Archivio

Archivio per la categoria ‘Microsoft’

Active Directory disaster recovery: ripristino su hardware differente

17 novembre 2009

Active Directory disaster recovery: ripristino su hardware differente

Di Ermanno Goletto SysAdmin.it – MCTS – MCSA – MCP – MCBMSP – MCBMSS
e Mario Serra SysAdmin.it
Microsoft MCP – MCTS – MCDST

Introduzione

In questo articolo prenderemo in esame uno scenario non aderente alle best practices indicate da Microsoft per quanto riguarda l’implementazione di un’infrastruttura Active Directory ovvero uno scenario in cui vi sia un unico Domain Controller. Questa situazione è però purtroppo frequente soprattutto in situazioni in cui siano presenti pochi client(si pensi ad esempio a piccoli uffici) dove il budget a disposizione non permette l’acquisto dell’hardware e della licenza per un secondo Domain Controller.

Sommario

Scenario

Lo scenario sarà un’infrastruttura con unica foresta a singolo dominio test.local in cui vi sia un solo domain controller SRVDC01 che detiene quindi i ruoli FSMO ed configurato come server DNS e Global Catalog.

Si supponga ora che il server SRVDC01 cessi di funzionare e sia necessario ripristinare il DC su hardware differente.

Ripristino del Domain Controller su hardware differente in ambiente Windows 2003 Server

Per poter ripristinare il Domain Controller su hardware differente occorre che siano verificate le seguenti condizioni:

  1. Avere a disposizione un backup della partizione di sistema e del System State eseguito dopo aver arrestato tutti i servizi che potrebbero bloccare file (antivirus, scansione dischi e servizi di indicizzazione). Essendo in un scenario con un unico DC quindi senza altri DC verso cui replicare il periodi di tombstone degli oggetti di Active Directory di 60 giorni (o 180 per sistemi Windows 2003 SP1 e successivi in determinate situazioni) può essere ignorato.
  2. Il computer origine e destinazione devono avere lo stesso tipo di HAL (Hardware Abstraction Layer) con alcune eccezioni:
    • Si può passare da ACPI multiprocessor a ACPI uniprocessor e viceversa.
    • Si può passare da MPS multiprocessor a MPS uniprocessor e viceversa.

E’ possibile determinare il tipo di HAL tramite il nodo Computer della console Gestione Periferiche devmgmt.msc.

Nel caso in cui il computer sorgente abbia un HAL ACPI e quello destinazione un HAL MPS potrebbe essere possibile aggiornare il BIOS del computer destinazione per consentire il supporto ad ACPI, nel caso il fornitore della scheda madre abbia rilasciato l’aggiornamento.

  1. Il sistema sorgente e destinazione devono utilizzare un identico sistema operativo per quanto riguarda versione software e retail o OEM. La pratica più corretta è quella di installate il sistema di destinazione utilizzando lo stesso media impiegato per installare il sistema sorgente.
  2. Il sistema destinazione deve avere lo stesso livello di service pack e di hotfix del sistema sorgente.
  3. Il sistem sorgente e destinazione devono avere la stessa lettera per il drive logico di sistema (%systemdrive%) e lo stesso path di installazione (%systemroot%). Inoltre nel caso di un Domain Controller devono essere identici anche la posizione del database e dei log del servizio Active Directory e del database e dei log del FRS (File Replication Service).
  4. Sul sistema di destinazione rimuovere tutto l’hardware non necessario per completare il processo di restore in modo aumentare le probabilità di successo del ripristino (ad esempio disabilitare le schede di rete aggiuntive non necessarie che potranno essere installate al termine del processo di ripristino).

La procedura di ripristino si articola nelle seguenti fasi:

  1. Installare sul sistema di destinazione il sistema operativo rispettando le condizioni viste precedentemente ai punti 3,4 e 5.
  2. Terminata l’installazione del sistema operativo sul sistema di destinazione utilizzare la console Gestione Computer (compmgmt.msc /s) per creare, formattare e assegnare le lettere di volume (le stesse del sistema sorgente) ad ogni volume su cui sono memorizzare componenti del system state o applicazioni nel sistema sorgente.
  3. Creare sul sistema di destinazione una directory C:\Backup e inserire all’interno di essa una copia del file %SystermDrive%\Boot.ini, e della cartella %SystemRoot%\Repair e delle sue sottodirectory.
  4. Eseguire il restore del system state e del drive di sistema sul sistema di destinazione tramite la seguente procedura:
    1. Avviare l’utility di sistema Backup (ntbackup.exe) in modalità interattiva (per default al primo avvio viene proposta la modalità guidata).
    2. Selezionare la voce Opzioni del menù Strumenti, selezionare la scheda Ripristino e quindi l’opzione Sostituisci sempre il file nel computer.
    3. Selezionare la scheda Ripristina e gestisci supporti.
    4. Catalogare il backup contenente il system state e il drive di sistema del sistema sorgente tramite la voce di Cataloga un file di backup. del menù Strumenti.
    5. Eseguire il restore assicurandosi che sia selezionata l’opzione Percorso originale in Destinazione file ripristinati.
    6. Selezionare Avvia ripristino.
    7. Confermare il messaggio d’avviso di sovrascrittura dello stato corrente del sistema.
    8. Avviare il ripristino accettando le opzioni di ripristino avanzate predefinite.
    9. Terminato il restore selezionare No al messaggio di richiesta di riavvio del computer.
  5. Eseguire le seguenti operazioni al termine del restore, ma prima di riavviare il sistema:
    1. Sostituire il file %SystermDrive%\Boot.ini e %SystemRoot%\Repair\Boot.ini con quello precedentemente memorizzato in C:\Backup\System.ini.
    2. Copiare la directory Repair e le sue sottodirectory da C:\Backup in %SystemRoot%\Repair.
    3. Reinstallare i driver del controller dell’hard disk nel caso nel sistema di destinazione siano stati utilizzati driver di terze parti non inclusi nel disco di installazione di Windows.
    4. Nelle impostazioni TCP/IP verificare che il server DNS non sia impostato su un server DSN non disponibile o su localhost (indirizzo IP locale o di loopback) in quanto i record DNS del backup potrebbero non essere più validi. Al termine del restore, dopo aver verificato che il sistema di destinazione funzioni correttamente sarà possibile impostare l’indirizzo di loopback come server DNS.
    5. Dal momento che il sistema di destinazione è l’unico DC del dominio occorre eseguire il restore autoritativo del File Replication service (FRS) tramite la seguenti impostazione:
      • Aprire la chiave di registro
        HKEY_LOCAL_MACHINE\System\CurrentControlSet\Services\NtFrs\Parameters\Backup/Restore\Process at Startup
      • Impostare il valore DWORD BurFlags a D4.
    6. Riavviare il sistema di destinazione.
    7. Se dopo il riavvio Windows non si avvia normalmente a causa del chipset differente, driver incompatibili o HAL non corrispondente. In questo caso occorre eseguire il ripristino del sistema operativo tramite la seguente procedura:
      1. Avviare i sistema tramite il CD di installazione di Windows.
      2. Premere Invio alla richiesta di Installazione di Windows.
      3. Premere F8 per accettare il Contratto di licenza di Windows.
      4. Premere R per ripristinare l’installazione di Windows.
    8. Se dopo il ripristino del sistema operativo Windows non si avvia normalmente utilizzare la seguente procedura:
      1. Avviare i sistema tramite il CD di installazione di Windows.
      2. Premere R alla richiesta di Installazione di Windows per aprire la console di ripristino.
      3. Digitare l’identifificativo dell’installazione di Windows a cui accedere (1 nel caso ve ne sia solo una) e premere Invio.
      4. Digitare la password di administrator e premere invio.
      5. Digitare il comando disable acpi per disabilitare l’ACPI.
      6. Digitare exit per chiudere la console di ripristino e riavviare il computer.
      7. Eseguire nuovamente il il ripristino del sistema operativo tramite la procedura descritta al punto 8.
    9. Un volta avviato il sistema di destinazione rimuovere le periferiche appartenenti al sistema sorgente e non esistenti nel sistema destinazione (ad esempio scheda di rete, scheda video, controller dischi) tramite la seguente procedura:
      1. Aprire il prompt dei comandi (cmd).
      2. Digitare il seguente comando per consentire la visualizzazione di tutte le periferiche nascoste:
        set DEVMGR_SHOW_NONPRESENT_DEVICES=1
      3. Aprire la console per la gestione delle periferiche tramite il comando devmgmt.msc.
      4. Visualizzare le periferiche nascoste selezionare la voce Mostra periferiche nascoste del menù Visualizza.
      5. Disinstallare le periferiche non esistenti nel sistema.
    10. Aprire le connessioni di rete (ncpa.cpl) e controllare le impostazioni di rete impostando l’indirizzo di loopback come server DNS.
    11. Riavviare il computer.

Se sul sistema sorgente sono presenti anche altre funzionalità oltre al DNS e all’Active Directory potrebbe accadere che siano necessarie ulteriori operazioni (ad esempio se sul sistema è presente il servizio licenze di Terminal Services durante il ripristino del sistema viene segnalato che sarà necessario reinstallare tale funzionalità).

Il mio consiglio nel caso si debba eseguire tale procedura è quello di utilizzare una macchina virtuale come sistema di destinazione in modo che per il futuro il ripristino su hardware differente si risolva nello spostare i file di quest’ultima o al limite nella loro conversione nel caso si utilizzi una nuova versione del software di virtualizzazione. Inoltre una volta rimessa in funzione l’Active Directory sarebbe consigliabile aggiungere un secondo domain controller e migrare su questo i ruoli fsmo in modo da avere un domain controller basato su un’installazione nuova evitando così di portarsi dietro possibili problemi dovuti al ripristino su hardware differente.

Per ulteriori informazioni si vedano i seguenti:

Ripristino del Domain Controller su hardware differente in ambiente Windows 2008 Server

Con Windows 2008 Server la gestione del backup e del restore è demandata a Windows Server Backup che ha sostituito NTBackup. Windows Server Backup utilizza il servizio Copia Shadow del volume e la tecnologia di backup a livello di blocco per eseguire il backup e ripristino del sistema operativo, di file, cartelle e volumi. Il ripristino può essere eseguito sullo stesso server oppure, in caso di errore hardware, in un server diverso con hardware simile e privo di sistema operativo.

Per quanto riguarda il restore su hardware differente occorre tenere presente che l’immagine di backup contiene i driver utilizzati per avviare il sistema dopo il restore, quindi nei casi in cui il tipo di controller dei dischi (IDE, SATA o SCSI) sia diverso tra computer sorgente e destinazione potrebbe essere necessario specificare i driver necessari durante la fase di ripristino.

La procedura di ripristino si articola nelle seguenti fasi:

  1. Avviare il sistema di destinazione col DVD di installazione di Windows 2008 Server. Nel sistema di destinazione dovrà essere disponibile il backup del sistema sorgente (per esempio memorizzato su un disco USB connesso al sistema).
  2. Selezionare l’opzione Ripristina il Computer.
  3. Selezionare l’opzione Ripristina il computer utilizzando un’immagine del sistema creata in precedenza (nel caso sia necessario utilizzare driver del controller dischi diversi da quelli del sistema sorgente e non compresi tra i driver disponibili sul DVD di installazione specificarli tramite Carica driver) quindi selezionare Avanti.
  4. Accettare l’opzione predefinita di ripristino dell’immagine di sistema più recente o selezionarne una specifica quindi selezionare Avanti.
  5. Terminata la procedura di ripristino, dopo aver avviato il sistema di destinazione rimuovere le periferiche appartenenti al sistema sorgente e non esistenti nel sistema destinazione (ad esempio scheda di rete, scheda video, controller dischi). La procedura è analogoga a quella utilizzata con sistemi Windows 2003 Server e descritta precedentemente al punto 9.
  6. Aprire le connessioni di rete (ncpa.cpl) e controllare le impostazioni di rete impostando l’indirizzo di loopback come server DNS.
  7. Riavviare il computer.

Anche in questo caso valgono le considerazioni fatte precedentemente per sistemi Windows 2003 Server di utilizzare una macchina virtuale come sistema di destinazione e di aggiungere un secondo domain controller su cui migrare i ruoli fsmo.

Per ulteriori informazioni si vedano

Verifica della funzionalità di Active Directory

Per verificare che Active Directory funzioni correttamente è possibile utilizzare il seguente script:

REM *** I test sono memorizzati su file nella directory di avvio dello script

REM Eliminazione test precedenti
DEL Test-*.txt

REM Controllo Share
net share > Test-01-NetShare.txt
dcdiag /test:netlogons /f:Test-02-NetLogons.txt /i

REM Controllo DNS
dcdiag /test:DNS /DnsDynamicUpdate /f:Test-03-DnsDynamicUpdate.txt /i
dcdiag /test:DNS /DnsRecordRegistration /f:Test-04-DnsRecordRegistration.txt /i
dcdiag /test:RegisterInDNS /DnsDomain:%USERDNSDOMAIN% /f:Test-05-RegisterInDNS.txt /i

REM Controllo Membership
dcdiag /test:MachineAccount /f:Test-06-MachineAccount.txt /i

REM Controllo Replica
dcdiag /test:Replications /f:Test-07-Replications.txt /i
dcdiag /test:VerifyReplicas /f:Test-08-VerifyReplicas.txt /i
repadmin /showreps > Test-09-RepAdmin-showreps.txt

REM Controllo Operations Masters
dcdiag /test:knowsofroleholders /f:Test-10-knowsofroleholders.txt /i
dcdiag /test:fsmocheck /f:Test-11-fsmocheck.txt /i
netdom /query fsmo >Test-12-QueryFsmo.txt

Conclusioni

Tale configurazione non rispetta le best practices indicate da Microsoft per quanto riguarda l’implementazione di un’infrastruttura Active Directory dal momento che con un solo DC non è possibile avere alcuna ridondanza. Ciò comporta inevitabilmente un disservizio nell’utilizzo delle funzionalità di rete che richiedono l’autenticazione che si protrae fino al temine della procedura di disaster recovery. E’ quindi consigliabile prevedere la messa in funzione di un secondo DC utilizzando ad esempio una macchina virtuali per ridurre le spese legate all’hardware. In alternativa si potrebbe pensare di virtualizzare l’unico Domain Controller eseguendo periodici backup della macchina virtuale dopo averla arrestata, ciò non eviterebbe un disservizio nel caso in cui l’hardware su cui è in esecuzione la macchina virtuale cessasse di funzionare, ma ridurrebbe i tempi necessari alla procedura di disaster recovery e la semplificherebbe notevolmente.

Share

Microsoft

Guida alle licenze CAL

16 novembre 2009

Guida alle licenze CAL

Che cos’è una licenza CAL (Client Access License)?

Le licenze CAL (Client Access License) non sono prodotti software e il loro acquisto è necessario in ambienti di rete in cui i PC (Personal Computer) utilizzano le funzioni messe a disposizione da uno o più server. Un esempio potrebbe essere una rete di PC che sfrutta le funzioni di stampa o di condivisione di un file che il server mette a disposizione.

Le licenze CAL possono rivelarsi un ambito piuttosto complicato poiché possono esistere ambienti di rete alquanto differenti e complessi. Di seguito sono disponibili diverse informazioni utili per capire quali sono le licenze CAL più adatte alle diverse realtà. Prima di procedere all’acquisto, visita la sezione Scenari di esempio e consulta il tuo rivenditore di fiducia.

Tipologie:

  • Licenze Per Dispositivo (Device CAL)

  • Licenze Per Utente (User CAL)

  • Licenze Per server

  • Licenze Per processore

  • Scenari di esempio
  • Elenco prodotti:

  • Application Center 2000

  • BizTalk Server 2006

  • Class Server

  • Commerce Server 2007

  • Content Management Server 2002

  • Exchange Server 2007

  • Host Integration Server 2006

  • Internet Security and Acceleration Server 2006

  • Live Communications Server 2005

  • Systems Center Operations Manager 2007

  • Office Project Server 2007

  • Office SharePoint Server 2007

  • SQL Server 2005

  • Systems Management Server 2003 R2

  • Windows Server 2003 R2

  • Windows Small Business Server 2003 R2
  • Licenze Per Dispositivo (Device CAL)

    Le licenze Per Dispositivo (Device CAL) concedono il diritto di utilizzare le funzioni rese disponibili da uno o più server per tutti i dispositivi dotati di regolare licenza CAL.

    Licenze Per Utente (User CAL)

    Le licenze Per Utente (User CAL) concedono il diritto di utilizzare le funzioni rese disponibili da uno o più server ad un utente nominale. L’utente può utilizzare le funzioni rese disponibili da uno o più server utilizzando anche più di un solo dispositivo.

    Licenze Per server

    In questo modello di licensing a un particolare server è associato un determinato numero di licenze CAL e il numero di dispositivi autorizzati ad accedere simultaneamente al server non può superare il numero di licenze CAL acquistate per il server. Le licenze CAL non sono associate in modo permanente a un determinato dispositivo, se l’organizzazione decide di aggiungere un altro server Windows Server 2003 R2, sempre in modalità Per server, per accedere a questo secondo server sarà necessario acquistare ulteriori CAL per Windows Server. Nei deployment Per server è l’amministratore di sistema che in fase di configurazione del server determina il numero di licenze CAL da associare, in base al numero di licenze acquistate per il server. Le licenze Per server sono disponibili per Windows Server 2003 R2.

    Licenze Per processore

    Per alcuni prodotti server è disponibile anche il modello di licensing Per processore, che prevede l’acquisto di una licenza per ciascun processore installato nel server in cui il software dovrà essere eseguito. La licenza Per Processore consente l’accesso da parte di un numero illimitato di utenti, che possono connettersi dall’interno della rete LAN (Local Area Network) o WAN (Wide Area Network) oppure dall’esterno del firewall. Pertanto, non è necessario acquistare ulteriori licenze server, CAL o Internet Connector.

    Scenari di esempio

    Licenziamento “Per Device” o “Per User”

    In questo scenario l’organizzazione ha scelto di distribuire Windows Server 2003 R2 in modalità mista “Per Device” e “Per User” acquistando un mix di licenze CAL Device e User.

    Licenziamento “Per Server”

    In questo scenario l’organizzazione ha scelto di distribuire Windows Server 2003 R2 in modalità Per server, l’acquisto di cinque licenze CAL consentirà a un massimo di cinque dispositivi di connettersi simultaneamente al server. Per offrire l’opportunità di connessione al server, da parte dei dispositivi esclusi, sarà quindi necessario aumentare la quantità di licenze CAL oppure attendere che uno dei cinque dispositivi che occupa una licenza CAL termini la connessione al server e, quindi, la renda libera.

    Licenziamento “Per Processore”

    L’impresa oggetto di questo scenario utilizza un server mono processore con una copia di SQL Server quale database per il proprio applicativo gestionale. Le funzionalità rese disponibili da SQL Server vengono utilizzate da un numero elevato di utenti interni e da un numero indefinito di utenti tramite Internet. In questo caso non è possibile definire il numero esatto di licenze CAL da acquistare e ci si è orientati sulla scelta di licenziare SQL Server grazie alla modalità “Per Processore”. In questo modo è necessario acquistare tante licenze di SQL Server “Per Processore” in base al numero di processori del server.

    Le licenze “Per Processor” sono disponibili per SQL Server e ISA Server.

    Per ulteriori informazioni su Microsoft Windows Server System, visita l’area dedicata.

    Share

    Documenti Tecnici, Microsoft

    Migrare un dominio NT 4 a windows 2000/2003

    15 novembre 2009

    Un ottimo tutorial per la migrazione di un server nt4 domain controller a Windows 2000/2003 tratto dal sito di http://www.andreabeggi.net

    Negli ultimi due anni mi è capitato sovente di dover aggiornare un dominio NT4 ad uno Active Directory Windows 2000 o 2003, e nell’ultimo periodo anche i ritardatari si sono decisi ad effettuare la migrazione. Oltre alle ben note caratteristiche introdotte dalla piattaforma, va segnalato che tra un mese circa MS cesserà di fornire supporto per NT, e l’assenza di aggiornamenti è un fattore critico. Inoltre ci sono problemi con le nuove normative sulla sicurezza e la privacy che dovrebbero entrare in vigore tra breve.
    Dopo diverse migrazioni ho trovato un metodo abbastanza sicuro e veloce per effettuare l’aggiornamento.

    Intanto tutte le migrazioni che ho fatto sono state effettuate in occasione dell’acquisto di un nuovo server, dato che, un server che funziona non si tocca, ma si sostituisce quando è vecchio.
    In un dominio NT, l’aggiornamento fa fatto partendo dal Primary Domain Cantroller (PDC), seguito poi dai Backup Domain Controller (BDC), se ci sono.
    Naturalmente il server in attività è troppo vecchio per essere aggiornato, ed inoltre non lo vogliamo assolutamente toccare finchè non siamo sicuri del successo dell’operazione. D’altronde non voglio che il nuovo server abbia un s.o. “sporco” che è stato caricato da un aggiornamento. Ultima cosa: voglio assolutamente un backup del database di dominio, se qualcosa andasse storto.
    Per fare tutto questo ho bisogno di due PC abbastanza recenti da usare rispettivamente come backup e “ponte” per l’aggiornamento, li chiameremo A e B (*). Si procede così:
    Come prima cosa fate un backup completo del server, non si sa mai. Intallate NT4 server su A, rendendolo BDC del dominio, e sincronizzate il database da “gestione server”. Controllate sui log l’avvenuta sincronia, dopodichè scollegate A dalla rete e mettetelo da parte: è il backup del database del dominio, che vi permette di ritirare su la struttura se qualcosa va male.
    Installate NT4 Server anche su B, rendendolo PDC, questa volta. Sincronizzate il dominio come avete fatto prima.
    Adesso inizia la migrazione vera e propria. Aggiornate B da Windows NT 4 Server a Windows Server 2000/2003.
    Al termine dell’aggiornamento, se tutto è andato a buon fine il dominio è già migrato, ed è in modalità mista. Durante l’aggiornamento la rete continua a funzionare, tranne che per un breve periodo durante il riavvio dei servizi di rete sul server.
    Adesso potete preparare il vostro nuovo server con Windows 200x. Rendetelo Domain Controller (DC) tramite un dcpromo. Il vostro dominio AD al momento ha 2 DC. Configurate molto attentamente il servizio DNS. Controllate lo stato del dominio e della sua replicazione tramite dcdiag. Tornate sulla macchina B e abbassatela a server membro, usando sempre dcpromo. Ricontrollate dcdiag, spegnete la macchina B e rimuovetela dal dominio e dall’elenco dei DC. Spegnete e rimuovete dal dominio anche il vecchio server, che a questo punto non serve più.
    Ecco fatto: il dominio è migrato. Se avete anche dei BDC potete tenerli così, oppure sostituirli.
    Adesso terminate l’installazione dei servizi di cui avete bisogno. (Una guida qui.)
    Se qualcosa andasse storto, in qualunque momento potrete ripristinare il database del dominio staccando i server sui quali state lavorando, riattaccando la macchina A e promuovendola PDC.
    Sui client non va fatta nessuna operazione.

    Share

    Microsoft

    Active Directory disaster recovery: sostituzione del root domain controller

    15 novembre 2009

    Introduzione

    Active Directory rappresenta il baricentro di un’infrastruttura informatica basata su tecnologia Microsoft. L’accesso alle risorse, la funzionalità dei servizi, la configurazione degli ambienti di lavoro dipendono da Active Directory. Diventa quindi essenziale progettare l’infrastruttura in modo che questo fondamentale servizio sia ridondato e predisporre delle procedure per ripristino in casi in cui occorre eseguire un disaster recovery.

    Sommario

    Scenario

    In questo scenario prenderemo in esame un’infrastruttura ipotetica con un’unica foresta a singolo dominio test.local in cui vi siano due domain controller:

    • il server SRVDC01 che detiene i cinque ruoli FSMO (master schema, master per la denominazione dei domini, master RID, master emulatore PDC e master infrastrutture) ed configurato come server DNS e Global Catalog;
    • il server SRVDC02 configurato come server DNS e Global Catalog.

    Si noti che in una struttura a singolo dominio non sono presenti phantom, quindi il master infrastrutture non ha funzioni da svolgere. Questo significa che ruolo master infrastrutture può essere collocato su un qualsiasi controller di dominio indipendentemente dal fatto che sua o meno configurato come catalogo globale. I phantom sono oggetti di basso livello del database Active Directory utilizzati per operazione di gestione interna e non visibili tramite LDAP o Active Directory Service Interfaces (ADSI). Per ulteriori informazioni in merito si vedano Collocazione e ottimizzazione di FSMO in controller di dominio Active Directory e Phantoms, tombstones and the infrastructure master.

    Si supponga ora che il server SRVDC01 cessi di funzionare rendendo così non disponibili i ruolo FSMO, per ripristinare la funzionalità di Active Directory occorre eseguire le seguenti operazioni:

    • Assegnare (seize) i ruoli FSMO sul server SRVDC02 in quanto, dal momento che il server SRVDC01 non è disponibile, non è possibile trasferirli.
    • Rimuovere da Active Directory i riferimenti al server SRVDC01.
    • Assicurarsi che i client abbiano il sever SRVDC02 configurato come DNS e non abbiano più riferimenti al server SRVDC01.

    Si noti che sebbene il server SRVDC01 non sia disponibile i client possono continuare ad autenticarsi se su di essi è stato configurato come DNS secondario il server SRVDC02 grazie al fatto che entrambi i DC sono Global Catalog. Il Global Catalog (GC) contiene una copia parziale in sola lettura di tutti gli oggetti definiti nei domini della foresta il cui insieme e l’aggiornamento dei loro attributi è frutto della replica multimaster. Le attività che prevedono l’utilizzo del GC sono:

    1. ricerca di oggetti a livello di foresta eseguite tramite LDAP su porta TCP 3268 o su porta TCP 3269 se viene utilizzato LDAP con SSL. Un esempio di utilizzo del GC è lo snap-in Active Directory Users and Computers quando si esegue una ricerca che ha come scope Entire Directory un altro esempio è l’Infrastructure Master durate la fase di aggiornamento dei phantom record;
    2. user logon in un dominio con livello funzionale Windows 2000 nativo o successivo in quanto a partire da versione dello schema di Active Directory sono disponibili i gruppi universali e ciò comporta che durante la fase di autenticazione il DC contatti il GC per ottenere i SID dell’utente e dei gruppi universali a cui appartiene (anche quelli definiti esternamente al dominio).
    3. UPN logon se l’utente utilizzi la sintassi UPN (User Principal Name) per l’autenticazione, in questo caso il DC contatta il GC fornendo il valore dell’attributo user-PrincipalName dell’oggetto User per ottenere il DN dell’utente e ricavare in questo modo il dominio di appartenenza dell’account. Inoltre il GC viene anche utilizzato nel caso vi sia un trust tra due foreste con livello funzionale Windows Server 2003 o successivo durante l’autenticazione UPN di un  account definito esternamente alla foresta su cui si sta eseguendo l’autenticazione (in questo il GC contatta il GC dell’altra foresta per ottenere le informazioni sull’account).
    4. Exchange client infatti i client Outlook durate l’apertura dell’Address Book o durate la compilazione del campo “Da” di una mail contattano il GC specificato dal server Exchange  per ottenere la GAL (Global Address List).
    5. Client Active Directory che utilizzano la rubrica di Windows per ricercare persone e contatti memorizzati in Active Directory.

    Nel caso di una foresta a dominio singolo ogni DC può servire tutte le richieste di logon (incluse le UPN) senza utilizzare il GC, ma solo un DC configurato come GC può rispondere a richieste LDAP.

    L’indisponibilità dei ruoli master impedisce l’esecuzione delle seguenti operazioni e genera alcuni disservizi:

    1. la modifica dello schema della foresta in quanto tale operazione, che può essere eseguita da un qualunque DC, prevede la connessione al DC che detiene il ruolo di Schema Master e che è anche l’unico DC della foresta a possedere una copia in scrittura dello Schema Partition;
    2. la creazione di un nuovo dominio in quanto tale operazione prevede la connessione al DC che detiene il ruolo Domain Naming Master che provvede a verificare che il dominio non sia già stato definito e ad attribuirgli un identificativo GUID univoco, inoltre il Domani Naming Master si occupa anche dell’autorizzazione alla cancellazione di un dominio e della creazione e cancellazione di una Application Partition, nonchè della validazione delle operazioni di modifica dei nomi dei domini tramite il tool RENDOM;
    3. la richiesta di un nuovo pool di RID (Relative ID) in quanto tale operazione viene servita da DC che detiene il ruolo di Relative ID Master, i RID sono utilizzati dai DC durate la creazione di oggetti Security Principal (User, Group o Computer) per attribuirgli identificativi Security ID (SID) univoci nel formato S-1-5-Y1-Y2-Y3-Y4 (dove Y1-Y2-Y3 è il domain SID e Y4 il RID). Ciò significa che esaurito il pool di RID corrente non sarà più possibile creare oggetti Security Principal (un pool di RID è composto da 500 RID e quando si raggiunge le 100 unità disponibili viene richiesto un nuovo pool). Il Relative ID Master è contattato anche per autorizzare lo spostamento di un oggetto in un altro dominio tramite ad esempio Active Directory Migration Tool per evitare che possa essere spostato in due domini diversi;
    4. l’autorizzazione del raise del livello funzionale del dominio in quanto tale operazione viene servita da DC che detiene il ruolo di PDC Emulator. Inoltre la modifica della password potrebbe avere tempi di convergenza maggiori poiché in seguito ad un cambio password di un account utente o computer il DC interessato comunica la nuova password al PDC Emulator e nel caso un altro DC durante la fase di autenticazione rilevi una password errata prima di comunicare l’errore verifica se il PDC Emulator non abbia ricevuto una modifica delle credenziali (se il ruolo PDC Emulator non è disponibile occorre attendere la replica di Active Directory affinché il secondo DC validi la nuova password). Potrebbero verificarsi anche problemi di sincronizzazione oraria dal momento che il PDC Emulator è la fonte di sincronizzazione del Windows Time Service infatti i DC di un dominio utilizzano il PDC Emulator del proprio dominio come time source e i PDC Emulator dei vari domini utilizzano come time source il PDC Emulator del Forest Root Domain. Infine il PDC Emulator è utilizzato di default dallo snap-in di creazione o modifica di un Group policy Object, ma tramite DC Options è possibile selezionare un altro DC;
    5. possibili incoerenze durante la visualizzazione degli utenti/gruppi nei domini esterni utilizzati nei gruppi del dominio (phantom record) in quanto la relazione GUID-SID-DN di tali utenti/gruppi definiti nei domini esterni viene mantenuta aggiornata dal DC che detiene il ruolo di Infrastructure Master. Il corretto funzionamento dell’Infrastructure Master prevede infatti che la visualizzazione dei membri di tali utenti e dei membri di tali gruppi non produca incoerenze causate dalla modifica del Distinguished Name (DN), per spostamento nel dominio, o del SID, per spostamento in altri domini. L’Infrastrucure Master per svolgere questa attività verifica e aggiorna periodicamente eventuali differenze tra il proprio database locale di phantom record e le informazioni contenute nei Global Catalog e replica tale database a tutti i DC del dominio.

    Assegnazione (seize) dei ruoli FSMO

    Per eseguire il seize dei ruoli FSMO sul server SRVDC02 è possibile utilizzare l’utility a riga di comando Ntdsutil, utilizzando la seguente procedura valida per Windows 2000 Server, Windows 2003 Server e Windows 2008 Server.

    1. Autenticarsi al server SRVDC02 con credenziali di amministratore di dominio.
    2. Aprire un prompt dei comandi.
    3. Digitare il comando ntdsutil.
    4. Al prompt ntdsutil: digitare il comando roles.
    5. Al prompt fsmo maintenance: digitare il comando connections.
    6. Al prompt connections: digitare connect to server srvdc02.
    7. Verificare che la connessione sia avvenuta controllado di ottenere il seguente output.
      Connesso a srvdc02 tramite le credenziali dell’utente connesso localmente.
    8. Al prompt server connections: digitare quit.
    9. Al prompt fsmo maintenance: digitare il comando seize domain naming master.
    10. Confermare il messaggio di conferma della requisizione del ruolo.
    11. Al prompt fsmo maintenance: digitare il comando seize schema master.
    12. Confermare il messaggio di conferma della requisizione del ruolo.
    13. Al prompt fsmo maintenance: digitare il comando seize infrastructure master.
    14. Confermare il messaggio di conferma della requisizione del ruolo.
    15. Al prompt fsmo maintenance: digitare il comando seize pdc.
    16. Confermare il messaggio di conferma della requisizione del ruolo.
    17. Al prompt fsmo maintenance: digitare il comando seize rid master.
    18. Confermare il messaggio di conferma della requisizione del ruolo.
    19. Al prompt fsmo maintenance: digitare il comando quit.
    20. Al prompt ntdsutil: digitare il comando quit.

    Per verificare che i ruoli siano stati correttamente assegnati è possibile utilizzare il comando netdom query fsmo che dovrà restituire il seguente output:

    Schema owner SRVDC02.test.local

    Domain role owner SRVDC02.test.local

    PDC role SRVDC02.test.local

    RID pool manager SRVDC02.test.local

    Infrastructure owner SRVDC02.test.local

    The command completed successfully.

    In Windows 2003 Server il tool a riga di comando Netdom è contenuto nei Support Tools, mentre in Windows 2008 Server e successivi è nativamente presente nel sistema. In Windows 2008 Server R2 grazie alla presenza di PowerShell, la nuova shell a riga di comando basata sul .NET framework 2.0, è possibile utilizzare il cmdlet Move-ADDirectoryServerOperationMasterRole per trasferire i ruoli Fsmo.

    Per ulteriori informazioni si vedano:

    Rimozione dei riferimenti del Domain Controller

    Dal momento che si è reso necessario il seize dei ruoli si presuppone che il server SRVDC01 non tornerà più ad essere disponibile e quindi occorre rimuovere da Active Directory ogni suo riferimento. Inoltre va precisato che anche qualora SRVDC01 tornasse ad essere operativo non dovrà più essere connesso alla rete e andrà formattato.

    Per eseguire l’eliminazione dei riferimenti del server SRVDC01 da Active Directory verrà utilizzato ancora il tool Ntdsutil che a partire dalla versione inclusa in Windows 2003 Server SP1 e successivi è in grado di svolgere le seguenti operazioni quando viene eseguito il metadata cleanup:

    • Rimozione dei riferimenti NTDSA o NTDS Setting del DC da eliminare.
    • Rimozione delle impostazioni di replica AD relative al DC da eliminare.
    • Rimozione del computer account del DC da elinare.
    • Rimozione delle impostazioni relative al FRS (File Replication System) relative al DC da eliminare.
    • Viene tentato il seize dei ruoli FSMO posseduti dal DC che si intende eliminare.

    Di seguito viene riportata la procedura da eseguire su sistemi Windows 2003 SP1 o successivi per rimuovere i riferimenti del server SRVDC01 in Active Directory.

    1. Autenticarsi al server SRVDC02 con credenziali di amministratore di dominio.
    2. Aprire un prompt dei comandi.
    3. Digitare il comando ntdsutil.
    4. Al prompt ntdsutil: digitare il comando metada cleanup.
    5. Al prompt metadata cleanup: digitare il comando connections.
    6. Al prompt connections: digitare connect to server srvdc02.
    7. Verificare che la connessione sia avvenuta controllando di ottenere il seguente output.
      Connesso a srvdc02 tramite le credenziali dell’utente connesso localmente.
    8. Al prompt server connections: digitare quit.
    9. Al prompt metadata cleanup: digitare il comando select operation target.
    10. Al prompt select operation target: digitare il comando list domains.
    11. Viene restituita la lista dei domini tramite il seguente output
      Trovati 1 domini
      0 – DC=test,DC=local
    12. Al prompt select operation target: digitare il comando select domain 0
      (per selezionare il dominio in cui si trova il server da rimuovere SRVDC01).
    13. Viene restituito il seguente output
      Nessun sito corrente
      Dominio – DC=test,DC=local
      Nessun server corrente
      Nessun contesto dei nomi attivo
    14. Al prompt select operation target: digitare il comando list sites.
    15. Viene restituita la lista dei siti tramite il seguente output
      Trovati 1 siti
      0 – CN=Nome-predefinito-primo-sito,CN=Sites,CN=Configuration,DC=test,DC=local
    16. Al prompt select operation target: digitare il comando select site 0
      (per selezionare il sito in cui si trova il server da rimuovere SRVDC01).
    17. Viene restituito il seguente output
      Sito – CN=Nome-predefinito-primo-sito,CN=Sites,CN=Configuration,DC=test,DC=local
      Dominio – DC=test,DC=local
      Nessun server corrente
    18. Al prompt select operation target: digitare il comando list server in site.
    19. Viene restituita la lista dei server tramite il seguente output
      Trovati 2 server
      0 – CN=SRVDC01,CN=Servers,CN=Nome-predefinito-primo-sito,CN=Sites,CN=Configuration,DC=test,DC=local
      1 – CN=SRVDC02,CN=Servers,CN=Nome-predefinito-primo-sito,CN=Sites,CN=Configuration,DC=test,DC=local
    20. Al prompt select operation target: digitare il comando select server 0
      (per selezionare il server da rimuovere SRVDC01).
    21. Viene restituito il seguente output
      Sito – CN=Nome-predefinito-primo-sito,CN=Sites,CN=Configuration,DC=test,DC=local
      Dominio – DC=test,DC=local
      Server – CN=SRVDC01,CN=Servers,CN=Nome-predefinito-primo-sito,CN=Sites,CN=Configuration,DC=test,DC=local
      Oggetto DSA – CN=NTDS Settings,CN=SRVDC01,CN=Servers,CN=Nome-predefinito-primo- sito,CN=Sites,CN=Configuration,DC=test,DC=local
      Nome host DNS – SRVDC01.test.local
      Oggetto computer – CN=SRVDC01,OU=Domain Controllers,DC=test,DC=local
      Nessun contesto dei nomi attivo
    22. Al prompt select operation target: digitare quit.
    23. Al prompt metadata cleanup: digitare il comando remove selected server.
    24. Confermare il messaggio di conferma.
    25. Viene restituito il seguente output
      Rimozione di metadati FRS per il server selezionato.
      Ricerca di membri FRS in “CN=SRVDC01,OU=Domain Controllers,DC=test,DC=local.
      Rimozione dei membri FRS “CN=SRVDC01,CN=Domain System Volume (SYSVOL share),CN=File Replication Service,CN=System,DC=test,DC=local.
      Eliminazione della sottostruttura in “CN=SRVDC01,CN=Domain System Volume (SYSVOL share),CN=File Replication Service,CN=System,DC=test,DC=local.
      Eliminazione della sottostruttura in “CN=SRVDC01,OU=Domain Controllers,DC=test,DC=local.
      Il tentativo di rimuovere le impostazioni FRS su CN=SRVDC01,CN=Servers,CN=Nome-predefinito-primo-sito,CN=Sites,CN=Configuration,DC=test,DC=local non è riuscito per il seguente motivo: Impossibile trovare elemento.
      È ancora in corso la pulitura dei metadati.
      CN=SRVDC01,CN=Servers,CN=Nome-predefinito-primo-sito,CN=Sites,CN=Configuration,DC=test,DC=local rimossi dal server srvdc02
    26. Al prompt metadata cleanup: digitare quit.
    27. Al prompt ntdsutil: digitare il comando quit.
    28. Aprire lo snap-in Siti e servizi di Active Directory (dssite.msc).
    29. Selezionare il nodo Sites.
    30. Selezionare il sito a cui il server da rimuovere SRVDC01 appartiene (in questo caso Nome-predefinito-primo-sito).
    31. Selezionare il nodo Servers.
    32. Selezionare il server SRVDC01 e quindi selezionare Azione -> Elimina.

    Per eseguire l’eliminazione dei riferimenti del server SRVDC01 dal DNS utilizzare la seguente procedura:

    1. Aprire lo snap-in DNS (dnsmgmt.msc /s).
    2. Nella zona diretta _msdcs.dominio rimuovere il record CNAME relativo al server SRVDC01. Nel caso il server non venga reinstallato e promosso Domain Controller con lo stesso nome eliminare anche i record NS (tramite la scheda Server dei nomi delle proprietà della zona) e i vari record SRV.
    3. Nella zona diretta relativa al dominio rimuovere il record A (Host) relativo al server SRVDC01. Nel caso il server non venga reinstallato e promosso Domain Controller con lo stesso nome eliminare anche i record NS (tramite la scheda Server dei nomi delle proprietà della zona) e i vari record SRV e impostare su SRVDC02 il record CNAME nella zona delegata _msdcs (tramite la scheda Server dei nomi delle proprietà della zona).

    Terminata l’eliminazione dei riferimenti del server SRVDC01 in Active Directory e nel DNS occorre assicurarsi che i client non continuino ad utilizzarlo con server DNS, assicurarsi quindi che il DHCP non fornisca ai client tale impostazione.

    Per ulteriori informazioni si vedano:

    Conclusioni

    In questo scenario grazie al fatto che nell’infrastruttura sono prendi almeno due DC e che si ha la ridondanza del GC e del servizio DNS nonostante cessi di funzionare il server che detiene i ruoli FSMO i disservizi risultano contenuti. Infatti gli utenti possono continuare ad autenticarsi e ad operare normalmente e anche la procedura di disaster recovery risulta non eccessivamente complessa e soprattutto non comporta interruzioni di servizio.

    Share

    Microsoft

    Funzionamento e Diagnostica di Active Directory

    14 novembre 2009

    Una copia di questo articolo la puoi trovare anche su Microsoft Technet. qui

    Introduzione
    Il seguente articolo analizza l’architettura di Active Directory per comprenderne il funzionamento e descrive una serie di tools che consentono di controllarne il buon funzionamento.

    Le utility DCDIAG (Domain Controller Diagnostics Tool), NETDOM (Windows Domain Manager), PORTQRY (Port Query), NTDSUTIL e ADSIEdit (ADSI Edit) fanno parte dei support tools che sono contenuti nella cartella support/tools del CD di Windows Server 2003 oppure sul primo CD di Windows Server 2003 R2, in alternativa è possibile scaricarli al seguente link Windows Server 2003 Service Pack 1 32-bit Support Tools.

    Sommario
    Diagnostica funzionalità rete
    Condivisioni Netlogon e Sysvol
    Verifica delle condivisioni Netlogon e Sysvol
    Global Catalog
    Verificare se il DC è stato eletto come Global Catalog
    Replica di Active Directory e Ruoli FSMO
    Verifica funzionalità Active Directory
    Verifica funzionalità replica con altri Domain Controller
    Verifica detenzione ruoli master
    Verifica della disponibilità dei ruoli master operazioni
    Servizio DNS
    Verifica funzionalità DNS del Domain Controller
    Struttura fisica di Active Directory
    Verifica dell’integrità del database di Active Directory

    DIAGNOSTICA FUNZIONALITA’ DI RETE
    Un dominio Windows 2000/2003 è sempre identificato da due nomi:

    – Nome DNS. E’ il nome completo DNS o FQDN (Fully Qualified Domain Name) ed è limitato a 255 caratteri, 63 per ogni etichetta (label) e rappresenta il nome nativo del dominio.
    – Nome NetBIOS. E’ utilizzato per compatibilità con i sistemi pre-Windows 2000 ed è limitato a 15 caratteri. Coincide per default con i primi 15 caratteri della prima label del FQDN DNS del dominio.
    Per verificare che la funzionalità dei servizi di rete su cui si basa Active Directory è possibile utilizzare l’utility NETDIAG (Network Connectivity Tester):

    * Test del servizio DNS: NETDIAG /test:dns
    * Test dell’elenco dei controller di dominio: NETDIAG /test:dclist
    * Test del rilevamento dei controller di dominio: NETDIAG /test:dsgetdc
    * Test di LDAP (Microsoft Lightweight Directory Access Protocol): NETDIAG /test:ldap
    * Test dell’appartenenza al dominio: NETDIAG /test:member
    * Per verificare la registrazione di NetBIOS, del servizio DNS e dei servizi utilizzare il seguente comando:

    NETDIAG /debug

    L’ utility NETDIAG registra automaticamente l’output sul file NetDiag.log che viene creato nella directory di esecuzione consentendo di esaminare il risultato del test diagnostico in modo più agevole.

    Per maggiori informazioni sull’utilizzo di NETDIAG si veda al seguente articolo della Knowledge Base Microsoft HOW TO: Utilizzare lo strumento Diagnostica di rete (Netdiag.exe) in Windows 2000.

    CONDIVISIONI NETLOGON e SYSVOL
    Nei Domain Controller (DC) Windows NT gli script di logon venivano memorizzati nella condivisione amministrativa NETLOGON (che corrisponde alla directory %SystemRoot%\System32\Repl\Import\Scripts), mentre nei DC Windows 2000/2003 risiedono in SYSVOL (che corrisponde alla directory %SystemRoot%\Sysvol). Dcpromo modifica il valore di registro che definisce il path della condivisione NETLOGON facendola puntare a %SystemRoot%\Sysvol\Sysvol\NomeDominio\Scripts per consentire l’operatività ai client Windows 9x e Windows NT.

    Ogni modifica alla directory %systemroot%\SYSVOL su un qualunque DC viene replicata agli altri DC utilizzando il servizio Replica file (FRS) basato su RPC (Remote Procedure Call).

    La struttura della condivisione SYSVOL è la seguente:

    * Sysvol\Sysvol\NomeDominio\Policies (corrispondente alla directory %SystemRoot%\Sysvol\NomeDominio\Policies) che contiene i Group Policy Template (ADM templates)
    * Sysvol\Sysvol\NomeDominio\Scripts (corrispondente alla directory %SystemRoot%\Sysvol\NomeDominio\Scripts) che contiene gli scripts

    VERIFICA DELLE CONDIVISIONI NETLOGON E SYSVOL
    Per verificare se il Domain Controller condivide Netlogon e Sysvol e che i privilegi di logon necessari alla replica siano impostati è possibile utilizzare l’utility DCDIAG:

    DCDIAG /test:frssysvol

    DCDIAG /test:netlogons

    Per maggiori informazioni sulla condivione SYSVOL si veda il seguente articolo della Knowledge Base Microsoft: How to rebuild the SYSVOL tree and its content in a domain.

    GLOBAL CATALOG
    In ogni domino è necessario avere un Global Catalog (GC) server e per impostazione predefinita al primo DC del dominio è assegnato automaticamente tale ruolo. Il GC contiene una replica completa di tutti gli oggetti di directory nel dominio host e una parziale di tutti gli oggetti di directory in tutti i domini della struttura. Il compito principale del GC consiste nel fornire autenticazione per gli accessi. Inoltre, poiché contiene informazioni su tutti gli oggetti in tutti i domini dell’insieme di strutture, consente la ricerca di oggetti a livello generale indipendentemente dal dominio di appartenenza di ciascun utente e/o computer fornendo informazioni sulle ubicazioni in cui è possibile trovare l’oggetto evitando query inutili nei domini. E’ possibile configurare un DC come GC e aggiungere GC ad un dominio per accelerare i tempi di risposta per le richieste di accesso e di ricerca.

    VERIFICARE SE IL DC E’ STATO ELETTO COME GLOBAL CATALOG
    Per verificare se un DC è stato eletto come Global Catalog e se, una volta inserito il flag Global Catalog, sia i grado di accettare richieste sulla porta TCP 3268 è possibile utilizzare l’utility PORTQRY e controllare il valore di isGlobalCatalogReady sia TRUE.

    portqry -n -e 3268 -p tcp

    Per maggiori informazioni sull’utilizzo di PORTQRY si veda al seguente articolo della Knowledge Base Microsoft HOW TO: Use Portqry to Troubleshoot Active Directory Connectivity Issues.

    REPLICA DI ACTIVE DIRECTORY E RUOLI FSMO
    Il database di Active Directory non ha una struttura monolitica ma è organizzato in partizioni o naming context che identificano strutture gerarchiche di oggetti, ciascuna delle quali costituisce un’unità di replicazione indipendente. Le partizioni Active Directory possono essere di tipo generale oppure di tipo applicativo (Active Directory Partition ADP).

    Le partizioni generali possono essere di tre specie:

    * Schema Partition. Contiene la definizioni degli oggetti (attributi e classi) utilizzabili in Active Directory (user, group, computer, organizational unit, etc…) e delle regole di utilizzo. Esiste una sola Schema Partition per ogni ciascuna foresta.
    * Configuration Partition. Contiene informazioni generali sulla struttura e la composizione di una foresta (site, subnet, partizioni che compongono la foresta, dc, etc…). Esiste una sola Configuration Partition per ogni ciascuna foresta.
    * Domain Partition. Contiene informazioni sugli oggetti creati in ogni dominio (user, group, computer, organizational unit, etc…). Esiste una sola Domain Partition per ogni dominio appartenente alla stessa foresta.

    Le informazioni della Schema Partition e della Configuration Partition sono comuni a tutti i domini della foresta e quindi verranno replicate a tutti i DC della foresta, mentre le informazioni della Domain Partition sono private del dominio e quindi verranno replicate solo ai DC dello stesso dominio.

    Le partizioni applicative possono essere di due specie:

    * ADP builtin. Sono quelle dedicate al DNS (DomainDnsZones e ForestDnsZones) create automaticamente all’atto della creazione del dominio, nel caso si scelga di installare e configurare il servizioDNS dal wizard Dcpromo.
    * ADP custom o personalizzate. Possono essere create manualmente per ospitare informazioni riguardanti applicazioni integrate in Active Directory (AD-aware)

    Il processo di replica di Active Directory mantiene allineate le Directory Partition dei DC tramite una tipologia multimaster incrementale che consente di effettuare modifiche su qualsiasi DC e far sì che questo fornisca agli altri DC soltanto le differenze rispetto all’ultima sincronizzazione avvenuta. Per minimizzare i conflitti dovuti a modifiche dello stesso oggetto su DC diversi Active Directory implementa la replica a livello di singolo attributo, I DC, infatti, a seguito di una modifica aggiornano lo stamp associato all’attributo che è compostato da un Version Number (incrementato ad ogni modifica), un Timestamp (data e ora della modifica) e da un Server GUID (contenente il GUID del DC su cui è avvenuta la modifica). Nella comparazione degli stamp si considera il Version Number maggiore, nel caso ugualianza si considera il Timestamp maggiore e se anche il Timestamp è uguale si valuta il Server GUID.

    Allo scopo di evitare conflitti di replica non risolvibilit tramite la comparazione degli stamp, Active Directory introduce l’amministrazione centralizzata di alcune operazioni, in altre parole alcune attività possono essere eseguite esclusivamente a seguito dell’autorizzazione data dal DC in possesso del ruolo associato alla specifica tipologia di operazione. Tali ruoli sono definiti flexible o Floating Single Master Operations (FSMO) in quanto è possibile spostare un ruolo assegnandolo ad un altro DC.

    I ruoli FSMO sono cinque:

    * Schema Master. Lo Schema Master è l’unico DC della foresta che possiede una copia i scrittura della Schema Partition (ciò significa che la modifica dello schema può essere seguita da un qualunque DC, ma prevede la connessione diretta con lo Schema Master).
    * Domain Naming Master. Il Domain Naming Master è unico nella foresta e viene contattato quando è necessario creare un dominio per verificare che non sia già stato definito e ottenere un identificatore GUID univoco. Il Domain Naming Master è responsabile anche dell’autorizzazione alla cancellazione di un dominio, della validazione durante le operazioni di modifica dei nomi di dominio tramite il tool RENDOM.EXE e della creazione e cancellazione di una Application Directory Partition.
    * Relative Identifier Master. Il Relative Identifier Master è unico nel dominio ed è responsabile della distribuzione dei pool contenenti le sequenze univoche dei Relative ID (RID) ai DC del dominio. I RID sono utilizzati dai DC durante la creazione degli oggetti Security Principal (User, Group o Computer) per attribuirgli identificativi Security ID (SID) univoci.
    Il Relative Identifier Master si occupa anche di autorizzare lo spostamento di un oggetto in un altro dominio, tramite ad esempio l’Active Directory Migration Tool, per evitare che lo stesso oggetto possa essere spostato in due domini diversi.
    I DC del dominio ricevono un pool di 500 RID dal Relative Identifier Master e quando la quantità disponibile raggiunge circa le 100 unità il DC contatterà il Relative Identifier Master per ottenere un nuovo pool.
    Un SID è composto da 4 elementi S-1-5-Y1-Y2-Y3-Y4:
    S-1 che indica la revisione del SID (al momento è in uso la 1)
    5 che definisce l’autorità di emissione del SID (5 indica Windows NT, 2000 o 2003 Server, per i well know SID si utiliza 0 o 1)
    Y1-Y2-Y3 è la porzione del domain SID (uguale per tutti i Security Principal del dominio)
    Y4 rappresenta il relative ID del dominio.
    PDC emulator. il PDC emulator è unico nel domino e viene utilizzato come fonte di replica (master-slave) degli update della Domain Partition verso i BDC NT nel caso in cui il livello funzionale del dominio sia Windows server 2003 Interim o Windows 2000 Mixed Mode. il PDC emulator viene inoltre contattato da client precedenti Windows 2000 su cui non è installato l’Active Directory client durante la fase di cambio password degli account e per offrire piena compatibilità verso essi.
    Il PDC emulator assolve anche la funzionalità di Domain Master Browser e indipendetemente dal livelo funzionale del dominio ha i seguenti compiti:
    – Diminuire il tempo di convergenza nei cambi password.
    – Essere la fonte di sincronizzazione del Windows Time Service (in una foresta i DC di un dominio usano il PDC emulator del proprio dominio come time source e a loro volta i PDC emulator dei vari domini della foresta usano come time source il PDC emulator del Forest Root Domain il quale può essere sincronizzato su un time server esterno tramite il comando net time \\servername /setsntp:TimeServer).
    – Essere utilizzato di default dallo snap-in di creazione o modifica di un Group Policy Object.
    – Autorizzare il raise del livello funzionale del dominio.
    Infrastructure Master. l’Infrastructure Master è l’unico DC nel domino che ha il compito di mantenere aggiornata la relazione GUID-SID-DN degli utenti/gruppi definiti nei domini esterni a quello di appertenenze dell’Infrastructure Master, ma utilizzati anche nei gruppi del suo dominio (phantom record). In caso di modifica del Distinguished Name (DN) (per es. spostamento nel domino) o del SID (per es. spostamento in altri domini) di tali utenti/gruppi la visualizzazione dei membri dei gruppi che li contengono non deve produrre incoerenze. Per ottenere tale risultati l’Infrastructure Master verifica e aggiorna periodicamente eventuali differenze tra il proprio database locale di phantom record e le informazioni nei Global Catalog server.

    VERIFICA FUNZIONALITA’ ACTIVE DIRECTORY
    Tramite Dcdiag è possibile verificare la registrazione DNS di un controller di dominio, controllare che i descrittori di protezione (SID) nelle intestazioni del contesto dei nomi dispongano delle autorizzazioni appropriate per la replica, analizzare lo stato dei controller di dominio in un insieme di strutture o in un’organizzazione e così via. Per maggiori informazioni si veda il seguente link: Domain Controller Diagnostics Tool (dcdiag.exe).

    DCDIAG /v /f:


    VERIFICA FUNZIONALITA’ REPLICA CON ALTRI DOMAIN CONTROLLER
    Per verificare verificare la funzionalità replica con altri Domain Controller è possibile utilizzare l’utility DCDIAG:

    DCDIAG /test:replications

    VERIFICA DETENZIONE RUOLI FSMO
    Per verificare quale server detiene i ruoli FSMO è possibile utilizzare l’utility NETDOM:

    netdom /query fsmo

    VERIFICA DISPONIBILITA’ DEI RUOLI MASTER OPERAZIONI
    Per verificare la disponibilità dei ruoli master operazioni è possibile utilizzare l’utility DCDIAG, controllandone la localizzazione tramite il test knowsofroleholders e la disponibilità e il corretto funzionamento tramite il test fsmocheck:

    DCDIAG /s: /test:KNOWSOFROLEHOLDERS /verbose

    DCDIAG /s: /test:FSMOCHECK

    SERVIZIO DNS
    Uno degli aspetti più importanti dell’implementazione di Active Directory è la sua filosofia “IP-centrica”, nel senso che questa tecnologia si basa su alcuni standard del TCP/IP e in modo particolare sul servizio DNS che svolge le seguenti funzioni:

    – Servizio di risoluzione dei nomi dei computer e/o domini in in indirizzi IP e viceversa.
    – Servizio di registrazione dinamica (Dynamic DNS o DDNS) dei nomi dei computer (resource record di tipo address o RR di tipo A), degli indirizzi IP (RR di tipo pointer o RR di tipo PTR) e degli RR di tipo service location o RR di tipo SRV. Gli RR di tipo A e PTR vengono registrati da tutti i computer mentre gli RR SRV sono registrati solo dai DC.
    – Definizione degli standard da adottare per la definizione dei nomi dei domini AD. DNS e AD condividono gli stessi namespace, ovvero la stessa gerarchia di domini, pertanto ad ogni dominio AD deve obbligatoriamente corrispondere un dominio DNS
    – Servizio per la localizzazione (service location) dei DC Windows 2000/2003 che offrono servizi strategici ai client AD (LDAP Server, Kerberos Server, Global Catalog Server, etc…)

    Per un client Windows 2000/XP/2003 membro di un dominio AD Windows 2000/2003 l’assenza o l’incorretta impostazione del server DNS comporta un declassamento del dominio AD da Windows 2000/2003 a semplice dominio Windows NT (eseguendo l’utility gpresult.exe per la determinazione del “Resultant Set Of Policy” il dominio di appartenenza appare infatti come “Domain Type: WindowsNT 4”). Su questi client configurati in modo errato il dominio AD Windows 2000/2003 verrà visto come un dominio Windows NT con un determinato nome NETBIOS che offre servizi di autenticazione NTLM e tutti i servizi nativi AD (autenticazione Kerberos, GPO, ricerche LDAP e/o ADSI, etc…) non saranno disponibili. Ovviamente queste considerazioni sono valide anchenel caso in cui il client sia configurato correttamente ma il servizio DNS non sia disponibile.

    VERIFICA FUNZIONALITA’ DNS DEL DOMAIN CONTROLLER
    Per verificare verificare la funzionalità del DNS del Domain Controller è possibile utilizzare l’utility DCDIAG (il test diagnostico del DNS è stato introdotto con la versione di DCDIAG rilasciata con Windows Server 2003 SP1):

    DCDIAG /test:DNS

    Per l’esecuzione di ulteriori attività e controlli relativi al servizio DNS si faccia riferimento ai seguenti articoli della Knowledge Base Microsoft:

    How to reinstall a dynamic DNS Active Directory-integrated zone
    Troubleshooting Active Directory replication failures that occur because of DNS lookup failures, event ID 2087, or event ID 2088
    SRV Records Missing After Implementing Active Directory and Domain Name System

    STRUTTURA FISICA DI ACTIVE DIRECTORY
    Active Directory è basata su un database di tipo ISAM (Index as Sequential Access Method) gestito da un DBMS ESE (Extensible Storage Engine) noto anche col nome di Jet Blue (vi sono infatti due implementazioni separate delle Jet Api, chiamate Jet Blue e Jet Red e spesso il termina “Jet” viene utilizzato per riferirsi a Jet Red che è il DBMS utilizzato da Microsoft Access).

    ESE è un componente introdotto con Windows 2000 che implementa un user-mode storage engine che gestisce i dati mediante un file binario. I dati saranno resi disponibili all’applicazione tramite Api mediante l’utilizzo di una DLL. Questo DBMS viene utilizzato da svariate applicazioni, come ad esempio Exchange e ADAM, in quanto offre buone performance ed un elevata scalabilità.

    Il database di Active Directory è contenuto di default nella directory %SystemRoot%\NTDS e il cuore del DIB (Directory Infomation Base) è rappresentato dal file NTDS.DIT che viene creato dal comando dcpromo all’atto della promozione del server a DC utilizzando il modello %SystemRoot%\System32\ntds.dit.
    Per la gestione dei log il DBMS ESE utilizza i file edb.log, edb*.log, res1.log e res2.log, mentre per la gestione del checkpoint utilizza il file edb.chk (per default la dimensione dei file di log è di 10 MB mentre quella del file di checkpoint è variabile).

    Per conoscere la posizione del database NTDS.DIT e dei file log è possibile utilizzare l’utility NTDSUTIL:

    1. Aprire il prompt dei comandi.
    2. Digitare SET SAFEBOOT_OPTION=DSREPAIR e premere invio.
    3. Digitare ntdsutil e premere invio.
    4. Digitare files e premere invio.
    5. Digitare info e premere invio per visualizzare le informazioni sul file di database e sui file di log.
    6. Digitare quit e premere invio.
    7. Digitare quit e premere invio per chiudere la sessione NTDSUTIL.

    Quando viene eseguita un’operazione sul DC che avvia una scrittura sul database (creazione/cancellazione di un oggetto, modifica di un attributo di un oggetto o replica di oggetti e attributi da altri DC partner di replica) viene generata una transazione che contiene i dati e i meta-dati (numero di versione USN, il timestamp, il GUID del server su cui è stata generata la modifica). Una transazione è un’unità atomica di operazioni da eseguire su un database, ovvero devono essere portate a termine con successo tutte in caso contrario verrà ripristinata la situazione precedente all’esecuzione della transazione.

    Le transazioni vengono immediatamente registrate in modo sequenziale nel file di log corrente (EDB.LOG) e quindi viene eseguita la modifica nella copia del database in memoria, ciò garantisce che le modifiche vengano eseguite anche nel caso di uno shutdown o di un crash immediatamente successivo.

    Il DBMS ESE si occupa di di aggiornare il file NTDS.DIT con le transazioni contenute nei file log e aggiornando il contenuto del file di checkpoint (EDB.CHK) in modo che contenga la posizione sino a cui le operazioni di scrittura nel database sono state eseguite con successo (stato di committed della transazione).

    Quando il file di log corrente (EDB.LOG) raggiunge la dimensione massima di default di 10.204 KB viene rinominato come EDBHHHHH.LOG (dove H è una cifra esadecimale) e viene creato un nuovo file EDB.LOG. Per una miglior ottimizzazione dello spazio su disco i file di log vengono gestiti tramite la modalità circular logging, che consiste nel sovrascrivere i log più vecchi in modo circolare cancellano i file non più necessari una volta eseguite le scritture sul database e aggiornato il file di checkpoint.

    Per garantire la disponibiltà di spazio anche in situazioni di emergenza oper le normali operazioni di deframmentazione online, vi sono due file di riserva (RES1.LOG e RES2.LOG) della dimensione standard dei file log che vengono utilizzati nel caso in cui il sistema esaurisca lo spazio disponibile sul volume contenente il database.

    I file EDBTMP.LOG e TEMP.EDB sono due file temporanei utilizzati da attività quali deframmentazione online, recovery, situazioni di emegenza derivati da sovraccarico, ecc.

    Nel caso di chiusura anomala del sistema il DBMS ESE rileva l’esistenza di una situazione anomala controllando il log degli eventi e se l’ultimo record non corrisponde ad uno shutdown “normale”, ESE riapplica il log segnalati nel file di checkpoint (EDB.CHK) notificandolo nell’Event Viewer tramite gli eventi NTDS ISAM 300, 301, 302. Nel caso di assenza del file di checkpoint (EDB.CHK) vengono riaplicate tutte le transazione contenute file di log.

    VERIFICA DELL’INTEGRITA’ DEL DATABASE DI ACTIVE DIRECTORY
    Per verificare l’integrità del database di Active Directory è possibile utilizzare l’utility NTDSUTIL:

    1. Riavviare il sistema.
    2. Durante la fase di avvio premere F8.
    3. Selezionare l’opzione Modalità ripristino servizi directory (solo controller domini Windows).
    4. Selezionare il sistema operativo da avviare.
    5. Autenticarsi tramite l’account Administrator con la password di “amministratore modalità ripristino servizi” specificata durante l’esecuzione di dcpromo.
    6. Confermare il messaggio che indica che Windows è in esecuzione in modalità provvisoria.
    7. Aprire il prompt dei comandi.
    8. Digitare ntdsutil e premere invio.
    9. Digitare files e premere invio.
    10. Digitare integrity e premere invio per avviare il controllo di integrità
    11. Digitare quit e premere invio.
    12. Digitare sematic database analysis e premere invio.
    13. Digitare go e premere invio per avviare il controllo semantico del database.
    14. Digitare quit e premere invio.
    15. Digitare quit e premere invio per chiudere la sessione NTDSUTIL.

    Per l’esecuzione di ulteriori attività e controlli tramite l’utility NTDSUTIL si faccia riferimento ai seguenti articoli della Knowledge Base Microsoft:

    Utilizzo di Ntdsutil per gestire file di Active Directory dalla riga di comando in Windows Server 2003
    How to complete a semantic database analysis for the Active Directory database by using Ntdsutil.exe
    Deletion of Critical Objects in Active Directory in Windows 2000 and Windows Server 2003
    Rimozione di dati in Active Directory dopo un abbassamento di livello non riuscito di un controller di dominio
    Utilizzo dello strumento Ntdsutil.exe per assegnare o trasferire ruoli FSMO a un controller di dominio
    HOW TO: Cercare ed eliminare gli identificatori di protezione (SID) duplicati con Ntdsutil in Windows Server 2003
    Reimpostazione della password dell’account amministratore per la modalità ripristino servizi directory (DSRM) in Windows Server 2003
    How to restore deleted user accounts and their group memberships in Active Directory
    Mancato abbassamento di livello dei controller di dominio quando si utilizza l’Installazione guidata di Active Directory per forzare l’abbassamento di livello in Windows Server 2003 e in Windows 2000 Server

    CONCLUSIONI
    La diagnostica di Active Directory dovrebbe essere eseguita periodicamente soprattutto quando vengono eseguite modifiche corpose, prima di un backup del system state evitando così di salvare una versione non valida, ma soprattutto dopo il cambio di una Domain Controller (DC) per accertarsi che il processo di trasferimento sia andato a buon fine (a tal proposto si faccia riferimento alla guida Migrare un DC Windows2003 verso un nuovo server).

    Per ulteriori approfondimenti si faccia riferimento al seguente articolo della Knowledge Base Microsoft How to verify an Active Directory installation.

    _______________________________

    È possibile che l’abbassamento di livello dei controller di dominio Microsoft Windows 2000 o Microsoft Windows Server 2003 non venga eseguito correttamente mediante l’Installazione guidata di Active Directory (Dcpromo.exe).

    Cause

    Questo problema può verificarsi in caso di errore di una dipendenza o di un’operazione necessaria, ad esempio la connettività di rete, la risoluzione dei nomi, l’autenticazione, la replica del servizio directory di Active Directory o l’individuazione di un oggetto fondamentale in Active Directory.

    Risoluzione

    Per risolvere il problema, determinare la causa del mancato abbassamento di livello normale del controller di dominio di Windows 2000 o Windows Server 2003, quindi provare di nuovo a eseguire l’operazione mediante l’Installazione guidata di Active Directory.

    Workaround

    Se non si riesce a risolvere il problema, è possibile utilizzare le soluzioni alternative descritte di seguito per forzare l’abbassamento di livello del controller di dominio in modo da mantenere l’installazione del sistema operativo e le applicazioni installate.

    Avviso Prima di utilizzare una delle soluzioni descritte di seguito, assicurarsi di poter eseguire l’avvio in modalità ripristino servizi directory. In caso contrario, dopo l’abbassamento di livello forzato del computer non sarà possibile effettuare l’accesso. Se si è dimenticata la password per la modalità ripristino servizi directory, sarà possibile ripristinarla mediante l’utilità Setpwd.exe che si trova nella cartella Winnt\System32. In Windows Server 2003 la funzionalità dell’utilità Setpwd.exe è stata integrata nel comando Set DSRM Password dello strumento NTDSUTIL. Per ulteriori informazioni su come effettuare questa procedura, fare clic sul numero dell’articolo della Microsoft Knowledge Base riportato di seguito (il contenuto potrebbe essere in inglese):

    271641 (http://support.microsoft.com/kb/271641/ ) Impostazione di una password vuota per la modalità di ripristino da parte della Configurazione guidata server

    Controller di dominio di Windows 2000

    1. Installare l’aggiornamento rapido (hotfix) Q332199 su un controller di dominio di Windows 2000 che esegue il Service Pack 2 (SP2) o versione successiva oppure installare Windows 2000 Service Pack 4 (SP4). Nel Service Pack 2 e nelle versioni successive è supportato l’abbassamento di livello forzato. Riavviare il computer.
    2. Fare clic sul pulsante Start, scegliere Esegui e digitare il comando seguente:
      dcpromo /forceremoval
    3. Scegliere OK.
    4. Nella pagina Installazione guidata di Active Directory scegliere Avanti.
    5. Se il computer che si sta rimuovendo è un server di catalogo globale, scegliere OK nella finestra di messaggio. Nota Innalzare di livello altri cataloghi globali nell’insieme di strutture o nel sito se il controller di dominio che si sta abbassando di livello è un server di catalogo globale, secondo le esigenze.
    6. Nella pagina Rimozione di Active Directory assicurarsi che la casella di controllo Questo server è l’ultimo controller di dominio nel dominio sia deselezionata, quindi scegliere Avanti.
    7. Nella pagina Credenziali di rete digitare il nome, la password e il nome di dominio di un account utente con credenziali di amministratore dell’organizzazione nell’insieme di strutture, quindi scegliere Avanti.
    8. In Password amministratore digitare e confermare la password da assegnare all’account amministratore del database SAM locale, quindi scegliere Avanti.
    9. Nella pagina Riepilogo scegliere Avanti.
    10. Eseguire la pulitura dei metadati del controller di dominio abbassato di livello su un controller di dominio rimanente nell’insieme di strutture.

    Se è stato rimosso un dominio dall’insieme di strutture utilizzando il comando remove selected domain di Ntdsutil, assicurarsi che in tutti i controller di dominio e nei server di catalogo globale dell’insieme di strutture siano stati rimossi tutti gli oggetti e i riferimenti al dominio rimosso, prima di innalzare di livello un nuovo dominio nello stesso insieme di strutture con lo stesso nome di dominio. Per stabilire se è stata eseguita la replica end-to-end, possono essere utili strumenti quali Replmon.exe o Repadmin.exe disponibili negli Strumenti di supporto di Windows 2000. La rimozione di oggetti e contesti dei nomi in Windows 2000 SP3 e nei server di catalogo globale precedenti è notevolmente più lenta rispetto a Windows Server 2003.

    Controller di dominio di Windows Server 2003

    1. Per impostazione predefinita, i controller di dominio di Windows Server 2003 supportano l’abbassamento di livello forzato. Fare clic sul pulsante Start, scegliere Esegui e digitare il comando seguente:
      dcpromo /forceremoval
    2. Scegliere OK.
    3. Nella pagina Installazione guidata di Active Directory scegliere Avanti.
    4. Nella pagina Imponi rimozione di Active Directory scegliere Avanti.
    5. In Password amministratore digitare e confermare la password da assegnare all’account amministratore del database SAM locale, quindi scegliere Avanti.
    6. Nella pagina Riepilogo scegliere Avanti.
    7. Eseguire la pulitura dei metadati del controller di dominio abbassato di livello su un controller di dominio rimanente nell’insieme di strutture.

    Se è stato rimosso un dominio dall’insieme di strutture utilizzando il comando remove selected domain di Ntdsutil, assicurarsi che in tutti i controller di dominio e nei server di catalogo globale dell’insieme di strutture siano stati rimossi tutti gli oggetti e i riferimenti al dominio rimosso, prima di innalzare di livello un nuovo dominio nello stesso insieme di strutture con lo stesso nome di dominio. La rimozione di oggetti e contesti dei nomi in Windows 2000 Service Pack 3 (SP3) e nei server di catalogo globale precedenti è notevolmente più lenta rispetto a Windows Server 2003.

    Se le voci di controllo di accesso (ACE) presenti nel computer da cui è stato rimosso Active Directory erano basate su gruppi locali di dominio, potrebbe essere necessario riconfigurare queste autorizzazioni, in quanto questi gruppi non saranno disponibili per i server membri o i server autonomi. Se si ha intenzione di installare Active Directory in un computer che verrà innalzato a livello di controller di dominio del dominio originale, non sarà più necessario configurare le voci di controllo di accesso. Se si preferisce mantenere il computer a livello di server membro o di server autonomo, è necessario convertire o sostituire le eventuali autorizzazioni basate su gruppi locali di dominio. Per ulteriori informazioni sulla modifica delle autorizzazioni a seguito della rimozione di Active Directory da un controller di dominio, fare clic sul numero dell’articolo della Microsoft Knowledge Base riportato di seguito (il contenuto potrebbe essere in inglese):

    320230 (http://support.microsoft.com/kb/320230/ ) Conseguenze sulle autorizzazioni dopo l’abbassamento di livello di un controller di dominio

    Miglioramenti introdotti in Windows Server 2003 Service Pack 1

    Windows Server 2003 SP1 consente di migliorare il processo dcpromo /forceremoval. Quando si esegue il comando dcpromo /forceremoval, viene effettuata una verifica per determinare se il controller di dominio svolge il ruolo di master operazioni, è un server DNS (Domain Name System) o un server di catalogo globale. Per ciascuno di questi ruoli l’amministratore riceve un avviso popup per l’esecuzione dell’azione appropriata.

    Status

    Microsoft ha eseguito test e fornisce il supporto per forzare l’abbassamento di livello dei controller di dominio che eseguono Windows 2000 o Windows Server 2003.

    Informazioni

    Mediante l’Installazione guidata di Active Directory vengono creati controller di dominio di Active Directory in computer basati su Windows 2000 e su Windows Server 2003. Durante l’Installazione guidata di Active Directory vengono effettuate diverse operazioni, fra cui l’installazione di nuovi servizi, l’esecuzione di modifiche ai valori di avvio di servizi esistenti e il passaggio ad Active Directory come area di protezione e autenticazione.

    Con l’imposizione dell’abbassamento di livello, gli amministratori di dominio possono forzare la rimozione di Active Directory ed eseguire il rollback delle modifiche di sistema apportate a livello locale senza contattare altri controller di dominio nell’insieme di strutture o replicare alcuna modifica locale.

    Dato che l’abbassamento di livello forzato comporta la perdita delle modifiche apportate a livello locale, deve essere utilizzato solo come soluzione estrema nei domini di produzione o test. È possibile forzare l’abbassamento di livello dei controller di dominio quando le dipendenze relative a connettività, risoluzione dei nomi, autenticazione o motore di replica non possono essere risolte, in modo da consentire un abbassamento di livello normale. Gli scenari validi per l’abbassamento di livello forzato comprendono:

    • Nel dominio padre non è disponibile alcun controller di dominio quando si tenta di abbassare di livello l’ultimo controller di dominio in un dominio figlio diretto.
    • L’Installazione guidata di Active Directory non può essere completata a causa di una dipendenza relativa alla risoluzione dei nomi, all’autenticazione, al motore di replica o a oggetti di Active Directory che non può essere risolta dopo un’accurata procedura di risoluzione dei problemi.
    • Le modifiche di Active Directory in ingresso non sono state replicate da un controller di dominio entro la durata dell’oggetto contrassegnato per rimozione (per impostazione predefinita, entro 60 giorni) per uno o più contesti dei nomi.Importante Ripristinare tali controller di dominio solo se costituiscono l’unica possibilità di ripristino per un determinato dominio.
    • Il tempo disponibile non consente una risoluzione dei problemi accurata, poiché è necessario rendere immediatamente operativo il controller di dominio.

    L’abbassamento di livello forzato può rivelarsi utile in ambienti di laboratorio o didattici, in cui è possibile rimuovere i controller di dominio dai domini esistenti, ma non è necessario abbassare di livello ciascun controller di dominio in successione.

    Se si forza l’abbassamento di livello di un controller di dominio, andranno perse le modifiche univoche residenti in Active Directory del controller di dominio di cui si sta effettuando l’abbassamento forzato del livello, tra cui l’aggiunta, l’eliminazione o la modifica di utenti, di computer, di gruppi, di relazioni di trust, di criteri di gruppo o della configurazione di Active Directory di cui non è stata eseguita la replica prima dell’esecuzione del comando dcpromo /forceremoval. Andranno inoltre perse le modifiche apportate a qualsiasi attributo di tali oggetti, quali le password per gli utenti, i computer, le relazioni di trust e l’appartenenza ai gruppi.

    Se tuttavia si forza un abbassamento di livello di un controller di dominio, viene ripristinato uno stato del sistema operativo corrispondente a quello ottenuto con l’abbassamento di livello dell’ultimo controller di dominio in un dominio, per quanto riguarda i valori iniziali dei servizi, i servizi installati, l’utilizzo di un sistema SAM basato sul Registro di sistema per il database degli account e l’appartenenza del computer a un gruppo di lavoro. I programmi installati nel controller di dominio abbassato di livello rimangono installati.

    Nel registro eventi di sistema i controller di dominio di Windows 2000 di cui è stato forzatamente abbassato il livello, nonché le istanze dell’operazione dcpromo /forceremoval, sono identificati dall’ID evento 29234. Ad esempio:

    Tipo evento: AVVISO
    Origine evento: lsasrv
    Categoria evento: Nessuno
    ID evento: 29234
    Data: MM/GG/AAAA
    Ora: HH.MM.SS
    Utente: N/D
    Computer: nomecomputer Descrizione: A questo server è stato imposto un abbassamento di livello. Pertanto, non è più un controller di dominio.

    Nel registro eventi di sistema i controller di dominio di Windows Server 2003 a cui viene imposto un abbassamento di livello sono identificati dall’ID evento 29239. Ad esempio:

    Tipo evento: AVVISO
    Origine evento: lsasrv
    Categoria evento: Nessuno
    ID evento: 29239
    Data: MM/GG/AAAA
    Ora: HH.MM.SS
    Utente: N/D
    Computer: nomecomputer Descrizione: A questo server è stato imposto un abbassamento di livello. Pertanto, non è più un controller di dominio.

    Dopo avere utilizzato il comando dcpromo /forceremoval, i metadati per il computer abbassato di livello non vengono eliminati nei controller di dominio rimanenti. Per ulteriori informazioni, fare clic sul numero dell’articolo della Microsoft Knowledge Base riportato di seguito:

    216498 (http://support.microsoft.com/kb/216498/ ) Rimozione di dati in Active Directory dopo un abbassamento di livello non riuscito di un controller di dominio

    Di seguito sono indicate alcune operazioni da effettuare, se necessario, dopo avere imposto l’abbassamento di livello di un controller di dominio:

    1. Rimuovere l’account computer dal dominio.
    2. Verificare che i record DNS, quali i record A, CNAME e SRV, siano stati rimossi ed eventualmente rimuoverli se ancora presenti.
    3. Verificare che gli oggetti membro del servizio Replica file (FRS e DFS) siano stati rimossi ed eventualmente rimuoverli se ancora presenti. Per ulteriori informazioni, fare clic sul numero dell’articolo della Microsoft Knowledge Base riportato di seguito (il contenuto potrebbe essere in inglese):
      296183 (http://support.microsoft.com/kb/296183/ ) Panoramica degli oggetti Active Directory utilizzati da FRS
    4. Se il computer abbassato di livello è membro di gruppi di protezione, rimuoverlo da tali gruppi.
    5. Rimuovere tutti i riferimenti del file system DFS, rappresentati da collegamenti o repliche della directory principale, al server abbassato di livello.
    6. A un controller di dominio rimanente devono essere assegnati i ruoli di master operazioni o FSMO (Flexible Single Master Operations) precedentemente gestiti dal controller di dominio a cui è stato imposto un abbassamento di livello. Per ulteriori informazioni, fare clic sul numero dell’articolo della Microsoft Knowledge Base riportato di seguito:
      255504 (http://support.microsoft.com/kb/255504/ ) Utilizzo dello strumento Ntdsutil.exe per assegnare o trasferire ruoli FSMO a un controller di dominio
    7. Se il controller di dominio che si sta abbassando di livello è un server DNS o un server di catalogo globale, è necessario creare un nuovo server DNS o di catalogo globale per soddisfare le impostazioni di bilanciamento del carico, di tolleranza d’errore e di configurazione nell’insieme di strutture.
    8. Quando si utilizza il comando remove selected server di NTDSUTIL, viene rimosso l’oggetto NTDSDSA, ovvero l’oggetto padre per le connessioni in ingresso verso il controller di dominio di cui si sta abbassando forzatamente il livello. Il comando non rimuove gli oggetti server padre visualizzati nello snap-in Siti e servizi di Active Directory. Utilizzare lo snap-in MMC Siti e servizi di Active Directory per rimuovere l’oggetto server se il controller di dominio non verrà innalzato di livello nell’insieme di strutture mantenendo lo stesso nome computer.

    Come rimuovere un Domain Controller (DC) non più funzionante

    Se nel vostro dominio muore uno dei Domain Controller (Windows Server 2003), magari obsoleto e utilizzato solo per la replica di Active Directory, gli altri servers continueranno a funzionare tentando però di replicarsi sul server defunto.
    Ripulire Active Directory dalle repliche non necessarie, almeno per me, non è stata una cosa banale. Come spesso accade in questi casi la parte più difficile è stata reperire un guida sicura per effettuare questa delicata operazione.
    Personalmente ho seguito la guida Rimozione di dati in Active Directory dopo un abbassamento di livello non riuscito di un controller di dominio riportata sul sito di Microsoft con alcune modifiche.

    La procedura che ho seguito può essere sintetizzata in 5 fasi che vedremo in dettaglio:

    • Verificare chi detiene il Global catalogue
    • Verificare chi detiene i 5 ruli FSMO
    • Rimozione del server con ntdsutil (da guida Microsoft)
    • Rimozione delle repliche con ADSIedit (da guida Microsoft)
    • Rimozione delle repliche in Active directory sites and services

    Verificare chi detiene il Global catalogue

    1. Aprite il pannello Active directory sites and services e visualizzate la lista dei servers. All’interno di ogni server trovate le NTDS setting.
    2. Cliccate con il tasto destro del mouse su NTDS setting e selezionate Properties.
    3. All’interno della scheda General verificate che il Global catalogue sia presente in almeno uno dei server attivi.

    Verificare chi detiene i 5 ruli FSMO

    1. In Active directory users and computers cliccate con il tasto destro sul vostro dominio e selezionate Operations Masters.
    2. Verificate che i 3 ruoli RID, PDC e Infrastructure siano assegnati ai vostri server attivi
    3. Aprite Active directory domains and trusts e cliccate con il tasto destro su Active directory domains and trusts selezionando Operations Masters.
    4. Verificate che il 4° ruolo di Domain Naming Master sia assegnato ad uno dei server attivi.
    5. Se non lo avete già fatto, registrate lo snap-in dello Schema utilizzano il seguente comando in Start->Run…
      regsvr32 schmmgmt.dll
    6. Aprite una consolle mmc (scrivendo mmc in Start->Run…) e aggiungete lo snap-in Active Directory Schema.
    7. Cliccate con il tasto destro e selezionate Operations Masters.
    8. Verificate che il 5° ruolo di Schema Master sia assegnato ad uno dei server attivi.

    Rimozione del server con ntdsutil
    Per la parte seguente ho seguito la guida Rimozione di dati in Active Directory dopo un abbassamento di livello non riuscito di un controller di dominio riportata sul sito di Microsoft. Vi rimando a questa guida per eventuali approfondimenti e per le raccomandazioni in merito ai rischi dell’utilizzo non corretto di ntdsutil, il tool che sarà utilizzato per i passaggi successivi.

    1. Lanciate il comando ntdsutil in Start->Run…. In ogni schermata di ntdsutil sarà possibile ottenere una guida ai comandi digitando ? e successivamente INVIO.
    2. Digitate metadata cleanup, quindi premete INVIO.
    3. A questo punto è necessario connettersi ad uno dei server attivi. Digitate connections e premete INVIO.
    4. Digitate connect to server nomeserver, quindi premete INVIO. Verrà visualizzato un messaggio per confermare che la connessione è stata stabilita. E’ importante capire ora che i comandi successivi saranno riferiti al server a quale vi siete connessi.
    5. Digitate quit e premete INVIO per tornare al menu di metadata cleanup.
    6. A questo punto digitate select operation target e premere INVIO.
    7. Digitate list domains e premete INVIO. Verrà visualizzato un elenco dei domini nell’insieme di strutture, ognuno con un numero associato. Nel mio caso era presente un solo dominio.
    8. Digitate select domain numero e premete INVIO, dove numero è il numero associato al dominio di cui è membro il server che si desidera rimuovere. Il dominio selezionato viene utilizzato per determinare se il server in fase di rimozione è l’ultimo controller di dominio presente nel dominio.
    9. Digitate list sites e premere INVIO. Verrà visualizzato un elenco di siti, ognuno con un numero associato. Nel mio caso era presente un solo site.
    10. Digitate select site numero e premere INVIO, dove numero è il numero associato al sito di cui è membro il server che si desidera rimuovere. Verrà visualizzato un messaggio di conferma con l’indicazione del sito e del dominio scelti.
    11. Digitate list servers in site e premere INVIO. Verrà visualizzato un elenco dei server nel sito, ognuno con un numero associato. Nel mio caso erano presenti 3 server: 2 attivi e uno non più attivo.
    12. Digitare select server numero, dove numero è il numero associato al server che si desidera rimuovere. Verrà visualizzato un messaggio di conferma con l’indicazione del server selezionato, il relativo nome host DNS (Domain Name Server) e il percorso dell’account computer del server che si desidera rimuovere.
    13. A questo punto potete digitate list current selection e premete INVIO per verificare quanto è stato selezionato. Verificate che si tratti proprio del server attivo.
    14. Digitate quit e premete INVIO per tornare al menu metadata cleanup.
    15. Digitate remove selected server e premere INVIO.Successivamente vi verrà visualizzato il risultato di questa operazione. Se tutto è andato a buon fine, il più è fatto. Verificate all’interno di Active directory users and computers: il domain controller non più attivo non dovrebbe essere presente nella lista dei DC.

    Rimozione delle repliche con ADSIedit

    1. Utilizzare lo snap-in ADSIEdit presente nei support tools del cd di installazione, per eliminare l’oggetto Membro FRS in CN=System (condivisione SYSVOL),CN=servizio Replica file,CN=sistema….
    2. Nella console DNS utilizzare DNS MMC per eliminare il record cname (definito anche Alias) nel contenitore _msdcs.
    3. Nella console DNS utilizzare DNS MMC per eliminare il record A (definito anche Host) in DNS.

    Rimozione delle repliche in Active directory sites and services

    1. Aprite lo snap-in Active directory sites and services e visualizzate la lista dei servers dove dovrebbe ancora comparire il server non funzionante.
    2. Cliccate con il tasto destro e selezionate delete.
    Share

    Microsoft

    Copie shadow

    21 maggio 2009

    Mi è capitato più volte di dover recuperare tramite copie shadow su windows 2003 server dei files e di verificare di non poter eseguire questa operazione perchè la schedulazione delle copie shadow stesse non funzionasse regolarmente negli intervalli richiesti.

    Posto quindi questa breve guida che illustra come risolvere il problema:

    da

    C:\Windows\System32\

    eseguire :

    net stop vss
    regsvr32 /s ole32.dll
    regsvr32 /s vss_ps.dll
    Vssvc /Register
    regsvr32 /s /i swprv.dll
    regsvr32 /s /i eventcls.dll
    regsvr32 /s es.dll
    regsvr32 /s stdprov.dll
    regsvr32 /s vssui.dll
    regsvr32 /s msxml.dll
    regsvr32 /s msxml3.dll
    regsvr32 /s msxml4.dll

    To fix this problem do the following:

    1. Backup the follwing regkey: HKLMSoftwareMicrosoftEventSystem{26c409cc-ae86-11d1-b616-00805fc79216}Subscriptions
    2. Erase the regkey
    3. Reboot.
    4. Verify that things are working by running “vssadmin.exe list writers”.

    Vi consiglio di leggere anche questo link:

    http://blogs.technet.com/asksbs/archive/2008/04/23/troubleshooting-vss-and-backup.aspx

    Share

    Microsoft, Tips Linux e Microsoft

    Replica di Active Directory

    17 maggio 2009

    L’importanza della replica di Active Directory

    Le prime versioni di Windows NT sono stati progettati come unico maestro ambienti di rete. Il controller di dominio primario (PDC) è stato incaricato di gestire la copia master del dominio database. Il PDC è pertanto responsabile per eventuali modifiche di replicare il controller di dominio di backup (BDC). In questi ambienti, le eventuali modifiche devono essere eseguite sul PDC che poi replicata queste modifiche al database di BDC. Che cosa questo significa è che nei casi in cui il PDC è disponibile, non sono state apportate modifiche al database di dominio. Da questa semplice riflessione, è chiaro che il maestro unico ambiente di versioni precedenti di Windows NT ha un limite, quando è venuto a garantire l’affidabilità e continuamente che le modifiche potrebbero essere apportate al database di dominio.

    Nella maggior parte degli ambienti di rete, più di un controller di dominio deve esistere per fornire la tolleranza di errore e di migliorare l’affidabilità e le prestazioni. Tolleranza ai guasti è presente quando la continuità del business esiste quando un controller di dominio, non perché gli altri controller di dominio (s) per l’ambiente sono in grado di fornire le risorse di rete. Avendo più controller di dominio nel vostro ambiente di rete migliora le prestazioni in quanto il carico di elaborazione può essere distribuito a tutti i controller di dominio.

    Active Directory è diverso dal design dei precedenti ambienti di dominio Windows NT perché è stata progettata per essere una soluzione scalabile, distribuito Multimaster replicato database. Informazioni sulle risorse di rete all’interno dell’organizzazione viene memorizzato all’interno del database di Active Directory. In aggiunta a questo, tutti i controller di dominio ospitante a pieno la replica di informazioni di dominio per il proprio dominio. I controller di dominio in Windows 2000 e Windows Server 2003 ambienti tenere una lettura / scrittura copia del database di Active Directory. I controller di dominio in questi ambienti, pertanto mantenere e gestire la replica di tutti gli oggetti di Active Directory (risorse di rete) che si trova nel dominio di cui è membro.

    In Windows 2000 e Windows Server 2003 ambienti, in Active Directory terminologia, ciascun controller di dominio contiene una copia completa della propria partizione di directory. Un altro termine usato per riferirsi alla directory partizione contesto dei nomi. In ambienti Active Directory, un albero di directory contiene tutti gli oggetti di Active Directory nella foresta. Una foresta è il raggruppamento di due o più alberi di dominio o di domini che non hanno un comune contiguo namespace, che è, hanno dei nomi non contiguo. In Active Directory, l’albero delle directory è partizionato. Ciò consente di porzioni di albero per essere distribuiti ai controller di dominio in altri domini della foresta. Torna alla terminologia di Active Directory, la copia della partizione di directory che contiene tutti gli attributi per ogni partizione di directory oggetto è chiamato una replica. La replica su ciascun controller di dominio è leggere e scrivere gli attributi.

    In Active Directory, le modifiche possono essere apportate al database di Active Directory su qualsiasi controller di dominio Active Directory in ambiente. Per superare i limiti del dominio Windows NT ambienti illustrato in precedenza, ciascun controller di dominio deve includere tutte le informazioni che sono state create o modificate in qualsiasi altro controller di dominio. La replica di Active Directory assicura che le informazioni o dati tra i controller di dominio resta aggiornato e coerente. La replica è il processo che assicura che le modifiche apportate a una replica su un controller di dominio vengono trasferite repliche sul resto del controller di dominio. E ‘la replica di Active Directory che garantisce che le informazioni di Active Directory ospitato dal controller di dominio è sincronizzato.

    Il Multimaster ambiente di Active Directory elimina i controller di dominio come singoli punti di guasto a causa di un amministratore può eseguire modifiche al database di Active Directory su qualsiasi controller di dominio, e tali modifiche vengono replicate agli altri controller di dominio all’interno del dominio.

    Quali informazioni vengono replicati in Active Directory

    In Active Directory, ci sono alcune azioni che sono considerate di replica di Active Directory attiva. Le attività che attivano o avviare la replica di Active Directory è riassunta qui di seguito:

    • Quando un oggetto è creato.
    • Quando un oggetto è soppresso.
    • Quando un oggetto viene spostato.
    • Quando un oggetto è cambiato o modificato.

    I controller di dominio in genere contengono le seguenti directory o partizione repliche contesto dei nomi repliche:

    • Configurazione: La configurazione di partizione o contesto dei nomi (NC), contiene gli oggetti che riguardano la struttura logica della foresta, la struttura del dominio, e la topologia di replica. Ogni controller di dominio nella foresta contiene una lettura / scrittura copia della partizione di configurazione. Eventuali oggetti memorizzati nella partizione di configurazione vengono replicate per ogni controller di dominio in ciascun dominio, e in una foresta.
    • Dominio: La partizione di dominio o di contesto dei nomi (NC), contiene tutti gli oggetti che vengono memorizzati in un dominio. Ogni controller di dominio in un dominio ha una lettura / scrittura copia della partizione di dominio. Oggetti nella partizione di dominio vengono replicati solo per i controller di dominio all’interno di un dominio.
    • Schema: Lo schema di partizione o di contesto dei nomi (NC), contiene gli oggetti che possono essere creati in Active Directory, e gli attributi che possono contenere questi oggetti. I controller di dominio in una foresta hanno una copia di sola lettura lo schema di partizione. Oggetti memorizzati nello schema di partizione vengono replicate per ogni controller di dominio in domini / foreste.
    • Domanda: La domanda di partizione è una nuova funzionalità introdotta in Windows Server 2003. Questa partizione contiene oggetti per applicazioni specifiche. Gli oggetti o dati che le applicazioni ei servizi di negozio qui può comprendere qualsiasi tipo di oggetto esclusi principi di sicurezza. Principi di sicurezza sono gli utenti, i gruppi e computer. La domanda contiene tipicamente partizione DNS zona di oggetti e dati dinamici provenienti da altri servizi di rete, come Remote Access Service (RAS) e Dynamic Host Configuration Protocol (DHCP).

    Panoramica di Active Directory Replication Terminologia, Concetti e Oggetti

    In Active Directory, sono numerosi i concetti, e gli oggetti che vengono utilizzati per creare una topologia di replica. Questi sono descritti di seguito:

    • Siti: Un sito può essere definito come un gruppo o una serie di Protocollo Internet (IP) sottoreti che sono collegati da un affidabile, veloce e poco costoso link. Questo è di solito una rete locale (LAN) o rete di area metropolitana (MAN). I domini possono avere i controller di dominio in più siti. Un sito può avere i controller di dominio di domini multipli. In Active Directory, i siti hanno i seguenti ruoli principali o le finalità:
      • Un sito determina il controller di dominio più vicino alla postazione di lavoro di accesso.
      • Un sito funziona come una replica di confine. Come una replica di confine, un sito ottimizza la replica tra i siti in quanto possono essere utilizzati per migliorare e gestire in modo più efficiente di replica di Active Directory.
      • Un sito funziona anche come una risorsa di localizzazione di confine. I clienti sono in grado di accedere alle risorse che sono accessibili in un determinato sito.
    • Collegamenti del sito: Sito link sono connessioni logiche che si è stabilita tra i siti di Active Directory che definiscono un percorso tra questi siti. Un sito link definisce la direzione di replica di Active Directory tra i siti. È possibile utilizzare uno RPC over IP o SMTP come protocollo di trasporto per lo spostamento di replica dei dati su un sito di link. Link del sito sono assegnati i seguenti:
      • Costo: Con la replica, il concetto di costo indica il costo del collegamento fisico tra due siti di Active Directory ed è utilizzata per il dettaglio ottimale collegamento tra percorsi di un sito e un altro sito. Quando un sito di legame è stato assegnato un costo, il tipo di connessione viene presa in considerazione. Per la replica, il più basso costo di collegamenti vengono utilizzati più di un costo più elevato collegamenti.
      • Intervallo: Replica su un link del sito avviene a intervalli di tempo predeterminato. Quando si assegnano la replica, è importante non per impostare il valore troppo alto o troppo basso. Un punteggio eccezionalmente elevato valore significa che le modifiche prendere un tempo più lungo per essere riprodotto, mentre un eccezionale valore più basso significa che anche la replica si verifica regolarmente.
      • Programma: Un programma di replica e l’intervallo sono fondamentalmente utilizzati insieme. Un intervallo è associato con un calendario. Un calendario con le offerte quando la replica dei dati sta per verificarsi.
    • Ponte di collegamento del sito: in Active Directory, è possibile utilizzare un sito di legame ponte per collegare i siti che hanno in comune i dati di Active Directory, ma che non hanno un sito di link. I dati generalmente condivisa da questi siti è la partizione di directory di applicazione.
    • Collegamento oggetti: in Active Directory, i controller di dominio specifico replicare con partner di replica. I partner che replicare con i controller di dominio sono definiti da oggetti connessione. Oggetto Connection consentire ai dati che devono essere replicate in Active Directory perché definire percorsi di replica in ingresso. I controller di dominio e dei relativi collegamenti sono definiti in una mappa della topologia. L’agente di replica directory (DRA) gestisce la replica tra i controller di dominio. Il Direttorio Replication Agent utilizza la connessione a oggetti in topologia mappa per scoprire quelle parti che sono rilevanti quando replicare le modifiche alla directory partizioni. Il DRA invia una richiesta di replica ai partner di un controller di dominio quando il controller di dominio deve aggiornare la propria copia di Active Directory. Gli amministratori possono creare manualmente la connessione oggetti, oppure possono lasciare questi oggetti per essere creato dal Knowledge Consistency Checker (KCC). Quando il KCC crea oggetti connessione, è un processo automatico. Il KCC gira su tutti i controller di dominio in Active Directory. In qualità di amministratore, è possibile creare una connessione manuale oggetto tra due controller di dominio in una foresta. Se si desidera che il flusso di dati in due direzioni, si dovrebbe creare due oggetti connessione. È possibile creare oggetti connessione manuale tra i controller di dominio nello stesso sito o in siti differenti. Il Knowledge Consistency Checker per default crea oggetti connessione automatica. Essa fa riferimento al sito di topologia e poi utilizza le informazioni sui siti e link del sito per creare automaticamente oggetti connessione. Il KCC controlla il sito topologia ad intervalli regolari per determinare se la connessione oggetti sono ancora valide, e quindi oggetti connessione modifiche sulla base delle sue recensioni. E ‘il KCC che è responsabile per certo che i dati nella directory partizioni sono replicati in siti. È possibile disattivare la creazione automatica di oggetti connessione per ogni sito e forestali a livello base.
    • Il sito Inter Topologia Generator (ISTG): Intersite oggetti connessione vengono creati dal sito Inter Topologia Generator (ISTG) e non KCC. Il primo controller di dominio in un sito ha il ruolo di generatore di topologia Inter sito. Vi è un solo ISTG entro un determinato sito. E ‘il ISTG che è responsabile di assicurare che il sito è una replica della configurazione, del dominio e dello schema delle partizioni.
    • SYSVOL dati e il servizio Replica file (FRS): Il volume di sistema contiene gli script e le politiche di gruppo. SYSVOL dati è ospitato su ogni controller di dominio. Modifiche al SYSVOL sono replicate al controller di dominio all’interno dello stesso dominio tramite Replica file System (FRS), la replica. Con la replica del servizio Replica file, l’intero file viene replicata e non solo il reale le modifiche apportate al file. Ciò differisce di replica di Active Directory. Con Active Directory solo le modifiche che sono state effettuate a oggetti di Active Directory vengono replicate.
    • Replica metodi / protocolli: replica di Active Directory può utilizzare uno dei due protocolli per l’invio di replica dei dati tra i controller di dominio:
      • RPC (Remote Procedure Call): Questo è il protocollo utilizzato da Active Directory per l’invio di replica dei dati. La funzionalità di crittografia RPC sono benefiche per replicare i dati in Active Directory in rete.
      • Simple Mail Transport Protocol (SMTP): SMTP è tipicamente utilizzata per l’invio di replica dei dati in massa, e per l’invio di dati attraverso la replica inaffidabili le connessioni di rete.

    Tipi di replica di Active Directory

    In Windows 2000 e Windows Server 2003, i tipi di replica di Active Directory che possono essere definiti sono intrasite la replica e la replica intersite.

    Replica di Active Directory Intrasite

    Intrasite replica in Active Directory si svolge tra i controller di dominio all’interno dello stesso sito. Questo rende intrasite uno semplice processo di replicazione. Quando vengono apportate modifiche alla replica di Active Directory su un controller di dominio, il controller di dominio contatti il resto del controller di dominio all’interno del sito. Il controller di dominio controlli alle informazioni in esso contenute informazioni contro ospitato dagli altri controller di dominio. Per eseguire tale analisi, il controller di dominio utilizza la sequenza logica dei numeri. Intrasite replica utilizza la RPC (Remote Procedure Call), il protocollo di trasmettere dati attraverso la replica veloce, affidabile le connessioni di rete. Con intrasite replicazione, la replicazione dei dati non compressi.

    Replica di Active Directory Intersite

    Intersite ha luogo la replica tra i siti. Intersite replica può utilizzare sia RPC over IP o SMTP per trasmettere la replica dei dati. Questo tipo di replica deve essere configurato manualmente. Intersite replica si verifica tra due controller di dominio che sono chiamati ponte o server testa di ponte. Il ruolo di un server testa di ponte (BS) è stato assegnato ad almeno un controller di dominio in un sito. Un BS in un sito si occupa di replicare i cambiamenti con altri BSS in diversi siti. È possibile configurare più server testa di ponte in un sito. E ‘solo che questi BSS replicare i dati con i controller di dominio in domini diversi da eseguire intersite BS replica con il suo partner. Con intersite replica, i pacchetti sono compressi per risparmiare larghezza di banda. Questo pone ulteriore carico della CPU sul controller di dominio assegnato il ruolo BS. BSS dovrebbero pertanto essere le macchine che hanno velocità sufficiente e processori per eseguire la replica. Intersite replica avviene su link del sito da un metodo che è il polling ogni 180 minuti per impostazione predefinita.

    Avvio di replica di Active Directory tra i partner di replica diretta (costringendo replica)

    Active Directory e di solito crea automaticamente cancella oggetti connessione tra i controller di dominio. Ci sono però casi in cui potrebbe essere necessario creare manualmente la connessione e poi oggetti vigore di replica di Active Directory. È possibile utilizzare uno dei seguenti strumenti o metodi per forzare la replica:

    • Active Directory Siti e servizi di console
    • Repadmin
    • Replmon

    Topologia di replica di Active Directory Opzioni

    La replica di Active Directory topologie tipicamente utilizzate sono:

    • Topologia ad anello: Con intrasite replica, il KCC crea una topologia ad anello che definisce la replica di percorsi all’interno di un sito. In una topologia ad anello, ogni controller di dominio in un sito ha due in entrata e in uscita partner di replica. Il KCC crea l’anello in modo che vi sia non superiore a tre luppolo tra i controller di dominio in un sito.
    • Full mesh Topologia: Questa topologia è tipicamente utilizzata in piccole organizzazioni in cui la ridondanza è estremamente importante, e il numero di siti è molto piccolo. Un pieno di maglia topologia è piuttosto costoso da gestire e non è scalabile.
    • Hub and spoke Topologia: Questa topologia è tipicamente attuata in organizzazioni di grandi dimensioni in cui è importante la scalabilità e ridondanza è meno importante. In questa topologia, uno o più hub esistono siti che sono più lente connessioni WAN ha parlato a più siti. L’hub di siti sono di solito collegati ad ogni altro attraverso collegamenti WAN ad alta velocità.
    • Hybrid Topologia: la topologia è ibrido di qualsiasi combinazione di quanto sopra topologie.

    Come Definire un strategia di replica di Active Directory

    La strategia di replica che si determina essenzialmente attuare quando si avrebbe la replica e il modo in cui le informazioni di Active Directory viene replicata. Progettare una efficace strategia di replica prevede le seguenti fasi:

    • Valutare il reale fisico connettività della rete: questa fase di progettazione in genere comporta la determinazione del sito i link che sono necessari nella rete. È necessario identificare il collegamento in rete, i controller di dominio e siti di determinazione. È necessario stabilire che:
      • I siti sono collegati da una bassa velocità di connessioni inaffidabili – elevato costo delle connessioni.
      • I siti sono collegati da connessioni veloci affidabili – connessioni a basso costo.
      • I siti sono collegati da connessioni medie velocità – costo medio di collegamenti.
    • Un altro componente di questa fase di pianificazione coinvolge determinare se sito link ponti devono essere create. Mentre la pianificazione quali siti sono necessari, si ricordi di inserire l’eventuale futura crescita della organizzazione.

    • Determinare il link del sito i parametri di configurazione per ogni connessione: La configurazione dei parametri o valori che devono essere specificati per ogni sito di legame è riassunta qui di seguito:
      • Nome del sito link
      • Il protocollo di trasporto da utilizzare per la trasmissione di replica dei dati. Questo può essere RPC o SMTP.
      • Sito collegamento costo: L’impostazione predefinita del sito link impostazione costo è di 100. Il valore può variare tra 1 e 32.767.
      • Replica l’intervallo o la frequenza
      • Replica calendario o quando la replica dovrebbe verificarsi.
    • Determinare il server testa di ponte preferito: Invece di utilizzare i server testa di ponte preferito, definita dal Knowledge Consistency Checker (KCC), è possibile scegliere di configurare manualmente il server testa di ponte preferito.
    • Determinare se sito link transitività dovrebbe essere disattivato: Se si sceglie di disabilitare transitività link del sito, è necessario creare manualmente sito link ponti tra i link del sito al fine di garantire sito link transitività.
    Share

    Microsoft

    Comprensione unità organizzative

    17 maggio 2009

    Un sommario di unità organizzative (OU)

    L’unità organizzativa (OU) è un contenitore che viene utilizzato per organizzare logicamente e di gruppo di Active Directory gli oggetti all’interno di domini. Unità organizzative non sono parte del DNS nomi. Essi sono utilizzati per organizzare gli oggetti di Active Directory in gruppi logici amministrative. Unità organizzative dunque servire come contenitori in cui è possibile creare e gestire oggetti di Active Directory. Unità organizzative sono considerati la più piccola unità che un amministratore può assegnare le autorizzazioni alle risorse all’interno di Active Directory.

    L’UO ti consente di applicare politiche di sicurezza, installare applicazioni, delegare il controllo amministrativo di oggetti di Active Directory, e di eseguire script. Una cosa importante da capire è che non sono unità organizzative di protezione. L’account utente, account di gruppo, e gli account computer all’interno di unità organizzative sono i principi di sicurezza.

    I tipi di oggetti di Active Directory che possono essere situate in unità organizzative sono di seguito elencati:

    • L’utente, gruppo e computer di oggetti; le cartelle condivise, stampanti, applicazioni e altre unità organizzative dallo stesso dominio.

    Utente sono i principali oggetti di protezione utilizzati in Active Directory. Un oggetto utente è costituito da il nome utente, password, informazioni al gruppo, e le altre informazioni che definiscono l’utente. Un gruppo oggetto impedisce amministratori da impostare i singoli permessi utente. Una serie di utenti possono essere raggruppati, e quindi assegnato l’autorizzazione appropriata per oggetti di Active Directory. Un oggetto contiene informazioni su un computer che è un membro del dominio. Perché unità organizzative possono contenere altre unità organizzative, un amministratore può gerarchicamente gruppo di risorse e di altri oggetti di Active Directory in modo da riflettere la struttura dell’organizzazione. Il processo di aggiungere altre unità organizzative di unità organizzative in un modo gerarchico è denominato raggruppamento unità organizzative.

    A pochi vantaggi di unità organizzative sono di seguito riassunte:

    • Unità organizzative possono essere nidificate a sostenere diversi livelli di gerarchia
    • Ogni dominio di Active Directory in ambiente può avere una propria struttura organizzativa. La struttura organizzativa di un dominio è indipendente da un altro dominio della struttura organizzativa.
    • È abbastanza semplice per modificare un struttura organizzativa. OU strutture sono molto più flessibili rispetto alle strutture di dominio.
    • UO di impostazioni di configurazione possono essere ereditato da oggetti in unità organizzative figlio.
    • Impostazioni dei Criteri di gruppo possono essere applicate anche alle unità organizzative
    • È possibile delegare il controllo amministrativo degli oggetti di Active Directory unità organizzative attraverso

    Unità organizzative sono tipicamente utilizzati per delegare il controllo amministrativo di oggetti di Active Directory, per nascondere gli oggetti di Active Directory e per amministrare il Group Policy. Quando si delegare il controllo amministrativo su una OU, è consentire ad altri utenti o gruppi di amministrare la UO. La delegazione di effettivo controllo amministrativo viene di solito eseguita da amministratori di livello superiore. Delegazione di controllo sulle unità organizzative consente di trasferire i compiti di gestione ai vari utenti all’interno dell’organizzazione.

    Le funzioni amministrative delegate che sono di solito sono di seguito elencati:

    • Creare, cancellare e gestire gli account utente
    • Creare, cancellare e gestire i gruppi
    • Reimposta password su account utente
    • Leggi tutte le informazioni per l’utente
    • Modificare la composizione di un gruppo
    • Gestione Criteri di gruppo di collegamenti

    Gli amministratori che sono responsabili per le attività di gestione di dominio hanno il pieno controllo su tutti gli oggetti di Active Directory all’interno del dominio. Questa è la configurazione di default. Questi quindi gli amministratori di creare i controller di dominio, domini, e anche creare le UO per il dominio. Se non vi è unità all’interno della organizzazione che la gestione e la necessità di definire la propria struttura organizzativa, si può delegare l’autorizzazione di controllo completo per l’UO di queste persone. Ciò consentirebbe di queste persone a svolgere tutte le attività di gestione è già menzionato in precedenza per la particolare unità organizzativa. In altri casi, potrebbe essere necessario delegare il controllo solo per specifiche classi di oggetti per un OU.

    Come accennato prima, O può anche essere utilizzato per nascondere gli oggetti di dominio sensibile a determinati utenti. Questo viene fatto attraverso la creazione di un’unità organizzativa per coloro oggetti di dominio che si desidera nascondere o non si desidera che tutti gli utenti di visualizzare, e quindi di assegnare solo gli utenti che devono avere la possibilità di visualizzare questi oggetti le necessarie autorizzazioni. Dopo le autorizzazioni appropriate siano configurate per l’unità organizzativa, tutto ciò che dovete fare è spostare il sensibili oggetti di Active Directory per l’UO.

    I criteri di gruppo può essere definito come un insieme di permessi che si possono applicare a oggetti di Active Directory. Impostazioni dei Criteri di gruppo possono essere collegati a siti, domini e unità organizzative; e può valere sia per gli account utente, account computer e account di gruppo. Impostazioni dei Criteri di gruppo vengono applicati alle unità organizzative, in forma di oggetti Criteri di gruppo (GPO). L’oggetto Criteri di gruppo contiene le impostazioni dei Criteri di gruppo che possono essere applicati a utenti e computer in un’unità organizzativa.

    Criteri di gruppo viene applicato nel seguente ordine:

    • Criteri del computer locale
    • Site policy
    • Dominio politica
    • UO di politica, che inizia con la casa madre OU

    Active Directory, tuttavia includere un n. Sovrascrive l’impostazione e un blocco di successione che si possono utilizzare per controllare come vengono applicate politiche. Il n. Sovrascrive l’impostazione può essere attivata per interrompere una politica impostazione organizzativa di un bambino di sovrascrivere il genitore OU impostazione. Il Blocco Ereditarietà impostazione può essere in grado di impedire a un bambino OU, e gli oggetti che esso contiene, da ereditare impostazioni di Criteri di gruppo dalla sua madre OU.

    Pianificazione uno Struttura organizzativa

    Nella progettazione di uno struttura organizzativa, è necessario individuare e definire i seguenti:

    • Il modo in cui l’impresa è riuscita
    • La struttura organizzativa per ogni dominio
    • Le unità organizzative che devono essere create
    • Il modo in cui i criteri di gruppo deve essere applicato.
    • Le unità organizzative per le quali si intende delegare il controllo amministrativo, e gli utenti che si intende delegare il controllo di.
    • Il sensibile oggetti di Active Directory che si desidera nascondere da parte degli utenti.

    La seguente strategia è generalmente raccomandato per una struttura organizzativa: è necessario creare un’unità organizzativa, con il risultato finale è che gli oggetti di Active Directory all’interno della UO sono amministrati da un unico gruppo. Questo vi permette di concedere il particolare il gruppo di diritti identici a tutti gli oggetti di Active Directory in particolare OU, e alla stessa unità organizzativa. È in linea di principio dovrebbe evitare un struttura organizzativa che i risultati dello stesso gruppo che necessitano di gestire gli oggetti nel corso di molti differenti unità organizzative. Ciò significa che gli opportuni diritti dovranno essere concesso singolarmente in ogni unità organizzativa.

    E ‘anche una buona pratica di assegnare un proprietario di ogni unità organizzativa. Il proprietario della UO sarebbe il compito di svolgere i seguenti compiti di gestione:

    • Creare, cancellare e gestire le unità organizzative figlio
    • Applica criteri di gruppo
    • Delegare il controllo amministrativo su oggetti in UO

    Si dovrebbe anche servizio admin oggetti separati dal resto del dominio oggetti. Nascondere servizio admin oggetti impedisce tutti gli utenti del dominio di visualizzare le proprietà e gli attributi, e consente anche di applicare criteri di gruppo in modo che solo gli utenti di servizi di amministrazione sono in grado di eseguire alcuni compiti amministrativi.

    Creazione e gestione delle unità organizzative

    L’Active Directory Utenti e computer di console nel menu Strumenti di amministrazione è utilizzato per creare unità organizzative. Quando si crea un OU, si dovrebbe essere prima di aggiungere in fondo ad un particolare dominio, e quindi si sarebbe aggiunta di oggetti di Active Directory che, delegando il controllo amministrativo per l’UO, o per l’applicazione di un oggetto Criteri di gruppo.

    La finestra di dialogo Proprietà di una unità organizzativa è a pochi schede che vengono utilizzati per gestire le proprietà di una particolare unità organizzativa:

    • Scheda Generale: è possibile specificare una descrizione, indirizzo, città, stato o provincia, CAP o il codice postale, e il paese o la regione per l’UO di informazioni in questa scheda.
    • Gestito Con scheda: Questa è la scheda utilizzata per gestire le impostazioni del proprietario del OU. È possibile inserire le seguenti informazioni per il proprietario della UO: nome, sede, indirizzo, città, stato o provincia, regione o paese, numero di telefono, numero di fax. La scheda contiene anche i seguenti pulsanti:
      • Variazione: Puoi fare clic sul pulsante Cambia se si desidera impostare l’account utente, che sarà responsabile della gestione della UO.
      • Vedi: Se si desidera visualizzare o modificare le proprietà dell’account utente attualmente gestendo la UO, fare clic sul pulsante Visualizza.
      • Rimuovi: Se si desidera rimuovere un account utente, fare clic sul pulsante Rimuovi.
    • Scheda Criteri di gruppo: Questa scheda contiene i seguenti pulsanti:
      • Novità: Se si desidera creare un nuovo GPO per l’unità organizzativa, fare clic su questo pulsante.
      • Edit: Se si desidera modificare le attuali impostazioni di Criteri di gruppo, fare clic sul pulsante Modifica. Le impostazioni che possono essere specificati per un oggetto Criteri di gruppo vengono classificate le impostazioni in Configurazione computer e Configurazione utente impostazioni. Ognuno di questi è separato nelle seguenti categorie: Software, Windows, Modelli amministrativi.
      • Aggiungere: Se si desidera collegare un oggetto Criteri di gruppo per l’unità organizzativa, si dovrebbe fare clic su questo pulsante per creare il nuovo oggetto Criteri di gruppo link.
      • Opzioni: Se si desidera disattivare l’oggetto Criteri di gruppo, o per garantire che l’oggetto Criteri di gruppo del genitore non è OU prevalga l’oggetto Criteri di gruppo di un bambino O, fare clic su questo pulsante. Le opzioni disponibili sono Disattiva l’opzione, e il n. Sovrascrive opzione.
      • Elimina: se si desidera eliminare un oggetto Criteri di gruppo, fare clic su questo pulsante.
      • Proprietà: Se si desidera gestire le proprietà dell’oggetto Criteri di gruppo, fare clic su questo pulsante. La finestra di dialogo delle proprietà dell’oggetto Criteri di gruppo ha una scheda Generale, Collegamenti scheda e scheda Protezione. La scheda Generale è una sintesi pannello, e di un pannello Disattiva. È possibile visualizzare informazioni come il nome di oggetto Criteri di gruppo, e di creare e l’ultima data di modifica nel pannello Sommario. È possibile disattivare le impostazioni di configurazione del computer e Configurazione utente Disattivare le impostazioni nel riquadro. Il legame scheda elenca ciascun sito, dominio e organizzativa a cui il particolare oggetto Criteri di gruppo viene applicato. La scheda di sicurezza è il punto in cui impostare le autorizzazioni per l’oggetto Criteri di gruppo: Controllo completo, Lettura, Scrittura, Crea Oggetti figlio, Elimina Oggetti figlio, Applica criteri di gruppo.

    Come creare un’unità organizzativa

    1. Aperto di Active Directory Utenti e computer di console
    2. Nella struttura della console, individuare e cliccate con il tasto destro del dominio appropriato, scegliere Nuovo, quindi fare clic su Unità organizzativa dal menu di scelta rapida.
    3. Nel Nuovo Unità organizzativa finestra di dialogo, immettere un nome univoco per la UO nella casella Nome.
    4. Fare clic su OK.
    5. Procedere alla clic con il pulsante destro della nuova unità organizzativa, quindi selezionare Proprietà dal menu di scelta rapida.
    6. Quando la finestra di dialogo Proprietà della UO si apre, inserire una descrizione per l’UO sulla scheda Generale.
    7. Fare clic sulla scheda Gestito da specificare un proprietario per l’UO.
    8. Fare clic sul pulsante Cambia e scegliere l’account utente desiderato dalla lista Utenti e Gruppi casella
    9. Fare clic sulla scheda Criteri di gruppo.
    10. Fare clic sul pulsante Nuovo per creare un nuovo GPO per l’unità organizzativa.
    11. Immettere un nome per l’oggetto Criteri di gruppo
    12. Procedere per configurare tutte le impostazioni di Criteri di gruppo per la UO utilizzando il resto della pulsanti disponibili sulla scheda.

    Come creare una struttura organizzativa sensibili per nascondere gli oggetti di Active Directory

    1. Aperto di Active Directory Utenti e computer di console
    2. Nella struttura della console, individuare e cliccate con il tasto destro del dominio appropriato, quindi fare clic su Nuovo, quindi Unità organizzativa dal menu di scelta rapida.
    3. Nel Nuovo Unità organizzativa finestra di dialogo, immettere un nome univoco per la UO nella casella Nome.
    4. Fare clic su OK.
    5. Procedere alla clic con il pulsante destro della nuova unità organizzativa, quindi selezionare Proprietà dal menu di scelta rapida.
    6. Quando la finestra di dialogo Proprietà per l’unità organizzativa si apre, fare clic sulla scheda “Protezione”
    7. Procedere per rimuovere eventuali autorizzazioni per l’unità organizzativa.
    8. Fare clic sul pulsante Avanzate.
    9. Quando le Impostazioni avanzate di protezione finestra di dialogo per l’unità organizzativa si apre, deselezionare la casella di controllo Consenti autorizzazioni ereditabili dall’oggetto padre di propagare a questo oggetto ea tutti gli oggetti figlio casella di controllo. Fare clic su OK.
    10. Nella scheda Protezione, selezionare e assegnare le opportune il gruppo autorizzazione di controllo completo. Concedere l’autorizzazione di lettura per quei gruppi che dovrebbero essere in grado di leggere il contenuto della UO.
    11. Fare clic su OK
    12. È ora possibile spostare il sensibili oggetti di Active Directory per questa particolare unità organizzativa.

    Come eliminare un OU

    1. Aperto di Active Directory Utenti e computer di console
    2. Nella struttura della console, individuare ed espandere il dominio, quindi fare clic destro sulla organizzativa che si desidera eliminare e scegliere Elimina dal menu di scelta rapida.
    3. Fare clic su Sì nella finestra di messaggio per verificare che si desidera eliminare questa particolare unità organizzativa.
    4. Fare clic su Sì se un’altra finestra di messaggio viene visualizzato, richiede di verificare che tutti gli oggetti situati nel OU dovrebbe essere soppresso.

    Come modificare le proprietà di un’unità organizzativa

    1. Aperto di Active Directory Utenti e computer di console
    2. Nella struttura della console, individuare ed espandere il dominio, quindi fare clic destro sulla organizzativa che si desidera configurare le proprietà, e scegliere Proprietà dal menu di scelta rapida.
    3. Procedere per modificare le proprietà della UO sulla scheda Generale, gestito dalla scheda, e la scheda Criteri di gruppo.
    4. È inoltre possibile modificare l’oggetto Criteri di gruppo che è legata alla UO o le impostazioni dei Criteri di gruppo esistente dalla scheda Criteri di gruppo.

    Come rinominare una OU

    1. Aperto di Active Directory Utenti e computer di console
    2. Nella struttura della console, individuare ed espandere il dominio, quindi fare clic destro sulla organizzativa che si desidera rinominare e scegliere Rinomina dal menu di scelta rapida.
    3. Immettere il nuovo nome per l’UO

    Come spostare un UO in una nuova posizione

    1. Aperto di Active Directory Utenti e computer di console
    2. Nella struttura della console, individuare ed espandere il dominio che contiene il organizzativa che si desidera spostare in una posizione diversa.
    3. Fare clic sulla OU e procedere con l’UO di trascinare nella nuova posizione.
    4. Rilasciare l’UO nella nuova posizione.

    Come muoversi tra gli oggetti di Active Directory unità organizzative usando il drag and drop

    1. Aperto di Active Directory Utenti e computer di console
    2. Nella struttura della console, individuare ed espandere il dominio che contiene l’UO che detiene l’oggetto che si desidera passare a una diversa unità organizzativa.
    3. Espandere l’unità organizzativa
    4. Clicca l’oggetto che si desidera spostare e procedere a trascinare l’oggetto di altre UO.
    5. Scollega l’oggetto nella nuova posizione organizzativa.

    Come muoversi tra gli oggetti di Active Directory unità organizzative utilizzando ADUC Sposta Opzione

    1. Aperto di Active Directory Utenti e computer di console
    2. Nella struttura della console, individuare ed espandere il dominio che contiene l’UO che detiene l’oggetto che si desidera passare a una diversa unità organizzativa.
    3. Espandere l’unità organizzativa, fare clic con l’oggetto e quindi scegliere Sposta dal menu di scelta rapida.
    4. Quando la finestra di dialogo Sposta, selezionare la nuova posizione organizzativa per l’oggetto.
    5. Fare clic su OK.

    Come muoversi tra gli oggetti di Active Directory utilizzando le unità organizzative Dsmove strumento della riga di comando

    È possibile utilizzare il Dsmove strumento della riga di comando per spostarsi tra gli oggetti di Active Directory unità organizzative, e di rinominare un oggetto di Active Directory.

    Per utilizzare il Dsmove strumento della riga di comando di Active Directory per spostare gli oggetti da una posizione organizzativa ad una diversa posizione organizzativa,

    1. Fare clic sul pulsante Start, quindi fare clic su Prompt dei comandi.
    2. Inserisci dsmove con i parametri, al prompt dei comandi.

    La sintassi del comando è:

    dsmove ObjectDN [-NEWNAME NEWNAME] [-newparent ParentDN] [(-s Server |-d Dominio)] [-u NomeUtente] [-p (Password | *)] [-q] (-uc |-UCO |-UCI )

    • ObjectDN, il nome di Active Directory oggetto che si desidera passare a una diversa unità organizzativa.
    • -NEWNAME NEWNAME, rinominare oggetto di Active Directory
    • -newparent ParentDN, per la definizione del nuovo percorso a cui si desidera spostare l’oggetto di Active Directory.
    • (-s Server |-d Dominio), per il collegamento a un server remoto, o il dominio.
    • -u NomeUtente, il nome utente che l’utente utilizza per accedere al server remoto
    • [-p (Password | *), la password di quanto sopra specificato il nome utente.
    • -q, per la definizione di modalità di uscita
    • -uc, UCO,-UCI, per l’impostazione del formato Unicode

    Come di delegare il controllo amministrativo di un’unità organizzativa

    1. Aperto di Active Directory Utenti e computer di console
    2. Nella struttura della console, individuare e fare clic destro e scegliere l’unità organizzativa Delegato di controllo dal menu di scelta rapida.
    3. La delegazione guidata del controllo lancia
    4. Fare clic su Avanti il benvenuto alla delegazione guidata del controllo pagina.
    5. Fare clic su Aggiungi utenti o gruppi pagina.
    6. Quando Seleziona utenti, computer o gruppi finestra di dialogo si apre, in Immettere i nomi degli oggetti da selezionare nella casella di riepilogo, inserisci l’utente / gruppo al quale si desidera delegare il controllo. Fare clic su OK. Fare clic su Avanti
    7. Quando i compiti delegato apre la pagina, effettuare una delle seguenti
      • Selezionare il Delegato Il comune Compiti seguito, quindi scegliere l’attività che si desidera delegare. Fare clic su Avanti. Completamento della Delega guidata del controllo pagina sarà visualizzato. I compiti tipicamente delegate sono elencati di seguito:
        • Creare, eliminare e gestire gli account utente
        • Reimposta password su Account utente
        • Leggi Tutto Informazioni utente
        • Creare, eliminare e gestire i gruppi
        • Modificare l’iscrizione di un gruppo
        • Gestione Criteri di gruppo Collegamenti
      • Selezionare Crea un’operazione personalizzata per eseguire la Delegato opzione e fare clic su Avanti.
    8. Quando il Tipo oggetto di Active Directory apre la pagina, eseguire una delle azioni elencate di seguito:
      • Selezionare la cartella, gli oggetti esistenti in questa cartella, e la creazione di nuovi oggetti in questa cartella se si desidera delegare il controllo amministrativo per l’UO, comprese tutte le attuali oggetti in OU, e se si desidera delegare il controllo amministrativo per tutti i nuovi oggetti che verranno creati nella OU.
      • Selezionare il solo i seguenti oggetti nella cartella opzione se si desidera delegare il controllo solo per alcuni oggetti in UO. Procedere a scegliere questi oggetti.
    9. È possibile limitare l’utente / gruppo a creare gli oggetti selezionati nel OU consentendo Crea gli oggetti selezionati in questa cartella di controllo.
    10. È inoltre possibile limitare l’utente / gruppo per l’eliminazione di oggetti selezionati nel OU consentendo Elimina gli oggetti selezionati in questa cartella di controllo. Fare clic su Avanti
    11. Quando si apre la pagina Autorizzazioni, attivare una delle seguenti caselle di controllo per visualizzare le informazioni nel permessi: box:
      • Generale, alla lista delle autorizzazioni generali nella permessi: scatola
      • Proprietà specifiche, alla lista di proprietà specifiche autorizzazioni in autorizzazioni: casella
      • Creazione / Eliminazione di oggetti specifici per bambini, per elencare tutti i permessi che si applicano all’oggetto in permessi: scatola
    12. Dopo aver popolato la permessi: casella di, impostare i permessi per l’utente / gruppo per l’unità organizzativa in permessi: casella. Fare clic su Avanti
    13. Verificare di aver selezionato le impostazioni corrette sul completamento La Delega guidata del controllo pagina.
    14. Fare clic su Fine.

    Risoluzione dei problemi uno Struttura organizzativa

    I problemi comuni che si verificano con OU strutture sono riportati di seguito:

    • Quando gli utenti che non dovrebbe essere consentito di svolgere compiti amministrativi su unità organizzative, sono in grado di eseguire compiti amministrativi, verificare che vi hanno delegato il controllo amministrativo per l’UO per il corretto utente o gruppo. Si consiglia di verificare l’utente o il gruppo specificato per il controllo amministrativo per ogni unità organizzativa all’interno del dominio.
    • Se uno OU contiene gli oggetti che hanno una serie di autorizzazioni applicate quando nessuno è stato definito per la particolare unità organizzativa, verificare che l’unità organizzativa non è permesso di ereditare le impostazioni da un genitore OU. La configurazione di default è che un bambino OU e gli oggetti che il bambino OU contiene, eredita automaticamente gruppo e altre impostazioni di autorizzazione dal suo genitore OU associati.
    Share

    Microsoft

    Distribuzione di software tramite i Criteri di gruppo

    17 maggio 2009

    Quando Active Directory di Windows è stato avviato nel 2000, una delle sue principali caratteristiche di progettazione è stato quello di facilitare il processo di implementazione di software all’interno di una organizzazione. A tal fine, Microsoft ha incluso la possibilità di implementare e distribuire il software utilizzando Criteri di gruppo. IntelliMirror tecnologie comprendono i Criteri di gruppo per semplificare l’installazione del software necessario per la gestione di grandi quantità di utenti e computer. Il software di installazione e manutenzione del componente IntelliMirror tecnologie possono essere utilizzate per applicazioni di pubblicare in rete. Publishing è la terminologia utilizzata per rendere le applicazioni disponibili per l’installazione di oltre la rete. Il software di installazione e manutenzione di componenti possono essere utilizzati anche per installare automaticamente le applicazioni basate su alcuni criteri predefiniti su computer. Ad esempio, le applicazioni possono essere installate automaticamente sul computer, sulla base di specifici utenti o gruppi, o può essere installato automaticamente sul computer specificato. Il software di installazione e manutenzione di componenti possono essere utilizzati anche per disinstallare le applicazioni. Per rendere disponibili queste funzionalità, il software di installazione e manutenzione del componente IntelliMirror tecnologie interrelates con Criteri di gruppo e il servizio Active Directory.

    Al fine di implementare il software con i Criteri di gruppo, si applicano le seguenti condizioni:

    • L’organizzazione deve essere in esecuzione Windows 2000 o Windows Server 2003 di dominio di Active Directory.
    • I computer client deve essere in esecuzione Windows 2000 Professional o versioni successive.

    Quando si utilizza Criteri di gruppo per distribuire il software nel tuo dominio Active Directory, è necessario modificare sostanzialmente un oggetto Criteri di gruppo (GPO), oppure creare un nuovo oggetto Criteri di gruppo. L’oggetto Criteri di gruppo deve essere collegato a un sito, dominio o unità organizzativa (OU). Un oggetto Criteri di gruppo che è collegato a uno di questi componenti ha un nodo di installazione del software si trova sotto il nodo Configurazione computer, l’installazione del software e un nodo si trova sotto il nodo Configurazione utente. È possibile accedere a un GPO collegato a un sito, dominio o unità organizzativa, tramite l’Editor criteri di gruppo console. Il software di installazione nel nodo Editor oggetti Criteri di gruppo console può essere considerato il principale strumento utilizzato per distribuire il software. L’installazione del software consente, inoltre, il nodo di gestione centralizzata di implementazione iniziale del software e la rimozione del software. È inoltre possibile gestire centralmente gli aggiornamenti software, aggiornamenti rapidi, e le patch da questa posizione.

    Distribuzione di software tramite i Criteri di gruppo comprende due tipi di distribuzione del software:

    • Assegnazione di applicazioni: è necessario assegnare le domande se alcuni utenti dovrebbero avere a disposizione le applicazioni, indipendentemente dalla effettiva computer l’utente è connesso al. Le domande che vengono assegnati sono pubblicizzati per l’utente sul menu Start e sono installati su iniziale. È possibile specificare che l’applicazione sia installata prossimo, quando l’utente accede alla workstation. La pubblicità è il processo mediante il quale l’applicazione è pronta per l’installazione. Quando i Criteri di gruppo viene utilizzato per distribuire il software, e il software è incluso nel GPO collegato a un sito, dominio o unità organizzativa, il software è denominato pubblicizzati per l’utente e il computer. Se sono la domanda di assegnazione di un utente, è necessario utilizzare il software di installazione sotto nodo nodo Configurazione utente, Impostazioni del software. Se siete di assegnare l’applicazione a un computer, è necessario utilizzare il software di installazione sotto nodo Configurazione computer, Impostazioni del software.

    Il processo che si verifica quando l’assegnazione di applicazioni è riportato di seguito:

      1. Quando l’utente accede al computer client, il processo WinLogon pubblicizza l’application (s) nel menu di avvio, o sul desktop degli utenti.
      2. L’utente seleziona l’applicazione di uno di questi luoghi.
      3. Il servizio Windows Installer ottiene il pacchetto di Windows Installer per l’applicazione selezionata.
      4. La richiesta per il software è passato accanto al punto di distribuzione del software (SDP).
      5. Il servizio Windows Installer avvia, quindi installa il pacchetto di Windows Installer per la richiesta del software.
      6. Il servizio Windows Installer si apre l’applicazione per l’utente.
    • Pubblicazione domande: Quando un’applicazione viene pubblicato in Active Directory, la domanda è pubblicizzato per gli utenti nel Pannello di controllo, in Add / Remove Programs applet. Ciò significa che la domanda non viene installato automaticamente per l’utente, e l’utente effettivamente controlla se e quando l’applicazione viene installata. L’utente controlla anche la disinstallazione delle applicazioni.

    Il processo che si verifica quando la pubblicazione di applicazioni è riportato di seguito:

      1. L’utente accede al computer client, e apre la Aggiungi / Rimuovi applet del Pannello di controllo.
      2. Aggiungi / Rimuovi applet riceve le informazioni su cui il software è disponibile per l’installazione di Active Directory.
      3. L’utente che procede per selezionare l’applicazione da installare.
      4. Aggiungi / Rimuovi applet ottiene la posizione del software da Active Directory.
      5. La richiesta per il software è passato accanto al punto di distribuzione del software (SDP).
      6. Il servizio Windows Installer avvia, quindi installa il pacchetto di Windows Installer per la richiesta del software.
      7. L’utente è ora in grado di accedere alle applicazioni installate.

    In Criteri di gruppo, l’installazione del software utilizza il servizio Windows Installer per mantenere e gestire lo stato di installazione del software. Il servizio viene eseguito in background e che consente al sistema operativo (OS) per gestire l’installazione del software sulla base delle informazioni memorizzate nel pacchetto di Windows Installer.

    Installazione software dei Criteri di gruppo Componenti

    I componenti coinvolte nella distribuzione di software tramite i Criteri di gruppo sono discussi prossimo.

    • Pacchetto di Windows Installer: Questo è un file con un file. Msi proroga che contiene le istruzioni per l’installazione, la configurazione e la rimozione di software. I tipi di pacchetti di installazione di Windows sono:
      • Native pacchetto Windows Installer file: Questo tipo di pacchetto di installazione di Windows è stato sviluppato come componente del software. Il servizio Windows Installer può essere pienamente utilizzata. Il pacchetto di Windows Installer nativo file includono un prodotto che ha molte caratteristiche che possono essere installati singolarmente.
      • Riconfezionato file di applicazione: La differenza tra i due pacchetti che includono file riconfezionato domanda un prodotto che è stato installato come una funzione.
    • Transforms: Un altro termine usato per le modifiche si trasforma. A trasformare è fondamentalmente un registro delle modifiche che sono state apportate ai file del pacchetto originale. Transforms consentono di personalizzare i pacchetti di Windows Installer e la funzionalità di installazione quando si pubblica o assegnare l’applicazione. Attraverso trasforma, si possono includere funzionalità per l’installazione, e di escludere le caratteristiche per l’installazione. I tipi di file di personalizzazione che si possono configurare sono elencati di seguito. Trasformare un file. Mst estensione del file:
      • Trasforma file: Trasforma i file consentono di personalizzare l’installazione dell’applicazione.
      • Patch Files: Questi file sono un file. Msp estensione del file, vengono utilizzati per aggiornare i pacchetti di Windows Installer con ulteriori informazioni, e sono utilizzati per le seguenti finalità:
        • Software patch
        • Service Packs
        • Software Updates
    • Applicazione file: Questi sono file di testo con estensione. Zap estensione del file che includono le istruzioni su come pubblicare una domanda. A causa. Zap file non supportano Windows Installer funzioni, essi sono utilizzati per distribuire e installare le applicazioni che utilizzano la sua originale o Setup.exe Install.exe programma.

    Pianificazione per la distribuzione del software utilizzando Criteri di gruppo

    Quando la pianificazione per la distribuzione del software tramite i Criteri di gruppo, sono i seguenti:

    • Quando si prevede di implementare il software mediante criteri di gruppo, si dovrebbe comprendere il software requisiti della organizzazione nella vostra strategia. Valutare la struttura organizzativa in Active Directory e identificare oggetti Criteri di gruppo disponibili.
    • Definire il modo in cui le domande saranno dispiegati per gli utenti o computer. Sono le domande saranno pubblicate in Active Directory, o assegnati a utenti e computer?
    • Prova il modo in cui le applicazioni sono in corso da assegnare alla pubblicazione.

    A pochi migliori pratiche e delle strategie da prendere in considerazione sono elencati di seguito:

    • Il software può essere implementato a livello di sito, dominio di livello, o livello di unità organizzativa in Active Directory. Si consiglia di distribuire il software in quanto l’alto in gerarchia di Active Directory o un albero come è possibile. Il software dovrebbe essere dispiegata vicino alla radice nella struttura di Active Directory, perché consente di utilizzare uno GPO per distribuire il software a più utenti.
    • È necessario implementare molteplici applicazioni con un singolo oggetto Criteri di gruppo, perché è più facile per gestire più applicazioni dallo stesso oggetto Criteri di gruppo che a gestire più oggetti Criteri di gruppo. Accesso utente è tempo anche perché meno accelerato oggetti Criteri di gruppo devono essere trattati.
    • Se si dispone di diversi utenti e computer che hanno bisogno di diverse applicazioni utilizzate, si dovrebbero creare unità organizzative in base a questi requisiti in materia di gestione del software, le necessarie utenti o computer in UO, quindi applicare l’oggetto Criteri di gruppo contenente il software che dovrebbe essere dispiegata.

    Il processo per la distribuzione del software tramite i Criteri di gruppo

    Il processo generale necessarie per distribuire il software tramite i Criteri di gruppo è riassunta qui di seguito:

    • Creare punti di distribuzione del software (DOCUP): Uno dei passi nella distribuzione di software è quello di garantire che gli utenti siano in grado di accedere ai file necessari. DOCUP sono le cartelle condivise in rete che contiene i file necessari per installare le applicazioni impiegate. Ogni utente che ha bisogno di implementare il software dovrebbe essere in grado di accedere al SDP. Le autorizzazioni NTFS dovrebbe essere di lettura ed esecuzione per l’SDP e le sottocartelle necessarie, in modo che gli utenti hanno i permessi per accedere alla cartella che contiene il pacchetto di installazione del software.
    • Creare un GPO per la distribuzione del software, e un oggetto Criteri di gruppo per la console di distribuzione del software: quando la distribuzione del software tramite i Criteri di gruppo, l’Editor oggetti Criteri di gruppo viene utilizzato per i seguenti compiti:
      • Configurare le opzioni di installazione del software di implementazione.
      • Assegnazione di applicazioni
      • Pubblica applicazioni
      • Aggiornamento delle applicazioni
      • Rimuovere applicazioni gestite.
    • Configurare la distribuzione del software di installazione per le proprietà dell’oggetto Criteri di gruppo: l’installazione del software di dialogo Proprietà contiene quattro schede che viene utilizzato per impostare le opzioni di configurazione per il software che dovrebbero essere impiegate:
      • Scheda Generale: Questo è il punto in cui impostare il percorso predefinito di tutti i pacchetti, impostare il valore di default per la pubblicazione o l’assegnazione, e impostare le opzioni di installazione interfaccia utente.
      • Scheda Avanzate: Questa scheda include opzioni quali la disinstallazione delle applicazioni automaticamente quando l’oggetto Criteri di gruppo non è più applicabile per l’utente o il computer, la memorizzazione Object Linking and Embedding (OLE) le informazioni in Active Directory, e consentendo a 64-bit client Windows per installare Windows 32-bit installazione delle applicazioni.
      • File Extensions scheda: È configurare le estensioni dei file che dovrebbe essere letta da applicazioni su File scheda Estensioni.
      • Categorie scheda: Applicazioni categorie servire un utile quando la tua organizzazione ha una grande quantità di applicazioni pubblicate. Le Categorie scheda consente di creare e organizzare le applicazioni per categoria, in modo che gli utenti sono in grado di individuare facilmente le applicazioni in Add / Remove Programs applet del Pannello di controllo.
    • Aggiungi l’installazione dei pacchetti per l’oggetto Criteri di gruppo: in questo passo, si aggiunge l’installazione dei pacchetti per l’oggetto Criteri di gruppo, e di specificare se la domanda deve essere assegnato o pubblicato per gli utenti e computer
    • Configurazione del pacchetto di Windows Installer proprietà: Una volta che un pacchetto di Windows Installer è aggiunto a un oggetto Criteri di gruppo, è possibile modificare le proprietà del pacchetto di modificare la categoria della domanda, se la domanda viene assegnato o pubblicato, configurare le impostazioni di sicurezza, e di aggiungere o rimuovere trasforma (modifiche). La finestra di dialogo Proprietà per il pacchetto di Windows Installer è possibile configurare il pacchetto di Windows Installer proprietà, utilizzando le schede qui di seguito elencati.
      • Scheda Generale: Questo è il punto in cui cambiare il nome predefinito del pacchetto. È anche possibile selezionare un supporto URL per indirizzare gli utenti a una pagina Web di supporto. Gli utenti possono scegliere il sostegno URL dalla Installazione applicazioni applet.
      • Distribuzione scheda: Sulla scheda di distribuzione, è possibile selezionare le impostazioni per le seguenti:
        • Tipo di distribuzione
        • Le opzioni di distribuzione
        • Opzioni di interfaccia utente di installazione
      • Aggiornamenti scheda: La scheda di vendita non è disponibile per i pacchetti che sono stati creati a partire dal file “domanda”, o. Zap file. La scheda è utilizzata per installare gli aggiornamenti. Il primo passo però è quello di creare un pacchetto di Windows Installer che contiene l’aggiornamento. Il secondo passo è configurare le impostazioni per l’aggiornamento della scheda Aggiornamenti.
      • Categorie scheda: si tratta di impostare l’applicazione in cui le categorie in modo che gli utenti possono facilmente trovare la domanda in Installazione applicazioni nel Pannello di controllo applet.
      • Modifiche scheda: Questo è il punto in cui personalizzare un pacchetto di installazione con l’aggiunta o la rimozione trasforma.
      • Scheda di sicurezza. È configurare gli utenti o gruppi, che dovrebbe essere in grado di accedere alla domanda sulla scheda Protezione.

    Come creare un punto di distribuzione del software (SDP)

    1. Accedere al server di file che si desidera utilizzare come SDP.
    2. Creare la condivisione di rete per il software, e le necessarie cartelle per il software
    3. Le autorizzazioni che devono essere configurati sono elencati di seguito:
      • Administrators: Controllo completo
      • Tutti o Authenticated Users: Lettura
      • Dominio Computer: Leggi
    4. Copiare il software, inclusi tutti i file necessari e componenti per l’SDP.

    Come creare o aprire un oggetto Criteri di gruppo e un oggetto Criteri di gruppo per la console di distribuzione del software

    Per creare un nuovo oggetto Criteri di gruppo,

    1. Per creare e collegare un oggetto Criteri di gruppo a un sito, aprire Active Directory Siti e servizi. Per creare e collegare un oggetto Criteri di gruppo a un dominio o unità organizzativa, aprire Active Directory Utenti e computer di console.
    2. Fare clic col tasto destro del sito, dominio o unità organizzativa, quindi scegliere Proprietà dal menu di scelta rapida.
    3. Quando la finestra di dialogo Proprietà del sito, dominio o unità organizzativa si apre, fare clic sulla scheda Criteri di gruppo.
    4. Fare clic su Nuovo, immettere un nome per l’oggetto Criteri di gruppo.
    5. Fare clic sul pulsante Chiudi. L’oggetto Criteri di gruppo di default è collegata al sito, dominio o unità organizzativa in cui è stata creata.

    Per aprire un dominio esistente o di livello GPO OU livello GPO,

    1. Aperto di Active Directory Utenti e computer di console.
    2. Fare clic col tasto destro del dominio o unità organizzativa nel riquadro a sinistra della console, quindi fare clic su Proprietà dal menu di scelta rapida.
    3. Fare clic sulla scheda Criteri di gruppo.
    4. In Collegamenti oggetto Criteri di gruppo, selezionare l’oggetto Criteri di gruppo e fare clic su Modifica.
    5. L’oggetto Criteri di gruppo viene aperto in Editor oggetti Criteri di gruppo console.

    Per aprire un sito esistente livello GPO,

    1. Aperto di Active Directory Siti e servizi di console.
    2. Espandere il nodo Siti
    3. Fare clic col tasto destro del sito nel riquadro dei dettagli, e scegliere Proprietà dal menu di scelta rapida.
    4. Fare clic sulla scheda Criteri di gruppo.
    5. In Collegamenti oggetto Criteri di gruppo, selezionare l’oggetto Criteri di gruppo e fare clic su Modifica.
    6. L’oggetto Criteri di gruppo viene aperto in Editor oggetti Criteri di gruppo console.

    Per creare un oggetto Criteri di gruppo di MMC,

    1. Fare clic sul pulsante Start, Esegui, digitare mmc nella finestra di dialogo Esegui, quindi fare clic su OK.
    2. Dal menu File, fare clic su Aggiungi / Rimuovi snap-in.
    3. Fare clic su Aggiungi nella Aggiungi / Rimuovi snap-in finestra di dialogo per l’accesso al Aggiungi / Rimuovi snap-in finestra di dialogo. Fare clic su Aggiungi.
    4. Selezionare Editor oggetti Criteri di gruppo, e fare clic su Aggiungi.
    5. Fare clic sul pulsante Sfoglia per trovare l’oggetto Criteri di gruppo.
    6. Fare clic sulla scheda Tutte nella Sfoglia Per un oggetto Criteri di gruppo finestra di dialogo.
    7. Selezionare l’oggetto Criteri di gruppo. Fare clic su OK
    8. Chiudere tutte le finestre di dialogo, e quindi in MMC, dal menu File, scegliere Salva con nome.
    9. Fornire un nome nella casella Nome file. Fare clic su Salva.
    10. L’Editor oggetti Criteri di gruppo per l’oggetto Criteri di gruppo può essere letta sotto il menu Strumenti di amministrazione.

    Come aprire il software di installazione snap-in

    L’installazione del software snap-in è un componente di Editor oggetti Criteri di gruppo.

    1. Aperto di Active Directory o Utenti e computer di console, o di Active Directory Siti e servizi di console.
    2. Fare clic col tasto destro del sito, dominio o unità organizzativa e quindi scegliere Proprietà dal menu di scelta rapida.
    3. Fare clic sulla scheda Criteri di gruppo.
    4. O creare un nuovo oggetto Criteri di gruppo, o di modificare un oggetto Criteri di gruppo esistente.
    5. Fare clic sul pulsante Proprietà, quindi fare clic sulla scheda Protezione. Impostare le autorizzazioni appropriate per l’oggetto Criteri di gruppo. Fare clic su OK
    6. Scegliere l’oggetto Criteri di gruppo, e fare clic su Modifica.
    7. Nella struttura della console, scegliere Configurazione computer per assegnare alle applicazioni di computer o Configurazione utente scegliere di assegnare o pubblicare applicazioni per gli utenti.

    Come configurare le proprietà di installazione del software di implementazione per l’oggetto Criteri di gruppo

    Utilizzo di Criteri di gruppo per distribuire il software, consente di configurare numerose impostazioni e le opzioni per controllare il modo in cui i pacchetti software sono impiegati e gestiti all’interno della vostra organizzazione. Se si desidera eseguire uno dei compiti amministrativi di seguito elencati, utilizzare la procedura dettagliata di configurazione dopo l’elencati compito amministrativo:

    • Modificare la posizione predefinita per l’installazione dei pacchetti.
    • Configurare l’azione predefinita che deve essere eseguita quando si sono aggiunti nuovi pacchetti per l’oggetto Criteri di gruppo.
    • Definire la quantità di informazioni di installazione viene visualizzato per gli utenti durante il processo di installazione
    • Modificare la quantità di controllo che gli utenti hanno più di installazione delle applicazioni
    • Configurazione automatica di disinstallazione delle applicazioni, quando l’oggetto Criteri di gruppo non è più applicabile a utenti e computer.
    1. Aprire l’oggetto Criteri di gruppo appropriato per la distribuzione del software
    2. Nella struttura della console, procedere per espandere il nodo Configurazione utente, o il nodo Configurazione computer
    3. Fare clic col tasto destro del nodo di installazione del software e fare clic su Proprietà dal menu di scelta rapida.
    4. Quando l’installazione del software di dialogo Proprietà si apre, nella casella di default del pacchetto della scheda Generale, immettere il Uniform Naming Convention (UNC) percorso per l’SDP per i pacchetti di Windows Installer.
    5. È possibile configurare l’azione predefinita che deve essere eseguita sui nuovi pacchetti nella sezione nuovi pacchetti della scheda Generale. Puoi scegliere una delle opzioni qui di seguito elencati:
      • Mostra finestra di dialogo Distribuisci applicazione: Questa la configurazione di default l’impostazione. La finestra di dialogo Deploy Software sarà visualizzato quando vengono aggiunti nuovi pacchetti per l’oggetto Criteri di gruppo. In questa finestra di dialogo, è possibile scegliere se assegnare o pubblicare la domanda, o configurare le proprietà del pacchetto.
      • Pubblica: Ricorda che le applicazioni possono essere pubblicate solo per gli utenti, e non i computer. Pertanto, questa impostazione è disponibile solo per Configurazione utente. Quando l’opzione è selezionata, l’applicazione viene automaticamente pubblicato con il pacchetto di default proprietà o le impostazioni.
      • Assegna: Quando l’opzione Assegna è selezionata, tutti i nuovi pacchetti di installazione del software aggiunto per l’oggetto Criteri di gruppo vengono assegnati automaticamente con il pacchetto di default proprietà o le impostazioni
      • Avanzata: quando un nuovo pacchetto di installazione del software è aggiunto l’oggetto Criteri di gruppo, la finestra di dialogo delle proprietà del pacchetto viene visualizzato. È quindi possibile configurare le proprietà per il pacchetto di installazione.
    6. In Installazione Interfaccia utente sezione Opzioni della scheda Generale, è possibile scegliere una delle seguenti opzioni:
      • Basic: Quando viene selezionata, gli utenti vengono visualizzati limitate informazioni sul processo di installazione.
      • Massimo: Quando viene selezionata, gli utenti vengono visualizzati tutti i messaggi di installazione e schermi il processo di installazione.
    7. Fare clic sulla scheda Avanzate.
    8. Selezionare Uninstall Il Applicazioni Quando esse rientrano nell’ambito di applicazione della gestione casella di controllo per rimuovere automaticamente la domanda se l’oggetto Criteri di gruppo non si applica più agli utenti o ai computer.
    9. Selezionare Includi OLE Informazioni Quando distribuzione di applicazioni di controllo se le informazioni su COM (Component Object Model) componenti dovrebbero essere inclusi con il pacchetto.
    10. Selezionare la Marca 32-bit x86 di Windows Installer Per applicazioni disponibili Win64 Macchine casella di controllo per consentire a 64-bit di Windows per installare i computer client a 32-bit di Windows Installer applicazioni.
    11. Selezionare la Marca 32-bit x86-Up Level (ZAP) Per applicazioni disponibili Win64 Macchine casella di controllo per consentire a 64-bit computer client per installare le applicazioni utilizzando un pubblicati. Zap file (file “domanda”).

    Come configurare l’applicazione predefinita per i file con estensione

    È normalmente bisogno di associare un file con estensione con una domanda, quando si dispone di più applicazioni che possono utilizzare un determinato formato di file.

    1. Aprire la console di Criteri di gruppo appropriato.
    2. Nella struttura della console, procedere per espandere il nodo Configurazione utente, o il nodo Configurazione computer
    3. Fare clic col tasto destro del nodo di installazione del software e fare clic su Proprietà dal menu di scelta rapida.
    4. Quando il software di installazione si apre la finestra di dialogo Proprietà, fare clic sulla scheda Estensioni file.
    5. Selezionare Usa la lista dei file di estensione per controllare quali applicazioni sono associati con l’estensione del file.
    6. È possibile utilizzare i tasti Su o Giù della domanda Precedenza casella di riepilogo, per spostare una domanda che dovrebbe essere l’applicazione predefinita per la particolare estensione in cima alla lista.
    7. Fare clic su OK.

    Come creare categorie di applicazione per le applicazioni che vengono pubblicati

    1. Aprire la console di Criteri di gruppo appropriato.
    2. Nella struttura della console, procedere per espandere il nodo Configurazione utente, o il nodo Configurazione computer
    3. Fare clic col tasto destro del nodo di installazione del software e fare clic su Proprietà dal menu di scelta rapida.
    4. Quando il software di installazione si apre la finestra di dialogo Proprietà, fare clic sulla scheda Categorie.
    5. Fare clic su Aggiungi per aggiungere una nuova categoria di applicazioni.
    6. Nel Inserisci Nuova categoria finestra di dialogo, specificare un nome per la nuova categoria nella casella Categoria. Fare clic su OK.
    7. Se si desidera rimuovere una richiesta già esistente categoria, selezionare la categoria in categorie scheda, quindi fare clic su Rimuovi.
    8. Se si desidera cambiare il nome di una categoria esistente, selezionare la categoria in categorie scheda, quindi fare clic su Modifica.
    9. Fare clic su OK.

    Come cambiare il comportamento di default l’installazione del software su collegamenti di rete lenta

    Quando si utilizza Criteri di gruppo, i Criteri di gruppo ritiene che tutte le connessioni di rete che sono più lento di 500 Kbps come collegamenti lenti (di default). A questo punto, le politiche di seguito elencati vengono disattivati:

    • Quote disco
    • Reindirizzamento cartelle
    • Script
    • Installazione e manutenzione software

    È possibile tuttavia modificare la velocità che ritiene lento Criteri di gruppo, per cambiare il comportamento di default l’installazione del software su collegamenti di rete lenta. In aggiunta a questo, è possibile attivare o disattivare la trasformazione delle politiche elencate qui di seguito nel corso di un collegamento lento:

    • Disk Quota EFS Recovery, Reindirizzamento cartelle, Manutenzione di Internet Explorer, di protezione IP, script, l’installazione del software, e di sicurezza.

    Per modificare la velocità di default che ritiene lento Criteri di gruppo,

    1. Aprire l’oggetto Criteri di gruppo console.
    2. Nella struttura della console, procedere per espandere il nodo Configurazione utente, o il nodo Configurazione computer, quindi espandere Modelli amministrativi, Sistema e dei Criteri di gruppo.
    3. Fare doppio clic su Criteri di gruppo di rilevamento dei collegamenti lenti nel riquadro dei dettagli.
    4. Quando il collegamento lento Criteri di gruppo di rilevamento finestra di dialogo Proprietà si apre, selezionare Attivato e inserire la velocità, che dovrebbe essere usato per definire se una connessione è lenta. Immissione di un valore pari a 0, disabilita il rilevamento dei collegamenti lenti.
    5. Fare clic su OK.

    Come aggiungere i pacchetti di Windows Installer per l’oggetto Criteri di gruppo

    1. Aprire l’oggetto Criteri di gruppo console.
    2. Nella struttura della console, procedere per espandere il nodo Configurazione utente, o il nodo Configurazione computer, quindi espandere il nodo di installazione del software.
    3. Fare clic col tasto destro del nodo di installazione del software, quindi fare clic su Nuovo, quindi Pacchetto dal menu di scelta rapida.
    4. In Tipo file, scegliere Windows Installer Package o scegliere ZAW Down livello Applicazione forfetario (. ZAP).
    5. Scegli il pacchetto che dovrebbe essere dispiegata. Fare clic su Apri.
    6. Nella finestra di dialogo Deploy Software dovete specificare in che modo il pacchetto dovrebbe essere dispiegata. È possibile scegliere una delle seguenti opzioni:
      • Pubblicato: il pacchetto di Windows Installer è stato pubblicato per gli utenti in Active Directory con le impostazioni predefinite.
      • Destinazione: il pacchetto di Windows Installer viene assegnato agli utenti o ai computer con le impostazioni predefinite.
      • Avanzato: L’opzione consente di configurare le proprietà per il pacchetto di Windows Installer.
    7. Fare clic su OK.

    Come configurare le proprietà del pacchetto Windows Installer

    È possibile modificare il pacchetto Windows Installer proprietà dopo il pacchetto è aggiunto l’oggetto Criteri di gruppo. Per cambiare la categoria della domanda, il tipo di implementazione, e le impostazioni di sicurezza;

    1. Aprire l’oggetto Criteri di gruppo console.
    2. Nella struttura della console, procedere per espandere il nodo Configurazione utente, o il nodo Configurazione computer, quindi espandere il nodo di installazione del software.
    3. Nel riquadro dei dettagli, fare clic con il pacchetto software che si desidera modificare e selezionare Proprietà dal menu di scelta rapida.
    4. Nella scheda Generale è possibile immettere un nuovo nome per il pacchetto nella casella Nome, immettere un URL per supportare gli utenti nella casella URL.
    5. Fare clic sulla scheda Distribuzione, se si vuole cambiare l’attuale modo in cui il pacchetto è distribuito.
    6. Nella sezione Tipo di distribuzione della scheda di distribuzione, è possibile selezionare l’opzione di pubblicazione, o la destinazione scelta.
    7. Nella sezione Opzioni di implementazione della scheda Distribuzione, è possibile selezionare le seguenti caselle di controllo:
      • Auto-installare tale applicazione Con l’estensione del file di attivazione: L’applicazione viene installata automaticamente quando un utente apre un file che è associato con l’applicazione.
      • Disinstalla Questo Applicazione Quando si rientra nell’ambito di applicazione della gestione: La domanda è disinstallato quando l’oggetto Criteri di gruppo associati non è più applicabile per l’utente o il computer.
      • Non visualizzare questo pacchetto nel Add / Remove Programs Pannello di controllo: l’applicazione non è visualizzata in Add / Remove Programs applet del Pannello di controllo.
      • Installare questa applicazione su di accesso: La domanda è installato quando l’utente accede al prossimo computer.
    8. In Installazione Interfaccia utente sezione Opzioni della scheda di distribuzione, è possibile scegliere l’opzione di base, o al massimo opzione.
    9. Fare clic sul pulsante Avanzate, sulla realizzazione di aprire la scheda Avanzate Deployment finestra di dialogo Opzioni.
    10. È possibile impostare le opzioni avanzate di seguito elencati sotto le opzioni di distribuzione:
      • Ignora Lingua Quando Implementazione Questo pacchetto: utilizza il pacchetto, anche se la lingua è il pacchetto in una lingua diversa. L’opzione sostanzialmente ignora le impostazioni della lingua in cui il pacchetto è distribuito
      • Marca Questo 32-bit x86 Applicazione Disponibile Macchine Per Win64: Consente 64-bit di Windows per installare i computer client a 32-bit di Windows Installer applicazioni.
      • Includi OLE classe e le informazioni sul prodotto: Informazioni su COM (Component Object Model) componenti è incluso con il pacchetto.
    11. Fare clic su OK
    12. Fare clic sulla scheda Categorie di assegnare l’applicazione di una domanda categoria.
    13. Fare clic sulla scheda Protezione configurare gli utenti o gruppi, che dovrebbe essere in grado di accedere alla domanda.
    14. Fare clic su OK.

    Come per distribuire gli aggiornamenti dei pacchetti

    1. Aprire l’oggetto Criteri di gruppo console.
    2. Nella struttura della console, procedere per espandere il nodo Configurazione utente, o il nodo Configurazione computer, quindi espandere il nodo di installazione del software.
    3. Nel riquadro dei dettagli, fare clic con il pacchetto di aggiornamento e quindi selezionare Proprietà dal menu di scelta rapida.
    4. Fare clic sulla scheda Aggiornamenti.
    5. Fare clic su Aggiungi.
    6. Nel pacchetto di aggiornamento Aggiungi finestra di dialogo selezionare se si vuole scegliere un pacchetto da GPO corrente, o da un determinato oggetto Criteri di gruppo.
    7. Scegli il pacchetto che deve essere aggiornato dal pacchetto di aggiornamento lista.
    8. Se l’attuale domanda deve essere rimosso prima della nuova applicazione è stata installata, fare clic su Disinstalla il pacchetto esistente, quindi installare il pacchetto di aggiornamento opzione.
    9. Se il nuovo pacchetto dovrebbe effettuare l’aggiornamento del pacchetto esistente, fare clic sul pacchetto di aggiornamento può Over The opzione pacchetto esistente. Questa opzione non sovrascrivere le impostazioni esistenti degli utenti.
    10. Fare clic su OK nella Aggiungi Upgrade Package finestra di dialogo.
    11. Utilizzare il pulsante Aggiungi e Rimuovi il pulsante Aggiorna scheda per specificare i pacchetti che il nuovo pacchetto di aggiornamento.
    12. Attivare l’aggiornamento obbligatorio per i pacchetti di controllo se si desidera vigore agli utenti di effettuare l’aggiornamento alla nuova confezione.
    13. Fare clic su OK.

    Come pacchetto di applicare le modifiche

    1. Aprire l’oggetto Criteri di gruppo console.
    2. Nella struttura della console, procedere per espandere il nodo Configurazione utente, o il nodo Configurazione computer, quindi espandere il nodo di installazione del software.
    3. Fare clic col tasto destro del nodo di installazione del software e selezionare Nuovo, quindi Pacchetto dal menu di scelta rapida.
    4. Scegliere il pacchetto di base per l’applicazione, che dovrebbe essere dispiegata. Fare clic su Apri.
    5. Usa la icona Risorse di rete per individuare a questo pacchetto.
    6. Scegli una destinazione di pubblicazione o nella finestra di dialogo Deploy Software. Fare clic su OK.
    7. Fare clic sulla scheda Modifiche.
    8. Fare clic su Aggiungi e scegliere il pacchetto di Windows Installer trasformare che dovrebbe essere aggiunto nella finestra di dialogo Apri. Fare clic su Apri. Puoi aggiungere più modifiche.
    9. È possibile utilizzare il Sposta su e Sposta giù sulla scheda Modifiche al posto dei pacchetti in modo appropriato. Utilizzare il pulsante Aggiungi e Rimuovi per aggiungere o rimuovere trasforma.
    10. Fare clic su OK.

    Come rimuovere le applicazioni impiegate con i Criteri di gruppo

    1. Aprire l’oggetto Criteri di gruppo console.
    2. Nella struttura della console, procedere per espandere il nodo Configurazione utente, o il nodo Configurazione computer, quindi espandere il nodo di installazione del software.
    3. Fare clic col tasto destro del pacchetto che si desidera rimuovere nel riquadro dei dettagli, quindi selezionare Tutte le attività, quindi Rimuovi dal menu di scelta rapida.
    4. Quando la finestra di dialogo Rimuovi Software si apre, selezionare una delle opzioni qui di seguito elencati:
      • Immediatamente disinstallare il software da parte degli utenti e computer, di rimuovere immediatamente il software quando si riavvia il computer, o la prossima volta, quando l’utente accede al computer.
      • Allow Users To Continue To Use The Software, But Prevent New Installations: This option prevents new instances of the application from being installed, while still permitting users who have already installed the application, to continue using the application.
    5. Click OK.

    Best Practices for Deploying Software Through Group Policy

    A few best practices specific to deploying software through Group Policy is listed below:

    • Test all software installation packages before you deploy them.
    • Use and enforce standard configurations for applications, if possible
    • It is recommended that you deploy software as high in the Active Directory hierarchy or tree as you can. Software should be deployed close to the root in the Active Directory tree because it allows you to use one GPO to deploy software to multiple users.
    • A Windows Installer package should be assigned/published only once in the identical GPO.
    • Create application categories when you have a large quantity of published applications within your organization. This makes is easier for users to find applications in Add Or Remove Programs in Control Panel.

    Share

    Microsoft

    Comprendere e gestire le azioni di Master Ruoli

    17 maggio 2009

    Comprendere il Master operazioni Ruoli

    Active Directory opera in un contesto multi-master replica modo. Ciò significa che ogni controller di dominio nel dominio in possesso di una leggibile e scrivibile replica di Active Directory dati. In multi-master replica, qualsiasi controller di dominio è in grado di modificare oggetti in Active Directory. Multi-master replica è l’ideale per la maggior parte delle informazioni nel sito di Active Directory. Tuttavia, alcune funzioni di Active Directory o di operazioni non sono gestite in modo multi-master, perché non può essere condivisa senza causare alcuni problemi di uniformità dei dati. Queste funzioni sono chiamati Flexible Single Master Operations (FSMOs).

    Ci sono cinque Master operazioni (OM) ruoli che vengono installati automaticamente quando si installa il primo controller di dominio. Questi cinque OMS sono installati nel controller di dominio. Due di questi ruoli OM si applicano a tutta la foresta di Active Directory. I ruoli che si applicano alla foresta sono il ruolo master schema e il Domain Naming Master ruolo. Gli altri tre OM ruoli applicano a ciascun dominio. I ruoli che si applicano a un dominio sono l’identificatore relativo (RID) / Master ruolo relativo ID, il Primary Domain Controller (PDC) Emulatore ruolo, e il ruolo Master infrastrutture. Quando un controller di dominio viene assegnato un FSMO, che diventa un controller di dominio ruolo master. La particolare controller di dominio che viene assegnato questi ruoli svolge unico master replica di Active Directory in ambiente.

    Poiché in genere i controller di dominio contiene le stesse informazioni di Active Directory, quando un controller di dominio non è disponibile, il resto del controller di dominio sono in grado di fornire l’accesso a oggetti di Active Directory. Tuttavia, se il controller di dominio che ha perso uno di questi ruoli OM installato, si potrebbero trovare nuovi oggetti che non può essere aggiunto al dominio.

    Forest-Wide Master operazioni Ruoli

    Ogni forestale a livello OM ruolo può esistere solo su un controller di dominio in tutta la foresta. Ciò significa che tali ruoli devono essere unici in tutta la foresta. I due forestali a livello OM ruoli sono:

    • Schema Master ruolo: poiché gli oggetti che esistono nel nello schema di partizione di directory definiscono la struttura di Active Directory per un bosco, è collocato un grande controllo su chi può aggiungere oggetti di questa partizione. Dal momento che ogni controller di dominio in un ambiente Active Directory hanno un comune schema, le informazioni di cui lo schema deve essere coerente su ogni controller di dominio. E ‘il controller di dominio che viene assegnato il ruolo master schema che controlla che gli oggetti sono aggiunti, modificati o rimossi dalla schema. Il controller di dominio con il ruolo master schema è il solo controller di dominio in tutta la foresta di Active Directory che possono eseguire tutte le modifiche allo schema. È possibile utilizzare la Schema di Active Directory snap-in MMC di apportare modifiche allo schema, e solo se si è un membro del gruppo Schema Admins. Tutte le modifiche apportate allo schema pregiudicherebbe ogni controller di dominio all’interno della foresta di Active Directory. È possibile trasferire il ruolo master schema a un altro controller di dominio all’interno della foresta. È anche possibile cogliere il ruolo se il controller di dominio esistenti azienda il ruolo avuto un fallimento e non possono essere recuperati.
    • Domain Naming Master ruolo: Come è il caso con il ruolo master schema, una sola la denominazione dei domini Master ruolo è consentito in tutta la foresta. Il controller di dominio che viene assegnato il ruolo di Domain Naming Master è responsabile per il monitoraggio di tutti i domini all’interno di tutta la foresta di Active Directory al fine di garantire che duplicare i nomi di dominio non vengono create. Il controller di dominio con il ruolo di Domain Naming Master si accede quando vengono creati nuovi domini per un albero o foresta. Ciò garantisce che i domini non sono contemporaneamente creato all’interno del bosco. La configurazione di default è che il primo controller di dominio promosso in un bosco, è stato assegnato questo ruolo. È possibile tuttavia trasferire il dominio Naming Master ruolo a un altro controller di dominio all’interno della foresta.

    Domain-wide Master operazioni Ruoli

    I tre di dominio a livello OM ruoli devono unico in ogni dominio all’interno di un bosco. Ciò significa che non ci deve essere uno di ciascuno di questi ruoli in ogni dominio. I tre di dominio a livello OM ruoli sono:

    • Relativa identificatore (RID) Master ruolo: Quando un oggetto di sicurezza è stato creato all’interno di Active Directory, è assegnato un ID di protezione. L’ID di protezione è costituito dal dominio di sicurezza ID e un parente ID. Il dominio di sicurezza ID è esattamente lo stesso per ogni ID di protezione creato in particolare il dominio. La relativa ID d’altro canto è unico per ogni ID di protezione creato all’interno del dominio. Poiché ogni relativa ID deve essere unico, il controller di dominio che viene assegnato il ruolo di master RID è responsabile per il monitoraggio e per l’assegnazione di ID univoco relativo al controller di dominio quando vengono creati nuovi oggetti. Per garantire l’efficienza quando si assegna gli ID relativi ai controller di dominio, il controller di dominio assegnato il ruolo di master RID effettivamente genera una serie di 500 relativo ID di assegnare ai controller di dominio. Poiché il numero di ID relativa diminuisce, il master RID genera più rispetto ID per mantenere il numero di ID relativi disponibile come 500. La configurazione di default è che il ruolo di master RID e PDC Emulator ruolo è assegnato al controller di dominio identici. È possibile tuttavia trasferire il ruolo di master RID un diverso controller di dominio all’interno del dominio.
    • Ruolo Emulatore PDC: In che contengono domini di Windows NT Backup Domain Controller (BDC), il controller di dominio che viene assegnato il ruolo Emulatore PDC funzioni di Windows NT Primary Domain Controller (PDC). Il ruolo Emulatore PDC ha importanza quando si tratta di replica – BDC replicare solo da un Primary Domain Controller! Oggetti che sono principi di sicurezza possono essere creati solo e replicate dal emulatore PDC. Principi di sicurezza sono utenti, computer e gruppi. E ‘quindi il PDC Emulator che consente il basso livello di sistemi operativi di coesistere in Windows 2000 e Windows Server 2003 Active Directory ambienti. Dopo il dominio è operativo in Windows Server 2003 a livello funzionale, il controller di dominio assegnato il ruolo Emulatore PDC continua a eseguire altre operazioni per il dominio. Tali funzioni aggiuntive comprendono i seguenti:
      • Tutti i cambiamenti e le password di blocco degli account richieste sono trasmesse per il PDC Emulator. Un controller di dominio in un dominio di primo controllo con il PDC Emulator per verificare se un cattivo password fornite da un utente è stato recentemente cambiato la password, ed è quindi una password valida.
      • I criteri di gruppo composto da un gruppo di politica Contenitore (GPC) in Active Directory, e un modello Criteri di gruppo (GPT) nella cartella SYSVOL. Poiché questi due elementi possono diventare di sincronizzazione a causa di multi-master replica, l’Editor criteri di gruppo di default è impostato per il PDC Emulator. Questa politica di gruppo impedisce modifiche siano effettuate su tutti i controller di dominio all’interno del dominio.
    • Ruolo Master infrastrutture: Il controller di dominio assegnato il ruolo Master infrastrutture ha le seguenti funzioni all’interno del dominio:
      • Aggiornamenti del gruppo-di-utente riferimenti quando i membri dei gruppi sono modificate. Questi aggiornamenti vengono inviati tramite il Master infrastrutture per il resto del controller di dominio all’interno del dominio tramite multi-master replica.
      • Elimina qualsiasi stantio o non valido gruppo-a-utente riferimenti all’interno del dominio. Per fare questo, il ruolo Master infrastrutture controlli con il catalogo globale per il gruppo di stantio-to-utente riferimenti.

    Pianificazione del posizionamento del FSMOs

    Un detto in precedenza, tutti i ruoli sono OM di default assegnato automaticamente al primo controller di dominio creato per la prima in un nuovo dominio Active Directory. Poi, quando si crea un dominio principale di un nuovo albero in una foresta, o di un nuovo dominio figlio, i tre dominio specifico OM ruoli sono assegnati al primo controller di dominio in quel dominio. Nei casi in cui un dominio ha un solo controller di dominio, ogni dominio specifico ruolo OM deve esistere su questo unico controller di dominio. I due ruoli delle foreste specifiche OM soggiorno sul controller di dominio iniziale per il primo dominio creato all’interno del bosco.

    OM ruoli di solito sono trasferiti ad altri controller di dominio quando si ha bisogno per svolgere le attività di manutenzione, o di bilanciare il carico esistenti carico del controller di dominio, o semplicemente spostare il particolare ruolo OM meglio attrezzati ad un controller di dominio.

    Nei casi in cui esistono più controller di dominio per un determinato dominio, considerare le seguenti raccomandazioni, quando il tuo Master operazioni ruoli all’interno del dominio:

    • Se si dispone di due controller di dominio che sono i partner di replica diretta e ben collegato, assegnare il ruolo Master RID, PDC Emulator ruolo e il ruolo Master infrastrutture per un controller di dominio. Questo particolare controller di dominio OM sarebbe diventato il controller di dominio per il dominio. Il controller di dominio rimanente sarebbe diventato il designati standby OM controller di dominio.
    • E ‘generalmente raccomandato per assegnare il emulatore PDC e master RID ruoli per lo stesso controller di dominio.
    • Tuttavia, se il dominio che si sta mettendo i ruoli FSMO è di grandi dimensioni, si consiglia di individuare il ruolo di master RID ed emulatore PDC ruolo su due diversi controller di dominio. Ciascuno di questi controller di dominio deve essere ben collegato al controller di dominio designato come standby OM controller di dominio per questi due ruoli. Questa strategia è di solito attuate per ridurre il carico sul controller di dominio assegnato l’emulatore PDC.
    • Si consiglia di collocare il ruolo master schema e il Domain Naming Master ruolo sullo stesso controller di dominio.
    • Si consiglia di astenersi da assegnare il ruolo Master infrastrutture a un controller di dominio che contiene il catalogo globale. Il controller di dominio assegnato il ruolo Master infrastrutture dovrebbe essere ben collegato con il server di catalogo globale. Il master infrastrutture non funzionare correttamente se il catalogo globale è ospitato sul controller di dominio identici.

    Gestione Master operazioni Ruoli

    Dal momento che solo uno o più controller di dominio vengono assegnati i ruoli di master operazioni, è importante che le specifiche rimangono funzionamento dei controller di dominio in Active Directory ambiente. Ci sono essenzialmente due processi che intervengono nella gestione dei FSMOs. Questi compiti di gestione sono riportate qui di seguito:

    • Poiché il FSMOs vengono create automaticamente quando il primo controller di dominio è installato, potrebbe essere necessario il trasferimento OM ruoli di una più robusta server. È inoltre necessario trasferire OM ruoli a un altro server prima demoting il controller di dominio che li ospita.
    • Quando un controller di dominio perduto non può essere recuperato, si sarebbe alcun bisogno di cogliere OM ruoli assegnati al particolare controller di dominio.

    Trasferimento di uno ruolo di master operazioni, comporta il trasferimento da un server a un server diverso. Per trasferire il ruolo master schema, è necessario disporre di Schema Admins diritti, e di trasferire il Domain Naming Master ruolo, è necessario disporre di diritti di amministratore Imprese.

    È possibile utilizzare uno di Active Directory o di una console a riga di comando programma di utilità per trasferire OM ruoli. La console MMC di Active Directory che può essere utilizzato per trasferire i diversi FSMOs sono riportate qui di seguito:

    • Schema di Active Directory snap-in MMC: Per trasferire il ruolo master schema
    • Active Directory Domini e trust di console: Per il trasferimento del dominio Naming Master ruolo
    • Active Directory Utenti e computer di console: Per trasferire il ruolo master RID, emulatore PDC ruolo, e il ruolo Master infrastrutture.

    Quando si fa cogliere uno OM ruolo, ma deve farlo senza la cooperazione degli attuali controller di dominio che viene assegnato con il particolare ruolo OM. Quando un ruolo OM è sequestrata, è fondamentalmente riassegnata a un altro controller di dominio. Prima di tentare di cogliere tutte le OM ruoli, in primo luogo cercare di determinare ciò che è il motivo per il fallimento degli attuali controller di dominio che viene assegnato con il particolare ruolo OM. Alcuni problemi di rete che possono essere corrette in breve tempo sono ben fames valore duraturo attraverso. Prima di cogliere OM ruoli, in primo luogo assicurare che il controller di dominio che si prevede di trasferire questi ruoli, è abbastanza potente per difendere questi ruoli. In sintesi, si dovrebbe cogliere solo uno OM ruolo, se l’attuale OM non possono essere ancora recuperati. È necessario utilizzare il Ntdsutil strumento strumento della riga di comando di cogliere OM ruoli.

    Le conseguenze della mancanza di FSMOs

    La sezione seguente esamina ciò che effettivamente succede quando ogni ruolo FSMO non:

    • Un master schema fallimento è evidente fondamentalmente solo quando un amministratore tenta di cambiare schema di Active Directory. Ciò significa che un master schema fallimento è invisibile ai vostri utenti di rete standard. Si dovrebbe cogliere questa funzione solo per il controller di dominio designato come master schema standby se il master schema esistente di fatto non può essere recuperato.
    • Come è il caso di un fallimento Schema Master, Domain Naming Master fallimento è evidente solo se un amministratore tenta di aggiungere un dominio per la foresta, o rimuovere un dominio dalla foresta. Un Domain Naming Master fallimento in generale non può essere percepita dai vostri utenti di rete standard. Si dovrebbe cogliere questa funzione solo per il controller di dominio designato come suo standby, quando l’attuale denominazione dei domini Master non sarebbe ancora operativo.
    • Un master RID fallimento è evidente solo per gli amministratori se ne stanno cercando di aggiungere nuovi oggetti di Active Directory in particolare il dominio in cui il master RID non riuscito. Quando questo accade, il master RID non è in grado di assegnare gli ID relativi al controller di dominio in cui il nuovo oggetti di Active Directory vengono creati. Un master RID fallimento non può essere rilevato dal tuo convenzionali gli utenti della rete. Si dovrebbe inoltre generalmente solo cogliere questa OM ruolo quando il controller di dominio esistente assegnato con il ruolo di master RID non sarebbe mai recuperare dal fallimento.
    • Un Master infrastrutture mancato, inoltre, non è visibile al suo standard di utenti della rete. Il fallimento solo impatti amministratori che tentano di spostare gli account utente, o rinominarli. Valutare la possibilità di trasferire il ruolo che il controller di dominio designato standby se il controller di dominio esistente assegnato con il Master infrastrutture è quello di non essere disponibili per un ragionevole periodo di tempo prolungato, e le modifiche che devono essere fatte sono pertinenti.
    • A differenza del ruolo OM fallimenti descritti in precedenza che non sono evidenti al suo standard di utenti della rete, un emulatore PDC mancato impatto non gli utenti della rete. E ‘importante cogliere subito questo ruolo per il suo designato standby se il controller di dominio di dominio di Windows NT contiene alcun controller di dominio di backup. È sempre possibile tornare al suo ruolo di questo controller di dominio precedente quando è recuperato e di nuovo on-line.

    Come visualizzare l’attuale ruolo di master schema di assegnazione

    1. Aprire un prompt dei comandi, digitare regsvr32 schmmgmt.dll e di registrare il schmmgmt.dll sul computer.
    2. Fare clic sul pulsante Start, Esegui e digitare mmc nella finestra di dialogo Esegui. Fare clic su OK.
    3. Dal menu File, selezionare Aggiungi / Rimuovi snap-in e quindi selezionare Aggiungi.
    4. Nella lista dei disponibili snap-in, fare doppio clic su Schema di Active Directory.
    5. Fare clic sul pulsante Chiudi. Fare clic su OK.
    6. Aprire la Schema di Active Directory snap-in.
    7. Nella struttura della console, cliccate con il tasto destro Schema di Active Directory e scegliere Master operazioni dal menu di scelta rapida.
    8. Il master schema Cambia si apre la finestra di dialogo.
    9. È possibile visualizzare il nome del master schema esistenti nel master schema attuale (Online) casella.
    10. Fare clic sul pulsante Chiudi.

    Come visualizzare l’attuale denominazione dei domini Master ruolo assegnazione

    1. Aperto di Active Directory Domini e trust di console dal menu Strumenti di amministrazione.
    2. Nella struttura della console, clic con il pulsante destro di Active Directory Domini e trust e selezionare Operazioni Maestri dal menu di scelta rapida.
    3. Il Cambia master operazioni si apre la finestra di dialogo.
    4. È possibile visualizzare il nome del dominio esistente Naming Master in Domain Naming Master operazioni casella.
    5. Fare clic sul pulsante Chiudi.

    Come visualizzare l’attuale ruolo di master RID, emulatore PDC e master infrastrutture ruolo incarichi

    1. Aperto di Active Directory Utenti e computer di console dal menu Strumenti di amministrazione.
    2. Nella struttura della console, clic con il pulsante destro di Active Directory utenti e computer e fare clic su Tutte le attività, quindi Master operazioni dal menu di scelta rapida.
    3. Il Master operazioni finestra di dialogo contiene le seguenti schede:
      • RID scheda: Il nome del master RID esistente viene visualizzato nella finestra Master operazioni di questa scheda.
      • PDC scheda: Nella casella di master operazioni PDC scheda, è possibile visualizzare il nome del PDC Emulator esistenti.
      • Scheda infrastrutture: le infrastrutture esistenti Master nome viene visualizzato nella casella di Master operazioni.
    4. Fare clic sul pulsante Chiudi.

    Come trasferire il ruolo master schema a un altro controller di dominio

    Prima di poter trasferire il ruolo master schema a un altro controller di dominio, assicurarsi di avere la necessaria Schema Admins diritti, e che entrambi i controller di dominio che si prevede di lavorare con sono disponibili. Prima di poter utilizzare la Schema di Active Directory snap-in MMC, dovete prima di aggiungere a una MMC.

    Per aggiungere la Schema di Active Directory snap-in MMC ad una,

    1. Aprire un prompt dei comandi, digitare regsvr32 schmmgmt.dll e di registrare il schmmgmt.dll sul computer.
    2. Fare clic sul pulsante Start, Esegui e digitare mmc nella finestra di dialogo Esegui. Fare clic su OK.
    3. Dal menu File, selezionare Aggiungi / Rimuovi snap-in e quindi selezionare Aggiungi.
    4. Nella lista dei disponibili snap-in, fare doppio clic su Schema di Active Directory.
    5. Fare clic sul pulsante Chiudi. Fare clic su OK

    Per trasferire il ruolo master schema,

    1. Aprire la Schema di Active Directory snap-in.
    2. Fai clic destro Schema di Active Directory nella struttura della console, quindi selezionare Cambia controller di dominio dal menu di scelta rapida.
    3. Le opzioni disponibili quando Cambia controller di dominio si apre la finestra di dialogo
      • Qualsiasi DC: Se questa opzione è selezionata, di Active Directory si seleziona un nuovo controller di dominio per il ruolo master schema.
      • Specificare Nome: Se questa opzione è attivata, è necessario immettere il nome della nuova posizione per il ruolo master schema.
    4. Fare clic su OK
    5. Fai clic destro Schema di Active Directory nella struttura della console di nuovo, e scegliere Master operazioni dal menu di scelta rapida.
    6. Quando il master schema Cambia la finestra di dialogo si apre, fare clic su Cambia.
    7. Fare clic su OK quando viene visualizzato un messaggio per chiedere la verifica del trasferimento OM ruolo che si desidera eseguire.
    8. Fare clic su OK per chiudere la finestra di dialogo Cambia master schema casella.

    Come trasferire il dominio Naming Master ruolo a un altro controller di dominio

    Devi essere un membro del gruppo Enterprise Admin per trasferire il dominio Naming Master ruolo a un altro controller di dominio.

    1. Aperto di Active Directory Domini e trust di console dal menu Strumenti di amministrazione.
    2. Nella struttura della console, clic con il pulsante destro di Active Directory Domini e trust e selezionare Connessione al controller di dominio dal menu di scelta rapida.
    3. La Connessione al controller di dominio si apre la finestra di dialogo. Questo è dove si specifica il nome del nuovo controller di dominio che dovrebbe essere assegnato il ruolo di Domain Naming Master.
    4. Fare clic su OK
    5. Nella struttura della console, clic con il pulsante destro di Active Directory Domini e trust e selezionare Operazioni Maestri dal menu di scelta rapida.
    6. Quando il cambiamento Master operazioni si apre la finestra di dialogo, fare clic su Cambia
    7. Fare clic sul pulsante Chiudi

    Come trasferire il ruolo master RID, emulatore PDC ruolo, il ruolo Master infrastrutture o ad un altro controller di dominio

    1. Aperto di Active Directory Utenti e computer di console dal menu Strumenti di amministrazione.
    2. Nella struttura della console, clic con il pulsante destro di Active Directory utenti e computer e fare clic su Connetti a dominio dal menu di scelta rapida.
    3. Quando il dominio Collegare Per finestra di dialogo, immettere il nome di dominio che si desidera lavorare.
    4. Fare clic su OK
    5. Nella struttura della console, clic con il pulsante destro di Active Directory utenti e computer e fare clic su Connetti a controller di dominio dal menu di scelta rapida.
    6. Quando la Connessione al controller di dominio si apre la finestra di dialogo, specificare il nuovo controller di dominio per l’OM ruolo che si sta trasferendo.
    7. Fare clic su OK
    8. Nella struttura della console, clic con il pulsante destro di Active Directory utenti e computer e fare clic su Tutte le attività, quindi fare clic su Master operazioni dal menu di scelta rapida.
    9. Il Master operazioni apre la finestra di dialogo. Su una delle seguenti schede,
      • RID scheda: Fare clic su Cambia per modificare il percorso del master RID
      • PDC scheda: Fare clic su Cambia per modificare la posizione del PDC Emulator
      • Infrastruttura scheda: Fare clic su Cambia per modificare il percorso del Master infrastrutture.
    10. Fare clic su Sì per verificare che si desidera trasferire il ruolo OM particolare a un altro controller di dominio.
    11. Fare clic su OK. Fare clic sul pulsante Chiudi.

    Come cogliere uno ruolo di master operazioni

    Quando si fa cogliere uno OM ruolo, è necessario eseguire i seguenti compiti:

    • Verificare che il nuovo controller di dominio per il ruolo è completamente aggiornato con le modifiche eseguite sul controller di dominio esistente del ruolo particolare. È possibile utilizzare la replica di diagnostica utilità della riga di comando per questa verifica. Repadmin.exe è incluso in Windows Strumenti di supporto di Windows Server 2003 CD-ROM.
    • Lei non usa il Ntdsutil strumento per cogliere il particolare ruolo OM. Il primo strumento Ntdsutil tentativi di trasferire il ruolo prima che effettivamente procede a cogliere il ruolo.

    Tuttavia, se avete la necessità di cogliere l’emulatore PDC o Infrastruttura FSMOs, è possibile utilizzare Active Directory Utenti e computer di console. Il Ntdsutil strumento deve però essere utilizzata per cogliere l’altro FSMOs – Schema Master ruolo, Domain Naming Master ruolo, e del ruolo di master RID. È possibile però utilizzare anche il Ntdsutil strumento per cogliere il ruolo Emulatore PDC o ruolo Master infrastrutture.

    Per cogliere l’emulatore PDC o Infrastruttura FSMOs utilizzando Active Directory Utenti e computer di console,

    1. Aperto di Active Directory Utenti e computer di console
    2. Nella struttura della console, fare clic con il dominio, quindi scegliere Connessione al controller di dominio dal menu di scelta rapida.
    3. Immettere il nome degli altri controller di dominio. Fare clic su OK
    4. Per eseguire il sequestro del ruolo, cliccate con il tasto destro del dominio e scegliere Master operazioni dal menu di scelta rapida.
    5. Fare clic su una scheda il PDC, infrastrutture o la scheda
    6. Si noterà che il ruolo particolare OM è indicata come non in linea.
    7. Fare clic su Cambia.
    8. Fare clic su OK per verificare che si desidera trasferire il ruolo OM.
    9. Fare clic su Sì quando viene chiesto di verificare che si desidera eseguire un trasferimento forzato.

    Per cogliere tutte le OM ruoli utilizzando il Ntdsutil strumento,

    1. Fare clic sul pulsante Start, Prompt dei comandi.
    2. Inserisci i seguenti al prompt dei comandi: ntdsutil. Premere Invio
    3. Inserisci i seguenti al prompt ntdsutil: ruoli. Premere Invio
    4. Inserisci i seguenti al prompt fsmo maintenance: connessioni. Premere Invio
    5. Inserisci i seguenti al prompt dei server di connessioni: la connessione al server, e il nome di dominio pienamente qualificato (FQDN). Premere Invio
    6. Inserisci i seguenti al prompt dei server di connessioni: smettere. Premere Invio.
    7. Immettere uno dei seguenti al prompt fsmo maintenance:
      • cogliere master schema. Premere Invio
      • cogliere nomi di dominio master. Premere Invio
      • cogliere master RID. Premere Invio
      • cogliere PDC. Premere Invio
      • cogliere master infrastrutture. Premere Invio
    8. Inserisci quit al prompt fsmo maintenance. Premere Invio
    9. Inserisci uscire al prompt ntdsutil.

    Come eseguire un metadata cleanup

    La classe di oggetti e attributi degli oggetti dello schema sono indicati come metadati. Un metadata cleanup è di solito eseguita quando non siete in grado di ripristinare un controller di dominio non riuscita. La pulizia elimina ogni riferimento alla non controller di dominio in Active Directory.

    Per eseguire la pulitura dei metadati,

    1. Dal prompt dei comandi, digitare ntdsutil e premere Invio.
    2. Inserisci i seguenti al prompt ntdsutil: metadata cleanup. Premere Invio
    3. Inserisci i seguenti al prompt dei metadata cleanup: connessioni. Premere Invio
    4. Inserisci i seguenti al prompt dei server di connessioni: la connessione al server, seguito dal nome del server. Premere Invio
    5. Inserisci uscire, e premere Invio
    6. Inserisci i seguenti al prompt dei metadata cleanup: select operation target. Premere Invio
    7. Inserisci elenco domini. Premere Invio
    8. Inserisci selezionare dominio, seguito dal numero del dominio che contiene il server che si desidera rimuovere. Premere Invio
    9. Inserisci elenco dei siti. Premere Invio
    10. Inserisci selezionare sito, seguito dal numero del sito che contiene il server che si desidera rimuovere. Premere Invio
    11. Inserisci il sito nella lista dei server. Premere Invio
    12. Inserisci selezionare il server, seguito dal numero di server che si desidera rimuovere. Premere Invio.
    13. Immettere chiudere e premere Invio per tornare al prompt dei metadata cleanup.
    14. Inserisci rimuovere server selezionato, quindi premere Invio.
    15. Quando viene visualizzato un messaggio che chiede di verificare se il server deve essere rimosso, scegliere Sì.
    16. Esci dal Ntdsutil.
    Share

    Microsoft