

 

  Введение  

 

Наверное, про Active Directory (AD) (в данной статье будет идти речь только о семействе Windows 2000 ) уже написано столько, что можно было и не писать. Однако, всегда есть те, кто только начинают, т.е. им это будет неплохо «хотя бы прочитать», и те кто уже хорошо знают, что за зверь такой AD, которые могут мысленно усмехнуться. К тому же, какое дело, нам программистам, если наша работа не относится к AD никаким боком (здесь автор имеет ввиду, что он тоже 1С программист, и в обязанности знание и администрирование сети не входит (правда начальство не очень согласно)). Я тоже так думал, однако мое начальство решило по-другому…Так и начались мои «войны с AD». Именно этой статьи не хватало мне тогда (все ссылки в этой статье только на русскоязычные страницы)…

 

 

дополнение

После написания моей дебютной статьи спустя буквально полмесяца Дмитрия Ярошенко написал свой вариант, который отчасти пересекается с моей статьей, но имеет и свои аспекты, направленные на более обобщенное видение планирования и развертывания службы каталогов Active Directory в Windows 2000 Server :-)

Еще одну вещь хочу добавить, обратите внимание, что в статье ССЫЛКИ :-) даны не просто так, чтобы для солидности. Нет, многие статьи дополняют мои слова в различных аспектах, многие дают понимание различных технологий. В общем вперед!

 

  Что это такое AD(краткое изложение тут)  

  Служба каталогов Active Directory - довольная забавная «зверюшка». Я не случайно выбрал такое сравнение – это «живой» механизм, который на практике довольно часто приходится «приручать» ?. Задумка «творцов» AD была сделать некую информационную структуру, содержащую в себе информацию об объектах сети, т.е. компьютерах и тех пользователях, что сидят за ними, принтерах, с помощью которых они распечатывают фотографии

 

любимых девушек ? (С), различные сетевые устройства, ну и остальное, всего и не упомнишь сразу…

 

Одичал же наш «пушистик», так как уж «шибко умный» получился, всё про всех знает, даже контролирует действия, сложный характер – сказать ему просто «фас» как выдрессированному щенку не получится, надо и в настройках потрудиться, и посмотреть в логах, что он на это думает, и еще его надо понять, да – да, не получится сказать, мол я тебе конфетку, а ты сделаешь для меня отчет за месяц, нет, придется вникнуть в его нужды (что он просит).

 

 

Но ближе к делу, вообще служба каталогов AD не является уникальным изобретением (как правило, службы каталогов используют характерный для всех ldap-протокол, для Макинтошей это Open Directory, для Линукс-систем пожалуй можно привести примером OpenLDAP) Microsoft, взять ту же службу каталогов NDS компании Novell, однако зато становиться понятным неизбежность и необходимость этого изобретения (имхо):

 

 

- технологии активных каталогов организуют центральное управление над компьютерами в сети, создавая однократную регистрацию пользователей и доступ к ресурсам сети, удобство и легкость администрирования с помощью служб управления (Однако честным будет добавить что без труда не вытянешь из рыбку из пруда, т.е. не сразу станете кибербогом сети :-)), и я уж не говорю об экономии сил и времени для нас любимых :-)

 

 

- кроме этого, для более близкого знакомства, кому наскучил конфигуратор, я отправляю к описанию AD от Microsoft, техническому описанию, обзору характеристик, управлению службой каталогов, настройке ДНС и AD, диспетчеру сайтов, перспективам развития, интеграции с почтой.

 

 

- другой еще мало освоенной чертой AD является способность к взаимодействию с приложениями (кстати, даю наводку, нет ни одной программы в 1С:Предприятии, которая бы пусть даже с помощью элементарных скриптов обращалась с объектам AD, расширение схемы Active Directory еще вообще не «пахано»), я не буду тут слишком разглагольствовать, скажу лишь пример, всеми известный, и еще как :-) Exchange 2000!

 

 

Есть еще много рекламы и тому подобного, но нам это уже не так очевидно (или мне :-).Что еще? Ах да, я не сказал про контроллеры домена (DC). Это серверы, несущие данную службу каталогов, играют главную роль, все начинается и заканчивается на них, так сказать, все дороги ведут в Рим. В силу своей сложности, DC могут иметь много ролей и функций, но в любом случае, самый первый контроллер в сети всегда будет иметь все эти функции. При установке последующих контроллеров придется решать более сложные задачи, относящиеся к планированию AD (Конечно это надо делать до установки вообще любого контроллера, но наша задача сейчас заключается просто в установке именно первого контроллера) . И конечно особую роль решает умение восстановление каталога AD.

 

 

Для того, чтобы лучше понять идеологию AD очень РЕКОМЕНДУЮ (это не реклама, проверено на мне :-)) статьи "Основные экзамены по Windows 2000 за 15 минут в неделю" - здесь вы хорошо сэкономите время, если вам придется заниматься (в меру способностей) администрированием и Сборник документов и материалов в помощь системному администратору.

 

  Но уже пора и подготовить сервер, нам потребуется:  

  1. Диск должен иметь файловую систему NTFS2. Наличие последних обновлений (на момент написания был актуален четвертый сервис пак с вот таким списком найденных "правок" :-) и замечания к пакету обновления 4 (SP4) для Windows 2000) (не обязательно, но очень НАСТОЯТЕЛЬНО РЕКОМЕНДУЮ)3. Наличие сетевого интерфейса и его исправность. Это означает, что возможно разработчики посчитали (Это мое личное предположение основывается на сложности включения любого контроллера в сеть, тем более они могут относиться к разным доменам и лесам.) бессмысленным установку AD на компьютере, не имеющим

 

возможности создать сетевые соединения. Возможно, этот пункт покажеться малозначимым, поэтому ОБРАТИТЕ ВНИМАНИЕ, что не достаточно иметь исправную сетевую карту, еща надо, чтобы она имела ФИЗИЧЕСКОЕ СОЕДИНЕНИЕ с другим устройством, например, свитч. Как правило, сетевые карты имеют световую инидкацию, подтверждающие связь (соединение).

Фишка! В своей практике мне все же встречались администраторы, которые любят нестандартный подход к банальным, казалось бы, вещам. Так и в нашем случае можно применить следующий прием: устанавливаем новую сетевую карты (нет не настоящую, в устройствах, "уговаривая" мастера установки, что она установлена и мы ее добавим вручную, а затем из сетевых карт выбираем Microsoft Loopback Adapter. Это прием не для начинающих, поэтому разобраться оставляю в качестве "домашнего задания" :-)

4. Статический адрес сетевого интерфейса (это особенно важно, если в вашей сети находиться DHCP- сервер, который автоматически раздает в аренду IP-адреса). И тоже будьте внимательны, это надо сделать еще до установки следующего пункта.5. Установка Службы доменных имен (DNS) для Active Directory

 

Перед началом установки лучше все же ознакомиться и с понятием TCP/IP-адресации и основные сведения о подсетях. Еще одна деталь – мы НЕ БУДЕМ СТАВИТЬ DHCP (Основные сведения о протоколе DHCP (Dynamic Host Configuration Protocol))) – это необязательный сервис-сервер для нас в данном случае. Ставить контроллер безусловно при небольшом опыте лучше на компьютер с только что установленным Windows 2000 Server(Рекомендую установку со стандартными параметрами, ненужное убрать и нужно добавить мы успеем и потом при необходимости), тем самым мы избежим многих «забавных» проблем.

 

     

  К делу, господа !!!  

 

ЧИТАЕМ УСТАНОВКУ КОНТРОЛЛЕРА ДОМЕНА ЗДЕСЬ!!! (можно посмотреть и сюда) И все?!! - скажете вы, из-за этого ты развел весь сыр-бор?!! Летят помидоры, тухлые яйца, кто-то судорожно достает магнум 45-го калибра… :-)

 

 

Однако я мог сразу конечно дать ссылку, вы наверняка же думаете, что все так просто, и наш «пушистик» тут же станет белым и чистым… но как же тогда проблемы, часто встречающихся при установке Active Directory в Windows 2000? Да, действительно – проблемы, установку еще даже сравнивают с игрой в шахматы, хотя не так страшен черт, как его малюют ?. А надо ли подлить масла и сказать, про профилактическое обслуживание AD – наш «зверек» любит уход :-).

 

 

Из своей практики (она есть, поверьте), большинство проблем при установке DC связано с DNS. Бывает, что даже приходится удалять корневой домен ДНС. (Коротко о ДНС.)(Для любознательных : как использовать утилиту DNSLint для устранения неполадок при репликации Active Directory, и само описание утилиты DNSLint. ) С ДНС бывает и такая забавная штука, как «проблема островов», т.е. когда в свойствах TCP/IP контроллер домена ссылается на себя как на основной сервер DNS. Одним словом, устраняем неполадки в ДНС.

 

  Однако не только служба ДНС, есть еще куча служб. Важно научиться  

использовать журнал событий. Более редкой проблемой, но знать о возможности существования которой надо удаление и повторная установка протокола TCP/IP на контроллере домена Windows 2000, понимать установку адаптера Microsoft замыкания на себя Windows 2000. И не забудьте про синхронизацию времени в домене. Рекомендую не только почитать часто задаваемыми вопросами по Windows, но и пользоваться элементарно поисковиком вроде google.

 Конечно, в двух словах раскрыть проблемы, возникающие с AD невозможно, однако гораздо важнее научиться решать их самостоятельно. Многие вопросы можно решить с помощью поиска по сборнику технических статей .

 

     

 И все же мы будем устанавливать сервер с контроллером домена по-

своему (а неймется нам).  

 

Тут надо сделать отступление. Прежде чем вы будете "реально" развертывать домен для своей организации, очень-очень настоятельно рекомендую развернуть домен в VMWare. Если вы первый раз слышите это слово, тогда можно посмотреть в окончание статьи, где я остановлюсь подробней на этом.

Так как статья является лишь приложением к "в-след-идущим" материалам, то кратко остановлюсь на сети, где мы будем развертывать службу каталогов. Сеть класса C, а именно 192.168.48.0 с маской 255.255.255.0 . Имеются сервера с Windows 2000 Server и клиентские машины Windows 2000 Pro и Windows XP. Активного сетевого оборудования нет, развернутых служб нет, сеть не имеет выхода в Интернет.Для работы нашего будущего домена потребуется служба ДНС и соответственно зонаКак назвать домен конечно можно выбирать из различных соображений, одно хочу посоветовать, что наш домен будет как минимум второго уровня (а именно songi.local ( local – принятое условно обозначение «локальных» доменов, т.е. не имеющих выхода в интернет, однако это не правило, и назвать мы можем как угодно)) , это рекомендуется для избежания проблем со сложными настройками в будущем для имен, еще называемых «плоским» (сведения о настройке Windows 2000 для доменов с DNS-именем, состоящим из одной метки).

 

 Имя компьютера DC1.Начнем с того, что ДНС мы установим самостоятельно, до развертывания контроллера домена.

 

   

  а если вы видите такой набор действий  

   

  то рекомендую удалить и снова установить службу ДНС  

   

   

 

Да же в таком состоянии, т.е. еще без зон, уже служба ДНС будет работать ( только в качестве кэширующего сервера).

Запускаем мастер настройки сервера в оснастке DNS: 

   

 Указываем о том что это первый ДНС-сервер (оно должно соответствовать действительности - других серверов еще нет).

 

   

  Далее создаем зону прямого просмотра:  

  (если создавать зону отдельно, то это будет выглядеть так)  

  Выбираем «основной» тип зоны, так AD у нас еще нет:  

   

  указываем днс зону «songi.local»:  

   

  и файл  

  (такое окно появиться, если настраивать зоны отдельно)  

 

Зону обратного просмотра не обязательно, однако в нашем случае, когда домен не имеет выхода в интернет и обращнеия к корневым зонам домена не будет, создаем зону обратного просмотра(это не единственная причина, критериями могут и безопасность, и совместимость с сетевыми приложениями…):

 

 

(если создавать отдельно, то это будет так)

 

   

 Наша подсеть класса C, поэтому код сети будет такой 192.168.48(см. выше описание сети)

 

   

  Указываем файл для зоны  

   

  В результате у нас должно получится следующее, т.е. когда мы завершим работу мастера, то в оснастке сможем увидеть:

 

   

   

 

Корневая зона «.» служит для обозначения корня, или начала зоны. Все зоны находятся под ней, так же, как все файлы располагаются ниже корневого каталога, т.е. такой домен "." является единым корнем для всех доменов и по умолчанию не пишется (это могло бы выглядеть для домена первого уровня

 

так - "ru.") Другими словами - это начало иерархии зон Интернет, а в нашем случае начало для локальной сети :-). Все остальные домены лежат "ниже" его. Создавая "." в нашей базе, мы тем самым "локализуем" обрабатываемые запросы, и наша служба ДНС будет "совершать попытке разрешить ip-адреса и имена именно впределах нашего сервера. Таким образом запросы будут обрабатывать ТОЛЬКО внутри нашей сети благодаря такой настройке ДНС, а не физическому отсутствию подключения в Интернет. Мы применили этот прием при установке (см. выше) именно потому, что не имеем выхода в интернет. В противном случае, когда наша служба ДНС будет обращаться к инетернет-зоне, этот "." корень мы создавать не должны.Не забудем про динамическую регистрацию в ДНС, используемую AD, которую укажем для всех зон в свойствах:

   

   

   

 

Мы завершили подготовку службы DNS.

Так как службу DNS юзают все, кто относится к Active Directory (в большей или меньшей степении, особенно сетевые службы) для поиска контроллеров домена, то рекомендуется использовать DNS-сервер, поставляемый вместе с Windows 2000 Server. Но это не единственное решение, а точнее другие DNS-серверы, имеющие нужные функции (описанные в междунароных стандартах RFC 2136 и 2052; например можно использовать BIND версии не ниже 8.2.2). Конечно, если читатель сможет объяснить (пишите на форум www.forum.mista.ru), чем тот же BIND лучше для практического применения, то с удовольствием расскажу в следующий раз.

Ну а дальше запускаем DCPROMO:

 

 

]

еще процес установки контроллера домена называют повышением роли сервера (promotion) :-)

 

   

  дальше отвечаем на вопросы мастера, а точнее создаем все «новое»  

   

   

  имя домена как имя ДНС:  

   

   

 По возможности рекомендуется разносить базу данных и журнал в целях повышения производительности (при условии что эти логические диски размещены на разных ФИЗИЧЕСКИХ дисках):

 

   

   

  Возможно появления такого окна, не пугайтесь:  

   

 в данном случае перезагрузите компьютер, и удалите папки, которые "не пустые" для использования нашим мастером DCPROMO

 

 Несмотря на наши настройки, мастер предложит автоматическую настройку ДНС:

 

   

  Если вы настроили правильно ДНС, проигнорируйте и выберите:  

   

  Условимся считать, что в сети нет Windows NT машин и выберем:  

   

 Вводим пароль администратора восстановления, не путать администратором домена:

 

   

   

   

(бывает и такое, не пугайтесь, проверьте пути, удалите содержимае каталогов типа NTDS и SYSVOL, если они уже есть, а домена нет, это бывает на не новом сервере, может остаться папка от старого домена, перезагрузите компьютер и повторите операцию создания домена)

ну и все

  на этом мастер выведет итоговое окно и работа почти завершена, останется лишь дождаться завершения работы мастера (это довольно большой промежуток, так как будет совершена значительная работа по созданию AD).

После того, как установится наш первый контроллер домена, кричать "ура" немного преждевременно. После завершения работы мастера DCPROMO нам будет предложено перезагрузить контроллер. Во-первых, после перезагрузки мы больше не увидим профилей учетных записей локальных пользователей. Это значит, что если наш любимый саундтрэк лежал в папке "Моя музыка", значит его уже нет нигде... Да вот так печально может

 

произойти, если предварительно не сохранить наши данные отдельно.

Контроллер перезапущен и начинает выполняться первый запуск уже в новом качестве. Что происходит:

- на основе шаблона NTDS.DIT из каталога %systemroot%\System32 формируется база Active Directory (в каталоге %systemroot%\NDTS например появятся файлы res1.log и res2.log, которые весят 10 мегабайт и просто занимают место, что в дальнейшем в случае отсутствия свободного места "удалится", увеличив при этом NTDS.DIT; файл транзакций edb.log (и ему подобные;файл контрольных точек edb.chk используемый в совокуности с файлом транзакций для повторного воспроизведения транзакции при необходимости; в самом конец работы DCPROMO появятся еще файлы регистрации выполнения DCPromoUI.log, DCPromo.log, Netsetup.log, DCPromos.log в каталоге %systemroot%\Debug);

- создается новая учетная запись (и новый идентификатор безопасности SID) администратора и др. стандартные записи службы каталогов;

- создаются ресурсы NETLOGON и SYSVOL;

- некоторые службы меняют параметры запуска из "вручную" в "автоматически";

- служба времени выполняет синхронизацию с внешним источником (в нашем случаи синхронизацию проводить не с кем, однако все же надо знать, что время синронизируется контроллером с ролью PDC (сейчас он естественно на единственном контроллере) командой net time /setsntp:<список серверов точного времени>).

Примечание. Установку можно также производить с ключом Dcpromo /answer:<файл ответов>, но делать это без опыта первый раз не рекомендую.

Мало того, что контроллер будет первый раз "медленно" запускаться, так еще после входа в систему рекомендую сделать паузу на 30 минут, в это время контроллером будет совершаться конфигурирование ДНС и службы каталогов, а также произойти внутрисайтовая репликация.

Что сделать затем:

- посмотреть журнал событий в поисках ошибок, постараться выяснить причину и устранить (вспомните про файлы логи, указанные чуть выше, они тоже пригодятся);

- проверьте, что все службы с параметром запуска "автоматически" запущены;

- ненужные службы (очень осторожно и внимательно) можно перевести в статус "вручную" и остановить;

- проверьте настройки TCP/IP и службу ДНС.

Если все работает, ок. Делаем резервную копию системного состояния (system state) контроллера. Причем не просто сделали и забыли, а в тестовой машине (можно использовать VMWare) делаем проверку восстановления, т.е. смотрим, как будет осуществлено восстановление на тестовой машине - это операция должна осуществиться успешно на 100%!!! До появления второго контроллера в домене рекомендую делать бэкап как можно чаще.

Приложение к статье. Применение VMWare

Начну пожалуй с самого неоднозначного факта - по этому продукту специально сертифицируются!!! Серьезность такого подхода со стороны разработчиков о чем-то да говорит. Для желающих сдать этот экзамен в Москве (но только по собственному опыту) хочу посоветовать учебный центр "Инветна" .

Но не будем пугаться. Ведь эта программа просто создает "виртуальное железо". Вот так сложно и одновременно просто я дал определение. Что это значит?

Да что угодно это значит. Главное, что надо уложить мысленно в голове тот факт, что мы некоторое количество компьютеров, содединенных кстати в сеть с помощью сетевых устройств заменяем программой !!! т.е. моделируем это железо с помощью программы. КАК? ЗАЧЕМ? и ПОЧЕМУ?

Честно говоря, здесь нашим врагом становятся наши же привычки и представления. Мне поначалу было трудно "въехать", а за каким же компьютером я сижу. Да, да, не смейтесь :)))

ПОЧЕМУ...

использовать именно эту программу (это мое мнение) я решил неслучайно, ведь есть аналоги, например фирма Microsoft недавно приобрела фирму Connectix, занимавшуюся разработками аналога VMWare и теперь выступает на рынке с программой VirtualPC, но обещания не поддерживать Линукс..я оставлю без комментариев. Другие конкуренты (список здесь) тоже имеют недостатки, которые для меня оказались решающим фактором в выборе "хочу всё" :)

Настоятельно рекомендую посетить сайт www.twoostwo.ru , посвященный виртуальным машинам и эмуляторам операционных систем, где вы сможете получить исчерпывающую информацию обзорного характера, особенности той или иной программы, понять разницу между эмуляцией железа и эмуляцией операционной системы в конце концов.

ЗАЧЕМ...

вообще-то использовать эту программу можно в слишком во многих случаях, скажу лишь навскиду, что придумаю сходу:

- новичкам: получить навыки в установке операционных систем, причем можно разных, и ... одновременно :)));

- пользователям: возможность проверить настройки программ и системы без

ущерба для железа;

- разработчикам: создавать код и портировать под различные системы, переносить данные;

- системным администраторам и инженерам: проектировать сети (в частности как построить двухузловой кластер на портативном или настольном компьютере.)и подготовиться к сдаче сертификационых экзаменов;

- специалистам по безопасности: в ущерб быстродействию можно установить программу на шифрованном диске, тогда можно спрятать важные секретные программы как таковые, также можно создавать ложные хосты.

остальные применения можете придумать сами... :)

КАК

поскольку эта статья не посвящена особенностям vmware, тем более, что в приведенных ссылках уже это есть, я расскажу о самом принципе использования.

первым шагом мы должны создать виртуальную машину, где указываем какое железо будет начинкой, особое внимание уделить сетевым картам ("бридж", т.е. мост позволяет использовать "вместе" с основной операционкой ту же сетевую карту; "хост-онли" - позволяет создавать виртуальное сетевое соединение между основной и виртуальной машинами;"нат" - позволяте организовывать NAT-трансляцию внешних IP-адресов во внутренние)

далее, запустив виртуальную машину, мы получим вообщем-то "голое" железо, т.е. надо будет "с нуля" установить тот же Windows

последнее, установить драйвера, они будут не от реальной машины, а от vmware.

далее в помощь, прилагаю другие статьи в интернете:

VMWare. Компьютер в компьютере

На лугу пасутся ОСы

ОС Linux на Вашем персональном компьютере

Как построить двухузловой кластер на портативном или настольном компьютере.

VMware - виртуальный полигон для администратора и разработчика на основе Linux и VMWare

Система виртуальных машин фирмы VMWare

Сайт (старый, но очень доходчивый) о VMWare

Так ли хороша VMware для пользователей Linux?

VMWare или все виндовсы под линуксом ходят

отдельного внимания заслуживает статья для профи: Обнаружение работающей VMWare, Узнай врага своего

бонус: VMWARE. Клонируем компы. Делаем из одного компа много разных

---

Программа: VMWare Workstation 4.5.1-768

Описание: Позволяет, работая в одной операционной системе (например - Windows XP), одновременно работать и в Windows 2000, Windows NT, Windows 9*, FreeBSD или Linux - без необходимости выделять под операционные системы отдельные партиции и перезагружать компьютер при переходе с одной ОС на другую.

URL производителя: www.vmware.com

Лицензия: Shareware

Платформы:Windows, UNIX

Ссылки:

Скачать Windows версию Скачать Linux версию

Приложение к статье. Служба доменных имен (DNS) в Active Directory

Напомню в двух словах, что служба доменных имен организовывает разрешение доменных имен в соответствующие IP-адреса и представляет собой распределенную базу данных. Данные о доменах и принадлежащих им хостах, образующие пространство имен ДНС, не концентрируются в одном месте, а хранятся в виде фрагментов на отдельных серверах, что позволяет говорить о распределенности базы данных ДНС.

В операционной системе Windows 2000 служба DNS осуществляет (может этого и не делать:-) динамическую регистрацию клиентам своих доменных имен, что существенно упрощает администрирование таких баз, которые еще принято называть зонами. В Windows 2000 мы можем реализовать размещение зоны в рамках службы каталогов Active Directory (AD), что дает повышение отказоустойчивости, доступности и управляемости службы. Многие механизмы, использующие AD, также не могут обойтись без DNS.

Суть в том, что "локализация" ближайшего сервера скажем глобального каталога (GC) происходит на основе специального типа ресурсных записей, называемых локаторами ресурсов, или как и обозначают - SRV-записи.

Эти записи используются для определения местоположения серверов, предоставляющие услуги определенных служб. SRV-запись является "синонимом", или еще говорят, DNS-псевдонимом службы. Записывается это так: _Service._Protocol.DnsDomainNameгде: Service - название службы (это может быть kerberos,gc, ldap и др.) Protocol - протокол, при помощи которого клиенты могут подключиться к данной службе ( обычно это tcp, udp); DnsDomainName - DNS-имя домена, к которому принадлежит сервер (в нашем случае songi.local).

Для каждого DNS-домена формируется набор SRV-записей, которые группируются в специальные поддомены:

 _msdcs - вспомогательный домен, который используется для группировки ресурсных записей о серверах, выполняющих специфические роли (такие как например сервер глобального каталога или основной котроллер домена).

Благодаря этому клиенты могут осуществлять поиск серверов, основываясь не на имени службы, а на роли, исполняемой искомым сервером. Псевдонимы, используемые для создания ресурсных записей данного поддомена будут выглядеть так:_Service._Protocol.Dctype._msdcs.DnsDomainNameПараметр Dctype определяет роль сервера (pdc, dc, gc, domains). Например сервера, выполняющие функции котроллера домена и принадлежащего к домену songi.local, будет создан DNS-псевдоним:_ldap._tcp.dc._msdcs.songi.local _sites - вспомогательный домен, используемый для группировки ресурсных записей, отражающих физическую структуру сети (с точки зрения узловой инфраструктуры).

Этот домен выполняет функцию контейнера для других поддоменов, имена которых соответствуют именам узлов. Псевдонимы записываются в следующем формате:_Service._Protocol.SiteName._sites.DnsDomainNameКогда осуществляется обращение к серверу DNS, запрос включает в себя всю необходимую для поиска информацию (такую как наименование службы, протокол, имя домена). Служба DNS в первую очередь пытается найти в базе данных контроллер домена, принадлежащий к тому же узлу, что и "запрашивающий" нужную службу. Для этого служба DNS просматривает все SRV-записи, ассоциированные с данным узлом. Если в этом узле поиск оказывается неудачен, служба DNS начинает просматривать записи других узлов.

Собственно говоря, перечисленные записи сервисов нам вручную делать не придется, при установке первого контроллера домена создадутся автоматически. Однако понимание этих записей важно! Теперь представим очень маловероятную ситуацию, но все же: некоторые записи неправильно изменены вручную, или же случайно стерты вообще. Это не повод паниковать. За формирование записей отвечает служба NetLogon. В командной строке даем всего лишь две команды:

net stop netLogon

net start NetLogon

Выполнив перезапуск службы, наши записи будут автоматически созданы! Разумеется, что если в домене были записи клиентских машин (А-записи) к

примеру, то их придется восстанавливать отдельно. Но достаточно воспользоваться службой автоматической раздачи адресов DHCP, как эта проблема тоже будет легко решена.

 

Вуаля, готово! На этом трудовые будни администратора не заканчиваются, но это совсем другая история. Хочу также попросить читателей собщать о ссылках, которые будут "умирать" и о появлении новых, подходящих этой теме. До встречи! Рад буду получить ваши отзывы на gilev_slava собачка mail.ru или обсудить на форуме www.forum.mista.ru.

 

    2004 (С) Гилёв Вячеслав aka Demiurg