Планирование файловой системы для Active Directory 101

«Чтобы получить полное руководство по безопасности, ознакомьтесь с учебным пособием Security+ Study Guide and DVD Training System на Amazon.com».

Подготовка к Active Directory требует большого предварительного планирования, и эта статья была разработана, чтобы помочь вам освоить часть планирования файловой системы, прежде чем вы начнете развертывание.

Проверка вашей файловой системы

При развертывании Active Directory необходимо сначала спланировать и спроектировать развертывание базовой операционной системы (ОС), также называемой NOS или сетевой операционной системой. Active Directory, при правильном планировании, в значительной степени пуленепробиваемый, но если вы этого не сделаете, у вас будет проблема за проблемой — гарантировано. Active Directory очень хорошо самовосстанавливается, но это при условии, что она идеально настроена. Если вы не развернете правильную файловую систему, вы не только не сможете развернуть Active Directory в первую очередь, но и не сможете использовать многие функции, важные для использования на рабочем сервере. В этой статье мы рассмотрим, как проверить вашу текущую файловую систему перед развертыванием Active Directory и что делать, если вам необходимо преобразовать ее перед развертыванием Active Directory. При планировании Active Directory для обеспечения безопасности используется файловая система ОС — безопасность невозможна без использования файловой системы, которая это позволяет. Вы должны учитывать, что файловая система отвечает за управление и отслеживание всех данных на вашем жестком диске, включая базу данных Active Directory. Зачем учитывать файловую систему? Что ж, если вы этого не сделаете, вы не сможете установить Active Directory или использовать файловую систему, которая позволяет вам использовать другие функции, такие как дисковые квоты, избыточность, шифрование, удаленное хранилище и удаленный доступ к файлам, чтобы назвать несколько. Как видите, планирование файловой системы становится обязательным при планировании. Заблаговременное планирование обеспечит ваш успех.

Файловые системы Windows Server 2003

Windows Server 2003 позволяет развертывать различные файловые системы. Доступные файловые системы: FAT, FAT32 и NTFS. WinFS, новое имя файловой системы, которое находится либо в возможном развертывании Longhorn, либо даже после этого в ОС Windows следующего поколения. EFS и DFS разные. Файловые системы, доступные в Windows Server 2003:

• Таблица размещения файлов (FAT): редко используется. Используется в основном в случаях (более старые технологии и идеи), когда вы хотите поместить небольшой раздел на свой диск рядом с NTFS, чтобы вы могли восстановить систему или сделать что-то еще в DOS вместо использования консоли восстановления или других инструментов, которые лучше использовать. Фундаментальное различие между разделами FAT и NTFS заключается в том, что NTFS обеспечивает безопасность на уровне файловой системы.
• Таблица размещения файлов 32 (FAT32): редко используется в системе Windows Server 2003, особенно в той, в которой развертывается Active Directory. Поддержка FAT и FAT32 в основном включена в Windows Server 2003 для обратной совместимости и использования нескольких загрузочных разделов, особенно при использовании других ОС Windows, например при настройке одного компьютера для загрузки как в Windows 98 SE, так и в Windows Server 2003.
• Файловая система новой технологии Windows 5 (NTFS 5): не путать с исходной файловой системой новой технологии Windows (NTFS). NTFS 5 более надежна и ее необходимо развернуть при планировании Active Directory. Настоятельно рассмотрите возможность использования только разделов NTFS на рабочих серверах! NTFS 5 предоставляет новые преимущества для систем Windows Server, в том числе дисковые квоты, шифрование файловой системы, динамические тома и возможности удаленного хранения.

Особенности NTFS 5

Просто чтобы вы могли получить представление о том, что принесет вам NTFS 5, давайте рассмотрим некоторые функции поближе.

Дисковые квоты используются для ограничения объема сетевого пространства, и системный пользователь может сохранять данные на диск. Windows Server 2003 по умолчанию поддерживает ограничения дисковой квоты на уровне тома. При развертывании дисковых квот вы можете ограничить объем дискового пространства, используемого любым пользователем на одном томе диска.

Вы также можете запланировать шифрование файловой системы, которое позволит системным администраторам использовать шифрование, чтобы предотвратить использование данных в случае их кражи или перехвата неавторизованным пользователем. Процесс шифрования позволяет защитить данные на томе… если он правильно настроен и используется NTFS 5.

Динамические тома также характерны для NTFS 5. Динамические тома используются для дополнительной защиты вашей системы Windows Server 2003, особенно в случае сбоя диска. Защита от сбоев диска должна быть самой большой заботой системного администратора… если ваш диск перестанет работать, вам нужно будет найти способ восстановить его. Диски также очень похожи на лампочки, они рассчитаны на отказ. Вот почему для большинства дисков характерна средняя наработка на отказ… «Среднее время наработки на отказ» — это когда дисковые подсистемы изжили свою предполагаемую полезность. NTFS 5 и динамические диски помогают смягчить присущие устаревшим технологиям, таким как NT, недостатки, такие как необходимость перезагрузки системы, чтобы новый диск заработал после замены. Windows NT 4.0 поддерживала различные уровни технологии избыточного массива независимых (или недорогих) дисков (RAID), но не до уровня, доступного сейчас в Windows Server 2003.

Вы также можете использовать функции удаленного хранилища, поддерживаемые NTFS 5, для автоматической выгрузки редко используемых данных на ленту или другие устройства, такие как NAS (сетевое хранилище), но файлы остаются доступными для пользователей, поскольку они не были удалены из машина – это бесшовно. Как видите, NTFS 5 обеспечивает более высокий уровень гибкости, безопасности, защиты данных, повышенную масштабируемость и увеличенное время безотказной работы.

Планирование Active Directory

Теперь, когда вы понимаете, что вам нужно при развертывании производственного сервера, вам следует подумать о том, что необходимо для развертывания Active Directory. Помимо всех замечательных возможностей, которые предлагает вам NTFS 5, нам еще предстоит поговорить о потребностях Active Directory. Для Active Directory обязательно должна быть установлена NTFS, а точнее Windows Server 2003 и NTFS 5. Почему? База данных Active Directory «должна» находиться в разделе NTFS. Теперь — хотя мы обсудили NTFS 5 и причину ее выбора, мы еще не рассмотрели, как ее проверить или установить, если это необходимо. Есть о чем поговорить, прежде чем мы просмотрим, установим или конвертируем его… нам все еще нужно поговорить о пространстве.

Место на ваших дисках обязательно. Вы должны правильно спланировать Active Directory. Помимо использования обязательного раздела в формате NTFS, вы должны обязательно убедиться, что у вас достаточно места на диске. Для успешной установки AD у вас должен быть хотя бы один раздел в формате NTFS, поскольку раздел NTFS требуется для папки SYSVOL. Системный том Windows Server 2003 (SYSVOL) — это набор папок и точек повторной обработки в файловой системе, которая существует на каждом контроллере домена (DC) в домене. SYSVOL предоставляет стандартное место для хранения данных, которые необходимо реплицировать. Служба репликации файлов (FRS) используется для репликации данных SYSVOL. если пространство на ваших дисках не позволяет в будущем увеличить базу данных Active Directory, вы можете столкнуться с серьезными проблемами в этой области — убедитесь, что вы планируете! Необходимо убедиться, что для хранения SYSVOL предоставлено достаточно места.

Убедитесь, что вы учитываете емкость. Вы должны убедиться, что вы выделили достаточно места на диске для работы Active Directory (в частности, SYSVOL). Убедитесь, что вы также учитываете будущий рост… База данных Active Directory растет по мере того, как вы добавляете в нее все больше и больше объектов. Всегда учитывайте пространство, а также производительность. Если у вас слишком много на сервере, слишком много служб или если у вас слишком много операций ввода-вывода на диске, вы обязательно это почувствуете — убедитесь, что вы также планируете свою производительность. Также учтите, что вам нужен надежный, а также «быстрый» диск (диски). Хотя вам нужно как минимум 250 МБ свободного места в разделе, на котором вы планируете установить AD, было бы безумием планировать только этот объем — минимум 1-2 ГБ, и, надеюсь, если вы планируете с командами управления в вашей организации — вы может обнаружить, что Active Directory может расти в геометрической прогрессии из года в год — это означает, что вы хотите убедиться, что на вашем контроллере домена достаточно места на диске, чтобы справиться с будущим ростом.

Изменить диск

До сих пор вы должны были понимать, почему необходимо спланировать вашу файловую систему для Active Directory. В этом разделе статьи мы расскажем, как проверить вашу текущую файловую систему и что делать, если вам нужно скрыть ее для подготовки Active Directory. Чтобы преобразовать раздел в NTFS, вам нужно будет использовать команду convert. Прежде чем мы рассмотрим, как что-либо преобразовать, давайте сначала посмотрим, что у нас есть, и поговорим о безопасности. Это упражнение покажет вам, как использовать инструменты администрирования для просмотра и изменения конфигурации диска.

Примечание:
Безопасность важна. Прежде чем вносить какие-либо изменения в конфигурацию диска, убедитесь, что вы полностью понимаете их потенциальные последствия, проведите тест в лабораторной среде и убедитесь, что у вас есть хорошие проверяемые резервные копии, потому что, если вы попытаетесь сделать это в производственной системе, не принимая во внимание последствия, вы можете ошибку и продлить свою дневную работу на ночь, вполне возможно, из-за этого. Изменение размеров разделов, а также добавление и удаление разделов может привести к полной потере всей информации об одном или нескольких разделах, поэтому будьте осторожны.

Чтобы просмотреть текущую конфигурацию диска, вам нужно будет использовать MMC управления компьютером (консоль управления Microsoft). Его можно найти в папке «Администрирование» либо на панели управления, либо в меню «Пуск».

Чтобы просмотреть конфигурацию диска, выполните следующие действия.

1. Откройте MMC «Управление компьютером» в группе программ «Администрирование».

2. В разделе «Хранилище» на панели навигации нажмите «Управление дисками».
3. Теперь вы открыли программу управления дисками, которая показывает вам логические и физические диски, которые в настоящее время настроены в вашей системе, вы можете увидеть размер ваших разделов, если они отформатированы в FAT, FAT32 или NTFS и так далее.

Windows Server 2003 позволяет преобразовывать существующие разделы FAT или FAT32 в NTFS, и на самом деле это довольно легко сделать, но может быть очень разрушительным, если сделать это неосторожно. Преобразование диска в NTFS также является билетом в один конец, процессом в один конец, который нельзя повернуть вспять. Вы не можете преобразовать раздел NTFS в любую другую файловую систему без потери данных, поэтому вы должны убедиться, что у вас есть проверяемые резервные копии ваших данных, чтобы вы могли повторно разместить их в своих системах. Если вы хотите преобразовать существующий раздел из FAT или FAT32 в NTFS, вам потребуется использовать утилиту командной строки convert. Следующая команда, показанная здесь (в следующей строке), преобразует раздел C: из FAT в NTFS:

конвертировать X:/fs:ntfs

(Где X — это буква диска, который вы хотите скрыть, например, C или D и т. д.)

Если вы используете двойную загрузку, вам нужно убедиться, что вы подумали об этом перед преобразованием, вы не сможете получить доступ к другим разделам при двойной загрузке и выполнении преобразования. Вам также необходимо убедиться, что если какие-либо системные файлы на вашем сервере являются частью процесса преобразования (например, файл подкачки Windows), то вам обязательно потребуется перезагрузить сервер, чтобы это произошло. Если сервер работает, он не передаст управление, чтобы их можно было преобразовать — для этого потребуется перезагрузка. После перезагрузки (если это необходимо) вы можете запустить dcpromo и начать процесс установки Active Directory — только потому, что файловая система проверена. Есть и другие вещи, которые вы также должны запланировать (например, DNS), которые будут рассмотрены в следующих статьях.

Резюме

Планирование Active Directory — непростая задача, но если вы будете планировать в течение долгого времени и правильно спроектируете и спланируете развертывание, вы увидите, что все пройдет гладко. В этой статье мы рассмотрели файловые системы Windows Server 2003, включая NTFS 5, что необходимо для планирования Active Directory и как спланировать вашу файловую систему, чтобы разрешить установку Active Directory. Следите за дальнейшими статьями по планированию Active Directory!

Ссылки и справочные материалы

Понимание планирования Active Directory
http://www.microsoft.com/windowsserver2003/technologies/directory/activedirectory/default.mspx

Планирование NTFS 5
http://www.microsoft.com/technet/prodtechnol/windowsserver2003/library/TechRef/8cc5891d-bf8e-4164-862d-dac5418c5948.mspx

Если вы конвертируете FAT в NTFS, прочитайте эту статью:

http://support.microsoft.com/default.aspx?scid=kb;en-us;156560

Использование инструмента преобразования
http://support.microsoft.com/default.aspx?scid=kb;en-us;314097

Планирование RAID
http://www.microsoft.com/windows2000/en/advanced/help/default.asp?url=/windows2000/en/advanced/help/sag_FAULTconcepts_01A.htm

Информация о среднем времени наработки на отказ
http://www.windowsnetworking.com/articles_tutorials/High-Availability-Eliminate-Downtime.html

http://www.microsoft.com/technet/prodtechnol/windowsserver2003/library/DepKit/662eb4b2-e731-490d-8cc6-2be36992523a.mspx

Сделайте резервную копию вашей системы перед обновлением или преобразованием
http://www.windowsnetworking.com/articles_tutorials/Windows-XP-Registry-Backup.html