Esplorazione di siti e servizi Active Directory di Windows Server 2008
Se sei responsabile di un reparto IT di piccole o medie dimensioni, è probabile che tu abbia dato solo uno sguardo superficiale alla console Active Directory Sites And Services, installata su ciascuno dei controller di dominio. Per la maggior parte, solo le organizzazioni con gerarchie di Active Directory relativamente complesse, quelle che richiedono più siti, domini, foreste, partizioni, ecc. — generalmente hanno la necessità di utilizzare questo strumento su base regolare. Anche se hai usato questo strumento solo un po ‘ in passato, probabilmente era per uno scopo specifico, come la creazione di un oggetto criteri di gruppo.
Esaminiamo la console di Active Directory Sites And Services fornita con Windows Server 2008. Imparerai quali operazioni vengono eseguite da questo strumento e come lo strumento è migliorato da Windows Server 2003. Imparerai anche come eseguire alcune attività comuni.
Che cosa fa?
Microsoft indica che lo scopo dello strumento Active Directory Sites And Services è quello di ” amministrare la topologia di replica sia all’interno di un sito in una LAN (Local Area Network) che tra siti in una WAN (Wide Area Network).”In termini più semplici, lo strumento Siti e servizi di Active Directory è l’interfaccia principale per la creazione, la configurazione e la gestione di siti di Active Directory e sottoreti IP, la gestione di server di catalogo globali, collegamenti di siti e spose di collegamenti di siti e la replica tra siti. Ciascuna di queste aree è esaminata in modo più dettagliato in questo articolo.
L’articolo suddivide i siti e i servizi di Active Directory comuni in tre gruppi:
- Attività incentrate sul server
- Attività del sito
- Attività di replica del sito
Le attività del server includono:
- Selezione di un criterio di query.
- Attivazione di un server di catalogo globale.
- Disabilitazione di un server di catalogo globale.
- Che designa un server di testa di ponte preferito per un sito.
- Spostamento dei controller di dominio tra i siti.
- Controllo della topologia di replica.
- Eliminazione dei metadati del server estinti.
Le attività del sito includono:
- Creazione di un sito.
- Rinominare un sito.
- Eliminazione di un sito.
- Creazione di una sottorete.
- Associazione di una sottorete a un sito.
- Eliminazione di una sottorete.
- Selezione di un altro computer con licenza.
- Memorizzazione nella cache delle appartenenze di gruppo universali.
- Delega del controllo di un sito.
- Collegamento a una foresta.
- Connessione a un controller di dominio.
- Rivelare il nodo servizi.
Le attività di replica del sito includono:
- Creazione di un collegamento al sito.
- Eliminazione di un collegamento al sito.
- Creazione di un ponte di collegamento del sito.
- Eliminazione di un ponte di collegamento del sito.
- Configurazione della disponibilità della replica del collegamento al sito.
- Configurazione del costo del collegamento al sito.
- Configurazione della frequenza di replica del collegamento sito.
- Ignorare le pianificazioni di replica.
- Abilitare o disabilitare i ponti di collegamento del sito.
- Aggiunta di un sito a un collegamento al sito.
- Aggiunta manuale di connessioni.
- Forzare la replica su una connessione.
La maggior parte di queste attività riguardano la creazione e la gestione di più siti all’interno di Active Directory; come tale, non tutti sono esaminati in modo approfondito in questo articolo.
Le attività più comuni che verranno eseguite con i siti e i servizi di Active Directory sono:
- Creazione di un oggetto Criteri di gruppo a livello di sito.
- Attivazione o disattivazione di un server di catalogo globale.
- Memorizzazione nella cache delle appartenenze di gruppo universali.
Cosa c’è di diverso da Windows Server 2003?
Gli strumenti di base di Active Directory (incluso questo) hanno subito pochi cambiamenti in Windows Server 2008. I cambiamenti più significativi che dovresti cercare includono quanto segue:
- Scheda Editor attributi: in ogni schermata delle proprietà dell’oggetto, ora vedrai una scheda etichettata Editor attributi. Le informazioni in questa scheda forniscono accesso diretto a ciascuno degli attributi di Active Directory dell’oggetto. Da qui, puoi sia visualizzare che modificare qualsiasi proprietà dell’oggetto senza doverlo cercare nella GUI-se la GUI fornisce anche un campo per ogni proprietà. Questa nuova funzionalità è un’aggiunta molto gradita allo strumento e la troverai anche negli altri strumenti di Active Directory forniti con Windows Server 2008. Questa nuova scheda è mostrata in Figura A.
Figura A
La scheda Editor attributi
- Proteggi l’oggetto dall’eliminazione accidentale: nella pagina delle proprietà di ogni oggetto nella scheda Oggetto è presente una casella denominata Proteggi l’oggetto dall’eliminazione accidentale. L’attivazione di questa casella di controllo (Figura B) significa che l’eliminazione di un oggetto diventa un processo in due fasi, che è molto meno soggetto a errori.
Figura B
Proteggere Oggetto Dalla Cancellazione Accidentale casella di controllo
- pulsante Trova: Sulla barra degli strumenti, all’estrema destra, si vedrà un pulsante ricerca che consente di individuare rapidamente gli oggetti che si desidera manipolare.
- Gestione criteri di gruppo: la scheda Criteri di gruppo non si trova più nella pagina delle proprietà del sito; la gestione criteri di gruppo viene ora eseguita esclusivamente tramite la console di gestione criteri di gruppo. Microsoft ha iniziato il processo di eliminazione dell’utente di siti e servizi di Active Directory per la gestione dei criteri di gruppo in Windows Server 2003 e ha finalizzato tale processo in Windows Server 2008.
Questi sono i principali cambiamenti e, come si può dire, non sono molto di un impatto. Anche se il pulsante Trova è bello, è la scheda Editor di attributi che è il vero bonus in questa versione, così come l’aggiunta della console di gestione dei criteri di gruppo.
Trovare il modo per aggirare
In Windows Server 2008, ci sono un paio di modi per accedere allo strumento Siti e servizi di Active Directory. Indipendentemente dal metodo scelto, è necessario accedere al server utilizzando un account con diritti di amministratore di dominio e di amministratore aziendale.
Da un controller di dominio di Windows Server 2008, è possibile utilizzare il nuovo strumento Server Manager e passare a Ruoli / Servizi di dominio Active Directory / Siti e servizi Active Directory, come mostrato nella Figura C.
Figura C
Siti e servizi di Active Directory nel contesto di Server Manager
Anche se Windows Server 2008 viene fornito con il nuovo Server Manager, non è necessario utilizzarlo. Come è sempre stato il caso, è possibile avviare Siti e servizi di Active Directory da Start | Tutti i programmi | Strumenti di amministrazione | Siti e servizi di Active Directory.
Se hai mai lavorato con la console di gestione Microsoft, avrai familiarità con il layout. C’è una serie di menu a discesa nella parte superiore della finestra. Sotto la barra dei menu c’è una barra dei pulsanti che fornisce funzionalità con un clic alle procedure utilizzate di frequente.
Infine, vedrai tre riquadri. Il riquadro di sinistra fornisce una vista ad albero della configurazione di Active Directory. Il riquadro centrale mostra gli oggetti per il contenitore evidenziati nel riquadro di sinistra. Il riquadro di destra è il nuovo riquadro Azioni, che Microsoft ha iniziato ad aggiungere a molte delle sue applicazioni. Questo riquadro fornisce un modo rapido per accedere alle funzioni disponibili per l’oggetto selezionato nel riquadro centrale. Se non vedi il riquadro Azione, fai clic sul pulsante Mostra / Nascondi riquadro azione sulla barra dei pulsanti (secondo pulsante a destra) per visualizzare questa funzione. Figura D dà uno sguardo a Siti e servizi di Active Directory. Vedrai anche uno degli elementi del riquadro Azione espanso per darti un’occhiata a come funziona.
Figura D
Siti e servizi di Active Directory con il riquadro delle azioni che mostra
Scelte di menu
La barra dei menu consente di accedere alle seguenti funzioni:
- File: Dal menu File, è possibile accedere alla finestra Opzioni, che consente di ripulire le informazioni della console (che non si farà tutto ciò che spesso). È inoltre possibile uscire da Siti e servizi di Active Directory facendo clic su Esci.
- Azione: le voci di questo menu cambiano a seconda dell’oggetto selezionato di seguito. La maggior parte delle volte, gli elementi del menu Azione sono le stesse scelte che si otterrebbe se si fa clic destro su un oggetto.
- Visualizza: il menu Visualizza consente di personalizzare l’aspetto della console di Active Directory Sites And Services. È possibile modificare la modalità di visualizzazione degli oggetti, il numero di colonne visualizzate e persino filtrare gli oggetti che non si desidera visualizzare.
- Help: Help consente di accedere ai file della guida per la console di Active Directory Sites And Services e MMC in generale.
La barra dei pulsanti
Come la maggior parte degli MMC, i siti di Active Directory e la barra dei pulsanti del Servizio assomigliano maggiormente a un browser Web. Come i pulsanti del browser, questi pulsanti sono relativamente auto-esplicativi. Da sinistra a destra, questi pulsanti sono:
- Indietro
- Avanti
- Livello
- Mostra/Nascondi struttura di Console
- Copia/Taglia/Incolla (a seconda di che cosa si sta facendo)
- Elimina
- Proprietà
- Aggiorna
- Esporta Elenco
- Guida
- Mostra/Nascondi Riquadro Azioni
- Trova gli oggetti in Active Directory Domain Services
Si noterà che, come si va da contenitore a contenitore in basso di windows, pulsanti cambiano o non sono disponibili.
L’albero della console
Il riquadro di sinistra è chiamato albero della console. Questo riquadro visualizza tutto il Sito e gli oggetti correlati per Active Directory. Per accedere a oggetti e proprietà specifici, navigare nella console come per qualsiasi altra applicazione. Dopo l’espansione della cartella Siti, troverete i seguenti oggetti predefiniti in Siti e servizi di Active Directory:
- Sottoreti: questo contenitore contiene tutte le sottoreti configurate all’interno del sito. Per impostazione predefinita, non vengono create sottoreti con l’installazione di Windows Server 2008.
- Trasporti inter-site: Questo contenitore contiene gli oggetti collegamento sito IP e SMTP utilizzati per collegare i siti tra loro. Viene creata un’istanza di collegamento sito predefinita per l’IP e viene assegnato il nome DEFAULTIPSITELINK. Per impostazione predefinita, nessun collegamento al sito SMTP viene creato in un nuovo dominio Windows Server 2008.
- Nome del sito: il nome del sito predefinito è, come nella Figura E, Default-First-Site-Name. Tutti i server all’interno del sito si trovano in questo contenitore da cui possono essere ulteriormente configurati e gestiti.
Figura E
Siti e servizi di Active Directory con un nome sito selezionato.
Attività comuni
Armati di questa breve introduzione allo strumento Siti e servizi di Active Directory, ecco alcune attività comuni che potrebbero essere eseguite con questo strumento, anche se in organizzazioni più piccole.
Configurazione di un server di catalogo globale
Guardando indietro alla figura E, esaminare attentamente la figura e notare che sotto l’albero della console sul lato sinistro esiste l’oggetto Impostazioni NTDS; nel riquadro destro della finestra esiste l’oggetto Impostazioni sito NTDS. Non confonderli.
Per impostazione predefinita, solo il primo controller di dominio installato in una nuova foresta è configurato come server di catalogo globale. È possibile creare ulteriori server di catalogo globale espandendo il nodo server specifico che si desidera configurare come server di catalogo globale e facendo clic con il pulsante destro del mouse sull’oggetto Impostazioni NTDS che si trova sotto di esso. La finestra di dialogo Proprietà Impostazioni NTDS si aprirà come si vede in Figura F. Per configurare il controller di dominio come server catalogo globale, selezionare l’opzione Server catalogo globale e fare clic su OK per chiudere la finestra di dialogo Proprietà.
Figura F
Rendere un server un server di catalogo globale
Implementare la cache di gruppo universale
In Windows 2000 Server, un evento di accesso utente richiedeva i servizi di un server di catalogo globale per autenticare l’utente con Active Directory. In Windows Server 2003, Universal Group Caching aggiunge una nuova svolta a questo processo, consentendo all’utente di accedere alla rete senza la necessità di contattare un server di catalogo globale.
Quando è configurata la cache di gruppo universale, l’appartenenza di gruppo universale di un utente viene memorizzata nella cache di un controller di dominio la prima volta che accede alla rete utilizzando tale controller di dominio. Le informazioni della cache sono considerate valide per un periodo di tempo, dopodiché vengono aggiornate dal catalogo globale. Il valore predefinito è di otto ore, anche se è possibile modificarlo se necessario. Quando la cache è configurata, gli utenti in posizioni remote senza server di catalogo globale sperimentano tempi di accesso più rapidi. Inoltre, un errore di un server di catalogo globale non impedirà necessariamente l’accesso riuscito di un utente alla rete.
Universal Group Caching è configurato a livello di sito utilizzando l’oggetto Impostazioni sito NTDS, visto in Figura E. Fare clic con il pulsante destro del mouse sull’oggetto Impostazioni sito NTDS e selezionare Proprietà dal menu di scelta rapida. Si apre la finestra di dialogo Proprietà Impostazioni sito NTDS.
Per abilitare la memorizzazione nella cache, selezionare l’opzione Abilita la memorizzazione nella cache di appartenenza a un gruppo universale. Si può scegliere di avere la cache aggiornata da un sito specifico o dal più vicino sito che dispone di un server di Catalogo Globale utilizzando il <Default> opzione, che si può vedere in Figura G.
Figura G
Abilitazione o disabilitazione di Appartenenza a un Gruppo Universale di memorizzazione nella Cache
C’è di più dove che è venuto da
I Siti di Active Directory E Servizi viene utilizzata una console per un bel paio di altri compiti di alto livello, tra cui creazione e gestione di siti, sito, la creazione di collegamenti e di gestione e la subnet creazione e la gestione. Per comprendere il processo e lo scopo di queste attività, è necessario innanzitutto avere una buona comprensione della progettazione e dell’implementazione di Active Directory multi-sito altamente complesse.
Vuoi tenere il passo con i post di Scott Lowe su TechRepublic?
- Iscriviti automaticamente alla newsletter Server e Storage
- Iscriviti al feed RSS Server e Storage
- Segui Scott Lowe su Twitter