此场景包含下面的任务。选择一个选项以显示任务的细节。
此任务可验证服务器的状态,以确保其能够进行供应。
作为供应预检查的活动的一部分,会在后台执行健康度校验,以验证系统状态,来避免系统出现过时状态。不验证系统的状态可能会导致系统中出现无法恢复的故障。因此,健康度检查十分重要。
健康度检查将执行以下操作:
校验远程服务器上是否运行有对于安装很重要的服务,如 Kerberos、Samba 和 NMB 服务等。
校验 DNS 服务是否在配置为 DNS 服务器的服务器上处于活动状态。
校验作为复本环部分的所有服务器是否处于活动状态,以及各服务器间的时间是否同步。
校验实施安装的服务器上的 eDirectory 版本是否为 8.8 SP2 或更高版本。
在名称映射的安装场景中,会检查服务器以了解是否包含任何现有的 DSfW 特定对象。
在远程服务器上触发清除,以清除已删除的对象。
此任务将配置 DSfW 服务器上的 DNS 和 WINS。DSfW 使用 DNS 作为其位置服务,使得计算机能够查找域控制器的位置。您还可以将 DSfW 服务器配置为 WINS 服务器。WINS 是 NetBIOS 计算机名称的名称服务器和服务。它为不同子网中的客户端工作站提供 NetBIOS 名称到 IP 地址的映射。
作为 DNS 配置的一部分,将执行以下操作:
配置“正向查找”区域以便域能够解析域名查找的相关查询。
配置“反向区域”以便域能够解析需要关联 DNS 名称和 IP 地址的请求。
创建 NS、SRV、A、PTR 类型的资源记录。
向 DNS 服务器、DNS 组对象和 DNS 定位器对象添加区域参考。
DSfW 当前与 Novell® DNS 密不可分,并且需要至少一个 DNS 服务器才能在域控制器上运行,但未来的计划是为任何能够支持安全 DNS 更新的 DNS 服务器提供支持。
默认情况下,DNS 服务器在林中的第一个域控制器上配置。对于该林中任何其他的域控制器,既可以使用该林中现有的 DNS 服务器,也可以将此服务器配置为 DNS 服务器。在该域中配置任何其他域控制器之前,确保 /etc/resolv.conf 中的 nameserver 条目指向该域的第一个域控制器所使用的 DNS 服务器。
作为 WINS 配置的一部分,将执行以下操作:
在对应的区域对象中创建 DNS 条目。
使用 Samba 服务充当 WINS 服务器所需的参数更新 /etc/samba/smb.conf 文件。
重启动 nmb 进程。
此任务的后检查操作检查是否已创建对应于 WINS 的 DNS 条目和数据文件。
此任务将复本添加到本地服务器。
注:除非名称映射和森林根域安装外,所有的供应场景均会执行此任务。
此任务会装载 SLAPI 插件。SLAPI 插件负责维护 Active Directory 信息模型。这能够确保 SLAPI 框架可在添加任何指定域数据前做好准备。
在配置过程中,将执行下面的任务:
将在 Active Directory 和 eDirectory 纲要对象间映射属性与类。
将会刷新 NLDAP 服务器并装载 SLAPI 插件。
将会选中 NAD 插件以检查是否装载。
此任务会添加域分区中代表特定域信息的域对象。
域分区仅会将数据复制至其域内的域控制器上。除此之外,该任务还会为之后分区的配置和纲要分区创建容器。
此任务会将作为“添加域对象”任务的一部分创建的配置容器 (cn=configuration) 进行分区。此配置分区包含关于物理架构和森林配置(如站点拓扑等)的信息。
对于子域的安装,会将配置容器的复本添加至本地服务器。
此配置分区为森林专有,且在默认情况下每个域的第一个域控制器会获得复本。如果在安装过程中,在 YaST 中选择了
选项,则附加域会收到此分区的复本。此任务会将“添加域对象”任务中创建的纲要容器 (cn=schema) 进行分区。
纲要分区包含对象类的定义和森林内的属性。如果存在子域或附加域控制器,则将纲要容器的复本添加至本地服务器。
此配置分区为森林专有,且在默认情况下每个域的第一个域控制器会获得复本。如果在安装过程中,在 YaST 中选择了
选项,则附加域会收到此分区的复本。此任务将添加配置和纲要分区对象。
该任务可协助维护 Active Directory 信息模型的完整性。
此任务将配置正在供应的域和域管理员在特定目录中的访问权限。
此任务将执行下面的活动:
计算有效的 ACL。
导入 NDS® Super 权限 ACL,并设置管理员在容器级别的权限。
导入 NDS Admin ACL。
此任务分隔域控制器对象 (mSDS:Server),后者的代表是 eDirectory 中的树枝对象。此域控制器对象位于 cn=Servers,cn=<sitename>,cn=Sites,cn=Configuration,dc=<domain name> 下
此任务执行以下操作:
在分隔对象前,预检查 DSfW 环境。
分隔域控制器对象。
在分隔对象后,后检查 DSfW 环境。
此任务会根据依赖关系来重新启动服务。
对于要提交的更改,重新启动十分必要。作为此任务一部分,重新启动的服务为:
ndsd (eDirectory)
novell-named (DNS)
nscd (名称服务器超速缓存守护程序)
rpcd(RPC 服务器)
Xad-krb5kdc (Kerberos)
xad-kpasswdd (Kpassword)
xadsd(XAD 守护程序)
nmb(NMB 服务器,NETBIOS 查找)
winbind (winbind)
smb (Samba)
sshd (SSH)
rsyncd (rsync)
重新启动服务后,即启动您的域。但您在使用前还需要执行一些其他的任务。
此任务将设置口令,并加密管理员、krbgt 以及 GUEST 帐户。
在 DSfW 中,Kerberos 是进行域内鉴定的主要安全协议。Kerberos 鉴定机制会发出访问网络服务的票证。
作为此任务的一部分,将更新 krb5.conf 文件,并向管理员主体发送票据。
这些更改会触发更改储存于 sysvol 中的 Kerberos 策略文件。此更改需要使用 gpo2nmas 实用程序来同步更新 eDirectory。
此任务特定于名称映射安装。扩展现有用户和组对象接收 Active Directory 属性,该属性允许其成为正在供应的域的一部分。某些扩展的属性为补充凭证、objectSid 和 samAccountName。
信任是一种建立在域之间的关系,它能够使一个域中的用户通过其他域中域控制器的鉴定。域间的鉴定通过信任进行。
此任务可建立正在供应的域和父域间的双向可传递信任关系。在可传递信任关系中,所有属于同一森林的域均相互信任。如果添加更多的域,则根域和新的域之间会自动建立信任关系。
例如:如果 A 域信任 B 域,且 B 域信任 C 域,则 C 域的用户可访问 A 域中的资源。
此任务会修改服务的配置,如 sshd、rsync 和 krb5。该任务会配置 sysvol 策略,与 NMAS™ 同步组策略,并为策略的后续同步添加 crontab 条目。
此任务将去除部分或失败的安装中的文件。还可去除在供应期间创建的临时目录和检查点文件。
有关更多信息,请参见 法律声明.