Windows - A dsmgmt, az ADAM parancssori kezelőeszköze

ADAM 9. rész

Az ADAM parancssori kezelőeszközének a dsmgmt eszköznek a tárgyalását folytatjuk cikkünkben, és bemutatjuk az előző részből kimaradt opciók bemutatását. Ezek az LDAP házirendek, metaadat törlések, valamint műveleti szerepkezelés.
LDAP policies
Beállítja az LDAP adminisztrációs korlátokat az alapértelmezetten lekérdező házirendi objektumokra. Az LDAP házirendek eléréséhez: a prompt-ba írjuk be, hogy dsmgmt, majd azt, hogy ldap policies, és üssünk entert. Az ldap policies prompt megjelenésével használjuk az alábbi szintaxist:
Szintaxis
{cancel changes|commit changes|connections|list|
set %s to %s|show values}
Paraméterek
  • cancel changes
Megszakít minden lezáratlan (commit előtt lévő) módosítást az LDAP admin korlátokon az alapértelmezett lekérdező házirendre.
  • commit changes
Érvényesít minden módosítást az előzőekben tárgyalt LDAP admin korlátokkal kapcsolatban.
  • connections
Meghívja a server connections almenüt.
  • list
Kilistáz minden támogatott LDAP admin korlátot az ADAM példányhoz.
  • set %s1 to %s2
Beállítja a %s1 nevű LDAP admin korlát értékét %s2-re.
  • show values
Megjeleníti az aktuális és javasolt értékeket az LDAP admin korlátokhoz.
Megjegyzések
  • Az alábbi tábla leírja az LDAP admin korlátokat, zárójelben megjelenített alapértelmezett értékekkel.
Érték Leírás
InitRecvTimeout Kezdeti fogadásra vonatkozó time-out (120 másodperc).
MaxConnections A nyitott kapcsolatok maximális száma (5000).
MaxConnIdleTime Egy kapcsolat szabad rendelkezésre állási idejének maximális hossza (900 másodperc).
MaxActiveQueries Együttes aktív lekérdezések maximális száma (20).
MaxNotificationPerConnection Maximális értesítések száma, amelyet egy kliens a kapcsolatról kérhet (5).
MaxPageSize Az LDAP válaszok által támogatott maximális lapméret (1000 rekord).
MaxQueryDuration A maximális idő, ameddig egy ADAM példány futtatni képes egy lekérdezést (120 másodperc).
MaxTempTableSize A lefoglalt maximális átmeneti tárolóméret lekérdezések futtatásához (10.000 rekord).
MaxResultSetSize Az LDAP válaszkészlet maximális mérete (262.144 bájt).
MaxPoolThreads A futtatási szálak maximális száma, amelyet egy ADAM példány lekérdezés futtatásra hozhat létre (processzoronként 4).
MaxDatagramRecv Adatcsomagok maximum száma, amelyet egy ADAM példány szimultán fel tud dolgozni (1024).
  • Ahhoz, hogy megbizonyosodjunk arról, hogy az ADAM példány képes a szolgáltatási szint garancia-támogatására, adjunk meg műveleti korlátokat számos LDAP művelethez. Ezek a korlátok meggátolják, hogy adott műveletek károsan befolyásolják a szerver teljesítményét, és ellenállóvá teszik a kiszolgálót a dos (denial-of-service) támadásokkal szemben.
Az LDAP házirendek úgy implementáltak, hogy a queryPolicy osztály objektumait használják. Házirend lekérdező objektumok létrehozhatók a Query Policies tárolóban, amely a Directory Service tároló gyermeke a konfigurációs elnevezési kontextusban. Például: CN=Query-Policies, CN=Directory Service, CN=Windows NT, CN=Services (konfigurációs címtárpartíció).
Egy ADAM példány a következő három módszert használja arra, hogy LDAP házirendeket érvényesítsen:
  • Egy ADAM példány utalhat egy megadott LDAP házirendre. Az nTDSASettings objektum beemel egy opcionális queryPolicyObject attribútumot, amely a Query Policy megkülönböztető nevét tartalmazza.
  • Egy ADAM példányra vonatkozóan megadott lekérdezési házirend hiányában az ADAM példány azt a házirendet érvényesíti, amely az ADAM példány telephelyéhez rendelt. Az ntDSSiteSettings objektum tartalmaz egy opcionális queryPolicyObject attribútumot, amely tartalmazza a Query Policy megkülönböztető nevét.
  • Egy megadott ADAM példány, vagy egy telephelyi Query Policy hiányában egy ADAM példány azt az alapértelmezett Query Policy-t használja, amelyet Default-Query Policy-nek nevezünk.
Egy Query Policy objektum tartalmazza a többértékű LDAPIPDenyList és LDAPAdminLimits attribútumokat. Egy rendszergazda arra használhatja a dsmgmt-t, hogy LDAP admin korlátokat állítson be (nem az IP korlátozó listához) a Default-Query objektumhoz.
metadata cleanup
Törli a megszűnt ADAM példányokra vonatkozó metaadatokat. Ennek alkalmazásához a dsmgmt prompt-ba írjuk be azt, hogy metadata cleanup, és üssünk entert. A kapott prompt-ban az alábbi szintaxist kell használnunk:
Szintaxis
{connections|
remove selected domain|
remove selected naming context|
remove selected server|select operation target}
Paraméterek
  • connections
Eltávolítja a Select operation target almenüben kiválasztott tartományra vonatkozó metaadatokat.
  • remove selected domain
Ez a parancs nem vonatkozik az ADAM-ra.
  • remove selected naming context
Eltávolítja a kiválasztott elnevezési kontextusra vonatkozó címtárszolgáltatási objektumokat.
  • remove selected server
Eltávolítja a Select operation target almenüben kiválasztott ADAM példányra vonatkozó metaadatokat.
  • select operation target
Meghívja a Select operation target almenüt.
Megjegyzés
Metaadatokat minden ADAM példány tárol a konfigurációs készletében. Amikor egy ADAM példány eltávolításra kerül, akkor mindazon metaadatok, amelyek az ADAM példányból máshová replikálódtak, törlésre kerülnek. Néha megesik, hogy a törölt ADAM példányra vonatkozó metaadatok megmaradnak a replikálásra kijelölt ADAM példány konfigurációs készletében. Ahhoz, hogy ezeket a fennmaradó adatokat töröljük, kapcsolódjunk ahhoz az ADAM példányhoz, ahol ezek az adatok megtalálhatók, és válasszuk ki a törölt ADAM példányt műveleti célpontként.
Figyelem! Ne töröljük meglévő ADAM példányok metaadatait!
popups {on|off}
Be- vagy kikapcsolja az interaktív pop-up üzeneteket. A dsmgmt prompt-ba írjuk be, hogy popups on, vagy popups off a be- illetve a kikapcsoláshoz.
roles
Átalakítja és lefoglalja a műveleti mester szerepeket. A dsmgmt prompt-ba írjuk be, hogy roles, és üssünk entert. Az alábbi szintaxist kell alkalmaznunk:
Megjegyzés
Csak az elnevezési mester és séma mester szerepek vonatkoznak az ADAM-ra. A PDC, RID és infrastruktúra mesterekre vonatkozó szerepek nem alkalmazhatók ADAM-ra.
Szintaxis
{connections|seize naming master|
seize infrastructure master|seize PDC|
seize RID master|seize schema master|
select operation target|
transfer naming master|
transfer infrastructure master|transfer PDC|
transfer RID master|transfer schema master}
Paraméterek
  • connections
Meghívja a szerver connections almenüt.
  • seize naming master
Kikényszeríti azt, hogy az az ADAM példány, amelyhez kapcsolódunk, átvegye az elnevezési mester műveleti szerepet anélkül, hogy foglalkozna azzal az adattal, amely a szerepre vonatkozik. Csak helyreállítási céllal használjuk!
  • seize infrastructure master
Nem vonatkozik az ADAM-ra.
  • seize PDC
Nem vonatkozik az ADAM-ra.
  • seize RID master
Nem vonatkozik az ADAM-ra.
  • seize schema master
Kikényszeríti azt, hogy az az ADAM példány, amelyhez kapcsolódunk, átvegye a séma mester műveleti szerepet anélkül, hogy foglalkozna azzal az adattal, amely a szerepre vonatkozik. Csak helyreállítási céllal használjuk!
  • select operation target
Meghívja a Select operation target almenüt. Az almenüből listázhatjuk a műveleti mester (más néven: flexible single master operations, vagy FSMO) szerepeket, amelyek az aktuálisan kiválasztott szerveren tárolódnak. A select operation target alparancsok teljes listájához használjuk a ? parancsot az almenüben.
  • transfer naming master
Arra képzi ki az ADAM példányt – amellyel kapcsolatunk van –, hogy vezérelt átvitellel megszerezze az elnevezési szerepet.
  • transfer infrastructure master
Nem vonatkozik az ADAM-ra.
  • transfer PDC
Nem vonatkozik az ADAM-ra.
  • transfer RID master
Nem vonatkozik az ADAM-ra.
  • transfer schema master
Arra képzi ki az ADAM példányt – amellyel kapcsolatunk van –, hogy vezérelt átvitellel megszerezze a séma szerepet.
Megjegyzések
Habár az ADAM többvezérlős adminisztrációs modellen alapszik, némely műveleteket csak egy mester végezhet. A többvezérlős műveleteknél a konfliktuskezelés biztosítja, hogy miután a rendszer befejezte a replikációt, valamennyi másolat jóváhagyja az adott objektum adott tulajdonságának értékét. Mivel némely adatok esetében a konfliktuskezelés nem lehetséges, ezeknél a rendszerszintű művelet kulcsfontosságú. Ezeket az adatokat egyedi ADAM példányok kezelik, amelyeket műveleti mestereknek nevezünk.
Az alábbi kettő műveleti mester szerep vonatkozik az ADAM konfigurációs készletekre:
  • Schema operations master. Minden ADAM konfigurációs készlethez létezik egy séma műveleti mester szerep. Ez a szerep teszi lehetővé, hogy a műveleti mester szerver elfogadja a sémafrissítéseket. A sémafrissítésekre más korlátozások is vonatkoznak.
  • Naming master. Minden ADAM konfigurációs készlethez létezik egy elnevezési műveleti mester szerep. Ez a szerep teszi lehetővé a tulajdonosnak, hogy új kereszthivatkozású objektumokat definiáljon, amelyek a címtár partíciókat reprezentálják a partíciós tárolóban.
Egy műveleti mester szabály csak adminisztrációs beavatkozás folytán mozoghat szerverek között, nem léphet át más kiszolgálóra automatikusan. Ezen felül egy szerep mozgását standard hozzáférésvezérlők irányítják. Egy szervezet így szorosan képes vezérelni a műveleti mester szerepek helyét és mozgását. Például egy erős információs technológiával rendelkező szervezet elhelyezheti a séma szerepet az IT csoport egyik szerverén, és beállíthatja, hogy az ACL nem mozgatható.
A műveleti mester szerepek számára kétféle kezelés szükséges: vezérelt átvitel és lefoglalás.
A vezérelt átvitelt akkor használjuk, ha egy szerepet egyik szerverről a másikra akarunk átvinni, mivel lehetséges követni egy házirendváltozást, figyelembe véve a szerep helyét, vagy megelőzve egy szerver leállását, költöztetését vagy feladatának megszűnését.
A lefoglalás akkor szükséges, amikor egy szerver meghibásodik, amely valamely szerepet birtokol, és nem tudjuk visszaállítani. Még akkor is, ha egy szerver mentésből visszaállítható, nem feltételezi azt, hogy valamely szereppel rendelkezik (még ha a mentési szalag azt is mondja), mivel a szerver nem tudja meghatározni, hogy vajon a szerepet legitim módon átvette-e tőle más kiszolgáló a mentés elkészülte és a meghibásodás között. A visszaállított kiszolgáló csak akkor feltételezi magáról, hogy a szereppel rendelkezik, ha a jelenlévő szerverek határozatképesen elérhetők a helyreállítás alatt, és valamennyien megerősítik, hogy a visszaállított szerver a szerep tulajdonosa.
A roles almenü a dsmgmt-ben arra használható, hogy vezérelt átvitelt, valamint a műveleti mester szerep helyreállítást végezzen. A vezérelt átvitel egyszerű és biztonságos. Mivel a forrás- és a célkiszolgáló fut, ezért a rendszerszoftver garantálja, hogy a műveleti mester szerep jel és a megfelelő adat biztonságosan átkerült. A műveleti mester szerep lefoglalása egyaránt egyszerű, de nem olyan biztonságos, csak egyszerűen közöljük valamely ADAM példánnyal, hogy mostantól a tulajdonosa lett valamely szerepnek.
Figyelem! Ne végezzünk szerver szerep lefoglalást, ha a valódi szereptulajdonos megtalálható a hálózaton, mivel ez a művelet kibékíthetetlen konfliktust okoz a kulcsfontosságú rendszeradatokban. Ha egy műveleti mester szerep tulajdonos átmenetileg elérhetetlen, ne tegyünk más ADAM példányt szereptulajdonossá. Ez olyan szituációt idézhet elő, amelyben két számítógép funkcionál szereptulajdonosként, és ez a fentiekben említett konfliktushelyzetet okoz.
security account management
Ez a parancs nem vonatkozik az ADAM-ra.

ADAM cikksorozat