Текст книги "Настройка Active Directory. Windows Server 2008"
Автор книги: Dan Holme
Соавторы: Danielle Ruest,Nelson Ruest
Жанр:
ОС и Сети
сообщить о нарушении
Текущая страница: 67 (всего у книги 91 страниц)
•
0
ния доступа к сети Windows Server
Возможность включения принципалов безопасности для предоставле-
0
121
ния доступа к приложениям и веб-службам
Интеграция со средствами архивации Windows Server 2008
121
0
Как указано в табл. 14-2, м е ж д у AD L D S и AD DS есть и о т л и ч и я , и сходс-
тво. Например, Exchange Server д о л ж е н и н т е г р и р о в а т ь с я с AD DS, а не ис-
пользовать AD LDS, поскольку E x c h a n g e Server н е о б х о д и м д о с т у п к службе
глобального каталога. Без нее п о л ь з о в а т е л и э л е к т р о н н о й п о ч т ы не смогут быть
получателями. Поскольку AD L D S не п о д д е р ж и в а е т г л о б а л ь н ы й каталог, Ex-
change Server не может использовать эту службу. О д н а к о п р и л о ж е н и ю Exchange
Server необходим доступ к д а н н ы м к а т а л о г о в в к а ж д о м с а й т е д о м е н а и л и леса.
Оно также использует п о з и ц и о н и р о в а н и е к о н т р о л л е р о в д о м е н о в , ч т о б ы каж-
дый пользователь мог о т п р а в л я т ь и п о л у ч а т ь э л е к т р о н н у ю почту.
Однако AD LDS обеспечивает п р а к т и ч е с к и т а к у ю же ф у н к ц и о н а л ь н о с т ь ,
как и AD DS. Например, вы м о ж е т е с о з д а т ь э к з е м п л я р ы с р е п л и к а м и , рас-
пределенные в различных местах сети а н а л о г и ч н о р а з м е щ е н и ю контроллеров
доменов, а затем использовать р е п л и к а ц и ю с р а в н о п р а в н ы м и у ч а с т н и к а м и для
обеспечения целостности данных. К о р о ч е г о в о р я , AD L D S – это облегченная,
портативная и более гибкая в е р с и я с л у ж б ы к а т а л о г о в AD D S .
Сценарии AD LDS
Далее мы займемся обсуждением с ц е н а р и е в , в к о т о р ы х м о ж е т понадобиться
использовать технологию AD L D S . П р о с м о т р и т е э т и с ц е н а р и и , когда будете
делать выбор между AD L D S и AD D S .
• Когда приложению необходимо и с п о л ь з о в а т ь каталог LDAP, вместо AD DS
попробуйте задействовать A D L D S . Э к з е м п л я р а м и A D L D S часто можно
управлять на одном сервере как п р и л о ж е н и я м и , обеспечивая высокоскорос-
тной и локальный доступ к д а н н ы м каталога. Т а к и м о б р а з о м уменьшается
объем трафика репликации, п о с к о л ь к у все т р е б у е м ы е д а н н ы е локальны.
Кроме того, вы можете с в я з а т ь э к з е м п л я р AD L D S с п р и л о ж е н и е м при
развертывании. Например, если у вас есть п р и л о ж е н и е д л я «работы с кад-
рами, которое использует н а с т р а и в а е м ы е п о л и т и к и д л я предоставления
пользователям доступа л и ш ь к к о н к р е т н о м у с о д е р ж и м о м у в случае, когда
объект пользователя содержит набор к о н к р е т н ы х атрибутов, эти атрибуты
и политики можно хранить в AD L D S .
Занятие 1
Установка AD LDS ggg
• И с п о л ь з о в а н и е AD L D S д л я обеспечения данных, связанных с учетными
з а п и с я м и в AD DS, д л я поддержки которых требуется расширение схемы
AD DS. П р и м е н е н и е AD L D S в таком случае обеспечивает дополнительные
д а н н ы е п о л ь з о в а т е л е й без необходимости в модификации схемы AD DS.
Н а п р и м е р , если у вас есть централизованное приложение, предоставляю-
щее ф о т о г р а ф и ю к а ж д о г о служащего в организации и связывающее эту
ф о т о г р а ф и ю с у ч е т н о й записью AD DS пользователя, вы можете хранить
ф о т о г р а ф и и в э к з е м п л я р е AD LDS. Фотографии, которые централизованно
х р а н я т с я в AD LDS, с в я з ы в а ю т с я с учетными записями пользователей в
AD D S , о д н а к о эти ф о т о г р а ф и и не будут реплицироваться вместе с други-
ми д а н н ы м и AD DS – ведь они хранятся в AD LDS. Таким образом, будет
с н и ж е н о б ъ ё м т р а ф и к а р е п л и к а ц и и .
• И с п о л ь з о в а н и е э к з е м п л я р а AD L D S с целью предоставления служб про-
в е р к и п о д л и н н о с т и д л я веб-приложения, например Microsoft SharePoint
P o r t a l Server в п е р и м е т р е сети и л и экстрасети. Д л я получения информации
у ч е т н ы х з а п и с е й п о л ь з о в а т е л е й э к з е м п л я р AD LDS может запрашивать
в н у т р е н н ю ю с т р у к т у р у AD DS через брандмауэр и безопасно хранить его
в п е р и м е т р е сети. Т а к и м образом, нет необходимости в развертывании
AD DS в п е р и м е т р е и л и в к л ю ч е н и и контроллеров доменов из внутренней
сети в п е р и м е т р . О т м е т и м , что для предоставления такого доступа также
м о ж н о и с п о л ь з о в а т ь с л у ж б ы федерации Active Directory (Active Directory
F e d e r a t i o n Services, AD FS). С л у ж б ы AD FS описаны в главе 17.
• К о н с о л и д а ц и я р а з л и ч н ы х репозиториев объектов идентификации в единое
х р а н и л и щ е каталогов. С п о м о щ ь ю такой службы, как Microsoft Identity
I n t e g r a t i o n S e r v e r ( M I I S ) , M i c r o s o f t Identity Lifecycle Manager (MILM)
и л и б е с п л а т н ы й п р о д у к т I d e n t i t y Integration Feature Pack (IIFP), можно
п о л у ч а т ь д а н н ы е из р а з л и ч н ы х источников и консолидировать их в эк-
з е м п л я р е AD L D S . С л у ж б ы M I I S и M I L M поддерживают предоставление
д а н н ы х из с а м ы х р а з н ы х источников, например леса AD DS, базы данных
S Q L Server, сторонних служб L D A P и т. д. Служба IIFP представляет собой
поднабор M I I S и поддерживает интеграцию данных между AD DS, AD LDS
и E x c h a n g e Server. П р и р е а л и з а ц и и такого решения снижается нагрузка
у п р а в л е н и я , п о с к о л ь к у используется единый источник, а данные из всех
о с т а л ь н ы х р е п о з и т о р и е в пересылаются в этот источник.
К СВЕДЕНИЮ Службы MIIS, MILM и IIFP
Более подробную информацию о службе MIIS можно иайти по адресу http://www.
microsoft.com/technet/miis/evaluate/overview.mspx.
Информация о службе MILM представлена по адресу http://www.microsoft.com/
windowsserver/ilm2007/default.mspx.
Для получения информации и загрузки IIFP следует обратиться по адресу
http://www.microsoft.com/downloads/details.aspx7familyid~d9143610-c04d-41c4-b7ea-
, 6f56819769d5&displaylang=en.
• О б е с п е ч е н и е п о д д е р ж к и д л я ведомственных приложений. В некоторых
случаях ведомствам может потребоваться дополнительная информация для
I 7 0 0 Службы облегченного доступа к каталогам
Глава 14
идентификации, не и м е ю щ е й о т н о ш е н и я к д р у г и м в е д о м с т в а м в организа-
ции. Прн интеграции этой и н ф о р м а ц и и в э к з е м п л я р е AD L D S ведомство
получает к ней доступ, не в л и я я на с л у ж б у к а т а л о г о в ц е л о й организации,
ш Обеспечение поддержки д л я р а с п р е д е л е н н ы х п р и л о ж е н и й . Е с л и приложе-
ние распределенное и ему т р е б у е т с я д о с т у п к д а н н ы м в н е с к о л ь к и х место-
расположениях, м о ж н о и с п о л ь з о в а т ь A D L D S , п о с к о л ь к у с л у ж б ы облег-
ченного доступа к каталогам о б е с п е ч и в а ю т те же в о з м о ж н о с т и р е п л и к а ц и и
с равноправными у ч а с т н и к а м и , что и AD D S .
• Миграция старых п р и л о ж е н и й к а т а л о г а в AD L D S . Е с л и о р г а н и з а ц и я при-
меняет старые приложения, и с п о л ь з у ю щ и е к а т а л о г LDAP, м о ж н о мигриро-
вать данные в э к з е м п л я р AD L D S и с т а н д а р т и з и р о в а т ь их в т е х н о л о г и я х
каталогов Active Directory.
• Обеспечение поддержки д л я л о к а л ь н ы х р а з р а б о т о к . П о с к о л ь к у AD L D S
можно установить на к л и е н т с к и х с т а н ц и я х , р а з р а б о т ч и к а м м о ж н о предо-
ставить портативные каталоги из о д н о г о э к з е м п л я р а , с п о м о щ ь ю которых
они смогут создавать н а с т р а и в а е м ы е п р и л о ж е н и я , т р е б у ю щ и е доступ для
идентификации данных. Р а з р а б о т к а с п о м о щ ь ю AD L D S н а м н о г о проще,
чем с помощью AD DS.
• Кроме того, при оценке коммерческих п р и л о ж е н и й к а т а л о г о в всегда следует
отдавать предпочтение п р и л о ж е н и ю , и с п о л ь з у ю щ е м у A D L D S и л и ADAM,
и не применять п р и л о ж е н и я , м о д и ф и ц и р у ю щ и е с х е м у AD DS. Разверты-
вание коммерческих п р и л о ж е н и й с п о р т а т и в н ы м и к а т а л о г а м и намного
проще и меньше влияет на структуру сети, чем р а з в е р т ы в а н и е приложений,
которые необратимо м о д и ф и ц и р у ю т с х е м у к а т а л о г о в N O S .
В каждом из этих сценариев м о ж н о и с п о л ь з о в а т ь AD L D S . С т а н д а р т н ы е
приложения должны включать к а т а л о г и , п р и л о ж е н и я б е з о п а с н о с т и и сетевую
конфигурацию, а также п р и л о ж е н и я х р а н е н и я п о л и т и к .
Как видите, службы AD L D S намного к о м п а к т н е й , чем с л у ж б ы AD DS. Если
в AD DS требуются м о д и ф и к а ц и и схемы, п о п р о б у й т е и с п о л ь з о в а т ь AD LDS.
Обычно AD LDS предоставляет о п т и м а л ь н ы й в ы б о р , п о с к о л ь к у с л у ж б ы AD
DS всегда должны р е з е р в и р о в а т ь с я к а к к а т а л о г N O S и и н т е г р и р о в а т ь только
т е приложения, которые п р и д а ю т к а т а л о г а м N O S д о п о л н и т е л ь н ы е ф у н к ц и и .
К СВЕДЕНИЮ Службы AD LDS
Более подробную информацию о службах AD LDS можно найти по адресу http://
technet2.microsoft.eom/windowsserver2008/en/library/b7fb96ec-3f3f-4860-a1ab-
eb43e54bbefc1033.mspx.
СОВЕТ К ЭКЗАМЕНУ
Уделите внимание сценариям, описанными ранее в этой главе. Хотя.па сертифи-
кационном экзамене есть лишь несколько вопросов о службах AD LDS, все они
связаны с выбором AD LDS среди других технологий Active Directory.
Занятие 1
Установка AD LDS 7Q-|
Установка AD LDS
В W i n d o w s Server 2008 с л у ж б ы AD L D S можно установить и отконфигуриро-
вать на к о м п ь ю т е р е с п о л н о й установкой или ядром сервера (Server Core). Кро-
ме того, с л у ж б ы AD L D S и д е а л ь н ы д л я виртуализации в Windows Server 2008
посредством т е х н о л о г и и Hyper-V. Благодаря уменьшенным требованиям служ-
бы AD L D S м о ж н о запускать в виртуальном экземпляре операционной системы
W i n d o w s Server 2008, если п р и л о ж е н и е , интегрируемое в экземпляр AD LDS,
не н у ж н о у с т а н а в л и в а т ь на ф и з и ч е с к о м компьютере.
К р о м е того, без особой н у ж д ы не устанавливайте AD LDS на контроллерах
д о м е н о в . Х о т я с л у ж б ы AD L D S могут сосуществовать с ролью контроллера
д о м е н а и д а ж е р о л ь ю к о н т р о л л е р а домена только для чтения (RODC), в сети
к о н т р о л л е р ы д о м е н о в в ы п о л н я ю т особую роль и по возможности должны
и н т е г р и р о в а т ь с я л и ш ь с о с л у ж б о й DNS. Поскольку контроллеры доменов
т а к ж е п р е к р а с н о п о д х о д я т д л я в и р т у а л и з а ц и и , во всех сетях с хост-серверами
H y p e r – V и в и р т у а л ь н ы м и э к з е м п л я р а м и других служб следует по возможности
в и р т у а л и з о в а т ь и к о н т р о л л е р ы доменов. П р и использовании виртуального
к о н т р о л л е р а ' д о м е н а н а м н о г о п р о щ е у п р а в л я т ь ролями сервера, поскольку
все о с т а л ь н ы е р о л и т о ж е м о ж н о в и р т у а л и з о в а т ь в отдельных экземплярах
W i n d o w s Server 2008.
И наконец, с т а р а й т е с ь использовать AD L D S в сценариях, где требуется
в ы с о к и й у р о в е н ь б е з о п а с н о с т и , как, например, для запуска службы провер-
ки п о д л и н н о с т и в э к с т р а с е т я х и л и периметре сети; Установка ядра сервера
(Server C o r e ) в т а к и х средах п о з в о л я е т уменьшить фронт атаки серверов вне
к о р п о р а т и в н о й сети.
О п р е д е л е н и е т р е б о в а н и й A D L D S
К а к мы у ж е г о в о р и л и ранее, требования к установке AD LDS уменьшены.
• П о д д е р ж и в а е м а я о п е р а ц и о н н а я система – например, Windows Server 2008
S t a n d a r d E d i t i o n , E n t e r p r i s e Edition или Datacenter Edition.
• Учетная з а п и с ь с р а з р е ш е н и я м и доступа локального администратора.
Д л я у д а л е н и я AD L D S с сервера н у ж н о выполнить два действия.
• Во-первых, у д а л и т е все э к з е м п л я р ы AD LDS, созданные после установки
роли. Д л я этого используется приложение Программы и компоненты (Pro-
grams And F e a t u r e s ) в п а н е л и управления.
• Во-вторых, п р и м е н и т е Диспетчер сервера (Server Manager) для удаления
р о л и A D LDS.
Как видите, операции установки и удаления довольно просты. Главное – пе-
ред удалением р о л и не забыть удалить все экземпляры с сервера.
СОВЕТ К ЭКЗАМЕНУ
Помните, что перед удалением роли с сервера необходимо удалить все экземпляры
AD LDS.
I 7 0 2
Службы облегченного доступа к каталогам
Глава 14
Установка AD LDS в я д р е с е р в е р а
Установка AD LDS практически не отличается от у с т а н о в к и AD DS. Во-первых,
нужно установить р о л ь сервера. З а т е м н е о б х о д и м о с о з д а т ь э к з е м п л я р ы A D
LDS. Установка AD L D S на к о м п ь ю т е р е с п о л н о й и н с т а л л я ц и е й W i n d o w s Serv-
er 2008 описана в практических у п р а ж н е н и я х этого з а н я т и я . П р о ц е с с установки
AD LDS на машине с я д р о м сервера в ы п о л н я е т с я с л е д у ю щ и м образом.
1. Войдите иа рядовой сервер W i n d o w s S e r v e r 2 0 0 8 и л и н е з а в и с и м ы й сервер
с установленным ядром (Server C o r e ) к а к л о к а л ь н ы й а д м и н и с т р а т о р .
2. Начните с идентификации и м е н и с л у ж б ы AD L D S . И с п о л ь з у й т е следую-
щую команду:
o c l i s t | more
Введя символ (|) перед к о м а н д о й т о г е , м о ж н о п р о с м а т р и в а т ь содержи-
мое на экране и переходить к с л е д у ю щ е м у экрану, н а ж и м а я пробел. После
определения имени роли и с п о л ь з у й т е к о м б и н а ц и ю к л а в и ш C t r l + C д л я
отмены команды. Это и м я D i r e c t o r y S e r v i c e s – A D A M – S e r v e r C o r e д о л ж н о
отображаться в первом экране д а н н ы х .
3. Начните установку роли. И с п о л ь з у й т е с л е д у ю щ у ю команду,
s t a r t /w ocsetup OirectoryServices-AOAM-ServerCore
Имена ролей чувствительны к регистру, п о э т о м у в в е д и т е и м я точно так,
как оно отображается на э к р а н е . В п р о т и в н о м с л у ч а е к о м а н д а не будет
выполнена. Кроме того, и с п о л ь з о в а н и е к о м а н д ы start /w гарантирует, что
командная строка не будет в о з в р а щ а т ь р е з у л ь т а т ы в п л о т ь до з а в е р ш е н и я
установки роли.
Если вновь запустить к о м а н д у oclist, б у д е т у к а з а н о , что на д а н н ы й сервер
добавлена роль A D LDS. В ы т а к ж е м о ж е т е о т к р ы т ь п а п к у % S y s t e m R o o t %
ADAM и просмотреть новые ф а й л ы AD L D S . В а ш с е р в е р готов к размещению
экземпляров AD LDS.
Практические занятия. Установка AD LDS
В предложенных далее у п р а ж н е н и я х вы у с т а н о в и т е р о л ь AD L D S на сервере
с полной инсталляцией W i n d o w s Server 2008. З а т е м вы п р о с м о т р и т е содержи-
мое папки установки и определите, к а к и е ф а й л ы б ы л и д о б а в л е н ы на сервер.
Упражнение 1. Установка AD DS
В этом упражнении вы установите р о л ь сервера AD L D S .
1. Запустите машину SERVER01.contoso.com, с л у ж а щ у ю контроллером доме-
на Active Directory, а затем запустите р я д о в ы е с е р в е р ы SERVER03.contoso.
com и SERVER04.contoso.com.
2. Войдите на м а ш и н у S E R V E R 0 3 . c o n t o s o . c o m к а к а д м и н и с т р а т о р домена
Contoso.
Для работы с AD L D S не н у ж н ы у ч е т н ы е д а н н ы е а д м и н и с т р а т о р а домена.
Поскольку каждая установка AD L D S в ы п о л н я е т с я н е з а в и с и м о от AD DS,
для работы с AD L D S необходимы т о л ь к о р а з р е ш е н и я доступа локально-
го администратора, однако д л я в ы п о л н е н и я данного у п р а ж н е н и я следует
использовать права администратора домена.
Занятие 1
Установка AD LDS 7 0 3
3. В Д и с п е т ч е р е сервера (Server Manager) щелкните правой кнопкой мыши
узел Р о л и ( R o l e s ) и п р и м е н и т е команду Добавить роли (Add Roles).
4. П р о ч и т а й т е и н ф о р м а ц и ю на странице Перед началом работы (Before You
Begin) и щ е л к н и т е к н о п к у Д а л е е (Next).
5. На с т р а н и ц е В ы б о р ролей сервера (Select Server Roles) установите флажок
С л у ж б ы Active D i r e c t o r y облегченного доступа к каталогам (Active Direc-
t o r y L i g h t w e i g h t D i r e c t o r y Services) и щелкните кнопку Далее (Next).
6. П р о с м о т р и т е и н ф о р м а ц и ю на странице Службы Active Directory облегчен-
ного доступа к каталогам (Active Directory Lightweight Directory Services)
и щ е л к н и т е Д а л е е ( N e x t ) .
7. Подтвердите в ы б р а н н ы е параметры и щелкните кнопку Установить (Install).
8. П р о с м о т р и т е результаты установки и щелкните кнопку Закрыть (Close).
9. П о в т о р и т е эту о п е р а ц и ю на м а ш и н е SERVER04.contoso.com.
С л у ж б ы AD L D S у с т а н о в л е н ы на обоих серверах.
В процессе и н с т а л л я ц и и AD L D S устанавливается служба, генерируется
х р а н и л и щ е к а т а л о г о в A d a m n t d s . d i t в папке %SystemRoot%Adam и добавля-
ю т с я и н с т р у м е н т ы д л я н а с т р о й к и и управления AD LDS.
К СВЕДЕНИЮ Процесс установки AD LDS
Пошаговое руководство по установке AD LDS можно найти по адресу http://technet2.
mkrosoft.com/xi)indowssewer2008/en/library/141900a7-445c-4bd3-9ce3-5fJ53d70d10a1033.
mspx?mfr-°true.
После з а в е р ш е н и я установки роль отобразится в Диспетчере сервера (Server
M a n a g e r ) , ка к п о к а з а н о на рис. 14-2.
.,-« и М»п»д«'
' ч ^ Я 'Е
Fil« A* ton
V
n
w Htlp
• • – м . ? j j s и
:S Зл
М
«
п
«
д
«
г
(
S
€
R
V
t
R
0
3
)
л R
ol«
R >
«
J >
> A
<
A'.rv«
<'
.rv Dire
Di c
r t
eo
c ry
o
y lig
l h
g tw
h e
wig
e h
g t
h
t Dire
Di c
r t
eo
c ry
o J>
J ry
> ic
yt
i>
c
( T J X ;
•
• fl
f j
l j
j Fe
F it
e u
it r
uti
rt
– – – —
j .
j ji
j D
u
D g
u n
g o
n iti
oc
it i
c
"» ; Pnwwfci >
] >
]
> C
o
C n
o fig
nf u
g ra
urtio
at n
o
j – tt
–
– Su
CI a
) a
w
Nof
ДО LDS-nits
too.*. «.
AD I
CI) No ДО LDS-nits
• tv
t c
v n
c lr
nl.
r Nen
Ne«
ni
«
– AJv»rntd Tool»
C
r
«
*
U
»
n
t
w
A
D
l
D
S
m
<
U
n
«
«
С
Э
A
O
I
D
S
S
e
f
c
«
p «to
J
Query. vie». end «d
objtcb md
«
о
п
Ь
ч
ы
» "i
Г5 лож л*
the directory
Perform
L
D
A
P optr
йеп» tgwnic the dwectory
d, leerch, mtdd.
md delete
* RiuurriindSu
pport
Q
с
О I kit Mrtifc
1
/
W
M
M 1:2123 PM Coertgun "
Рис. 14-2. Просмотр роли AD LDS в диспетчере сервера
I 704
Службы облегченного д о с т у п а к к а т а л о г а м
Глава 14
Упражнение 2. Просмотр установленных файлов AD LDS
В этом упражнении вы просмотрите ф а й л ы AD LDS, установленные на сер-
верах.
1. Войдите на рядовой сервер S E R V E R 0 3 . c o n t o s o . c o m как администратор
домена.
2. Откройте проводник Windows. В меню Пуск (Start) щелкните правой кноп-
кой мыши элемент Компьютер ( C o m p u t e r ) и примените команду Открыть
(Explore).
3. Откройте папку %SystemRoot%ADAM.
4. Просмотрите файлы, созданные в процессе установки AD LDS.
На компьютере с полной установкой Windows Server 2008 процесс уста-
новки AD LDS создает папку A D A M и заполняет ее 20 файлами и двумя
подпапками. Эти две подпапки содержат и н ф о р м а ц и ю д л я локализации.
Как показано на рис. 14-3, в папке A D A M содержатся следующие файлы:
• программные файлы AD LDS, включая .dll, .exe, .cat, .ini и .xml;
• хранилище каталогов Adamntds.dit служб AD LDS;
• файлы .ldf (Lightweight Directory Format), которые используются для
заполнения создаваемых экземпляров AD LDS.
D E S B H H B B
^ . . » Локальный диск (С:) » Windows – ADAM -
– 1
• S j
Файл Правка Вид Сервис Справка
Упорядочить т Виды • Запись на оптичесюй диск
Ф
Имя – Ы
Дэта изменения |
Избрав*** ссылки
1 Тип Ы
Размер | Ключ.;. 1 »j
Избрав*** ссылки
|. en-US
18.12.2008 20:04
Папка с файлами
* Джупемты
X m
13.12.2008 20:04
Папка с файлами
Изображения
i. ru-RU
18.1Z 2008 20:04
Папка с файлами
$ Музыка
f ^ edanwistafl
19.01.2008 14:24
Приложение
64 КБ
Подробнее »
adammsg.cH
19.01.2003 14:24
Компонент при...
4Кб
Подробнее »
__adamr.tds.dit
19.01,2008 14:24
Файл Т)ГГ
4 112 №
Папки
– j adamSchema
19.01.2008 14:24
Каталог безопа...
14 КБ
v
Q j adarre:hema
19.01.2003 14:24
Параметры кон..,
33 КБ
g j Windows
adamsync
19.01.2008 14:24
Приложение
307 КБ
3. ЕШЗ
FjadamunrstaS
19.0 L 2008 14:24
Приложение
254 КБ
£ ; AppPatch
'V adamynzard.dl
19.01.2003 14:24
Компонент при...
318 КБ
ffi . assembly
К ADSchemaAnalyzer
19.01.2008 14:24
Приложение
236 КБ
ffi j, Boot
j MS-adamschemaw2fc... 19.01.2008 14:24
Файл 1EF"
1249 КБ
Brzndog – _ MS-adamschemav(2k... 19.01.2008 14:24 Файл IDF*
1538 КБ
j . Cursors
;;»] MS -AdsmSyncConf
19.01.2003 14:24
Документ ХМ1
3КБ
В Jg Debug
; MS -AdamSyniMetad...
19.01.2008 14:24
Файл I T f *
3КБ
Щ j, OgitaLockei
MS-ADAM-Upgrade-... 19.01.2008 14:24
Файл I D F '
2КБ
Downloaded
MS-ADLDS-OisplaySp... 19.01.2003 14:24
Файл 1DF*
2 256 КБ
ii en-US
; , MS-AZMan.LDF
19.01.2008 14:24
Файл 1DF"
24 КБ
A
У MS-InetOrgPerson.LDF 19.01.2008 14:24
Файл IDF"
37 КБ
. Oofcalizatxy
. . . MS-User .IDF
19.01.2008 14:24
Файл DF*
36 КБ
w, i n e b
; ..MS-UserProxy.LDF
19.0 L 2008 14:24
Файл 1CF"
2КБ
У j ime ^ MS-UserProxyftjI.LDF
19.01.2008 14:24
Файл *LDF"
3КБ
Рис. 14-3. В процессе инсталляции AD LDS устанавливается
папка %SystemRoot%Adam и создается база данных AD LDS
На следующем занятии вы будете работать с этими файлами в процессе
настройки AD LDS.
Занятие 1
Установка AD LDS 728
П р и у с т а н о в к е AD L D S иа машине с ядром сервера (Server Core) добав-
л я ю т с я д р у г и е ф а й л ы и папки. Я д р о сервера создает л и ш ь одну папку для
л о к а л и з а ц и и , а п р и п о л н о й установке их две. Кроме того, в полную установку
в к л ю ч е н а н а л и з а т о р схемы Active Directory (Active Directory Schema Analyzer),
к о т о р ы й не и н с т а л л и р у е т с я в я д р е сервера (рис. 14-4).
r/ldmimstraton C:Wtftdomsystem3 J •
Directory of C:WinduusfiDflfl *
M/И9/2ИИЯ
PM
т/№/?АШ1
ИЗ: 45 FN
12/11/2ИИ?
m-.y.?. fifl
VB.336 ad.winatall.exi3
12/11/2ИИ7
И4:23 fifl
4.И96 adann31r.dll
12/11/2ГМ7 Й4:ЯЗ f»M
4.210.60Я rtd,mnt«in.dit
2/\/?.т'? 04:23 fiH
13.53Я «»>1 .i»8 e he ri.i. с a t
J2/ll/2flll7 «4:23 fiH
33.44» adansdieiM.iiii
«4:23 fttt
£34,016 rtilansync .«sxe
1 2 / 1 1 s'AW?
Т2/11/2И0? 01:22 ft«
4(59.000 «ilarmninstall.exo
12/1 1/2ЙП? 04:22 fifl
t,2fii,5fi0 AilAnuis«nl.dl]
msm/?.mn Я3:45 ГА
!> «n-MS
1 z/n/zmv 04:23 fiM
1.772 m~ftDflH-li>QF 12/ii/гаи? И4:23 fin 12/11/20Й? Й4:23 Art «4:23 fttl 1.574.5Э2 MS-*dar>scJ>en.i/2lvO.Ll>F 12/11/20И? 2.130 MS -ftdanSyncConf ,WL 12/1 1/2Ш? ГШ 2.575 «S-ftdan3yncMetadaCrt.LDF 12/11/2Ш)? «4:23 fifl 2.30V.i*J6 HS-flDLDU -Display Spa с if lore .1JDF 12/ll/2tH17 04:23 ГШ 23.72V t1!>-ftZMan.Li)F 12/11/HIHJV 111:23 ПИ 37.727 Ш-1 tie tOr',Person. LCF 12/i 1/2ИО? 04:23 1Ш 3<».2U4 Use г. LDP 12/n /•;.№'* И4:2 3 ЛМ 1.344 flS-UsctrProxy.LDF 12/11/2ИИ7 04:23 flfl 2.4Й4 HU-UsorlVoxyFMil.LDP IV f i I»:( 11 .0!*;.21? h • Рис. 14-4. При установке AD LDS на машину с ядром сервера добавляются 19 файлов и лишь одна подпапка Резюме • С л у ж б ы AD L D S представляют собой облегченную версию AD DS. Роль AD L D S поддерживает все ф у н к ц и и AD DS за исключением возможностей сете- в о й о п е р а ц и о н н о й системы. Таким образом, AD LDS можно интегрировать с п р и л о ж е н и я м и и поддерживать их требования конфигурации и проверки п о д л и н н о с т и в н е б е з о п а с н ы х средах, таких как периметр сети. • Т р е б о в а н и я у с т а н о в к и AD L D S довольно просты: нужен лишь сервер Win- d o w s Server 2008. Им м о ж е т быть р я д о в о й сервер домена, независимый сервер и д а ж е к о н т р о л л е р домена, хотя на контроллерах доменов не реко- м е н д у е т с я у с т а н а в л и в а т ь другие роли. • Д л я у с т а н о в к и AD L D S следует выбрать эту роль в мастере добавления р о л е й ( A d d Roles Wizard). Процесс установки AD LDS не отличается от и н с т а л л я ц и и о с т а л ь н ы х р о л е й в Windows Server 2008. • Д л я у д а л е н и я AD L D S н у ж н о вначале удалить все экземпляры с помощью п р и л о ж е н и я П р о г р а м м ы и компоненты (Programs And Features) в панели у п р а в л е н и я , а затем удалить роль в Диспетчере сервера (Server Manager). Закрепление материала С л е д у ю щ и й вопрос м о ж н о использовать для проверки знаний, полученных на занятии 1. Этот вопрос есть и на сопроводительном компакт-диске. ПРИМЕЧАНИЕ Ответы Ответ на этот вопрос с пояснениями, почему тот или иной вариант ответа правилен или неверен, вы найдете в разделе «Ответы» в конце книги. I 7 0 6 Службы облегченного доступа к каталогам Глава 14 1. Вы работаете а д м и н и с т р а т о р о м с е р в е р а в д о м е н е c o n t o s o . c o m . Утром ваш босс дал новое задание. Вам н е о б х о д и м о к а к м о ж н о б ы с т р е й н а з н а ч и т ь машине S E R V E R 0 4 новую роль. В н а с т о я щ е е в р е м я S E R V E R 0 4 содержит пять экземпляров AD LDS. Вам н у ж н о у д а л и т ь AD L D S с этого сервера. Вы входите на S E R V E R 0 4 к а к л о к а л ь н ы й а д м и н и с т р а т о р и з а п у с к а е т е командную строку о т и м е н и а д м и н и с т р а т о р а . В ы п ы т а е т е с ь в ы п о л н и т ь команду ocsetup с п е р е к л ю ч а т е л е м /uninstall, но она не р а б о т а е т . К а к и м образом можно устранить в о з н и к ш у ю п р о б л е м у ? A. Перезагрузить сервер, з а в е р ш и т ь все з а п у щ е н н ы е п р о ц е с с ы установки, а затем вновь запустить к о м а н д у uninstall. Б. С помощью диспетчера сервера у д а л и т ь э к з е м п л я р ы и р о л ь AD LDS. B. Вначале удалить все с у щ е с т в у ю щ и е э к з е м п л я р ы AD L D S с п о м о щ ь ю п р и л о ж е н и я П р о г р а м м ы и к о м п о н е н т ы ( P r o g r a m s A n d F e a t u r e s ) на панели у п р а в л е н и я , а затем з а п у с т и т ь в к о м а н д н о й с т р о к е к о м а н д у ocsetup /uninstall. Г. С помощью команды oclist п р о в е р и т ь с и н т а к с и с р о л и , к о т о р у ю вы пы- таетесь удалить к о м а н д о й ocsetup. З а т е м з а п у с т и т ь к о м а н д у ocsetup с корректным синтаксисом. Занятие 2. Настройка и использование AD LDS Теперь, после установки AD LDS, м о ж н о х р а н и т ь д а н н ы е к а т а л о г о в д л я раз– : личных приложений. Вначале следует о з н а к о м и т ь с я с н а б о р о м и н с т р у м е н т о в AD LDS. Ознакомившись со с р е д с т в а м и у п р а в л е н и я AD L D S , м о ж н о присту- пать к созданию первых э к з е м п л я р о в AD L D S , а з а т е м о т к о н ф и г у р и р о в а т ь их безопасность. После этого м ы з а й м е м с я с о з д а н и е м р е п л и к э т и х э к з е м п л я р о в , которые можно установить в д р у г и х с и с т е м а х д л я у п р а в л е н и я р е п л и к а ц и е й , чтобы экземпляры, установленные на д р у г и х к о м п ь ю т е р а х , м о ж н о б ы л о обнов- лять посредством р е п л и к а ц и и с р а в н о п р а в н ы м и у ч а с т н и к а м и . На этом занятии мы о б с у д и м к о м б и н и р о в а н и е AD L D S с п р и л о ж е н и я - ми и интеграцию с д р у г и м и т е х н о л о г и я м и A c t i v e D i r e c t o r y в W i n d o w s Ser- ver 2008. Изучив материал этого занятия, вы сможете: / Создавать экземпляры AD LDS. S Работать с инструментами AD LDS. / Работать с разделами приложений. S Управлять репликацией между экземплярами AD LDS. Продолжительность занятия – около 30 мин. Инструменты AD LDS Для работы с AD LDS можно и с п о л ь з о в а т ь р а з л и ч н ы е и н с т р у м е н т ы , многие из которых вам знакомы, поскольку п р и м е н я ю т с я д л я а д м и н и с т р и р о в а н и я AD DS. В табл. 14-3 описаны все эти и н с т р у м е н т ы и их н а з н а ч е н и е в структуре управления службой AD LDS. Занятие 2 Настройка и использование AD LDS 7 5 Табл. 14-3. Инструменты AD LDS и AD DS Инструмент Назначение Расположение Оснастка Схема Ac- Модифицирует схему экзем- Настраиваемая ММС-осиас- tive Directory (Active пляров AD LDS. Для исполь- тка Directory Schema) зования оснастки нужно с по- мощью команды Regsrv32.exe зарегистрировать библиотеку Schmmgnt.dll Оснастка Active Конфигурирует области Программная группа Адми- Directory – сайты репликации экземпляров нистрирование (Administra- и службы (Active AD LDS и управляет ими. tive Tools) Directory Sites And Для поддержки репликации Services) объектов следует вначале обновить экземпляры AD LDS AD LDS Setup Создает экземпляры AD LDS Программная группа Адми- нистрирование (Administra- tive Tools) ADAMInstall.exe Инструмент командной стро- Папка %SystemRoot%ADAM ки для создания экземпляров AD LDS ADAMSyrtc.exe Инструмент командной стро- Папка %SystemRoot%ADAM ки для синхронизации данных леса AD DS и экземпляра AD LDS. Вначале экземпляр AD LDS следует обновить в схеме AD DS ADAMUninstall.exe Инструмент командной стро- Папка %SystemRoot%ADAM ки для удаления экземпляров AD LDS ADSchemaAnalyzer.exe Инструмент командной стро- Папка %SystemRoot%ADAM ки для копирования содер- жимого схемы из AD DS или экземпляра AD LDS в другой экземпляр AD LDS. Поддер- живает копии схем сторонних каталогов LDAP Оснастка Редакти- Интерактивно управляет Программная группа Адми- рование ADSI (ADSI содержимым AD LDS с помо– нистрирование (Administra- Edit) щью интерфейса ADSI tive Tools) Импортируют данные в экзем– Командная строка CSVDE.exe пляры AD LDS Управляет списками контроля Командная строка DSACLS.exe доступа объектов AD LDS Монтирует архивы или сним– Командная строка DSAMain.exe ки хранилища Active Directory (файлы .dit) для идентифика- ции их содержимого (см. след. стр.) I 7 0 8 Службы облегченного доступа к каталогам Глава 14 Табл. 14-3 ( продолжение) Инструмент Назначение Расположение DSDBUtil.exe Выполняет техническое Командная строка обслуживание базы данных, конфигурирует порты AD LDS и просматривает сущес- твующие экземпляры. Кроме того, создает одношаговые процедуры установки для пе- реноса экземпляров AD LDS посредством процесса уста- новки с носителя IFM (Install From Media) Dcdiag.exe Диагностика экземпляров Командная строка
