Active Directory Migration Tool

Для перехода от доменов Windows NT 4.0 к доменам Windows 2000 и для манипулирования объектами Active Directory в дереве или лесе доменов Windows 2000 компания Microsoft выпустила специальный инструмент для миграции — утилиту Active Directory Migration Tool (ADMT), которая свободно доступна на веб-узле Microsoft.

Примечание 1

Основное, о чем нужно помнить при работе с этой утилитой (а также со многими утилитами сторонних поставщиков, например FastLane), — то, что целевой домен, т. е. домен, в который переносятся объекты, должен работать в основном режиме.

Утилита ADMT позволяет переносить из одного домена в другой учетные записи пользователей и компьютеров, локальные и глобальные группы, доверительные отношения, обновлять списки управления доступом (ACL), создавать отчеты и выполнять другие задачи, связанные с процессом миграции. Для выполнения тех или иных функций используются мастера (wizards), вызываемые из контекстного меню оснастки,

Каждый мастер работает в двух режимах:

Режим

проверки

параметров миграции

Режим

выполнения

операции миграции

Это дает возможность проверить все операции перемещения объектов, исправить возможные конфликты и только после этого выполнять эти операции. Вся информация о выполняемых действиях заносится в журналы, которые можно просмотреть после выполнения любой операции.

Добавление к дереву дочерних доменов

Создать в существующем дереве дочерний (подчиненный) домен также можно с помощью мастера установки Active Directory:

Запустите программу Dcpromo.

Установите переключатель

Контроллер домена в новом домене.

Введите полное DNS-имя существующего домена, который будет родительским для создаваемого домена, например, nycorp.com.

Введите краткое имя нового дочернего домена, например, finance. Тогда полное имя создаваемого домена будет finance.mycorp.com.

Введите или подтвердите NetBIOS-имя для нового домена.

Введите имя, пароль и название домена для учетной записи, имеющей административные полномочия в родительском домене.

Укажите дополнительные параметры (местоположение базы данных Active Directory и т. д.).

После проверки всех заданных параметров нажмите кнопку

Далее —

начнется процесс повышения роли сервера.

После перезагрузки компьютер будет работать как первый контроллер домена в новом дочернем домене.

File Migration Utility

Эта утилита позволяет переносить большие объемы данных с серверов NetWare (всех версий) на Windows 2000, сохраняя структуру каталогов и разрешения доступа. При этом пользователи имеют доступ к своим файлам в течение всего процесса миграции.

В утилите широко используются мастера и обеспечивается постепенная или полная миграция.

Утилита MSFMU также работает с протоколами IPX/SPX и TCP/IP.

Microsoft Directory Synchronization Services

Это средство позволяет периодически синхронизировать различную информацию (в первую очередь — учетные записи пользователей и групп), хранящуюся в Active Directory, с данными, расположенными в Novell Directory Service (NDS) и базе данных bindery систем NetWare 3.x При этом связь с NDS — двухсторонняя, а с bindery — односторонняя. Обеспечивается синхронизация паролей.

Службы MSDSS работают с протоколами IPX/SPX и TCP/IP.

Миграция из Novell NetWare

Как уже говорилось, можно перейти к Active Directory из различных служб каталогов (Exchange, Windows NT Server 4.0 NTDS и др.). Кроме того, компания Microsoft предлагает средства для перехода от Novell NetWare к Windows 2000, что особенно актуально для смешанных сетевых сред. Такие средства уже существовали в предыдущих версиях Windows NT и позволяли переносить пользователей, группы, файлы и списки управления доступом к файлам из базы данных bindery в контроллер домена Windows NT Server.

Для системы Windows 2000 компания Microsoft выпустила два облегчающих миграцию инструмента, которые входят в отдельно приобретаемый продукт - Microsoft Services for NetWare v.5 (SFNW5):

Microsoft Directory Synchronization Services (MSDSS)

File Migration Utility (MSFMU)

Примечание 1

Мы упоминаем только те средства, входящие в SFNW5, которые относятся к миграции.

Эти инструменты облегчают переход из Novell NetWare к Windows 2000 или поддержание двух служб каталогов в смешанной среде.

Переключение домена в основной режим

Домены Windows 2000 могут находиться в двух режимах:

Смешанный режим (mixed mode), позволяющий сосуществовать контроллерам доменов, работающим с программным обеспечением как Windows 2000, так и Windows NT более ранних версий. В этом режиме включены некоторые возможности Windows NT Server более ранних версий и отключены некоторые возможности Windows 2000 Server.

Основной режим (native mode), где все контроллеры работают с программным обеспечением Windows 2000 Server. В этом режиме полностью доступны такие новые воамвжййейг, "М&с создание влбженньрс (nested) групп и междоменное членство в группах (универсальные группы).

По умолчанию домены создаются в смешанном режиме. В этом режиме в состав доменов могут входить BDC-контроллеры Windows NT 4.0. После того как все BDC-контроллеры будут обновлены или удалены, можно переключить домен в основной режим.

Примечание 1

Множественная репликация (multi-master replication) между контроллерами домена в Windows 2000 выполняется всегда, даже в смешанном режиме.

При переходе в основной режим в домене не должно быть BDC-конт-роллеров. После переключения в этот режим уже нельзя вернуться в смешанный режим и добавлять к домену контроллеры, работающие с программным обеспечением, отличным от Windows 2000 Server. Для переключения режима работы домена используется оснастка Active

Directory — пользователи и компьютеры.

После перезагрузки компьютера контроллер домена начнет работать в основном режиме, необходимо также перезагрузить все контроллеры в домене.

Планирование организационных единиц (подразделений)

Организационные единицы (OU), или подразделения, могут содержать пользователей, группы, компьютеры, принтеры и общие папки, а также другие

OU. OU — это

минимальная

"единица" администрирования, права управления которой можно делегировать некоторому пользователю или группе. С помощью OU можно обеспечить

локальное

администрирование пользователей (создание, модификация и удаление учетных записей) или ресурсов.

Примечание 1

Организационные единицы и подразделения — это термины-синонимы; мы будет чаще использовать понятие

организационная единица,

говоря о

структуре

каталога Active Directory и его дереве, и

подразделение —

когда речь идет об

администрировании

Active Directory, делегировании управления и т. п.

В каталоге Active Directory организационные единицы представляют собой объекты типа "контейнер" и отображаются в окне оснастки

Active Directory — пользователи и компьютеры

(Active Directory Users and Computers) как папки. Их основное назначение — группирование объектов каталога с целью передачи административных функций отдельным пользователям.

Дерево OU может отображать реальную структуру организации — административную, функциональную и т. п. При этом учитываются иерархия полномочий ответственных работников и необходимые функции управления. Каждый доменов дереве или лесе может иметь свою, совершенно независящую от других структуру организационных единиц.

Организационная единица — минимальная структурная единица, которой можно назначить собственную групповую политику, т. е. определить разрешения на доступ к ней (и подчиненным OU), конфигурационные настройки и т. п. Однако OU не является структурным элементом безопасности (т. е. нельзя, скажем, назначить подразделению некоторые права доступа к определенному объекту), а служит только для группирования объектов каталога. Для назначения полномочий и разрешений доступа к ресурсам следует применять

группы безопасности

(security groups).

Примечание 2

Примечание 2

Параметры безопасности групповой политики, назначенной некоторому подразделению, позволяют "сужать" область действия этой политики. Предположим, например, что в подразделении имеется несколько групп безопасности. По умолчанию групповая политика распространяется на всех членов подразделения. Однако можно сделать так, что эта политика будет действовать только на определенную группу (группы) и игнорироваться остальными группами подразделения. Подробнее об этом рассказано в главе 27.

Вот рекомендации по выбору решения (организовать ли в сети несколько доменов или делить её на организационные единицы):

Создавайте несколько доменов, если в организации действует децентрализованное управление, при котором пользователями и ресурсами управляют совершенно независимые администраторы.

Создавайте несколько доменов, если части сети связаны медленным каналом и совершенно нежелательна полная репликация по этому каналу (если репликация возможна хотя бы иногда, то лучше создавать один домен с несколькими сайтами).

Разбивайте домен на организационные единицы, чтобы отразить в них структуру организации.

Разбивайте домен на организационные единицы, если нужно делегировать управление над ограниченными, небольшими группами пользователей и ресурсов; при этом можно делегировать

все

права администрирования или только

некоторые.

Разбивайте домен на организационные единицы, если их структура соответствует

будущим

изменениям в организации (компании). Домены же, по возможности, нужно конфигурировать так, чтобы перемещать или делить их приходилось как можно реже.

Двухуровневая иерархия — доменов в дереве доменов и организационных единиц в домене — обеспечивает гибкость администрирования, которое может быть и централизованным, и децентрализованным, и смешанным.

Планирование структуры доменов

Развертывание сетевой структуры целесообразно начать с создания единственного домена, который легче всего администрировать, и по мере необходимости добавлять новые домены. Достоинством Active Directory (по сравнению с доменной моделью Windows NT) является возможность создания в одном домене значительно большего числа объектов (до нескольких миллионов). При этом один домен может содержать несколько географически разнесенных и администрируемых индивидуально сайтов, связанных медленными каналами.

Совсем не нужно создавать дерево из нескольких доменов только для того, чтобы таким образом отобразить структуру организации, ее подразделения или отделы. Для этого достаточно в единственном домене создать соответствующие подразделения (организационные единицы) и назначить для них групповые политики, распределить пользователей, группы и компьютеры.

Для создания нескольких доменов должны быть достаточно веские причины, например:

Различные требования к безопасности для отдельных подразделений

Очень большое количество объектов

Различные Интернет-имена для доменов. Если имена доменов образуют непрерывное пространство имен DNS, то можно создать

дерево

доменов; если имена доменов уникальны, то возможно создание

леса

доменов

Дополнительные требования к репликации

Децентрализованное администрирование сети. При наличии нескольких доменов совершенно независимые друг от друга системные администраторы могут устанавливать собственные политики безопасности. Кроме того, можно администрировать домены на различных национальных языках

Подготовка к созданию контроллера домена

Контроллером домена можно сделать любой сервер, на котором функционирует Windows 2000 Server. Способы инсталляции системы описаны в главе 1. Если при установке системы используется контроллер домена Windows NT 4.0, то процесс повышения роли начинается автоматически после обновления системы и ее перезагрузки.

Обычный сервер преобразуется в контроллер домена при помощи утилиты DCpromo.exe, которая запускает

Мастер установки Active Directory

(Active Directory Installation Wizard).

Подключение рабочих станций и рядовых серверов

Серверы и рабочие станции (клиентские компьютеры) включаются в домен Windows 2QOO аналогично тому, как это делается в Windows NT 4.O. При этом используется оснастка

Active Directory — пользователи я компьютеры.

Компьютерам нужно указать IP-адрес хотя бы одного DNS-сервера для того, чтобы они могли находить контроллеры домена. IP-адрес DNS-сервера может передаваться клиентам автоматически при помощи DHCP (серверы DHCP более подробно описаны в главе 17) или задаваться вручную.

Системы Windows NT 4.0 и Windows 9x используют для поиска контроллеров домена службу WINS, которую нужно установить, если в доменах Windows 2000 должны работать эти клиенты. Если на .клиентах установлен Active Directory Client и применяется только TCP/IP, то ставить WINS необязательно.

Учетные записи для компьютеров можно создавать заранее (с помощью оснастки

Active Directory — пользователи и компьютеры)

или в процессе подключения компьютера к домену. Для подключения компьютера с Windows 2000 к домену:

Выберите значок

Система

(System) на панели управления или щелкните правой кнопкой мыши на значке

Мой компьютер

(My Computer) на рабочем столе и выберите команду

Свойства

(Properties)контекстного меню.

Перейдите на вкладку

Сетевая идентификация

(Network Identification) и нажмите кнопку

Свойства.

Примечание 1

В системе Windows 2000 Professional можно также использовать другое средство— Мастер сетевой идентификации (Network Identification Wizard), который поможет выполнить все необходимые для. подключения к домену действия. Для этого нужно нажать кнопку Идентификация (Network ID).

В группе

Является членом

(Member of) установите переключатель

домена

(Domain).

В ставшем доступном текстовом поле введите полное DNS-имя домена, к которому следует подключиться, например, тусогр.ссоц и нажмите кнопку

ОК.

Введите имя и пароль учетной записи в домене, имеющей полномочия на подключение компьютеров к домену. Если имеется созданная предварительно учетная запись для данного компьютера, введите соответствующие значения. Если нужно создать учетную запись "на лету", введите данные пользователя, имеющего разрешение на создание объектов в стандартном контейнере Computers. В любом случае можно использовать учетную запись администратора домена.

Нажмите кнопку

ОК.

В случае успешного выполнения операции подключения компьютера к домену появляется сообщение.

Закройте окно свойств системы.

Нажав кнопку

Да

(Yes) в ответ на появляющееся сообщение, перезагрузите компьютер.

Понижение контроллера домена

Для того чтобы превратить контроллер домена в рядовой сервер, также используется утилита DCPromo, т. е. мастер установки Active Directory.

Процесс понижения роли контроллера домена имеет ряд особенностей, связанных с количеством контроллеров в домене (доменах) и их функциями.

Если понижается контроллер домена, являющийся сервером глобального каталога, то будет выдано предупреждение. Его можно проигнорировать в двух случаях:

если контроллер домена — единственный и уничтожается

вся

доменная структура;

если в лесе имеются другие контроллеры, выполняющие эту функцию.

В противном случае нужно назначить сервером глобального каталога другой контроллер домена и выполнить репликацию, после чего можно снова запускать мастер установки Active Directory.

Кроме того, мастеру установки Active Directory необходимо указать, является ли контролер домена последним в домене.

Если флажок

Этот сервер — последний контроллер домена в данном домене

(This server is the last domain controller in the domain) остается сброшенным (т. е. контроллер домена становится

рядовым

сервером), то в следующем окне нужно указать и подтвердить пароль администратора на выбранном компьютере. Если же флажок установить (т. е. контроллер домена становится

изолированным

сервером, и домен полностью уничтожается), то в следующем окне нужно указать имя пользователя с правами администратора предприятия для этого леса, пароль и имя домена, а затем — пароль, назначаемый администратору компьютера.

Выводится окно сводки, в котором можно проверить правильность выполняемых действий. После нажатия кнопки

начинается сам процесс понижения роли сервера. После появления сообщения об удалении Active Directory с компьютера нужно перёзагрузиться.

Предварительные операции

Даже если создается домен с единственным контроллером, необходимо учесть некоторые изложенные ниже соображения, не говоря уже о сложной сети с несколькими доменами (сайтами) и множеством подразделений (организационных единиц).

Проектирование структуры сайтов

Планирование репликации каталога следует начинать с одного сайта, а затем, с учетом каналов передачи данных и их пропускной способности, можно добавлять новые сайты. Для локальных сетей (LAN) с быстрыми каналами обычно используются конфигурации с одним сайтом (хотя можно разбить их на несколько сайтов), поскольку зачастую такое решение упрощает администрирование.

Использование нескольких сайтов дает следующие преимущества:

Распределяется нагрузка по сети со стороны клиентов

Возможна оптимизация процесса получения данных из каталога

Упрощается администрирование (например, управление конфигурацией) ресурсов, если они объединены в сайт

Возможна "тонкая" настройка репликации

Создание нового сайта с собственными контроллерами домена имеет смысл в том случае, когда контроллеры домена недостаточно быстро (по вашим субъективным оценкам) реагируют на запросы пользователей. Обычно такое случается при большом территориальном удалении клиентских компьютеров и медленных каналах связи. Создание нового сайта может быть целесообразно с точки зрения обеспечения аутентификации пользователей. Клиент при регистрации пытается найти контроллер домена в своем, локальном сайте. Поэтому топология сайтов должна учитывать то, насколько быстро клиент должен получать доступ к контроллеру домена.

Имеет смысл включать все контроллеры домена в один сайт, если репликация между ними должна выполняться по единому расписанию. Однако при наличии нескольких сайтов можно индивидуально настроить репликацию с учетом их специфики. Например, можно использовать по умолчанию быстрый канал, а коммутируемое соединение — если основной канал недоступен. Такой подход обеспечивает и эффективность, и отказоустойчивость.

Разработка модели делегирования прав администрирования

Если внутри домена создать дерево организационных единиц (Organizational Unit, OU), или подразделений, то можно распределить обязанности администраторов отдельных подразделений между различными пользователями и группами. В этом случае уменьшается число сотрудников, которые получают полный контроль над всем доменом.

После того как разработана структура подразделений и по ним распределены пользователи, можно продумать административную иерархию, т. е. определить, какие пользователи получат права управления целыми подразделениями, и кто будет выполнять только ограниченные административные функции (например, управлять отдельными группами или принтерами).

Создание нового дерева в лесе

Процесс создания новых деревьев в существующем лесе аналогичен описанной выше процедуре создания дочерних доменов. Отличий совсем немного: запустите мастер установки Active Directory, установите переключатель

Контроллер домена в новом домене,

укажите, что новый домен является первым доменом в новом дереве существующего леса (переключатель

Создать новое доменное дерево),

а затем введите полное DNS-имя нового дерева, например, new-corp.com (это имя не должно быть смежным ни с одним: из деревьев, существующих в выбранном лесе), и NetBIOS-имя нового домена. После установки Active Directory и перезагрузки компьютер начнет работать как первый контроллер домена в новом дереве, при этом новый домен будет связан доверительными отношениями с корневыми доменами существующих деревьев.

Создание первого контроллера домена

Первый, корневой домен в лесе, также является началом первого дерева этого леса. Если, например, создаются дочерние домены в дереве

bhv.com,

то DNS-имена всех доменов в этом дереве будут иметь окончание

bhv.com

(sales.bhv.com или office.bhv.com). Поэтому сначала следует определиться с именем первого домена. Для создания первого контроллера в домене:

Установите Microsoft DNS-сервер.

Запустите мастер установки Active Directory.

Внимание

Если в сети, где создается контроллер домена, имеется DNS-сервер, то на готовящемся к повышению компьютере необходимо указать IP-адрес этого сервера в свойствах протокола TCP/IP и проверить правильность разрешения имен (например, с помощью команды

ping DNS_имя

или утилиты NetDiag).

Внимание

Нельзя давать серверу, будущему контроллеру домена, динамически назначаемый IP-адрес (с помощью DHCP). Если по каким-то причинам связь с DHCP-сервером будет нарушена, контроллер домена получит при загрузке произвольный адрес, не соответствующий тому, который использовался при создании этого контроллера домена, и не сможет выполнять свои функции!

Установка DNS-сервера

Служба DNS применяется клиентами Active Directory для поиска контроллеров домена. Компания Microsoft рекомендует использовать DNS-сервер, поставляемый вместе с Windows 2000 Server, однако можно использовать и другие DNS-серверы, имеющие нужные функции (см. RFC 2136 и 2052; например можно использовать BIND версии не ниже 8.2.2),

DNS-сервер устанавливается и конфигурируется по умолчанию (это необходимо только для первого домена в новом лесе) при создании контроллера домена (т. е. при инсталляции Active Directory; при этом пользователь должен подтвердить запрос на установку DNS-сервера), но можно это сделать и вручную (см. также главу 17). , Для инсталляции DNS-сервера:

Запустите Мастер компонентов Windows (Windows Components Wizard), выберите компонент Сетевые службы (Networking Options) и нажмите кнопку

Состав

(Details).

Установите флажок DNS (Domain Name System), затем нажмите кнопки ОК и Далее (Next). Подождите, пока скопируются нужные файлы (возможно, потребуется дистрибутивный компакт-диск).

После этого в соответствующих полях, введите значения для IP-адреса (IP-address), маски подсети (Subnet Mask) и основного шлюза (Default Gateway).

Для нормальной работы DNS-сервера нужно назначить компьютеру хотя бы один статический IP-адрес. Если компьютер такого адреса не имеет (скажем, выделен динамический адрес), то в процессе инсталляции DNS-сервера имеется возможность добавить нужный статический адрес. Для

частной сети можно использовать зарезервированные значения, например, для сетей Class А можно выбрать адрес 10.0.0.1, принять маску подсети по умолчанию и оставить пустым поле шлюза.

Если в сети уже имеются DNS-серверы, установите переключатель

Использовать следующие адреса DNS-серверов

(Use the following DNS server addresses) и введите IP-адрес DNS-сервера в поле

Основной

DNS-сервер (Primary DNS Server). Если DNS-серверы в сети отсутствуют, установите переключатель

Получить адрес DNS-сервера автоматически

(Obtain DNS server address automatically) или оставьте пустым поле

Основной DNS-сервер.

После того как, нажимая кнопки ОК, вы закроете все окна, в том числе и окно

Установка и удаление программ

(Add/Remove Programs), DNS-сервер будет установлен.

Установка контроллеров домена

Контроллер домена (Domain Controller, DC) создается из уже имеющегося изолированного (stand-alone) сервера или рядового (member) сервера при помощи операции, называющейся

повышение роли сервера

(promotion).

Примечание 1

Обратный процесс преобразования контроллера домена в изолированный или рядовой сервер называется

понижением роли сервера

(denotion). При этом сервер удаляется из леса и изменяются сведения о нем в DNS, с сервера удаляются служба каталогов и ее элементы, восстанавливается стандартная база данных безопасности (SAM). Понижение роли последнего контроллера в домене означает уничтожение всего домена.

Категорически нельзя удалять корневой (первый созданный) домен в доменном дереве: это приведет к уничтожению всего дерева!

Включение в домен дополнительных контроллеров

Создание дополнительных контроллеров домена также выполняется при помощи мастера установки Active Directory:

Зарегистрируйтесь в системе как Администратор.

Запустите программу DCpromo и нажмите кнопку

Далее.

Установите переключатель

Добавочный контроллер домена в существующем домене

(Additional domain controller for an existing domain) и нажмите кнопку

Далее.

Введите имя, пароль и полное DNS-имя домена для пользовательской записи с административными правами в домене (это может быть член группы Администраторы или пользователь, имеющий права на подключение компьютеров к домену).

Введите полное DNS-имя существующего домена; при этом можно выбрать домен из списка существующих, нажав кнопку

Обзор

(Browse).

В следующих окнах мастера укажите дополнительные параметры (местоположение базы данных Active Directory, журналов регистрации событий, реплицируемого системного тома, а также пароль администратора для восстановления службы каталогов).

В появляющемся окне сводки проверьте правильность параметров и нажмите кнопку

— начнется процесс повышения роли сервера.

После перезагрузки компьютер будет работать как один из контроллеров указанного домена.

Примечание 1

Если на сервере до начала процесса повышения роли была установлена служба DNS, то она полностью конфигурируется с использованием записей основного DNS-сервера. Таким образом легко получить резервный DNS-сервер, повысив отказоустойчивость сети. При этом предпочтительнее, если зоны DNS хранятся в Active Directory.

Запуск мастера установки Active Directory

Мастер установки Active Directory значительно упрощает создание и конфигурирование нового контроллера домена.

Зарегистрируйтесь в системе как Администратор (Administrator).

Для запуска мастера выберите команду

Пуск | Выполнить

(Start | Run) и введите команду dcpromo. Альтернативный вариант — выбрать команду

Пуск | Программы | Администрирование | Настройка сервера

(Start | Programs | Administrative Tools | Configure Your Server), в открывшемся окне последовательно нажать кнопки

Active Directory и Запустить

(Start).

Выберите переключатель

Контроллер домена в новом домене

(Domain controller for a new domain) и нажмите кнопку

(Рисунок 24.1).

Установите переключатель

Создать новое доменное дерево

(Create a new domain tree), нажмите кнопку

(Nest) и в следующем окне установите переключатель

Создать новый лес доменных деревьев

(Create a new forest of domain trees).

Введите полное DNS-имя, выбранное для первого домена, например, шусогр.ссш. Утилита DCpromo проверяет, используется ли уже данное имя. Затем для домена также определяется NetBIOS-имя (по умолчанию для нашего примера будет предложено имя mycorp), по которому идентифицируют домен клиенты нижнего уровня, например, Windows NT 4.0.

В следующих окнах мастера устанавливаются дополнительные параметры (местоположение базы данных Active Directory, журналов регистрации событий, реплицируемого системного тома).

Если на компьютере или в сети отсутствует DNS-сервер, то мастер установки выдает сообщение (Рисунок 24.2) и предлагает установить и настроить DNS. Если в сети все же имеется работающий сервер DNS, то необходимо проверить связь с ним (и вернуться в первое окно мастера установки

Active Directory) или соответствие этого сервера требованиям Active Directory. Если DNS-сервер отсутствует, то, установив в следующем окне переключатель

Да, автоматически установить и настроить DNS (рекомендуется)

(Yes, install and configure DNS on this computer (recommended)), разрешите на компьютере автоматическую установку и настройку DNS-сервера для работы с Active Directory. Если же будет установлен переключатель

Нет, установить и настроить DNS вручную

(No, I will install and configure DNS myself), то после создания контроллера домена необходимо будет

вручную

создать на DNS-сервере все записи, обеспечивающие работу домена, что требует глубокого понимания всех аспектов взаимодействия Active Directory и DNS.

Рис 24.1.

Выбор типа контролера

Рис 24.2.

Для работы Active Directory обязательно присутствие в сети службы DNS

8.

В следующем окне выберите разрешения (Рисунок 24.3), определяющие возможность работы в создаваемом домене служб, работающих на серверах предыдущих версий Windows NT.

9.

Введите и подтвердите пароль администратора, который будет использоваться при восстановлении службы каталогов (это Один из дополнительных вариантов загрузки Windows 2000).

Рис 24.3.

Выбор разрешений, позволяющих службам более ранних версий взаимодействовать с создаваемым контроллером домена Windows 2000

Не путайте административный пароль (и не забудьте его, если пароли не одинаковые!) для восстановления каталога с обычным паролем администратора, это разные пароли!

Поскольку в режиме консоли нельзя ввести русские символы, для пароля рекомендуется использовать только цифры и латинские буквы.

10.

После выполнения всех указанных операций мастер установки выводит сводку выбранных параметров. Необходимо их внимательно проверить: для изменения некоторых параметров можно вернуться, нажимая кнопку

Назад.

11.

После нажатия кнопки Далее начинается собственно процесс установки Active Directory и создания контроллера домена. После настройки служб и параметров безопасности начнется установка DNS-сервера, если она была разрешена пользователем. Затем служба DNS запускается и конфигурируется.

12.

По завершении всех операций мастер установки Active Directory выводит информационное окно, в котором нужно нажать кнопку

Готово

(Finish), и предлагает перезагрузить компьютер: нажмите кнопку

Перезагрузить сейчас

(Restart Now).

После перезагрузки системы первый контроллер домена с Active Directory будет готов. Можно войти в домен с именем Администратор (Administrator) (пароль остается прежним, как и для локальной машины). Теперь можно создавать дополнительные контроллеры домена или начать работу с Active Directory.