Самоучитель системного администратора. 5-е издание

Информационные системы предприятия 
157 
Любой контроллер домена под управлением Windows Server 2008 R2 или более 
поздней версии может быть настроен как RODC. После установки службы DNS-
сервера на RODC последний может работать так же, как и DNS-сервер только для 
чтения (read-only DNS, RODNS). 
RODC тиражирует разделы каталога приложения, которые использует DNS, —
в том числе разделы 
ForestDNSZones
и 
DomainDNSZones
. Клиенты могут исполь-
зовать RODNS-сервер для разрешения имен. Но вы должны понимать, что RODNS-
сервер не поддерживает прямые клиентские обновления, поскольку RODNS не ре-
гистрирует записи ресурсов (подробнее о создании RODC мы поговорим в 
главе 5
). 
Удаление контроллера домена 
В некоторых случаях может понадобиться удалить контроллер домена. Для выпол-
нения этой задачи можно использовать или Диспетчер серверов, или утилиту 
ntdsutil
. 
В первом случае нужно из меню 
Управление Диспетчера серверов 
выбрать оп-
цию 
Удалить роли и компоненты
, затем выбрать ваш сервер, после чего выклю-
чить переключатель 
Доменные службы Active Directory
. Если это ваш основной 
контроллер домена, тогда сначала нужно понизить его роль, а потом выполнять 
удаление доменных служб Active Directory. 
Весь процесс удаления контроллера домена не очень сложен — достаточно просто 
следовать дальнейшим инструкциям мастера удаления ролей и компонентов. Если 
этот процесс вызвал у вас затруднения, воспользуйтесь ссылкой с множест- 
вом иллюстраций: 
http://emmell.ru/server/udalenie-vtorogo-kontrollera-domena-ili-
ponizhenie-roli-ad-ds-windows-server-2012
(сокращенный вариант этого URL: 
http://eb.by/TMNN
).
Совсем другое дело, когда контроллер домена вышел из строя, и штатными средст-
вами его удалить не получается. Вот здесь и приходит на помощь утилита 
ntdsutil
. 
Использовать ее нужно так: введите команду 
ntdsutil
, и все последующие команды 
вводите в приглашении утилиты 
ntdsutil
, а не в командной строке Windows: 
metadata cleanup 
connections 
Совсем не обязательно вводить всю команду целиком. Достаточно ввести строку, 
позволяющую идентифицировать команду, — например, 
met
для команды 
metadata 
cleanup
. 
Теперь нужно подключиться к работающему контроллеру домена, на котором мы 
будем выполнять операцию удаления метаданных: 
connections | connect to server <имя> 
После подключения к контроллеру снова возвращаемся в режим 
metadata cleanup
. 
На этом шаге необходимо выбрать тот контроллер, данные о котором предполага-
ется удалить. 
Выберите команду: 
Select operation target 

158 
Глава 4 
После перехода в этот режим мы последовательно подключаемся к ресурсам пред-
приятия. Например, чтобы указать на конкретный сервер, сначала нужно просмот-
реть список сайтов (
List sites
), после чего подключиться к нужному сайту: 
Select site <номер, полученный на предыдущем шаге>. 
Затем просмотреть список доменов и подключиться к нужному, и т. д. В заверше-
ние, после выполнения команды: 
List servers for domain in site 
вы увидите нумерованный список серверов. Вам нужно выбрать тот сервер, кото-
рый предполагается удалить: 
Select server <номер>) 
и вернуться в меню 
metadata cleanup
. 
Осталось в этом меню выбрать команду: 
Remove selected server 
Шпаргалка только с командами 
ntdsutil
(без описания, что означает та или иная
команда) доступна по адресу: 
http://www.sysadminblogger.com/2012/02/active-
directory_10.html
. Можете ее себе распечатать — на случай нештатной ситуации. 
Переименование домена 
Операция переименования требует тщательной подготовки. Последовательность 
действий администратора для переименования домена изложена в документе 
Introduction to Administering Active Directory Domain Rename технической библио-
теки Microsoft по адресу: 
http://technet.microsoft.com/en-us/library/cc816848% 
28WS.10%29.aspx
. 
LDAP и Active Directory 
Протокол LDAP (Lightweight Directory Access Protocol) является стандартным ком-
муникационным протоколом для сетей TCP/IP. Этот протокол разработан для по-
лучения доступа к службам каталогов с наименьшими затратами ресурсов. Этим 
протоколом также определяются операции запроса и изменения информации в ка-
талоге. 
Поскольку служба каталогов поддерживает протокол LDAP, ставший стандартом 
для доступа к подобным службам, то для управления структурой домена удобно 
применять утилиты, реализующие подключение по этому протоколу. 
Подключаемся к каталогу по протоколу LDAP 
Существует несколько способов подключения к каталогу по протоколу LDAP. Пер-
вый способ заключается в использовании оснастки 
Редактирование ADSI
(рис. 4.5). Используя эту оснастку, вы можете подключиться к любому узлу струк-
туры службы каталогов, увидеть его атрибуты, отредактировать их и установить 

Информационные системы предприятия 
159 
желаемые права доступа. Оснастка также позволяет создавать новые объекты 
в структуре каталогов, удалять существующие и т. д. 
Второй способ заключается в использовании утилиты 
ldp.exe
, которая позволяет 
подключиться к службам каталога по протоколу LDAP. Эта утилита также позволя-
ет добавлять, удалять объекты, редактировать их и выполнять поиск по каталогу. 
Утилита 
ldp.exe
появляется в системе после добавления Support Tools. 
Кроме этих двух способов, в Интернете доступно много средств, в которых реали-
зованы возможности подключения и управления системой по протоколу LDAP. 
Вполне вероятно, что они окажутся даже более удобны, чем только что упомянутые 
варианты. 
Рис. 4.5. 
Утилита ADSI Edit 
Синтаксис поисковых запросов LDAP 
Чтобы правильно составить запрос к службе каталогов, необходимо изучить осно-
вы LDAP-синтаксиса. 
В службе каталогов информация хранится в виде объектов. Для обозначения 
свойств
объектов (по терминологии Microsoft) в стандартах LDAP применяется 
термин 
атрибуты
. 
Чтобы выбрать нужные данные из службы каталогов, необходимо составить 
фильтр
. В LDAP используются специальные конструкции для фильтров, в которых 

160 

Download 19,93 Mb.

Do'stlaringiz bilan baham: