Bereitstellen des ersten DSfW-Servers in einem vorhandenen eDirectory-Baum

Dieses Szenario umfasst die folgenden Aufgaben: Wählen Sie eine Option aus, um die Details der Aufgabe anzuzeigen.

Vorabprüfung der Bereitstellung

Mit dieser Aufgabe wird der Status der Server überprüft, um sicherzustellen, dass die Bereitstellung durchgeführt werden kann.

Als Teil der Vorabprüfung der Bereitstellung wird im Hintergrund eine Zustandsprüfung durchgeführt, um den Status des Systems zu validieren und einen ungültigen Status auszuschließen. Wird der Systemstatus nicht validiert, kann dies zu dauerhaften Fehlern im System führen. Daher ist die Zustandsprüfung sehr wichtig.

Bei der Zustandsprüfung werden die folgenden Aktionen durchgeführt:

  • Überprüft, ob die für die Installation wichtigen Services wie Kerberos, Samba und NBM auf dem Fernserver ausgeführt werden.

  • Überprüft, ob der DNS-Service auf dem als DNS-Server konfigurierten Server aktiv ist.

  • Überprüft, ob alle Server, die Teil des Reproduktionsrings sind, aktiv sind und dass die Uhrzeit auf allen Servern synchronisiert ist.

  • Überprüft, ob die Version von eDirectory auf dem Server, auf dem die Installation ausgeführt wird, die Version 8.8 SP2 oder höher ist.

  • Überprüft in einem Installationsszenario ohne zugeordneten Namen den Server, um festzustellen, ob er DSfW-spezifische Objekte enthält.

  • Löst eine Bereinigung auf dem Fernserver aus, um gelöschte Objekte zu entfernen.

DNS- und WINS-Konfiguration

Mit dieser Aufgabe werden DNS und WINS auf dem DSfW-Server konfiguriert. DSfW verwendet DNS als Standortservice, womit Computer den Standort von Domänencontrollern finden können. Sie können auch einen DSfW-Server als WINS-Server konfigurieren. WINS ist ein Nameserver und Service für NetBIOS-Computernamen. Hiermit erfolgt die Zuordnung von NetBIOS-Namen zu IP-Adressen für die Client-Workstations in verschiedenen Teilnetzen.

Im Rahmen der DNS-Konfiguration werden die folgenden Aktionen durchgeführt:

  • Für die Domäne werden Zonen zur Vorwärtssuche konfiguriert, um Abfragen bei der Suche nach Domänennamen aufzulösen.

  • Umkehrzonen werden für die Domäne konfiguriert, um Anforderungen aufzulösen, die einen DNS-Namen mit einer IP-Adresse verknüpfen müssen.

  • Ressourcendatensätze vom Typ NS, SRV, A, PTR werden erstellt.

  • Die Zonenreferenzen werden dem DNS-Server, dem DNS-Gruppenobjekt und dem DNS-Locator-Objekt hinzugefügt.

    Zurzeit ist DSfW eng mit Novell® DNS verbunden und benötigt mindestens einen DNS-Server, um auf einem Domänencontroller ausgeführt werden zu können. Es gibt jedoch Zukunftspläne zur Unterstützung aller DNS-Server, die sichere DNS-Aktualisierungen unterstützen.

Standardmäßig ist der DNS-Server auf dem ersten Domänencontroller in einer Gesamtstruktur konfiguriert. Für alle zusätzlichen Domänencontroller in der Gesamtstruktur können Sie entweder den in der Gesamtstruktur vorhandenen DNS-Server verwenden oder diesen Server als DNS-Server konfigurieren. Bevor Sie einen zusätzlichen Domänencontroller in der Domäne konfigurieren, stellen Sie sicher, dass der Nameservereintrag in /etc/resolv.conf auf den DNS-Server zeigt, den der erste Domänencontroller der Domäne verwendet.

Im Rahmen der WINS-Konfiguration werden die folgenden Aktionen durchgeführt:

  • Der DNS-Eintrag wird im zugehörigen Zonenobjekt erstellt.

  • Die Datei /etc/samba/smb.conf file wird mit den Parametern aktualisiert, die erforderlich sind, damit Samba-Services als WINS-Server fungieren können.

  • Der nmb-Prozess wird gestartet.

Bei der Nachprüfung für die Aufgabe wird überprüft, ob der DNS-Eintrag und die Datendateien, die zu WINS gehören, erstellt wurden.

Hinzufügen einer Domänenreproduktion

Mit dieser Aufgabe wird die Reproduktion zum lokalen Server hinzugefügt.

HINWEIS:Diese Aufgabe wird bei allen Bereitstellungsszenarien ausgeführt, außer bei der Installation von Domänen ohne zugeordneten Namen und von Stammdomänen der Gesamtstruktur.

Konfiguration des SLAPI-Plugins

Mit dieser Aufgabe werden die SLAPI-Plugins geladen. SLAPI-Plugins dienen dazu, die Active Directory-Informationsmodelle beizubehalten. Dadurch wird sichergestellt, dass der SLAPI-Framework bereit ist, bevor domänenspezifische Daten hinzugefügt werden.

Bei dem Konfigurationsvorgang werden die folgenden Aufgaben ausgeführt:

  • Attribute und Klassen werden zwischen den Schemaobjekten von Active Directory und eDirectory zugeordnet.

  • Der NLDAP-Server wird aktualisiert und die SLAPI-Plugins werden geladen.

  • Es wird überprüft, ob das NAD-Plugin geladen ist.

Hinzufügen von Domänenobjekten

Mit dieser Aufgabe werden die Domänenobjekte hinzugefügt, die die domänenspezifischen Informationen unter der Domänenpartition darstellen.

Die Domänenpartition reproduziert Daten nur auf den Domänencontrollern innerhalb der eigenen Domäne. Außerdem erstellt sie auch Container für die Konfiguration sowie Schemapartitionen, die später partitioniert werden.

Erstellung einer Konfigurationspartition

Mit dieser Aufgabe wird der Konfigurationscontainer (cn=Konfiguration) partitioniert, der als Teil der Aufgabe zum Hinzufügen von Domänenobjekten erstellt wurde. Diese Konfigurationspartition enthält Informationen über die physische Struktur und Konfiguration der Gesamtstruktur (wie die Topologie der Website).

Zur Installation einer untergeordneten Domäne wird die Reproduktion des Konfigurationscontainers dem lokalen Server hinzugefügt.

Die Konfigurationspartition ist spezifisch für die Gesamtstruktur. Standardmäßig erhält der erste Domänencontroller jeder Domäne eine Reproduktion. Die zusätzliche Domäne erhält die Reproduktion dieser Partition, wenn Sie bei der Installation die Option Schema- und Konfigurationspartitionen reproduzieren in YaST auswählen.

Erstellung einer Schemapartition

Mit dieser Aufgabe wird der Schemacontainer (cn=Schema) partitioniert, der bei Ausführung der Aufgabe zum Hinzufügen von Domänenobjekten erstellt wurde.

Die Schemapartition enthält die Definition der Objektklassen und -attribute innerhalb der Gesamtstruktur. Wenn eine untergeordnete Domäne vorhanden ist oder zusätzliche Domänencontroller, wird die Reproduktion des Schemacontainers dem lokalen Server hinzugefügt.

Die Konfigurationspartition ist spezifisch für die Gesamtstruktur. Standardmäßig erhält der erste Domänencontroller jeder Domäne eine Reproduktion. Die zusätzliche Domäne erhält die Reproduktion dieser Partition, wenn Sie bei der Installation die Option Schema- und Konfigurationspartitionen reproduzieren in YaST auswählen.

Hinzufügen von Konfigurationsobjekten

Mit dieser Aufgabe werden die Objekte der Konfigurations- und Schemapartition hinzugefügt.

Sie trägt dazu bei, die Integrität mit dem Informationsmodell von Active Directory aufrecht zu erhalten.

Rechtezuweisung

Mit dieser Aufgabe werden verzeichnisspezifische Zugriffsrechte für die Domäne und für den bereitzustellenden Domänenadministrator konfiguriert.

Es werden die folgenden Aktivitäten ausgeführt:

  • Berechnung von effektiven ACLs.

  • Import von Rechte-ACLs für NDS Super und Festlegen der Rechte für den Administrator auf Containerebene.

  • Import der NDS-Admin-ACLs.

Konfigurieren von Sites

Mit dieser Aufgabe wird das Domänencontrollerobjekt (mSDS:Server) partitioniert, das in eDirectory als Containerobjekt dargestellt wird. Dieses Domänencontrollerobjekt befindet sich unter cn=Servers,cn=<sitename>,cn=Sites,cn=Configuration,dc=<domain name>

Diese Aufgabe führt die folgenden Aktionen aus:

  • Führt vor der Partitionierung des Objekts eine Vorabprüfung der DSfW-Umgebung durch.

  • Partitioniert das Domänencontrollerobjekt.

  • Führt nach der Partitionierung des Objekts eine Nachprüfung der DSfW-Umgebung durch.

Neustart der DSfW-Services

Mit dieser Aufgabe werden die Services in der Reihenfolge der Abhängigkeit neu gestartet.

Der Neustart ist wichtig, damit die Änderungen angewendet werden. Die Services, die als Teil dieser Aufgabe neu gestartet werden, lauten:

  1. ndsd (eDirectory)

  2. novell-named (DNS)

  3. nscd (Cache-Daemon des Nameservers)

  4. rpcd (RPC-Server)

  5. Xad-krb5kdc (Kerberos)

  6. xad-kpasswdd (Kpassword)

  7. xadsd (XAD-Daemon)

  8. nmb (NMB-Server, NETBIOS-Suche)

  9. winbind (winbind)

  10. smb (Samba)

  11. sshd (SSH)

  12. rsyncd (rsync)

Nach dem Neustart der Services ist Ihre Domäne aktiv. Bevor sie jedoch verwendet werden kann, müssen einige weitere Aufgaben ausgeführt werden.

Berechtigungsnachweise für Konten festlegen

Mit dieser Aufgabe wird das Passwort festgelegt und der Administrator, krbgt und die Gastkonten für Kerberos bereitgestellt.

Kerberos aktivieren

In DSfW ist Kerberos das primäre Sicherheitsprotokoll zur Authentifizierung innerhalb einer Domäne. Der Authentifizierungsmechanismus von Kerberos stellt Tickets für den Zugriff auf Netzwerkservices aus.

Als Teil dieser Aufgabe wird die Datei krb5.conf aktualisiert und der Verwaltungsprinzipal erhält ein Ticket.

Diese Änderungen lösen eine Änderung in den Dateien mit den Kerberos-Richtlinien aus, die in sysvol gespeichert werden. Für diese Änderung ist eine Synchronisierungsaktualisierung von eDirectory erforderlich. Dies erfolgt mithilfe des Dienstprogramms gpo2nmas.

Objekte für SAM konfigurieren

Mit dieser Aufgabe werden alle vorhandenen Benutzer und Gruppen erweitert, die zu einem Teil der Domäne werden, die mit Active Directory-spezifischen Attributen bereitgestellt wird.

Diese Aufgabe ist spezifisch für die Installation mit zugeordnetem Namen. Die vorhandenen Benutzer- und Gruppenobjekte werden erweitert, wodurch sie zu einem Teil der Domäne werden, die bereitgestellt wird. Einige der erweiterten Attribute lauten supplementoryCredentials, objectSid und samAccountName.

Löschoptionen

Mit dieser Aufgabe wird die Konfiguration der Services wie sshd, rsync und krb5 bearbeitet. Mit dieser Aufgabe werden die sysvol-Richtlinien konfiguriert, die Gruppenrichtlinien mit NMAS™ synchronisiert und es wird ein crontab-Eintrag für die anschließende Synchronisierung der Richtlinien hinzugefügt.

Mit dieser Aufgabe werden die Dateien einer Teilinstallation oder fehlgeschlagenen Installation entfernt. Sie entfernt auch die bei der Bereitstellung erstellten temporären Verzeichnisse und Checkpoint-Dateien.

Weitere Informationen hierzu finden Sie unter Rechtliche Hinweise.