Выполняет техническое обслуживание базы данных, конфигурирует порты AD LDS и просматривает существующие экземпляры. Кроме того, создает одношаговые процедуры установки для переноса экземпляров AD LDS посредством процесса установки с носителя IFM (Install From Media)
Расположение
Командная строка
Диагностика экземпляров AD LDS. Чтобы указать
имя экземпляра для диагностики, нужно использовать переключатель /п :Контекст_
именования
Поддерживает управление разделом приложений и политикой AD LDS
Аудит изменений AD LDS, а также запись старых
иновых значений объектов
иатрибутов
Процедуры установки
AD LDS могут динамически импортировать LDIF-файлы (.ldp) во время установки экземпляра, автоматически конфигурируя таким образом экземпляр
Импортирует данные в экземпляры AD LDS Интерактивная модификация содержимого или экземпляров AD LDS с помощью LDAP Управляет экземплярами
AD LDS, но только в случае установки AD DS. (Использовать эту утилиту не рекомендуется. Вместо нее лучше применяйте DSDBUtil.exe.)
Анализ репликации для выявления потенциальных ошибок Управляет существующими экземплярами AD LDS
Командная строка
Командная строка
Программная группа Администрирование (Administrative Tools)
Папка %SystemRoot%\ADAM
Командная строка
Командная строка
Командная строка
Командная строка
Программная группа Администрирование (Administra- tive Tools)
Занятие 2
Настройка и использование AD LDS 7\ 5
Табл. 14-3 (окончание)
Инструмент
Назначение
Система архивации
Архивация и восстановление
данных Windows
экземпляров AD LDS и их
Server (Windows
содержимого
Server Backup)
Расположение
Программная группа Администрирование (Administrative Tools)
Многие из инструментов, перечисленных в табл. 14-3, используются для настройки и администрирования служб AD LDS.
К СВЕДЕНИЮ
Аудит AD LDS
Более подробную информацию об аудите экземпляров AD LDS и доменов AD DS
можно найти
по адресу http://go.microsoft.com/fviilinli/7nnkId~94846.
Создание экземпляров AD LDS
Процесс установки роли AD LDS очень похож на процесс установки AD DS. Вначале инсталлируются двоичные файлы AD LDS, а затем создаются экземпляры AD LDS для использования службы. При развертывании AD DS также вначале устанавливаются двоичные файлы, а затем для создания экземпляра AD DS используется мастер установки доменных служб Active Directory. Поэтому многие инструменты управления в AD LDS аналогичны средствам управления AD DS.
П о д г о т о в к а к
с о з д а н и ю э к з е м п л я р а AD LDS
Д л я создания
экземпляров AD LDS используется Мастер установки служб
AD LDS (Active Directory Lightweight Directory Services Setup Wizard). Однако перед созданием экземпляра нужно подготовить несколько элементов, включая следующие.
•Диск данных, созданный на сервере. Поскольку сервер будет управлять хранилищами каталогов, поместите эти хранилища на диск отдельно от диска с операционной системой.
•Имя, которым будет назван создаваемый экземпляр. Используйте для экземпляров понятные имена, как, например, имя приложения, которое будет интегрировано в экземпляр: Это имя будет служить для идентификации экземпляра на локальном компьютере, а также для именования файлов, составляющих экземпляр и службу, которая поддерживает его.
•Порты, которые будут использоваться для связи с экземпляром. Для коммуникаций службы AD LDS и AD DS задействуют одни и те же порты: порт по умолчанию LDAP (389) и LDAP через Secure Sockets Layer (SSL) или порты Secure L D A P (636). В AD DS используются два дополнительных порта: порт 3268, который применяет LDAP для доступа к глобальному каталогу, и порт 3269, который использует Secure LDAP для доступа к глобальному каталогу. Поскольку службы AD LDS и AD DS используют одни и те же порты, эти роли также не рекомендуется устанавливать на одном сервере. Однако если мастер определит, что порты 389 и 636 уже используются,
I 7 1 0 Службы облегченного доступа к каталогам Глава 14
он предложит номера 50 ООО и 50 001 для каждого порта, а затем задействует другие порты в диапазоне 50 000 д л я д о п о л н и т е л ь н ы х экземпляров.
Контрольные вопросы
1.Какие порты используются для работы с экземплярами AD LDS?
2.Чем порты в экземпляре AD LDS отличаются от портов, используемых службам! AD DS?
Ответы на контрольные вопросы
1.Экземпляр AD LDS может использовать стандартный LDAP-порт 389 или порт LDAP через SSL (Secure LDAP) 636. Кроме того, службы AD LDS могут использовать любой порт с номером больше 1025. Тем не менее рекомендуется применять порты в диапазоне 50 000.
2.Службы AD DS и AD LDS могут использовать порты 389 (LDAP) и 636 (Secure LDAP). Кроме того, для связи со службой глобального каталога служба AD DS задействует порты 3268 (LDAP) и 3269 (Secure LDAP). Ре-, комендуется резервировать порты 389 и 636 для службы AD DS.
ВНИМАНИЕ! Использование портов 389 и 636
При создании экземпляров AD LDS в домене не занимайте порты 389 и 636, даже если первый экземпляр вы создаете не на контроллере домена. Служба AD DS использует эти порты по умолчанию. По этой причине некоторые консоли, например оснастка Схема Active Directory (Active Directory Schema), не привязываются к локальным экземплярам, поскольку по умолчанию они непосредственно привязаны к AD DS. Для экземпляров AD LDS рекомендуется всегда использовать порты с номерами в диапазоне от 50 000.
СОВЕТ К ЭКЗАМЕНУ
Запомните порты по умолчанию, поскольку они включены в темы сертификационного экзамена, хотя в производственных средах их не следует применять.
• Имя раздела приложений Active Directory, к о т о р ы й
будет
применяться
для
экземпляра. Д л я создания раздела
н у ж н о использовать
отличитель-
ное
имя DN (Distinguished Name), как,
например, и м я
C N - A p p P a r t i t i o n l ,
DC=Contoso,DC=com. В зависимости от н а з н а ч е н и я экземпляра раздел приложений может и не потребоваться. Разделы п р и л о ж е н и й управляют областью репликации хранилища каталогов. Например, при интеграции данных DNS в каталог служба AD DS создает раздел приложений, чтобы обеспечить доступ к данным DNS для соответствующих контроллеров домеиа. Разделы приложений AD L D S м о ж н о создавать тремя способами: при создании экземпляра, при установке приложения, которое будет привязано к экземпляру, или вручную с помощью утилиты LDP.exe. Если приложение не создает разделы приложений автоматически, создайте их с помощью мастера.
Занятие 2
Настройка и использование AD LDS 7\ 5
• Учетная запись для запуска экземпляра. Можно использовать учетную запись Сетевая служба (Network Service), однако в случае запуска множества экземпляров лучше всего применять для каждого экземпляра именованные учетные записи служб. Далее перечислены требования и инструкции по созданию учетных записей служб.
•Создайте учетную запись домена, если вы работаете в домене. В противном случае используйте локальную учетную запись (например, в периметре сети).
•Назначьте для учетной записи имя экземпляра AD LDS.
•В свойствах учетной записи задайте параметр Срок действия пароля не ограничен (Password Never Expires), чтобы политика паролей не препятствовала работе службы.
•В л о к а л ь н о й политике безопасности (Local Security Policy) каждого компьютера, содержащего данный экземпляр, назначьте право пользователя Вход в качестве службы (Log On As A Service).
•В локальной политике безопасности каждого компьютера, содержащего
да н н ы й экземпляр, назначьте право пользователя Создание аудитов безопасности (Generate Security Audits).
•Группа, содержащая эти учетные записи пользователей, будет администрировать данный экземпляр. Д л я назначения разрешений доступа лучше
всего использовать группы, даже если группа содержит всего одну учетную
запись. Д л я внесения изменения можно добавлять или модифицировать
членов группы, не добавляя и не модифицируя разрешения доступа. Если
|
вы работаете в домене, создайте доменную группу, иначе создайте локаль-
ную. Назначьте для группы такое же имя, как у экземпляра. Так будет проще
отследить назначение группы. Добавьте в эту группу свою учетную запись,
а также учетную запись службы, созданную ранее.
I •
Все дополнительные ф а й л ы L D I F для экземпляра. Поместите эти фай-
лы в папку %SystemRoot%\ADAM . Эти файлы будут импортированы во
время создания экземпляра. При импорте файлов LDIF схема экземпляра
расширяется д л я поддержки дополнительных операций. Например, для
синхронизации служб AD DS со службами AD LDS импортируйте файл
MSAdamSyncMetadata.ldf. Если для приложения требуются настраиваемые
модификации схемы, создайте заранее файл LDIF и импортируйте его при
i
создании экземпляра. Отметим, что файлы LDIF всегда можно импортиро-
вать и после создания экземпляра. В табл. 14-4 перечислены файлы LDIF
по умолчанию.
Запомните эти значения, поскольку они понадобятся для создания экземпляра и управления им.
I 712
Службы облегченного доступа к каталогам
Глава 14
Табл. 14-4.
Файлы LDIF служб AD LDS по умолчанию
Имя файла
Назначение
MS-ADAM-Upgrade-l.Idf
Для обновления схемы AD LDS до самой новой
версии
MS-adamschemaw2k3.1df
Предварительный реквизит для синхронизации эк-
земпляра с Active Directory в Windows Server 2003
MS-adamschemaw2k8.1df
Предварительный реквизит для синхронизации эк-
земпляра с Active Directory в Windows Server 2008
MS-AdamSyncMetadata.ldf
Для синхронизации данных леса AD DS и экземп-
ляра AD LDS через ADAMSync
MS-ADLDS-DisplaySpecifiers.ldf
Для операций оснастки Active Directory — сайты
и службы (Active Directory Sites And Services)
MS-AZMan.ldf
Для поддержки диспетчера авторизации Windows
(Windows Authorization Manager)
MS-lnetOrgPerson.ldf
Для создания пользовательских классов
и атрибутов inetOrgPerson
MS-User.ldf
Для создания пользовательских классов
и атрибутов
MS-UserProxy.ldf
Для создания простого класса userProxy
MS-UserProxyFull.ldf
Для создания полного класса userProxy.. Вначале
следует импортировать файл MS-UserProxy.ldf
После подготовки этих элементов можно приступать к созданию экземпляра. Используйте учетную запись локального администратора . Есть два способа создания экземпляров: при первом применяется Мастер установки служб AD LDS (Active Directory Lightweight Services Setup Wizard), а при втором — командная строка. В практических упражнениях этого занятия вы создадите экземпляр с помощью мастера, а в следующем подразделе описано применение командной строки.
Автоматизированное создание э к з е м п л я р а AD L D S
Экземпляры AD LDS можно также создавать автоматизировано. Например, для создания экземпляров на компьютере с установленным ядром сервера (Server Core) нужно использовать автоматизированный процесс, поскольку отсутствует графический интерфейс для запуска мастера. Автоматизированным методом можно также создавать экземпляры для приложений, распределенных на множестве серверов. Перед этим следует подготовить предварительные реквизиты, как описано в подразделе «Подготовка к созданию экземпляра AD LDS» ранее на этом занятии.
В папке %SystemRoot%\ADAM есть дополнительная команда Adamlnstall. ехе, с помощью которой можно выполнять автоматизированную установку экземпляров. Как и в случае с командой Dcpromo.exe, для создания экземпляра этой команде необходим текстовый файл с вводными параметрами. Команду Adamlnstall.exe можно запускать как на компьютере с полной установкой Windows Server 2008, так и на машине с ядром сервера (Server Core). Начнем с создания текстового файла.
Занятие 2
Настройка и использование AD LDS 7\ 5
1. Откройте программу Блокнот (Notepad).
2.Введите текст файла ответов. Включите в него следующие элементы:
Замените все имена, выделенные курсивом, соответствующими значениями. Идентификация требуемых значений описана в подразделе «Подготовка к созданию экземпляра AD LDS» ранее на этом занятии. Используйте этот файл осторожно, поскольку он содержит пароли, которые отображаются открытым текстом. Все эти пароли удаляются сразу же после применения файла инструментом создания экземпляра AD LDS.
3.Сохраните созданный файл в папке %SystemRoot%\ADAM и присвойте ему такое же имя, как у создаваемого экземпляра.
4. Закройте Блокнот (Notepad).
К СВЕДЕНИЮ
Создание экземпляра AD LDS
Более подробную информацию о создании экземпляров AD LDS можно найти по
Теперь вы готовы приступить к созданию экземпляра. Помните, что для этого вам нужны права доступа локального администратора.
1. Откройте командную строку от имени администратора.
2.В окне командной строки перейдите в папку %SystemRoot%\ADAM. Введите указанную ниже команду и нажмите клавишу Enter.
cd windows\adam
3. Введите следующую команду (если имя файла содержит пробелы, заключите его в кавычки):
adaminstall /answer:filename.txt
4. Закройте окно командной строки.
Ваш экземпляр готов. Вы можете открыть конечную папку и просмотреть созданные файлы.
24 Зак. 3399
I 7 1 4
Службы облегченного доступа к каталогам
Глава 14
Миграция экземпляра LDAP в AD LDS
В AD LDS также можно мигрировать существующие каталоги L D A P и обновлять экземпляры ADAM до AD LDS. Д л я этого содержимое старых э к з е м п л я - ров импортируется в новый экземпляр AD LDS.
Импорт данных выполняется при создании экземпляра и л и после его создания. В обоих процессах методы одинаковы, п о с к о л ь к у в обоих с л у ч а я х применяются файлы LDIF, или файлы с расширением .ldf. Если данные импор - тируются после создания экземпляра, нужно использовать команду LDIFDE. ехе. Помните, что перед импортом данные вначале следует экспортировать из предыдущего экземпляра и поместить в файл формата LDIF.
Содержимое старых экземпляров можно экспортировать с п о м о щ ь ю команды LDIFDE. Для выполнения этих операций необходимы права локального администратора, а также право администрирования экземпляра . К р о м е того, командную строку требуется запустить от имени администратора. Используйте следующую командную структуру:
Укажите в этой команде имя создаваемого файла (заключите его в кавычки, если оно содержит пробелы), имя сервера, содержащего экземпляр, и м я порта для коммуникаций с экземпляром и учетные данные администратора экземп - ляра (имя пользователя, имя домена и пароль).
Для импорта данных в новый экземпляр используется команда:
применяя шифрование SASL (Simple Authentication And Security
Layer).
Контрольные вопросы
1.Какими способами можно создавать разделы приложений для экземпляров AD LDS?
2.В чем назначение файлов LDIF, включенных в службы AD LDS?
3.Как можно отладить процесс создания экземпляра AD LDS?
Ответы на контрольные вопросы
1.Существует три способа создания разделов приложений для экземпляров AD LDS:
•в процессе создания экземпляра AD LDS с помощью мастера установки служб AD LDS;
•в процессе установки приложения, которое будет привязано к экземпляру AD LDS;
•вручную с помощью инструмента LDP.exe.
2.Файлы LDIF, включенные в AD LDS, служат различным целям, но обычно они применяются для расширения схемы экземпляра ради поддержки дополнительной функциональности.
Занятие 2
Настройка и использование AD LDS
7\ 5
3. В процессе создания экземпляра службы AD LDS создают файлы журналов. Эти файлы ADAMSetup.log и ADAMSetup_loader.log локализованы в папке %SystemRoot%\Debug. Их можно просматривать и устранять ошибки в процессе создания экземпляра.
и н с т р у м е н т ы , к о т о р ы е можно использовать
д л я р а б о т ы
с
э к з е м п л я р а м и
AD
L D S . С а м ы е удобные из
них — графические
и н с т р у м е н т
ы
Р е д а к т и р о в а н и е A D S I ( A D S I Edit), LDP.exe,
Схема Active Direc-
tory (Active
D i r e c t o r y S c h e m a )
и Active Directory — сайты и службы (Active
Directory Sites And Services). Э т и инструменты управляют просмотром и редактированием с о д е р ж и м о г о э к з е м п л я р о в . Инструменты командной строки удобно использовать д л я а в т о м а т и з а ц и и процессов и ввода данных д л я экземпляров A D LDS .
Работа с экземплярами с помощью ADSI
Д л я а д м и н и с т р и р о в а н
и я э к з е м п л я р о в AD
L D S часто используется оснастка
Р е д а к т и р о в а н и е A D S I
( A D S I E d i t ) . Д л я
работы с экземпляром каждый раз
необходимо п о д к л ю ч и т ь с я и п р и в я з а т ь с я к этому экземпляру. Помните, что для в ы п о л н е н и я а д м и н и с т р а т и в н ы х о п е р а ц и й с экземплярами AD LDS требуются права а д м и н и с т р а т о р а э к з е м п л я р а . И с п о л ь з у й т е следующую процедуру.
1. В программной группе Администрирование (Administrative Tools) запустите
оснастку
Р е д а к т и р о в а н и е A D S I ( A D S I Edit) .
2. В п а н е л и
д е р е в а щ е л к н и т е п р а в о й к н о п к о й м ы ш и узел
Редактирование
A D S I ( A D S I E d i t ) и п р и м е н и т е к о м а н д у Подключение
к (Connect То).
Откроется диалоговое окно Параметры подключения (Connection Settings). Введите с л е д у ю щ и е з н а ч е н и я (рис. 14-5).
• И м я (Name) — укажите имя экземпляра, к которому хотите подключиться.
• Точка п о д к л ю ч е н и я ( C o n n e c t i o n
P o i n t ) — щелкните опцию Выберите
или введите различаемое и м я или контекст именования (Select Or Type
A Distinguished N a m e Or Naming
C o n t e x t ) и введите различаемое имя
экземпляра .
•Компьютер ( C o m p u t e r ) — щелкните опцию Выберите или введите домен
или сервер (Select Or Type A Domain Or Server) и введите имя сервера с номером порта, н а п р и м е р SERVER03:50000 .
I 716
•
Службы облегченного доступа к каталогам
Глава 14
Если вы задействуете порт Secure LDAP, в секции Компьютер (Computer) установите также флажок Использовать шифрование на базе SSL (Use SSL-Based Encryption).
По уно/мв»ю (аомея и/wсервер,накогорьйоыполнен вкод) Г иакчъхяатъ шифрование на баэе SSL
Допоянительнр...
|
|
OK
j
Отисна j
Рис. 14-5. Подключение к экземпляру AD LDS в оснастке Редактирование ADSI
3. Щелкните ОК.
Будет установлено подключение к экземпляру. Разверните все элементы, чтобы просмотреть содержимое экземпляра. Изучите в контекстном меню операции, которые можно выполнять в экземплярах AD LDS с помощью оснастки Редактирование ADSI (ADSI Edit).
После привязки к экземпляру можно создавать в нем объекты и управлять ими. Используйте следующую процедуру.
1.Щелкните правой кнопкой мыши различаемое имя раздела приложений, примените команду Создать (New) и выберите элемент Объект (Object). Откроется диалоговое окно, в котором будут перечислены все доступные классы объектов в схеме экземпляра.
2.Начните с создания группы пользователей. Найдите в списке объект Группа (Group), выберите его и щелкните кнопку Далее (Next).
3.Введите имя группы, например Пользователи AD LDS, а затем щелкните Далее (Next).
4.На следующей странице можете щелкнуть кнопку Дополнительные атрибуты (More Attributes), чтобы назначить объекту дополнительные значения. Например, вы можете указать описание группы. В раскрывающемся списке Выберите свойство для просмотра (Select A Property То View) выберите свойство adminDescription. Введите описание в поле Изменить атрибут (Edit Attribute), например Группа пользователей AD LDS, щелкните кнопку Установить (Set), а затем щелкните ОК.
5.Щелкните кнопку Готово (Finish), чтобы создать группу. По умолчанию создается группа безопасности.
Занятие 2
Настройка и использование AD LDS 7\ 5 7 1 7
6. Теперь создайте пользователя. Щелкните правой кнопкой мыши различаемое имя раздела приложений, примените команду Создать (New) и щелкните элемент Объект (Object).
7.Найдите и выберите объект Пользователь (User), а затем щелкните кнопку Далее (Next).
8. Введите имя пользователя, а затем щелкните Далее (Next).
9. Вы вновь можете щелкнуть кнопку Дополнительные атрибуты (More Attributes), чтобы назначить новому объекту дополнительные значения.
10.Щелкните кнопку Готово (Finish), чтобы создать пользователя.
11.Теперь добавьте этого пользователя в группу. Отыщите группу в панели сведений, щелкните ее правой кнопкой мыши и примените команду Свойства (Properties).
12.В диалоговом окне Свойства (Properties) найдите свойство member и щелкните кнопку Изменить (Edit).
13.В диалоговом окне Редактор многозначных строк (Multi-Valued Distinguished Name With Security Principal Editor) щелкните Добавить различаемое имя DN (Add DN).
14.В диалоговом окне Добавление различаемого имени (Add Distinguished Name) введите различаемое имя созданного пользователя. Например, вве-
дите и м я сп =Джон Kewi,cn=Instance01,dc=contoso,dc=com. Щелкните ОК. Пользователь будет добавлен в список членов группы.
15.Щелкните О К , чтобы завершить операцию.
Если вновь открыть свойства группы, пользователь будет перечислен среди
еечленов. Добавлять пользователей и группы в экземпляр таким методом довольно утомительно, но так можно вносить отдельные модификации. В идеале нужно создавать списки пользователей и групп, а затем добавлять их в пакетах с помощью команд CSVDE.exe или LDIFDE.exe. В главе 3 рассказано, как автоматизировать создание пользователей, а в главе 4 описана автоматизация создания групп.
Работа с э к з е м п л я р а м и с п о м о щ ь ю утилиты LDP.exe
Аналогичным образом с помощью консоли LDP.exe можно просматривать и редактировать содержимое экземпляров AD LDS. Как и в случае с инструментом Редактирование ADSI (ADSI Edit), вначале следует подключиться и привязаться к экземпляру. Д л я выполнения административных операций в экземпляре нужно быть администратором этого экземпляра. Используйте следующую процедуру.
1.Запустите утилиту LDP.exe в командной строке или Диспетчере сервера (Server Manager) в секции Дополнительные инструменты (Advanced Tools) роли Службы Active Directory облегченного доступа к каталогам (Active Directory Lightweight Directory Service).
2. В меню Подключение (Connect) щелкните команду Подключить (Connection).
