在新的 eDirectory 树中供应第一 DSfW 服务器

此场景包含下面的任务。选择一个选项以显示任务的细节。

供应预检查

此任务可验证服务器的状态,以确保其能够进行供应。

作为供应预检查的活动的一部分,会在后台执行健康度校验,以验证系统状态,来避免系统出现过时状态。不验证系统的状态可能会导致系统中出现无法恢复的故障。因此,健康度检查十分重要。

健康度检查将执行以下操作:

  • 校验远程服务器上是否运行有对于安装很重要的服务,如 Kerberos、Samba 和 NMB 服务等。

  • 校验 DNS 服务是否在配置为 DNS 服务器的服务器上处于活动状态。

  • 校验作为复本环部分的所有服务器是否处于活动状态,以及各服务器间的时间是否同步。

  • 校验实施安装的服务器上的 eDirectory 版本是否为 8.8 SP2 或更高版本。

  • 在名称映射的安装场景中,会检查服务器以了解是否包含任何现有的 DSfW 特定对象。

  • 在远程服务器上触发清除,以清除已删除的对象。

DNS 和 WINS 配置

此任务将配置 DSfW 服务器上的 DNS 和 WINS。DSfW 使用 DNS 作为其位置服务,使得计算机能够查找域控制器的位置。您还可以将 DSfW 服务器配置为 WINS 服务器。WINS 是 NetBIOS 计算机名称的名称服务器和服务。它为不同子网中的客户端工作站提供 NetBIOS 名称到 IP 地址的映射。

作为 DNS 配置的一部分,将执行以下操作:

  • 配置“正向查找”区域以便域能够解析域名查找的相关查询。

  • 配置“反向区域”以便域能够解析需要关联 DNS 名称和 IP 地址的请求。

  • 创建 NS、SRV、A、PTR 类型的资源记录。

  • 向 DNS 服务器、DNS 组对象和 DNS 定位器对象添加区域参考。

    DSfW 当前与 Novell® DNS 密不可分,并且需要至少一个 DNS 服务器才能在域控制器上运行,但未来的计划是为任何能够支持安全 DNS 更新的 DNS 服务器提供支持。

默认情况下,DNS 服务器在林中的第一个域控制器上配置。对于该林中任何其他的域控制器,既可以使用该林中现有的 DNS 服务器,也可以将此服务器配置为 DNS 服务器。在该域中配置任何其他域控制器之前,确保 /etc/resolv.conf 中的 nameserver 条目指向该域的第一个域控制器所使用的 DNS 服务器。

作为 WINS 配置的一部分,将执行以下操作:

  • 在对应的区域对象中创建 DNS 条目。

  • 使用 Samba 服务充当 WINS 服务器所需的参数更新 /etc/samba/smb.conf 文件

  • 重启动 nmb 进程。

此任务的后检查操作检查是否已创建对应于 WINS 的 DNS 条目和数据文件。

创建域分区

此任务将创建域的分区。

此分区具有所有域对象的完整讯息。域对象的相关讯息将被复制至相同域中的域控制器上。

注:不会在名称映射场景中执行此任务。

SLAPI 插件配置

此任务会装载 SLAPI 插件。SLAPI 插件负责维护 Active Directory 信息模型。这能够确保 SLAPI 框架可在添加任何指定域数据前做好准备。

在配置过程中,将执行下面的任务:

  • 将在 Active Directory 和 eDirectory 纲要对象间映射属性与类。

  • 将会刷新 NLDAP 服务器并装载 SLAPI 插件。

  • 将会选中 NAD 插件以检查是否装载。

添加域对象

此任务会添加域分区中代表特定域信息的域对象。

域分区仅会将数据复制至其域内的域控制器上。除此之外,该任务还会为之后分区的配置和纲要分区创建容器。

创建配置分区

此任务会将作为“添加域对象”任务的一部分创建的配置容器 (cn=configuration) 进行分区。此配置分区包含关于物理架构和森林配置(如站点拓扑等)的信息。

对于子域的安装,会将配置容器的复本添加至本地服务器。

此配置分区为森林专有,在默认情况下每个域的第一个域控制器会接收复本。如果在安装过程中,在 YaST 中选择了复本纲要和配置分区选项,则附加域控制器会收到此分区的复本。

创建纲要分区

此任务会将“添加域对象”任务中创建的纲要容器 (cn=schema) 进行分区。

纲要分区包含对象类的定义和森林内的属性。如果存在子域或附加域控制器,则将纲要容器的复本添加至本地服务器。

此配置分区为森林专有,在默认情况下每个域的第一个域控制器会接收复本。如果在安装过程中,在 YaST 中选择了复本纲要和配置分区选项,则附加域控制器会收到此分区的复本。

添加配置对象

此任务将添加配置和纲要分区对象。

该任务可协助维护 Active Directory 信息模型的完整性。

权限指派

此任务将配置正在供应的域和域管理员在特定目录中的访问权限。

此任务将执行下面的活动:

  • 计算有效的 ACL。

  • 导入 NDS® Super 权限 ACL,并设置管理员在容器级别的权限。

  • 导入 NDS Admin ACL。

配置站点

此任务分隔域控制器对象 (mSDS:Server),后者的代表是 eDirectory 中的树枝对象。此域控制器对象位于 cn=Servers,cn=<sitename>,cn=Sites,cn=Configuration,dc=<domain name>

此任务执行以下操作:

  • 在分隔对象前,预检查 DSfW 环境。

  • 分隔域控制器对象。

  • 在分隔对象后,后检查 DSfW 环境。

重新启动 DSfW 服务

此任务会根据依赖关系来重新启动服务。

对于要提交的更改,重新启动十分必要。作为此任务一部分,重新启动的服务为:

  1. ndsd (eDirectory)

  2. novell-named (DNS)

  3. nscd (名称服务器超速缓存守护程序)

  4. rpcd(RPC 服务器)

  5. Xad-krb5kdc (Kerberos)

  6. xad-kpasswdd (Kpassword)

  7. xadsd(XAD 守护程序)

  8. nmb(NMB 服务器,NETBIOS 查找)

  9. winbind (winbind)

  10. smb (Samba)

  11. sshd (SSH)

  12. rsyncd (rsync)

重新启动服务后,即启动您的域。但您在使用前还需要执行一些其他的任务。

设置帐户身份凭证

此任务将设置口令,并加密管理员、krbgt 以及 GUEST 帐户。

启用 Kerberos

在 DSfW 中,Kerberos 是进行域内鉴定的主要安全协议。Kerberos 鉴定机制会发出访问网络服务的票证。

作为此任务的一部分,将更新 krb5.conf 文件,并向管理员主体发送票据。

这些更改会触发更改储存于 sysvol 中的 Kerberos 策略文件。此更改需要使用 gpo2nmas 实用程序来同步更新 eDirectory。

清理

此任务会修改服务的配置,如 sshd、rsync 和 krb5。该任务会配置 sysvol 策略,与 NMAS™ 同步组策略,并为策略的后续同步添加 crontab 条目。

此任务将去除部分或失败的安装中的文件。还可去除在供应期间创建的临时目录和检查点文件。

有关更多信息,请参见 法律声明.