Erstellen eines Dienstverbindungspunkts

Wenn eine instance Active Directory Domain Services installiert ist, erstellt das Dienstinstallationsprogramm Dienstverbindungspunktobjekte (Service Connection Point Objects, SCP) in Active Directory Domain Services. Das Primäre Ziel sollte darin sein, den Replikationsdatenverkehr zu minimieren und eine effiziente Verwaltung und Wartung von Objekten zu ermöglichen.

Beachten Sie, dass Clientanwendungen SCPs finden, indem sie das Verzeichnis nach Schlüsselwörtern im SCP durchsuchen. Das Keywords-Attribut eines SCP ist im globalen Katalog enthalten. Clients können den globalen Katalog durchsuchen, um SCPs in der Gesamtstruktur zu finden. Aus diesem Grund hat der Client keinen Einfluss darauf, wo SCPs veröffentlicht werden sollen.

Minimieren des Replikationsdatenverkehrs

Um den Replikationsdatenverkehr zu minimieren, erstellen Sie SCPs in der Domänenpartition der Domäne des Diensthostcomputers. Beispielsweise können Sie SCPs als untergeordnete Objekte des Computerobjekts erstellen, auf dem der Dienst installiert ist. Eine Domänenpartition von Active Directory Domain Services, manchmal auch als Domänennamenskontext bezeichnet, enthält domänenspezifische Objekte, z. B. die Objekte für die Benutzer und Computer der Domäne. Ein vollständiges Replikat aller Objekte in der Domänenpartition wird auf jeden Domänencontroller (DC) für die Domäne repliziert, es wird jedoch nicht auf DCs anderer Domänen repliziert.

Erstellen Sie keine SCPs in der Konfigurationspartition, die auch als Konfigurationsnamenskontext bezeichnet wird, da Änderungen an der Konfigurationspartition auf jeden DC in der Gesamtstruktur repliziert werden. Wie bereits erwähnt, können Clients in der gesamten Gesamtstruktur den globalen Katalog abfragen, um SCPs an einer beliebigen Stelle in der Gesamtstruktur zu finden, sodass sie durch das Erstellen von SCPs in der Konfigurationspartition nicht für Clients sichtbarer werden. Es generiert nur mehr Replikationsdatenverkehr.

Einfache Verwaltung

Beachten Sie die folgenden Richtlinien für die Objektverwaltung:

• Platzieren Sie dienstspezifische Objekte, in denen Administratoren den Zugriff auf sie mithilfe von Richtlinien und geerbten Zugriffsberechtigungen steuern können.
• Platzieren Sie die Objekte dort, wo ein Administrator sie leicht finden kann.

Ein guter Standardspeicherort, der beide Ziele erfüllt, ist das Erstellen von SCP und anderen dienstspezifischen Objekten unter dem Computerobjekt des Hostcomputers jedes Diensts instance. Weitere Informationen finden Sie unter Veröffentlichen unter einem Computerobjekt.

Eine gute Alternative für Dienste, die nicht an einen einzelnen Host gebunden sind, besteht darin, einen Container für die Dienstobjekte unter dem Systemcontainer in einer Domänenpartition zu erstellen. Weitere Informationen finden Sie unter Veröffentlichen in einem Domänensystemcontainer.

Das folgende Diagramm zeigt einen Teil der Standardcontainerhierarchie für eine Domänenpartition.

Das Diagramm zeigt die Standarddomänenhierarchie, die in Active Directory Domain Services enthalten ist. Viele Unternehmen erstellen jedoch eine Hierarchie von Organisationseinheitscontainern , um Objektklassen wie Benutzer und Computer für Verwaltungszwecke zu gruppieren. Administratoren können dann Richtlinien und vererbbare Zugriffssteuerungseinträge (ACEs) auf eine Organisationseinheit anwenden, um die Administratorrechte für Objekte in der Organisationseinheit zu delegieren. Dies ermöglicht Es Administratoren, ein Unternehmen effizient zu verwalten, hat jedoch einige Konsequenzen für Dienstprogrammierer:

• Das Computerobjekt für einen Diensthost befindet sich möglicherweise nicht wie im Diagramm dargestellt unter dem Container Computer. Weitere Informationen zum Suchen des Computerobjekts für den lokalen Computer finden Sie unter Veröffentlichen unter einem Computerobjekt.
• Administratoren können Objekte verschieben, wenn sich ihre Organisationsanforderungen ändern. Dies bedeutet, dass Sie sich nicht darauf verlassen können, dass Ihre Objekte an einem festen Ort verbleiben; Das heißt, Ihr Dienst kann nicht davon abhängen, dass ein distinguished Object Name gleich bleibt. Verwenden Sie stattdessen das objectGUID-Attribut eines Objekts, das sich nicht ändert, wenn das Objekt verschoben oder umbenannt wird. Weitere Informationen und ein Codebeispiel, das einen SCP erstellt, dessen objectGUID speichert und später die objectGUID abruft , die an den SCP gebunden werden soll, finden Sie unter Erstellen und Verwalten eines Dienstverbindungspunkts.
• Alle dienstbezogenen Standardobjektklassen sowie alle Unterklassen dieser Klassen sind gültige untergeordnete Elemente der computer - und organizationalUnit-Klassen . Wenn Sie das Schema erweitern, um Ihre eigene dienstspezifische Klasse zu definieren, stellen Sie sicher, dass die Computer - und organisationseinheitsklassen in den möglichen Vorgesetzten enthalten sind.
• Das Dienstinstallationsprogramm bestimmt den Standardspeicherort zum Erstellen von SCPs. Möglicherweise möchten Sie dem Administrator, der den Dienst installiert, erlauben, einen alternativen Installationspfad anzugeben.

Dienstspezifische Objekte sollten nicht in den folgenden Bereichen erstellt werden:

• Dienste sollten Objekte nicht direkt in den Containern Benutzer oder Computer einer Domänenpartition veröffentlichen und auch keine neuen Container in diesen Containern erstellen. Dienste können Objekte jedoch als untergeordnete Objekte eines Computerobjekts veröffentlichen, unabhängig davon, ob das Computerobjekt im Computercontainer gespeichert ist oder nicht.
• Dienste, die windows Sockets Registration and Resolution (RnR) oder die RPC-Namensdienst-APIs (RpcNs) verwenden, um sich selbst anzukündigen, erstellen die richtigen Objekte in den Containern WinsockServices und RpcServices unter dem Systemcontainer einer Domänenpartition. Erstellen Sie nicht explizit Objekte in diesen Containern. Dies verursacht keinen direkten Schaden, kann aber für Administratoren verwirrend sein.