Записки ремесленника

Александр Приходько

Спецвыпуск: Хакер, номер #061, стр. 061-108-2

Поднимаем неподъемное

Наступило время заняться серьезным делом - поднимать домен. Ты знаешь, почему у Буратино дерево не выросло? Потому что бестолковая лиса Алиса сказала ему не ту команду: вместо "Preks-Feks-Peks" нужно было набирать в командной строке "DCPROMO", и тогда даже не дерево - целый лес бы вырос.

Поехали. Start> Run, в строке Open набрать "dcpromo" - попадаем на Active Directory Installation Wizard. Нажать Next, внимательно прочитать предупреждение о том, что старые оси Windows 95 и Windows NT4 не смогут подключиться к домену, который работает под управлением Win2k3 Server. На следующей страничке выбираем Domain controller for a new Domain, затем Next (соглашаемся на создание нового леса). Далее предлагается сконфигурить DNS (ну не работает AD без DNS) - согласиться. Далее предупредят о необходимости откорректировать сетевые параметры, в ответ залезть в свойства протокола TCP/IP, в поле Preferred DNS Server укажи IP-адрес своего же сервера. Теперь необходимо придумать имя этому новому домену.

А сейчас лирическое отступление. Возможности операционной системы Windows 2003 Server, вопреки распространенному мнению, очень широкие. Когда в офисе разворачивается AD, предполагается, что в данной конторе работает около 10 000 человек, поэтому механизмы настройки и аудита такие серьезные. При создании пользователей в контексте AD каждый пользователь получает свой e-mail-адрес - pupkin@твойдомен.провайдер. Если ты поднимаешь домен и у тебя есть реальное доменное имя, то в название домена должно быть введено именно оно. Но мы рассматриваем ситуацию, когда домен поднимается в локальной небольшой сети, так что назначаем любое имя. Я, например, обхожусь двухбуквенным именем. Соответственно, и DNS зона, которую поднимем, будет кукольной.

Итак, имя нашли. В ответ пришло гнусное предупреждение о том, что имя должно походить на domain.microsoft.com - проигнорировать, нажать Yes. После минуты обиженного молчания Windows соглашается с нашим именем и даже угодливо предлагают свой вариант Domain NetBIOS Name - соглашайся. Далее следует создание каталогов для размещения базы данных AD. Существует мнение, что базу NTDS лучше не держать на системном диске, чтобы не снижать быстродействие. Когда в AD сидит 10 000 пользователей, это заметно, но в нашей провинциальной сети на 10-100 пользователей особого простора в скорости мы не заметим, так что оставляй все по умолчанию. Держать на системном диске каталог SYSVOL тоже не рекомендуется. Далее получаем сообщение об ошибке настройки зоны DNS - выбрать пункт "I will correct the problem later by configuring DNS manually" (Advanced).