3-2 Основи планування та адміністрування служб доступу до інформаційних ресурсів / ЛБ / Книга Active directory
.pdfI 6 9 8 |
Службы облегченного доступа к каталогам |
|
|
Глава 14 |
||
Табл. 14-2 |
|
(окончание) |
|
|
|
|
Компонент |
|
ADLDS AD DS |
||||
|
|
|
|
|
|
|
Поддержка безопасности на уровне объектов и делегирования |
121 |
121 |
|
|||
административных задач |
|
|
|
|
||
Использование репликации с равноправными участниками |
121 |
121 |
|
|||
для поддержки целостности данных |
|
|
|
|
||
Поддержка расширений схемы и разделов каталога приложений |
0 |
121 |
|
|||
Возможность установки реплики с носителя |
121 |
121 |
|
|||
Возможность включения принципалов безопасности для предоставле- |
|
• |
0 |
|
||
ния доступа к сети Windows Server |
|
|
|
|
||
Возможность включения принципалов безопасности для предоставле- |
0 |
121 |
|
|||
ния доступа к приложениям и веб-службам |
|
|
|
|
||
Интеграция со средствами архивации Windows Server 2008 |
121 |
0 |
|
|||
Как указано в табл. 14-2, между AD L D S и AD DS есть и отличия, и сходс- |
||||||
тво. Например, Exchange Server должен и н т е г р и р о в а т ь с я с AD |
DS, а |
не ис- |
||||
пользовать AD LDS, поскольку Exchange Server необходим доступ к службе глобального каталога. Без нее пользователи электронной почты не смогут быть получателями. Поскольку AD LDS не поддерживает г л о б а л ь н ы й каталог, Exchange Server не может использовать эту службу. Однако приложению Exchange Server необходим доступ к данным каталогов в к а ж д о м сайте домена или леса. Оно также использует позиционирование к о н т р о л л е р о в доменов, чтобы каждый пользователь мог отправлять и получать э л е к т р о н н у ю почту.
Однако AD LDS обеспечивает практически такую же функциональность, как и AD DS. Например, вы можете создать э к з е м п л я р ы с репликами, распределенные в различных местах сети аналогично р а з м е щ е н и ю контроллеров доменов, а затем использовать репликацию с р а в н о п р а в н ы м и участниками для обеспечения целостности данных. Короче говоря, AD L D S — это облегченная, портативная и более гибкая версия службы каталогов AD DS.
Сценарии AD LDS
Далее мы займемся обсуждением сценариев, в которых может понадобиться использовать технологию AD LDS. Просмотрите эти сценарии, когда будете делать выбор между AD LDS и AD DS.
•Когда приложению необходимо использовать каталог LDAP, вместо AD DS
попробуйте задействовать AD LDS. Э к з е м п л я р а м и AD LDS часто можно управлять на одном сервере как приложениями, обеспечивая высокоскоростной и локальный доступ к данным каталога. Таким образом уменьшается объем трафика репликации, поскольку все требуемые данные локальны. Кроме того, вы можете связать экземпляр AD L D S с приложением при развертывании. Например, если у вас есть приложение для «работы с кадрами, которое использует настраиваемые п о л и т и к и для предоставления пользователям доступа лишь к конкретному содержимому в случае, когда объект пользователя содержит набор конкретных атрибутов, эти атрибуты и политики можно хранить в AD LDS.
Занятие 1 |
Установка AD LDS |
ggg |
•Использование AD LDS для обеспечения данных, связанных с учетными записями в AD DS, для поддержки которых требуется расширение схемы AD DS. Применение AD LDS в таком случае обеспечивает дополнительные данные пользователей без необходимости в модификации схемы AD DS. Например, если у вас есть централизованное приложение, предоставляющее ф о т о г р а ф и ю каждого служащего в организации и связывающее эту фотографию с учетной записью AD DS пользователя, вы можете хранить фотографии в экземпляре AD LDS. Фотографии, которые централизованно хранятся в AD LDS, связываются с учетными записями пользователей в AD DS, однако эти фотографии не будут реплицироваться вместе с другими данными AD DS — ведь они хранятся в AD LDS. Таким образом, будет снижен объём трафика репликации.
•Использование экземпляра AD LDS с целью предоставления служб про-
верки подлинности для веб-приложения, например Microsoft SharePoint Portal Server в периметре сети или экстрасети. Для получения информации учетных записей пользователей экземпляр AD LDS может запрашивать внутреннюю структуру AD DS через брандмауэр и безопасно хранить его в периметре сети. Таким образом, нет необходимости в развертывании AD DS в периметре или включении контроллеров доменов из внутренней сети в периметр. Отметим, что для предоставления такого доступа также можно использовать службы федерации Active Directory (Active Directory Federation Services, AD FS). Службы AD FS описаны в главе 17.
•Консолидация различных репозиториев объектов идентификации в единое хранилище каталогов. С помощью такой службы, как Microsoft Identity
Integration Server ( M I I S ) , Microsoft Identity Lifecycle Manager (MILM) или бесплатный продукт Identity Integration Feature Pack (IIFP), можно получать данные из различных источников и консолидировать их в экземпляре AD LDS. Службы MIIS и MILM поддерживают предоставление данных из самых разных источников, например леса AD DS, базы данных SQL Server, сторонних служб LDAP и т. д. Служба IIFP представляет собой поднабор MIIS и поддерживает интеграцию данных между AD DS, AD LDS и Exchange Server. При реализации такого решения снижается нагрузка управления, поскольку используется единый источник, а данные из всех остальных репозиториев пересылаются в этот источник.
К СВЕДЕНИЮ Службы MIIS, MILM и IIFP
Более подробную информацию о службе MIIS можно иайти по адресу http://www. microsoft.com/technet/miis/evaluate/overview.mspx.
Информация о службе MILM представлена по адресу http://www.microsoft.com/ windowsserver/ilm2007/default.mspx.
Для получения информации и загрузки IIFP следует обратиться по адресу http://www.microsoft.com/downloads/details.aspx7familyid~d9143610-c04d-41c4-b7ea-
,6f56819769d5&displaylang=en.
•Обеспечение поддержки для ведомственных приложений. В некоторых случаях ведомствам может потребоваться дополнительная информация для
I 7 0 0 Службы облегченного доступа к каталогам Глава 14
идентификации, не имеющей отношения к другим ведомствам в организации. Прн интеграции этой и н ф о р м а ц и и в э к з е м п л я р е AD LDS ведомство получает к ней доступ, не в л и я я на службу каталогов целой организации, ш Обеспечение поддержки для распределенных п р и л о ж е н и й . Если приложение распределенное и ему требуется доступ к д а н н ы м в нескольких месторасположениях, можно использовать AD LDS, поскольку службы облегченного доступа к каталогам обеспечивают те же возможности репликации
с равноправными участниками, что и AD DS.
•Миграция старых приложений каталога в AD LDS . Если организация применяет старые приложения, использующие каталог LDAP, можно мигрировать данные в экземпляр AD L D S и стандартизировать их в технологиях каталогов Active Directory.
• Обеспечение поддержки д л я л о к а л ь н ы х разработок . Поскольку AD LDS можно установить на клиентских станциях, разработчикам можно предоставить портативные каталоги из одного экземпляра, с помощью которых они смогут создавать настраиваемые п р и л о ж е н и я , требующие доступ для идентификации данных. Разработка с п о м о щ ь ю AD L D S намного проще, чем с помощью AD DS.
•Кроме того, при оценке коммерческих п р и л о ж е н и й каталогов всегда следует отдавать предпочтение приложению, и с п о л ь з у ю щ е м у AD LDS или ADAM, и не применять приложения, м о д и ф и ц и р у ю щ и е схему AD DS. Разверты-
вание коммерческих п р и л о ж е н и й с п о р т а т и в н ы м и каталогами намного проще и меньше влияет на структуру сети, чем развертывание приложений, которые необратимо модифицируют схему каталогов N O S .
В каждом из этих сценариев можно использовать AD LDS. Стандартные приложения должны включать каталоги, п р и л о ж е н и я безопасности и сетевую конфигурацию, а также приложения хранения политик .
Как видите, службы AD LDS намного компактней, чем службы AD DS. Если в AD DS требуются модификации схемы, попробуйте использовать AD LDS. Обычно AD LDS предоставляет о п т и м а л ь н ы й выбор, поскольку службы AD DS всегда должны резервироваться как каталог N O S и интегрировать только те приложения, которые придают каталогам N O S дополнительные функции.
К СВЕДЕНИЮ |
Службы AD LDS |
Более подробную информацию о службах AD LDS можно найти по адресу http:// technet2.microsoft.eom/windowsserver2008/en/library/b7fb96ec-3f3f-4860-a1ab- eb43e54bbefc1033.mspx.
СОВЕТ К ЭКЗАМЕНУ
Уделите внимание сценариям, описанными ранее в этой главе. Хотя.па сертификационном экзамене есть лишь несколько вопросов о службах AD LDS, все они связаны с выбором AD LDS среди других технологий Active Directory.
Занятие 1 |
Установка AD LDS |
7Q-| |
Установка AD LDS
В Windows Server 2008 службы AD LDS можно установить и отконфигурировать на компьютере с полной установкой или ядром сервера (Server Core). Кроме того, службы AD LDS идеальны для виртуализации в Windows Server 2008 посредством технологии Hyper-V. Благодаря уменьшенным требованиям службы AD LDS можно запускать в виртуальном экземпляре операционной системы Windows Server 2008, если приложение, интегрируемое в экземпляр AD LDS, не нужно устанавливать на физическом компьютере.
Кроме того, без особой нужды не устанавливайте AD LDS на контроллерах доменов. Хотя службы AD LDS могут сосуществовать с ролью контроллера домена и даже ролью контроллера домена только для чтения (RODC), в сети к о н т р о л л е р ы доменов в ы п о л н я ю т особую роль и по возможности должны интегрироваться л и ш ь со службой DNS. Поскольку контроллеры доменов также прекрасно подходят для виртуализации, во всех сетях с хост-серверами Hyper-V и виртуальными экземплярами других служб следует по возможности виртуализовать и контроллеры доменов. При использовании виртуального контроллера' домена намного проще управлять ролями сервера, поскольку все остальные р о л и тоже можно виртуализовать в отдельных экземплярах Windows Server 2008.
И наконец, старайтесь использовать AD LDS в сценариях, где требуется высокий уровень безопасности, как, например, для запуска службы проверки подлинности в экстрасетях или периметре сети; Установка ядра сервера (Server Core) в таких средах позволяет уменьшить фронт атаки серверов вне корпоративной сети.
О п р е д е л е н и е т р е б о в а н и й A D LDS
Как мы уже говорили ранее, требования к установке AD LDS уменьшены.
•Поддерживаемая операционная система — например, Windows Server 2008
Standard Edition, Enterprise Edition или Datacenter Edition.
•Учетная запись с разрешениями доступа локального администратора.
Д л я удаления AD LDS с сервера нужно выполнить два действия.
•Во-первых, удалите все экземпляры AD LDS, созданные после установки роли. Д л я этого используется приложение Программы и компоненты (Programs And Features) в панели управления.
•Во-вторых, примените Диспетчер сервера (Server Manager) для удаления роли AD LDS.
Как видите, операции установки и удаления довольно просты. Главное — перед удалением роли не забыть удалить все экземпляры с сервера.
СОВЕТ К ЭКЗАМЕНУ
Помните, что перед удалением роли с сервера необходимо удалить все экземпляры AD LDS.
I 7 0 2 |
Службы облегченного доступа к каталогам |
Глава 14 |
Установка AD LDS в ядре сервера
Установка AD LDS практически не отличается от установки AD DS. Во-первых, нужно установить роль сервера. З а т е м необходимо создать экземпляры AD LDS. Установка AD LDS на компьютере с полной инсталляцией Windows Server 2008 описана в практических упражнениях этого занятия . Процесс установки AD LDS на машине с ядром сервера выполняется с л е д у ю щ и м образом.
1. Войдите иа рядовой сервер Windows Server 2008 и л и независимый сервер с установленным ядром (Server Core) как л о к а л ь н ы й администратор.
2. Начните с идентификации имени с л у ж б ы AD LDS . Используйте следующую команду:
oclist | more
Введя символ (|) перед командой тоге, м о ж н о п р о с м а т р и в а т ь содержимое на экране и переходить к следующему экрану, н а ж и м а я пробел. После определения имени роли используйте к о м б и н а ц и ю к л а в и ш C t r l + C для отмены команды. Это имя D i r e c t o r y S e r v i c e s - A D A M - S e r v e r C o r e должно отображаться в первом экране данных .
3. Начните установку роли. Используйте с л е д у ю щ у ю команду,
start /w ocsetup OirectoryServices-AOAM-ServerCore
Имена ролей чувствительны к регистру, поэтому введите имя точно так, как оно отображается на экране. В п р о т и в н о м случае команда не будет выполнена. Кроме того, использование к о м а н д ы start /w гарантирует, что командная строка не будет возвращать результаты вплоть до завершения установки роли.
Если вновь запустить команду oclist, будет указано, что на данный сервер добавлена роль AD LDS. Вы также можете открыть папку %SystemRoot%\ ADAM и просмотреть новые ф а й л ы AD LDS . Ваш сервер готов к размещению экземпляров AD LDS.
Практические занятия. Установка AD LDS
В предложенных далее упражнениях вы установите роль AD LDS на сервере с полной инсталляцией Windows Server 2008. З а т е м вы просмотрите содержимое папки установки и определите, какие ф а й л ы б ы л и добавлены на сервер.
Упражнение 1. Установка AD DS
Вэтом упражнении вы установите роль сервера AD LDS .
1.Запустите машину SERVER01.contoso.com, служащую контроллером домена Active Directory, а затем запустите рядовые серверы SERVER03.contoso. com и SERVER04.contoso.com.
2. Войдите на машину SERVER03 . contoso . com как администратор домена Contoso.
Для работы с AD LDS не нужны учетные данные администратора домена. Поскольку каждая установка AD LDS выполняется независимо от AD DS, для работы с AD LDS необходимы только разрешения доступа локального администратора, однако для выполнения данного упражнения следует использовать права администратора домена.
Занятие 1 |
Установка AD LDS 728 |
При установке AD LDS иа машине с ядром сервера (Server Core) добавляются другие ф а й л ы и папки. Ядро сервера создает лишь одну папку для локализации, а при полной установке их две. Кроме того, в полную установку включен анализатор схемы Active Directory (Active Directory Schema Analyzer), который не инсталлируется в ядре сервера (рис. 14-4).
rr/ldmimstraton C:\Wtftdom\system3 J • Directory of C:\Winduus\fiDflfl *
M/И9/2ИИЯ |
PM |
|
|
|
|
т/№/?АШ1 |
ИЗ: 45 FN |
|
VB.336 ad.winatall.exi3 |
||
12/11/2ИИ? |
m-.y.?. fifl |
|
|||
12/11/2ИИ7 |
И4:23 fifl |
|
4.И96 adann31r.dll |
||
12/11/2ГМ7 |
Й4:ЯЗ f»M |
4.210.60Я rtd,mnt«in.dit |
|||
\2/\\/?.т'? |
04:23 fiH |
|
13.53Я «»>1 .i»8 e he ri.i. с a t |
||
J2/ll/2flll7 |
«4:23 fiH |
|
33.44» adansdieiM.iiii |
||
2 / |
s'AW? |
«4:23 fttt |
|
£34,016 rtilansync .«sxe |
|
Т2/11/2И0? |
01:22 ft« |
|
4(59.000 «ilarmninstall.exo |
||
12/1 1/2ЙП? |
04:22 fifl |
t,2fii,5fi0 AilAnuis«nl.dl] |
|||
msm/?.mn Я3:45 ГА |
!> |
|
«n-MS |
||
1 z/n/zmv |
04:23 fiM |
|
1.772 m~ftDflH-lli>QF<sde~i.LDP |
||
12/ii/гаи? |
И4:23 fin |
1.574.5Э2 MS-*dar>scJ>en.ii/2lvO.Ll>F |
|||
12/11/20Й? |
Й4:23 Art |
||||
1/20И? |
«4:23 fttl |
|
2.130 MS -ftdanSyncConf ,WL |
||
12/1 |
1/2Ш? |
ГШ |
|
2.575 «S-ftdan3yncMetadaCrt.LDF |
|
12/11/2Ш)? |
«4:23 fifl |
2.30V.i*J6 HS-flDLDU -Display Spa с if lore .1JDF |
|||
/ll |
2t 7 |
04:23 ГШ |
|
23.72V t1!>--ftZMan.Li)F |
|
12/11/HIHJV |
111:23 ПИ |
|
37.727 Ш-1 tie tOr',Person. LCF |
||
12/i 1/2ИО? |
04:23 1Ш |
|
3<».2U4 |
Use г. LDP |
|
12/n /•;.№'* |
И4:2 3 ЛМ |
|
1.344 flS-UsctrProxy.LDF |
||
12/11/2ИИ7 |
04:23 flfl |
|
2.4Й4 HU-UsorlVoxyFMil.LDP |
||
|
|
IV f i I»:( |
11 .0!*;.21? h • |
||
Рис. 14-4. При установке AD LDS на машину с ядром сервера добавляются 19 файлов и лишь одна подпапка
Резюме
•Службы AD LDS представляют собой облегченную версию AD DS. Роль AD LDS поддерживает все функции AD DS за исключением возможностей сетевой операционной системы. Таким образом, AD LDS можно интегрировать с приложениями и поддерживать их требования конфигурации и проверки подлинности в небезопасных средах, таких как периметр сети.
•Требования установки AD LDS довольно просты: нужен лишь сервер Windows Server 2008. Им может быть рядовой сервер домена, независимый сервер и даже контроллер домена, хотя на контроллерах доменов не рекомендуется устанавливать другие роли.
• Д л я установки AD LDS следует выбрать эту роль в мастере добавления ролей (Add Roles Wizard). Процесс установки AD LDS не отличается от инсталляции остальных ролей в Windows Server 2008.
•Д л я удаления AD LDS нужно вначале удалить все экземпляры с помощью приложения Программы и компоненты (Programs And Features) в панели управления, а затем удалить роль в Диспетчере сервера (Server Manager).
Закрепление материала
Следующий вопрос можно использовать для проверки знаний, полученных на занятии 1. Этот вопрос есть и на сопроводительном компакт-диске.
ПРИМЕЧАНИЕ Ответы
Ответ на этот вопрос с пояснениями, почему тот или иной вариант ответа правилен или неверен, вы найдете в разделе «Ответы» в конце книги.
I 7 0 6 Службы облегченного доступа к каталогам Глава 14
1. Вы работаете администратором сервера в домене contoso.com. Утром ваш босс дал новое задание. Вам необходимо к а к м о ж н о быстрей назначить машине SERVER04 новую роль. В настоящее время S E R V E R 0 4 содержит пять экземпляров AD LDS. Вам нужно удалить AD L D S с этого сервера. Вы входите на S E R V E R 0 4 как л о к а л ь н ы й а д м и н и с т р а т о р и запускаете командную строку от имени администратора . Вы пытаетесь выполнить команду ocsetup с переключателем /uninstall, но она не работает. Каким образом можно устранить возникшую п р о б л е м у ?
A. Перезагрузить сервер, завершить все з а п у щ е н н ы е процессы установки, а затем вновь запустить команду uninstall.
Б. С помощью диспетчера сервера удалить э к з е м п л я р ы и роль |
AD LDS. |
||
B. Вначале удалить все существующие э к з е м п л я р ы AD |
L D S с |
помощью |
|
приложения Программы и к о м п о н е н т ы |
( P r o g r a m s And Features) на |
||
панели управления, а затем з а п у с т и т ь в |
к о м а н д н о й |
строке команду |
|
ocsetup /uninstall. |
|
|
|
Г.С помощью команды oclist проверить синтаксис роли, которую вы пы-
таетесь удалить командой ocsetup. З а т е м з а п у с т и т ь команду ocsetup с корректным синтаксисом.
Занятие 2. Настройка и использование AD LDS
Теперь, после установки AD LDS, можно хранить д а н н ы е каталогов для раз- : личных приложений. Вначале следует ознакомиться с набором инструментов AD LDS. Ознакомившись со средствами у п р а в л е н и я AD LDS, можно приступать к созданию первых экземпляров AD LDS, а затем отконфигурировать их безопасность. После этого мы займемся созданием р е п л и к этих экземпляров, которые можно установить в других системах для управления репликацией, чтобы экземпляры, установленные на других компьютерах, можно было обновлять посредством репликации с равноправными участниками .
На этом занятии мы обсудим к о м б и н и р о в а н и е AD L D S с приложения - ми и интеграцию с другими технологиями Active Directory в Windows Server 2008.
Изучив материал этого занятия, вы сможете:
/Создавать экземпляры AD LDS.
S Работать с инструментами AD LDS.
/Работать с разделами приложений.
S Управлять репликацией между экземплярами AD LDS.
Продолжительность занятия — около 30 мин.
Инструменты AD LDS
Для работы с AD LDS можно использовать различные инструменты, многие из которых вам знакомы, поскольку применяются для администрирования AD DS. В табл. 14-3 описаны все эти инструменты и их назначение в структуре управления службой AD LDS.