Установка контроллера домена Active Directory. Часть2
Проверка правильности установки контроллера домена
Сервер SRVR001 сейчас также управляет и доменом Active Directory study.local. После установки каждого контроллера домена следует провести контроль качества установки:
1. Зарегистрируйтесь на SRVR001 как Администратор (только администратор теперь обладает всеми правами доступа в домене study.local).
2. Запустите Проводник и убедитесь, что существует папка C:\WINDOWS\NTDS с файлами NTDS.DIT (база данных Active Directory) и EDB.LOG (файл журнала транзакций). Далее убедитесь в существовании папки C:\WINDOWS\SYSVOL.
3.
 |
В меню Пуск перейдите в раздел Администрирование и убедитесь, что там добавились инструменты для управления доменом: консоли Active Directory — пользователи и компьютеры, Active Directory — сети и сервисы и Active Directory — домены и доверие. Затем откройте окно консоли Просмотр событий и убедитесь, что там добавились пункты Служба каталогов и Служба репликации файлов. Выберите пункт Служба репликации файлов и найдите событие 13516. Там сообщается, что контроллер домена выполняет свои функции.
Рис.1 Событие 13516 в журнале службы репликации файлов
4. Откройте консоль DNS и убедитесь, что в зоне study.local были созданы поддомены _msdcs, _sites, _tcp, _udp, Domain- DnsZones и ForestDnsZones. Первые четыре поддомена очень важны для функционирования домена Active Directory. Они включают в себя т.н. списки SRV (Размещение сервиса — Service location), на основании которых все компьютеры с системами Windows 2000/ХР/2003 ориентируются в сети при поиске важных сервисов.
5. В командной строке введите команду net share. Отобразятся разделяемые папки компьютера, в том числе и папка с сетевым именем NETLOGON, которое сопоставлено папке C:\WINDOWS\SYSVOL\ study.local\SCRIPTS.
Примечание. Папка NETLOGON имеет большое значение для ОС версий предшествующих Windows 2000. Она содержит, например, сценарии, запускаемые при регистрации пользователя. В системах Windows 2000/ХР/2003 сценарии входа используются несколько иным способом и размещены в другой папке.
Настройка службы DNS на контроллере домена
Сервис DNS сейчас включает только зону study. local. Это первичная зона, в которой разрешено динамическое обновление (рис. 2).
 |
Разрешение динамического обновления — не вполне безопасная с точки зрения защиты сети вещь. Теоретически может случиться, что некий пользователь переименует свой компьютер в SRVR001 и перезагрузит его. При динамическом обновлении зоны запись, соответствующая имени SRVR001, будет переписана, сопоставив этому имени IP-адрес клиентского компьютера. После этого все запросы, адресованные серверу, будет получать этот клиент и домен перестанет функционировать.
Рис. 2 Свойства зоны study.iocal
Нужно так обезопасить зону, чтобы подобная ситуация была полностью исключена или по крайней мере максимально снизить ее вероятность.
До сих пор вы выполняли все административные действия как локальный Администратор, но здесь самое время сказать, что управлять сервером DNS может и обычный пользователь, если он является членом группы DnsAdmins. Возможность распределить администраторскую нагрузку полезна в крупных сетях с децентрализованным управлением.
1. Зарегистрируйтесь на SRVR001 и откройте консоль DNS.
2. Разверните дерево Зоны прямого просмотра, правой кнопкой мыши щелкните по зоне study. local и из контекстного меню выберите пункт Свойства.
3. На вкладке Общие нажмите кнопку Изменить, а затем установите флажок На все DNS-серверы в лесу study.local Active Directory (он доступен только если сервер DNS также управляет доменом). Нажмите кнопку ОК и в следующем диалоговом окне — кнопку Да.
4. Из списка Динамические обновления выберите Только безопасные и нажмите ОК.
5. Запустите Проводник и убедитесь, что в папке C:\WINDOWS\ SYSTEM32\DNS не существует файла study.local.dns. Информация файла study.local.dns после изменения типа зоны стала составной частью базы данных домена Active Directory, а файл был перемещен в папку BACKUP.