Домены Windows 2000/2003 – отказываемся от рабочей группы

РОМАН МАРКОВ

Домены Windows 2000/2003 – отказываемся от рабочей группы

Что делать, когда ваша сеть, сконфигурированная в качестве рабочей группы Windows, перестала удовлетворять требованиям управляемости и удобной масштабируемости? Ответ один – переходить на Active Directory! Однако прежде чем начинать подобный проект, необходимо хорошо знать все его нюансы.

Тенденция быстрого роста локальных сетей небольших компаний наблюдается в наши дни повсеместно. Сначала это два-три компьютера для бухгалтерии, затем еще по одному для директора, его заместителя, секретаря, нескольких менеджеров и т. д. Через какое-то время их количество опять увеличивается, так как штат сотрудников расширяется. Однако изначально все эти компьютеры являются членами рабочей группы, в которой каждый участник равноправен. Администрировать такую сеть становится неудобно, так как понятия «централизованное управление» и «рабочая группа» являются взаимоисключающими.

Именно в этот момент вам приходится принимать решение о переходе к доменной структуре (Active Directory).

С какими трудностями вам придется столкнуться в первую очередь? Что необходимо предусмотреть заранее, чтобы процесс перехода прошел без сучка и задоринки? Сегодня я попытаюсь обобщить свой опыт подобных внедрений, чтобы заранее облегчить вашу задачу.

План перехода к Active Directory

Для реализации подобного перехода необходимо заранее составить план своих действий. Наибольшей производительности своего труда вы достигнете, выполняя все настройки в нерабочее время. Оптимальным решением является использование выходных дней, так как при количестве рабочих станций более 5-7 за один вечер завершить перевод скорее всего не удастся. Необходимо помнить о том, что любые работы по глобальной перенастройке системы могут занять в несколько раз больше времени, чем планировалось. Поэтому вы должны быть уверены в том, что расчетное время завершения всех работ в два(!) раза меньше имеющегося в наличии. В противном случае вы рискуете получить неработоспособную систему в момент выхода пользователей на работу.

Роль контроллера домена (далее КД) лучше доверить выделенному для этих целей компьютеру (серверу). Понятие «выделенный» в данном случае означает, что никто не должен использовать его в качестве рабочей станции. Эта рекомендация известна всем, но тем не менее еще раз напоминаю об этом. Для несения роли КД для 10-30 рабочих станций и такого же количества пользователей подойдет любой компьютер, удовлетворяющий требованиям ОС Windows Server – нагрузка на него при таких условиях будет невелика. Вполне достаточно следующей конфигурации: Celeron-700, 256 RAM, 10 HDD. Однако не стоит забывать, что даже в небольших сетях должна обеспечиваться отказоустойчивость, поэтому КД в домене должно быть более одного.

Акцентирую ваше внимание на том, что данная статья не является технической инструкцией по настройке контроллера домена, введению в домен рабочих станций, заведению учетных записей пользователей и пр. Об этом вы можете прочитать в [1], где вы найдете советы по планированию перехода от рабочей группы к домену.

Следующий этап – подготовка сервера и клиентских рабочих мест. Для того чтобы сделать переход к доменной структуре абсолютно прозрачным для пользователей, необходимо создать и заполнить анкеты для каждого рабочего места локальной сети. Если за одним компьютером работают несколько пользователей, использующих различные учетные записи (или программное обеспечение), то такую анкету должен заполнить каждый из них. Форма может быть произвольной, главное, чтобы были заполнены требуемые поля. Это: имя компьютера в сети, ФИО пользователя, имя его учетной записи, пароль, используемые программы, расположение рабочих документов и пр. Пример заполненной анкеты приведен на рис. 1.

Рисунок 1. Подобную анкету должен заполнить каждый пользователь

Обяжите каждого пользователя сети заполнить подобную табличку перед началом модернизации. Эту процедуру полезно выполнять перед любыми действиями по переконфигурированию пользовательских компьютеров – после переустановки системы вы восстанавливаете все, что попросил пользователь. Если он об этом в данном отчете не упомянул – значит, вы тем более не могли знать, чем он пользуется. Главное провести правильную предварительную беседу, рассказав, для чего необходимо заполнять такую карточку и что вы не будете нести ответственности за те данные, которые не были описаны. Конечно, такой подход более применим к внедренческим фирмам и не всегда возможен для штатного сотрудника, однако он зарекомендовал себя с лучшей стороны. Иначе – в случае потери данных виноватым всегда окажется системный администратор, который должен был на астральном уровне догадаться, что пользователи хранят все документы в корзине! Поверьте – я не фантазирую – это реальная история из опыта нашей фирмы. Сотрудник, приехавший по заявке клиента о нехватке на диске свободного места, первым делом очистил корзину. Оказалось, что бухгалтер хранил в ней все документы. На вопрос: «Как же вы их сохраняли?!» последовал невозмутимый ответ: «Сохраняла на рабочем столе и перетаскивала».

Внимательно отнеситесь к бухгалтерским рабочим станциям – как правило именно они изобилуют «нестандартными» программами, такими как Банк-клиенты и специализированные программы налоговой отчетности. Заранее проконсультируйтесь с технической поддержкой производителей программ на предмет того, что именно вы должны архивировать. Некоторые такие программы защищены от копирования, поэтому после переустановки системы просто перестанут работать, что может явиться крайне критичным, так как невозможность осуществить срочный платеж через систему Банк-клиент – серьезная проблема для организации. Заранее договоритесь о вызове специалиста для переустановки подобных программ.

Полезные технические подробности

С технической точки зрения рекомендуется использовать на рабочих станциях операционные системы не ниже Windows 2000, так как более ранние версии систем (Windows9x/ME, Windows NT) не позволяют в полной мере распространять на них доменные политики и настройки. Поэтому при наличии возможности (технические характеристики компьютера и пр.) переустановите ОС там, где необходимо.

Помните, что перед любыми подобными работами необходимо создавать архивную копию всех данных, находящихся на перенастраиваемых серверах. Опыт показывает, что нелишним будет создать архивную копию даже тех дисковых разделов, которые вы не собираетесь затрагивать в процессе работы – лучше быть спокойным за то, что все продублировано, чем «случайно» установить новую систему не в тот раздел. Конечно, такое напоминание многим может показаться излишним – ведь это и «само собой разумеется». К сожалению, практика показывает, что даже опытные специалисты иногда игнорируют это правило, желая сэкономить время (действительно, процесс архивации данных – самый длительный и утомительный).

Перед основным этапом работ проверьте следующее:

• Должна быть сделана полная копия всех рабочих данных с сервера. Их необходимо хранить отдельно, на носителе, который вообще никак не участвует в рабочем процессе. После архивирования проведите процедуру контрольного восстановления – не всегда удается скопировать все по каким-либо причинам (права доступа и пр.) Хорошей проверкой на полноту архивации является перемещение, а не копирование файлов – тогда после завершения процедуры на источнике не должно остаться исходных данных. Если что-то осталось – проверьте, скопировалось ли на резервный носитель. Если есть возможность, сделайте две копии – одну на любую рабочую станцию в сети, имеющую необходимый объем дискового пространства, а вторую – на указанный носитель, который сразу уберите подальше.
• Наличие возле каждого рабочего места заполненных пользователями анкет, с указанием данных, которые необходимо сохранить/перенести со старой системы. Подразумевается, что вы сможете расшифровать записи пользователей, поэтому заранее проведите все уточнения. Также необходимо знать, где хранятся рабочие данные используемых пользователями программ и ОС. Будьте осторожны с такими программами, как Microsoft Outlook и Microsoft Outlook Express – их файлы данных располагаются в профилях пользователей, причем «закопаны» довольно глубоко:
• Данные Microsoft Outlook – %USERPROFILE%Local SettingsApplication DataMicrosoftOutlook*.pst.
• Данные Microsoft Outlook Express – %USERPROFILE%Local SettingsApplication DataIdentities{<цифровой код>}Корпорация MicrosoftOutlook Express*.*.
• Адресная книга – %USERPROFILE%Application DataMicrosoftAddress Book*.wab.
• Избранное Internet Explorer – %USERPROFILE%Избранное (про него часто забывают, а у пользователя может быть сохранено огромное количество ссылок).

Не совсем рациональным хранением данных почтового ящика отличается и популярная почтовая программа The_BAT! – по умолчанию они хранятся в папке с самой программой. Кстати, не забывайте об использовании встроенных мастеров экспорта и импорта данных, но не вздумайте слепо им доверять – после экспорта данных всегда проверьте их импорт на «чистую» систему.

• Все необходимые драйвера для переустановки ОС на серверах и рабочих станциях. Крайне рекомендуется иметь несколько «универсальных» дисков с драйверами популярных материнских плат и устройств.
• Назначен день «X», в который никто из пользователей не будет работать. Оптимальны – два выходных дня – за один можно не успеть. При этом должен быть обеспечен пропускной режим на предприятие и доступ во все помещения с компьютерами.

Переход к Active Directory

Итак, назначенный день наступил и необходимо начинать работы по созданию домена. Еще раз убедитесь, что все данные с перенастраиваемого сервера сохранены в надежном месте.

Устанавливаем серверную операционную систему, обновления, проводим все первичные настройки. Создаем и настраиваем домен (подробно этот процесс многократно описан, в том числе в [1]). После проверки работоспособности домена вводим в него рабочие станции пользователей. Еще перед вводом в домен озаботьтесь их корректным именованием, применяя только латиницу, без пробелов. Русские имена не поддерживаются DNS, а от его работоспособности зависит вся работа Active Directory. Рекомендуется сразу создать в домене первую учетную запись пользователя, рабочую станцию которого мы будем вводить в домен первой. После ввода проверяем минимальную корректность настроек – вход в домен после перезагрузки должен осуществляться не дольше 1 минуты. Если очень продолжительное время вы наблюдаете табличку «Применение параметров безопасности» – какие-то из настроек некорректны (чаще всего неправильно настроен DNS-сервер, либо не он прописан в свойствах сетевого подключения клиента). Первый вход осуществляем с учетными данными пользователя, работающего за этой рабочей станцией. В этот момент создается его профиль, который будет соответствовать профилю данной системы по умолчанию. Все предыдущие настройки останутся в старом профиле пользователя. Если имя для входа в домен не отличается от предыдущего локального имени – новый профиль будет создан с префиксом <имя домена>. Это сделано для того, чтобы не повредить предыдущие настройки. Сразу после первого входа в систему завершаем сеанс пользователя и входим уже с учетной записью администратора домена для перенесения документов и настроек из старого профиля. Заходим в папку профилей (на системах Windows 2000 и выше это папка Documents and Settings) и копируем необходимые нам элементы в новый профиль (см. рис. 2). Обратите внимание – не переносим, а именно копируем, чтобы осталась возможность воспользоваться локальным входом в систему со старыми учетными данными. Таким образом, у вас будет возможность войти в систему локально и посмотреть необходимые настройки. Например, для баз «1С:Предприятие 7.7», в большом количестве присутствующих у сотрудников бухгалтерии, достаточно сохранить один раздел реестра (HKEY_CURRENT_USERSoftware1C1Cv77.7Titles) и затем внести информацию из него после входа в домен. Полностью копировать содержимое старого профиля не рекомендуется без особых оснований, чтобы не перетаскивать ненужный мусор – если что-то понадобится – всегда можно будет потом достать.

Рисунок 2. Копирование информации из старого профиля в новый

Проверив работоспособность первой рабочей станции домена, можно переходить к вводу в домен остальных, повторяя описанную процедуру.

Несмотря на то, что при входе пользователя в домен создается новый профиль, а старый остается невредимым – все равно крайне рекомендуется создавать архивную копию указанных данных в независимом месте. Если же на рабочей станции производилась переустановка ОС, то все пользовательские данные необходимо будет восстанавливать именно из упомянутого архива.

При переносе данных из одного профиля в другой помните, что если пользователь не будет являться локальным администратором компьютера, то может возникнуть необходимость принудительного делегирования ему необходимых разрешений NTFS. Например, на папку почтового ящика в программе The_Bat и пр. В противном случае вы можете столкнуться с ситуацией, когда пользователь будет видеть документ (ярлык, папку и пр.), а в доступе ему будет отказано. Это же касается настроек и данных программ – если какая-либо программа после переноса настроек отказывается работать, – прежде всего проверьте права доступа нового пользователя к рабочим папкам программы. В ситуациях, когда затруднительно понять, куда же именно не хватает прав доступа и в этом ли заключается проблема, можно на время делегировать пользователю права локального администратора и заново произвести вход в систему. Если проблема локализована и остается определить объекты доступа – можно воспользоваться любым системным монитором от стороннего производителя, позволяющим вести журнал обращения к объектам. Я использую для этих целей программу Filemon от Sysinternals. Она удобна тем, что не требует инсталляции и показывает не только файловую активность, но и результаты обращения к реестру, а также к Named Pipes. Акцентирую внимание на том, что делегируются права локального администратора на конкретной локальной станции, а не права администратора домена! В грамотно настроенной сети даже если пользователю оставить эти права для работы – кроме настроек своего компьютера он ничего испортить не сможет.

Начинаем работать с доменом AD

Разумеется, что первое тестирование работоспособности системы должны проводить вы – еще до того, как пользователи выйдут на свои рабочие места. При перенесении настроек из старых профилей в новые необходимо на каждом рабочем месте сымитировать работу конкретного пользователя – открыть несколько документов, проверить работоспособность почты, баз данных и пр. Не поленитесь сделать это, иначе в первый час работы фирмы вам придется «разрываться на части» между компьютерами, восстанавливая работоспособность конкретных программ. Например, осуществив первый вход в систему, обязательно поочередно запустите программы семейства Microsoft Office – при первом запуске с новым профилем пользователя они произведут необходимые настройки, возможно, потребовав дистрибутивные файлы. В противном случае пользователь, ткнув в любой документ Office, запустит этот процесс, получив при этом сообщение о недоступности файла. Практика показывает, что это наиболее частое упущение. То же самое с путями и правами к базам системы «1С:Предприятие» – выше описан способ восстановления таких настроек. Не забывайте также про папки с общим доступом и прочие сетевые ресурсы – их все необходимо будет восстановить и проверить работоспособность и права доступа. Также часто пользователи для доступа к сетевым ресурсам используют быстрые ссылки, автоматически создаваемые в папке «Сетевое окружение».

В первый день ввода в эксплуатацию новой системы вы должны появиться на предприятии раньше всех. Если вы позволите себе опоздать, реакция пользователей будет непредсказуемой – от недоумения до паники. Главное – не позволяйте пользователям сеять эту панику среди коллектива. ваши реплики при общении должны быть спокойными и уравновешенными: «Не волнуйтесь, сейчас все настройки восстановим. Мне понадобится ваша помощь» и т. д. Рекомендуется повесить на входе объявление о «Переходе на новую систему» с просьбой по всем вопросам обращаться к вам.

После перенастройки системы вы услышите множество возгласов в стиле: «Все мои документы пропали!». Главное не паниковать – если все было сделано грамотно и архивы созданы, – восстановить связи недолго. Не стоит метаться от одного пользователя к другому – по очереди подойдите к каждому и попросите при вас проверить работоспособность системы. Устраните самые срочные проблемы и перейдите к следующему пользователю. Если в процессе исследований какие-то настройки или документы пользователей были утрачены – немедленно просмотрите информацию, указанную пользователем в анкете компьютера. Если там ничего не говорится об этих данных – вы тоже не экстрасенс и догадываться на астральном уровне не могли. Поясните это пользователю. Именно поэтому очень важно несколько раз предупредить пользователей об ответственности при заполнении анкеты.

Практика показывает, что при адекватной психологической реакции администратора (профессионализм, спокойствие и невозмутимость) такие проекты осуществляются ровно и по плану. Разумеется, что речь идет именно о корректной реализации такого внедрения. Если перебои в работе предприятия или потеря данных была вызвана ошибками системного администратора – стоит задуматься о повышении квалификации и не браться за подобные проекты.

Автор статьи реализовал более 200 подобных и более сложных проектов системной интеграции и частично описал свой личный опыт работы.

Литература:

1. Марков Р. Установка и настройка Windows 2К Server. – Журнал «Системный администратор» №10, 2004 г. – 88-94 с (http://www.samag.ru/cgi-bin/go.pl?q=articles;n=10.2004;a=14).
2. Microsoft Windows 2000 Active Directory Services. Учебный курс. Издательство: Русская Редакция – http://www.rusedit.ru.