Реферат: «Информатика»
Название: «Информатика» Раздел: Остальные рефераты Тип: реферат |
Краевое государственное образовательное учреждение среднего профессионального образования (среднее специальное учебное заведение) Минусинский педагогический колледж имени А. С. Пушкин Курсовая работа Организация домена в локальной сети образовательного учреждения Выполнил: Пантюков Евгений Александрович студент 2 курса специальности 050202 «Информатика». Проверил: Пахомов Дмитрий Евгеньевич преподаватель информатики. МИНУСИНСК, 2010
СОДЕРЖАНИЕ ГЛАВА 1. ЦЕЛИ СОЗДАНИЯ ДОМЕНА В ЛОКАЛЬНОЙ СЕТИ ОБРАЗОВАТЕЛЬНОГО УЧРЕЖДЕНИЯ.. 3 1.1.Понятие домена и доменной структуры.. 3 1.3. Основные концепции Active Directory. 6 1.4. Понятие службы каталога и Active Directory. 7 1.6. Каким образом создание домена в локальной сети может улучшить качество образования 10 2.1. Проектирование доменови развертывание Active Directory. 11 2.2. Функциональные уровни. 13 2.3. Установка контроллеров домена. 15 2.4. Изменение имени контроллера домена. 22 2.5. Управление доверительными отношениями. 23 2.6. Изменение функционального уровня домена и леса доменов. 27 2.7. Конфигурирование клиентов. 29
ВВЕДЕНИЕС распространением ЭВМ в образовательных учреждениях можно сказать, что возникает потребность передачи данных. Некоторые приложения, которые нуждаются в системах связи, могут увеличить качество образования. Существует много приложений, требующих удаленного доступа к базам данных. Простыми примерами являются информационные программы, тестовые оболочки и другие программы, доступные в образовательных учреждениях. Использование локальных сетей позволяет облегчить доступ к устройствам оконечного оборудования данных, установленным в учреждении .Эти устройства не только ЭВМ (персональные, мини- и большие ЭВМ),но и другие устройства ,обычно используемые в учреждениях, такие, как принтеры, графопостроители и все возрастающее число электронных устройств хранения и обработки файлов и баз данных. Локальная сеть представляет канал и протоколы обмена данными для связи рабочих станций и ЭВМ. Еще одной из важнейших задач локальных сетей является объединение нескольких ЭВМ для совместного решения информационных, вычислительных, учебных и других задач. Исходя из представленной информации мы сформулировали тему курсовой работы следующим образом: организация домена в локальной сети образовательного учреждения. Цель: изучение принципа организации домена локальной сети образовательного учреждения и его влияние на качество образования. Задачи: 1. Изучить принцип организации домена в локальной сети образовательного учреждения 2. Ознакомится с влиянием домена в локальной сети образовательного учреждения на качество образования. ГЛАВА 1. ЦЕЛИ СОЗДАНИЯ ДОМЕНА В ЛОКАЛЬНОЙ СЕТИ ОБРАЗОВАТЕЛЬНОГО УЧРЕЖДЕНИЯ
1.1.Понятие домена и доменной структурыОперационные системы Windows традиционно использовали понятие "домена" для логического объединения компьютеров, совместно использующих единую политику безопасности. Домен традиционно выступает в качестве основного способа создания областей административной ответственности. Как правило, каждым доменом управляет отдельная группа администраторов. В Active Directory понятие домена было расширено. Перечислим задачи, которые могут быть решены путем формирования доменной структуры. Создание областей административной ответственности. Используя доменную структуру, администратор может поделить корпоративную сеть на области (домены), управляемые отдельно друг от друга. Каждый домен управляется своей группой администраторов (администраторы домена). Однако хотелось бы еще раз отметить, что существуют и другие способы формирования административной иерархии (организация подразделений), речь о которых пойдет дальше. С другой стороны, построение доменной иерархии является отличным способом реализации децентрализованной модели управления сетью, когда каждый домен управляется независимо от других. Для этого каждую административную единицу необходимо выделить в отдельный домен. Создание областей действия политики учетных записей. Политика учетных записей определяет правила применения пользователями учетных записей и сопоставленных им паролей. В частности задается длина пароля, количество неудачных попыток ввода пароля до блокировки учетной записи, а также продолжительность подобной блокировки. Поскольку эти вопросы решаются организационно на уровне всего домена, данный комплекс мер принято называть политикой учетных записей. (Эти политики нельзя определять на уровне подразделений!) Разграничение доступа к объектам. Каждый домен реализует собственные настройки безопасности (включая идентификаторы безопасности и списки контроля доступа). Разнесение пользователей в различные домены позволяет эффективно управлять доступом к важным ресурсам. С другой стороны, применение доверительных отношений (trust relationships) позволяет обеспечить пользователям одного домена доступ к ресурсам других доменов. Создание отдельного контекста имен для национальных филиалов. В случае, если компания имеет филиалы, расположенные в других странах, может потребоваться создать отдельный контекст имен для каждого такого филиала. Можно отразить в имени домена географическое либо национальное местоположение филиала. Изоляция трафика репликации. Для размещения информации об объектах корпоративной сети используются доменные разделы каталога. Каждому домену соответствует свой раздел каталога, называемый доменным. Все объекты, относящиеся к некоторому домену, помещаются в соответствующий раздел каталога. Изменения, произведенные в доменном разделе, реплицируются исключительно в пределах домена. Соответственно, выделение удаленных филиалов в отдельные домены может позволить существенно сократить трафик, вызванный репликацией изменений содержимого каталога. Необходимо отметить, однако, что домены являются не единственным (и даже не основным) способом формирования физической структуры каталога. Того же самого результата администратор может добиться за счет использования механизма сайтов. Ограничение размера копии кaталога. Каждый домен Active Directory может содержать до миллиона различных объектов. Тем не менее, реально использовать домены такого размера непрактично. Следствием большого размера домена является большой размер копии каталога. Соответственно, огромной оказывается нагрузка на серверы, являющиеся носителями подобной копии. Администратор может использовать домены как средство регулирования размера копии каталога. 1.2. Active DirectoryДва программных продукта, выпускаемых компанией Microsoft, а именно Active Directory Service Interfaces (ADSI) и Windows Script Host (WSH — сервер сценариев Windows), позволяют реализовать единый подход к управлению различными платформами и программными продуктами. Для администраторов интерфейсы ADSI являются весьма ценным инструментальным средством, поскольку они достаточно просты в изучении и использовании и могут значительно облегчить выполнение объемных или типовых (часто повторяемых) операций. Например, с помощью ADSI вы можете создать программу экспорта/импорта, максимально соответствующую требованиям вашей доменной конфигурации, или специализированную утилиту миграции данных между различными каталогами. ADSI позволяют использовать многие языки, поддерживающие автоматизацию (automation), такие как Visual Basic, VBScript, JScript и Perl; также можно применять такие "полноценные" языки, как C/C++, используя при этом ту же самую объектную модель компонентов (СОМ). Языки сценариев не требуют много времени на изучение; вы можете объединять и/или модифицировать существующие сценарии и быстро создавать работоспособные инструменты для выполнения конкретных задач. Интерфейсы ADSI являются стандартным компонентом систем Windows 2000/ХР и Windows Server 2003 и могут также устанавливаться на системах Windows 9х/МЕ и Windows NT 4.0. При работе с ADSI очень полезно (даже необходимо) иметь под рукой некоторые административные утилиты, такие как Ldp.exe и AdsVw.exe, а также оснастки ADSI Edit и Active Directory Schema. Эти инструменты позволят вам проверять результаты выполнения создаваемых сценариев или приложений, следить за состоянием Active Directory и значениями атрибутов объектов каталога, а также выполнять еще множество операций, нужных для эффективного программирования. 1.3. Основные концепции Active Directory
1.4. Понятие службы каталога и Active DirectoryОбъединение компьютеров в единую информационную сеть позволяет пользователям совместно использовать общие ресурсы. Современные операционные системы, ориентированные на корпоративный рынок, используют для организации ресурсов специальную сетевую службу, дающую пользователям возможность получения доступа к ресурсам сети без необходимости точного знания местоположения этих ресурсов. Речь идет о службе каталога (Directory Service). Каталог при этом рассматривается как глобальное унифицированное хранилище информации об элементах сетевой инфраструктуры. Вся информация о компонентах сетевой инфраструктуры, в качестве которых могут выступать пользователи, ресурсы, сетевые службы и т. п., размещается в каталоге. Внутри каталога объекты организуются либо в соответствии с физической, либо логической структурой сети. В качестве аналогии можно провести параллель с библиотечным каталогом, содержащим упорядоченные сведения о книгах. Практически все производители корпоративных операционных систем предлагают потребителям свои реализации службы каталога. Компания Microsoft предлагает свою версию службы каталога, названную Active Directory. Впервые эта служба каталога была реализована в составе операционной системы Windows 2000 Server. Обновленная версия Active Directory включена в Windows Server 2003. Концептуально эти версии практически не отличаются, поэтому чаще всего можно говорить о доменах Active Directory, подразумевая их реализацию на базе систем Windows 2000 Server и/или Windows Server 2003. Особенности или улучшения версии Windows Server 2003 оговариваются в книге особо. 1.5. Иерархия доменовДля именования доменов используется соглашение о доменных именах. Имя домена записывается в форме полного доменного имени (Fully Qualified Domain Name, FQDN), которое определяет положение домена относительно корня пространства имен. Полное доменное имя образуется из имени домена, к которому добавляется имя родительского домена. Так, например, для домена kit, являющегося дочерним по отношению к домену khsu.ru, полное доменное имя будет записано в форме kit. khsu.ru. Следует заметить, что каждому домену Active Directory помимо DNS имени сопоставлено уникальное NetBIOS-имя. Это имя используется для идентификации домена клиентами Windows 9x/NT. Совокупность доменов, использующих единую схему каталога, называется лесом доменов (forest). Строго говоря, входящие в лес домены могут не образовывать "непрерывного" пространства смежных имен. Тем не менее, так же как и в случае пространства имен DNS, домены Active Directory могут образовывать непрерывное пространство имен. В этом случае они связываются между собой отношениями "родитель-потомок". При этом имя дочернего домена обязательно включает в себя имя родительского домена. Совокупность доменов, образующих непрерывное пространство смежных имен, называют деревом доменов (domain tree) (рис. 18.1). Лес может состоять из произвольного количества деревьев домена.
Первое созданное в лесу доменов дерево является корневым деревом. Корневое дерево используется для ссылки на лес доменов. Первый созданный в дереве домен называется корневым доменом дерева (tree root domain), который используется для ссылки на данное дерево. Совершенно очевидно, что корневой домен является определяющим для всего дерева. 1.6. Каким образом создание домена в локальной сети может улучшить качество образованияСоздание домена в локальной сети образовательного учреждения может улучшить качество образования следующим образом: 1) единая база регистрации пользователей, которая хранится централизованно на одном либо нескольких серверах; таким образом, при появлении нового пользователя в учреждении нужно будет всего лишь завести ему учетную запись на сервере и указать, на какие рабочие станции он сможет получать доступ; 2) поскольку все ресурсы домена индексируются, это дает возможность простого и быстрого поиска для пользователей; например, если нужно найти принтер в учреждении; 3) совокупность применения разрешений NTFS, групповых политик и делегирования управления позволит вам тонко настроить и распределить права между участниками домена; 4) перемещаемые профили пользователей дают возможность хранить важную информацию и настройки конфигурации на сервере; фактически, если пользователь, обладающий перемещаемым профилем в домене, сядет работать за другой компьютер и введет свои имя пользователя и пароль, он увидит свой рабочий стол с привычными ему настройками; 5) с помощью групповых политик вы можете изменять настройки операционных систем пользователей, от разрешения пользователю устанавливать обои на рабочем столе до настроек безопасности, а также распространять по сети программное обеспечение; 6) многие программы (прокси-серверы, серверы баз данныхи др.) не только производства Microsoft на сегодняшний день научились использовать доменную аутентификацию, таким образом, вам не придется создавать еще одну базу данных пользователей, а можно будет использовать уже существующую; 7) использование Remote Installation Services облегчает установку систем на рабочие места, но, в свою очередь, работает только при внедренной службе каталогов.
ГЛАВА 2. ПРИНЦИП СОЗДАНИЯ ДОМЕНА В ЛОКАЛЬНОЙ СЕТИ ОБРАЗОВАТЕЛЬНОГО УЧРЕЖДЕНИЯ. ПРОСТРАНСТВО ИМЕН DNS2.1. Проектирование доменови развертывание Active DirectoryСлужба каталога Active Directory может использоваться для размещения информации о более чем миллионе объектов. Очевидно, что вся эта информация должна быть каким-то образом организована, чтобы облегчить управление этими объектами и доступ к ним. Объекты каталога представляет собой древовидную структуру, которую также принято называть иерархией объектов каталога. Формирование этой иерархии входит в обязанности администратора, осуществляющего развертывание в сети Active Directory. Именно от администратора, осуществляющего проектирование структуры каталога, зависит то, насколько эффективно будет функционировать корпоративная сеть. Правильное проектирование позволяет избежать появления проблем в будущем. Архитектура службы каталога позволяет администратору осуществлять формирование структуры каталога на трех уровнях: доменная структура каталога (создание структуры доменов); логическая структура каталога (создание подразделений); физическая структура каталога (создание подсетей и сайтов). Каждый из этих уровней индивидуален для каждой отдельной компании. Однако прежде чем приступить к их реализации, необходимо оценить существующее окружение, собрать информацию об организационной структуре и состоянии сетевых коммуникаций предприятия. Весь собранный на этом этапе материал явится основной для дальнейшего планирования. Оцените общее количество пользователей вашей сети. Если компания состоит из нескольких филиалов, оцените количество пользователей в каждом из них. Дополнительно оцените возможность увеличения числа пользователей. В процессе проектирования структуры каталога рекомендуется исходить из расчета, что произойдет увеличение количества пользователей в полтора раза. Такой подход позволит вам создать возможности роста вашей сети без необходимости ее реорганизации. Оцените состояние корпоративной вычислительной сети на физическом уровне. Соберите информацию о сушествующих коммуникационных линиях. Важными являются сведения о пропускной способности, степени ее использования, количестве компьютеров в каждой из подсетей. 2.2. Функциональные уровниВ службе каталога Windows 2000 существует понятие режима функционирования домена (domain mode). Домен может находиться в одном из двух режимов — основном (native) или смешанном (mixed). Режим функционирования домена определяет возможность использования контроллеров домена Windows NT. В Windows Server 2003 появилось понятие функционального уровня (functional level). Функциональный уровень определяет доступные функциональные возможности. Введение понятия функционального уровня позволяет обеспечить возможность сосуществования в сети контроллеров домена, находящихся под управлением различных версий операционных систем. Как следствие, администратор может реализовать постепенный, поэтапный перевод корпоративной сети на новую версию операционной системы. Необходимость введения понятия функционального уровня обусловлена ограничением на использование некоторых функциональных возможностей в ситуации, когда в домене (или лесе доменов) присутствуют контроллеры домена Windows NT/2000. Функциональный уровень определяется как для отдельных доменов, так и для всего леса доменов в целом. Функциональный уровень, на котором находится домен, определяет набор функциональных возможностей, доступных для этого домена. Уровни Windows 2000 mixed и Windows 2000 native соответствуют смешанному и основному режимам функционирования домена Windows 2000. Охарактеризуем каждый из функциональных уровней. Windows 2000 mixed. Этот функциональный уровень допускает сосуществование в домене контроллеров домена, находящихся под управлением различных операционных систем (Windows NT/2000 и Windows Server 2003). Контроллеры домена Windows NT могут существовать в системе только в качестве резервных контроллеров домена (Backup Domain Controller, BDC). Один из контроллеров домена (Windows 2000 или Windows Server 2003) выступает для резервных контроллеров домена Windows NT в качестве основного контроллера домена Windows NT (Primary Domain Controller, PDC). На данном уровне недоступен ряд возможностей Windows 2000 доменов — универсальные (universal) группы безопасности, вложенность групп и т. д. Все создаваемые домены по умолчанию находятся на этом функциональном уровне. Windows 2000 native. Данный функциональный уровень ограничивает перечень используемых контроллеров доменов (Windows 2000 и Windows Server 2003). Это объясняется тем, что в домене больше не поддерживается механизм NTLM-репликации, используемый Windows NT. Тем не менее, клиенты могут работать под управлением любых операционных систем. На этом функциональном уровне становятся доступны все возможности Windows 2000 доменов. Однако ряд функциональных возможностей Windows Server 2003 недоступен — возможность переименования контроллеров домена, использование объектов класса InetOrgPerson, номера версий ключей Kerberos. Windows Server 2003. Если домен переведен на этот функциональный уровень, в нем допускается использование только контроллеров домена Windows Server 2003. На этом уровне становятся доступны все функциональные возможности службы каталога Windows Server 2003. Существует одно серьезное ограничение, связанное с использованием функциональных уровней. Архитектура службы каталога допускает только повышение функционального уровня. Другими словами, если домен находится на уровне Windows Server 2003, он не может быть переведен на уровни Windows 2000 mixed или даже Windows 2000 native. Это обусловлено принципиальными изменениями, происходящими в каталоге после повышения функционального уровня. Не требуется, чтобы все домены леса (или дерева доменов) находились на одном функциональном уровне. Тем не менее, функциональный уровень доменов определяет функциональный уровень леса. 2.3. Установка контроллеров доменаПодготовка к установке контроллера домена
Требования и ограничения
Разумеется, в этом случае каждый из задействованных разделов должен быть отформатирован под NTFS. Операция установки контроллера домена требует наличия у выполняющего ее пользователя определенных полномочий. Установка первого контроллера домена в лесе осуществляется на одиночном сервере, не являющимся частью какого-либо домена. В этой ситуации пользователь должен обладать полномочиями локального администратора на том сервере, на котором происходит установка. Если происходит установка первого контроллера в домене (в рамках уже существующего леса доменов), пользователь должен являться членом группы Enterprise Admins (Администраторы корпорации). В случае установки дополнительного контроллера в домене пользователь должен быть либо членом уже упомянутой группы, либо членом группы Domain Admins (Администраторы домена). Установка контроллера домена Windows Server 2003
все содержимое каталога копируется с уже существующего контроллера домена; содержимое каталога воссоздается из резервной копии каталога. Выполнение установки
создание нового леса доменов; создание нового дерева доменов в рамках существующего леса доменов; создание нового домена в рамках существующего дерева доменов; установка дополнительного контроллера домена в уже существующем домене.
Администратор осуществляет выбор одного из этих сценариев на первых страницах мастера. Если сценарий предполагает создание нового домена, мастер предложит ввести доменное и NetBIOS-имя будущего домена. В сценарии, предполагающем установку дополнительного контроллера, администратору будет необходимо ввести имя существующего домена. На следующем этапе мастер, учитывая информацию о выбранном администратором доменном имени, обратится с запросом к службе DNS. Для взаимодействия со службой DNS используется информация о предпочитаемом DNS-сервере. Версия мастера установки Active Directory, реализованная в рамках Windows Server 2003, позволяет выполнить диагностику имеющейся конфигурации службы DNS в случае возникновения проблем. На рис. 19.4 изображено окно мастера в ситуации, когда предпочитаемый DNS-сервер не содержит зоны для создаваемого домена Active Directory. При этом администратору будет предложено несколько вариантов дальнейших действий. I have corrected the problem. Perform the DNS diagnostic test again. Выбор этого переключателя предписывает мастеру произвести повторную диагностику службы DNS. Предполагается, что администратор вмешался и устранил возникшую проблему. Применительно к рассматриваемой ситуации, администратор может выполнить создание необходимой зоны.
Install and configure the DNS server on this computer, and set this computer to use this DNS server as its preferred DNS server. Выбор этого переключателя перекладывает все обязанности по конфигурированию DNS-сервера на мастера установки Active Directory. В случае установки первого контроллера домена в лесу доменов этот режим конфигурирования службы DNS является предпочтительным. Мастер сам выполнит установку службы DNS и создаст все необходимые зоны (за исключением зон обратного разрешения, которые администратор должен создать самостоятельно после окончания процедуры установки). I will correct the problem later by configuring DNS manually (Advanced). Этаопция означает, что мастер должен продолжить свою работу, несмотря на обнаруженные ошибки. Администратор в этом случае берет на себя все обязанности по конфигурированию службы DNS после окончания процедуры установки. Фактически администратору нужно будет создать две зоны для создаваемого домена и зарегистрировать в них все необходимые ресурсные записи. Мастер также выдаст сообщение об ошибке, если предпочтительный DNS-сервер не содержит информацию о домене, для которого предполагается установить дополнительный контроллер домена. Если процесс тестирования структуры DNS закончился успешно, мастер выдаст соответствующую информацию (рис. 19.5).
На заключительном этапе работы мастера администратору необходимо будет определить уровень совместимости разрешений с подсистемой безопасности Windows NT. Если в среде Windows Server 2003 планируется существование серверов под управлением Windows NT (не обязательно контроллеров домена) с установленными на них серверными приложениями, необходимо выбрать уровень совместимости разрешений с платформой Windows NT (переключательPermissions compatible with pre-Windows 2000 operating system). Этот же уровень совместимости разрешений следует избрать в ситуации, когда контроллер домена Windows Server 2003 устанавливается в среде Windows NT. На этом уровне совместимости разрешается анонимный доступ к информации в доменном разделе каталога. Если изначально администратор уверен, что в сети будут использоваться только серверы Windows 2000 и Windows Server 2003, вопросами совместимости разрешений с архитектурой Windows NT можно пренебречь. Необходимо понимать, что уровень совместимости разрешений влияет только на серверные приложения, установленные на Windows NT-серверах. На работу обычных клиентов (в том числе находящихся под управлением операционных систем Windows 9x/ME/NT) выбранный уровень совместимости не влияет. Если в процессе создания домена не был выбран необходимый уровень совместимости разрешений, администратор может впоследствии исправить ситуацию посредством команды net localgroup "Pre-Windows 2000 Compatible Access" everyone /add. По окончании установки контроллера домена потребуется перезагрузить систему. В процессе загрузки будет зарегистрировано доменное имя в базе данных предпочитаемого DNS-сервера. Если установленный контроллер домена является первым в лесу, то учетная запись локального администратора, в контексте которого производилась установка, преобразуется в учетную запись Administrator (Администратор созданного домена). Эта учетная запись автоматически включается в состав следующих групп: 2.4. Изменение имени контроллера доменаАрхитектура Windows Server 2003 допускает возможность изменения имени контроллеров домена (в Windows 2000 такая возможность отсутствует). Сам процесс изменения имени не сопряжен с какими-либо сложностями, однако от администратора требуется четкое выполнение определенной последовательности действий. Целью этих действий является последующее изменение всех записей об имени контроллера домена в базе данных службы DNS и в копиях каталога других контроллеров домена (фактически являющихся партнерами по репликации). Изменение имени контроллера домена возможно только в домене, находящемся на функциональном уровне Windows Server 2003. Процесс переименования контроллера домена не предполагает его перемещение между различными доменами. Чтобы выполнить перемещение контроллера между доменами, необходимо выполнить его понижение (demotion) до обычного сервера, а затем заново установить его в уже новом домене. Перед изменением имени контроллера домена необходимо проинформировать других носителей каталога о его новом имени. Для этого в режиме командной строки необходимо выполнить операцию:netdom computername <текущее_имя> /add:<новое_имя> В результате новое имя контроллера домена будет зарегистрировано в базе данных службы DNS в качестве альтернативного имени. Необходимо подождать пока информация о новом имени не будет реплицирована на все носители зоны. После этого альтернативное имя надо сделать основным. Для этого используется команда:netdom computer-name <текущее_имя> /MakePrimary: <новое_имя> Данная команда обновляет сведения об имени контроллера домена в каталоге Active Directory. На этом этапе необходимо перезагрузить контроллер домена. После того как изменения будут реплицированы на все носители каталога, следует выполнить команду, удаляющую старое имя из базы данных DNS и каталога Active Directory:netdom computername <новое_имя> /Remove:<текущее_имя> 2.5. Управление доверительными отношениямиСоздание доверительных отношений
Forest — доверительные отношения, установленные между лесами доменов; Tree Root — доверительные отношения, установленные между деревьями доменов в рамках одного леса доменов; Child — доверительные отношения, установленные в рамках дерева доменов между дочерним и родительским доменами; External — доверительные отношения, установленные с внешним доменом любого типа; Shortcut — перекрестные доверительные отношения, установленные между отдельными доменами леса; Realm — доверительные отношения, установленные между областями Kerberos. Доверительные отношения между лесами доменов могут быть установлены только в том случае, если оба леса находятся на функциональном уровне Windows Server 2003.
Процесс создания доверительных отношений зависит от того, какой именно тип отношений администратор хочет создать. Например, если администратор хочет создать отношения полного доверия с внешним доменом, он должен создать пару встречных односторонних доверительных отношений. Для установки доверительных отношений необходимо щелкнуть по кнопке New Trust (Новые доверительные отношения), что приведет к запуску мастера New Trust Wizard. В ходе работы мастера администратор должен будет предоставить мастеру информацию об имени домена, с которым устанавливаются доверительные отношения. Если домен с указанным именем не обнаружен, мастер предполагает, что подразумевается имя области Kerberos. В пределах леса отношения доверия между родительским и дочерним доменами, а также между деревьями леса доменов не могут быть созданы администраторами вручную. Эти отношения создаются мастером установки Active Directory в ходе создания нового домена. Удаление доверительных отношений Для удаления доверительных отношений необходимо выбрать в списке требуемую запись и нажать кнопку Remove (Удалить). Если отношения двусторонние, администратор может при желании удалить отношения доверия направленные как в одну сторону, так ив другую. Может быть удалено только одно из направлений двусторонних отношений доверия. Необходимо помнить, что не могут быть удалены отношения доверия между корневыми деревьями домена, а также отношения между родительским и дочерним доменами. Для получения информации о состоянии доверительных отношений администратор может использовать утилиту командной строки NLtest.exe. Управление доверительными отношениями между лесами доменов
Перед выполнением процедуры создания доверительных отношений между лесами доменов необходимо убедиться, что DNS-сервер способен разрешить доменные имена корневых доменов обоих лесов. Запустите мастер создания доверительных отношений для корневого домена леса. В ответ на просьбу указать имя домена на противоположном конце доверительных отношений укажите имя корневого домена другого леса. Мастер предложит выбрать способ соединения двух лесов: либо посредством транзитивных доверительных отношений между лесами (forest trust), либо посредством нетранзитивных внешних доверительных отношений (external trust). Allow authentication for all resources in the local forest. В этом случае пользователи одного леса могут получить доступ к любым ресурсам в рамках другого леса доменов. Данный режим можно использовать в ситуации, когда оба леса доменов принадлежат одной организации; Allow authentication only for selected resources in the local forest. Администратор вручную указывает ресурсы в рамках леса доменов, которые будут доступны пользователям из другого леса. Этот способ разграничения доступа подходит для сценариев, когда леса доменов принадлежат различным организациям, не желающим предоставлять доступ ко всем ресурсам. Область доступности ресурсов может быть изменена администратором уже после того, как доверительные отношения созданы. Для этого необходимо открыть окно свойств доверительных отношений и перейти на вкладкуAuthentication. На заключительном этапе администратор должен сконфигурировать механизм маршрутизации суффиксов (name suffix routing). По умолчанию, если не обнаружены конфликты в доменных именах, мастер предлагает активизировать механизм маршрутизации суффиксов для всех доменов, входящих в оба леса (рис. 19.9). Администратор может снять флажки напротив имени определенного леса, чтобы предотвратить возможность доступа пользователей в указанный домен.
2.6. Изменение функционального уровня домена и леса доменовФункциональный уровень, на котором находится домен или лес доменов, определяет перечень возможностей, доступных в рамках домена или леса доменов. Чем выше функциональный уровень, тем шире диапазон возможностей. Необходимо, однако, понимать, что механизм функциональных уровней был введен компанией Microsoft с целью сохранения совместимости с предыдущими версиями серверных операционных систем (Windows NT/ 2000), которые широко распространены в корпоративных сетях. Организация перехода на Windows Server 2003 требует от компаний значительных финансовых и временных затрат, поэтому для многих из них предпочтительным вариантом является постепенный переход на новую платформу. Этот подход характеризуется одновременным сосуществованием в сети нескольких поколений операционных систем. Поэтому перевод домена на новый функциональный уровень возможен только в ситуации, когда администратор отказывается от использования одного из поколений операционных систем в качестве контроллеров домена. Отказ от контроллеров домена под управлением Windows NT позволяет перевести домен на функциональный уровень Windows 2000 native. Соответственно, отказ от использования контроллеров домена Windows 2000 позволяет перевести домен на функциональный уровень Windows Server 2003. Только после того как все домены переведены на функциональный уровень Windows Server 2003, администратор может перевести лес доменов на функциональный уровень Windows Server 2003. На этом этапе становится доступен весь спектр возможностей Windows Server 2003. Для изменения функционального уровня могут использоваться две оснастки: Active Directory Users and Computers иActive Directory Domain and Trusts.Для изменения функционального уровня домена в контекстном меню объекта, ассоциированного с нужным доменом, выберите пунктRaise Domain Functional Level. В открывшемся окне (рис. 19.10) под строкойCurrent domain functional level отображается текущий функциональный уровень домена. Для его изменения выберите из раскрывающегося списка необходимый функциональный уровень и нажмитекнопку Raise. После изменения функционального уровня домена необходимо некоторое время, чтобы сведения об изменении реплицировались на все контроллеры в домене. Изменение функционального уровня является необратимой операцией. Это означает, что возвращение домена на прежний функциональный уровень невозможно.
Изменение функционального уровня леса доменов выполняется аналогичным образом. Вызвав контекстное меню объекта, находящегося в корне пространства имен оснасткиActive Directory Domain and Trusts, необходимо выбрать в нем пункт Raise Forest Functional Level. Если возможность переведения леса доменов на новый функциональный уровень отсутствует, в открывшемся окне будет выведено соответствующее предупреждение, говорящее о том, что один из доменов, входящих в лес, еще не был переведен на функциональный уровень Windows Server 2003. Если все требования для изменения функционального уровня леса доменов соблюдены, необходимо нажать кнопку Raise. После того как сведения о произведенном изменении будут реплицированы на все контроллеры домена леса, администратор может использовать новые функциональные возможности. 2.7. Конфигурирование клиентовПосле того как домен создан и установлены все необходимые контроллеры домена, администратор должен соответствующим образом сконфигурировать клиентские компьютеры. Этот процесс может отличаться в зависимости от версии клиентской операционной системы. Полное взаимодействие со службой каталога для решения различных задач допускает только архитектура операционных систем Windows 2000/XP и Windows Server 2003. Операционные системы Windows 9.X/NT разрабатывались в расчете на использование совсем других механизмов обнаружения контроллера домена, разрешения имен и поиска объектов в сети. Чтобы обеспечить возможность нормальной работы в сети для этих клиентов, необходимо установить специальный компонент — службу клиента Active Directory. Независимо от версии операционной системы следует определить для клиента адрес предпочитаемого DNS-сервера и DNS-суффикс (DNS-имя домена). Для того чтобы DNS-суффикс мог изменяться в процессе перемещения клиента между доменами, необходимо убедиться, что флажокChange primary DNS suffix when domain membership changes установлен. Следует помнить, что в большинстве случаев проблемы в процессе взаимодействия клиента и контроллера домена обусловлены ошибками в конфигурировании стека протоколов TCP/IP. Наиболее важным является адрес предпочитаемого DNS-сервера. Клиент использует DNS-сервер для получения списка доступных контроллеров домена. Если клиент не может получить адреса контроллеров домена, он не сможет участвовать в процессе аутентификации. Как следствие — сетевые ресурсы окажутся недоступными для него. Учитывая ту роль, которую играет служба DNS в процессе функционирования сети, необходимо уделить особое внимание вопросу проверки настроек DNS-клиента на компьютере (адреса предпочитаемого DNS-сервера и DNS-суффикса). Крометого, всегда в случае возникновения каких-либо проблем в процессе функционирования цепочки "клиент — контроллер домена", необходимо в первую очередь обращаться к настройке DNS-клиента. Прежде чем компьютер под управлением Windows NT/2000/XP и Windows Server 2003 будет включен в состав домена, необходимо создать в соответствующем доменном разделе каталога объект, ассоциированный с учетной записью для данного компьютера. В противном случае процедура добавления клиента в домен окончится неудачно. Эту операцию можно выполнять заранее или непосредственно при добавлении компьютера к домену. В случае клиентов под управлением Windows 2000/XP и Windows Server 2003 администратор может использовать различные диагностические инструменты, позволяющие выявить причины возникающих проблем Утилита Netdiag позволяет протестировать настройки DNS-клиента и проверить доступность контроллеров для того домена (например, khsu.ru), к которому планируется подключить клиентский компьютер:C:>netdiag /test:DsGetDc /d:khsu.ru /v Если предпочитаемый DNS-сервер не содержит информации о домене, к которому подключается клиент, следует проверить настройки клиента и при необходимости использовать другой DNS-сервер в качестве предпочитаемого. Если один из контроллеров домена окажется недоступным, утилита выдаст ошибку. В этом случае возможны проблемы с аутентификацией клиента в домене, поиском в каталоге, применением групповых политик и т. д. ЗАКЛЮЧЕНИЕВ данной работе мы рассмотрели принцип организации домена в локальной сети образовательного учреждения и его влияние на качество образования. В ходе написания курсовой работы нами изучена литература и электронные ресурсы сети Интернет, в которых в большей степени освещались вопросы организации домена в локальной сети образовательного учреждения. Статьи, размещенные на форумах учителей, использующих ИКТ в профессиональной деятельности, позволяют сделать вывод о применении домена в локальной сети образовательного учреждения, о необходимости его использования. К сожалению не у всех образовательных учреждений (и в нашем колледже включительно) имеется доменная структура. Но я думаю что в скором будущем в нашем колледже все таки будет организована доменная структура, и считаю что некоторую часть работы по организации этой доменной структуры будут выполнять студенты нашего колледжа отделения информатики. Цели и задачи поставленные в начале работы были достигнуты и доказаны.
СПИСОК ЛИТЕРАТУРЫ1. Самоучитель по работе в Windows – (http://www.opersys.ru/all/1487.htm) 2. Информатика и информационные технологии – (http://www.metodist.ru/index.php?option=com_content&task=view&id=53&Itemid=78) 3. Информационные технологии в образовании – (http://www.ito.su/2003/IV/IV-0-1409.html) 4. Ю.П. Левчук, Е.П. Охинченко, А.Д. Сотников, Т.А. Фоменко/Информатика – (http://dvo.sut.ru/libr/ite/i280levc/index.htm) 5. ADMIN портал (http://www.superadm.net/index.php?name=News&op=article&sid=116) 6. Домен Windows NT – (http://ru.wikipedia.org/wiki/%D0%94%D0%BE%D0%BC%D0%B5%D0%BD_Windows_NT) 7. Операционные системы/Домены – (http://opersys.ru/one/10210.htm) 8. Компьютерная литература – (http://adminbook.ru/index.php?men3=3-1/24) 9. Википедия/DNS – (http://ru.wikipedia.org/wiki/DNS) |