Четверг, 21.11.2024, 13:52
Приветствую Вас Гость | RSS

Я - за павсимесную и всиоблемущюю паддершку Аброзования!

Меню сайта
Форма входа
Категории раздела
Сети [14]
Сети
Windows сервер [14]
Сервера Windows. Администрирование
Active Directory [17]
Опрос
Как вы относетесь к порнографии
Всего ответов: 783
Облако тегов
апокриф библия история история религии маска сети настройка IP-адреса НОВЫЙ ЗАВЕТ Альбион гастарбайтер Гражданин и ты Брут Митридат политическая реклама Понт воскрешение гармония Дух плоть праведная плоть канон Аид гомер Мифология моментальность дружба женщина мужчина отношение VPN dns корневой домен DNS клиент FQDN HOSTS пространство имен разрешение имен MX зона DNS корневые Мастер установки Active Directory глобальный каталог раздел домена Раздел конфигурации Раздел схемы GUID.контроллер домена.Серверы плац Внутрисайтовая репликация межсайтовая репликация лес Домен Планирование Active Directory подразделение DNS-сервера DnsCmd DomainDnsZones ForestDnsZones SUPTOOLS.MSI настройка зоны DNS область распространения зоны DNS SOA Primary Name Server Start of Authority Transfer Zone зонная передача Начальная запись зоны DNS Основной сервер DNS передача зоны DNS nslookup дерево доверие доверительные отношения ADSL DMT ISP POTS xDSL Ntds.dit Active Directory.Зоны прямого просм Netlogon SVR Sysvol _msdcs _saites _tcp _udp Dcdiag Dcpromo.log Dcpromos.log Dcpromoui.log Netdiag Ntdsutil консоль ммс панель задач оснастка авторский параметры пользовательский расширение режим консоли
AdSense
Счетчики
PR-CY.ru Каталог@Mail.ru - каталог ресурсов интернет реклама в интернете, реклама сайта
Статистика

Онлайн всего: 1
Гостей: 1
Пользователей: 0

Каталог статей

Главная » Статьи » Active Directory

Проверка установки Active Directory
На данном сайте есть статья просвещения установки Active Directory интегрированная с DNS. Посмотреть как это делается вы можете здесь

Чуть отклоняюсь от проверки установки  Active Directory  и напоминаю что служба DNS в нашей сети может работать и без  Active Directory, а вот  Active Directory без службы DNS - не может. Поэтому прочтите внимательно статью про установке службы DNS интегрированный с  службой каталога  Active Directory по указанной сноске выше.

Так вот допустим мы установили  Active Directory совместно с DNS как было описано здесь, и теперь нам необходимо хотя бы минимально проверится правильно ли мы все сделали.

И первое что мы сделаем это проверим конфигурацию нашего домена.

Проверка правильности конфигурации домена.

Для проверки конфигурации домена после установки Active Directory в меню "Администрирование", нашего сервера появляются много чего нового. Но в данном случае нас интересует инструмент или вернее оснастка - "Active Directory - пользователи и компьютеры" что бы проверить работает правильно ли Active Directory и правильно ли размещен контроллер домена, смотрите рисунок 1.

Консоль пользователи и компьютеры

 Рисунок 1.

Но давайте опишем эту проверку по пунктам.

Итак 

Заходим в Пуск/Администрирование/Active Directory - пользователи и компьютеры, и открываем оснастку(смотри рисунок 1). В открывшемся окне смотрим на название нашего домена и проверяем правильно ли его название. В нашем случае это единственный домен rk.com (кто читал последовательно все про Active Directory или рассылку знает с чем связано данное название, а кто не читал и не получает рассылку - напомню что это домен нашей конторы "Рога и Копыта"). То есть главное что в данной операции мы делаем это проверяем правильность имени нашего домена, смотрите рисунок 2, и как видно на рисунке 2 у нас домен стал с правильном именем а именно тот который ему назначили при установке.

Проверка имени домена
Рисунок 2.

Дважды щелкаем на название нашего домена или на знак + что бы открыть контейнер нашего домена rk.com. В открывшемся контейнере (смотрите рисунок 3), выбираем пункт  контроллеры домена - Domain Controllers.

Контроллер домена
Рисунок 3.

Смотри и проверяем правильность его имени. В нашем случае контроллер домена установлен на компьютере под именем "SERVER1", что говорит нам что все правильно.

Становимся на имени нашего контроллера домена в правой части окна и щелкаем правой кнопкой мыши и выбираем пункт меню "Свойства"или щелкаем левой дав раза по имени нашего контроллера домена, Смотри рисунок 4.


Рисунок 4.

Открывается окно показанное на рисунке 5 с вкладками. Смотрим данные на всех вкладках и контролируем если они правильные. Мы еще вернемся к данным вкладкам поэтому на этом проверку конфигурации домена на этом закончим.
Вкладки контроллера домена

Рисунок 5.

Дальше мы должны проверить то без чего  Active Directory не работает, а именно проверка конфигурации DNS. Хотя об этом на сайте написано много, я все же повторюсь, что бы статья не потеряла стройность и имела логически законченный вид.

Проверка конфигурации DNS.

Так как мы установили Active Directory интегрированную с DNS с помощью "Мастера установки Active Directory", то как бы сам мастер автоматически сконфигурировал наш DNS (что рекомендуется). То есть он создал все необходимые записи и прописал их в DNS-е, и как мы знаем посредством этих записей DNS позволяет найти необходимые узлы и службы. О ресурсных записях DNS смотрите здесь

Чтобы проверить конфигурацию DNS необходимо проделать следующие:

1. Открыть оснастку DNS. Для этого необходимо зайти в  - Пуск/Программы/Администрирование/DNS, смотрите рисунок 6.

Консоль DNS

Рисунок 6. 

В окне оснастки DNS дважды щелкнем по имени DNS сервера и раскрываем все дерево консоли а так же - Зоны прямого просмотра и если сами прописали - Зону обратного просмотра, так как мастер установки зону обратного просмотра не создает сам. На рисунке 7 то что нужно раскрыть отмечено красным.

Консоль DNS
Рисунок 7. 

Так же для просмотра стандартных записей ресурсов раскройте папки _msdcs, _saites, _tcp, и _udp. Что занчит эти записи мы с вами уже обсуждали и вы можете просмотреть это здесь.

Чем сложнее наша сеть, тем многочисленнее будут записи в службе DNS. К примеру из того что показано на рисунке 8 мы делаем вывод что - 

Ресурсные записи DNS

Рисунок 8.

прописались необходимые записи для глобального каталога (кто не знает что такое глобальный каталог и что он делает смотри здесь), а именно записи типа SVR (напомню что посредством такого типа записей клиенты Active Directory находят контролер домена или хосты предоставляющие необходимый сервис). Как ведите из рисунка 8 записи имеют тип SVR но каждая запись так же предоставляет свой отдельный сервис. Что такое LDAP вы если читали внимательно материалы на сайте должны уже знать, что касается Kerberos и Krasswd (служба изменения пароля Kerberos) мы к ним еще вернемся в отдельной теме, что бы не заморочить вас окончательно...да и тема довольно большая и вы хотелось бы что бы привыкли к настройкам DNS и Active Directory что бы усвоить эту информацию легче.

Помимо всего что у нас есть в службе DNS, служба Netlogon создает файл журнала в котором указываются все служебные записи ресурсов. Данный файл созданный службой  Netlogon находится в %Systemroot%\System32\Config\Netlogon.dns. Пример содержимого этого файла смотрите на рисунке 9.

Netlogon.dns

Рисунок 9.

Если в сети есть другие реализации DNS которые не поддерживают динамическое обновление то все эти записи придется вести в ваш DNS сервер - "ручками", то есть вручную...Увы...

Проверка интеграции Active Directory с DNS.

Мы по умолчанию когда устанавливали Active Directory решили так же посредством "мастера установки Active Directory" автоматически установить и службу DNS без который Active Directory - мертва или скажем более миролюбиво - не работает. В этом случае сам "мастер" должен создать интегрированную с Active Directory зону прямого поиска с именем соответствующей имени домена. Так вот при установки Active Directory с интегрированным DNS меняется местоположение данных зоны которое переносится из файла зоны DNS в каталог Active Directory на нашем сервере.

Проверка интеграции службы DNS и Active Directory состоит в следующем - 

1. Заходим в Пуск/Администрирование/DNS - смотрите рисунок 6.
2. В оснастки DNS  открываем дерево "Зона прямого просмотра", правой кнопкой мыши становимся на зону нашего домена. В нашем случае это будет корневая зона rk.com и правой кнопкой мыши открываем контекстное меню. В появившимся меню выбираем "Свойства". Откроется окно показанное на рисунке 10.

Зона прямого просмотра

Рисунок 10.

3. Смотрим на вкладке "Общие" (рисунок 10). Напротив надписи "Тип" (отмечено красным на рисунке 10) при интегрированной установки обязательно должно быть надпись - "Интегрированная в Active Directoey". Чуть ниже на этой же вкладке смотрим надпись "Динамическое обновление" и ту должно стоять запись как на рисунке 10, то есть - "Небезопасные и безопасные". Если не стоит это запись то все равно выберите ее. Еще надо отметить что при интегрированной установки Active Directory совместно с DNS в свойствах зоны появляется новая вкладка безопасность (подчеркнута на рисунке 10 синим цветом). Предназначена она для задания настроек безопасности при обновлениях.

Ту же самое проделываем с зоной _msdcs.rk.com. Узнать больше что это за зоны, зачем они нужны и что они делают можно здесь.

Так же на вкладке "Общие" множите проверить тип репликации и при необходимости выбрать нужный тип. О репликации читайте на сайте.   

4. Далее для проверки нашей интеграции становимся непосредственно на имени нашего сервера который и правой кнопкой мыши открываем контекстное меню. В контекстном меню выбираем - "Свойства". Открывается окно показанное на рисунке 11. Переходим на вкладку "Дополнительно"

Вкладка Дополнительно


Рисунок 11.

На данной вкладке проверяемся что возле надписи "Загружать зону при старте"  в поле выбора стоит - "Из Active Directory и реестра". Не рисунке 11 отмечено красным цветом.

Если мы все это проверили настало время проверки размещения общего системного тома.

Проверка размещения общего системного тома.

В процессе установки "Мастер установки Active Directory" создает на нашем сервере системный том с именем Sysvol. Зачем нужен Sysvol? А нужен он в основном для того что в нем хранятся общедоступные файлы, реплицируемые среди других контроллеров домена.  В этих файлах, к примеру содержатся сценарии регистрации, некоторые объекты групповой политики. Напоминаю что - общий системный том должен размещается только на файловой системе NTFS. Размещается данный файл если ничего не трогать при установки в папке  %Systemroot%\Sysvol. Но мы в праве разместит данный системный том и в другом месте по нашему усмотрению. График репликации общего системного тома Sysvol совпадает с графиком репликации службы каталога Active Directory. Это надо помнить так как из-за этого результат репликации файлов в только что установленном системном томе или из него до истечения двух периодов репликации (который равняется в среднем около 10минутам) не дают о себе знать.

Примечание: Только не путаете Sysvol с файлом базы данных Active Directory - Ntds.dit, который можно размещать и на файловой системе с FAT (но не очень желательно).

Sysvol представляет собой дерево папок, файлы в которых постоянно должны быть в состоянии готовности и регулярно быть синхронизированы (обновлены, приведены в одинаковость по содержанию) среди контролеров отдельного домена или леса доменов. 
В частности синхронизации подлежат:

  • Общая папка Sysvol;
  • Общая папка Netlogon;
  • Системные политики Windows 95, Windows 98, Windows Milenium, Windows NT 4;
  • Настройки групповой политики Windows 2000 и Windows Server 2003;
  • Сценарии входа и выхода пользователей.

Для того что бы проверить правильность размещение общего системного тома Sysvol необходимо сделать следующее.

1. Открыть проводник 
2. Найти место расположение данной папки которое вы задали или оставили по умолчанию. Если в оставили все по умолчанию, то данная папка находится в %Systemroot%\Sysvol. Смотрите рисунок 12.

Sysvol
Рисунок 12.

3. Проверьте в папки SYSVOL разшаренной папки с тем же именем (на рисунке 12 отмечено красным). 
4. Убедитесь в том что расшаренная или общедоступная папка sysvol содержит папку с названием вашего домена. В моем случае это папка rk.com.
5. В папке rk.com должны быть папки Scripts и  Policies   

Проверка работоспособности режима загрузки. Восстановление службы каталогов.

Такая опция как "Режим восстановления службы каталога" на простых или рядовых серверах отсутствует. Что бы проверить работает данный режим нужно проделать следующее. 

1. Перезагрузите сервер и в начале загрузки нажмите клавишу "F8"
2. В появившемся меню - "Меню дополнительных вариантов загрузки" или "Windows Advanced Options" выберите с помощью клавиш со стрелками пункт - "Восстановление службы каталога" (Directory Services Restore Mode), после чего нажмите клавишу "Ввод"
3. На экране вновь откроется меню Загрузка (Boot), но в нижней части появится цветная надпись - Восстановление службы каталогов (Directory Services Restore Mode). Выбрав нужную установку операционной системы, нажмите на Enter. Теперь после перезагрузки система запустится в режиме восстановления службы каталога. Необходимо чуть подождать...а может и не чуть....
4. После появления экрана приветствия нажмите сочетания клавиш Ctrl + Alt + Delete. При регистрации на локальном компьютере укажите имя администратора сервера (имя учетной записи и пароль администратора должны быть определены в процессе настройки сервера) а так же специальный пароль который мы указали при установки службы каталога. Далее нажмите на кнопку ОК.

Пароль администратора который мы пользовались и прописан в Active Directory сейчас не действует по причине того что сама Active Directory "сломаласЯЯЯ", поэтому мы и используем пароль который мы указали при установке Active Directory.

5. Для того что бы запустить контроллер домена в безопасном режиме, при появлении окна "Windows работает в безопасном режиме" ( Windows Is Running In Safe Mode) нажмите на кнопку ОК.

Что бы вернутся в обычный режим работы перезагрузите сервер.
Категория: Active Directory | Добавил: AlterEgo25 (18.02.2011)
Просмотров: 20098 | Теги: _saites, _udp, Ntds.dit, _tcp, _msdcs, SVR, Sysvol, Active Directory.Зоны прямого просм, Netlogon | Рейтинг: 4.0/4
Всего комментариев: 0
Добавлять комментарии могут только зарегистрированные пользователи.
[ Регистрация | Вход ]
Поиск
Подписатся
Подписаться на рассылку
"Active Directory - от простого к сложному."


 
Mail.Ru
Подписатся
Подписаться на:
Active Directory от простого к сложному | RSS
Имя:
E-mail

Посетите Каталог Maillist.ru.
Maillist.ru: Active Directory от простого к сложному
Поделись с другом
Поиск
Loading
Рейтинг чатов Поисковый каталог Эхо Ру счетчик посещений
счетчик посещений

Copyright MyCorp © 2024
Используются технологии uCoz