Текст книги "Настройка Active Directory. Windows Server 2008"
Автор книги: Dan Holme
Соавторы: Danielle Ruest,Nelson Ruest
Жанр:
ОС и Сети
сообщить о нарушении
Текущая страница: 68 (всего у книги 91 страниц)
AD LDS. Чтобы указать
имя экземпляра для диагнос-
тики, нужно использовать
переключатель /п :Контекст_
именования
DSMgmt.exe
Поддерживает управление
Командная строка
разделом приложений и поли-
тикой AD LDS
Просмотр событий
Аудит изменений AD LDS,
Программная группа Адми-
(Event Viewer)
а также запись старых
нистрирование (Administra-
и новых значений объектов
tive Tools)
и атрибутов
Файлы LDAP Data
Процедуры установки
Папка %SystemRoot%ADAM
Interchange Format
AD LDS могут динамически
(LDIF)
импортировать LDIF-файлы
(.ldp) во время установки
экземпляра, автоматически
конфигурируя таким образом
экземпляр
LDIFDE.exe
Импортирует данные в экзем-
Командная строка
пляры AD LDS
LDP.exe
Интерактивная модификация Командная строка
содержимого или экземпляров
AD LDS с помощью LDAP
NtdsutiLexe
Управляет экземплярами
Командная строка
AD LDS, но только в случае
установки AD DS. (Исполь-
зовать эту утилиту не реко-
мендуется. Вместо нее лучше
применяйте DSDBUtil.exe.)
RepAdmin.exe
Анализ репликации для выяв– Командная строка
ления потенциальных ошибок
Диспетчер сервера
Управляет существующими
Программная группа Адми-
(Server Manager)
экземплярами AD LDS
нистрирование (Administra-
tive Tools)
Занятие 2
Настройка и использование AD LDS 7 5
Табл. 14-3 ( окончание)
Инструмент Назначение Расположение
Система архивации Архивация и восстановление Программная группа Адми-
данных Windows экземпляров AD LDS и их нистрирование (Administra-
Server (Windows содержимого tive Tools)
Server Backup)
М н о г и е из и н с т р у м е н т о в , перечисленных в табл. 14-3, используются для
н а с т р о й к и и а д м и н и с т р и р о в а н и я служб AD LDS.
К СВЕДЕНИЮ Аудит AD LDS
Более подробную информацию об аудите экземпляров AD LDS и доменов AD DS
можно найти по адресу http://go.microsoft.com/fviilinli/7nnkId~94846.
Создание экземпляров AD LDS
Процесс у с т а н о в к и р о л и AD L D S очень похож на процесс установки AD DS.
Вначале и н с т а л л и р у ю т с я д в о и ч н ы е ф а й л ы AD LDS, а затем создаются экзем-
п л я р ы AD L D S д л я и с п о л ь з о в а н и я службы. При развертывании AD DS также
в н а ч а л е у с т а н а в л и в а ю т с я д в о и ч н ы е ф а й л ы , а затем для создания экземпля-
ра AD DS и с п о л ь з у е т с я мастер установки доменных служб Active Directory.
П о э т о м у м н о г и е и н с т р у м е н т ы у п р а в л е н и я в AD LDS аналогичны средствам
у п р а в л е н и я A D DS.
П о д г о т о в к а к с о з д а н и ю э к з е м п л я р а AD LDS
Д л я с о з д а н и я э к з е м п л я р о в AD L D S используется Мастер установки служб
AD L D S (Active D i r e c t o r y Lightweight Directory Services Setup Wizard). Од-
н а к о перед с о з д а н и е м э к з е м п л я р а н у ж н о подготовить несколько элементов,
в к л ю ч а я с л е д у ю щ и е .
• Д и с к д а н н ы х , с о з д а н н ы й на сервере. Поскольку сервер будет управлять
х р а н и л и щ а м и каталогов, поместите эти хранилища на диск отдельно от
диска с о п е р а ц и о н н о й системой.
• И м я , к о т о р ы м будет назван создаваемый экземпляр. Используйте для эк-
з е м п л я р о в п о н я т н ы е имена, как, например, имя приложения, которое будет
и н т е г р и р о в а н о в экземпляр: Это и м я будет служить для идентификации
э к з е м п л я р а на л о к а л ь н о м компьютере, а также для именования файлов,
с о с т а в л я ю щ и х э к з е м п л я р и службу, которая поддерживает его.
• Порты, которые будут использоваться для связи с экземпляром. Для комму-
никаций службы AD L D S и AD DS задействуют одни и те же порты: порт по
у м о л ч а н и ю L D A P (389) и L D A P через Secure Sockets Layer (SSL) или пор-
ты Secure L D A P (636). В AD DS используются два дополнительных порта:
порт 3268, к о т о р ы й применяет L D A P для доступа к глобальному каталогу,
и порт 3269, к о т о р ы й использует Secure LDAP для доступа к глобальному
каталогу. П о с к о л ь к у службы AD LDS и AD DS используют одни и те же
порты, эти р о л и также не рекомендуется устанавливать на одном сервере.
О д н а к о если мастер определит, что порты 389 и 636 уже используются,
I 7 1 0
Службы облегченного доступа к каталогам
Глава 14
он предложит номера 50 ООО и 50 001 д л я к а ж д о г о порта, а затем задействует
другие порты в диапазоне 50 000 д л я д о п о л н и т е л ь н ы х э к з е м п л я р о в .
Контрольные вопросы
1. Какие порты используются для работы с экземплярами AD LDS?
2. Чем порты в экземпляре AD LDS отличаются от портов, используемых служ-
бам! AD DS?
Ответы на контрольные вопросы
1. Экземпляр AD LDS может использовать стандартный LDAP-порт 389 или
порт LDAP через SSL (Secure LDAP) 636. Кроме того, службы AD LDS могут
использовать любой порт с номером больше 1025. Тем не менее рекоменду-
ется применять порты в диапазоне 50 000.
2. Службы AD DS и AD LDS могут использовать порты 389 ( L D A P ) и 636
(Secure LDAP). Кроме того, для связи со службой глобального каталога
служба AD DS задействует порты 3268 ( L D A P ) и 3269 (Secure LDAP). Ре-,
комендуется резервировать порты 389 и 636 для службы AD DS.
ВНИМАНИЕ! Использование портов 389 и 636
При создании экземпляров AD LDS в домене не занимайте порты 389 и 636, даже
если первый экземпляр вы создаете не на контроллере домена. Служба AD DS ис-
пользует эти порты по умолчанию. По этой причине некоторые консоли, например
оснастка Схема Active Directory (Active Directory Schema), не привязываются к
локальным экземплярам, поскольку по умолчанию они непосредственно привяза-
ны к AD DS. Для экземпляров AD LDS рекомендуется всегда использовать порты
с номерами в диапазоне от 50 000.
СОВЕТ К ЭКЗАМЕНУ
Запомните порты по умолчанию, поскольку они включены в темы сертификацион-
ного экзамена, хотя в производственных средах их не следует применять.
• И м я раздела п р и л о ж е н и й A c t i v e D i r e c t o r y , к о т о р ы й б у д е т п р и м е н я т ь с я
для экземпляра. Д л я с о з д а н и я р а з д е л а н у ж н о и с п о л ь з о в а т ь отличитель-
ное имя D N (Distinguished N a m e ) , как, н а п р и м е р , и м я C N – A p p P a r t i t i o n l ,
D C = C o n t o s o , D C = c o m . В з а в и с и м о с т и от н а з н а ч е н и я э к з е м п л я р а раздел
приложений может и не потребоваться. Р а з д е л ы п р и л о ж е н и й у п р а в л я ю т
областью р е п л и к а ц и и х р а н и л и щ а к а т а л о г о в . Н а п р и м е р , п р и интеграции
данных DNS в каталог с л у ж б а AD DS с о з д а е т р а з д е л п р и л о ж е н и й , что-
бы обеспечить доступ к д а н н ы м D N S д л я с о о т в е т с т в у ю щ и х контроллеров
домеиа. Разделы п р и л о ж е н и й A D L D S м о ж н о с о з д а в а т ь т р е м я способа-
ми: при создании экземпляра, п р и у с т а н о в к е п р и л о ж е н и я , которое будет
привязано к экземпляру, и л и в р у ч н у ю с п о м о щ ь ю у т и л и т ы LDP.exe. Если
приложение не создает разделы п р и л о ж е н и й а в т о м а т и ч е с к и , создайте их
с помощью мастера.
Занятие 2
Настройка и использование AD LDS 7 5
• Учетная з а п и с ь д л я запуска экземпляра. М о ж н о использовать учетную за-
пись С е т е в а я с л у ж б а (Network Service), однако в случае запуска множества
э к з е м п л я р о в л у ч ш е всего применять д л я каждого экземпляра именованные
у ч е т н ы е з а п и с и служб. Д а л е е перечислены требования и инструкции по
с о з д а н и ю у ч е т н ы х записей служб.
• С о з д а й т е у ч е т н у ю запись домена, если вы работаете в домене. В про-
т и в н о м случае используйте локальную учетную запись (например, в пе-
р и м е т р е сети).
• Н а з н а ч ь т е д л я учетной з а п и с и и м я экземпляра AD LDS.
• Н а з н а ч ь т е д л я у ч е т н о й записи сложный пароль.
• В с в о й с т в а х у ч е т н о й з а п и с и задайте параметр Запретить смену пароля
п о л ь з о в а т е л е м ( U s e r C a n n o t Change Password).
• В с в о й с т в а х учетной з а п и с и задайте параметр Срок действия пароля
не о г р а н и ч е н ( P a s s w o r d Never Expires), чтобы политика паролей не
п р е п я т с т в о в а л а работе службы.
• В л о к а л ь н о й п о л и т и к е безопасности (Local Security Policy) каждого
к о м п ь ю т е р а , содержащего данный экземпляр, назначьте право пользо-
в а т е л я В х о д в качестве с л у ж б ы (Log On As A Service).
• В л о к а л ь н о й п о л и т и к е безопасности каждого компьютера, содержащего
д а н н ы й э к з е м п л я р , назначьте право пользователя Создание аудитов
б е з о п а с н о с т и ( G e n e r a t e Security Audits).
• Группа, с о д е р ж а щ а я эти учетные записи пользователей, будет админист-
р и р о в а т ь д а н н ы й э к з е м п л я р . Д л я назначения разрешений доступа лучше
всего использовать группы, даже если группа содержит всего одну учетную
запись. Д л я в н е с е н и я и з м е н е н и я можно добавлять или модифицировать
членов группы, не д о б а в л я я и не модифицируя разрешения доступа. Если
| вы работаете в домене, создайте доменную группу, иначе создайте локаль-
ную. Назначьте д л я группы такое же имя, как у экземпляра. Так будет проще
отследить н а з н а ч е н и е группы. Добавьте в эту группу свою учетную запись,
а т а к ж е у ч е т н у ю з а п и с ь службы, созданную ранее.
I • Все д о п о л н и т е л ь н ы е ф а й л ы L D I F д л я экземпляра. Поместите эти фай-
лы в п а п к у % S y s t e m R o o t % A D A M . Эти ф а й л ы будут импортированы во
в р е м я с о з д а н и я экзе м пл я р а . При импорте файлов L D I F схема экземпляра
р а с ш и р я е т с я д л я п о д д е р ж к и дополнительных операций. Например, для
с и н х р о н и з а ц и и с л у ж б AD DS со службами AD LDS импортируйте файл
MSAdamSyncMetadata.ldf. Если для приложения требуются настраиваемые
м о д и ф и к а ц и и схемы, создайте заранее ф а й л L D I F и импортируйте его при
i создании экземпляра. Отметим, что ф а й л ы L D I F всегда можно импортиро-
вать и после создания экземпляра. В табл. 14-4 перечислены файлы LDIF
по умолчанию.
З а п о м н и т е эти значения, поскольку они понадобятся для создания экзем-
пляра и у п р а в л е н и я им.
I 712 Службы облегченного доступа к каталогам
Глава 14
Табл. 14-4. Файлы LDIF служб AD LDS по умолчанию
Имя файла Назначение
MS-ADAM-Upgrade-l.Idf Для обновления схемы AD LDS до самой новой
версии
MS-adamschemaw2k3.1df Предварительный реквизит для синхронизации эк-
земпляра с Active Directory в Windows Server 2003
MS-adamschemaw2k8.1df Предварительный реквизит для синхронизации эк-
земпляра с Active Directory в Windows Server 2008
MS-AdamSyncMetadata.ldf Для синхронизации данных леса AD DS и экземп-
ляра AD LDS через ADAMSync
MS-ADLDS-DisplaySpecifiers.ldf Для операций оснастки Active Directory – сайты
и службы (Active Directory Sites And Services)
MS-AZMan.ldf Для поддержки диспетчера авторизации Windows
(Windows Authorization Manager)
MS-lnetOrgPerson.ldf Для создания пользовательских классов
и атрибутов inetOrgPerson
MS-User.ldf Для создания пользовательских классов
и атрибутов
MS-UserProxy.ldf Для создания простого класса userProxy
MS-UserProxyFull.ldf Для создания полного класса userProxy.. Вначале
следует импортировать файл MS-UserProxy.ldf
После подготовки этих элементов м о ж н о п р и с т у п а т ь к с о з д а н и ю экзем-
пляра. Используйте учетную з а п и с ь л о к а л ь н о г о а д м и н и с т р а т о р а . Е с т ь два
способа создания экземпляров: при п е р в о м п р и м е н я е т с я М а с т е р у с т а н о в к и
служб AD LDS (Active Directory L i g h t w e i g h t Services S e t u p W i z a r d ) , а при
втором – командная строка. В практических у п р а ж н е н и я х этого з а н я т и я вы
создадите экземпляр с помощью мастера, а в с л е д у ю щ е м п о д р а з д е л е описано
применение командной строки.
Автоматизированное создание э к з е м п л я р а AD L D S
Экземпляры AD LDS можно также создавать а в т о м а т и з и р о в а н о . Н а п р и м е р ,
для создания экземпляров на к о м п ь ю т е р е с у с т а н о в л е н н ы м я д р о м сервера
(Server Core) нужно использовать а в т о м а т и з и р о в а н н ы й процесс, п о с к о л ь к у
отсутствует графический интерфейс для запуска мастера. Автоматизированным
методом можно также создавать экземпляры д л я п р и л о ж е н и й , распределенных
на множестве серверов. Перед этим следует п о д г о т о в и т ь п р е д в а р и т е л ь н ы е
реквизиты, как описано в подразделе «Подготовка к с о з д а н и ю э к з е м п л я р а AD
LDS» ранее на этом занятии.
В папке %SystemRoot%ADAM есть д о п о л н и т е л ь н а я к о м а н д а Adamlnstall.
ехе, с помощью которой можно в ы п о л н я т ь а в т о м а т и з и р о в а н н у ю у с т а н о в к у
экземпляров. Как и в случае с командой Dcpromo.exe, д л я создания э к з е м п л я р а
этой команде необходим текстовый ф а й л с в в о д н ы м и п а р а м е т р а м и . Коман-
ду Adamlnstall.exe можно запускать как на компьютере с п о л н о й установкой
Windows Server 2008, так и на машине с ядром сервера (Server Core). Начнем
с создания текстового файла.
Занятие 2
Настройка и использование AD LDS 7 5
1. О т к р о й т е п р о г р а м м у Б л о к н о т (Notepad).
2. Введите текст ф а й л а ответов. Включите в него следующие элементы:
[ADAMInstall]
InstallType=Unique
1г51агсеНат=Имя_экземпляра
LocalLOAPPortToListenOn -Номвр_порта
LocalSSLPortToListenOn=WoMep_nopra
NewApplicationPartitionToCreate=0MH_pa3,^a
DataFilesPath=D:ADAMInstances�M3_3rae(mrapaData
LogFilesPath=D: AOAMInstances�M3_3rae(W73paData
5егч1Секссоип1=Имя_машины_в_доменеИмя_учетной_записи
5вг^1свРаззчюгй=Г1ароль
Мш<М5Хга10г=Имя_машины_в_д0менеИмя_группы
ImportLDIFFiles="L0IFFilename1" "LDIFFilename2" "L0IFFilename3"
5оигсеивегНате=Имя_машины_в_доменеИмя_учетной_записи
SourcePassviori=naponb
Замените все имена, выделенные курсивом, соответствующими значениями.
И д е н т и ф и к а ц и я требуемых значений описана в подразделе «Подготовка к
с о з д а н и ю э к з е м п л я р а AD L D S » ранее на этом занятии. Используйте этот
ф а й л о с т о р о ж н о , поскольку он содержит пароли, которые отображаются
о т к р ы т ы м текстом. Все эти п а р о л и удаляются сразу же после применения
ф а й л а и н с т р у м е н т о м с о з д а н и я экземпляра AD LDS.
3. С о х р а н и т е с о з д а н н ы й ф а й л в папке %SystemRoot%ADAM и присвойте
ему такое же им я, к ак у создаваемого экземпляра.
4. З а к р о й т е Б л о к н о т ( N o t e p a d ) .
К СВЕДЕНИЮ Создание экземпляра AD LDS
Более подробную информацию о создании экземпляров AD LDS можно найти по
адресу http://technet2.microsoft.com/windomserver2008/en/library/141900a7-445c-4bd3-
9ce3-5//53d70d10a1033.mspx?mfr=true.
Теперь вы г о т о в ы п р и с т у п и т ь к созданию экземпляра. Помните, что для
этого вам н у ж н ы п р а в а доступа локального администратора.
1. О т к р о й т е к о м а н д н у ю строку от имени администратора.
2. В окне к о м а н д н о й с т р о к и перейдите в папку %SystemRoot%ADAM. Вве-
дите у к а з а н н у ю н и ж е команду и нажмите клавишу Enter.
cd windowsadam
3. Введите с л е д у ю щ у ю команду (если и м я файла содержит пробелы, заклю-
чите его в к а в ы ч к и ) :
adaminstall /answer:filename.txt
4. З а к р о й т е о к н о к о м а н д н о й строки.
Ваш э к з е м п л я р готов. Вы можете открыть конечную папку и просмотреть
созданные ф а й л ы .
24 Зак. 3399
I 7 1 4 Службы облегченного доступа к каталогам
Глава 14
Миграция экземпляра LDAP в AD LDS
В AD LDS также можно мигрировать с у щ е с т в у ю щ и е к а т а л о г и L D A P и о б н о в -
лять экземпляры A D A M д о A D L D S . Д л я этого с о д е р ж и м о е с т а р ы х э к з е м п л я -
ров импортируется в новый э к з е м п л я р AD L D S .
Импорт данных в ы п о л н я е т с я при с о з д а н и и э к з е м п л я р а и л и п о с л е его со-
здания. В обоих процессах методы о д и н а к о в ы , п о с к о л ь к у в о б о и х с л у ч а я х
применяются ф а й л ы LDIF, или ф а й л ы с р а с ш и р е н и е м .ldf. Е с л и д а н н ы е и м п о р -
тируются после создания экземпляра, н у ж н о и с п о л ь з о в а т ь к о м а н д у LDIFDE.
ехе. Помните, что перед импортом д а н н ы е в н а ч а л е с л е д у е т э к с п о р т и р о в а т ь из
предыдущего экземпляра и поместить в ф а й л ф о р м а т а L D I F .
Содержимое старых э к з е м п л я р о в м о ж н о э к с п о р т и р о в а т ь с п о м о щ ь ю к о -
манды LDIFDE. Д л я выполнения этих о п е р а ц и й н е о б х о д и м ы п р а в а л о к а л ь н о г о
администратора, а также право а д м и н и с т р и р о в а н и я э к з е м п л я р а . К р о м е того,
командную строку требуется запустить от и м е н и а д м и н и с т р а т о р а . И с п о л ь з у й т е
следующую командную структуру:
Idifde -f тя_файла -s имя_сервераномер_порта -m -b имя_пользоватвля имя_домена пароль
Укажите в этой команде имя создаваемого ф а й л а ( з а к л ю ч и т е его в к а в ы ч к и ,
если оно содержит пробелы), имя сервера, с о д е р ж а щ е г о э к з е м п л я р , и м я п о р т а
для коммуникаций с экземпляром и у ч е т н ы е д а н н ы е а д м и н и с т р а т о р а э к з е м п -
ляра (имя пользователя, и м я домена и п а р о л ь ) .
Д л я импорта данных в новый э к з е м п л я р и с п о л ь з у е т с я к о м а н д а :
Idifde -i -f иня_файла -s имя_сервера:номер_порта -m -b имя_пользователя имя_домена пароль
Отметим, что д л я импорта п а р о л е й и з с т а р о г о э к з е м п л я р а н е о б х о д и м о
использовать переключатель – к Этот п е р е к л ю ч а т е л ь ш и ф р у е т все п а р о л и ,
применяя шифрование SASL (Simple A u t h e n t i c a t i o n And S e c u r i t y L a y e r ) .
Контрольные вопросы
1. Какими способами можно создавать разделы приложений для экземпляров
AD LDS?
2. В чем назначение файлов LDIF, включенных в службы AD LDS?
3. Как можно отладить процесс создания экземпляра AD LDS?
Ответы на контрольные вопросы
1. Существует три способа создания разделов приложений для экземпляров
AD LDS:
• в процессе создания экземпляра AD LDS с помощью мастера установки
служб AD LDS;
• в процессе установки приложения, которое будет привязано к экземп-
ляру AD LDS;
• вручную с помощью инструмента LDP.exe.
2. Файлы LDIF, включенные в AD LDS, служат различным целям, но обычно
они применяются для расширения схемы экземпляра ради поддержки до-
полнительной функциональности.
Занятие 2 Настройка и использование AD LDS 7 5
3. В процессе создания э к з е м п л я р а службы AD LDS создают файлы журналов.
Эти ф а й л ы A D A M S e t u p . l o g и ADAMSetup_loader.log локализованы в папке
% S y s t e m R o o t % D e b u g . Их можно просматривать и устранять ошибки в про-
цессе создания экземпляра.
К СВЕДЕНИЮ Утилита LDIFDE
Б о л е е п о д р о б н у ю и н ф о р м а ц и ю о команде LDIFDE.exe можно найти по адресу
http://technet2.microsoft.com/windowsserver/en/library/32872283-3722-4d9b-925a-
82c516a1ca141033.mspx?mfr-true. И н ф о р м а ц и я о команде LDIFDE также приведена
в главе 3.
Работа с экземплярами AD LDS
В т а б л . 1 4 – 3 п е р е ч и с л е н ы в с е и н с т р у м е н т ы , к о т о р ы е м о ж н о и с п о л ь з о в а т ь
д л я р а б о т ы с э к з е м п л я р а м и A D L D S . С а м ы е у д о б н ы е и з н и х – графические
и н с т р у м е н т ы Р е д а к т и р о в а н и е A D S I ( A D S I E d i t ) , LDP.exe, Схема Active Direc-
t o r y ( A c t i v e D i r e c t o r y S c h e m a ) и A c t i v e D i r e c t o r y – с а й т ы и службы (Active
D i r e c t o r y Sites A n d S e r v i c e s ) . Э т и и н с т р у м е н т ы у п р а в л я ю т просмотром и редак-
т и р о в а н и е м с о д е р ж и м о г о э к з е м п л я р о в . И н с т р у м е н т ы командной строки удобно
и с п о л ь з о в а т ь д л я а в т о м а т и з а ц и и п р о ц е с с о в и в в о д а д а н н ы х д л я экземпляров
A D L D S .
Работа с экземплярами с помощью ADSI
Д л я а д м и н и с т р и р о в а н и я э к з е м п л я р о в A D L D S часто используется оснастка
Р е д а к т и р о в а н и е A D S I ( A D S I E d i t ) . Д л я р а б о т ы с э к з е м п л я р о м к а ж д ы й раз
н е о б х о д и м о п о д к л ю ч и т ь с я и п р и в я з а т ь с я к э т о м у экземпляру. Помните, что для
в ы п о л н е н и я а д м и н и с т р а т и в н ы х о п е р а ц и й с э к з е м п л я р а м и A D L D S требуются
п р а в а а д м и н и с т р а т о р а э к з е м п л я р а . И с п о л ь з у й т е с л е д у ю щ у ю процедуру.
1. В п р о г р а м м н о й г р у п п е А д м и н и с т р и р о в а н и е (Administrative Tools) запустите
о с н а с т к у Р е д а к т и р о в а н и е A D S I ( A D S I E d i t ) .
2 . В п а н е л и д е р е в а щ е л к н и т е п р а в о й к н о п к о й м ы ш и у з е л Редактирование
A D S I ( A D S I E d i t ) и п р и м е н и т е к о м а н д у П о д к л ю ч е н и е к ( C o n n e c t То).
О т к р о е т с я д и а л о г о в о е о к н о П а р а м е т р ы п о д к л ю ч е н и я (Connection Settings).
В в е д и т е с л е д у ю щ и е з н а ч е н и я ( р и с . 14-5).
• И м я ( N a m e ) – у к а ж и т е и м я экземпляра, к которому хотите подключиться.
• Т о ч к а п о д к л ю ч е н и я ( C o n n e c t i o n P o i n t ) – щ е л к н и т е о п ц и ю Выберите
и л и в в е д и т е р а з л и ч а е м о е и м я и л и к о н т е к с т и м е н о в а н и я (Select O r Type
A D i s t i n g u i s h e d N a m e Or N a m i n g C o n t e x t ) и введите различаемое имя
э к з е м п л я р а .
• К о м п ь ю т е р ( C o m p u t e r ) – щ е л к н и т е о п ц и ю Выберите или введите домен
и л и с е р в е р ( S e l e c t Or Type A D o m a i n Or Server) и введите имя сервера
с н о м е р о м п о р т а , н а п р и м е р S E R V E R 0 3 : 5 0 0 0 0 .
I 716
Службы облегченного доступа к каталогам
Глава 14
• Если вы задействуете порт Secure LDAP, в секции Компьютер (Computer)
установите также флажок Использовать ш и ф р о в а н и е на базе SSL ( U s e
SSL-Based Encryption).
| Instanced
– Точке подклочмш – – – • – – – – -
(• Вв)6<{чте введите ра)ш.чае«ж имя или контекст иненованмд;
I CN-IrtslanceOl,DC -Contoso ,ОС -com 3
<~ Вьберите нвестпьй контекст инемоеанмя:
|к»1текст ннеиое«*м по умолчанию ' ~
KowwoTep – – –
<* Бызерите нли введите домен и™ сервер: (сервер | домен [lhoct])
15еия03:М0Ю 3
По уно/мв»ю (аомея и/wсервер,накогорьйоыполнен вкод)
Г иакчъхяатъ шифрование на баэе SSL
Допоянительнр... | | OK j Отисна j
Рис. 14-5. Подключение к экземпляру AD LDS в оснастке Редактирование ADSI
3. Щелкните ОК.
Будет установлено подключение к экземпляру. Р а з в е р н и т е все элементы,
чтобы просмотреть содержимое экземпляра. И з у ч и т е в к о н т е к с т н о м меню опе-
рации, которые можно выполнять в экземплярах AD L D S с п о м о щ ь ю оснастки
Редактирование ADSI (ADSI Edit).
После привязки к экземпляру можно создавать в нем о б ъ е к т ы и управлять
ими. Используйте следующую процедуру.
1. Щелкните правой кнопкой мыши различаемое и м я р а з д е л а приложений,
примените команду Создать (New) и выберите э л е м е н т О б ъ е к т (Object).
Откроется диалоговое окно, в котором будут п е р е ч и с л е н ы все доступные
классы объектов в схеме экземпляра.
2. Начните с создания группы пользователей. Н а й д и т е в списке объект Группа
(Group), выберите его и щелкните кнопку Д а л е е ( N e x t ) .
3. Введите имя группы, например Пользователи AD LDS, а затем щелкните
Далее (Next).
4. На следующей странице можете щелкнуть кнопку Д о п о л н и т е л ь н ы е атрибу-
ты (More Attributes), чтобы назначить объекту д о п о л н и т е л ь н ы е значения.
Например, вы можете указать описание группы. В р а с к р ы в а ю щ е м с я списке
Выберите свойство для просмотра (Select A P r o p e r t y То View) выберите
свойство adminDescription. Введите о п и с а н и е в п о л е И з м е н и т ь атрибут
(Edit Attribute), например Группа пользователей AD LDS, щелкните кнопку
Установить (Set), а затем щелкните О К .
5. Щелкните кнопку Готово (Finish), чтобы создать группу. По умолчанию
создается группа безопасности.
Занятие 2
Настройка и использование AD LDS 7 5 7 1 7
6. Теперь создайте пользователя. Щ е л к н и т е правой кнопкой мыши различае-
мое и м я раздела п р и л о ж е н и й , примените команду Создать (New) и щелк-
ните элемент О б ъ е к т ( O b j e c t ) .
7. Н а й д и т е и в ы б е р и т е объект Пользователь (User), а затем щелкните кнопку
Д а л е е ( N e x t ) .
8. Введите и м я пользователя, а затем щелкните Далее (Next).
9. Вы вновь м о ж е т е щелкнуть к н о п к у Дополнительные атрибуты (More Attri-
b u t e s ) , ч т о б ы н а з н а ч и т ь новому объекту дополнительные значения.
10. Щ е л к н и т е к н о п к у Готово (Finish), чтобы создать пользователя.
11. Теперь добавьте этого п о л ь з о в а т е л я в группу. Отыщите группу в панели
сведений, щ е л к н и т е ее правой кнопкой м ы ш и и примените команду Свойс-
тва ( P r o p e r t i e s ) .
12. В д и а л о г о в о м окне Свойства (Properties) найдите свойство member и щел-
к н и т е к н о п к у И з м е н и т ь ( E d i t ) .
13. В д и а л о г о в о м о к н е Р е д а к т о р многозначных строк (Multi-Valued Distin-
guished N a m e W i t h Security Principal Editor) щелкните Добавить различа-
емое и м я D N ( A d d D N ) .
14. В д и а л о г о в о м о к н е Д о б а в л е н и е различаемого имени (Add Distinguished
N a m e ) в в е д и т е р а з л и ч а е м о е и м я созданного пользователя. Например, вве-
дите и м я сп =Джон Kewi,cn=Instance01,dc=contoso,dc=com. Щелкните ОК.
П о л ь з о в а т е л ь будет добавлен в список членов группы.
15. Щ е л к н и т е О К , чтобы з а в е р ш и т ь операцию.
Е с л и вновь открыть свойства группы, пользователь будет перечислен среди
ее членов. Д о б а в л я т ь пользователей и группы в экземпляр таким методом до-
вольно утомительно, но так можно вносить отдельные модификации. В идеале
н у ж н о создавать с п и с к и пользователей и групп, а затем добавлять их в паке-
тах с п о м о щ ь ю к о м а н д CSVDE.exe или LDIFDE.exe. В главе 3 рассказано, как
а в т о м а т и з и р о в а т ь создание пользователей, а в главе 4 описана автоматизация
создания групп.
Работа с э к з е м п л я р а м и с п о м о щ ь ю утилиты LDP.exe
А н а л о г и ч н ы м о б р а з о м с п о м о щ ь ю к о н с о л и LDP.exe можно просматривать
и р е д а к т и р о в а т ь с о д е р ж и м о е экземпляров AD LDS. Как и в случае с инстру-
ментом Р е д а к т и р о в а н и е A D S I ( A D S I Edit), вначале следует подключиться
и п р и в я з а т ь с я к э к з е м п л я р у . Д л я в ы п о л н е н и я административных операций
в э к з е м п л я р е н у ж н о б ы т ь администратором этого экземпляра. Используйте
с л е д у ю щ у ю процедуру.
1. З а п у с т и т е у т и л и т у LDP.exe в командной строке или Диспетчере сервера
(Server M a n a g e r ) в секции Дополнительные инструменты (Advanced Tools)
р о л и С л у ж б ы Active Directory облегченного доступа к каталогам (Active
Dire ctory Lightweight Directory Service).
2. В м е н ю П о д к л ю ч е н и е ( C o n n e c t ) щелкните команду Подключить (Con-
nection).
I 7 1 8 Службы облегченного доступа к каталогам
Глава 14
3. Введите имя сервера, к которому хотите подключиться, и у к а ж и т е номер
используемого порта. Если вы задействуете порт Secure LDAP, установите
флажок SSL. Щелкните ОК.
4. В меню Подключение (Connect) щелкните к о м а н д у П р и в я з к а (Bind).
5. Если ваша учетная запись располагает н е о б х о д и м ы м и р а з р е ш е н и я м и до-
ступа, выберите опцию П р и в я з а т ь как т е к у щ е г о п о л ь з о в а т е л я (Bind As
Currently Logged On User). В противном случае выберите о п ц и ю Привязать
с учетными данными (Bind W i t h Credentials) и в в е д и т е соответствующие
учетные данные. Щелкните ОК.
6. В меню Вид (View) щелкните параметр Д е р е в о (Tree), ч т о б ы заполнить
панель дерева.
7. В диалоговом окне Базовое расширяемое и м я ( D N ) ( B a s e D N ) щ е л к н и т е
раскрывающийся список, чтобы просмотреть р а з л и ч а е м ы е имена, и выбе-
рите имя экземпляра. Щелкните ОК.
На этом этапе панель дерева можно использовать д л я р а б о т ы в н у т р и эк-
земпляра. Разверните различные меню, чтобы просмотреть д о с т у п н ы е опе-
рации, которые можно выполнять с п о м о щ ь ю у т и л и т ы LDP.exe, а затем
закройте окно LDP.exe.
К СВЕДЕНИЮ Использование утилиты LDP.exe для работы с экземплярами AD LDS
Более подробную информацию об утилите LDP.exe можно найти по адресу http://
technet2.microsoft.com/windowsserver2008/en/library/141900a7-445c-4bd3-9ce3-
5ff53d70d10a 1033.mspx.
Работа с экземплярами с помощью схемы Active Directory
С помощью оснастки Схема Active Directory (Active D i r e c t o r y Schema) м о ж н о
создавать настраиваемые консоли для у п р а в л е н и я с х е м а м и э к з е м п л я р о в AD
LDS. Помните, что для использования этой о с н а с т к и в н а ч а л е н е о б х о д и м о
зарегистрировать ее на сервере. Откройте к о м а н д н у ю с т р о к у от и м е н и адми-
нистратора и введите следующую команду:
regsvr32 schmmgmt.dll
Теперь можно загрузить оснастку Схема и просмотреть схему экземпляров.
Используйте учетные данные администратора э к з е м п л я р а .
1. Щелкните меню Пуск (Start) и в окно поиска введите ттс. Н а ж м и т е кла-
вишу Enter.
2. В меню Консоль (File) пустой консоли М М С щ е л к н и т е команду Добавить
или удалить оснастку ( A d d / R e m o v e Snap-in).
3. В списке Доступные оснастки (Available Snap-ins) л о к а л и з у й т е оснастку
Схема Active Directory (Active Directory Schema), щ е л к н и т е кнопку Доба-
вить (Add), а затем щелкните О К .
4. Сохраните консоль под соответствующим именем в необходимом место-
расположении.
'Занятие 2 • пастраикаи-использованиёАо LDS 7 1 9
5. Оснастка Схема по у м о л ч а н и ю привязывается к каталогу доменных служб
Active Directory. Ч т о б ы п р и в я з а т ь ее к экземпляру AD LDS, в панели де-
рева щ е л к н и т е у з е л С х е м а Active D i r e c t o r y (Active Directory Schema)
и примените команду Сменить контроллер домена Active Directory (Change
Active D i r e c t o r y D o m a i n Controller).
6. В диалоговом окне Смена сервера каталогов (Change Directory Server) выбе-
р и т е о п ц и ю Этот к о н т р о л л е р домена или экземпляр AD LDS (This Domain
