Серверная операционная система Microsoft Windows 2003




Выполнение установки


В ходе использования мастера установки Active Directory возможны четыре сценария (рис. 19.3):

  •  создание нового леса доменов;
  •  создание нового дерева доменов в рамках существующего леса доменов;
  •  создание нового домена в рамках существующего дерева доменов;
  •  установка дополнительного контроллера домена в уже существующем домене.



Рис. 19.3. Сценарии создания контроллера домена

Администратор осуществляет выбор одного из этих сценариев на первых страницах мастера. Если сценарий предполагает создание нового домена, мастер предложит ввести доменное и NetBIOS-имя будущего домена. В сценарии, предполагающем установку дополнительного контроллера, администратору будет необходимо ввести имя существующего домена.
Независимо от избранного сценария мастер предложит выбрать место расположения файлов хранилища и журналов. Вы можете разместить их в одной папке (по умолчанию предлагается %SystemRoot%\NTDS), либо разнести в разные (например, на разные физические диски). Напомним, что эти файлы могут размещаться только в NTFS-разделах. Кроме того, потребуется выбрать место расположения системного тома SYSVOL, используемого службой репликации файлов. Эта папка также может быть размещена только в NTFS-разделе.
На следующем этапе мастер, учитывая информацию о выбранном администратором доменном имени, обратится с запросом к службе DNS. Для взаимодействия со службой DNS используется информация о предпочитаемом DNS-сервере. Версия мастера установки Active Directory, реализованная в рамках Windows Server 2003, позволяет выполнить диагностику имеющейся конфигурации службы DNS в случае возникновения проблем. На рис. 19.4 изображено окно мастера в ситуации, когда предпочитаемый DNS-сервер не содержит зоны для создаваемого домена Active Directory. При этом администратору будет предложено несколько вариантов дальнейших действий.

  •  I have corrected the problem. Perform the DNS diagnostic test again. Выбор этого переключателя предписывает мастеру произвести повторную диагностику службы DNS. Предполагается, что администратор вмешался и устранил возникшую проблему. Применительно к рассматриваемой ситуации, администратор может выполнить создание необходимой зоны.



Рис. 19.4. Мастер установки обнаружил проблемы с разрешением имени будущего домена

  •  Install and configure the DNS server on this computer, and set this computer to use this DNS server as its preferred DNS server. Выбор этого переключателя перекладывает все обязанности по конфигурированию DNS-сервера на мастера установки Active Directory. В случае установки первого контроллера домена в лесу доменов этот режим конфигурирования службы DNS является предпочтительным. Мастер сам выполнит установку службы DNS и создаст все необходимые зоны (за исключением зон обратного разрешения, которые администратор должен создать самостоятельно после окончания процедуры установки).
  •  I will correct the problem later by configuring DNS manually (Advanced). Эта опция означает, что мастер должен продолжить свою работу, несмотря на обнаруженные ошибки. Администратор в этом случае берет на себя все обязанности по конфигурированию службы DNS после окончания процедуры установки. Фактически администратору нужно будет создать две зоны для создаваемого домена и зарегистрировать в них все необходимые ресурсные записи.

Мастер также выдаст сообщение об ошибке, если предпочтительный DNS-сервер не содержит информацию о домене, для которого предполагается установить дополнительный контроллер домена.

Если процесс тестирования структуры DNS закончился успешно, мастер выдаст соответствующую информацию (рис. 19.5).



Рис. 19.5. Процедура тестирования службы DNS окончилась успешно

На заключительном этапе работы мастера администратору необходимо будет определить уровень совместимости разрешений с подсистемой безопасности Windows NT. Если в среде Windows Server 2003 планируется существование серверов под управлением Windows NT (не обязательно контроллеров домена) с установленными на них серверными приложениями, необходимо выбрать уровень совместимости разрешений с платформой Windows NT (переключатель Permissions compatible with pre-Windows 2000 operating system). Этот же уровень совместимости разрешений следует избрать в ситуации, когда контроллер домена Windows Server 2003 устанавливается в среде Windows NT. На этом уровне совместимости разрешается анонимный доступ к информации в доменном разделе каталога. Если изначально администратор уверен, что в сети будут использоваться только серверы Windows 2000 и Windows Server 2003, вопросами совместимости разрешений с архитектурой Windows NT можно пренебречь.

Необходимо понимать, что уровень совместимости разрешений влияет только на серверные приложения, установленные на Windows NT-серверах. На работу обычных клиентов (в том числе находящихся под управлением операционных систем Windows 9x/ME/NT) выбранный уровень совместимости не влияет.
Если в процессе создания домена не был выбран необходимый уровень совместимости разрешений, администратор может впоследствии исправить ситуацию посредством команды net localgroup "Pre-Windows 2000 Compatible Access" everyone /add.

По окончании установки контроллера домена потребуется перезагрузить систему. В процессе загрузки будет зарегистрировано доменное имя в базе данных предпочитаемого DNS-сервера. Если установленный контроллер домена является первым в лесу, то учетная запись локального администратора, в контексте которого производилась установка, преобразуется в учетную запись Administrator (Администратор созданного домена). Эта учетная запись автоматически включается в состав следующих групп:

  •  Administrators. Встроенная локальная группа;
  •  Domain Admins. Группа с глобальной областью действия. Члены этой группы обладают необходимыми полномочиями для управления доменом. По умолчанию включается в состав группы Administrators;
  •  Domain Users. Группа с глобальной областью действия. В состав этой группы включаются все создаваемые в контексте домена пользователи. По умолчанию группа включается в состав встроенной локальной группы Users;
  •  Enterprise Admins. Группа с глобальной областью действия. Члены этой группы обладают полномочиями на управление инфраструктурой службы каталога. По умолчанию группа включается в состав группы Administrators;
  •  Group Policy Creator Owners. Группа с глобальной областью действия. Члены этой группы могут редактировать параметры объектов групповой политики в рамках данного домена;
  •  Schema Admins. Группа с глобальной областью действия. Члены группы обладают полномочиями, необходимыми для изменения схемы каталога.