Windows 2000 в домен windows

Ошибки при регистрации Windows 2000 могут возникать в случае удаления службы клиента сетей Microsoft или при использовании в сети сервера DNS независимых производителей. К тому же может оказаться недоступен резервный контроллер домена Windows NT, если настройки TCP/IP заданы неверно или не полностью. Симптомы в обоих случаях одинаковые:

 Windows 2000 выдает сообщение «The specified domain either does not exist or could not be contacted» («Указанный домен отсутствует или с ним нет связи»).

 Команда ping по IP-адресу проходит, а с указанием имени контроллера домена – нет.

 Команда net view \\<имя контроллера домена>, выдает сообщение об ошибке «System error 53 has occurred. The network path was not found» (Ошибка 53 – сетевой путь не найден).

Проблемы регистрации могут возникнуть и тогда, когда на любом из контроллеров домена Windows NT применяется протокол совместного использования файлов Internet (Common Internet File Sharing, CIFS) для доступа к файлам удаленных пользователей по протоколу SMB. В этом случае при вводе пользователем Windows 2000 неверного пароля вместо предложения ввести правильный пароль будет выдано сообщение «Network name is no longer available» («Сетевое имя более недоступно»). Для решения этой проблемы можно или приказать пользователям не ошибаться, или запретить подписи SMB на контроллерах домена Windows NT. Но лучше всего обратиться в службу поддержки Microsoft и заказать обновленную версию редиректора сети для Windows NT.

Управление профилями пользователей в Windows 2000 и NT

Управление профилями предполагает множество вариантов, так что написанное здесь не следует воспринимать как догму. Тем не менее, основные понятия из области профилей и системной политики нужно знать. Во-первых, Windows NT кэширует локальные профили пользователей в папке Profiles корневого каталога системы. При модернизации Windows NT до Windows 2000 они остаются на прежнем месте. Однако при новой установке профили размещаются в соответствующих именам папках в каталоге Documents and Settings на системном загрузочном диске.

Во-вторых, Windows 2000 и NT по-разному работают с дубликатами профилей. Windows NT добавляет цифровые суффиксы, начинающиеся с .000, для каждого повторяющегося профиля. При регистрации пользователя с именем, для которого уже создан профиль, этот суффикс увеличивается на единицу. При регистрации второго пользователя в Windows 2000 профилю присваивается суффикс, представляющий собой или имя домена, или название локального компьютера пользователя. Если и в этом случае возникает конфликт, то Windows 2000 добавляет цифровой суффикс начиная с .000, как это делает Windows NT.

При удалении локальных кэшированных копий профиля следует быть более осторожным, чем в случае с Windows NT, где удалялись только настройки реестра для компьютера и рабочего стола пользователя. Если существуют копии профилей в Windows 2000, то при удалении профиля следует обращать особое внимание на домен пользователя. К тому же следует убедиться, что при этом соответствующая папка удаляется из папки Documents and Settings, где находятся все файлы, подпапки и ярлыки рабочего стола пользователя, входящие в профиль.

В Windows NT можно поменять место размещения локальных копий пользовательских профилей с помощью редактирования реестра. Windows 2000 позволяет сделать это еще на этапе автоматической установки системы, т.е. при запуске программы установки командой winnt /unattend или winnt32.exe /unattend. В этом случае информация о настройках Windows 2000 берется из файла unattend.txt, в котором можно изменить местонахождение папки Documents and Settings например, так:

[GuiUNattended]ProfilesDir = z:\ДругаяПапка

В статье Q236621 базы знаний Microsoft описываются два дополнительных действия, необходимых для перемещения какого-либо профиля или каталога из Documents and Settings целиком.

В том случае, если пользователь зарегистрировался одновременно в Windows NT и в Windows 2000, каждая из систем выполняет обновление профиля. Windows NT обновляет мобильные профили в том случае, если пользователь изменил права доступа к каталогу со своим профилем. В Windows 2000 сам пользователь ничего не сможет поменять до тех пор, пока ему не будет разрешен полный доступ к папке в каталоге Profile.

Проблемы совместного доступа

По умолчанию Windows 2000 присваивает одинаковые права доступа ко всем дисковым томам, а именно полный доступ для всех (Full Control для группы Everyone). При этом любая новая папка наследует тот же полный доступ. Точно так же для создаваемых сетевых ресурсов по умолчанию устанавливается полный доступ. Для обеспечения хотя бы минимального уровня безопасности следует надлежащим образом установить права доступа NTFS к открытым для совместного доступа папкам. При создании совместного файлового ресурса вне зависимости от того, какие именно данные предполагается в нем размещать, следует воспользоваться командой Permission и назначить соответствующие конкретному случаю права доступа. Таким образом можно закрыть явную брешь в системе безопасности. Эту же процедуру следует применять ко всем сетевым ресурсам.

Есть еще одна замечательная ошибка Windows NT, которая может помешать пользователю подключиться к совместному ресурсу Windows 2000. Если в Windows NT политика учетной записи запрещает вход в систему в определенные часы, и при этом установлена настройка «forcibly disconnect users when logon hours expire» («принудительно отключать пользователей в запрещенное для работы время»), пользователь вообще никогда не получит доступ к ресурсам Windows 2000. Это недоразумение описано в статье Q263006 Microsoft, где приводится также способ решения данной проблемы.

Паула Шерик — редактор Windows 2000 Magazine и консультант по вопросам планирования, реализации и взаимодействия сетей. Ее адрес: paula@win2000mag.com.

Внимание! Решение проблемы связано с внесением изменений в системный
реестр. Перед внесением изменений в системный реестр рекомендуется создать архивную
копию системного реестра и изучить процедуру восстановления системного реестра.
За дополнительной информацией по использованию редактора реестра обратитесь к
следующей статье Microsoft Knowledge Base:

Аннотация Данная статья описывает настройку программы «Миграция в
Active Directory» (ADMT), позволяющей преобразовать домен на основе Windows
2000 в домен Windows Server 2003.
Дополнительная информация
Внимание! Некорректное использование редактора системного реестра может
привести систему в неработоспособное состояние и потребовать проведения полной
переустановки операционной системы. Microsoft не несет ответственности за
некорректное использование редактора реестра.

ADMT
позволяет произвести миграцию данных о пользователях, группах и компьютерах из
одного домена в другой, а также проанализировать результаты этой миграции как
до, так и после ее выполнения.

Примечание. В статьте предполагается, что исходный домен основан на Windows
2000, а конечный является доменом Windows Server 2003, работающим в основном
режиме Windows 2000 или более поздней версии этой операционной системы.
Как настроить ADMT для выполнения миграции с Windows 2000 на Windows Server 2003
Программу «Миграция в Active Directory» версии 2 (ADMTv2) можно
установить на любой компьютер с операционной системой Windows 2000 или более
поздней версии, включая:

• Microsoft Windows 2000 Professional
• Microsoft Windows 2000 Server
• Microsoft Windows XP Professional
• Microsoft Windows Server 2003

Компьютер, на который устанавливается ADMTv2, должен входить
либо в исходный, либо в конечный домен.

Миграция внутри леса Миграция внутри леса не требует какой-либо специальной настройки
домена. Учетная запись, от имени которой будет запускаться ADMT, должна иметь
права, достаточные для выполнения требующихся ADMT действий. Например, этой
учетной записи необходимо разрешение на удаление учетных записей из исходного
домена и создание учетных записей в конечном домене.

Миграция внутри
леса по сути является операцией перемещения, а не копирования. В каком-то
смысле она является деструктивной, так как после перемещения объекты исчезают
из исходного домена. В силу того что объекты не копируются, а перемещаются,
некоторые действия, являющиеся необязательными при миграции между лесами, в
данном случае выполняются автоматически. Например, при миграции внутри леса
происходит автоматический перенос атрибутов sIDHistory и паролей.

Миграция между лесами В данном случае ADMT требуются следующие разрешения.

• Права администратора в исходном домене.
• Права администратора на каждом из компьютеров, для которых
  выполняется миграция.
• Права администратора на каждом из компьютеров, на который
  мигрируют параметры безопасности.

Перед тем как начать миграцию с домена Windows 2000 в домен
Windows Server 2003, необходимо выполнить настройку некоторых параметров домена
и безопасности. Миграция компьютеров и перенос параметров безопасности не
требуют специальной настройки домена. Однако каждый из компьютеров, для
которого выполняется миграция, должен иметь административные общие ресурсы C$ и
ADMIN$.

Учетная запись, от имени которой запускается ADMT, должна
иметь права, достаточные для выполнения всех нужных задач. В частности, ей
необходимо разрешение на создание учетных записей компьютеров в конечном домене
и подразделении; эта запись также должна входить в локальную группу
администраторов на каждом из компьютеров, для которых выполняется миграция.

Миграция пользователей и групп Исходный домен следует настроить так, чтобы он доверял конечному.
При желании доверительные отношения можно сделать двусторонними, чтобы конечный
домен доверял исходному. Это упростит настройку, однако для завершения миграции
с помощью ADMT не требуется.

Требования, относящиеся к выполнению необязательных задач миграции
Перечисленные ниже задачи могут быть выполнены автоматически при
запуске мастера миграции пользователей в тестовом режиме и выборе режима
миграции sIDHistory. Автоматическая настройка будет успешной только в случае,
если учетная запись, от имени которой запускается ADMT, имеет привилегии
администратора как в исходном, так и в конечном домене.

1. Создайте в исходном домене локальную группу с именем
   %sourcedomain%$$$. Эта группа не должна содержать ни одной учетной
   записи.
2. Включите аудит успешных и неуспешных операций для параметра
   политики безопасности «Аудит управления учетными записями» для обоих доменов в
   используемой по умолчанию политике для контроллеров доменов.
3. Разрешите в исходном домене доступ к SAM через удаленный
   вызов процедур (RPC); для этого на эмуляторе основного контроллера домена (PDC)
   в исходном домене необходимо создать указанный параметр типа DWORD со значением
   1:

   HKEY_LOCAL_MACHINE\System\CurrentControlSet\Control\LSA\TcpipClientSupport

   После добавления этого параметра эмулятор основного
   контроллера домена следует перезапустить.

Примечание. В доменах Windows 2000 учетная запись, от имени которой
запускается ADMTv2, должна иметь права администратора домена в обоих доменах:
исходном и конечном. В конечных доменах Windows Server 2003 миграция атрибута
sIDHistory может делегироваться. Дополнительные сведения см. в центре справки и
поддержки Windows Server 2003.

Чтобы включить миграцию паролей между
лесами, необходимо установить библиотеку, выполняющуюся в контексте LSA. Работа
в этом защищенном контексте предотвращает просмотр паролей в незашифрованном
текстовом виде кем бы то ни было, включая саму операционную систему. Установка
библиотеки защищена секретным ключом, который создается ADMTv2 и
устанавливается администратором.

Чтобы установить библиотеку миграции
паролей.

1. Войдите с правами администратора на компьютер, где
   установлена программа ADMTv2.
2. Введите в командной строке команду: ADMT KEY
   исходный_доменпуть [* |
   пароль]; она создаст файл ключа для экспорта паролей (.pes). В этом
   примере исходный_домен представляет собой
   NetBIOS-имя исходного домена, а путь — это путь к
   файлу, содержащему ключ. Путь обязан быть локальным, однако может указывать на
   съемный носитель, такой, как гибкий диск, ZIP-диск или записываемый
   компакт-диск. Необязательный пароль позволяет дополнительно защитить сам
   PES-файл. При вводе звездочки (*) ADMT выдаст запрос на ввод пароля (который
   при вводе не будет отображаться на экране).
3. Переместите созданный на шаге 2 PES-файл на сервер экспорта
   паролей в исходном домене. Эту роль может играть любой контроллер домена,
   имеющий быстрый и надежный доступ к компьютеру, на котором запущена программа
   ADMT.
4. Установите библиотеку миграции паролей на сервер экспорта
   паролей с помощью программы Pwmig.exe. Pwmig.exe находится в папке I386\ADMT
   установочного носителя Windows Server 2003 или папке, в которую была помещена
   программа ADMTv2 при загрузке из Интернета.
5. В ответ на запрос укажите путь к созданному на шаге 2
   PES-файлу. Этот путь должен быть локальным.
6. По завершении установки сервер требуется
   перезапустить.
7. Непосредственно перед миграцией паролей измените значение
   указанного ниже параметра реестра типа DWORD на 1. Чтобы минимизировать риск, не делайте это заранее.

   HKEY_LOCAL_MACHINE\System\CurrentControlSet\Control\LSA\AllowPasswordExport

Загрузить ADMT можно с веб-сайта Майкрософт по следующему
адресу:

http://www.microsoft.com/windows2000/downloads/tools/admt/default.asp

Более подробные сведения о выполнении миграции с помощью ADMT
содержатся в справке ADMT. Запустите программу «Миграция в Active Directory»,
выберите пункт Вызов справки в меню Справка, откройте вкладку Содержание и выберите в списке Миграция в Active Directory.

Более подробные сведения об ADMT см. на веб-сайте
Майкрософт:

http://www.microsoft.com/windows2000/techinfo/howitworks/activedirectory/admt.asp

Дополнительные сведения об
использовании ADMT для миграции с домена Microsoft Windows NT 4.0 на домен
Windows Server 2003 см. статью Microsoft Knowledge Base:

325851 HOW TO: Set Up ADMT for a Windows NT 4.0-to-Windows Server 2003 Migration

Программа «Миграция в Active Directory» версии 2
находится в папке I386\Admt на компакт-диске Windows Server 2003.

Информация в данной статье применима к:

• Microsoft Windows 2000 Server
• Microsoft Windows 2000 Advanced Server
• Microsoft Windows Server 2003, Standard Edition
• Microsoft Windows Server 2003, Enterprise Edition
• Microsoft Windows Server 2003, Datacenter Edition
• Microsoft Windows Server 2003, 64-Bit Enterprise Edition
• Microsoft Windows Server 2003, 64-Bit Datacenter Edition
• Microsoft Windows Server 2003, Web Edition

Оцените статью: Голосов

Глобальный каталог создается
службой Active Directory автоматически. В нем есть элементы для всех объектов и
свойств, существующих в дереве или в лесу. Глобальный каталог – это не просто
сборный вариант всех доменных разделов. Там не хранится  каждое значение
каждого свойства в дереве или в лесу. Вместо этого там содержатся те значения
из набора свойств объекта, которые полезны для глобального сообщества.

Глобальный каталог
выполняет две основные функции:

· 
разрешает войти в
сеть путем предоставления контроллеру домена информации о членах универсальной
группы;

· 
упрощает просмотр
информации каталога независимо от того, какой домен леса содержит эти данные.

Организация доменной сети
Windows 2000 обладают следующими
преимуществами.

· 
Объединение
объектов в домены позволяет сделать так, чтобы структура сети Windows 2000 отражала организацию объекта.

· 
Каждый домен –
это часть сети, хранящая информацию только о тех объектах, которые в ней
находятся. Разделяя сети таким образом, Active Directory позволяет вводить в нее столько
дополнительных  объектов,  сколько  необходимо,  в  отличие  от  NT 4.0, где размер домена ограничен.

· 
Каждый домен
служит границей защиты в том смысле, что режим и параметры безопасности (такие
как права администрирования, политика безопасности и списки доступа) не
распространяются за пределы домена.

3.2.НАСТРОЙКА   ЛОКАЛЬНОЙ   СЕТИ   WINDOWS 2000 SERVER С ДОМЕННОЙ АРХИТЕКТУРОЙ

При настройке сети Windows 2000 нужно выполнить следующие
операции:

· 
Подключение к
сети.

· 
Установка сетевых
плат.

· 
Установка
протоколов, которые Вы намерены использовать.

· 
Настройка служб.

· 
Настройка средств
защиты.

· 
Выбор часового
пояса и перезапуск.

Подключение к сети.

Первое, что сделает
программа установки Windows 2000 на
этой стадии,  — спросит Вас о том, каким образом будет осуществляться
соединение. Если компьютер с Windows
2000 войдет в состав уже существующей сети, нужно сначала физически подключить
его к этой сети.

Надо сообщить Windows 2000, каким образом компьютер будет
участвовать в сети. Программа установки предложит Вам выбрать один из следующих
вариантов:

Donotconnectthiscomputertoanetworkatthistime.

(Пока что не подключать
компьютер к сети.)  

This
computer will participate on a network.

(Этот компьютер будет
подключен к сети.)

Wired to
the network.

(Соединен кабелем.)

Remote
access to the network.

(Удаленный доступ к сети.)

Выберите this computer
will participate on a network или wired to the network, и установка Windows 2000 продолжится. Затем программа предложит Вам установить Microsoft Internet Server. Чтобы излишне не усложнять установку, ответьте NO.

Установка сетевых
плат.

Теперь нужно выбрать и
установить сетевую плату. Windows
2000 очень хорошо умеет их обнаруживать и автоматически распознавать. Если
плата не распознана автоматически, ее можно настроить вручную, выбрав один из
предлагаемых вариантов. Для этого нужно установить переключатель в положение no, iwanttoselecthardwarefromalist. Откроется список устройств.
Выберите пункт NetworkAdapters, а в нем – фирму-производителя
вашего устройства. Если его там нет, щелкните на кнопке havedisk и установите драйвер для Windows 2000, поставляемый на диске вместе с
платою.

Теперь, когда плата
установлена, нужно указать используемые ею номер прерывания (IRQ) адреса портов ввода/вывода и
оперативной памяти.

Настройка
протоколов.

Теперь нужно сообщить
программе установки, какие протоколы вы используете. По умолчанию
подразумевается, что вам нужны NetBEUI,
TCP/IP и IPX/SPX.

Настройка
служб.

После этого программа
установки предложит Вам установить службы сервера. По умолчанию устанавливается
конфигурация RPC и интерфейс NetBIOS. Можно установить еще множество служб, но для начала
ограничимся минимальным набором, достаточным для использования Windows 2000.

Безопасность.

Windows 2000 Server – очень защищенная система. Ей требуется
подтверждение всех машин в сети. Но здесь есть одно узкое место: подтверждаются
только серверы  и рабочие станции Windows 2000 или более ранних версий NT. Компьютеры, управляемые DOS, Windows
или OS/2, не подтверждаются. Если у Вас
есть действующие учетная запись и пароль, Вы можете использовать эти машины в
сети, но только компьютеры Windows
2000 и NT будут централизовано управляться
администратором. Если добавить в существующий домен новый компьютер с Windows 2000, нужно сообщить существующим
машинам о присутствии новой с помощью Server Manager.

Выбор
часового пояса и перезапуск.

Первый этап установки
почти закончен. Последнее, что нужно указать инсталляционной программе, —
часовой пояс, в котором Вы находитесь. Выберите, следуя ее подсказкам,
временную зону. Затем Windows
2000 Setup перезагрузит компьютер. В результате
у нас будет простейшая конфигурация ОС, которая загружается и работает.

3.3.ПОДКЛЮЧЕНИЕ
 КЛИЕНТСКОЙ  РАБОЧЕЙ  СТАНЦИИ  WINDOWS
98 К ДОМЕНУ

В создаваемой нами
локальной сети клиентские рабочие станции используют ОС Windows 98. Рассмотрим порядок подключения
их к сети.

При установке клиента Windows 98 необходимо следующее.

· 
Программное
обеспечение. Заранее установленная операционная система.

· 
Аппаратные
средства. Рабочая станция с платой сетевого интерфейса.

· 
Протокол. Вы должны
знать, какой протокол будете использовать для соединения – NetBEUI, IPX/SPX или TCP/IP.

· 
Имя пользователя
и пароль. Нужно создать учетные записи для новых пользователей, чтобы после
установки проверить соединение.

Опишем процедуру
подключения клиента Windows 98 к сети.

1. 
Выберите из меню Startкоманду Settings – ControlPanel и дважды щелкните на пиктограмме Network.

2. 
Выберите вкладку Configuration и щелкните на кнопке Add. Появится окно Select Network Component Type.

3. 
Выберите Client for
Microsoft Networks и щелкните на кнопке Properties. Откроется
диалоговое окно Client for Microsoft Networks Properties.

4. 
В разделе
Logon Validation выберите переключатель Log on to Windows  2000
 Domain.  Введите
 имя  Вашего домена    Windows
2000 и щелкните на кнопке OK, чтобы
вернуться в диалоговое окно Network.

5. 
На  вкладке Identification должна появиться информация,
введенная Вами в процессе настройки. Исправьте ее, если она неверна. В любом
случае, закройте все открытые окна, щелкая на кнопке OK, чтобы изменения вступили в силу.

6. 
Перезагрузите
компьютер по запросу ОС.

Для того чтобы убедиться
в подключении клиента Windows 98 к
сети, предпримите следующие действия.

1. 
Щелкните на
пиктограмме NetworkNeighborhood, расположенной на рабочем столе.
Откроется окно с пиктограммами сетевых устройств, доступных с вашей рабочей
станции.

2. 
Дважды щелкните
на пиктограмме сервера Windows
2000. должен появиться список совместно используемых ресурсов сервера,
доступных для данной рабочей станции. Если Вы его видите, значит, компьютер
подключен к сети, и можно просмотреть файлы на жестком диске сервера.