Wo ein Dienstverbindungspunkt erstellt werden soll

Wenn eine Instanz von Active Directory Domain Services installiert ist, erstellt das Dienstinstallationsprogramm Dienstverbindungspunktobjekte (SCP) in Active Directory Domain Services. Das primäre Ziel sollte sein, den Replikationsverkehr zu minimieren und die effiziente Verwaltung und Wartung von Objekten zu ermöglichen.

Beachten Sie, dass Clientanwendungen SCPs finden, indem Sie das Verzeichnis nach Schlüsselwörtern im SCP durchsuchen. Das Schlüsselwörter-Attribut eines SCP ist im globalen Katalog enthalten; Clients können den globalen Katalog durchsuchen, um SCPs in der Gesamtstruktur zu finden. Aus diesem Grund beeinflusst der Client nicht, wo SCPs veröffentlicht werden sollen.

Minimieren des Replikationsdatenverkehrs

Um den Replikationsdatenverkehr zu minimieren, erstellen Sie SCPs in der Domänenpartition der Domäne des Diensthostcomputers. Sie können z. B. SCPs als untergeordnete Objekte des Computerobjekts erstellen, auf dem der Dienst installiert ist. Eine Domänenpartition von Active Directory Domain Services, manchmal als Domänennamenskontext bezeichnet, enthält domänenspezifische Objekte wie die Objekte für die Benutzer und Computer der Domäne. Ein vollständiges Replikat aller Objekte in der Domänenpartition wird für jeden Domänencontroller (DC) für die Domäne repliziert, es wird jedoch nicht in DCs anderer Domänen repliziert.

Erstellen Sie KEINE SCPs in der Konfigurationspartition, auch als Konfigurationsnamenskontext bezeichnet, da Änderungen an der Konfigurationspartition auf jeden DC in der Gesamtstruktur repliziert werden. Wie oben erwähnt, können Clients in der gesamten Gesamtstruktur den globalen Katalog abfragen, um SCPs an einer beliebigen Stelle in der Gesamtstruktur zu finden, sodass das Erstellen von SCPs in der Konfigurationspartition sie nicht mehr für Clients sichtbar macht; es generiert nur mehr Replikationsdatenverkehr.

Erleichterte Verwaltung

Berücksichtigen Sie die folgenden Richtlinien für die Objektverwaltung:

  • Platzieren Sie dienstspezifische Objekte, in denen Administratoren den Zugriff auf sie mithilfe von Richtlinien steuern und Zugriffsberechtigungen erben können.
  • Platzieren Sie die Objekte, in denen ein Administrator sie leicht finden kann.

Ein guter Standardspeicherort, der beide Ziele erfüllt, besteht darin, SCP und andere dienstspezifische Objekte unter dem Computerobjekt des Hostcomputers jeder Dienstinstanz zu erstellen. Weitere Informationen finden Sie unter "Veröffentlichen unter einem Computerobjekt".

Eine gute Alternative für Dienste, die nicht an einen einzelnen Host gebunden sind, besteht darin, einen Container für die Dienstobjekte unter dem Systemcontainer in einer Domänenpartition zu erstellen. Weitere Informationen finden Sie in einem Domänensystemcontainer.

Das folgende Diagramm zeigt einen Teil der Standardcontainerhierarchie für eine Domänenpartition.

default domain partition container hierarchy

Das Diagramm zeigt die Standarddomänenhierarchie, die mit Active Directory Domain Services enthalten ist. Viele Unternehmen erstellen jedoch eine Hierarchie der Organisationseinheitscontainer (OU), um Objektklassen zu gruppieren, z. B. Benutzer und Computer, zusammen für Verwaltungszwecke. Administratoren können dann Richtlinien- und erbbare Zugriffssteuerungseinträge (ACEs) auf eine OU anwenden, um die Verwaltungsbehörde für Objekte in der OU zu delegieren. Dadurch können Administratoren ein Unternehmen effizient verwalten, aber es hat einige Folgen für Dienstprogrammierer:

  • Das Computerobjekt für einen Diensthost befindet sich möglicherweise nicht im Container "Computer", wie im Diagramm dargestellt. Weitere Informationen zum Suchen des Computerobjekts für den lokalen Computer finden Sie unter " Veröffentlichen unter einem Computerobjekt".
  • Administratoren können Objekte verschieben, wenn sich ihre Organisationsanforderungen ändern. Dies bedeutet, dass Sie nicht von Ihren Objekten abhängig sind, die an einem festen Speicherort verbleiben; das heißt, Ihr Dienst kann nicht von einem objekt unterscheidenden Namen abhängig sein, der gleich bleibt. Verwenden Sie stattdessen das ObjektGUID-Attribut eines Objekts , das sich nicht ändert, wenn das Objekt verschoben oder umbenannt wird. Weitere Informationen und ein Codebeispiel, das ein SCP erstellt, speichert dessen ObjektGUID und ruft später das ObjektGUID ab, um an den SCP zu binden, siehe Erstellen und Verwalten eines Dienstverbindungspunkts.
  • Alle standarddienstbezogenen Objektklassen sowie alle Unterklassen dieser Klassen sind gültige untergeordnete Elemente der Computer - und Organisationsunit-Klassen . Wenn Sie das Schema erweitern, um ihre eigene dienstspezifische Klasse zu definieren, stellen Sie sicher, dass die Computer - und Organisationsunit-Klassen in die möglichen Vorgesetzten einbezogen werden.
  • Das Dienstinstallationsprogramm bestimmt den Standardspeicherort für das Erstellen von SCPs. Möglicherweise möchten Sie dem Administrator erlauben, den Dienst zu installieren, um einen alternativen Installationspfad anzugeben.

Dienstspezifische Objekte sollten in den folgenden Bereichen nicht erstellt werden:

  • Dienste sollten Objekte nicht direkt in den Containern "Benutzer" oder "Computer" einer Domänenpartition veröffentlichen, und sie sollten keine neuen Container in diesen Containern erstellen. Dienste können jedoch Objekte als untergeordnete Objekte eines Computerobjekts veröffentlichen, unabhängig davon, ob das Computerobjekt im Computercontainer gespeichert ist.
  • Dienste, die Windows Sockets-Registrierung und -Auflösung (RnR) oder die RPC-Namensdienst-APIs verwenden, um sich selbst zu bewerben, erstellen Sie die richtigen Objekte in den WinsockServices- und RpcServices-Containern unter dem Systemcontainer einer Domänenpartition. Erstellen Sie keine Objekte in diesen Containern explizit. Dies verursacht keinen direkten Schaden, kann aber für Administratoren verwirrend sein.