Шон Дьюби (sdeuby@windowsitpro.com) - старший аналитик в компании Platform Vision с 25-летним стажем работы в области корпоративных информационных систем. Внештатный редактор Windows IT Pro, имеет звание MVP
Расширение схемы AD для поддержки новой версии операционной системы или интегрированных с Active Directory (AD) приложений, для которых это необходимо (например, Exchange Server) – обычная, хотя и не очень распространенная, административная задача. Обновления схемы всегда были источником беспокойства для администраторов AD. Причина не связана с неудачным опытом обновления схемы: у 499 из 500 опрошенных администраторов AD такой печальный опыт отсутствует. Причина опасений — в беспорядке, который вносит обновление схемы AD, и этот процесс необратим. Любое действие, которое затрагивает инфраструктуру аутентификации и авторизации Windows и для которого не существует кнопки отмены, требует осмотрительности.
Помимо администраторов AD, обновления схемы также досаждают службам поддержки (CSS) Microsoft, поскольку порождают многочисленные звонки от пользователей. Кроме того, внедрение новых функций, относящихся к AD и к новой операционной системе, ощутимо замедляется, если их реализация зависит от обновления схемы, которое требует повышенного внимания, а значит, дополнительных трудозатрат. Поэтому перед группой разработчиков AD для Windows Server 2012 стояла задача сделать данный процесс более простым и быстрым, чем в предыдущих версиях. В Server 2012 утилита Adprep интегрирована в процесс установки роли службы доменов Active Directory (AD DS).
Adprep – утилита на установочном носителе операционной системы, выполняющая ряд важных функций обновления AD для поддержки этой операционной системы. Из трех основных процессов – /forestprep, /domainprep и /rodcprep – первым выполняется /forestprep, который дополняет схему AD новыми классами объектов и атрибутов, необходимыми для новой версии AD. Далее, /domainprep обеспечивает создание новых известных объектов в AD и применение изменений в системе безопасности. Наконец, задача /rodcprep состоит во внесении изменений в систему безопасности леса для реализации функциональности контроллера домена только для чтения (RODC).
Adprep в составе диспетчера сервера
Во врезке «Обновление каталога Active Directory до версии Windows Server 2012» описано обновление леса Windows Server 2008 R2 до Server 2012 с использованием интегрированной утилиты Adprep и последующее повышение локального DC с Server 2008 R2 до Server 2012. Администраторов AD, которые не утруждали себя изучением документации, ожидает большой сюрприз, поскольку процессы подготовки леса и домена выполняются в результате инициирования установки DC Server 2012 автоматически и без оповещения, а не заблаговременно (см. экран). Это означает, что если одному из ваших коллег-администраторов вздумается установить DC Server 2012 в домен, вы узнаете об этом тогда, когда Adprep уже отработает все необходимые действия. Вот вам и тщательное планирование! С другой стороны, небольшим предприятиям вообще будет не о чем беспокоиться.
Экран. Проверка леса и домена |
Adprep из командной строки
Чтобы успокоить администраторов AD старой школы, заметим, что остается возможность запуска Adprep вручную из папки \support\adprep установочного диска Server 2012. Однако, в отличие от предыдущих версий, 32-разрядный вариант утилиты (Adprep32) отсутствует, и запуск Adprep возможен лишь из 64-разрядной версии Server 2008 (или более поздней).
Adprep не обязательно запускать на контроллере домена с ролью хозяина схемы, однако сервер Server 2012, из которого загружается обновление (не обязательно DC), должен иметь возможность установления соединения с владельцем схемы леса и владельцем инфраструктуры домена. С помощью параметров /user и /userdomain можно указать отдельные учетные данные для Adprep /forestprep (группа Enterprise Admins), /domainprep или /rodcprep (группа Domain Admins). Это повышает степень гибкости в обновлении леса и доменов.
Упразднение Dcpromo
Утилита Dcpromo прекратила свое существование. При попытке ее запуска появляется сообщение о том, что процесс установки роли доменных служб Active Directory (то есть возведения в ранг DC) перемещен в диспетчер сервера, со ссылкой на статью «Installing AD DS by using Server Manager» (http://technet.microsoft.com/en-us/library/hh472162.aspx#BKMK_GUI), содержащую инструкции по установке AD DS. Это не просто внешнее изменение, так как сам процесс переработан до основания. Чтобы снизить вероятность ошибок, еще до повышения роли выполняется ряд предварительных проверок с последующей попыткой исправления ошибки конфигурации, либо выдачей сообщения (написанного понятно, а не на языке разработчиков) с описанием ошибки и предложением действий по ее исправлению. Как и для других административных задач в Server 2012, все, что можно сделать в графическом интерфейсе, может быть сделано в PowerShell, и наоборот. Сценарий PowerShell, содержащий все параметры, указанные при установке в графическом интерфейсе, можно экспортировать, что позволяет использовать его повторно на другом DC в данном домене.
.
Обновление каталога Active Directory до версии Windows Server 2012
В списке проблем, которые не дают администратору Active Directory спать по ночам, обновление схемы Active Directory всегда занимало едва ли не первое место. Эта проблема существует с момента появления каталога Active Directory в службе Windows 2000 и актуальна до сих пор. Почему обновление схемы Active Directory вызывает столько опасений? Все они сводятся к двум словам: «Возврата нет». Расширение схемы Active Directory, всегда сопровождающее переход к использованию новой версии операционной системы Windows Server, чрезвычайно трудно обратить вспять, и к этому варианту прибегают только в самых крайних обстоятельствах.
Однако сейчас, спустя одиннадцать лет с момента реализации, процесс ADPREP был признан весьма надежным, и излишнее волнение по поводу результатов его выполнения вряд ли оправдано. В версии Windows Server 2012 разработчики Microsoft сделали шаг вперед, объединив механизмы обновления леса и домена ADPREP с процессами подготовки контроллеров домена DCPROMO и интегрировав их в единый мастер Active Directory Domain Service Configuration Wizard, который «обо всем позаботится».
Давайте пошагово пройдем алгоритм, который я решил использовать при обновлении своего домашнего леса Windows Server 2008 R2 до версии Windows Server 2012. На данный момент у меня там два контроллера домена версии Windows Server 2008 R2 и три сайта. Я собираюсь выполнить обновление, используя сценарий, подходящий для малого и среднего бизнеса: мне нужен контроллер домена Windows Server 2012 в лесу Active Directory, чтобы использовать новые возможности (такие, как новый интерфейс корзины и детальные политики паролей), и мне не хочется отвлекаться на мелочи.
Для этого я беру обычный сервер с системой Windows Server 2012 и делаю его контроллером домена, последовательно выполняя инструкции мастеров Add Roles and Features и AD DS Configuration.
Процесс обновления леса, домена и контроллера домена до версии Windows Server 2012 в моем маленьком лесу занял 30 минут от начала и до конца. Конечно, ваши временные затраты могут отличаться, так как время обновления леса и домена зависит от количества имеющихся контроллеров домена и топологии сайта.
Этот комплексный, объединенный процесс подойдет не всем; многие администраторы крупных каталогов AD все равно захотят разбить процесс обновления на части и иметь над ним жесткий контроль. Однако для тех 80% каталогов Active Directory в мире, которыми управляют специалисты по ИТ, этот процесс обновления и расширения функциональности сделает переход окружения Active Directory на версию Windows Server 2012 куда более простой задачей.