Compartir a través de

Dónde crear un punto de conexión de servicio

  • Artículo

Cuando se instala una instancia de Servicios de dominio de Active Directory, el instalador de servicio crea objetos de punto de conexión de servicio (SCP) en Servicios de dominio de Active Directory. El objetivo principal debe ser minimizar el tráfico de replicación y habilitar la administración y el mantenimiento eficientes de los objetos.

Tenga en cuenta que las aplicaciones cliente buscan SCP buscando palabras clave en el directorio en el SCP. El atributo keywords de un SCP se incluye en el catálogo global; los clientes pueden buscar en el catálogo global para buscar SCP en el bosque. Por este motivo, el cliente no influye en dónde publicar SCPs.

Minimizar el tráfico de replicación

Para minimizar el tráfico de replicación, cree SCP en la partición de dominio del dominio del equipo host del servicio. Por ejemplo, puede crear SCP como objetos secundarios del objeto de equipo en el que está instalado el servicio. Una partición de dominio de Servicios de dominio de Active Directory, a veces denominada contexto de nomenclatura de dominio, contiene objetos específicos del dominio, como los objetos para los usuarios y equipos del dominio. Una réplica completa de todos los objetos de la partición de dominio se replica en todos los controladores de dominio (DC) del dominio, pero no se replica en controladores de dominio de otros dominios.

No cree SCP en la partición de configuración, también conocida como contexto de nomenclatura de configuración, porque los cambios en la partición de configuración se replican en cada controlador de dominio del bosque. Como se indicó anteriormente, los clientes de todo el bosque pueden consultar el catálogo global para buscar SCP en cualquier parte del bosque, por lo que la creación de SCPs en la partición de configuración no hace que sean más visibles para los clientes; solo genera más tráfico de replicación.

Facilidad de administración

Tenga en cuenta las siguientes directrices para la administración de objetos:

  • Coloque objetos específicos del servicio donde los administradores puedan controlar el acceso a ellos mediante permisos de acceso heredados y de directiva.
  • Coloque los objetos en los que un administrador pueda encontrarlos fácilmente.

Una buena ubicación predeterminada que satisfaga ambos objetivos es crear SCP y otros objetos específicos del servicio en el objeto de equipo del equipo host de cada instancia de servicio. Para obtener más información, vea Publicar en un objeto de equipo.

Una buena alternativa para los servicios que no están vinculados a un único host es crear un contenedor para los objetos de servicio en el contenedor del sistema en una partición de dominio. Para obtener más información, consulte Publicación en un contenedor del sistema de dominio.

En el diagrama siguiente se muestra parte de la jerarquía de contenedores predeterminada para una partición de dominio.

jerarquía de contenedores de particiones de dominio predeterminada

En el diagrama se muestra la jerarquía de dominios predeterminada incluida con Servicios de dominio de Active Directory. Sin embargo, muchas empresas crean una jerarquía de contenedores de unidades organizativas (OU) para agrupar clases de objeto, como usuarios y equipos, para fines de administración. A continuación, los administradores pueden aplicar entradas de control de acceso (ACE) heredables y directivas a una unidad organizativa para delegar la autoridad administrativa para los objetos de la unidad organizativa. Esto permite a los administradores administrar de forma eficaz una empresa, pero tiene algunas consecuencias para los programadores de servicios:

  • Es posible que el objeto de equipo de un host de servicio no esté en el contenedor Equipos, como se muestra en el diagrama. Para obtener más información sobre cómo buscar el objeto de equipo para el equipo local, vea Publicar en un objeto de equipo.
  • Los administradores pueden mover objetos a medida que cambian sus necesidades organizativas. Esto significa que no puede depender de los objetos restantes en una ubicación fija; es decir, el servicio no puede depender de que un nombre distintivo de objeto permanezca igual. En su lugar, use el atributo objectGUID de un objeto, que no cambia si se mueve o se cambia el nombre del objeto. Para obtener más información, y un ejemplo de código que crea un SCP, almacena su objectGUID y, posteriormente, recupera el objectGUID para enlazar con el SCP, vea Creación y mantenimiento de un punto de conexión de servicio.
  • Todas las clases de objetos relacionadas con el servicio estándar, así como las subclases de estas clases, son elementos secundarios válidos de las clases computer y organizationalUnit . Si extiende el esquema para definir su propia clase específica del servicio, asegúrese de que las clases computer y organizationalUnit se incluyen en los posibles superiores.
  • El instalador del servicio determina la ubicación predeterminada para crear SCP. Es posible que quiera permitir que el administrador instale el servicio para especificar una ruta de instalación alternativa.

Los objetos específicos del servicio no se deben crear en las áreas siguientes:

  • Los servicios no deben publicar objetos directamente en los contenedores Usuarios o Equipos de una partición de dominio, ni deben crear nuevos contenedores en estos contenedores. Sin embargo, los servicios pueden publicar objetos como objetos secundarios de un objeto de equipo, independientemente de que el objeto de equipo se almacene o no en el contenedor Equipos.
  • Los servicios, que usan el registro y la resolución de Windows Sockets (RnR) o las API del servicio de nombres RPC (RpcNs) para anunciarse ellos mismos, crean los objetos adecuados en los contenedores WinsockServices y RpcServices en el contenedor del sistema de una partición de dominio. No cree explícitamente objetos en estos contenedores. Si lo hace, no causa daños directos, pero puede resultar confuso para los administradores.