Zaopatrywanie domeny podrzędnej ze zmapowaną nazwą w istniejącym lesie usług DSfW

Ten scenariusz obejmuje następujące zadania. Aby wyświetlić szczegóły określonego zadania, wybierz odpowiednią opcję.

Wstępne sprawdzanie zaopatrywania

To zadanie umożliwia zweryfikowanie stanu serwerów w celu upewnienia się, że są one gotowe do zaopatrywania.

Wstępne sprawdzanie zaopatrywania obejmuje wykonywane w tle sprawdzanie stanu w celu zatwierdzenia stanu systemu i uniknięcia stanu zestarzenia się. Jeśli stan systemu nie zostanie zatwierdzony, może to spowodować nieodwracalne awarie w systemie. Dlatego sprawdzenie stanu jest bardzo ważne.

Sprawdzanie stanu obejmuje następujące działania:

  • Sprawdzenie, czy na serwerze zdalnym są uruchomione istotne usługi wymagane do instalacji, takie jak Kerberos, Samba i NMB.

  • Sprawdzenie, czy na serwerze skonfigurowanym jako serwer DNS jest aktywna usługa DNS.

  • Sprawdzenie, czy wszystkie serwery wchodzące w skład pierścienia replik są aktywne i czy mają zsynchronizowane wskazania godziny.

  • Sprawdzenie, czy serwer, na którym jest przeprowadzana instalacja, udostępnia usługę eDirectory w wersji 8.8 SP2 lub nowszej.

  • W scenariuszu instalacji ze zmapowaną nazwą serwer jest sprawdzany w celu ustalenia, czy zawiera istniejące obiekty właściwe dla usług DSfW.

  • Uruchomienie likwidacji na serwerze zdalnym w celu wyczyszczenia usuniętych obiektów.

Konfiguracja usług DNS i WINS

To zadanie umożliwia skonfigurowanie usług DNS i WINS na serwerze DSfW. W usługach DSfW usługa DNS jest używana jako usługa położenia umożliwiająca komputerom ustalanie położenia kontrolerów domeny. Serwer DSfW można też skonfigurować jako serwer WINS. WINS to serwer nazw i usługa dla nazw komputerów NetBIOS. Dostarcza ona nazwę NetBIOS do celów mapowania adresu IP dla stacji roboczych klientów w różnych podsieciach.

Zadanie konfiguracji usługi DNS obejmuje następujące działania:

  • Skonfigurowanie stref wyszukiwania do przodu dla domeny w celu rozstrzygania zapytań podczas wyszukiwania nazw domen.

  • Skonfigurowanie stref wyszukiwania wstecznego dla domeny w celu rozstrzygania żądań wymagających skojarzenia nazwy DNS z adresem IP.

  • Utworzenie rekordów zasobów typu NS, SRV, A i PTR.

  • Dodanie odwołań strefy do serwera DNS, obiektu grupy DNS i obiektu lokalizatora DNS.

    Obecnie usługi DSfW są ściśle powiązane z usługą DNS firmy Novell® i wymagają uruchomienia co najmniej jednego serwera na kontrolerze domeny. Planowane jest jednak wprowadzenie obsługi dowolnego serwera DNS obsługującego bezpieczne aktualizacje DNS.

Domyślnie serwer DNS jest skonfigurowany na pierwszym kontrolerze domeny w lesie. W przypadku każdego dodatkowego kontrolera domeny w lesie można użyć istniejącego serwera DNS w lesie lub skonfigurować ten serwer jako serwer DNS. Przed skonfigurowaniem dodatkowego kontrolera domeny w domenie należy sprawdzić, czy wpis nazwy serwera w pliku /etc/resolv.conf wskazuje na serwer DNS używany przez pierwszy kontroler domeny w domenie.

Zadanie konfiguracji usługi WINS obejmuje następujące działania:

  • Utworzenie wpisu DNS w skojarzonym obiekcie strefy.

  • Zaktualizowanie pliku /etc/samba/smb.conf przy użyciu parametrów wymaganych do pełnienia roli serwera WINS przez usługi Samba.

  • Ponowne uruchomienie procesu nmb.

Operacja sprawdzania końcowego dla tego zadania weryfikuje, czy wpis DNS i pliki danych odpowiadające serwerowi WINS zostały utworzone.

Dodawanie repliki domeny

To zadanie umożliwia dodanie repliki do serwera lokalnego.

UWAGA:To zadanie jest wykonywane we wszystkich scenariuszach zaopatrywania z wyjątkiem scenariusza bez zmapowanej nazwy i instalacji domeny głównej lasu.

Konfigurowanie dodatków typu plug-in SLAPI

To zadanie umożliwia załadowanie dodatków typu plug-in SLAPI. Te dodatki obsługują model informacji usługi Active Directory. Pozwala to zagwarantować, że system SLAPI będzie gotowy przed dodaniem danych właściwych dla domeny.

Proces konfiguracji obejmuje następujące zadania:

  • Mapowanie atrybutów i klas dla obiektów schematu usług Active Directory i eDirectory.

  • Odświeżenie serwera NLDAP i załadowanie dodatków typu plug-in SLAPI.

  • Sprawdzenie, czy dodatek typu plug-in NAD jest załadowany.

Dodawanie obiektów domeny

To zadanie umożliwia dodanie obiektów domeny, które odpowiadają informacjom właściwym dla domeny w partycji domeny.

Partycja domeny umożliwia replikowanie danych wyłącznie na kontrolerach domeny w domenie, do której należy dana partycja. W ramach tego zadania są również tworzone kontenery dla partycji konfiguracji i schematu, które są następnie dzielone na partycje.

Tworzenie partycji konfiguracji

To zadanie umożliwia dokonanie podziału na partycje w kontenerze konfiguracji (cn=configuration) utworzonym w ramach zadania Dodawanie obiektów domeny. Ta partycja konfiguracji zawiera informacje o strukturze fizycznej i konfiguracji lasu, takie jak topologia lokacji.

W przypadku instalacji domeny podrzędnej replika kontenera konfiguracji jest dodawana do serwera lokalnego.

Partycja konfiguracji jest właściwa dla lasu. Domyślnie replika jest przekazywana do pierwszego kontrolera domeny w każdej domenie. Replika tej partycji jest przekazywana do dodatkowego kontrolera domeny w przypadku wybrania opcji Przeprowadź replikację konfiguracji i partycji schematu w programie YaST podczas instalacji.

Tworzenie partycji schematu

To zadanie umożliwia dokonanie podziału na partycje w kontenerze schematu (cn=schema) utworzonym w ramach zadania Dodawanie obiektów domeny.

Partycja schematu zawiera definicję klas i atrybutów obiektów w lesie. Jeśli istnieje domena podrzędna lub dodatkowy kontroler domeny, replika kontenera schematu jest dodawana do serwera lokalnego.

Partycja konfiguracji jest właściwa dla lasu. Domyślnie replika jest przekazywana do pierwszego kontrolera domeny w każdej domenie. Replika tej partycji jest przekazywana do dodatkowego kontrolera domeny w przypadku wybrania opcji Przeprowadź replikację konfiguracji i partycji schematu w programie YaST podczas instalacji.

Dodawanie obiektów konfiguracji

To zadanie umożliwia dodanie obiektów partycji konfiguracji i schematu.

Ułatwia to zachowanie integralności z modelem informacji usługi Active Directory.

Przypisywanie praw

To zadanie umożliwia skonfigurowanie właściwych dla katalogu praw dotyczących domeny i zaopatrywanego administratora domeny.

Obejmuje ono następujące działania:

  • Określenie efektywnych list ACL.

  • Zaimportowanie list ACL określających prawa nadzorcy usług NDS® oraz ustawienie praw dla administratora na poziomie kontenera.

  • Zaimportowanie list ACL administratora usług NDS.

Konfiguruj lokalizacje

To zadanie dzieli na partycje obiekt kontrolera domeny (mSDS:Server), który jest reprezentowany w katalogu eDirectory jako obiekt kontenera. Ten obiekt kontrolera domeny znajduje się w lokalizacji cn=Servers,cn=<nazwa lokalizacji>,cn=Sites,cn=Configuration,dc=<nazwa domeny>

W ramach tego zadania wykonywane są następujące czynności:

  • Wstępne sprawdzanie środowiska usług DSfW przed rozpoczęciem dzielenia obiektu na partycje.

  • Dzielenie obiektu kontrolera domeny na partycje.

  • Sprawdzanie końcowe środowiska usług DSfW po podzieleniu obiektu na partycje.

Ponowne uruchamianie usług DSfW

To zadanie umożliwia ponowne uruchomienie usług w kolejności zależności.

Ponowne uruchomienie jest niezbędne do wprowadzenia zmian. Usługi uruchamiane ponownie w ramach tego zadania to:

  1. ndsd (eDirectory)

  2. novell-named (DNS)

  3. nscd (demon pamięci podręcznej serwera nazw)

  4. rpcd (serwer RPC)

  5. Xad-krb5kdc (Kerberos)

  6. xad-kpasswdd (Kpassword)

  7. xadsd (demon XAD)

  8. nmb (serwer NMB, wyszukiwanie NETBIOS)

  9. winbind (winbind)

  10. smb (Samba)

  11. sshd (SSH)

  12. rsyncd (rsync)

Po ponownym uruchomieniu usług domena jest włączona. Aby przygotować ją do użytku, należy wykonać kilka dodatkowych zadań.

Ustawianie poświadczeń dla kont

To zadanie umożliwia ustawienie hasła i szyfrowanie za pomocą protokołu Kerberos dla kont administratora, krbtgt i gościa.

Włączanie protokołu Kerberos

W usługach DSfW protokół Kerberos jest podstawowym protokołem zabezpieczeń używanym do uwierzytelniania w domenie. Mechanizm uwierzytelniania Kerberos umożliwia wystawianie biletów na potrzeby dostępu do usług sieciowych.

To zadanie obejmuje aktualizację pliku krb5.conf i wysłanie biletu do podmiotu administratora.

Te zmiany powodują zmodyfikowanie plików założeń protokołu Kerberos, przechowywanych w katalogu sysvol. Ta zmiana wymaga aktualizacji zapewniającej synchronizację z usługą eDirectory. W tym celu jest używany program narzędziowy gpo2nmas.

Ujednolicanie obiektów

To zadanie jest właściwe dla instalacji ze zmapowaną nazwą. Istniejące obiekty użytkowników i grup są rozszerzane w celu otrzymania atrybutów usługi Active Directory, dzięki którym te obiekty mogą stać się częścią zaopatrywanej domeny. Rozszerzanie obejmuje między innymi atrybuty supplementoryCredentials, objectSid i samAccountName.

Ustanawianie zaufania

Ustanawiana jest relacja zaufania między domenami, która umożliwia uwierzytelnianie użytkowników jednej domeny przez kontroler domeny w drugiej domenie. Uwierzytelnianie między domenami jest oparte na zaufaniu.

To zadanie umożliwia ustanowienie przechodnich, dwukierunkowych relacji zaufania między zaopatrywaną domeną a jej domeną nadrzędną. Po ustanowieniu zaufania przechodniego wszystkie domeny należące do tego samego lasu ufają sobie nawzajem. Dodanie nowej domeny powoduje ustanowienie automatycznej relacji zaufania między domeną główną a nową domeną.

Jeśli na przykład domena A ufa domenie B, a domena B ufa domenie C, to użytkownicy z domeny C mogą uzyskiwać dostęp do zasobów w domenie A.

Porządkowanie

To zadanie umożliwia zmodyfikowanie konfiguracji usług takich jak sshd, rsync i krb5. Obejmuje ono skonfigurowanie założeń katalogu sysvol, zsynchronizowanie założeń grupy z usługą NMAS oraz dodanie wpisu crontab dla kolejnych synchronizacji założeń.

To zadanie umożliwia usunięcie plików pozostałych po częściowej lub nieudanej instalacji. Usuwane są również katalogi tymczasowe i pliki punktów kontrolnych utworzone podczas zaopatrywania.

Aby uzyskać więcej informacji, patrz sekcja Informacje prawne.