Служба каталогов Active Directory в Windows 2000 Server - Установка контроллера доменов

ОГЛАВЛЕНИЕ

Установка контроллера доменов

Контроллер домена (Domain Controller, DC) создается из уже имеющегося изолированного (stand-alone) сервера или рядового (member) сервера при помощи операции, которая называется - повышение роли сервера (promotion) .

Обратный процесс преобразования контроллера домена в изолированный или рядовой сервер называется понижением роли сервера (denotion) .

При этом сервер удаляется из леса и изменяются сведения о нем в DNS, с сервера удаляются служба каталогов и ее элементы, восстанавливается стандартная база данных безопасности (SAM). Понижение роли последнего контроллера в домене означает уничтожение всего домена.

НО, категорически нельзя удалять корневой (первый созданный) домен в доменном дереве: вы уничтожите все дерево!!!

Подготовка к созданию контроллера домена

Контроллером домена можно сделать любой сервер, на котором функционирует Windows 2000 Server.

Если при установке системы используется контроллер домена Windows NT 4.0, то процесс повышения роли начинается автоматически после обновления системы и ее перезагрузки.

Обычный сервер преобразуется в контроллер домена при помощи утилиты DCpromo.exe, которая запускает Мастер установки Active Directory (Active Directory Installation Wizard) . Эта же утилита запускается с помощью оснастки "Настройка сервера" в меню Администрирование.

 

Мы рассмотрим несколько вариантов установки контроллера домена в зависимости то сложности структуры сети.

Создание первого контроллера домена

Первый, корневой домен в лесе, также является началом первого дерева этого леса. Если, например, создаются дочерние домены в дереве bhv.com, то DNS-имена всех доменов в этом дереве будут иметь окончание bhv.com (sales.bhv.com или office.bhv.com). Поэтому сначала следует определиться с именем первого домена.

Отметим еще одну важную особенность на подготовительном этапе установки контроллера домена - наличие DNS сервера.

Стоит отметить, что служба DNS применяется клиентами Active Directory для поиска контроллеров домена. Компания Microsoft рекомендует использовать DNS-сервер, поставляемый вместе с Windows 2000 Server, однако можно использовать и другие DNS-серверы, имеющие нужные функции (см. RFC 2136 и 2052; например можно использовать BIND версии не ниже 8.2.2).

DNS-сервер устанавливается и конфигурируется по умолчанию (это необходимо только для первого домена в новом лесе) при создании контроллера домена (т. е. при инсталляции Active Directory; при этом пользователь должен подтвердить запрос на установку DNS-сервера), но можно это сделать и вручную.

Итак, для создания первого контроллера в домене необходимо:

1. Установить Microsoft DNS-сервер. 2. Запустить мастер установки Active Directory

Внимание 1!

Если в сети, где создается контроллер домена, имеется DNS-сервер, то на готовящемся к повышению компьютере необходимо указать IP-адрес этого сервера в свойствах протокола TCP/IP и проверить правильность разрешения имен (например, с помощью команды ping DNS_имя или утилиты NetDiag)

Внимание 2!

Нельзя давать серверу, будущему контроллеру домена, динамически назначаемый IP-адрес (с помощью DHCP). Если по каким-то причинам связь с DHCP-сервером будет нарушена, контроллер домена получит при загрузке произвольный адрес, не соответствующий тому, который использовался при создании этого контроллера домена, и не сможет выполнять свои функции!