6 июля 2010 г.

Что нужно не забыть сделать после перехода на домен Windows 2008 R2

обновлено 06.07.2010

Эта запись не претендует на полноту. В общем-то, как и многие другие мои сообщения здесь, она сделана для себя. Просто чтобы при повторе не забыть что делать и куда смотреть :-)

Итак:

  • Настроить синхронизацию времени на DC с ролью PDC эмулятора с внешним источником.
    Я как-то уже делал инструкцию Настройка точного времени в домене Windows 2003 / 2008 / 2008 R2, правда тогда еще для 2003 сервера. Вчера потратил весь день на 2008 R2 сервере в попытках настроить, ничего не получалось. А уже вечером выяснилось, что наш сетевой инженер еще на выходных перепрошил циску, которая у нас служит источником точного времени и на вчера этот сервис просто не работал :-(. Но есть и плюсы, я отшлифовал поиск проблем при настройке этого сервиса и обновил инструкцию :-)
  • Включить Strict replication consistency на всех контроллерах домена.

    repadmin /regkey dc.domain.ua +strict

    Почитать обо всем этом можно по следующим ссылкам:

    http://technet.microsoft.com/en-us/library/dd723692(WS.10).aspx
    http://technet.microsoft.com/en-us/library/cc949134(WS.10).aspx
    http://technet.microsoft.com/en-us/library/cc949134(WS.10).aspx#BKMK_Use_Repadmin
  • Правильно прописать DNS на контроллерах домена.
    Во первых, на каждом из DC должны быть прописаны или все существующие DNS сервера на других DC, или, если их много, то ближайшие. Во вторых, первым должен быть прописан ip адрес самого DC. Ну и последним я ставлю адрес 127.0.0.1
  • Следует перевести репликацию Sysvol от службы FRS к службе DFSR
    Еще начиная с Windows 2003 R2 в Windows Server появилась новая служба репликации. По каким-то, мне не совсем понятным причинам, рудимент в виде службы FRS для репликации Sysvol просуществовал аж до Windows 2008 R2. Если домен был промигрирован с предыдущих версий, то нужно перевести и эту службу на другую технологию.

    Итак, основной источник SYSVOL Replication Migration Guide: FRS to DFS Replication, то же самое, но в виде файла. Кроме того, хорошо все описано в блоге Storage Team - SYSVOL Migration Series и еще кое-что в блоке Active Directory - Verifying File Replication during the Windows Server 2008 DFSR SYSVOL Migration – Down and Dirty Style
  • Включить Client failback для SYSVOL и NETLOGON
    Для этого нужно на каждом из контроллеров домена создать параметр с именем SysvolNetlogonTargetFailback и типа DWORD со значением 1 в ветке реестра
    HKLM\System\CurrentControlSet\Services\Dfs\Parameters
  • Провести миграцию для доменных “корней” DFS из режима 2000 в режим 2008
    В общем-то, эта функция появилась еще в Windows Server 2003 SP1, но мало ли … :-)
    Зачем это? Все это нужно для access-based enumeration и улучшенной стабильности в работе DFS. Зачем нужна access-based enumeration и что она дает? Это такая полезная функция, которая делает так, что у пользователей у которых нету прав на DFS target его и не видят. Аналогичная функция есть и для простых share.

    Ссылка на оригинальную инструкцию: Migrate a Domain-based Namespace to Windows Server 2008 Mode
  • Включить Recycle Bin для Active Directory
    C выходом Windows Server 2008 R2 наконец-то появилась функция, которая должна была быть еще в NT 3.51 – это корзина для объектов Active Directory. В общем-то, и раньше можно было что-то восстановить, но это было не очень удобно. Напомню, что для этого уровень домена и леса должен быть Windows 2008 R2.

    Итак, делается это все просто, следует на каком-нибудь из DC нажать Start, затем Administrative Tools, правая кнопка на Active Directory Module for Windows PowerShell и, затем, выбрать  Run as administrator. Когда появится окно PowerShell выполнить там команду:

    Enable-ADOptionalFeature –Identity ‘CN=Recycle Bin Feature,CN=Optional Features,CN=Directory Service,CN=Windows NT,CN=Services,CN=Configuration, DC=domain,DC=ua’ –Scope ForestOrConfigurationSet –Target ‘domain.ua’

    Понятное дело, что domain.ua следует заменить на свой домен :-)

    Подробнее о самой функции, о различных способах ее включения и т.д. можно почитать в статье Active Directory Recycle Bin Step-by-Step Guide. Там же можно прочитать о встроенных способах восстановления. Но эти способы не очень удобны.

    Есть отличное и простое решение! Нужно скачать и установить Power GUI, а к нему скачать и установить Active Directory Recycle Bin PowerPack. В общем-то, Power GUI с его встроенным редактором и отладчиком для PowerShell должен быть на каждом рабочем месте админа.

    Кстати, если кто не в курсе, то эта команда работает в компании Quest Software, так вот у них давно уже есть замечательные и бесплатные командлеты PowerShell для управления Active Directory - PowerShell Commands for Active Directory. Хотя с выходом PowerShell 2.0 и Windows 2008 Server появилась и встроенная возможность по управлению AD из PowerShell, их компоненты не потеряли актуальности, я уже молчу про то, что они работают и в более ранних версиях.
  • Создание центрального хранилища GPO
    Еще начиная с Windows Server 2008 появилась полезная возможность – создание центрального хранилища GPO.
    Что это такое и зачем это нужно? Ну что это такое – понятно, это централизованное хранилище шаблонов групповых политик. А нужно оно затем, чтобы сделать единый, обновляемый и реплицируемый репозиторий шаблонов избежать всяких неприятных ситуаций. Например с заменой шаблона, что вероятно при редактировании одной и той же политики из разных мест. Или, что бывает чаще, часть параметров видна только в виде ключей реестра, это если на компьютере с которого ведется редактирование нету нужного шаблона.

Итак, как создать центральное хранилище GPO?

Открываю папку \\domain.ua\sysvol\domain.ua\policies

На контроллере домена Windows 2008 Server R2 открываю папку C:\Windows и копирую папку PolicyDefinitions в папку, открытую на предыдущем этапе. Затем, открываю папку C:\Windows\PolicyDefinitions на рабочей станции под управлением Windows 7 и копирую ее содержимое в папку \\domain.ua\sysvol\domain.ua\policies с заменой файлов. Внутри папки PolicyDefinitions будут подпапки с языковыми версиями шаблонов политик. Как минимум одна en-US должна быть всегда. Оставлять ли другие локализации – решайте сами.

После этого, можно добавить туда и другие административные шаблоны из тех, что у вас есть. Например, практически всем нужны шаблоны для MS Office

2007 Office System Administrative Templates SP2

Ну и, напоследок, проверяю, что центральное хранилище работает. Запускаю утилиту Group Policy Management Policy с какой-нибудь рабочей станции, нахожу любую политику у которой установлен хоть какой-нибудь параметр в разделе Administrative Templates, в правом окне выбираю Settings  и раскрываю секцию Administrative Templates. Прямо под ней должна быть фраза Policy definitions (ADMX files) retrieved from the central store.

4 комментария:

  1. Вы писали:
    "Во вторых, первым должен быть прописан ip адрес самого DC. Ну и последним я ставлю адрес 127.0.0.1"
    Сам DC - имелось ввиду PDC? Или самого себя? Но опять же написано, что localhost пишется последним...

    ОтветитьУдалить
  2. DC - это контроллер домена, в данном случае тот, который мы настраиваем, т.е. самого себя.

    PDC уже давно нету, со времен NT4, есть PDC emulator, но его прописывать не нужно.

    В общем-то, прописывание и ip адреса сервера и 127.0.0.1 избыточно. Хотя это и разные интерфесы, но одного и того же сервера. Когда я писал заметку, я нашел где-то некое обоснование такой записи и запомнил, что так делать стоит. К сожалению, само обоснование вылетело из головы.

    ОтветитьУдалить
  3. ЗАЧЕМ ХОДИТЬ В ЖМЕРИНКУ ЧЕРЕЗ АМЕРИКУ?!?!?

    ABE в 2008r2 есть!!

    заходим “Start”–>”Administrative Tools”–>”Share And Storage Management”

    в списке находим нужную “ШАРУ” клацаем “пкм”–>”Properties”
    внизу находим кнопку “Advanced” и в появившемся окне ставим галочку “Enable Access-based enumeration”
    И БУДЕТ ВАМ СЧАСТЬЕ :))

    с настройкой прав, чтоб кто нужно(ненужно)-видел(невидел), думаю сами разберётесь

    ОтветитьУдалить
    Ответы
    1. А мы говорим не про шары на конкретном сервере, а про DFS линки. Там и права могут быть разные.

      Опять же, я же пишу про миграцию. Если ее не осуществить, а корни DFS "старые", то об этом будет постоянно предупреждать.

      Удалить