Provisioning di un controller di dominio aggiuntivo in un dominio

Questo scenario comprende i task riportati di seguito. Selezionare un'opzione per visualizzare i dettagli del task.

Verifica preliminare di provisioning

Questo task consente di verificare lo stato dei server per garantire che siano pronti per il provisioning.

Durante l'attività di verifica preliminare di provisioning, viene eseguito un controllo dell'integrità in background per convalidare lo stato del sistema al fine di evitare uno stato di stallo. La mancata convalida dello stato del sistema può causare errori irreversibili del sistema. Ciò rende molto importante il controllo dell'integrità.

Durante il controllo dell'integrità vengono eseguite le azioni riportate di seguito.

  • Viene verificato che i servizi importanti per l'installazione, ad esempio Kerberos, Samba e NMB, siano in esecuzione sul server remoto.

  • Viene verificato che il servizio DNS sia attivo sul server configurato come server DNS.

  • Viene verificato che tutti i server che fanno parte dell'anello di replica siano attivi e che venga eseguita la sincronizzazione dell'ora tra i server.

  • Viene verificato che la versione di eDirectory sul server in cui viene eseguita l'installazione sia 8.8 SP2 o successiva.

  • In uno scenario di installazione Name-Mapped, viene controllato il server per verificare l'eventuale presenza di oggetti specifici di DSfW esistenti.

  • Viene attivata un'eliminazione definitiva sul server remoto per cancellare gli oggetti eliminati.

Configurazione DNS e WINS

Questo task consente di configurare DNS e WINS nel server DSfW. DSfW utilizza DNS come servizio di ubicazione, consentendo ai computer di individuare l'ubicazione dei controller del dominio. È inoltre possibile configurare un server DSfW come server WINS. WINS è un server dei nomi e un servizio che viene utilizzato per i nomi dei computer NetBIOS. Fornisce il nome NetBIOS alla mappatura di indirizzi IP per le workstation client in diverse sottoreti.

Durante la configurazione del DNS vengono eseguite le azioni descritte di seguito:

  • Le zone di inoltro ricerca vengono configurate per il dominio in modo da risolvere le interrogazioni sulla ricerca del nome di dominio.

  • Le zone inverse vengono configurate per il dominio in modo da risolvere le richieste necessarie per associare un nome DNS a un indirizzo IP.

  • Vengono creati record di risorsa di tipo NS, SRV, A e PTR.

  • I riferimenti alle zone vengono aggiunti al server DNS, all'oggetto Gruppo DNS e all'oggetto Localizzatore DNS.

    Attualmente, DsfW è strettamente collegato a Novell® DNS ed è necessario almeno un server DNS per eseguire un controller del dominio. Tuttavia, si sta pianificando di fornire supporto per ogni server DNS in grado di supportare aggiornamenti DNS sicuri.

Per default, il server DNS è configurato sul server del primo controller del dominio in una foresta. Per ogni controller del dominio aggiuntivo presente nella foresta, è possibile utilizzare il server DNS esistente oppure configurare questo come server DNS. Prima di configurare qualsiasi controller di dominio aggiuntivo presente nel dominio, assicurarsi che la voce server dei nomi in /etc/resolv.conf indichi il server DNS utilizzato dal primo controller del dominio del dominio.

Durante la configurazione di WINS vengono eseguite le azioni descritte di seguito:

  • Viene creata la voce DNS nell'oggetto Zona corrispondente.

  • Il file /etc/samba/smb.conf viene aggiornato con i parametri necessari affinché i servizi Samba fungano da server WINS.

  • Il processo nmb viene riavviato.

Durante la verifica finale del task viene controllato che la voce DNS e i file di dati per WINS siano stati creati.

Aggiunta della replica del dominio

Questo task aggiunge la replica al server locale.

NOTA:Questo task viene eseguito per tutti gli scenari di provisioning, ad eccezione dell'installazione di domini radice foresta e Non-Name-Mapped.

Configurazione plug-in SLAPI

Questo task consente di caricare i plug-in SLAPI. Tali plug-in gestiscono la manutenzione del modello di informazioni di Active Directory. Ciò garantisce che la struttura SLAPI sia pronta prima di aggiungere eventuali dati specifici del dominio.

Durante il processo di configurazione, vengono eseguiti i task riportati di seguito.

  • Gli attributi e le classi vengono mappati tra gli oggetti degli schemi Active Directory e eDirectory.

  • Il server NLDAP viene aggiornato e vengono caricati i plug-in SLAPI.

  • Viene controllato il plug-in NAD per verificarne il caricamento.

Creazione della partizione di configurazione

Questo task consente di suddividere in partizioni il container della configurazione (cn=configurazione) creato durante il task di aggiunta degli oggetti Dominio. Questa partizione di configurazione contiene informazioni sulla struttura fisica e la configurazione della foresta, ad esempio la topologia del sito.

Nel caso di installazione di dominio secondario, la replica del container di configurazione viene aggiunta al server locale.

La partizione di configurazione è specifica della foresta e per default il primo controller di dominio ottiene una replica. Il controller di dominio aggiuntivo riceve la replica di questa partizione se si seleziona l'opzione Replica partizioni schema e configurazione in YaST durante l'installazione.

Creazione della partizione dello schema

Questo task consente di suddividere in partizioni il container della configurazione (cn=configurazione) creato durante il task di aggiunta degli oggetti Dominio.

La partizione dello schema contiene la definizione delle classi di oggetti e degli attributi all'interno della foresta. Se esiste un dominio secondario o un ulteriore controller del dominio, la replica del container dello schema viene aggiunta al server locale.

La partizione di configurazione è specifica della foresta e per default il primo controller di dominio ottiene una replica. Il controller di dominio aggiuntivo riceve la replica di questa partizione se si seleziona l'opzione Replica partizioni schema e configurazione in YaST durante l'installazione.

Aggiunta del controller del dominio

Questo task consente di aggiungere il controller di dominio al dominio.

Questo task consente di creare oggetti aggiuntivi che consentono al server di funzionare come controller di dominio. Il task viene eseguito solo se è stato installato DSfW come controller di dominio aggiuntivo nel dominio.

Assegnazione di diritti

Questo task consente di configurare i diritti di accesso specifici della directory per il dominio e dell'amministratore di dominio di cui si sta eseguendo il provisioning.

Il task esegue le attività riportate di seguito.

  • Calcola gli ACL effettivi.

  • Importa gli elenchi ACL dei diritti di Supervisore NDS® e imposta i diritti per l'amministratore a livello di container.

  • Importa gli ACL dell'amministratore NDS.

Configurazione siti

Vengono create le partizioni dell'oggetto controller del dominio (mSDS:Server), che in eDirectory viene rappresentato come oggetto Container. L'oggetto Controller del dominio è ubicato in cn=Servers,cn=<nomesito>,cn=Sites,cn=Configuration,dc=<nome dominio>

Vengono eseguite le operazioni seguenti:

  • Verifica preliminare dell'ambiente DSfW prima di creare le partizioni dell'oggetto.

  • Creazione delle partizioni dell'oggetto controller del dominio.

  • Verifica finale dell'ambiente DSfW dopo la creazione delle partizioni dell'oggetto.

Riavvia servizi DSfW

Questo task consente di riavviare i servizi in base all'ordine di dipendenza.

Il riavvio è fondamentale perché le modifiche vengano eseguite. Di seguito vengono elencati i servizi che verranno riavviati nell'ambito di questo task.

  1. ndsd (eDirectory)

  2. novell-named (DNS)

  3. nscd (Name Server cache daemon)

  4. rpcd (RPC server)

  5. Xad-krb5kdc (Kerberos)

  6. xad-kpasswdd (Kpassword)

  7. xadsd (XAD daemon)

  8. nmb (server NMB, ricerca NETBIOS)

  9. winbind (winbind)

  10. smb (Samba)

  11. sshd (SSH)

  12. rsyncd (rsync)

Una volta riavviati i servizi, il dominio è attivo. Prima che sia pronto per l'uso è tuttavia necessario eseguire alcuni ulteriori task.

Imposta credenziali per i conti

Questo task consente di impostare la password e di utilizzare l'autenticazione Kerberos per l'account del controller di dominio.

Abilita Kerberos

In DSfW, Kerberos è il protocollo di protezione principale per l'autenticazione all'interno di un dominio. Il meccanismo di autenticazione Kerberos emette richieste di assistenza per l'accesso ai servizi di rete. L'aggiornamento del file krb5.conf fa parte di questo task.

Pulizia

Questo task consente di modificare la configurazione dei servizi, ad esempio sshd, rsync e krb5. Questo task consente di configurare le norme sysvol, sincronizzare le norme di gruppo con NMAS e aggiungere una voce crontab per la sincronizzazione successiva delle norme.

Questo task consente di rimuovere i file da un'installazione parziale o non riuscita. Vengono inoltre rimosse le directory temporanee e i file del punto di controllo creati durante il provisioning.

Per ulteriori informazioni, vedere Note legali.