Новые возможности Active Directory в Windows Server 2003 Service Pack 1 (SP1)

Ниже кратко перечислены новые возможности службы каталогов Active Directory®, появившиеся после первого выпуска Windows Server 2003.

• Напоминания службы каталогов о необходимости резервного копирования. Новое сообщение о событии с номером 2089 содержит данные о резервном копировании каждого раздела каталогов на контроллере домена, включая разделы каталогов приложений и разделы Active Directory Application Mode (ADAM). Если резервное копирование не проводилось в течение половины интервала задержки архивации (время жизни захоронения), это событие заносится в журнал событий службы каталогов ежедневно до того, как будет произведено резервное копирование.
• Усилена защита при репликации и исправлен ряд ошибок при репликации. Теперь по умолчанию метаданные репликации для контроллеров домена, где удалена служба Active Directory, не сохраняются, хотя можно задать период ожидания. Это изменение позволяет повысить безопасность репликации и устраняет сообщения об ошибке репликации, вызываемые при неудачных попытках репликации выведенных из эксплуатации контроллеров домена. Дополнительные сведения о сохранении метаданных репликации см. в разделе Работа модели репликации Active Directory.
• Усовершенствованная функция установки с носителя для установки серверов DNS. Усовершенствованная функция установки с носителя упрощает создание нового контроллера домена, выполняющего роль сервера DNS, давая возможность включать информацию о разделах каталогов приложений в данные для резервного копирования на носитель, который затем может использоваться для установки нового контроллера домена. Эта возможность позволяет убрать необходимость репликации разделов каталогов приложений DomainDNSZones и ForestDNSZones перед введением в эксплуатацию сервера DNS.
• Усовершенствования, касающиеся репликации и тестирования DNS. Служебная программа командной строки Dcdiag.exe из набора средств поддержки Windows имеет новые средства составления отчетов об общем состоянии репликации в отношении безопасности службы Active Directory. Этот тест дает общий список результатов, а также подробную информацию для каждого тестируемого контроллера домена, и диагноз возможных ошибок безопасности. Также в программе Dcdiag.exe имеется ряд новых тестов DNS для проверки соединения, доступности службы, пересылки и корневых ссылок, делегирования, динамического обновления, регистрации записей локатора, разрешения внешних имен и инфраструктуры предприятия. Эти тесты могут выполняться на одном контроллере домена или на всех контроллерах домена в лесу. Дополнительные сведения об использовании Dcdiag.exe см. в разделе Справка по средствам поддержки Windows.
• Поддержка запуска контроллеров домена на виртуальных машинах. На одном физическом сервере, работающем под управлением Windows Server 2003 и Microsoft Virtual Server 2005, можно устанавливать несколько контроллеров доменов Windows Server 2003 или Windows 2000 Server на различных виртуальных машинах. Такая платформа хорошо подходит для целей тестирования. Виртуальные машины позволяют на одном физическом сервере, работающем под управлением одной операционной системы, располагать несколько доменов, несколько контроллеров домена для одного и того же домена, а также несколько лесов. Windows Server 2003 SP1 также имеет защиту от повреждения каталогов, которое может произойти в результате неправильного резервного копирования и восстановления образов контроллеров домена. Дополнительные сведения о запуске контроллеров доменов на виртуальных машинах см. в разделе Запуск контроллеров доменов в Virtual Server 2005.
• Отчеты о состоянии и работоспособности хозяина операций. Если операция, для которой необходим контроллер домена, выполняющий роль хозяина операций (или FSMO, Flexible Single-master Operation), не может быть выполнена, это событие заносится в журнал событий службы каталогов. В событии указываются несуществующие хозяева операции, хозяева, которые существуют, но недоступны, или которые доступны, но не прошли репликацию с вызывающим контроллером домена. Дополнительные сведения о хозяевах операций см. в разделе Работа хозяев операций.
• Продленное хранение удаленных объектов. Период хранения копии удаленного объекта в Active Directory по умолчанию, также называемый временем жизни захоронения, увеличен с 60 до 180 дней. Продленное время жизни захоронения снижает вероятность того, что удаленный объект будет сохраняться в локальном каталоге отсоединенного контроллера домена после того, как объект будет навсегда удален из работающих контроллеров домена. Время жизни захоронения не изменяется автоматически при обновлении до Windows Server 2003 SP1; после обновления время жизни захоронения можно изменить вручную. Новые леса, устанавливаемые под Windows Server 2003 SP1, по умолчанию имеют время жизни захоронения, равное 180 дням. Дополнительную информацию о времени жизни захоронения см. в разделе Работа хранилища данных.
• Улучшенное разрешение имен контроллера домена. Для устранения неполадок при разрешении имен DNS, которые могут возникать в процессе размещения партнеров репликации и серверов глобального каталога, контроллеры домена, работающие под управлением Windows Server 2003 с пакетом обновления SP1, запрашивают отличающиеся от зарегистрированных вариации имени сервера, что приводит к уменьшению отказов, вызванных задержками DNS и неправильной настройкой. Дополнительные сведения о разрешении имен DNS см. в разделе Работа поддержки DNS для Active Directory.
• Улучшенное удаление метаданных сервера. Служебная программа командной строки Ntdsutil.exe, управляющая базой данных Active Directory, имеет новые функции, упрощающие задачу удаления метаданных контроллера домена. Больше не требуется выполнять такие предварительные шаги, как подключение к серверу, домену и узлу. Нужно лишь указать удаляемый сервер. Также можно указать тот сервер, на котором производится удаление. Процедура удаления метаданных теперь стала более комплексной: помимо удаления метаданных репликации Active Directory, также удаляются метаданные Службы репликации файлов (FRS) и метаданные хозяина операций. Если роль хозяина операций назначена серверу, который удаляется, программа попытается переназначить эту роль подходящему контроллеру домена. Дополнительные сведения см. в разделе Удаление устаревших метаданных сервера.
• Усиленная защита конфиденциальных атрибутов. Для предотвращения доступа для чтения к конфиденциальным атрибутам, таким как номер полиса социального страхования, с одновременным разрешением доступа для чтения к другим атрибутам объекта, можно пометить необходимые атрибуты как конфиденциальные, установив флажок поиска соответствующего объекта схемы атрибутов. По умолчанию только администраторы домена имеют доступ для чтения к конфиденциальным атрибутам, но этот доступ может быть делегирован. Дополнительные сведения о доступе к атрибутам см. в разделе Работа дескрипторов безопасности и таблиц управления доступом.
• Сохранение в захоронениях журналов SID. Для указания атрибутов, сохраняемых в захоронении объекта при его удалении, введен атрибут sIDHistory. Если захоронение объекта реактивизируется (удаление отменяется), вместе с объектом восстанавливается атрибут sIDHistory. Дополнительную информацию о захоронениях см. в разделе Работа хранилища данных.
• Усовершенствования служебной программы Adprep.exe для обновлений Windows 2000 Server. В служебную программу Adprep внесены усовершенствования, снижающие эффект синхронизации FRS, происходящий в результате обновления файлов SYSVOL при обновлении. Adprep используется для обновления схемы Windows 2000 Server до Windows Server 2003 и для обновления некоторых настроек леса и домена, включая SYSVOL, что необходимо для достижения работоспособности контроллера домена Windows Server 2003. Теперь служебная программа позволяет выполнять операции SYSVOL в отдельном шаге, при подготовке домена к обновлению. Для выполнения обновлений SYSVOL, которые могут быть произведены в удобное время после обновления, введен новый переключатель /gpprep. Команда adprep /domainprep, при использовании которой ранее выполнялось обновление как каталога, так и SYSVOL, теперь выполняет только обновление каталога. Теперь Adprep также распознает расширения схемы сторонних производителей, блокирующие обновление, обнаруживает блокирующие расширения и дает рекомендации по устранению этих проблем. Объекты схемы Microsoft Exchange также распознаются, что позволяет соответствующим образом подготовить схему Exchange для обеспечения именования inetOrgPerson. Дополнительные сведения о Adprep.exe см. в разделе Adprep.
• Улучшенное принудительное восстановление. Функция принудительного восстановления в служебной программе Ntdsutil теперь обнаруживает обратные ссылки для всех принудительно восстановленных объектов, включая ссылки, созданные до повышения режима работы леса до Windows Server 2003 или промежуточного Windows Server 2003, в которых была введена функция репликации связанного значения (LVR). Предположим, что восстановлен объект «пользователь» и он принадлежит к группе G1, созданной до повышения режима работы леса, а также к группе G2, созданной после повышения режима работы леса. При принудительном восстановлении объекта «пользователь» обновляется атрибут члена G2, но не атрибут члена G1. Программа Ntdsutil теперь создает текстовый файл, в котором перечисляются принудительно восстановленные объекты, и с помощью этого файла создает файл в формате обмена данными LDAP Data Interchange Format (LDIF), который может использоваться для восстановления всех обратных ссылок на все группы этого домена, созданные до введения функции LVR. В этом примере при выполнении файла LDIF после принудительного восстановления восстановленный пользователь будет принадлежать к группе G1. Новая функция при принудительном восстановлении также позволяет создавать файл LDIF, который может использоваться для восстановления ссылок в других доменах, в которых восстановленный объект имеет обратные ссылки.