Plattform und Infrastruktur
Kapitel 5: Implementieren der Infrastruktur
Veröffentlicht: 11. Mai 2004 | Aktualisiert: 26. Jun 2006
In den vorherigen Kapiteln dieses Artikels haben Sie Informationen über typische Probleme und Anforderungen sowie über den Entwurf einer Infrastruktur für die Identitäts- und Zugriffsverwaltung erhalten. Dieses Kapitel dient als Anleitung für die Vorbereitung der Infrastruktur von Contoso Pharmaceuticals. Hier werden außerdem die Tools und Vorlagen vorgestellt, die Sie zum Erstellen der Basisumgebung verwenden können. Dabei handelt es sich um eine Implementierungsvoraussetzung für die anderen Artikel dieser Serie.
Diese Anleitungen wurden so konzipiert, dass Sie Beratern und Kunden das Erstellen von Szenarios in Bezug auf Microsoft Identity and Access Management-Lösungen in einem Labor oder einer Umgebung zum Nachweisen der Durchführbarkeit erleichtern.
Auf dieser Seite
Tools und Vorlagen
Übersicht über die Infrastrukturdienste
Baseline-Implementierung
Tools und Vorlagen
Im Downloadpaket für die Identitäts- und Zugriffsverwaltung ist die Datei Identity and Access Management Tools and Templates.msi enthalten. Dabei handelt es sich um die Installationsdatei für die Tools und Vorlagen. Beim Ausführen der Installationsdatei ähnelt die Ordnerstruktur der Struktur, die in der folgenden Abbildung dargestellt ist. Die genaue Struktur hängt jedoch davon ab, wo Sie die Datei installieren.
Abbildung 5.1 Ordnerstruktur für Tools und Vorlagen
Hinweis Beim Installieren des MSI-Pakets für Tools und Vorlagen kann gelegentlich ein Fehler auftreten. In der Datei „Readme.htm“ der Identitäts- und Zugriffsverwaltungsserie finden Sie diesbezüglich weitere Informationen.
Die in diesem Download enthaltenen Tools und Vorlagen enthalten textbasierte Skripts, Codebeispiele und Konfigurationsdateien für die Identitäts- und Zugriffsverwaltung, ausführbare Programme oder kompilierter Code sind jedoch nicht vorhanden.
Hinweis Beim enthaltenen Code handelt es sich lediglich um Beispiele. Vor dem Einsatz in einer Produktionsumgebung sind diese Tools und Vorlagen unbedingt zu überprüfen, anzupassen und zu testen.
Ordner: Baseline
Dateiname |
Zweck |
---|---|
ADBaseline.vbs |
Von diesem Microsoft® Visual Basic®-Skript werden für Contoso Pharmaceuticals mehrere Organisationseinheiten (Organizational Unit, OU), Gruppen und Benutzer in einer Microsoft Active Directory®-Verzeichnisdienstgesamtstruktur erstellt. Dies ist eine Voraussetzung für die folgenden Artikel dieser Serie. |
ExchangeBaseline.vbs |
Von diesem Microsoft Visual Basic-Skript werden die erforderlichen Contoso-Exchange-Speichergruppen und die Postfachspeicher zum Unterstützen der Contoso-Benutzern im Intranet erstellt. |
IntranetADData.txt |
Diese Datei enthält die Baseline-Organisationseinheiten, -Gruppen und -Benutzer des Active Directory-Intranetverzeichnisses in einem durch Bindestriche getrennten Format. Diese Datei wird von den Skripts „ADBaseline.vbs“ und „ExchangeBaselin.vbs“ verwendet. |
ExtranetADData.txt |
Diese Datei enthält die Baseline-Organisationseinheiten, -Gruppen und -Benutzer des Active Directory-Extranetverzeichnisses in einem durch Bindestriche getrennten Format. Diese Datei wird vom Skript „ADBaseline.vbs“ verwendet. |
Übersicht über die Infrastrukturdienste
Die Identitäts- und Zugriffsverwaltungsinfrastruktur von Contoso Pharmaceuticals wird gemäß der entsprechenden Dienstanleitung auf der Seite Windows Server System Reference Architecture (WSSRA) erstellt.
Contoso hat zur Unterstützung der Identitäts- und Zugriffsverwaltungsinitiativen insbesondere folgende Microsoft-Dienste implementiert:
Netzwerkdienste einschließlich der DNS- (Domain Name System) und DHCP-Dienste (Dynamic Host Configuration Protocol) von Microsoft Windows Server™ 2003
Verzeichnisdienste einschließlich einer Active Directory-Intranetgesamtstruktur und einer Active Directory-Extranetgesamtstruktur von Windows Server 2003
Zertifikatdienste einschließlich einer dreistufigen PKI-Infrastruktur (Public Key Infrastructure) von Windows Server 2003
Webanwendungsdienste von IIS 6.0 (Internet Information Service), das in Windows Server 2003 enthalten ist
Middlewaredienste, die von Microsoft .NET Framework bereitgestellt und unter Windows Server 2003 ausgeführt werden
Firewall- und Proxyservices, die von Microsoft ISA Server 2000 (Internet Security and Acceleration) bereitgestellt und unter Windows Server 2003 ausgeführt werden
Hinweis Contoso Pharmaceuticals hat sich entschieden, Schattenkonten in der Active Directory-Extranetgesamtstruktur zu verwenden, anstatt eine Vertrauensstellung zwischen der Active Directory-Extranetgesamtstruktur und der Active Directory-Intranetgesamtstruktur zu implementieren (siehe WSSRA-Anleitungen).
Darüber hinaus hat Contoso die Lebenszyklusanleitungen für Messagingdienste implementiert, die Bestandteil von WSSRA (Windows Server System Reference Architecture) sind (siehe Introduction to Messaging Services, in englischer Sprache).
Zu Testzwecken werden die Messagingdienste von Contoso auf einem Computer mit dem Betriebssystem Windows Server 2003 ausgeführt, auf dem auch Microsoft Exchange 2003 vorhanden ist.
Infrastruktursicherheit
Alle in der Contoso-Umgebung vorhandenen Windows Server 2003-Server wurden gemäß den entsprechenden Anleitungen im Windows Server 2003-Sicherheitshandbuch sicher konfiguriert.
Baseline-Implementierung
Contoso Pharmaceuticals verwendet mehrere Gruppen, Benutzer und andere Baseline-Konfigurationsdetails, die in der Umgebung erforderlich sind, damit die nachfolgenden Lösungsszenarios dieser Serie ordnungsgemäß funktionieren.
In diesem Abschnitt wird erläutert, wie die grundlegende Contoso-Umgebung unter Berücksichtigung der in diesem Artikel bereits beschriebenen Dienste zu konfigurieren ist:
Ein Computer im Intranet, auf dem Exchange Server 2003 ausgeführt wird und auf dem sich die erforderlichen Intranetdomänen-Benutzerpostfächer und -Speichergruppen befinden
Eine Active Directory-Intranetgesamtstruktur mit den erforderlichen Organisationseinheiten, Gruppen und Benutzern
Eine Active Directory-Extranetgesamtstruktur mit den erforderlichen Organisationseinheiten, Gruppen und Benutzern
Auffüllen der Exchange-Umgebung von Contoso
Die Exchange-Umgebung von Contoso ist das primäre Mailsystem für Contoso-Benutzer. Bevor Contoso-Benutzer erstellt werden können, müssen die erforderlichen Speichergruppen und Postfachspeicher vorhanden sein. Führen Sie dieses Skript in einer Eingabeaufforderung zum Öffnen mit „cscript.exe“ als Skripthost aus.
Verwenden des Skripts „ExchangeBaseline.vbs“
Führen Sie das Skript „ExchangeBaseline.vbs“ mit der ausführbaren Datei „cscript“ als Skripthost aus. Stellen Sie sicher, dass Sie das Skript in der Eingabeaufforderung folgendermaßen ausführen:
CSCRIPT.EXE ExchangeBaseline.vbs <param1>
Für das Skript wird folgender Parameter verwendet:
/s: Obligatorisch. Dieser Parameter gibt den Ziel-Exchange Server an, mit dem die Verbindung hergestellt werden soll.
Beispiel für eine Befehlszeile zum Ausführen dieses Skripts:
Cscript.exe ExchangeBaseline.vbs /s <hostname>
Hinweis Das Ausführen dieses Skripts kann aufgrund des zum Bereitstellen von Postfachspeichern verwendeten Microsoft Exchange-Prozesses einige Minuten in Anspruch nehmen.
So konfigurieren Sie die Exchange-Umgebung
Melden Sie sich mit Administratorrechten beim Exchange Server von Contoso an.
Klicken Sie auf Start und anschließend auf Ausführen. Geben Sie dann in der Eingabeaufforderung zum Öffnen „cmd.exe“ein, und klicken Sie auf OK.
Führen Sie die Datei ExchangeBaseline.vbs aus, indem Sie „cscript.exe“ als Skripthost verwenden.
Achten Sie darauf, dass Sie in der Eingabeaufforderung das Skript folgendermaßen eingeben:
Cscript.exe ExchangeBaseline.vbs /s FFL-NA-MSG-01
Hinweis Ersetzen Sie „FFL-NA-MSG-01“ durch den Namen Ihres Exchange Servers.
Vergewissern Sie sich, dass vom Skript für alle Vorgänge die folgende Bestätigungsmeldung zurückgegeben wird:
Completed Successfully.
Wenn nach dem Ausführen des Skripts Fehler auftreten, beheben Sie das Problem, und führen Sie das Skript dann erneut aus.
Auffüllen der Active Directory-Intranetgesamtstruktur
Die Active Directory-Intranetgesamtstruktur von Contoso „na.contoso.com“ ist das primäre Intranetverzeichnis für Contoso. Vom Skript „ADBaseline.vbs“ werden die Organisationseinheiten, Benutzer und Gruppen erstellt, die für die Contoso-Lösungsszenarios dieser Serie benötigt werden.
Verwenden des Skripts „ADBaseline.vbs“
Führen Sie das Skript „ADBaseline.vbs“ mit der ausführbaren Datei „cscript“ als Skripthost aus. Stellen Sie sicher, dass Sie das Skript in der Eingabeaufforderung folgendermaßen ausführen:
CSCRIPT ADBaseline.vbs <param1> <param2> <param3> <param4>
Für das Skript werden folgende Parameter verwendet:
/t: Obligatorisch. Dieser Parameter gibt die vorzubereitende Zielumgebung an, die im vorliegenden Szenario das Intranet sein muss.
/s: Obligatorisch. Dieser Parameter gibt den Domänencontroller an, der für Active Directory als Ziel gilt.
/m: Nur für das Intranet. Dieser Parameter gibt den Ziel-Exchange Server an, mit dem die Verbindung hergestellt werden soll. Dieser Parameter wird für das Extranet ignoriert.
/f: Optional. Dieser Parameter gibt die Zieldatendatei an, die die Intranetbenutzerinformationen für Contoso enthält. Standardmäßig wird vom Skript die Datei „IntranetADData.txt“ verwendet.
Beispiel für eine Befehlszeile zum Ausführen dieses Skripts:
Hinweis Zur besseren Lesbarkeit wurde die Zeile in mehrere Zeilen aufgeteilt. Zum Testen dieser Zeile auf einem System ist sie jedoch ohne Umbrüche einzugeben.
Cscript.exe ADBaseline.vbs /t intranet /s <domain controller>
/m <Exchange Server> /f IntranetADData.txt
Sie können dieses Skript auch remote ausführen. Stellen Sie in diesem Fall sicher, dass die Arbeitsstation ein Mitglied der Zieldomäne ist und dass Sie als Domänenadministrator angemeldet sind.
So konfigurieren Sie die Gesamtstruktur „na.corp.contoso.com“
Melden Sie sich bei der Exchange Server-Domäne von Contoso mit Administratorrechten an.
Hinweis Das Skript ist vom Exchange Server aus auszuführen, damit auf die erforderlichen Exchange-Bibliotheken zugegriffen werden kann und die Zielbenutzerpostfächer erstellt werden können.
Klicken Sie auf Start und anschließend auf Ausführen. Geben Sie dann in der Eingabeaufforderung zum Öffnen „cmd.exe“ein, und klicken Sie auf OK.
Führen Sie in der Eingabeaufforderung das Skript „ADBaseline.vbs“ über folgenden Befehl aus:
Hinweis Zur besseren Lesbarkeit wurde die Zeile in mehrere Zeilen aufgeteilt. Zum Testen dieser Zeile auf einem System ist sie jedoch ohne Umbrüche einzugeben.
Cscript.exe ADBaseline.vbs /t intranet /s FFL-NA-DC-01 /m FFL-NA-MSG-01 /f IntranetADData.txt
Hinweis Ersetzen Sie FFL-NA-DC-01 durch den Namen Ihres Intranetdomänencontrollers und
FFL-NA-MSG-01 durch den Namen Ihres Exchange Servers.Vergewissern Sie sich, dass vom Skript für alle Vorgänge die folgende Bestätigungsmeldung zurückgegeben wird:
Completed Successfully.
Wenn nach dem Ausführen des Skripts Fehler auftreten, beheben Sie das Problem, und führen Sie das Skript dann erneut aus.
Auffüllen der Active Directory-Extranetgesamtstruktur
Die Active Directory-Domäne von Contoso „perimeter.contoso.com“ ist die Extranetgesamtstruktur für Contoso. Verwenden Sie - wie oben beschrieben - das Skript „ADBaseline.vbs“ zum Auffüllen dieser Gesamtstruktur.
So konfigurieren Sie die Gesamtstruktur „perimeter.contoso.com“
Melden Sie sich beim Contoso-Domänencontroller „perimeter.contoso.com“ mit Domänenadministratorrechten an.
Klicken Sie auf Start und anschließend auf Ausführen. Geben Sie dann in der Eingabeaufforderung zum Öffnen „cmd.exe“ein, und klicken Sie auf OK.
Führen Sie in der Eingabeaufforderung das Skript „ADBaseline.vbs“ über folgenden Befehl aus:
Hinweis Zur besseren Lesbarkeit wurde die Zeile in mehrere Zeilen aufgeteilt. Zum Testen dieser Zeile auf einem System ist sie jedoch ohne Umbrüche einzugeben.
Cscript.exe ADBaseline.vbs /t extranet /s FFL-CP-DC-01 /f ExtranetADData.txt
Hinweis Ersetzen Sie FFL-CP-DC-01 durch den Namen Ihres Extranetdomänencontrollers.
Vergewissern Sie sich, dass vom Skript für alle Vorgänge die folgende Bestätigungsmeldung zurückgegeben wird:
Completed Successfully.
Wenn nach dem Ausführen des Skripts Fehler auftreten, beheben Sie das Problem, und führen Sie das Skript dann erneut aus.
In diesem Beitrag
- Kapitel 1: Einführung
- Kapitel 2: Vorgehensweisen beim Auswählen einer Plattform
- Kapitel 3: Probleme und Anforderungen
- Kapitel 4: Entwerfen der Infrastruktur
- Kapitel 5: Implementieren der Infrastruktur
- Kapitel 6: Betreiben der Infrastruktur
- Anhang A: Konfigurationseinstellungen
- Links
- Danksagung
Download
Laden Sie die vollständige Serie in englischer Sprache herunter.
Update Notifications
Feedback
Senden Sie uns Ihre Kommentare oder Vorschläge (in englischer Sprache).
5 von 9 |