Изучи Windows Server 2003 за 15 минут в неделю:
 

Новые возможности Active Directory в Windows Server 2003 – Часть 1

Дэн Диниколо (Dan DiNicolo)

Хотя многие пользователи уже решили для себя, что Windows Server 2003 не более чем новая версия Windows 2000, правда все же заключается в том, что эта версия включает в себя более чем достаточно новых функций, инструментов и служб. И хотя она построена на фундаменте Windows 2000, эти новые возможности являются именно тем, что требуется многим (и особенно, крупным) организациям. Цель этой и следующей за ней статьи заключается в том, чтобы предоставить обзор некоторых из новых возможностей Windows 2003, связанных с ее службой каталога – Active Directory. В первой статье мы рассмотрим функциональные уровни (functional level) домена и леса, а также возможность переименования и переноса доменов и контроллеров домена. В части 2 мы изучим такие новые возможности, как доверительные отношения между лесами (cross-forest), кэширование универсальных групп и изменения в некоторых, достаточно хорошо знакомых нам, инструментах Active Directory. Неважно, пробуете ли вы работать с этой операционной системой или начали подумывать об обновлении ваших сертификационных статусов MCSA или MCSE по треку Windows Server 2003, в любом случае, в этих статьях вы найдете концепции, с которыми вам полезно будет познакомиться.

Функциональные уровни домена и леса

Те, кто хорошо знаком с Active Directory в Windows 2000, знают, что при установке домены настраиваются для работы в одном из двух режимов – смешанном (mixed) или основном (native) режиме. В смешанном режиме домен Active Directory сохраняет способность поддержки контроллеров доменов Windows NT 4.0, давая компаниям возможность преобразовывать их домены из старой модели в новую, основанную на службе каталога. Хотя смешанный режим делает развертывание Active Directory в существующих средах более гибким, он также содержит ряд ограничений, например, невозможность создания универсальных групп (universal group). После того, как домен переключается в основной режим, все контроллеры домена должны работать под операционной системой Windows 2000 и использование универсальных групп становится возможным.

В Windows Server 2003 Active Directory концепция «режима» (mode) домена переименована в концепцию «функционального уровня» (functional level). Это, определенно, неплохая идея, поскольку функциональный уровень домена Windows Server 2003 Active Directory влияет не только на версии операционных систем, которые могут выступать в качестве контроллеров домена, то также на возможность использовать некоторые новые возможности Active Directory. Более того, в Windows Server 2003 также вводится абсолютно новая концепция, известная как функциональный уровень леса (forest functional level). Подобно функциональному уровню домена, функциональный уровень леса влияет на возможность использовать определенные новые возможности Active Directory, о чем мы и поговорим далее в этой статье.

Функциональные уровни домена, связанные с Windows Server 2003 описаны ниже. Для каждого функционального уровня также перечислены поддерживаемые версии Windows, поддерживаемые в качестве контроллеров домена.

Функциональный уровень домена

Поддерживаемые контроллеры домена

Windows 2000 смешанный (mixed) (уровень по умолчанию)

Windows NT 4.0
Windows 2000
Windows Server 2003

Windows 2000 основной (native)

Windows 2000
Windows Server 2003

Windows Server 2003 переходный (interim)

Windows NT 4.0
Windows Server 2003

Windows Server 2003

Windows Server 2003

Стоит обратить внимание на то, что по мере роста функционального уровня домена, контроллеры домена предыдущих версий Windows не могут быть более добавлены к домену. Так, если вы повышаете функциональный уровень домена до Windows Server 2003, к домену не могут быть добавлены контроллеры Windows 2000.

Подобно изменению режима домена в Windows 2000, функциональный уровень домена меняется с помощью оснастки Active Directory Users and Computers. Для повышения функционального уровня домена, щелкните правой кнопкой изображение домена в Active Directory Users and Computers и выберите опцию Raise Domain Functional Level из контекстного меню. На приведенном ниже рисунке вы можете заметить, что функциональный уровень домена не может быть изменен, поскольку он уже настроен на уровень Windows Server 2003. Для повышения функционального уровня домена, вы должны быть членом группы Enterprise Administrators (администраторы предприятия) или Domain Administrators (администраторы домена) в этом домене. Эта способность также может делегироваться другим пользователям.

Подобным образом Windows Server 2003 Active Directory поддерживает 3 различных функциональных уровня леса. Каждый из них перечислен в приведенной ниже таблице. Для каждого функционального уровня также перечислены версии Windows, поддерживаемые в качестве контроллеров домена.

Функциональный уровень леса

Поддерживаемые контроллеры домена

Windows 2000 (уровень по умолчанию)

Windows NT 4.0
Windows 2000
Windows Server 2003

Windows Server 2003 переходный (interim)

Windows NT 4.0
Windows Server 2003

Windows Server 2003

Windows Server 2003

Подобно функциональным уровням домена, если уровень леса был изменен, то контроллеры домена предыдущих версий Windows не могут более быть добавлены ни к какому домену в этом лесу.

Изменение функционального уровня леса осуществляется не так, как для домена. Функциональный уровень леса устанавливается с помощью инструмента Active Directory Domains and Trusts. Щелкнув правой кнопкой мыши выбранный лес, выберите опцию Raise Forest Functional Level из контекстного меню. Приведенный ниже рисунок показывает, что текущий функциональный уровень моего леса имеет значение по умолчанию, т.е. Windows 2000. В этом случае, он может быть повышен до уровня Windows Server 2003. Чтобы повысить его, вы должны быть членом группы Enterprise Administrators или Domain Administrators в корневом домене данного леса.

Перед тем, как начать рассмотрение некоторых новых возможностей Windows Server 2003 Active Directory, важно обратить внимание на то, что не каждая новая функция требует, чтобы был настроен определенный функциональный уровень для домена или леса. Некоторые из этих функций работают на любых функциональных уровнях, в то время как другие явно требуют функционального уровня Windows Server 2003 для домена или леса. Эти требования описываются в разделах этой статьи для каждой новой функции Active Directory.

Переименование и перенос доменов

В версии Windows 2000 Active Directory не было возможности для переименования доменов без понижения уровня всех контроллеров домена, что фактически разрушало домен. В Windows Server 2003 домены могут быть переименованы, если только лес, в котором они находятся, имеет функциональный уровень Windows Server 2003. Конечно, это означает, что вы не можете переименовать домен, в котором находятся контроллеры доменов Windows 2000 или Windows NT 4.0, поскольку функциональный уровень леса Windows Server 2003 поддерживает только контроллеры доменов Windows Server 2003. Инструмент для переименования доменов Windows Server 2003 называется RENDOM и находится в папке Valueadd\Msft\Mgmt\Domren на компакт-диске с дистрибутивом Windows Server 2003.

Подобным образом Windows Server 2003 также позволяет вам давать отдельным контроллерам доменов новые имена. В Windows 2000 Active Directory это возможно только в том случае, если вы сначала используете инструмент DCPROMO для понижения роли контроллера домена до рядового сервера и, изменив имя, вновь повысите его. Переименование контроллера домена возможно только в том случае, если он имеет функциональный уровень домена Windows Server 2003.

Переименование контроллера домена Windows Server 2003 выполняется методом, отличающимся от традиционного (через программу System tool в Control Panel). В данном случае для переименования контроллера используется утилита командной строки NETDOM. Например, вот как выглядит набор команд для изменения имени контроллера домена с server1.company.com на database.company.com:

C:\>netdom computername server1.company.com /add:database.company.com

C:\>netdom computername server1.company.com /makeprimary:database.company.com

И затем, после перезагрузки сервера:

C:\>netdom computername database.company.com /remove:server1.company.com

И, в заключение, Windows Server 2003 также поддерживает возможность переноса домена внутри леса Active Directory. Например, представьте, что вы первоначально создали каждый домен в его собственном дереве, а уже затем решили, что хотите изменить структуру таким образом, чтобы все домены находились в едином пространстве имен DNS, как часть единого дерева. Теперь такое изменение возможно, но только если лес настроен на функциональный уровень Windows Server 2003. Несмотря на это ограничение, способность изменения местоположения доменов является замечательной функцией, особенно если вы управляете структурой леса, которая первоначально была спроектирована не лучшим образом.

Также как и переименование доменов, их перенос в средах Windows Server 2003 Active Directory выполняется с помощью утилиты RENDOM. Если честно, шаги, которые приходится выполнять с помощью этого инструмента по переносу домена, достаточно сложны, поэтому я оставляю их подробное описание для другой статьи. Однако если вам очень не терпится, вы можете прочесть больше об RENDOM здесь.

Вот и весь материал первой части статьи, рассказывающей о новых возможностях Windows Server 2003 Active Directory. В следующей статье мы продолжим обзор новых функций, таких как доверительные отношения между лесами, кэширование универсальных групп и изменения в некоторых инструментах, управляющих Active Directory. А пока наилучших пожеланий в вашем путешествии по миру Windows Server 2003.

Дэн