在現有 DSfW 樹系中提供「非名稱映射」(Non-Name-Mapped) 子網域

此情境包含下列任務。選取選項以顯示任務的詳細資料。

提供預先檢查

此任務會驗證伺服器的狀態,確保伺服器都已準備好進行提供。

在執行提供預先檢查活動期間,會在背景執行狀態檢查來驗證系統狀態,以避免過時的狀態。若未驗證系統狀態,會導致系統發生無法復原的失敗。正因如此,狀態檢查格外重要。

狀態檢查會執行下列動作:

  • 驗證遠端伺服器已執行安裝所需的重要服務 (例如 Kerberos、Samba 與 NMB 服務)。

  • 驗證設定為 DNS 伺服器的伺服器上已啟動 DNS 服務。

  • 驗證屬於複製本環的所有伺服器都已啟動,而且伺服器之間的時間是同步的。

  • 驗證要安裝之伺服器上的 eDirectory 版本是 8.8 SP2 或更新版本。

  • 在「名稱映射」(Name-Mapped) 安裝情境中,它會檢查伺服器是否包含任何現有的 DSfW 特定物件。

  • 觸發遠端伺服器上的清除動作,以清除刪除的物件。

DNS 與 WINS 組態

此任務會設定 DSFW 伺服器上的 DNS 與 WINS。DSfW 使用 DNS 做為其位置服務,讓電腦可以找到網域控制器的位置。您也可以將 DSfW 伺服器設為 WINS 伺服器。WINS 是適用於 NetBIOS 電腦名稱的名稱伺服器與服務。其會針對位於不同子網路的用戶端工作站,向 IP 位址映射提供 NetBIOS 名稱。

在執行 DNS 組態期間,也會執行下列動作:

  • 設定網域的「正向查閱」區域,以解析對於網域名稱查閱的查詢。

  • 為網域設定「反向區域」,以解析需要將 DNS 名稱與 IP 位址關連的要求。

  • 建立 NS、SRV、A 與 PTR 等類型的資源記錄。

  • 新增區域參照至 DNS 伺服器、DNS Group 物件與 DNS Locator 物件。

    目前 DSfW 與 Novell® DNS 緊密整合,而且需要至少一部 DNS 伺服器才能在網域控制器上執行,但我們計劃在未來支援任何一種可支援安全 DNS 更新的 DNS 伺服器。

預設狀況下,系統會在樹系的第一個網域控制器上設定 DNS 伺服器。對於樹系中的任何其他網域控制器,您可以使用樹系中的現有·DNS 伺服器,或將此伺服器設定為 DNS 伺服器。在設定網域中的任何其他網域控制器之前,請確認·/etc/resolv.conf 中的名稱伺服器項目是指向該網域第一個網域控制器所使用的 DNS 伺服器。

在執行 WINS 組態期間,也會執行下列動作:

  • 建立位於對應區域物件的 DNS 項目。

  • 使用 Samba 服務作為 WINS 伺服器所要求的參數,來更新 /etc/samba/smb.conf 檔案

  • 重新啟動 nmb 程序。

建立了對應 WINS 的 DNS 項目和資料檔案時,任務檢查的後續檢查操作。

建立網域分割區

此任務會建立網域的分割區。

此分割區有所有網域物件的完整資訊。網域物件的相關資訊會複寫到相同網域中的網域控制器。

附註:在「名稱映射」(Name-Mapped) 情境中不會執行此任務。

新增網域複製本

此任務會新增複製本至本地伺服器。

附註:所有提供情境均會執行此任務,但「非名稱映射」(Non-Name-Mapped) 與樹系根網域安裝情境除外。

SLAPI 外掛程式組態

此任務會載入 SLAPI 外掛程式。SLAPI 外掛程式負責維護 Active Directory 資訊模型。這樣可確保新增任何網域特定資料之前,SLAPI 架構已就緒。

在設定程序期間,會執行下列任務:

  • 在 Active Directory 與 eDirectory 綱要物件之間映射屬性與類別。

  • 重新整理 NLDAP 伺服器並載入 SLAPI 外掛程式。

  • 檢查 NAD 外掛程式是否已載入。

新增網域物件

此任務會在網域分割區下新增代表網域特定資訊的網域物件。

網域分割區只會將資料複寫到其網域中的網域控制器。此外,它也會建立容器來存放組態與稍後製作的綱要分割區。

建立組態分割區

此任務會分割在執行「新增網域物件」任務期間所建立的組態容器 (cn=configuration)。此組態分割區包含樹系實體結構與組態 (例如,站台拓樸) 的資訊。

如果是子網域安裝,組態容器的複製本會新增至本地伺服器。

組態分割區專屬於樹系,而且每個網域的第一個網域控制器預設都會收到複製本。若在安裝期間選取 YaST 中的「複製綱要及組態分割區」選項,則額外的網域控制器會收到此分割區的複製本。

建立綱要分割區

此任務會分割在執行「新增網域物件」任務期間所建立的綱要容器 (cn=schema)。

綱要分割區包含樹系中物件類別與屬性的定義。如果有子網域或額外的網域控制器,則綱要容器的複製本會新增至本地伺服器。

組態分割區專屬於樹系,而且每個網域的第一個網域控制器預設都會收到複製本。若在安裝期間選取 YaST 中的「複製綱要及組態分割區」選項,則額外的網域控制器會收到此分割區的複製本。

新增組態物件

此任務會新增組態與綱要分割區物件。

它有助於維護與 Active Directory 資訊模型搭配使用時的完整性。

指定權限

此任務會為要提供的網域與網域管理員設定目錄特定存取權限。

此任務會執行下列活動:

  • 計算有效 ACL。

  • 輸入 NDS® 超級權限 ACL 並設定管理員在容器層級的權限。

  • 輸入 NDS 管理員 ACL。

設定網站

此任務分割領域控制器物件 (mSDS:Server),在 eDirectory 中是以容器物件為代表。此網域控制器物件位於 cn=Servers,cn=<sitename>,cn=Sites,cn=Configuration,dc=<domain name> 下方

此任務執行下列動作:

  • 分割物件之前預先檢查 DSfW 環境。

  • 分割領域控制器物件。

  • 分割物件之後後續檢查 DSfW 環境。

重新啟動 DSfW 服務

此任務會按照相依順序重新啟動服務。

必須重新啟動,系統才會認可所做的變更。在執行此任務期間會重新啟動的服務包括:

  1. ndsd (eDirectory)

  2. novell-named (DNS)

  3. nscd (名稱伺服器快取精靈)

  4. rpcd (RPC 伺服器)

  5. Xad-krb5kdc (Kerberos)

  6. xad-kpasswdd (Kpassword)

  7. xadsd (XAD 精靈)

  8. nmb (NMB 伺服器,NETBIOS 查閱)

  9. winbind (winbind)

  10. smb (Samba)

  11. sshd (SSH)

  12. rsyncd (rsync)

重新啟動這些服務之後,就會啟動您的網域。然而,您必須先執行一些其他任務,網域才能使用。

設定帳戶的身分證明

此任務會設定密碼並對 administrator、krbgt 與 guest 帳戶建立 kerberos 認證。

啟用 Kerberos

在 DSfW 中,Kerberos 是在網域中進行驗證時使用的主要安全性通訊協定。Kerberos 驗證機制會簽發用於存取網路服務的票證。

在執行此任務期間,會更新 krb5.conf 檔案並傳送票證給管理員主體。

這些變更會觸發 sysvol 中儲存之「Kerberos 規則」檔案的變更。此變更需要同步更新 eDirectory,而這個動作是使用 gpo2nmas 公用程式來完成。

建立信任

信任是在網域之間建立的關係,可讓一個網域中的使用者由其他網域中的網域控制器驗證。網域之間的驗證是透過信任完成。

此任務會在要提供的網域與其父代網域之間建立雙向過渡性信任關係。在過渡性信任中,屬於相同樹系的所有網域會彼此信任。若新增更多網域,根網域與新網域之間會建立自動信任關係。

例如:若網域 A 信任網域 B,且網域 B 信任網域 C,則網域 C 的使用者可以存取網域 A 中的資源。

清理

此任務會修改服務 (例如,sshdrsynckrb5) 的組態。此任務會設定 sysvol 規則、將群組規則與 NMAS 同步,並新增 crontab 項目以執行後續的規則同步作業。

此任務會清理部分安裝或失敗安裝的檔案。它也會移除提供期間建立的暫存目錄與中斷點檔案。

有關更詳細的資訊,請參閱 法律聲明.