Udostępnij za pośrednictwem

Gdzie utworzyć punkt połączenia usługi

  • Artykuł

Po zainstalowaniu wystąpienia usług Active Directory Domain Services, instalator tworzy obiekty punktu połączenia usługi (SCP) w tej usłudze. Głównym celem powinno być zminimalizowanie ruchu replikacji i umożliwienie wydajnej administracji i konserwacji obiektów.

Należy pamiętać, że aplikacje klienckie znajdują SCP, przeszukując katalog w poszukiwaniu słów kluczowych w SCP. Atrybut słów kluczowych SCP jest zawarty w Globalnym Katalogu; klienci mogą przeszukiwać Globalny Katalog, aby znaleźć SCP w lesie katalogu domeny. Z tego powodu klient nie ma wpływu na miejsce publikowania SCPs.

Minimalizuj ruch związany z replikacją

Aby zminimalizować ruch związany z replikacją, utwórz SCP w partycji domeny komputera, na którym jest hostowana usługa. Można na przykład utworzyć scPs jako obiekty podrzędne obiektu komputera, na którym jest zainstalowana usługa. Partycja domeny usług Active Directory Domain Services, czasami nazywana kontekstem nazewnictwa domeny, zawiera obiekty specyficzne dla domeny, takie jak obiekty dla użytkowników i komputerów domeny. Pełna replika wszystkich obiektów w partycji domeny jest replikowana do każdego kontrolera domeny (DC), ale nie jest replikowana do kontrolerów domeny innych domen.

Nie należy tworzyć SCP w partycji konfiguracji, znanej również jako kontekst nazewnictwa konfiguracji, ponieważ zmiany w partycji konfiguracji są replikowane do każdego kontrolera domeny w lesie. Jak wspomniano powyżej, klienci w całym lesie mogą przesyłać zapytania do Katalogu Globalnego w celu znalezienia SCPs w dowolnym miejscu w lesie, więc tworzenie SCPs w partycji konfiguracji nie sprawia, że są bardziej widoczne dla klientów; powoduje jedynie większy ruch związany z replikacją.

Łatwość administrowania

Rozważ następujące wskazówki dotyczące administrowania obiektami:

  • Umieść obiekty specyficzne dla usługi, dla których administratorzy mogą kontrolować dostęp, przy użyciu zasad i dziedziczonych uprawnień dostępu.
  • Umieść obiekty, w których administrator może je łatwo znaleźć.

Dobrą domyślną lokalizacją spełniającą oba cele jest utworzenie SCP i innych obiektów specyficznych dla usługi pod obiektem komputera hosta każdego wystąpienia usługi. Aby uzyskać więcej informacji, zobacz Publishing Under a Computer Object.

Dobrą alternatywą dla usług, które nie są powiązane z jednym hostem, jest utworzenie kontenera dla obiektów usługi w kontenerze System w partycji domeny. Aby uzyskać więcej informacji, zobacz Publishing w kontenerze systemu domeny.

Na poniższym diagramie przedstawiono część domyślnej hierarchii kontenerów dla partycji domeny.

domyślna hierarchia kontenera partycji domeny

Na diagramie przedstawiono domyślną hierarchię domeny dołączona do usług Active Directory Domain Services. Jednak wiele przedsiębiorstw tworzy hierarchię kontenerów jednostek organizacyjnych (OU) do grupowania klas obiektów, takich jak użytkownicy i komputery, razem na potrzeby administracji. Administratorzy mogą następnie stosować zasady i dziedziczone wpisy kontroli dostępu (ACE) do jednostki organizacyjnej, aby delegować uprawnienia administracyjne dla obiektów w jednostce organizacyjnej. Dzięki temu administratorzy mogą efektywnie zarządzać przedsiębiorstwem, ale ma kilka konsekwencji dla programistów usług:

  • Obiekt komputera hosta usługi może nie znajdować się w kontenerze Komputery, jak pokazano na diagramie. Aby uzyskać więcej informacji na temat znajdowania obiektu komputera dla komputera lokalnego, zobacz Publikowanie w obszarze obiektu komputera.
  • Administratorzy mogą przenosić obiekty w miarę zmiany potrzeb organizacji. Oznacza to, że nie można zależeć od obiektów pozostałych w stałej lokalizacji; oznacza to, że usługa nie może zależeć od nazwy wyróżniającej obiektu, która pozostaje taka sama. Zamiast tego należy użyć atrybutu objectGUID obiektu, który nie zmienia się, jeśli obiekt zostanie przeniesiony lub zmieniono jego nazwę. Aby uzyskać więcej informacji oraz przykład kodu, który tworzy Punkt Połączenia Usługi (SCP), przechowuje jego objectGUID, a następnie pobiera objectGUID do powiązania z SCP, zobacz Tworzenie i utrzymywanie punktu połączenia usługi.
  • Wszystkie standardowe klasy obiektów związanych z usługą, a także wszystkie podklasy tych klas, są prawidłowymi elementami podrzędnych komputera i klasami organizacyjnymiUnit . Jeśli rozszerzysz schemat, aby zdefiniować własną klasę specyficzną dla usługi, upewnij się, że klasy komputer i jednostka organizacyjna są uwzględnione jako możliwi przełożeni.
  • Instalator usługi określa domyślną lokalizację tworzenia scPs. Możesz zezwolić administratorowi na zainstalowanie usługi w celu określenia alternatywnej ścieżki instalacji.

Obiekty specyficzne dla usługi nie powinny być tworzone w następujących obszarach:

  • Usługi nie powinny publikować obiektów bezpośrednio w kontenerach Użytkownicy lub Komputery partycji domeny ani tworzyć nowych kontenerów w tych kontenerach. Jednak usługi mogą publikować obiekty jako obiekty podrzędne obiektu komputera, niezależnie od tego, czy obiekt komputera jest przechowywany w kontenerze Komputery.
  • Usługi, które korzystają z rejestracji i rozpoznawania w systemie Windows Sockets (RnR) lub z interfejsów API usługi nazw RPC (RpcNs) do reklamowania swoich usług, tworzą odpowiednie obiekty w kontenerach WinsockServices i RpcServices w systemowym kontenerze partycji domeny. Nie twórz jawnie obiektów w tych kontenerach. Nie powoduje to bezpośredniej szkody, ale może być mylące dla administratorów.