Active Roles 7.0 Erste Schritte

Dell™ Active Roles 7.0
Erste Schritte
© 2016 Dell Inc.
ALLE RECHTE VORBEHALTEN.
Dieses Handbuch enthält urheberrechtlich geschützte Informationen. Die im vorliegenden Handbuch beschriebene Software
unterliegt den Bedingungen der jeweiligen Softwarelizenz oder Geheimhaltungsvereinbarung. Die Software darf nur gemäß den
Bestimmungen der gültigen Vereinbarung verwendet oder kopiert werden. Ohne ausdrückliche schriftliche Erlaubnis von Dell
Inc. darf diese Anleitung weder ganz noch teilweise zu einem anderen Zweck als dem persönlichen Gebrauch des Käufers
vervielfältigt oder übertragen werden, unabhängig davon, auf welche Weise oder mit welchen Mitteln, elektronisch oder
mechanisch, durch Fotokopieren oder Aufzeichnen, dies geschieht.
Die Informationen in diesem Dokument werden in Verbindung mit Dell-Produkten zur Verfügung gestellt. Durch dieses
Dokument wird weder explizit noch implizit, durch Duldungsvollmacht oder auf andere Weise, eine Lizenz auf intellektuelle
Eigentumsrechte erteilt, auch nicht in Verbindung mit dem Erwerb von Dell-Produkten. IN DEN ALLGEMEINEN
GESCHÄFTSBEDINGUNGEN, DIE IN DER LIZENZVEREINBARUNG FÜR DIESES PRODUKT AUFGEFÜHRT SIND, ÜBERNIMMT DELL
KEINERLEI HAFTUNG UND SCHLIESST JEDE EXPLIZITE, IMPLIZITE ODER GESETZLICHE GEWÄHRLEISTUNG FÜR SEINE PRODUKTE
AUS, INSBESONDERE DIE IMPLIZITE GEWÄHRLEISTUNG DER MARKTFÄHIGKEIT, DER EIGNUNG ZU EINEM BESTIMMTEN ZWECK UND
DIE GEWÄHRLEISTUNG DER NICHTVERLETZUNG VON RECHTEN. UNTER KEINEN UMSTÄNDEN HAFTET DELL FÜR UNMITTELBARE,
MITTELBARE ODER FOLGESCHÄDEN, SCHADENERSATZ, BESONDERE ODER KONKRETE SCHÄDEN (INSBESONDERE SCHÄDEN, DIE AUS
ENTGANGENEN GEWINNEN, GESCHÄFTSUNTERBRECHUNGEN ODER DATENVERLUSTEN ENTSTEHEN), DIE SICH DURCH DIE
NUTZUNG ODER UNMÖGLICHKEIT DER NUTZUNG DIESES DOKUMENTS ERGEBEN, AUCH WENN DELL ÜBER DIE MÖGLICHKEIT
SOLCHER SCHÄDEN INFORMIERT WURDE. Dell übernimmt keine Garantie für die Richtigkeit oder Vollständigkeit der Inhalte
dieses Dokuments und behält sich vor, jederzeit und ohne vorherige Ankündigung Änderungen an den Spezifikationen und
Produktbeschreibungen vorzunehmen. Dell geht keinerlei Verpflichtung ein, die in diesem Dokument enthaltenen
Informationen zu aktualisieren.
Bei Fragen zur möglichen Verwendung dieser Materialien wenden Sie sich bitte an:
Dell Inc.
Attn: LEGAL Dept
5 Polaris Way
Aliso Viejo, CA 92656
Informationen zu regionalen und internationalen Niederlassungen finden Sie auf unserer Website (software.dell.com/de-de).
Marken
Dell und das Dell-Logo sind Marken von Dell Inc.. Active Directory, Internet Explorer, Microsoft, Windows und Windows
PowerShell sind eingetragene Marken oder Marken der Microsoft Corporation in den USA und/oder anderen Ländern. Andere in
diesem Dokument verwendete Marken und Handelsnamen beziehen sich auf die Unternehmen, die Rechteinhaber der Marken
und Handelsnamen sind, oder auf deren Produkte. Dell beansprucht keinerlei Eigentumsrechte an Marken und Markennamen
außer den eigenen Marken und Markennamen.
Legende
VORSICHT: Das Symbol VORSICHT weist auf eine mögliche Beschädigung von Hardware oder den möglichen Verlust
von Daten hin, wenn die Anweisungen nicht befolgt werden.
WARNUNG: Das Symbol WARNUNG weist auf mögliche Personen- oder Sachschäden oder Schäden mit Todesfolge hin.
WICHTIG, HINWEIS, TIPP, MOBIL oder VIDEO: Ein Informationssymbol weist auf Begleitinformationen hin.
Active Roles Erste Schritte
Aktualisiert: Juni 2016
Softwareversion: 7.0
Inhalt
Einleitung . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 4
Active Roles-Komponenten . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 4
System-Anforderungen . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 5
Bereitstellen des Verwaltungsdiensts . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 6
Konfigurieren des Verwaltungsdienstkontos . . . . . . . . . . . . . . . . . . . . . . . . . . . . 7
SQL Server-Berechtigungen . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . .12
Vorgehensweise zur Bereitstellung des Verwaltungsdienstes . . . . . . . . . . . . . . . . .16
Bereitstellen von Benutzerschnittstellen . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . .23
Verfahren zum Installieren der Konsole . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . .23
Vorgehensweise zur Bereitstellung der Webschnittstelle . . . . . . . . . . . . . . . . . . . .23
Installieren weiterer Komponenten . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . .28
Verfahren für die ausschließliche Installation von Shell, ADSI-Anbieter und SDK . . . . .29
Verfahren zum Installieren von Collector und dem Berichtspaket . . . . . . . . . . . . . .29
Aktualisieren einer älteren Version . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . .31
Kompatibilität von Active Roles-Komponenten . . . . . . . . . . . . . . . . . . . . . . . . . .31
Auswirkungen auf benutzerdefinierte Lösungen . . . . . . . . . . . . . . . . . . . . . . . . . .31
Auswirkung auf nicht verwaltete Domänen . . . . . . . . . . . . . . . . . . . . . . . . . . . . .31
Aktualisierung des Verwaltungsdienstes . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . .31
Aktualisieren der Webschnittstelle . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . .34
Aktualisieren anderer Komponenten . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . .38
Separate Verwaltungsverlaufsdatenbank . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . .39
Erstellen einer neuen Datenbank . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . .40
Verwenden einer vorhandenen Datenbank . . . . . . . . . . . . . . . . . . . . . . . . . . . . .41
Durchführen einer Pilot-Bereitstellung . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . .41
Bereitstellen des Pilot-Verwaltungsdienstes . . . . . . . . . . . . . . . . . . . . . . . . . . . .42
Bereitstellen der Pilot-Webschnittstelle . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . .43
Installation der Active Roles-Konsole . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . .43
Überlegungen bezüglich der Bereitstellung . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . .44
Workflow . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . .44
Hardwarevoraussetzungen . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . .45
Verfügbarkeit und Redundanz . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . .45
Replikationsvolumen . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . .46
Speicherorte und Anzahl der Dienste . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . .47
Physischer Entwurf . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . .50
Active Roles in einer Windows Azure-VM . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . .57
Schritt 1: Voraussetzungen . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . .58
Schritt 2: Bereitstellen von Microsoft SQL Server 2012 . . . . . . . . . . . . . . . . . . . . .58
Schritt 3: Bereitstellen des Active Roles-Verwaltungsdienstes . . . . . . . . . . . . . . . .58
Schritt 4: Bereitstellen der Active Roles-Webschnittstelle . . . . . . . . . . . . . . . . . . .59
Info zu Dell . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 60
Kontakt zu Dell . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . .60
Technische Supportressourcen . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . .60
Dell Active Roles 7.0
Erste Schritte
3
Einleitung
Dell™ Active Roles vereinfacht und rationalisiert die Erstellung und die laufende Verwaltung von Benutzerkonten
und Gruppen in Windows Active Directory-zentrischen (AD) Umgebungen durch Automatisierung der Erstellung
von Benutzer- und Gruppenkonten in AD, der Postfacherstellung in Exchange, der Füllung von Gruppen sowie
der Ressourcenzuweisung in Windows. Es bietet eine streng durchgesetzte Sicherheit, stellt umfassende
Funktionen zur Automatisierung von Verzeichnisverwaltungsaufgaben, zur Genehmigung von Änderungen sowie
eine benutzerfreundliche Webschnittstelle bereit und gewährleistet dadurch die praktische Verwaltung von
Benutzer- und Gruppenkonten für das Windows-Unternehmen.
Dieses Dokument ist für Einzelpersonen bestimmt, die für die Bereitstellung Active Roles in ihrer Organisation
verantwortlich sind. Es gibt Schritt-für-Schritt-Anweisungen für die Vorbereitung der Umgebung und die Active
Roles Komponenteninstallation.
Active Roles-Komponenten
Active Roles teilt die Arbeitslast für die Directory-Verwaltung in drei Funktionsebenen—
Präsentationskomponenten, Dienstkomponenten und Netzwerkdatenquellen.
Dienstkomponenten
Verwaltungsdienst
Präsentationskomponenten
Zugriffsprüfung
Datenverarbeitungskomponente
Durchsetzung
von
Richtlinien
Netzwerkdatenquellen
MMCSchnittstelle
Webschnittstelle
Active DirectoryDomänen und
-Gesamtstrukturen
Active Roles
ADSI-Anbieter
Microsoft Exchange
Server
Benutzerdefinierte
Benutzerschnittstellen
Berichtslösung
Audit-Trail
Konfigurationsdatenbank
Sonstige
Datenquellen
Die Präsentationskomponenten schließen die Clientschnittstellen für die Windows-Plattform und das Web ein,
die den Benutzern mit den erforderlichen Berechtigungen ermöglichen, eine genau definierte Menge von
Verwaltungsaktivitäten auszuführen. Active Roles schließt auch die Berichtserstellungslösung ein, um Berichte
über Verwaltungsaktivitäten zu generieren.
Die Dienstkomponenten stellen eine geschützte Ebene zwischen Administratoren und verwalteten Datenquellen
dar. Sie gewährleisten eine konsistente Durchsetzung von Richtlinien, bieten Automatisierungsmöglichkeiten
und ermöglichen die Integration von Unternehmensprozessen für die Verwaltung von Active Directory, Exchange
und anderen Datenquellen des Unternehmens.
Die Hauptkomponente von Active Roles ist der Verwaltungsdienst—ein leistungsstarkes, regelbasiertes Proxy für
die Verwaltung von Netzwerkdatenquellen. Der Verwaltungsdienst umfasst hoch entwickelte
Delegationsfunktionen und bietet die Möglichkeit zur Durchsetzung administrativer Richtlinien, die die
Aktualität und Genauigkeit der Daten gewährleisten. Der Verwaltungsdienst fungiert als eine Art Brücke
zwischen den Präsentationskomponenten und den Netzwerk-Datenquellen. In großen Netzwerken können
mehrere Instanzen der Verwaltungsdienste bereitgestellt werden, um die Leistung zu steigern und eine
Fehlertoleranz zu gewährleisten.
Der Verwaltungsdienst nutzt die Konfigurationsdatenbank zum Speichern von Konfigurationsdaten, die für Active
Roles spezifische Objektdefinitionen, Zuweisungen von Verwaltungsrollen und -richtlinien sowie Verfahren
einschließen, die für die Richtlinienerzwingung verwendet werden.
Dell Active Roles 7.0
Erste Schritte
4
Der Verwaltungsdienst stellt einen kompletten Audit-Trail durch Erstellung von Datensätzen im Active RolesEreignisprotokoll zur Verfügung. Das Protokoll zeigt alle ausgeführten Aktionen und ihre Urheber sowie
Aktionen, die nicht zugelassen wurden. Die Protokolleinträge geben den Erfolg oder Misserfolg jedes Vorgangs
an und umfassen außerdem Informationen darüber, welche Attribute während der Verwaltung der Objekte in
den Datenquellen geändert wurden.
System-Anforderungen
Das Setup-Programm von Active Roles enthält die folgenden Komponenten:
•
Verwaltungsdienst
•
Konsole (MMC-Schnittstelle)
•
Webschnittstelle
•
Verwaltungstools
•
Synchronisierungsdienst
Das Dokument mit Active Roles-Versionshinweisen auf dem Active Roles-Auslieferungsmedium stellt
Informationen über Hardware- und Softwareanforderungen für jede dieser Komponenten zur Verfügung.
Das Active Roles-Auslieferungsmedium enthält separate Pakete für weitere Komponenten, z. B. das „Add-in for
Outlook“, Collector und das Berichtspaket. Die Systemanforderungen für diese Komponenten lauten wie folgt:
Anforderungen für das Active Roles Add-in for Outlook
Anforderung
Details
Microsoft Office Outlook
Microsoft Office Outlook 2007 oder höher
Weitere Microsoft OfficeFunktionen
Microsoft .NET Framework
•
.NET-Programmierunterstützung für Microsoft Office Outlook
•
Microsoft Forms 2.0 .NET-Programmierunterstützung
Microsoft .NET Framework 4.5
Anforderungen für Active Roles Collector und das Berichtspaket
Anforderung
Details
Betriebssystem
Beliebiges Betriebssystem aus der Liste der Anforderungen für die Active
Roles-Konsole
SQL Server
Beliebige SQL Server-Version aus der Liste der Anforderungen für den
Verwaltungsdienst
SQL Server Reporting Services
Beliebige SQL Server-Version aus der Liste der Anforderungen für den
Verwaltungsdienst
Microsoft .NET Framework
Microsoft .NET Framework 4.5
Active Roles ADSI-Anbieter
Die Verwaltungstools der aktuellen Active Roles-Version müssen installiert
werden.
Dell Active Roles 7.0
Erste Schritte
5
Bereitstellen des Verwaltungsdiensts
Verwenden Sie die folgende Checkliste, um sicherzustellen, dass Sie für die Installation des Verwaltungsdienstes
bereit sind.
Zu überprüfendes
Element
Beschreibung
VerwaltungsdienstComputer
Der Verwaltungsdienst kann auf jedem Computer installiert werden, der die
Hardware und Softwarevoraussetzungen erfüllt.
Der Verwaltungsdienst muss nicht unbedingt auf einem Domänencontroller installiert
werden. Der Verwaltungsdienstcomputer muss jedoch über zuverlässige
Netzwerkverbindungen zu mindestens einem der Domänencontroller für jede
verwaltete Domäne verfügen.
SQL Server
Der Verwaltungsdienst erfordert Microsoft SQL Server. SQL Server kann auf dem
Computer, auf dem der Verwaltungsdienst ausgeführt wird, oder auf einem anderen
Computer ausgeführt werden, der über eine zuverlässige Netzwerkverbindung zu dem
Computer verfügt, auf dem der Verwaltungsdienst ausgeführt wird.
Verwaltungsdienstkonto
Der Verwaltungsdienst meldet sich mit dem Konto an, das Sie während der
Installation angegeben haben. Das Konto muss über ausreichende Rechte verfügen,
um Active Rolesordnungsgemäß zu funktionieren.
Active Roles verwendet das Verwaltungsdienstkonto, wenn auf eine verwaltete
Domäne zugegriffen wird, es sei denn, bei der Registrierung der Domäne mit Active
Roleswird ein Ersatzkonto festgelegt. Daher muss das Verwaltungsdienstkonto über
die entsprechenden Rechte in jeder Domäne verfügen, für die kein Ersatzkonto
angegeben ist.
Außerdem muss das Verwaltungsdienstkonto über ausreichende Berechtigungen zum
Veröffentlichen des Verwaltungsdienstes in Active Directory verfügen.
Informationen über die Konfiguration des Verwaltungsdienstkontos und über ein
Ersatzkonto sind weiter unten aufgeführt.
Für die Verbindung zu
SQL Server
verwendetes Konto
Während der Installation des Verwaltungsdienstes können Sie diesen so konfigurieren,
dass er die Windows-Authentifizierung oder die SQL Server-Authentifizierung für die
Verbindung zu SQL Server verwendet.
Wenn Sie sich für die Windows-Authentifizierung entscheiden, wird die Verbindung
mittels des Verwaltungsdienstkontos hergestellt. In diesem Fall muss das Dienstkonto
mindestens ein Element der db_owner festen Datenbankrolle sein und das
Standardschema von dbo in der Active Roles-Datenbank haben.
Wenn Sie sich für die SQL Server-Authentifizierung entscheiden, wird die Verbindung
mit dem Anmeldenamen aufgebaut, den Sie bei der Installation des
Verwaltungsdienstes eingeben. Dieser Benutzername muss mindestens ein Element
der db_owner festen Datenbankrolle sein und das Standardschema von dbo in der
Active Roles-Datenbank haben.
Weitere Informationen darüber, welche Berechtigungen dem Konto für den Anschluss
an den SQL Server erteilt werden müssen, finden Sie unter SQL Server-Berechtigungen
weiter unten.
Active RolesAdministrator
Active Roles-Administrator bezeichnet eine Gruppe, für die Active Roles keine
Berechtigungsüberprüfung durchführt. Wenn der Verwaltungsdienst selbst über
ausreichende Berechtigungen für die Durchführung einer bestimmten Aufgabe
verfügt, dann kann auch der Active Roles-Administrator diese Aufgabe mithilfe von
Active Roles durchführen.
Außerdem ist der Active Roles-Administrator berechtigt, jede beliebige Aufgabe für
die Active Roles-Konfiguration durchzuführen, beispielsweise verwaltete Domänen
hinzuzufügen und Replikationseinstellungen zu verwalten. Deshalb muss die
Mitgliedschaft in der Gruppe der Active Roles-Administratoren auf sehr
vertrauenswürdige Personen beschränkt werden.
Standardmäßig ist Active Roles-Administrator die lokale Administratorengruppe auf
dem Computer, auf dem der Verwaltungsdienst ausgeführt wird. Sie können diese
Einstellung während der Installation des Verwaltungsdienstes ändern.
Dell Active Roles 7.0
Erste Schritte
6
Konfigurieren des Verwaltungsdienstkontos
Während der Installation des Verwaltungsdienstes werden Sie zur Eingabe des Namens und Kennworts des
Verwaltungsdienstkontos aufgefordert, d. h. des Kontos, bei dem sich der Verwaltungsdienst anmeldet. Dieses
Konto muss über ausreichende Berechtigungen für die Durchführung der folgenden Aktionen verfügen:
•
Erhalt eines administrativen Zugriffs auf den Computer, auf dem der Verwaltungsdienst ausgeführt wird.
•
Veröffentlichen des Verwaltungsdienstes in Active Directory.
•
Zugriff auf jede verwaltete Domäne, für die kein Ersatzkonto angegeben ist.
HINWEIS: Bei der Registrierung einer Domäne mit Active Roles kann ein Ersatzkonto angegeben werden.
Wenn Sie ein Ersatzkonto angeben, verwendet der Verwaltungsdienst das Ersatzkonto anstatt des
Dienstkontos für den Zugriff auf die Domäne.
Zugriff auf den Verwaltungsdienstcomputer
Das Dienstkonto muss ein Mitglied der Administratorengruppe auf dem Computer sein, der den
Verwaltungsdienst ausführt. Aufgrund dieser Anforderung gewährt die Installation des Verwaltungsdienstes auf
einem Domänencontroller auf effektive Weise die Dienstkonto-Administratorrechte innerhalb der gesamten
Domäne.
Dienstveröffentlichung in Active Directory
Der Verwaltungsdienst muss sich selbst in Active Directory veröffentlichen können. Dies ermöglicht es den
Active Roles-Kunden, den Verwaltungsdienst automatisch zu ermitteln. Die Dienstveröffentlichung erfordert,
dass das Dienstkonto über die folgenden Berechtigungen für den Subcontainer Aelita des Containers System in
der Domäne des Computers verfügt, der den Dienst ausführt:
•
Containerobjekte erstellen
•
serviceConnectionPoint-Objekte erstellen
Darüber hinaus muss das Dienstkonto (oder das Ersatzkonto, falls angegeben) über diese Berechtigungen für den
Aelita-Subcontainer des System-Containers in jeder verwalteten Domäne verfügen. Wenn ein Konto über die
Domänen-Administratorrechte verfügt, dann hat es standardmäßig die erforderlichen Berechtigungen.
Andernfalls weisen Sie dem Konto diese Berechtigungen mithilfe der ADSI-Bearbeitungskonsole zuweisen. Die
folgenden Anweisungen gelten für die ADSI-Bearbeitungskonsole, die Sie mit Windows Server 2012 oder Windows
Server 2012 R2 erhalten.
Gehen Sie folgendermaßen vor, um Berechtigungen für die Verwaltungsdienstveröffentlichung
in Active Directory zu gewähren:
1
Öffnen Sie die ADSI-Bearbeitungskonsole und stellen Sie eine Verbindung zum Domänennamenskontext
her.
2
Erweitern Sie in der Konsolenstruktur den Container System, klicken Sie mit der rechten Maustaste auf
den Subcontainer Aelita und klicken Sie dann auf Eigenschaften.
Wenn der Container Aelita nicht vorhanden ist, erstellen Sie ihn: Klicken Sie mit der rechten Maustaste
auf System, zeigen Sie auf Neu, klicken Sie auf Objekt, wählen Sie dann im Assistenten zum Erstellen
eines Objekts die Containerklasse aus und geben Sie Aelita als cn an.
3
Klicken Sie auf der Registerkarte Sicherheit im Dialogfeld Eigenschaften auf Erweitert.
4
Klicken Sie auf der Registerkarte Berechtigungen im Dialogfeld Erweiterte Sicherheitseinstellungen
auf Hinzufügen.
5
Konfigurieren Sie auf der Seite Berechtigungseintrag den Berechtigungseintrag:
a
Klicken Sie auf den Link Prinzipal auswählen und wählen Sie das gewünschte Konto aus.
b
Stellen Sie sicher, dass Typ auf Erlauben eingestellt ist.
Dell Active Roles 7.0
Erste Schritte
7
6
c
Vergewissern Sie sich, dass das Feld Übernehmen für auf Dieses und alle untergeordneten
Objekte festgelegt ist.
d
Aktivieren Sie unter Berechtigungen die Kontrollkästchen Containerobjekte erstellen und
serviceConnectionPoint-Objekte erstellens.
e
Klicken Sie auf OK.
Klicken Sie auf OK, um das Dialogfeld Erweiterte Sicherheitseinstellungen zu schließen. Klicken Sie
dann auf OK, um das Dialogfeld Eigenschaften zu schließen.
Zugriff auf verwaltete Domänen
Der Zugang von Active Roles zu einer Domäne wird durch die Zugriffsberechtigungen des Dienstkontos oder des
Ersatzkontos beschränkt, sofern vorhanden. Für alle verwalteten Domänen, für die kein Ersatzkonto angegeben
wurde, sollten Sie das Dienstkonto mit den Berechtigungen konfigurieren, über die Active Roles in diesen
Domänen verfügen soll. Wenn Sie ein Ersatzkonto bei der Registrierung einer Domäne mit Active Roles
verwenden, müssen Sie sicherstellen, dass das Ersatzkonto (und nicht das Dienstkonto) über diese
Berechtigungen für die Domäne verfügt. Außerdem muss das Dienstkonto (oder das Ersatzkonto, sofern
vorhanden) über die Leseberechtigungen und die Änderungsberechtigungen für die Active Directory-Objekte
und Verzeichnisse verfügen, in welchen Sie die Active Roles Sicherheitssynchronisierungsfunktion verwenden
wollen.
Beispielsweise können Sie das Dienstkonto (oder das Ersatzkonto) so konfigurieren, dass Sie uneingeschränkten
Zugriff auf bestimmte Organisationseinheiten haben. Auf diese Weise ist der Verwaltungsbereich von Active
Roles auf diese Organisationseinheiten beschränkt. Weiterhin besteht die Möglichkeit, Active Roles den
Verwaltungszugriff zu einer Domäne zu erteilen, indem das Konto zu der Domain Admins-Gruppe dieser Domäne
hinzugefügt oder Active Roles durch Hinzufügung des Kontos zur Domain Admins-Gruppe der GesamtstrukturStammdomäne der Verwaltungszugriff auf eine Gesamtstruktur gewährt wird.
Zugriff auf Exchange-Organisationen
Exchange 2007
Zur Verwaltung von Exchange-Empfängern unter Exchange Server 2007 erfordert Active Roles Folgendes:
•
Der Verwaltungsdienst muss in der Active Directory-Gesamtstruktur ausgeführt werden, in der der
Exchange-Server bereitgestellt wird. Installieren Sie den Verwaltungsdienst auf einem Computer in
dieser Gesamtstruktur.
•
Auf dem Computer, auf dem der Verwaltungsdienst ausgeführt wird, müssen die Verwaltungstools von
Exchange 2007 SP3 installiert sein. Installationsanweisungen finden Sie im Artikel „Installieren der
Exchange 2007-Verwaltungstools“ unter https://technet.microsoft.com/dede/library/bb232090%28v=exchg.80%29.aspx.
•
Das Dienstkonto oder das Ersatzkonto muss so konfiguriert sein, dass es über ausreichende Rechte in der
Exchange-Organisation verfügt. Die Rechte müssen an das Dienstkonto delegiert sein, wenn kein
Ersatzkonto verwendet wird; andernfalls müssen die Rechte an das Ersatzkonto delegiert sein. Details
finden Sie in den nachfolgend beschriebenen Schritten.
HINWEIS: Wenn Active Roles die Aufgabe „Postfach verschieben“ in Exchange 2007 durchführen soll,
dürfen Sie bei der Registrierung von Domänen in Active Roles kein Ersatzkonto verwenden. In diesem
Szenario muss die Domäne mit der Option für den Domänenzugriff mit dem Dienstkonto registriert
werden.
Gehen Sie folgendermaßen vor, um das Dienstkonto oder das Ersatzkonto zu konfigurieren:
1
Fügen Sie das Konto zur Rolle Exchange-Empfängeradministrator hinzu.
Weitere Anweisungen finden Sie im Artikel „Hinzufügen eines Benutzers oder einer Gruppe zu einer
Administratorrolle“ unter https://technet.microsoft.com/library/aa998008%28EXCHG.80%29.aspx.
Dell Active Roles 7.0
Erste Schritte
8
2
Wenn Sie Active Roles für die Verwaltung der Postfachberechtigungen verwenden möchten, fügen Sie das
Konto zur Rolle Exchange Organisationsadministratoren hinzu.
3
Wenn Sie die Aufgabe „Postfach verschieben“ mit Active Roles durchführen möchten, fügen Sie das
Dienstkonto zur Rolle Exchange-Serveradministrator und zur lokalen Administratoren-Gruppe auf
jedem Server hinzu, auf dem Exchange 2007 ausgeführt wird.
Active Roles kann die Aufgabe „Postfach verschieben“ in Exchange 2007 nicht durchführen, wenn ein
Ersatzkonto verwendet wird. Für diese Aufgabe muss die Domäne mit dem Dienstkonto registriert sein.
4
Fügen Sie das Konto zur Domänen-Sicherheitsgruppe Kontenoperatoren hinzu.
5
Stellen Sie sicher, dass das Konto Exchange-Konfigurationsdaten lesen darf (siehe Berechtigung zum
Lesen von Exchange-Konfigurationsdaten).
6
Starten Sie den Verwaltungsdienst neu, nachdem Sie die Konfiguration des Kontos geändert haben:
Starten Sie das Active Roles Configuration Center (siehe „Ausführen des Configuration Center“ im Active
Roles-Administratorhandbuch), wechseln Sie im Hauptfenster des Configuration Center zur Seite
Verwaltungsdienst und klicken Sie auf die Schaltfläche Neu starten oben auf der Seite
Verwaltungsdienst.
Exchange 2010
Zum Verwalten von Exchange-Empfängern unter Exchange Server 2010 muss das Dienstkonto oder das
Ersatzkonto so konfiguriert sein, dass es über ausreichende Rechte in der Exchange-Organisation verfügt. Die
Rechte müssen an das Dienstkonto delegiert sein, wenn kein Ersatzkonto verwendet wird; andernfalls müssen
die Rechte an das Ersatzkonto delegiert sein. Details finden Sie in den nachfolgend beschriebenen Schritten.
Gehen Sie folgendermaßen vor, um das Dienstkonto oder das Ersatzkonto zu konfigurieren:
1
Fügen Sie das Konto zur Rollengruppe Empfängerverwaltung hinzu.
Anweisungen dazu finden Sie im Artikel „Hinzufügen von Mitgliedern zu einer Rollengruppe“ unter
https://technet.microsoft.com/library/dd638143%28EXCHG.141%29.aspx.
2
Fügen Sie das Konto zur Domänen-Sicherheitsgruppe Kontenoperatoren hinzu.
3
Aktivieren Sie das Konto für die Exchange-Remoteverwaltungsshell.
Anweisungen dazu finden Sie im Artikel „Aktivieren der Exchange-Remoteverwaltungsshell für einen
Benutzer“ unter http://technet.microsoft.com/library/dd298084(exchg.141).aspx.
4
Stellen Sie sicher, dass das Konto Exchange-Konfigurationsdaten lesen darf (siehe Berechtigung zum
Lesen von Exchange-Konfigurationsdaten).
5
Starten Sie den Verwaltungsdienst neu, nachdem Sie die Konfiguration des Kontos geändert haben:
Starten Sie das Active Roles Configuration Center (siehe „Ausführen des Configuration Center“ im Active
Roles-Administratorhandbuch), wechseln Sie im Hauptfenster des Configuration Center zur Seite
Verwaltungsdienst und klicken Sie auf die Schaltfläche Neu starten oben auf der Seite
Verwaltungsdienst.
Die Exchange 2010-Verwaltungstools sind auf dem Computer, auf dem der Verwaltungsdienst ausgeführt wird,
nicht erforderlich.
Exchange 2013
Zum Verwalten von Exchange-Empfängern unter Exchange Server 2013 muss das Dienstkonto oder das
Ersatzkonto so konfiguriert sein, dass es über ausreichende Rechte in der Exchange-Organisation verfügt. Die
Rechte müssen an das Dienstkonto delegiert sein, wenn kein Ersatzkonto verwendet wird; andernfalls müssen
die Rechte an das Ersatzkonto delegiert sein. Details finden Sie in den nachfolgend beschriebenen Schritten.
Gehen Sie folgendermaßen vor, um das Dienstkonto oder das Ersatzkonto zu konfigurieren:
1
Fügen Sie das Konto zur Rollengruppe Empfängerverwaltung hinzu.
Anweisungen dazu finden Sie im Artikel „Verwalten von Rollengruppenmitgliedern“ unter
http://technet.microsoft.com/library/jj657492(exchg.150).aspx.
Dell Active Roles 7.0
Erste Schritte
9
2
Fügen Sie das Konto zur Domänen-Sicherheitsgruppe Kontenoperatoren hinzu.
3
Aktivieren Sie das Konto für die Exchange-Remoteverwaltungsshell.
Anweisungen dazu finden Sie im Abschnitt „Aktivieren der Remoteshell für einen Benutzer“ des Artikels
„Verwalten des Zugriffs auf die Exchange-Verwaltungsshell“ unter
http://technet.microsoft.com/library/dd638078(exchg.150).aspx.
4
Stellen Sie sicher, dass das Konto Exchange-Konfigurationsdaten lesen darf (siehe Berechtigung zum
Lesen von Exchange-Konfigurationsdaten).
5
Starten Sie den Verwaltungsdienst neu, nachdem Sie die Konfiguration des Kontos geändert haben:
Starten Sie das Active Roles Configuration Center (siehe „Ausführen des Configuration Center“ im Active
Roles-Administratorhandbuch), wechseln Sie im Hauptfenster des Configuration Center zur Seite
Verwaltungsdienst und klicken Sie auf die Schaltfläche Neu starten oben auf der Seite
Verwaltungsdienst.
Berechtigung zum Lesen von Exchange-Konfigurationsdaten
Für die Durchführung von Aufgaben zur Verwaltung von Exchange-Empfängern benötigt Active Roles Lesezugriff
auf Exchange-Konfigurationsdaten in Active Directory. Diese Voraussetzung ist erfüllt, wenn das Dienstkonto
(oder das Ersatzkonto, sofern angegeben) über Administratorrechte verfügt (also z. B. Mitglied der Gruppe
Domänen-Admins oder Organisationsverwaltung ist). Ist dies nicht Fall, sollten Sie dem Konto die
Leseberechtigung im Microsoft Exchange-Container zuweisen. Dazu verwenden Sie die ADSIBearbeitungskonsole wie folgt (die Anweisungen gelten für die ADSI-Bearbeitungskonsole, die Sie mit Windows
Server 2012 oder Windows Server 2012 R2 erhalten):
1
Öffnen Sie die ADSI-Bearbeitungskonsole und stellen Sie eine Verbindung zum KonfigurationsNamenskontext her.
2
Wechseln Sie in der ADSI-Bearbeitungskonsole zum Container Configuration/Services, klicken Sie in
diesem Container mit der rechten Maustaste auf Microsoft Exchange und klicken Sie dann auf
Eigenschaften.
3
Klicken Sie auf der Registerkarte Sicherheit im Dialogfeld Eigenschaften auf Erweitert.
4
Klicken Sie auf der Registerkarte Berechtigungen im Dialogfeld Erweiterte Sicherheitseinstellungen
auf Hinzufügen.
5
Konfigurieren Sie auf der Seite Berechtigungseintrag den Berechtigungseintrag:
6
a
Klicken Sie auf den Link Prinzipal auswählen und wählen Sie das gewünschte Konto aus.
b
Stellen Sie sicher, dass Typ auf Erlauben eingestellt ist.
c
Vergewissern Sie sich, dass das Feld Übernehmen für auf Dieses und alle untergeordneten
Objekte festgelegt ist.
d
Aktivieren Sie unter Berechtigungen die Kontrollkästchen Inhalt auflisten und Alle
Eigenschaften lesen.
e
Klicken Sie auf OK.
Klicken Sie auf OK, um das Dialogfeld Erweiterte Sicherheitseinstellungen zu schließen. Klicken Sie
dann auf OK, um das Dialogfeld Eigenschaften zu schließen.
Unterstützung der Exchange-Remoteverwaltungsshell
Bei der Durchführung von Aufgaben zur Verwaltung von Exchange-Empfängern unter Exchange Server 2010 oder
höher verwendet Active Roles die Exchange-Remoteverwaltungsshell für die Kommunikation mit Exchange
Server, damit Sie die Exchange-Verwaltungstools nicht auf dem Computer installieren müssen, auf dem der
Verwaltungsdienst ausgeführt wird.
Um die Exchange-Remoteverwaltungsshell verwenden zu können, muss der Verwaltungsdienst auf einem
Computer ausgeführt werden, auf dem die folgenden Komponenten installiert sind:
•
Windows Server 2008 R2 SP1 oder eine höhere Version von Windows Server
Dell Active Roles 7.0
Erste Schritte
10
•
Microsoft .NET Framework 4.5 (siehe „Installing the .NET Framework“ unter
http://go.microsoft.com/fwlink/p/?LinkId=257868).
•
Windows Management Framework 3.0 (siehe „Windows Management Framework 3.0“ unter
http://go.microsoft.com/fwlink/p/?LinkId=272757).
Für Remoteshell müssen außerdem die folgenden Voraussetzungen erfüllt sein:
•
Zwischen dem Computer mit dem Verwaltungsdienst und dem Exchange-Remoteserver muss TCP-Port 80
geöffnet sein.
•
Das Benutzerkonto, das der Verwaltungsdienst für die Verbindung zum Exchange-Remoteserver
verwendet (Dienstkonto oder Ersatzkonto), muss für die Remoteshell aktiviert sein. Um ein
Benutzerkonto für die Remoteshell zu aktivieren, aktualisieren Sie das betreffende Benutzerkonto mit
dem Cmdlet Set-User, wobei der Parameter RemotePowerShellEnabled auf $True gesetzt ist.
•
Auf dem Computer, auf dem der Verwaltungsdienst ausgeführt wird, muss die Windows PowerShellSkriptausführung aktiviert sein. Um die Skriptausführung für signierte Skripts zu aktivieren, führen Sie
den Befehl Set-ExecutionPolicy RemoteSigned in einem Windows PowerShell-Fenster mit
erhöhten Rechten aus.
Zugriff auf verwaltete AD LDS-Instanzen
Der Zugriff von Active Roles auf Instanzen von Active Directory Lightweight Directory Services (AD LDS) wird
durch die Zugriffsberechtigungen des Dienstkontos oder des Ersatzkontos (sofern angegeben) beschränkt. Für
alle verwalteten AD LDS-Instanzen, für die kein Ersatzkonto angegeben wurde, sollten Sie das Dienstkonto mit
den Berechtigungen konfigurieren, über die Active Roles in diesen Instanzen verfügen soll. Wenn Sie ein
Ersatzkonto bei der Registrierung einer AD LDS-Instanz mit Active Roles verwenden, müssen Sie sicherstellen,
dass das Ersatzkonto (und nicht das Dienstkonto) über diese Berechtigungen für die Instanz verfügt.
Für die Steuerung des Zugriffs auf Verzeichnisdaten stellt AD LDS vier standardmäßige, rollenbasierte Gruppen
zur Verfügung: Administratoren, Instanzen, Leser und Benutzer. Diese Gruppen befinden sich in der
Konfigurationspartition und in jeder Anwendungspartition, nicht jedoch in der Schemapartition. Für die
Registrierung einer AD LDS-Instanz bei Active Roles muss das Dienstkonto oder das Ersatzkonto (sofern
angegeben) mindestens Mitglied der folgenden Gruppen sein:
•
Instanzen (CN=Instances,CN=Roles) in der Konfigurationspartition
•
Leser (CN=Readers,CN=Roles) in der Konfigurationspartition und in jeder Anwendungspartition
Damit Active Roles Vollzugriff auf die AD LDS-Instanz hat, fügen Sie das Konto zur folgenden Gruppe hinzu:
•
Administratoren (CN=Administrators,CN=Roles) in der Konfigurationspartition
Wenn Sie das Konto zur Gruppe Administratoren hinzufügen, müssen Sie es nicht zur Gruppe Instanzen oder
Leser hinzufügen.
Zugriff auf Dateiserver
Um die Active Roles mit den Stammordnern und Stammfreigaben des Benutzers zusammenhängenden
Provisionierungs- und Deprovisionierungsaufgaben auszuführen, muss das Dienstkonto (oder das Ersatzkonto,
sofern vorhanden) zur Serveroperator- oder Managergruppe auf jedem Dateiserver, die die von Active Roles zu
verwaltenden Stammordner des Benutzers enthält, gehören.
Active Roles stellt die folgenden Richtlinienkategorien zur Verfügung, um die Verwaltung der Stammordner und
Stammfreigaben der Benutzer zu automatisieren:
•
Automatische Provisionierung des Stammordners: Führt die erforderlichen Provisionierungsaktionen
durch, um Stammordner und Stammfreigaben Benutzerkonten zuzuordnen. Dazu gehören unter anderem
die Erstellung von Stammordnern für neu erstellte Benutzerkonten und die Umbenennung von
Stammordnern bei der Umbenennung von Benutzerkonten. Gibt den Server an, auf dem die Stammordner
und Freigaben erstellt werden sollen, und konfiguriert die Zugriffsrechte für neu erstellte Stammordner
und freigaben.
Dell Active Roles 7.0
Erste Schritte
11
•
Deprovisionierung der Stammordner: Nimmt die Änderungen vor, die notwendig sind, um zu
verhindern, dass deprovisionierte Benutzer auf ihre eigenen Stammordner zuzugreifen; dazu gehören
auch die Aufhebung der Benutzerberechtigungen für den Stammordner, die Änderung der Besitzrechte
am Stammordner und die Löschung des Stammordners, wenn das Benutzerkonto gelöscht wird.
Das Dienstkonto oder Ersatzkonto muss so konfiguriert sein, dass es über ausreichende Rechte für die
Durchführung der Vorgänge im Rahmen dieser Richtlinien verfügt: Erstellen, Ändern (einschließlich der
Möglichkeit zur Änderung der Berechtigungseinstellungen und der Eigentümerschaft) und Löschen von Ordnern
und Freigaben auf den angegebenen Dateiservern.
Sie können die notwendigen Berechtigungen für das Dienstkonto oder das Ersatzkonto erteilen, indem Sie dieses
Konto zur entsprechenden administrativen Gruppe (Administratoren oder Serveroperatoren) auf jedem
Dateiserver hinzufügen, für welchen Sie die Verwaltung der Stammordner der Benutzer Active Roles ausführen
wollen.
Zugriff auf BitLocker-Wiederherstellungsinformationen
Um BitLocker-Wiederherstellungskennwörter in Active Roles anzuzeigen, sind Rechte als Domänenadministrator
für das Konto erforderlich, das der Active Roles-Verwaltungsdienst für den Zugriff auf die Domäne verwendet.
Vergewissern Sie sich, dass das Dienstkonto bzw. das Ersatzkonto (sofern angegeben) Mitglied der Gruppe
„Domänen-Admins“ in allen verwalteten Domänen ist, in denen Sie Active Roles zum Anzeigen von BitLockerWiederherstellungskennwörtern verwenden möchten.
Da dem Active Roles-Verwaltungsdienst Rechte als Domänenadministrator zugewiesen wurden, ermöglicht
Active Roles delegierten Administratoren, BitLocker-Wiederherstellungskennwörter zu suchen und anzuzeigen,
die in der Active Directory-Domäne gespeichert sind. Zum Anzeigen der BitLockerWiederherstellungskennwörter müssen der delegierte Administrator über die entsprechenden Berechtigungen in
Active Roles verfügen. Die folgende Zugriffsvorlage bietet ausreichende Berechtigungen, um BitLockerWiederherstellungskennwörter anzuzeigen:
•
Computer Objects - View BitLocker Recovery Keys
Um BitLocker-Wiederherstellungskennwörter in einer bestimmten Domäne anzeigen zu können, müssen
außerdem die folgenden Voraussetzungen erfüllt sein:
•
Die Domäne muss so konfiguriert sein, dass BitLocker-Wiederherstellungsinformationen gespeichert
werden (siehe http://technet.microsoft.com/en-us/library/dd875529.aspx).
•
Die Computer, die mit BitLocker geschützt sind, müssen Mitglied der Domäne sein.
•
Auf den Computern muss die BitLocker-Laufwerksverschlüsselung aktiviert sein.
Die BitLocker-Wiederherstellungsinformationen werden in der Active Roles-Konsole auf der Registerkarte
BitLocker-Wiederherstellung im Dialogfeld Eigenschaften des Computerobjekts angezeigt. Darüber hinaus
können Sie domänenweite Suchen nach BitLocker-Wiederherstellungskennwörtern durchführen.
SQL Server-Berechtigungen
In diesem Abschnitt werden die SQL Server-Berechtigungen behandelt, die für folgende Vorgänge erforderlich
sind:
•
Konfigurieren des Active Roles-Verwaltungsdienstes (Konfigurationsberechtigungen)
•
Ausführen des Active Roles-Verwaltungsdienstes (Betriebsberechtigungen)
•
Konfigurieren der Replikation in Active Roles (Replikationskonfigurationsberechtigungen)
•
Ausführen der Active Roles-Replikation (Replikations-Agenten-Berechtigungen)
Dell Active Roles 7.0
Erste Schritte
12
Konfigurationsberechtigungen
Das Konto, das Sie beim Konfigurieren des Verwaltungsdienstes verwenden, muss unter SQL Server über
ausreichende Berechtigungen für die Durchführung der Konfigurationsaufgaben verfügen.
Welches Konto während der Konfiguration des Verwaltungsdienstes für den Zugriff auf SQL Server verwendet
wird, hängt davon ab, welche SQL Server-Verbindungsoption Sie im Assistenten für die Konfiguration des
Verwaltungsdienstes auswählen. Wenn Sie die Option für die Verwendung der Windows-Authentifizierung
wählen, verwendet der Assistent für den SQL Server-Zugriff das Windows-Benutzerkonto, unter dem er
ausgeführt wird. Wenn Sie die Option für die Verwendung der SQL Server-Authentifizierung wählen, greift der
Assistent mit dem im Assistenten angegebenen SQL-Anmeldenamen und -Kennwort auf SQL Server zu.
Die erforderlichen Rechte des Kontos, das während der Konfiguration für den Zugriff auf SQL Server verwendet
wird, variieren abhängig vom Konfigurationsszenario:
•
Wenn der Assistent eine neue Datenbank für den Verwaltungsdienst erstellen soll, muss das Konto
Mitglied der festen Serverrolle dbcreator sein.
•
Soll der Assistent Daten aus der Active Roles-Datenbank einer älteren Version importieren, muss das
Konto Mitglied der festen Datenbankrolle db_datareader in der Quelldatenbank sein.
•
Wenn der Assistent den Verwaltungsdienst für die Verwendung einer bestehenden Datenbank der
aktuellen Version konfigurieren, muss das Konto Mitglied der festen Datenbankrolle db_owner sein und
über das Standardschema dbo in dieser Datenbank verfügen.
•
Soll der Assistent eine bestehende, leere Datenbank für den Verwaltungsdienst verwenden, muss das
Konto Mitglied der festen Datenbankrolle db_owner sein und über das Standardschema dbo in dieser
Datenbank verfügen.
Betriebsberechtigungen
Der Verwaltungsdienst greift mit dem während der Konfiguration angegebenen Konto auf seine Datenbank zu:
•
Wenn die Option zur Verwendung der Windows-Authentifizierung im Assistenten zur Konfiguration des
Verwaltungsdienstes ausgewählt ist, verwendet der Verwaltungsdienst für den Datenbankzugriff sein
Dienstkonto.
•
Wenn die Option zur Verwendung des SQL Server-Authentifizierung ausgewählt ist, greift der
Verwaltungsdienst mit dem im Konfigurationsassistenten angegebenen SQL-Anmeldenamen und kennwort auf die Datenbank zu.
In beiden Fällen muss das Konto über ausreichende Rechte auf SQL Server verfügen, um Daten aus der
Datenbank abzurufen und Änderungen vorzunehmen. Die erforderlichen Rechte variieren abhängig von der Rolle
des Datenbankservers des Verwaltungsdienstes in der Replikationsumgebung von Active Roles.
Eigenständiger Modus
Bei der ursprünglichen Installation ist die Datenbank des Verwaltungsdienstes so konfiguriert, dass sie nicht an
der Active Roles-Replikation teilnimmt. Diese Konfiguration wird als eigenständiger Verwaltungsdienst
bezeichnet. Das vom eigenständigen Verwaltungsdienst für den Datenbankzugriff verwendete Konto muss
mindestens Mitglied der festen Datenbankrolle db_owner sein und über das Standardschema dbo in dieser
Datenbank verfügen.
Herausgebermodus
Wenn der Datenbankserver des Verwaltungsdienstes die Rolle des Herausgebers in der Active Roles-Replikation
inne hat, muss das vom Verwaltungsdienst für den Datenzugriff verwendete Konto mindestens Mitglied der
festen Datenbankrolle db_owner sein und über das Standardschema dbo in dieser Datenbank verfügen.
Zusätzliche Berechtigungen sind erforderlich, wenn Sie die Replikations-Statusinformationen und
Fehlermeldungen in der Active Roles-Konsole einsehen möchten. Diese zusätzlichen Berechtigungen lauten wie
folgt:
•
Standardschema von dbo in der msdb-Systemdatenbank.
Dell Active Roles 7.0
Erste Schritte
13
•
SELECT-Berechtigung in den sysjobs-, sysjobsteps- und MSagent_parameters-Systemtabellen in der
msdb-Systemdatenbank.
•
SELECT-Berechtigung in der sysservers-Systemansicht in der master-Systemdatenbank.
•
EXECUTE-Berechtigung in der erweiterten gespeicherten xp_sqlagent_enum_jobs-Systemprozedur in
der master-Systemdatenbank.
•
SELECT-Berechtigung in den MSmerge_agents-, MSmerge_history-, MSmerge_sessions-,
MSsnapshot_agents- und MSsnapshot_history-Systemtabellen in der Verteilungsdatenbank
(standardmäßig AelitaDistributionDB-Datenbank).
Abonnentenmodus
Wenn der Datenbankserver des Verwaltungsdienstes die Rolle eines Abonnenten der Active Roles-Replikation
inne hat, muss das vom Verwaltungsdienst für den Datenbankzugriff verwendete Konto über dieselben Rechte
wie im eigenständigen Modus verfügen: Das Konto muss mindestens Mitglied der festen Datenbankrolle
db_owner sein und über das Standardschema dbo in dieser Datenbank verfügen.
Replikationskonfigurationsberechtigungen
Nachdem Sie zwei oder mehr Verwaltungsdienstinstanzen installiert und konfiguriert haben (jede mit ihrer
eigenen Datenbank), können Sie bei Bedarf die Replikation bereitstellen, um die Datenbanken zu
synchronisieren, damit all Ihre Verwaltungsdienstinstanzen über dieselbe Konfiguration und denselben
Verwaltungsverlauf verfügen. Die Bereitstellung der Replikation beginnt, wenn Sie den Herausgeber
konfigurieren. Nach der Konfiguration des Herausgebers müssen die Abonnenten konfiguriert werden. Die
Konfiguration des Herausgebers oder eines Abonnenten erfordert mehr Rechte auf SQL Server, als der
Verwaltungsdienst für normale Vorgänge benötigt. Um die Rechte des Verwaltungsdienstes zu erhöhen, fordert
Active Roles die Eingabe eines anderen Kontos an. In den folgenden Themen sind die Berechtigungen
beschrieben, die für die Erstellung des Herausgebers oder für das Hinzufügen eines Abonnenten erforderlich
sind.
Berechtigungen zum Erstellen oder Entfernen des Herausgebers
Um den Herausgeber zu erstellen, muss der Verwaltungsdienst über sysadmin-Rechte auf SQL Server verfügen.
Wenn das Verwaltungsdienstkonto für den Datenbankzugriff nicht zur sysadmin-Rolle gehört, dann fordert Sie
Active Roles auf, ein anderes Konto anzugeben. Das alternative Konto muss:
•
ein Mitglied der festen Serverrolle sysadmin auf dem Datenbankserver sein, den Sie zum Herausgeber
machen möchten.
Active Roles speichert den Anmeldenamen und das Kennwort dieses Kontos nicht. Es verwendet lediglich den
Kontonamen und das Kennwort dieses Kontos für die Konfiguration des Herausgebers.
Dieselben Berechtigungen sind zum Entfernen (Herabstufen) des Herausgebers erforderlich.
Berechtigungen zum Hinzufügen oder Entfernen eines Abonnenten
Um einen Abonnenten hinzuzufügen, muss der Datenbankserver des Verwaltungsdienstes über die
Herausgeberrolle verfügen. Beim Hinzufügen eines Abonnenten nimmt der Verwaltungsdienst Änderungen am
Datenbankserver des Herausgebers und an dem Datenbankserver vor, der als Abonnent konfiguriert wird
(Abonnenten-Datenbankserver). Daher benötigt der Verwaltungsdienst ausreichende Rechte auf beiden
Datenbankservern.
Auf dem Herausgeber-Datenbankserver benötigt der Verwaltungsdienst sysadmin-Rechte. Wenn das
Verwaltungsdienstkonto für den Datenbankzugriff nicht zur sysadmin-Rolle gehört, dann fordert Sie Active Roles
auf, ein anderes Konto für die Herstellung der Verbindung zum Herausgeber-Datenbankserver anzugeben. Das
alternative Konto muss:
•
Sie müssen ein Mitglied der festen Serverrolle sysadmin auf dem Herausgeber-Datenbankserver sein.
Active Roles speichert den Anmeldenamen und das Kennwort dieses Kontos nicht. ActiveRoles verwendet
lediglich den Kontonamen und das Kennwort dieses Kontos für die Konfiguration des Abonnenten.
Dell Active Roles 7.0
Erste Schritte
14
Auf dem Datenbankserver, den Sie zu einem Abonnenten machen möchten, muss der Verwaltungsdienst über
db_owner-Rechte für die Active Roles-Datenbank verfügen. Wenn das Verwaltungsdienstkonto für den
Datenbankzugriff nicht über ausreichende Rechte am Abonnenten-Datenbankserver verfügt, dann fordert Sie
Active Roles auf, ein anderes Konto für die Herstellung der Verbindung zum Abonnenten-Datenbankserver
anzugeben. Für das alternative Konto gilt:
•
Das Konto muss Mitglied der festen Datenbankrolle db_owner in der Active Roles-Datenbank auf dem
Datenbankserver sein, den Sie zu einem Abonnenten machen möchten.
•
Das Konto muss über das Standardschema dbo in dieser Datenbank verfügen.
Active Roles speichert den Anmeldenamen und das Kennwort dieses Kontos nicht. ActiveRoles verwendet
lediglich den Kontonamen und das Kennwort dieses Kontos für die Konfiguration des Abonnenten.
Dieselben Berechtigungen sind zum Entfernen eines Abonnenten erforderlich.
Replikations-Agenten-Berechtigungen
Bei der Active Roles-Replikation werden SQL Server-Replikations-Agenten (Zusammenführungsagenten)
verwendet, um Daten zwischen der Herausgeber- und der Abonnentendatenbank zu synchronisieren. Jeder
Abonnent hat einen fest zugeordneten Replikations-Agenten auf dem SQL Server, der die Herausgeberdatenbank
hostet. Da die Aufgabe des Agenten darin besteht, die Synchronisierung zwischen der Herausgeber- und der
Abonnentendatenbank sicherzustellen, braucht der Agent ausreichende Zugangsberechtigungen für die
Herausgeber- und den Abonnentendatenbankserver.
Der Verwaltungsdienst erstellt und konfiguriert einen Replikations-Agenten, wenn ein Abonnent hinzugefügt
wird. In Bezug auf den SQL Server ist dies ein Zusammenführungsagent für ein Pushabonnement. Laut der
Onlinedokumentation für SQL Server (siehe „Sicherheitsmodell des Replikations-Agents“ unter
msdn.microsoft.com/en-us/library/ms151868.aspx) erfordert der Zusammenführungsagent für ein
Pushabonnement die folgenden Berechtigungen.
Das Windows-Konto, unter welchem die Ausführung des Agenten erfolgt, wird verwendet, wenn Verbindungen
zum Herausgeber und zum Verteiler hergestellt werden. Dieses Konto muss:
•
mindestens Mitglied der festen Datenbankrolle db_owner in der Verteilungsdatenbank (standardmäßig
AelitaDistributionDB-Datenbank) sein.
•
Mitglied der Publikationszugriffsliste (PAL) sein.
•
ein Anmeldename sein, der in der Publikationsdatenbank (der Active Roles-Datenbank auf dem
Herausgeber) mit einem Benutzer verknüpft ist.
•
Leseberechtigungen für die Momentaufnahmefreigabe haben (standardmäßig handelt es sich dabei um
den Ordner ReplData auf der administrativen Freigabe C$).
Das Konto, das für die Verbindung zum Abonnenten verwendet wird, muss mindestens Mitglied der festen
Datenbankrolle db_owner in der Abonnementdatenbank (der Active Roles-Datenbank auf dem Abonnenten) sein.
Standardmäßig lauten die Sicherheitseinstellungen eines von Active Roles konfigurierten
Zusammenführungsagent wie folgt:
•
Das Konto, unter welchem der Zusammenführungsagent ausgeführt wird und die Verbindungen zum
Herausgeber und zum Verteiler hergestellt werden, ist das Windows-Dienstkonto des SQL Server-AgentDienstes.
•
Das Konto, das der Zusammenführungsagent für die Verbindung zum Abonnenten verwendet, ist das
Konto, unter welchem der Zusammenführungsagent ausgeführt wird.
Das bedeutet, dass Active Roles standardmäßig erfordert, dass das Konto des SQL Server-Agent-Dienstes über
sämtliche Berechtigungen verfügt, die der Zusammenführungsagent braucht, um Verbindungen zum
Herausgeber/Verteiler und zum Abonnenten herzustellen.
Wenn ein Abonnent hinzugefügt wird, haben Sie die Möglichkeit, ein separates Benutzerwort für die Herstellung
der Verbindung zum Abonnenten zu vergeben. Wenn Sie diese Möglichkeit wählen, verwendet der
Zusammenführungsagent den Benutzernamen, den Sie ihm zuteilen (und nicht das Konto des SQL Server-AgentDienstes), um die Verbindungen zum Abonnenten herzustellen. In diesem Fall muss der Benutzername, den Sie
vergeben, über db_owner-Berechtigungen in der Abonnementdatenbank verfügen. Der SQL Server-Agent-Dienst
braucht keine Berechtigungen an der Abonnementdatenbank zu haben. Jedoch muss er über sämtliche
Berechtigungen verfügen, die der Zusammenführungsagent braucht, um die Verbindungen zum Herausgeber und
zum Verteiler herzustellen.
Dell Active Roles 7.0
Erste Schritte
15
Vorgehensweise zur Bereitstellung des
Verwaltungsdienstes
Active Roles erfordert Microsoft.NET Framework 4.5. Anweisungen zur Aktualisierung von .NET Framework
finden Sie im Artikel „Installing the .NET Framework“ unter http://go.microsoft.com/fwlink/p/?LinkId=257868.
Der Verwaltungsdienst erfordert Microsoft SQL Server. SQL Server kann auf dem Verwaltungsdienstcomputer
oder auf einem anderen Netzwerkcomputer installiert sein. Wenn Sie in Ihrer Umgebung nicht über Microsoft
SQL Server verfügen, können Sie Microsoft SQL Server 2012 Express von der Seite „Microsoft® SQL Server® 2012
Service Pack 1 (SP1) Express“ unter http://go.microsoft.com/fwlink/?LinkID=267905 herunterladen und
installieren.
Jetzt, da Sie Zugriff auf SQL Server haben, können Sie den Verwaltungsdienst installieren.
In diesem Abschnitt wird beschrieben, wie Sie eine neue Instanz des Verwaltungsdienstes installieren und
konfigurieren. Anweisungen zur Aktualisierung einer bestehenden Verwaltungsdienstinstanz einer älteren
Version finden Sie unter Aktualisierung des Verwaltungsdienstes weiter unten.
Gehen Sie folgendermaßen vor, um den Verwaltungsdienst zu installieren:
1
Melden Sie sich mit einem Benutzerkonto, das über Administratorrechte verfügt, beim Computer an.
2
Wechseln Sie zum Speicherort des Active Roles-Verteilungspakets und starten Sie den
Installationsassistenten durch Doppelklicken auf Setup.exe.
3
Befolgen Sie die Anweisungen des Installationsassistenten.
4
Stellen Sie auf der Seite Component Selection sicher, dass die Komponente Administration Service
ausgewählt ist, und klicken Sie auf Next.
5
Klicken Sie auf der Seite Ready to Install auf Install, um die Installation durchzuführen.
6
Vergewissern Sie sich auf der Seite Completion, dass das Kontrollkästchen I want to perform
configuration aktiviert ist, und klicken Sie auf Finish.
Der Installationsassistent installiert die Dateien nur. Nach Abschluss des Installationsassistenten müssen Sie die
neu installierte Verwaltungsdienstinstanz konfigurieren. Dazu verwenden Sie das Active Roles Configuration
Center, das automatisch geöffnet wird, wenn Sie auf der Seite Completion im Installationsassistenten das
Kontrollkästchen I want to perform configuration aktivieren. Sie können das Configuration Center auch öffnen,
indem Sie Active Roles 7.0 Configuration Center auf der Seite Apps oder im Menü Start auswählen, je
nachdem, welche Version des Windows-Betriebssystems Sie verwenden.
Gehen Sie folgendermaßen vor, um den Verwaltungsdienst zu konfigurieren:
1
Klicken Sie im Configuration Center unter Verwaltungsdienst auf Konfigurieren.
2
Daraufhin wird der Assistent „Verwaltungsdienst konfigurieren“ aufgerufen, in dem Sie die folgenden
Schritte durchführen:
a
Geben Sie auf der Seite Dienstkonto den Namen und das Kennwort des Domänen-Benutzerkontos
ein, das als Verwaltungsdienstkonto verwendet werden soll.
b
Akzeptieren Sie auf der Seite Active Roles-Administrator das Standardkonto oder klicken Sie auf
Durchsuchen und wählen Sie die Gruppe oder den Benutzer aus, die/der als Active RolesAdministrator festgelegt werden soll.
c
Wählen Sie auf der Seite Datenbankoptionen die passende Option aus und befolgen Sie dann die
Anweisungen des Assistenten.
Die Datenbankoptionen hängen mit der Einrichtung der Datenbank für den Verwaltungsdienst zusammen, den
Sie gerade konfigurieren. Diese Optionen und die entsprechenden Schritte im Assistenten werden in den
folgenden Abschnitten beschrieben.
Dell Active Roles 7.0
Erste Schritte
16
Konfigurieren des ersten Verwaltungsdienstes
In diesem Abschnitt werden die datenbankbezogenen Schritte des Assistenten „Verwaltungsdienst
konfigurieren“ für ein Szenario beschrieben, in dem Sie den ersten Verwaltungsdienst in Ihrer Umgebung
konfigurieren.
Gehen Sie folgendermaßen vor, um den ersten Verwaltungsdienst zu konfigurieren:
1
Wählen Sie auf der Seite Datenbankoptionen im Assistenten „Verwaltungsdienst konfigurieren“ die
Option Neue Active Roles-Datenbank aus und klicken Sie dann auf Weiter.
2
Geben Sie auf der Seite Verbindung zur Datenbank eine SQL Server-Instanz und einen Datenbanknamen
an und wählen Sie die Authentifizierungsoption aus:
a
Geben Sie im Feld SQL Server eine SQL Server-Instanz im Format <Computer>\<Instanz> (für eine
benannte Instanz) oder <Computer> (für eine Standardinstanz) an, wobei <Computer> für den
Kurznamen des Computers steht, auf dem SQL Server ausgeführt wird. Der Assistent erstellt die
Datenbank auf der von Ihnen angegebenen SQL Server-Instanz.
b
Geben Sie in das Feld Datenbank einen Namen für die zu erstellende Datenbank ein.
c
Wählen Sie unter Verbinden mit die passende Authentifizierungsoption aus:
•
Wenn sich der Verwaltungsdienst unter Verwendung des Dienstkontos mit der Datenbank
verbinden soll, klicken Sie auf Windows-Authentifizierung.
•
Soll sich der Verwaltungsdienst mithilfe einer SQL Server-Anmeldung mit der Datenbank
verbinden, klicken Sie auf SQL Server-Authentifizierung und geben den Anmeldenamen
und das Kennwort ein.
3
Klicken Sie auf Weiter und füllen Sie die Seite Sicherungskopie für Verschlüsselungsschlüssel aus, wie
dies unter Sichern des Verschlüsselungsschlüssels weiter unten beschrieben wird.
4
Klicken Sie auf Weiter und folgen Sie den Anweisungen des Assistenten, um die Konfiguration
abzuschließen.
Sichern des Verschlüsselungsschlüssels
Beim Konfigurieren des ersten Verwaltungsdienstes erstellt das Configuration Center eine Datenbank und einen
geheimen Schlüssel, den der Verwaltungsdienst zum Verschlüsseln und Entschlüsseln sensibler Daten in
Datenbank verwendet, wie etwa die Anmeldeinformationen für die Ersatzkonten für verwaltete Domänen.
Dieser geheime Schlüssel, der so genannte Verschlüsselungsschlüssel, wird asymmetrisch verschlüsselt in der
Datenbank gespeichert, sodass er nur von dem Verwaltungsdienst abgerufen und entschlüsselt werden kann, der
über den privaten Teil des asymmetrischen Schlüsselpaars verfügt. Diese Art der Speicherung des
Verschlüsselungsschlüssels stellt den optimalen Schutz für sicherheitsrelevante Daten in der Active RolesDatenbank sicher.
Für den Abruf des geheimen Schlüssels muss der private Schlüssel bekannt sein, der dem öffentlichen Schlüssel
zugeordnet ist, mit dem der geheime Schlüssels verschlüsselt wurde. Dadurch kann die Situation eintreten, dass
eine neue Verwaltungsdienstinstanz, die mit einer bestehenden Active Roles-Datenbank verknüpft ist, den
geheimen Schlüssel nicht abrufen kann. Dies ist meist unter folgenden Umständen der Fall:
•
Sie verknüpfen eine neue Verwaltungsdienstinstanz mit einer Active Roles-Datenbank, die von anderen
Instanzen des Verwaltungsdienstes verwendet wird, während keine laufende Instanz vorhanden ist, die
den geheimen Schlüssel entschlüsseln könnte.
•
Sie importieren Active Roles-Konfigurationsdaten aus einer anderen Datenbank (beispielsweise aus einer
Datenbank einer älteren Active Roles-Version). In diesem Fall benötigen Sie den
Verschlüsselungsschlüssel, der für die Datenverschlüsselung in der Quelldatenbank verwendet wird;
andernfalls können die verschlüsselten Daten nicht importiert werden.
Wenn der Verwaltungsdienst den geheimen Schlüssel nicht aus der Datenbank abrufen kann, benötigen Sie eine
Sicherungskopie des geheimen Schlüssels. Das Configuration Center fordert Sie zum Erstellen einer
Sicherungskopie des geheimen Schlüssels auf, wenn Sie die Erstkonfiguration des Verwaltungsdiensts mit der
Option zur Erstellung einer neuen Datenbank durchführen.
Dell Active Roles 7.0
Erste Schritte
17
Auf der Seite Sicherungskopie für Verschlüsselungsschlüssel gibt der Assistent „Verwaltungsdienst
konfigurieren“ eine Datei an, in der eine Sicherungskopie des geheimen Schlüssels gespeichert wird. Sie können
die Sicherungskopie verschlüsseln, indem Sie die Datei durch ein Kennwort schützen.
Gehen Sie folgendermaßen vor, um die Seite „Sicherungskopie für Verschlüsselungsschlüssel“
auszufüllen:
1
Wenn Sie den Namen oder den Speicherort der Sicherungsdatei ändern möchten, klicken Sie auf die
Schaltfläche Durchsuchen und geben den gewünschten Dateinamen und Speicherort ein. Der Assistent
speichert eine Kopie des geheimen Schlüssels in der angegebenen Datei.
2
Wenn Sie die Sicherungskopie verschlüsseln möchten, aktivieren Sie das Kontrollkästchen
Sicherungsdatei durch ein Kennwort schützen, geben dann ein Kennwort ein und bestätigen es. Sie
müssen das angegebene Kennwort eingeben, wenn Sie den Schlüssel aus der Datei abrufen möchten.
Wenn Sie das Kennwort verlieren oder vergessen, kann es nicht wiederhergestellt werden.
Konfigurieren eines weiteren Verwaltungsdienstes
In diesem Abschnitt werden die datenbankbezogenen Schritte des Assistenten „Verwaltungsdienst
konfigurieren“ für folgendes Szenario beschrieben:
•
Mindestens eine Instanz des Verwaltungsdienstes der Version 7.0 ist in Ihrer Umgebung installiert und
wird dort ausgeführt.
•
Sie installieren eine weitere Instanz des Verwaltungsdienstes zur Verteilung der Last und zur
Gewährleistung der Fehlertoleranz.
Gehen Sie folgendermaßen vor, um einen weiteren Verwaltungsdienst zu konfigurieren:
1
Wählen Sie auf der Seite Datenbankoptionen im Assistenten „Verwaltungsdienst konfigurieren“
abhängig davon, wie Sie die Konfiguration der neuen Verwaltungsdienstinstanz mit der Konfiguration der
vorhandenen Verwaltungsdienstinstanzen synchronisieren möchten, auf eine der folgenden Optionen:
•
Vorhandene Active Roles-Datenbank Konfiguriert die neue Verwaltungsdienstinstanz so, dass sie
die Datenbank einer bestehenden Verwaltungsdienstinstanz verwendet, sodass die neue Instanz
über dieselbe Konfiguration wie die bestehende Instanz verfügt.
•
Neue Active Roles-Datenbank Nach der Konfiguration der neuen Verwaltungsdienstinstanz
müssen Sie die Active Roles-Replikation einrichten, damit die neue Verwaltungsdienstinstanz über
dieselbe Konfiguration wie die bestehenden Instanzen verfügt.
2
Wenn Sie die Option Vorhandene Active Roles-Datenbank ausgewählt haben, befolgen Sie die weiter
unten in diesem Abschnitt aufgeführten Anweisungen (siehe Verwenden einer gemeinsamen Datenbank).
3
Wenn Sie die Option Neue Active Roles-Datenbank ausgewählt haben, befolgen Sie die im vorigen
Abschnitt aufgeführten Anleitungen (siehe Konfigurieren des ersten Verwaltungsdienstes), um den
Assistenten abzuschließen.
Die mittels dieser Option erstellte Datenbank enthält die ursprüngliche Konfiguration des
Verwaltungsdienstes. Um die neue Datenbank mit den Konfigurationsdaten der
Verwaltungsdienstinstanzen, die zuvor in Ihrer Umgebung bereitgestellt worden sind, zu aktualisieren
und zu synchronisieren, müssen Sie die Replikationsfunktion verwenden. Weitere Angaben über die
Einrichtung der Replikation für Konfigurationsdaten finden Sie im Active Roles-Administratorhandbuch.
Verwenden einer gemeinsamen Datenbank
Wenn Sie die Option Vorhandene Active Roles-Datenbank auf der Seite Datenbankoptionen auswählen, legt
der Assistent „Verwaltungsdienst konfigurieren“ fest, dass sich die neue Verwaltungsdienstinstanz mit der
Datenbank einer bestehenden Verwaltungsdienstinstanz verbindet. Der neue Instanz wird automatisch zu einem
Replikat der bestehenden Instanz.
Diese Option ermöglicht Ihnen, die Active Roles-Konfigurationsdaten zentral zu speichern. Sie können mehrere
Verwaltungsdienstinstanzen mit derselben Konfiguration bereitstellen, ohne sie per Replikation synchronisieren
Dell Active Roles 7.0
Erste Schritte
18
zu müssen. Stattdessen können mehrere Verwaltungsdienstinstanzen gemeinsam Konfigurationsdaten nutzen,
die in einer einzigen Datenbank auf einem zentral bereitgestellten SQL Server gespeichert sind.
Diese Option gewährleistet außerdem, dass die neu bereitgestellte Verwaltungsdienstinstanz sofort als Ersatz
für die bestehende Instanz verwendet werden kann. Der Wechsel zwischen Verwaltungsdienstinstanzen ist für
Active Roles-Benutzer transparent, da beide Instanzen des Verwaltungsdienstes die gleiche Konfiguration haben.
Gehen Sie folgendermaßen vor, um den Verwaltungsdienst für die gemeinsame
Datenbankverwendung zu konfigurieren:
1
Wählen Sie auf der Seite Datenbankoptionen im Assistenten „Verwaltungsdienst konfigurieren“ die
Option Vorhandene Active Roles-Datenbank aus und klicken Sie dann auf Weiter.
2
Geben Sie auf der Seite Verbindung zur Datenbank in den Feldern SQL Server und Datenbank die SQL
Server-Instanz und den Namen der Datenbank an, die von einer bestehenden Instanz des
Verwaltungsdienstes der Version 7.0 verwendet wird.
Geben Sie die SQL Server-Instanz im Format <Computer>\<Instanz> (für eine benannte Instanz) oder
<Computer> (für eine Standardinstanz) an, wobei <Computer> für den Kurznamen des Computers steht,
auf dem SQL Server ausgeführt wird.
3
4
Wählen Sie auf der Seite Verbindung zur Datenbank unter Verbinden mit die entsprechende
Authentifizierungsoption aus:
•
Wenn sich der Verwaltungsdienst unter Verwendung des Dienstkontos mit der Datenbank
verbinden soll, klicken Sie auf Windows-Authentifizierung.
•
Soll sich der Verwaltungsdienst mithilfe einer SQL Server-Anmeldung mit der Datenbank
verbinden, klicken Sie auf SQL Server-Authentifizierung und geben den Anmeldenamen und das
Kennwort ein.
Klicken Sie auf Weiter und folgen Sie den Anweisungen des Assistenten, um die Konfiguration
abzuschließen.
Erweiterte Szenarien
In diesem Abschnitt werden die datenbankbezogenen Schritte des Assistenten „Verwaltungsdienst
konfigurieren“ für folgende Szenarien beschrieben:
•
Verwenden der Datenbank einer früheren Verwaltungsdienstinstallation
•
Verwenden einer zuvor erstellten, leeren Datenbank
Verwenden der Datenbank einer früheren Verwaltungsdienstinstallation
Wenn Sie den Verwaltungsdienst bereitstellen, muss dieser möglicherweise für die Verwendung der Datenbank
einer früheren Installation des Verwaltungsdienstes konfiguriert werden, anstatt eine neue Datenbank zu
erstellen. Dies ist möglicherweise unter folgenden Umständen der Fall:
•
Wiederherstellen der Active Roles-Datenbank aus einer Sicherung und anschließendes Konfigurieren des
Verwaltungsdienstes für die Verwendung der wiederhergestellten Datenbank
•
Reparieren der Active Roles-Installation mithilfe von Programme und Funktionen in der Systemsteuerung
•
Installieren einer Wartungsversion von Active Roles, um die bestehende Verwaltungsdienstinstanz zu
aktualisieren
HINWEIS: Bei all diesen Szenarien wird davon ausgegangen, dass die Datenbank dieselbe Version wie der
von Ihnen konfigurierte Verwaltungsdienst hat. Wenn die Verwaltungsdienstversion höher als die
Datenbankversion ist, sollten Sie die Option für die Erstellung einer neuen Datenbank auswählen und
Daten aus der vorhandenen Datenbank importieren (siehe Importieren von Konfigurationsdaten weiter
unten).
Sofern die Datenbank dieselbe Active Roles-Version wie der von Ihnen konfigurierte Verwaltungsdienst aufweist,
können Sie mit den nachfolgend beschriebenen Schritten festlegen, dass der Verwaltungsdienst diese Datenbank
verwenden soll.
Dell Active Roles 7.0
Erste Schritte
19
Gehen Sie folgendermaßen vor, um die Datenbank einer früheren Verwaltungsdienstinstallation
zu verwenden:
1
Wählen Sie auf der Seite Datenbankoptionen im Assistenten „Verwaltungsdienst konfigurieren“ die
Option Vorhandene Active Roles-Datenbank aus und klicken Sie dann auf Weiter.
2
Geben Sie auf der Seite Verbindung zur Datenbank die SQL Server-Instanz und den Namen der
Datenbank an und wählen Sie die gewünschte Authentifizierungsoption für die Verbindung des
Verwaltungsdienstes mit der Datenbank aus.
3
Klicken Sie auf Weiter und folgen Sie den Anweisungen des Assistenten, um die Konfiguration
abzuschließen.
Verwenden einer zuvor erstellten, leeren Datenbank
Wenn Sie die Option für die Erstellung einer neuen Active Roles-Datenbank auswählen, verwendet der Assistent
„Verwaltungsdienst konfigurieren“ Standardwerte für Datenbankeigenschaften wie etwa den Speicherort und
andere Parameter der Datenbank- und Transaktionsprotokolldateien. Falls Sie bestimmte
Datenbankeigenschaften benötigen, können Sie mit SQL Server-Tools eine leere Datenbank mit den
erforderlichen Eigenschaften erstellen, und den Assistenten die neue Active Roles-Datenbank dann durch
Hinzufügen der Active Roles-Tabellen und -Daten zu dieser leeren Datenbank erstellen lassen. Bei der folgenden
Anleitung wird angenommen, dass Sie bereits eine leere Datenbank erstellt haben.
Gehen Sie folgendermaßen vor, um eine zuvor erstellte, leere Datenbank zu verwenden:
1
Wählen Sie auf der Seite Datenbankoptionen im Assistenten „Verwaltungsdienst konfigurieren“ die
Option Neue Active Roles-Datenbank aus, aktivieren Sie das Kontrollkästchen Zuvor erstellte, leere
Datenbank verwenden und klicken Sie dann auf Weiter.
2
Geben Sie auf der Seite Verbindung zur Datenbank die SQL Server-Instanz und den Namen der
Datenbank an und wählen Sie die gewünschte Authentifizierungsoption für die Verbindung des
Verwaltungsdienstes mit der Datenbank aus.
3
Klicken Sie auf Weiter und folgen Sie den Anweisungen des Assistenten, um die Konfiguration
abzuschließen.
Importieren von Konfigurationsdaten
Bei der Bereitstellung des Verwaltungsdienstes müssen Sie möglicherweise Konfigurationsdaten aus einer
vorhandenen Datenbank importieren, um sicherzustellen, dass die neue Verwaltungsdienstinstanz dieselbe
Konfiguration wie die bestehende Instanz aufweist. Der Import von Konfigurationsdaten in eine neu erstellte
Datenbank anstelle des Anhängens des Verwaltungsdienstes an eine vorhandene Datenbank ist erforderlich,
wenn die Version des von Ihnen bereitgestellten Verwaltungsdienstes höher als die Version der Datenbank ist,
die Sie verwenden möchten. Nachfolgend sind einige Beispiele für eine solche Situation aufgeführt:
•
Aktualisierung des Verwaltungsdienstes unter Beibehaltung seiner Konfiguration.
•
Wiederherstellen von Konfigurationsdaten aus einer Sicherungskopie der Datenbank, deren Version nicht
mit der Version des Verwaltungsdienstes übereinstimmt.
Die folgenden Anweisungen zum Import von Konfigurationsdaten gelten in dem Fall, dass Sie sich beim
Konfigurieren des Verwaltungsdienstes die Option zur Erstellung einer neuen Datenbank entschließen. In diesem
Fall ermöglicht Ihnen das Active Roles Configuration Center nach der anfänglichen Konfiguration der
Verwaltungsdienstinstanz, die Konfigurationsdaten in die neu erstellte Datenbank zu importieren.
Gehen Sie folgendermaßen vor, um Konfigurationsdaten zu importieren:
1
Klicken Sie im Hauptfenster des Configuration Center unter Verwaltungsdienst auf Einstellungen
verwalten.
Zum Aufrufen des Configuration Center wählen Sie Active Roles 7.0 Configuration Center auf der Seite
Apps oder im Menü Start aus, je nachdem, welche Version des Windows-Betriebssystems Sie verwenden.
2
Klicken Sie auf der Seite Einstellungen im Bereich Active Roles-Datenbank auf Konfiguration
importieren.
Dell Active Roles 7.0
Erste Schritte
20
3
4
Daraufhin wird der Assistent „Konfiguration importieren“ aufgerufen. Geben Sie auf der Seite
Quelldatenbank des Assistenten die Datenbank an, aus der die Konfigurationsdaten importiert werden
sollen (Quelldatenbank):
a
Geben Sie im Feld SQL Server die SQL Server-Instanz an, die die Quelldatenbank hostet.
b
Geben Sie im Feld Datenbank den Namen der Quelldatenbank an.
c
Wählen Sie unter Verbinden mit die passende Authentifizierungsoption aus:
•
Wenn Ihr Windows-Benutzerkonto über ausreichende Berechtigungen zum Abrufen von
Daten aus der Quelldatenbank verfügt, klicken Sie auf Windows-Authentifizierung.
•
Falls Sie dagegen über SQL Server-Anmeldeinformationen mit ausreichenden
Berechtigungen verfügen, klicken Sie auf SQL Server-Authentifizierung und geben den
Anmeldenamen und das Kennwort ein.
Klicken Sie auf Weiter, um zur Seite Zieldatenbank zu gelangen.
Auf der Seite Zieldatenbank geben Sie die Datenbank des Verwaltungsdienstes an, in die Daten
importiert werden (Zieldatenbank) und wählen die Authentifizierungsoption aus.
5
Wählen Sie auf der Seite Zieldatenbank unter Verbinden mit die entsprechende
Authentifizierungsoption aus:
•
Wenn Ihr Windows-Benutzerkonto über ausreichende Berechtigungen zum Schreiben von Daten in
die Zieldatenbank verfügt, klicken Sie auf Windows-Authentifizierung.
•
Falls Sie dagegen über SQL Server-Anmeldeinformationen mit ausreichenden Berechtigungen
verfügen, klicken Sie auf SQL Server-Authentifizierung und geben den Anmeldenamen und das
Kennwort ein.
6
Klicken Sie auf Weiter.
7
Auf der Seite Add-on Advisor werden die Add-ons für die ältere Version von Active Roles angezeigt.
Hinweis: Die Add-ons müssen mit dem Active Roles-Add-on-Manager manuell aus der älteren Version und
ggf. vom System deinstalliert werden, damit der Konfigurationsimport fortgesetzt werden kann.
8
9
Klicken Sie auf Weiter und wählen Sie auf der Seite Verschlüsselte Daten importieren eine der
folgenden Optionen aus:
•
Wenn Sie über eine Sicherungskopie des geheimen Schlüssels für die Quelldatenbank verfügen
(siehe Sichern des Verschlüsselungsschlüssels), klicken Sie auf Sicherungskopie des
Verschlüsselungsschlüssels für den Import verschlüsselter Daten verwenden und anschließend
auf Durchsuchen, um die Sicherungsdatei anzugeben. Falls die Sicherungsdatei
kennwortgeschützt ist, geben Sie das Kennwort in das Feld Kennwort ein.
•
Falls Sie keine Sicherungskopie des geheimen Schlüssels für die Quelldatenbank haben, klicken Sie
auf Verschlüsselte Daten nicht importieren. In diesem Fall stehen die verschlüsselten Daten aus
der Quelldatenbank, wie etwa das Kennwort für das Ersatzkonto für die Registrierung verwalteter
Domänen, in der Zieldatenbank nicht zur Verfügung. Das bedeutet, dass Sie das Kennwort für das
Ersatzkonto bei Registrierungen verwalteter Domänen mit dem Verwaltungsdienst erneut
eingeben müssen, der die Zieldatenbank verwendet.
Klicken Sie auf Weiter und folgen Sie den Anweisungen des Assistenten, um den Importvorgang
abzuschließen.
Importieren von Verwaltungsverlaufsdaten
Ein Teil der Active Roles-Datenbank, und zwar der Speicher für Verwaltungsverlaufsdatenspeicher, ist leer,
nachdem Sie den Verwaltungsdienst mit der Option zur Erstellung einer neuen Datenbank konfiguriert haben.
Beim Import von Konfigurationsdaten (siehe Importieren von Konfigurationsdaten) überträgt das Configuration
Center nur die Zuweisungen von Administratorrechten, Richtliniendefinitionen, Einstellungen für administrative
Ansichten, Workflowdefinitionen und andere Parameter, die die Active Roles-Arbeitsumgebung bestimmen.
Verwaltungsverlaufsdaten sind vom Importvorgang ausgeschlossen, um die Zeitdauer für die Aktualisierung der
Verwaltungsdienstkonfiguration zu verkürzen.
Dell Active Roles 7.0
Erste Schritte
21
Die Verwaltungsverlaufsdaten beschreiben die Änderungen, die mit Hilfe von Active Roles an den
Verzeichnisdaten vorgenommen wurden. Hierzu gehören unter anderem Informationen darüber, wer wann
welche Vorgänge im Hinblick auf die Verzeichnisdaten-Verwaltungsaufgaben ausgeführt hat. Die
Verwaltungsverlaufsdaten werden als Datenquelle für die Änderungsverlauf- und Benutzeraktivitäts-Berichte
verwendet. Darüber hinaus enthalten die Verwaltungsverlaufsdaten Informationen über verschiedene Aufgaben
im Zusammenhang mit dem Genehmigungsworkflow und der temporären Gruppenmitgliedschaft.
Nachdem Sie den Verwaltungsdienst mit der Option zur Erstellung einer neuen Datenbank konfiguriert und die
Konfigurationsdaten aus einer bestehenden Datenbank importiert haben, müssen Sie weitere Schritte
durchführen, um die Verwaltungsverlaufsdaten aus dieser Datenbank in die neue Datenbank zu übertragen. Im
Configuration Center steht für diese Aufgabe der Assistent „Verwaltungsverlauf importieren“ zur Verfügung.
Der Assistent soll einen neuen Speicherbereich für Verwaltungsverlaufsdaten mit den Daten aus einer
bestehenden Active Roles-Datenbank füllen, damit die Daten nach der Konfiguration einer neuen
Verwaltungsdienstinstanz für die Active Roles-Benutzerschnittstellen zur Verfügung stehen. Der Assistent führt
die Verwaltungsverlaufsdaten aus der Quelldatenbank mit den in der Zieldatenbank gespeicherten Daten
zusammen. Beachten Sie, dass der Assistent nur neue Daten hinzufügt und jegliche bereits in der Zieldatenbank
enthaltene Daten erhalten bleiben. Sie können Ihre alten Verwaltungsverlaufsdaten jederzeit importieren,
nachdem Sie den Verwaltungsdienst konfiguriert haben, ohne einen Datenverlust befürchten zu müssen.
Gehen Sie folgendermaßen vor, um Verwaltungsverlaufsdaten zu importieren:
1
Klicken Sie im Hauptfenster des Configuration Center unter Verwaltungsdienst auf Einstellungen
verwalten.
Zum Aufrufen des Configuration Center wählen Sie Active Roles 7.0 Configuration Center auf der Seite
Apps oder im Menü Start aus, je nachdem, welche Version des Windows-Betriebssystems Sie verwenden.
2
Klicken Sie auf der Seite Verwaltungsdienst auf Verwaltungsverlauf importieren.
3
Daraufhin wird der Assistent „Verwaltungsverlauf importieren“ aufgerufen. Geben Sie auf der Seite
Quelldatenbank des Assistenten die Datenbank an, aus der die Verwaltungsverlaufsdaten importiert
werden sollen (Quelldatenbank):
4
a
Geben Sie im Feld SQL Server die SQL Server-Instanz an, die die Quelldatenbank hostet.
b
Geben Sie im Feld Datenbank den Namen der Quelldatenbank an.
c
Wählen Sie unter Verbinden mit die passende Authentifizierungsoption aus:
•
Wenn Ihr Windows-Benutzerkonto über ausreichende Berechtigungen zum Abrufen von
Daten aus der Quelldatenbank verfügt, klicken Sie auf Windows-Authentifizierung.
•
Falls Sie dagegen über SQL Server-Anmeldeinformationen mit ausreichenden
Berechtigungen verfügen, klicken Sie auf SQL Server-Authentifizierung und geben den
Anmeldenamen und das Kennwort ein.
Klicken Sie auf Weiter, um zur Seite Zieldatenbank zu gelangen.
Auf der Seite Zieldatenbank geben Sie die Datenbank des Verwaltungsdienstes an, in die Daten
importiert werden (Zieldatenbank) und wählen die Authentifizierungsoption aus.
5
Wählen Sie auf der Seite Zieldatenbank unter Verbinden mit die entsprechende
Authentifizierungsoption aus:
•
Wenn Ihr Windows-Benutzerkonto über ausreichende Berechtigungen zum Schreiben von Daten in
die Zieldatenbank verfügt, klicken Sie auf Windows-Authentifizierung.
•
Falls Sie dagegen über SQL Server-Anmeldeinformationen mit ausreichenden Berechtigungen
verfügen, klicken Sie auf SQL Server-Authentifizierung und geben den Anmeldenamen und das
Kennwort ein.
6
Klicken Sie auf Weiter um mit der Seite Zu importierenden Datensätze fortzufahren.
7
Geben Sie auf der Seite Zu importierenden Datensätze an, ob Sie alle Datensätze oder nur einen
bestimmten Datensatzbereich importieren möchten.
Eventuell möchten Sie nicht alle Datensätze importieren, da der Import großer Datenmengen mehrere
Stunden dauern kann. Zu einem späteren Zeitpunkt können Sie weitere Daten importieren, indem Sie
Dell Active Roles 7.0
Erste Schritte
22
einen anderen Datensatzbereich auswählen. Bei nachfolgenden Importsitzungen importiert der Assistent
nur die Datensätze, die zuvor noch nicht importiert wurden.
8
Klicken Sie auf Weiter und folgen Sie den Anweisungen des Assistenten, um den Importvorgang
abzuschließen.
Bereitstellen von Benutzerschnittstellen
Active Roles stellt die Benutzerschnittstellen für das Windows-System und das Web zur Verfügung, damit die
Benutzer mit den entsprechenden Berechtigungen Verwaltungstätigkeiten ausführen können. Die
Benutzerschnittstellen umfassen Folgendes:
•
Webschnittstelle: Eine anpassbare Webanwendung für die Verzeichnisverwaltung.
•
MMC-Schnittstelle: Eine Desktopkonsole für die Konfiguration von Active Roles und die
Verzeichnisverwaltung.
Standardmäßig installiert der Active Roles-Installationsassistent alle Active Roles-Hauptkomponenten,
einschließlich der Konsole (MMC-Schnittstelle) und der Webschnittstelle. Falls erforderlich, können Sie auch nur
einzelne Komponenten installieren.
Verfahren zum Installieren der Konsole
Die Active Roles Konsole kann auf jedem beliebigen Rechner installiert werden, der die Systemanforderungen
erfüllt und einen zuverlässigen Netzanschluss an einen Rechner hat, der den Verwaltungsdienst ausführt. Sie
kann auch auf dem Verwaltungsdienstcomputer installiert werden.
So installieren Sie die Active Roles-Konsole
1
Melden Sie sich mit einem Benutzerkonto, das über Administratorrechte verfügt, beim Computer an.
2
Wechseln Sie zum Speicherort des Active Roles-Verteilungspakets und starten Sie den
Installationsassistenten durch Doppelklicken auf Setup.exe.
3
Befolgen Sie die Anweisungen des Installationsassistenten.
4
Stellen Sie auf der Seite Component Selection sicher, dass die Komponente Console (MMC Interface)
ausgewählt ist, und klicken Sie auf Next.
Standardmäßig sind alle Komponenten ausgewählt. Falls Sie nur die Konsole installieren möchten,
deaktivieren Sie die Kontrollkästchen der unerwünschten Komponenten.
5
Klicken Sie auf der Seite Ready to Install auf Install, um die Installation durchzuführen.
6
Klicken Sie auf der Seite Completion auf Finish.
Nachdem Sie die Konsole installiert haben, können Sie sie starten, indem Sie Active Roles 7.0 Console auf der
Seite Apps oder im Menü Start auswählen, je nachdem, welche Version des Windows-Betriebssystems Sie
verwenden.
Vorgehensweise zur Bereitstellung der
Webschnittstelle
Die Active Roles-Webschnittstelle kann auf jedem beliebigen Rechner installiert werden, der die
Systemanforderungen erfüllt und die Internetinformationsdienste (IIS) 7.5 oder eine neuere Version ausführt.
Die Webschnittstelle muss nicht unbedingt auf dem Computer installiert werden, der den Verwaltungsdienst
ausführt. Der Computer, auf dem die Webschnittstelle gespeichert ist, muss jedoch über eine zuverlässige
Netzwerkverbindung zu einem Computer verfügen, auf dem der Verwaltungsdienst ausgeführt wird.
Dell Active Roles 7.0
Erste Schritte
23
Überprüfen der Voraussetzungen für die Webschnittstelle
Windows Server 2008 R2
Auf einem Windows Server 2008 R2-basierten Computer muss die Serverrolle Webserver (IIS) mit den folgenden
Rollendiensten installiert sein:
•
•
•
•
Webserver/Allgemeine HTTP-Features/
•
Statischer Inhalt
•
Standarddokument
•
HTTP-Fehler
•
HTTP-Umleitung
Webserver/Anwendungsentwicklung/
•
ASP.NET
•
.NET-Erweiterbarkeit
•
ASP
•
ISAPI-Erweiterungen
•
ISAPI-Filter
Webserver/Sicherheit/
•
Standard-Authentifizierung
•
Windows-Authentifizierung
•
Anforderungsfilterung
Verwaltungstools/IIS 6-Verwaltungskompatibilität/
•
IIS 6 Metabase-Kompatibilität
Das Webschnittstellen-Installationsprogramm installiert automatisch die erforderliche Serverrolle und die
Rollendienste. Sie können den Servermanager verwenden, um zu überprüfen, ob die erforderliche Serverrolle
und die Rollendienste installiert sind.
Windows Server 2012
Auf einem Windows Server 2012-basiertem Computer muss die Serverrolle Webserver (IIS) mit den folgenden
Komponenten installiert sein:
•
•
•
Webserver/Allgemeine HTTP-Features/
•
Standarddokument
•
HTTP-Fehler
•
Statischer Inhalt
•
HTTP-Umleitung
Webserver/Sicherheit/
•
Anforderungsfilterung
•
Standard-Authentifizierung
•
Windows-Authentifizierung
Webserver/Anwendungsentwicklung/
•
.NET-Erweiterbarkeit 4.5
•
ASP
Dell Active Roles 7.0
Erste Schritte
24
•
•
ASP.NET 4.5
•
ISAPI-Erweiterungen
•
ISAPI-Filter
Verwaltungstools/IIS 6-Verwaltungskompatibilität/
•
IIS 6 Metabase-Kompatibilität
Das Webschnittstellen-Installationsprogramm konfiguriert die Serverrolle Webserver (IIS) so, dass die
Anforderungen für die Webschnittstelle erfüllt sind. Sie können den Servermanager verwenden, um zu
überprüfen, ob die Serverrolle ordnungsgemäß konfiguriert ist.
Featuredelegierung
Die Webschnittstelle setzt voraus, dass IIS Lesen/Schreiben-Delegierung für die folgenden Features bereitstellt:
•
Handlerzuordnungen
•
Module
Überprüfen Sie mithilfe von Featuredelegierung im IIS-Verwaltungstool, ob die Delegierung für diese Features
auf Lesen/Schreiben festgelegt ist.
Installieren und Konfigurieren der Webschnittstelle
Bei der Installation und der ersten Konfiguration der Webschnittstelle verwenden Sie zunächst den
Installationsassistenten für die Installation der Webschnittstellendateien. Anschließend verwenden Sie das
Active Roles Configuration Center, um den Verwaltungsdienst auszuwählen und die Webschnittstellensites zu
erstellen.
So installieren Sie die Webschnittstellendateien:
1
Melden Sie sich mit einem Benutzerkonto, das über Administratorrechte verfügt, beim Computer an.
2
Wechseln Sie zum Speicherort des Active Roles-Verteilungspakets und starten Sie den
Installationsassistenten durch Doppelklicken auf Setup.exe.
3
Befolgen Sie die Anweisungen des Installationsassistenten.
4
Stellen Sie auf der Seite Component Selection sicher, dass die Komponente Web Interface ausgewählt
ist, und klicken Sie auf Next.
Standardmäßig sind alle Komponenten ausgewählt. Falls Sie nur die Webschnittstelle installieren
möchten, deaktivieren Sie die Kontrollkästchen der unerwünschten Komponenten.
5
Klicken Sie auf der Seite Ready to Install auf Install, um die Installation durchzuführen.
6
Vergewissern Sie sich auf der Seite Completion, dass das Kontrollkästchen I want to perform
configuration aktiviert ist, und klicken Sie auf Finish.
Der Installationsassistent installiert die Dateien nur. Nach Abschluss des Installationsassistenten müssen Sie die
neu installierte Webschnittstelle mit dem Active Roles Configuration Center konfigurieren.
Das Verfahren für die Konfiguration der Webschnittstelle umfasst zwei Schritte:
•
Erstkonfiguration: Bei der Erstkonfiguration werden der Verwaltungsdienst ausgewählt und auf der
Grundlage der Standard-Konfigurationsvorlagen drei Webschnittstellensites erstellt.
•
Weitere Konfiguration: Sie können weitere Sites erstellen und bestehende Sites ändern bzw. löschen.
Erstkonfiguration
Im Configuration Center können Sie die Webschnittstelle für die Verwendung folgender Dienste konfigurieren:
•
Verwaltungsdienst, der auf demselben Computer wie die Webschnittstelle ausgeführt wird
•
Verwaltungsdienst, der auf einem angegebenen Computer ausgeführt wird
Dell Active Roles 7.0
Erste Schritte
25
•
Jeglicher verfügbare Verwaltungsdienst, der zur angegebenen Replikationsgruppe gehört
Stellen Sie vor der Konfiguration der Webschnittstelle sicher, dass der Verwaltungsdienst konfiguriert ist und
ausgeführt wird. Andernfalls kann das Configuration Center die Webschnittstelle nicht konfigurieren. Sie können
den Status des Verwaltungsdienstes auf der Seite Verwaltungsdienst im Hauptfenster des Configuration Center
anzeigen.
Gehen Sie folgendermaßen vor, um die Erstkonfiguration der Webschnittstelle durchzuführen:
1
Melden Sie sich mit einem Benutzerkonto, das über Administratorrechte verfügt, beim Computer an.
2
Öffnen Sie das Active Roles Configuration Center.
Das Configuration Center wird automatisch geöffnet, wenn Sie das Kontrollkästchen I want to perform
configuration auf der Seite Completion des Installationsassistenten aktivieren. Sie können das
Configuration Center auch öffnen, indem Sie Active Roles 7.0 Configuration Center auf der Seite Apps
oder im Menü Start auswählen, je nachdem, welche Version des Windows-Betriebssystems Sie
verwenden.
3
Klicken Sie im Hauptfenster des Configuration Center unter Webschnittstelle auf Konfigurieren.
Damit rufen Sie den Assistenten auf, der die Erstkonfiguration der Webschnittstelle vornimmt.
4
Geben Sie auf der Seite Verwaltungsdienst an, wie die Webschnittstelle den Active RolesVerwaltungsdienst auswählen soll. Sie können unter den folgenden Optionen wählen:
•
Verwaltungsdienst auf dem Computer, auf dem die Webschnittstelle ausgeführt wird
•
Verwaltungsdienst auf diesem Computer
Geben Sie den vollqualifizierten Domänennamen des Computers ein, auf dem die gewünschte
Verwaltungsdienstinstanz ausgeführt wird.
•
Beliebiger Verwaltungsdienst mit derselben Konfiguration wie dieser
Geben Sie einen beliebigen Verwaltungsdienst an, dessen Datenbank die gewünschte
Konfiguration enthält, indem Sie den vollqualifizierten Domänennamen des Computers eingeben,
auf dem dieser Verwaltungsdienst ausgeführt wird. Wenn Active Roles eine Replikation verwendet
wird, um die Konfigurationsdaten zu synchronisieren, so muss dies ein beliebiger
Verwaltungsdienst sein, dessen Datenbankserver als Herausgeber für die Konfigurationsdatenbank
fungiert.
5
Klicken Sie auf die Schaltfläche Konfigurieren, um die Konfiguration zu starten.
6
Warten Sie, bis der Assistent die Konfiguration abgeschlossen hat.
Das Configuration Center erstellt drei Webschnittstellensites, die auf den folgenden StandardKonfigurationsvorlagen basieren:
•
Standardsite für Administratoren: Unterstützt eine Vielzahl von Aufgaben einschließlich der Verwaltung
von Verzeichnisobjekten und Computerressourcen.
•
Standardsite für Help Desk: Dient zur Verarbeitung typischer Aufgaben, die vom Help Desk-Personal
durchgeführt werden. Hierzu gehören beispielsweise das Aktivieren/Deaktivieren von Konten, das
Rücksetzen von Kennwörtern und das Ändern von ausgewählten Eigenschaften von Benutzern und
Gruppen.
•
Standardsite für eigenständige Verwaltung: Stellt einen Benutzerprofil-Editor bereit, mit dem
Endbenutzer persönliche Daten oder Notfalldaten über eine benutzerfreundliche Webschnittstelle
verwalten können.
Jede Konfigurationsvorlage umfasst eine individuelle Reihe von Befehlen, die standardmäßig installiert werden.
Wenn eine Webschnittstellensite erstellt wurde, können Sie deren Konfiguration anpassen, indem Sie Befehle
hinzufügen oder entfernen und indem Sie mit Befehlen verknüpfte Webseiten (Formulare) bearbeiten. Die
Anpassungsverfahren werden im Active Roles-Administratorhandbuch zur Webschnittstelle beschrieben.
Nach der Erstkonfiguration können Sie Parameter der Webschnittstellensites wie etwa den Webanwendungsalias
ändern, neue Webschnittstellensites erstellen oder bestehende Webschnittstellensites löschen.
Dell Active Roles 7.0
Erste Schritte
26
Weitere Konfiguration
Nach der Erstkonfiguration können Sie mit dem Configuration Center weitere Webschnittstellensites erstellen
sowie bestehende Webschnittstellensites ändern oder löschen.
Bei der Erstellung von Webschnittstellensites können Sie die Konfiguration einer vorhandenen
Webschnittstellensite auf die neu erstellte Site anwenden. Wenn Sie die Webschnittstellensite an Ihre
Bedürfnisse angepasst haben und ihre Instanz auf einem anderen Webserver bereitstellen möchten,
gewährleistet diese Option, dass die neue Webschnittstellensite über dieselben Menüs, Befehle und Seiten wie
die vorhandene Site verfügt.
Gehen Sie folgendermaßen vor, um eine Webschnittstellensite zu erstellen, zu ändern oder zu
löschen:
1
Öffnen Sie das Configuration Center.
Zum Öffnen des Configuration Center wählen Sie Active Roles 7.0 Configuration Center auf der Seite
Apps oder im Menü Start aus, je nachdem, welche Version des Windows-Betriebssystems Sie verwenden.
2
Klicken Sie im Hauptfenster des Configuration Center unter Webschnittstelle auf Sites verwalten.
3
Führen Sie auf der Seite Sites eine der folgenden Aktionen durch:
4
•
Wenn Sie eine neue Site erstellen möchten, klicken Sie auf Erstellen.
•
Wenn Sie eine bestehende Site ändern möchten, wählen Sie die Site in der Liste aus und klicken
auf Ändern.
•
Zum Löschen einer Site wählen Sie diese in der Liste aus und klicken auf Löschen.
Sehen Sie die folgenden Einstellungen in dem Assistenten an, der beim Klicken auf Erstellen oder
Ändern geöffnet wird, bzw. ändern Sie sie:
•
IIS-Website: Gibt die IIS-Website an, die die Webanwendung enthält, welche die
Webschnittstellensite implementiert. Sie können die gewünschte Website aus einer Liste aller auf
dem Webserver definierter Websites auswählen.
•
Alias: Gibt den Alias der Webanwendung an, die die Webschnittstellensite implementiert. Der
Alias definiert den virtuellen Pfad, der in der Adresse der Webschnittstellensite auf dem
Webserver verwendet wird.
•
Konfiguration: Gibt anpassbare Einstellungen von Elementen der Benutzerschnittstelle wie
Menüs, Befehle und Webseiten (Formulare) an, die von der Webschnittstelle angezeigt werden.
Die Konfiguration jeder Webschnittstellensite wird vom Active Roles-Verwaltungsdienst
gespeichert. Mehrere Sites können über ein und dieselbe Konfiguration verfügen. Sie können
unter den folgenden Optionen wählen:
•
Aktuelle Konfiguration beibehalten: Wählen Sie diese Option beim Ändern einer
vorhandenen Webschnittstellensite, wenn Sie der Site keine andere Konfiguration
zuweisen möchten.
•
Aus Vorlage erstellen: Erstellen Sie eine neue Konfiguration auf der Grundlage einer
Vorlage für die Webschnittstellensite. Bei Verwendung dieser Option müssen Sie einen
eindeutigen Namen für die neue Konfiguration angeben und die gewünschte Vorlage
auswählen.
Wählen Sie diese Option, wenn die Webschnittstellensite eine separate Konfiguration
verwenden soll, die zu Anfang mit Vorlagendaten gefüllt ist.
•
Vorhandene Konfiguration verwenden: Weisen Sie der Webschnittstellensite eine
bestehende Konfiguration zu. Bei Verwendung dieser Option müssen Sie die gewünschte
Konfiguration aus einer Liste mit Konfigurationen auswählen, die im Verwaltungsdienst
vorhanden sind. Die Liste enthält nur die Konfigurationen der aktuellen Active RolesVersion.
Wählen Sie diese Option, wenn die Webschnittstellensite ihre Konfiguration mit anderen
Webschnittstellensites gemeinsam nutzen soll. Wenn Sie beispielsweise zwecks
Lastenausgleich eine neue Instanz einer bestimmten Site erstellen, sollten Sie die
Konfiguration dieser Site der neuen Webschnittstellensite zuweisen.
Dell Active Roles 7.0
Erste Schritte
27
•
Aus vorhandener Konfiguration importieren: Erstellen Sie eine neue Konfiguration für
die Webschnittstellensite, indem Sie Daten aus einer vorhandenen Konfiguration
importieren. Bei Verwendung dieser Option müssen Sie einen eindeutigen Namen für die
neue Konfiguration angeben und die gewünschte vorhandene Konfiguration aus einer Liste
aller unterstützter Konfigurationen auswählen, die im Verwaltungsdienst vorhanden sind.
Die Liste enthält sowohl die Konfigurationen der aktuellen Version als auch älterer Active
Roles-Versionen.
Wählen Sie diese Option, wenn die Webschnittstellensite eine separate Konfiguration
verwenden soll, die mit importierten Daten aus einer Konfiguration einer älteren Active
Roles-Version gefüllt wird oder eine Kopie einer Konfiguration der aktuellen Active RolesVersion darstellt.
•
Aus Datei importieren: Erstellen Sie eine neue Konfiguration für die
Webschnittstellensite, indem Sie Daten aus einer Exportdatei importieren. Bei
Verwendung dieser Option müssen Sie einen eindeutigen Namen für die neue Konfiguration
angeben und die Exportdatei auswählen. Die Exportdatei kann von der aktuellen Active
Roles-Version oder einer älteren unterstützten Active Roles-Version erstellt worden sein.
Wählen Sie diese Option, wenn die Webschnittstellensite eine separate Konfiguration
verwenden soll, die mit Daten aus einer Exportdatei gefüllt ist. Sie können eine
Exportdatei über die Seite Webschnittstelle im Configuration Center erstellen, indem Sie
erst eine Site und dann Konfiguration exportieren auswählen. In älteren Active RolesVersionen wird der Assistent zum Konfigurieren von Webschnittstellensites zum
Exportieren der Konfigurationsdaten einer Webschnittstellesite verwendet.
Jede Webschnittstellesite kann mit der Adresse, die auf dem Webanwendungsalias basiert, mit einem
Webbrowser aufgerufen werden:
http://<Website>/<Alias>
Hierbei bezeichnet <Website> die IIS-Website, die die Webanwendung enthält, welche die Webschnittstellensite
implementiert, und <Alias> steht für den Alias der Webanwendung, der im Configuration Center angegeben
wurde. Ist die Webanwendung beispielsweise in der Standard-Website enthalten, lautet die Adresse
http://<Computer>/<Alias>, wobei <Computer> für den Netzwerknamen des Computers (Webserver) steht, auf
dem die Webschnittstelle ausgeführt wird.
Standardmäßig stellen Benutzer die Verbindung zur Webschnittstelle mit einer HTTP-Übertragung her, bei der
die von einem Webbrowser zur Webschnittstelle übertragenen Daten nicht verschlüsselt werden. Wenn Ihr
Geschäftsprozess eine geschützte Verbindung für die Übertragung von Daten an die Webschnittstelle erfordert,
sollten Sie eine HTTPS-Übertragung verwenden.
Das sichere Hypertextübertragungsprotokoll (HTTPS) verwendet das vom Webserver bereitgestellte Secure
Sockets Layer (SSL) für die Datenverschlüsselung. Anweisungen zum Aktivieren von SSL in Ihrem Webserver
finden Sie in „Configuring Secure Sockets Layer in IIS 7“ unter http://go.microsoft.com/fwlink/?LinkID=108544.
Installieren weiterer Komponenten
Neben dem Verwaltungsdienst, der MMC-Schnittstelle und der Webschnittstelle ermöglicht Ihnen Active Roles
die Installation der folgenden Komponenten:
•
Active Roles Management Shell: Stellt Befehle auf der Grundlage der Windows PowerShell-Plattform
bereit, mit denen Sie über Active Roles Benutzer, Gruppen, Computer und andere Objekte in Active
Directory verwalten, bestimmte Active Roles-Objekte verwalten und Instanzen des Active RolesVerwaltungsdienstes sowie Webschnittstellesites konfigurieren können.
•
ADSI Provider: Ermöglicht es benutzerdefinierten Anwendungen und Skripts, auf Verzeichnisdaten mit
Hilfe von Active Roles unter Verwendung von Standard-COM-Schnittstellen zuzugreifen. Dokumentation
zum ADSI-Anbieter finden Sie im Active Roles SDK.
•
Active Roles SDK: Stellt Entwicklern Dokumentation und Beispiele zur Verfügung, um ihnen die
Anpassung von Active Roles zu erleichtern, indem benutzerdefinierte Clientanwendungen und
Benutzerschnittstellen erstellt sowie Geschäftsregeln und -richtlinien auf Grundlage benutzerdefinierter
Skripts implementiert werden.
Dell Active Roles 7.0
Erste Schritte
28
•
Collector: Erfasst die für die Berichterstellung erforderlichen Daten. Ruft über den Verwaltungsdienst
Daten aus angegebenen Datenquellen ab und speichert diese auf SQL Server.
•
Berichtspaket: Eine umfassende Sammlung von Berichtsdefinitionen, die verschiedene, in Active Roles
verfügbare administrative Aktionen abdecken.
Verfahren für die ausschließliche Installation von
Shell, ADSI-Anbieter und SDK
Active Roles-Verwaltungsshell, SDK und ADSI-Anbieter werden zusammen als Verwaltungstools bezeichnet. Auf
der Seite Component Selection wählt der Active Roles-Installationsassistent die Komponente Management
Tools aus, wenn Sie eine Hauptkomponente wie Administration Service, Console (MMC Interface) oder Web
Interface ausgewählt haben. Das bedeutet, das Installationsprogramm installiert Shell, SDK und ADSI-Anbieter
zusammen mit beliebigen Hauptkomponenten. Sie können jedoch auch nur Shell, SDK und ADSI-Anbieter
installieren, indem Sie nur die Komponente Management Shell auswählen.
So installieren Sie Shell, SDK und ADSI-Anbieter:
1
Melden Sie sich mit einem Benutzerkonto, das über Administratorrechte verfügt, beim Computer an.
2
Wechseln Sie zum Speicherort des Active Roles-Verteilungspakets und starten Sie den
Installationsassistenten durch Doppelklicken auf Setup.exe.
3
Befolgen Sie die Anweisungen des Installationsassistenten.
4
Deaktivieren Sie auf der Seite Component Selection alle Kontrollkästchen außer das für Management
Tools und klicken Sie auf Next.
5
Klicken Sie auf der Seite Ready to Install auf Install, um die Installation durchzuführen.
6
Klicken Sie auf der Seite Completion auf Finish.
Nachdem Sie die Verwaltungstools installiert haben, können Sie die Verwaltungsshell öffnen oder SDK-Themen
anzeigen (einschließlich Dokumentation zu ADSI-Anbieter). Abhängig von der Version Ihres WindowsBetriebssystems wählen Sie die folgenden Optionen auf der Seite Apps oder im Menü Start aus:
•
Zum Öffnen der Verwaltungsshell wählen Sie Active Roles 7.0 Management Shell aus.
•
Für die Anzeige von SDK-Themen wählen Sie Active Roles 7.0 SDK aus.
Nach dem Öffnen der Verwaltungsshell können Sie ein Referenzhandbuch anzeigen, indem Sie QuickRef
eingeben. Das Handbuch enthält die Dokumentation zu allen Befehlen, die in der Verwaltungsshell zur
Verfügung stehen.
Verfahren zum Installieren von Collector und dem
Berichtspaket
Active Roles wird mit einer umfassenden Sammlung von Berichtsdefinitionen geliefert, die im Active RolesBerichtspaket enthalten sind. Damit Sie Berichte verwenden können, müssen Sie folgende Schritte durchführen:
•
Installieren von Active Roles Collector
•
Verwenden des Collector-Assistenten zu Bereitstellen des Berichtspakets
Installation von Collector
Active Roles Collector wird verwendet, um Daten für die Berichterstellung vorzubereiten. Sie können damit
Datenerfassungsaufträge konfigurieren, planen und ausführen. Collector speichert Berichtsdaten in einer
Datenbank auf SQL Server. Es empfiehlt sich, Microsoft SQL Server 2008 oder eine höhere Version von SQL Server
zum Hosten der Collector-Datenbank zu verwenden.
Dell Active Roles 7.0
Erste Schritte
29
Gehen Sie folgendermaßen vor, um Collector zu installieren:
1
Installieren Sie die Active Roles-Verwaltungstools. Anweisungen zur Installation finden Sie unter
Verfahren für die ausschließliche Installation von Shell, ADSI-Anbieter und SDK weiter oben.
2
Wechseln Sie im Active Roles-Verteilungspaket zum Ordner Solutions/Collector and Report Pack und
doppelklicken Sie auf die MSI-Datei in diesem Ordner.
3
Befolgen Sie die Anweisungen des Installationsassistenten.
4
Warten Sie, bis der Assistent die Installation abgeschlossen hat.
Nach der Installation von Collector starten Sie den Collector-Assistenten, indem Sie Active Roles 7.0 Collector
and Report Pack auf der Seite Apps oder im Menü Start auswählen, je nachdem, welche Version des WindowsBetriebssystems Sie verwenden.
Bereitstellen des Berichtspakets
Das Berichtspaket erfordert Microsoft SQL Server Reporting Services (SSRS). Stellen Sie sicher, dass SSRS in Ihrer
Umgebung installiert ist. Bei der Bereitstellung des Berichtspakets fordert Sie der Collector-Assistent auf, die
URL-Adresse des Berichtsserver-Webdienstes einzugeben. Sie können diese Adresse mit Hilfe der Seite Web
Service URL im Tool „Reporting Services Configuration Manager“ auf dem Server ermitteln, auf dem SSRS
installiert ist.
Gehen Sie wie folgt vor, um das Berichtspaket bereitzustellen:
1
Starten Sie den Collector-Assistenten:
Sie können den Collector-Assistenten starten, indem Sie Active Roles 7.0 Collector and Report Pack auf
der Seite Apps oder im Menü Start auswählen, je nachdem, welche Version des Windows-Betriebssystems
Sie verwenden.
2
Klicken Sie auf der Seite Select Task auf Deploy reports to Report Server und klicken Sie dann auf Next.
3
Geben Sie auf der Seite Report Server die URL-Adresse Ihres SSRS-Berichtsservers in das Feld Report
Server Web Service URL ein. Klicken Sie auf Weiter.
Standardmäßig lautet die URL-Adresse http://<Servername>/ReportServer. Sie können das Tool
„Reporting Services Configuration Manager“ zum Bestätigen von Servername und URL-Adresse
verwenden. Weitere Informationen über URLs in Reporting Services finden Sie im Artikel „Configure
Report Server URLs (SSRS Configuration Manager)“ unter
http://msdn.microsoft.com/library/ms159261.aspx.
4
Konfigurieren Sie optional auf der Seite Data Source die Datenquelle für die Active Roles-Berichte:
a
Klicken Sie auf die Schaltfläche Datenquelle konfigurieren.
b
Verwenden Sie das Dialogfeld Configure Data Source, um die SQL Server-Instanz, die die
Datenbank hostet, die Sie mit Collector vorbereitet haben, sowie den Namen der Datenbank und
die Authentifizierungsmethode für die Herstellung der Verbindung zur Datenbank einzugeben
Die Konfiguration der Datenquelle ist ein optionaler Schritt. Wenn Sie keine Datenbank mit Collector
vorbereitet haben, können Sie die Datenquelle auch nach der Bereitstellung des Berichtspakets
konfigurieren. Anweisungen dazu finden Sie im Abschnitt „Arbeiten mit Berichten“ im Active RolesAdministratorhandbuch.
5
Klicken Sie auf Next und warten Sie, während der Assistent das Berichtspaket bereitstellt.
Sie können Active Roles-Berichte mit dem Berichts-Manager, einem webbasierten Tool aus SSRS, verwalten.
Anweisungen dazu finden Sie im Abschnitt „Generieren und Anzeigen eines Berichts“ im Active RolesAdministratorhandbuch.
Dell Active Roles 7.0
Erste Schritte
30
Aktualisieren einer älteren Version
Sie können die neue Active Roles-Version parallel zur Active Roles-Version 6.7, 6.8 oder 6.9 auf demselben
Computer installieren und die Aktualisierung durchführen, ohne den Betrieb zu unterbrechen oder
Auswirkungen auf die Konfiguration Ihrer älteren Active Roles-Version zu bewirken. Um die problemlose
Aktualisierung auf die neue Active Roles-Version zu gewährleisten, sollten Sie zunächst den Verwaltungsdienst
und dann die Webschnittstelle aktualisieren.
Kompatibilität von Active Roles-Komponenten
Der neue Verwaltungsdienst ist nur mit den Active Roles-Benutzerschnittstellen (Webschnittstelle und Konsole)
der Version 7.0 kompatibel. Ältere Versionen der Benutzerschnittstellen funktionieren möglicherweise nicht mit
dem neuen Verwaltungsdienst. Die Benutzerschnittstellen von Version 7.0 sind nur mit dem Verwaltungsdienst
der Version 7.0 kompatibel. Wenn Sie die Active Roles-Konsole oder Webschnittstelle von Version 7.0 verwenden
möchten, müssen Sie daher zuerst den Verwaltungsdienst aktualisieren.
Auswirkungen auf benutzerdefinierte Lösungen
Eine Aktualisierung von Active Roles kann sich auf eventuell vorhandene benutzerdefinierte Lösungen (wie etwa
Skripts oder sonstige Modifikationen) auswirken, die die Funktionen von Active Roles verwenden. Es kann sein,
dass benutzerdefinierte Lösungen, die mit einer älteren Version von Active Roles gut funktionieren, nach der
Aktualisierung nicht mehr funktionieren. Bevor Sie eine Aktualisierung versuchen, sollten Sie die vorhandenen
Lösungen mit der neuen Active Roles-Version in einer Laborumgebung testen, um zu überprüfen, ob die
Lösungen normal weiter arbeiten.
Auswirkung auf nicht verwaltete Domänen
Bei einer Aktualisierung von Active Roles-Version 6.8 oder früher werden nicht verwaltete Domänen in normale
verwaltete Domänen umgewandelt. Nach der Aktualisierung müssen Sie sie wieder zu nicht verwalteten
Domänen machen, indem Sie das vordefinierte Richtlinienobjekt Exclude from Managed Scope anwenden.
Weitere Informationen und Anweisungen finden Sie unter „Konfigurieren einer nicht verwalteten Domäne“ im
Active Roles-Administratorhandbuch.
Aktualisierung des Verwaltungsdienstes
Sie können den Verwaltungsdienst der Version 6.7, 6.8 oder 6.9 auf Version 7.0 aktualisieren. Die Aktualisierung
einer älteren Version als 6.7 wird nicht unterstützt. Um Versionen vor 6.7 zu aktualisieren, müssen Sie zunächst
eine Aktualisierung auf Version 6.8 durchführen.
Bei der Aktualisierung des Verwaltungsdienstes wird eine neue Verwaltungsdienstinstanz der aktuellen Version
erstellt, wobei die Konfigurations- und Verwaltungsverlaufsdaten aus Ihrem Verwaltungsdienst der älteren
Version importiert werden. Dadurch erbt der neue Verwaltungsdienst alle bestehenden Active RolesKonfigurationseinstellungen wie etwa verwaltete Domänen, verwaltete Einheiten, Berechtigungszuweisungen,
Richtlinien, Workflows, virtuelle Attribute usw. Durch den Import der Verwaltungsverlaufsdaten übertragen Sie
Änderungsverlauf, Genehmigungsaufgaben und Aufgaben im Zusammenhang mit temporären
Gruppenmitgliedschaften von Ihrem Verwaltungsdienst der älteren Version auf die neue
Verwaltungsdienstinstanz.
Führen Sie die folgenden Schritte durch, um eine neue Verwaltungsdienstinstanz der aktuellen Version zu
erstellen, die die Konfiguration aus der älteren Active Roles-Version erbt:
1
Installieren und Konfigurieren des Verwaltungsdienstes
2
Importieren der Konfiguration der älteren Active Roles-Version
3
Importieren des Verwaltungsverlaufs der älteren Active Roles-Version
Dell Active Roles 7.0
Erste Schritte
31
Diese Schritte werden in den nachfolgenden Themen beschrieben.
Sie können den Verwaltungsdienst der Version 7.0 parallel zum Verwaltungsdienst der Version 6.7, 6.8 oder 6.9
auf demselben Computer installieren und die Aktualisierung durchführen, ohne den Betrieb zu unterbrechen
oder Auswirkungen auf den Verwaltungsdienst der älteren Version zu bewirken.
Wenn Sie den Verwaltungsdienst der älteren Version nicht mehr benötigen, können Sie diesen über Programme
und Funktionen in der Systemsteuerung deinstallieren: Klicken Sie in der Liste der installierten Programme mit
der rechten Maustaste auf Verwaltungsdienst und klicken Sie auf Deinstallieren.
Installieren und Konfigurieren des Verwaltungsdienstes
Zum Erstellen einer neuen Verwaltungsdienstinstanz installieren Sie zunächst die Verwaltungsdienstdateien und
führen dann die Erstkonfiguration durch.
Gehen Sie folgendermaßen vor, um den Verwaltungsdienst zu installieren:
1
Melden Sie sich mit einem Benutzerkonto, das über Administratorrechte verfügt, beim Computer an.
2
Wechseln Sie zum Speicherort des Active Roles-Verteilungspakets und starten Sie den
Installationsassistenten durch Doppelklicken auf Setup.exe.
3
Befolgen Sie die Anweisungen des Installationsassistenten.
4
Stellen Sie auf der Seite Component Selection sicher, dass die Komponente Administration Service
ausgewählt ist, und klicken Sie auf Next.
5
Klicken Sie auf der Seite Ready to Install auf Install, um die Installation durchzuführen.
6
Aktivieren Sie auf der Seite Completion das Kontrollkästchen I want to perform configuration und
klicken Sie auf Finish.
Der Installationsassistent installiert die Dateien nur. Nach Abschluss des Installationsassistenten müssen Sie die
neu installierte Verwaltungsdienstinstanz konfigurieren. Dazu verwenden Sie das Active Roles Configuration
Center, das automatisch geöffnet wird, wenn Sie auf der Seite Completion im Installationsassistenten das
Kontrollkästchen I want to perform configuration aktivieren. Sie können das Configuration Center auch öffnen,
indem Sie Active Roles 7.0 Configuration Center auf der Seite Apps oder im Menü Start auswählen, je
nachdem, welche Version des Windows-Betriebssystems Sie verwenden.
So führen Sie die Erstkonfiguration durch:
1
Klicken Sie im Configuration Center unter Verwaltungsdienst auf Konfigurieren.
2
Geben Sie auf der Seite Dienstkonto des daraufhin angezeigten Assistenten „Verwaltungsdienst
konfigurieren“ den Namen und das Kennwort des Domänen-Benutzerkontos ein, das als
Verwaltungsdienstkonto verwendet werden soll. Klicken Sie dann auf Weiter.
3
Akzeptieren Sie auf der Seite Active Roles-Administrator das Standardkonto oder klicken Sie auf
Durchsuchen und wählen Sie die Gruppe oder den Benutzer aus, die/der als Active Roles-Administrator
festgelegt werden soll. Klicken Sie abschließend auf Weiter.
4
Wählen Sie auf der Seite Datenbankoptionen die Option Neue Active Roles-Datenbank aus und klicken
Sie dann auf Weiter.
5
Geben Sie auf der Seite Verbindung zur Datenbank eine SQL Server-Instanz und einen Datenbanknamen
an und wählen Sie die Authentifizierungsoption aus:
a
Geben Sie im Feld SQL Server eine SQL Server-Instanz im Format <Computer>\<Instanz> (für eine
benannte Instanz) oder <Computer> (für eine Standardinstanz) an, wobei <Computer> für den
Kurznamen des Computers steht, auf dem SQL Server ausgeführt wird. Der Assistent erstellt die
Datenbank auf der von Ihnen angegebenen SQL Server-Instanz.
b
Geben Sie in das Feld Datenbank einen Namen für die zu erstellende Datenbank ein.
c
Wählen Sie unter Verbinden mit die passende Authentifizierungsoption aus:
•
Wenn sich der Verwaltungsdienst unter Verwendung des Dienstkontos mit der Datenbank
verbinden soll, klicken Sie auf Windows-Authentifizierung.
Dell Active Roles 7.0
Erste Schritte
32
•
Soll sich der Verwaltungsdienst mithilfe einer SQL Server-Anmeldung mit der Datenbank
verbinden, klicken Sie auf SQL Server-Authentifizierung und geben den Anmeldenamen
und das Kennwort ein.
6
Klicken Sie auf Weiter und füllen Sie die Seite Sicherungskopie für Verschlüsselungsschlüssel aus, wie
dies unter Sichern des Verschlüsselungsschlüssels weiter oben beschrieben wird.
7
Klicken Sie auf Weiter und folgen Sie den Anweisungen des Assistenten, um die Konfiguration
abzuschließen.
Importieren der Konfiguration
Nach der Installation und Erstkonfiguration des Verwaltungsdienstes der neuen Version importieren Sie die
Konfigurationsdaten aus der Datenbank, die der Verwaltungsdienst der älteren Version verwendet. Stellen Sie
zunächst fest, welche Datenbank dies ist:
1
Öffnen Sie die Active Roles-Konsole und verbinden Sie sich mit dem Verwaltungsdienst der älteren
Version (siehe „Verbinden mit dem Verwaltungsdienst“ im Active Roles-Administratorhandbach).
2
Wählen Sie das Stammelement der Konsolenstruktur aus und erweitern Sie dann auf der Seite im
Detailbereich den Abschnitt Konfigurationsdatenbanken und Replikation.
Sie können den Datenbanknamen und den SQL Server-Namen der ersten Zeichenfolge im Bereich
Konfigurationsdatenbanken und Replikation entnehmen. Die Zeichenfolge hat folgendes Format: Datenbank
<Name> auf SQL Server <Name>.
Führen Sie anschließend den Import durch. Verwenden Sie dazu den Assistenten „Konfiguration importieren“ aus
dem Configuration Center. Geben Sie auf der Seite Quelldatenbank im Assistenten „Konfiguration importieren“
den Datenbanknamen und den SQL Server-Namen ein, die Sie ermittelt haben. Detaillierte Anweisungen zum
Import finden Sie unter Importieren von Konfigurationsdaten weiter oben.
Importieren des Verwaltungsverlaufs
Nach dem Import der Konfiguration Ihrer älteren Active Roles-Version importieren Sie die
Verwaltungsverlaufsdaten aus der Datenbank, die der Verwaltungsdienst der älteren Version verwendet. Stellen
Sie zunächst fest, welche Datenbank dies ist:
1
Öffnen Sie die Active Roles-Konsole und verbinden Sie sich mit dem Verwaltungsdienst der älteren
Version (siehe „Verbinden mit dem Verwaltungsdienst“ im Active Roles-Administratorhandbach).
2
Wählen Sie das Stammelement der Konsolenstruktur aus und erweitern Sie dann auf der Seite im
Detailbereich den Abschnitt Verwaltungsverlaufsdatenbanken und Replikation.
Sie können den Datenbanknamen und den SQL Server-Namen der ersten Zeichenfolge im Bereich
Verwaltungsverlaufsdatenbanken und Replikation entnehmen. Die Zeichenfolge hat folgendes Format:
Datenbank <Name> auf SQL Server <Name>.
Führen Sie anschließend den Import durch. Verwenden Sie dazu den Assistenten „Verwaltungsverlauf
importieren“ aus dem Configuration Center. Geben Sie auf der Seite Quelldatenbank im Assistenten
„Verwaltungsverlauf importieren“ den Datenbanknamen und den SQL Server-Namen ein, die Sie ermittelt
haben. Detaillierte Anweisungen zum Import finden Sie unter Importieren von Verwaltungsverlaufsdaten weiter
oben.
Dell Active Roles 7.0
Erste Schritte
33
Aktualisieren im Fall einer gemeinsam genutzten Datenbank
Wenn mehrere Instanzen des Verwaltungsdienstes eine einzige Datenbank verwenden, können Sie die
Aktualisierung wie folgt durchführen:
1
Aktualisieren Sie eine der Verwaltungsdienstinstanzen, wie weiter oben beschrieben (siehe Installieren
und Konfigurieren des Verwaltungsdienstes, Importieren der Konfiguration, Importieren des
Verwaltungsverlaufs).
Als Folge dieses Vorgangs ist eine Verwaltungsdienstinstanz der neuen Version mit der neuen Datenbank
verbunden, die die aus der alten Datenbank importierten Datenimport enthält. Die anderen Instanzen
des Verwaltungsdienstes werden zu diesem Zeitpunkt nicht aktualisiert; sie verwenden weiterhin die alte
Datenbank.
2
Jetzt, da Sie über eine Datenbank der neuen Version verfügen, können Sie nacheinander die
verbleibenden Instanzen des Verwaltungsdienstes aktualisieren. Wählen Sie im Assistenten
„Verwaltungsdienst konfigurieren“ die Option Vorhandene Active Roles-Datenbank auf der Seite
Datenbankoptionen aus und geben Sie dann auf der Seite Verbindung zur Datenbank die Datenbank an,
die bei der Aktualisierung der ersten Verwaltungsdienstinstanz erstellt wurde. Sie müssen weder
Konfigurations- noch Verwaltungsverlaufsdaten importieren, da diese Daten bereits in die Datenbank
importiert wurden.
Aufgrund dieser Schritte verwenden mehrere Verwaltungsdienstinstanzen der neuen Version eine einzige
Datenbank, die mit den Konfigurations- und Verwaltungsverlaufsdaten aus Ihrer alten Active Roles-Installation
aktualisiert wurde.
Aktualisieren der Webschnittstelle
Sie können die Webschnittstelle der Version 6.7, 6.8 oder 6.9 auf Version 7.0 aktualisieren. Die Aktualisierung
einer älteren Version als 6.7 wird nicht unterstützt. Um Versionen vor 6.7 zu aktualisieren, müssen Sie zunächst
eine Aktualisierung auf Version 6.8 durchführen.
Bei der Aktualisierung der Webschnittstelle wird eine neue Webschnittstelleninstanz der aktuellen Version
erstellt, die über dieselben Webschnittstellensites wie die Webschnittstelle Ihrer älteren Version verfügt, wobei
die Site-Konfigurationsdaten aus der Active Roles-Konfiguration der älteren Version importiert werden. Dadurch
erben die neuen Webschnittstellensites alle Anpassungen, die an den Menüs, Befehlen, Formularen und
sonstigen Elementen Ihrer Webschnittstellensites der älteren Version vorgenommen wurden.
Führen Sie die folgenden Schritte durch, um eine neue Webschnittstelleninstanz der aktuellen Version zu
erstellen, deren Webschnittstellensites sämtliche Anpassungen der älteren Webschnittstellenversion
übernehmen:
1
Ermitteln und notieren Sie für jede Webschnittstellensite der älteren Active Roles-Version den Namen
des Konfigurationsobjekts, das der Verwaltungsdienst zum Speichern der Konfigurationsdaten der Site
verwendet.
2
Installieren und konfigurieren Sie die Webschnittstelleninstanz der aktuellen Active Roles-Version und
wählen Sie dabei den neuen Verwaltungsdienst aus, in den Sie die Konfiguration Ihrer älteren Active
Roles-Version importiert haben (siehe Aktualisierung des Verwaltungsdienstes weiter oben).
3
Erstellen Sie auf der neuen Webschnittstelleninstanz, die Sie in Schritt 2 installiert und konfiguriert
haben, Sites auf der Grundlage der in Schritt 1 notierten Informationen und importieren Sie dabei Daten
aus den Konfigurationsobjekten, die von Ihrer älteren Webschnittstellenversion verwendet werden. Diese
Konfigurationsobjekte wurde während des Imports der Konfigurationsdaten in den neuen
Verwaltungsdienst kopiert (siehe Importieren der Konfiguration weiter oben).
4
Löschen Sie optional die Standardsites, die beim Konfigurieren der Webschnittstelle in Schritt 2 erstellt
wurden. Die Standardsites verfügen nicht über vorhandene Siteanpassungen und weisen die
Standardkonfiguration aus Menüs, Befehlen, Formularen und sonstigen Elementen auf.
Diese Schritte werden in den nachfolgenden Themen beschrieben.
Sie können die Webschnittstelle der Version 7.0 parallel zur Webschnittstelle der Version 6.7, 6.8 oder 6.9 auf
demselben Computer installieren und die Aktualisierung durchführen, ohne den Betrieb zu unterbrechen oder
Auswirkungen auf die Konfiguration der Webschnittstellensites der älteren Active Roles-Version zu bewirken.
Dell Active Roles 7.0
Erste Schritte
34
Wenn Sie die Webschnittstelle der älteren Version nicht mehr benötigen, können Sie diese über Programme und
Funktionen in der Systemsteuerung deinstallieren: Klicken Sie in der Liste der installierten Programme mit der
rechten Maustaste auf Webschnittstelle und klicken Sie dann auf Deinstallieren.
Ermitteln von Konfigurationsobjekten
Beim Erstellen von Webschnittstellensites der neuen Active Roles-Version müssen Sie wissen, welche
Konfigurationsobjekte Ihre Webschnittstellensites der älteren Version verwenden. Jede Site speichert ihre
Konfigurationsdaten in einem bestimmten Objekt auf dem Verwaltungsdienst, das als Site-Konfigurationsobjekt
bezeichnet wird. Beim Aktualisieren des Verwaltungsdienstes werden die vorhandenen SiteKonfigurationsobjekte in den neuen Verwaltungsdienst kopiert, wobei der Objektname beibehalten wird.
Zum Erstellen einer Webschnittstellensite der neuen Active Roles-Version, die Ihre bestehenden SiteAnpassungen erbt, müssen Sie den Namen des zugehörigen Site-Konfigurationsobjekts der älteren Version
angeben. Active Roles erstellt dann ein Site-Konfigurationsobjekt der neuen Version, importiert die SiteKonfigurationsdaten in dieses Objekt und legt fest, dass die neue Webschnittstellensite dieses Objekt
verwendet. Als Ergebnis weist die neue Webschnittstellensite dieselbe Konfiguration wie die
Webschnittstellensite der älteren Version auf.
Sie können die vorhandenen Site-Konfigurationsobjekte ermitteln, indem Sie den WebschnittstellensiteKonfigurationsassistenten auf dem Computer verwenden, auf dem die Webschnittstelle von Active Roles-Version
6.9 oder früher ausgeführt wird.
So identifizieren Sie das Konfigurationsobjekte der Webschnittstellensite einer älteren Active
Roles-Version
1
Starten Sie auf dem Webserver, auf dem Ihre Webschnittstelle der älteren Active Roles-Version
ausgeführt wird, den Webschnittstellensite-Konfigurationsassistenten.
Sie können den Assistenten starten, indem Sie Web Interface Sites Configuration auf der Seite Apps
oder im Menü Start auswählen, je nachdem, welche Version des Windows-Betriebssystems der Webserver
verwendet.
2
Gehen Sie zur Seite Web Interface Configuration im Webschnittstellensite-Konfigurationsassistenten.
Auf dieser Seite werden Ihre Webschnittstellensites der älteren Active Roles-Version aufgelistet.
3
Klicken Sie auf der Seite Web Interface Configuration auf den Listeneintrag für die gewünschte Site und
dann auf die Schaltfläche Edit.
Sie können die Sites anhand ihres Alias unterscheiden, der in der Spalte Virtual Directory der Seite Web
Interface Configuration angezeigt wird. Der Alias definiert den virtuellen Pfad, der in der Adresse der
Webschnittstellensite auf dem Webserver verwendet wird. In der Active Roles-Version 6.9 lautet der
Alias für die Standard-Webschnittstellensite für Administratoren ARWebServerAdmin, woraus sich die
folgende Adresse der Site ergibt: http://<Host>/ARServerAdmin.
4
Notieren Sie den Namen des Konfigurationsobjekts der Site, der im Bereich Configuration settings des
angezeigten Dialogfelds angegeben wird.
Der Objektname wird im Feld Name unter der Option Use existing configuration angegeben und enthält
die Versionsnummer. Der Name des Site-Konfigurationsobjekts für die Standard-Webschnittstellensite für
Administratoren von Version 6.9 lautet beispielsweise Site for Administrators (6.9.0).
5
Klicken Sie auf Abbrechen, um das Dialogfeld zu schließen.
Suchen Sie das Konfigurationsobjekt für jede Ihrer vorhandenen Webschnittstellensites und notieren Sie sich den
jeweiligen Objektnamen. Sie benötigen diese Namen beim Erstellen der Webschnittstellensites der neuen
Active Roles-Version.
Dell Active Roles 7.0
Erste Schritte
35
Installieren und Konfigurieren der Webschnittstelle
Zum Erstellen einer neuen Webschnittstelleninstanz installieren Sie zunächst die Webschnittstellendateien und
führen dann die Erstkonfiguration durch.
So installieren Sie die Webschnittstellendateien:
1
Melden Sie sich mit einem Benutzerkonto, das über Administratorrechte verfügt, beim Computer an.
2
Wechseln Sie zum Speicherort des Active Roles-Verteilungspakets und starten Sie den
Installationsassistenten durch Doppelklicken auf Setup.exe.
3
Befolgen Sie die Anweisungen des Installationsassistenten.
4
Stellen Sie auf der Seite Component Selection sicher, dass die Komponente Web Interface ausgewählt
ist, und klicken Sie auf Next.
5
Klicken Sie auf der Seite Ready to Install auf Install, um die Installation durchzuführen.
6
Vergewissern Sie sich auf der Seite Completion, dass das Kontrollkästchen I want to perform
configuration aktiviert ist, und klicken Sie auf Finish.
Der Installationsassistent installiert die Dateien nur. Nach Abschluss des Installationsassistenten müssen Sie die
neu installierte Webschnittstelleninstanz konfigurieren. Dazu verwenden Sie das Active Roles Configuration
Center, das automatisch geöffnet wird, wenn Sie auf der Seite Completion im Installationsassistenten das
Kontrollkästchen I want to perform configuration aktivieren. Sie können das Configuration Center auch öffnen,
indem Sie Active Roles 7.0 Configuration Center auf der Seite Apps oder im Menü Start auswählen, je
nachdem, welche Version des Windows-Betriebssystems Sie verwenden.
So führen Sie die Erstkonfiguration durch:
1
Klicken Sie im Configuration Center unter Webschnittstelle auf Konfigurieren.
Damit rufen Sie den Assistenten auf, der die Erstkonfiguration der Webschnittstelle vornimmt.
2
Geben Sie auf der Seite Verwaltungsdienst die neue Verwaltungsdienstinstanz an, die bei der
Aktualisierung erstellt wurde (siehe Aktualisierung des Verwaltungsdienstes weiter oben).
Wenn die neue Verwaltungsdienstinstanz auf dem Computer ausgeführt wird, auf dem Sie die neue
Webschnittstelle installieren, dann wählen Sie die Option Verwaltungsdienst auf dem Computer, auf
dem die Webschnittstelle ausgeführt wird. Ansonsten wählen Sie die Option Verwaltungsdienst auf
diesem Computer und geben den vollqualifizierten Domänennamen des Computers ein, auf dem die
neue Verwaltungsdienstinstanz ausgeführt wird.
3
Klicken Sie auf Konfigurieren und warten Sie, während der Assistent die Konfiguration fertig stellt.
Erstellen von Sites auf der Grundlage alter
Konfigurationsobjekte
Nach der Installation und Konfiguration der Webschnittstelleninstanz der neuen Active Roles-Version können Sie
das Configuration Center verwenden, um Webschnittstellensites der neuen Version zu erstellen, wobei Sie SiteKonfigurationsdaten aus den Konfigurationsobjekten Ihrer vorhandenen Webschnittstellensites der älteren
Active Roles-Version importieren (siehe Ermitteln von Konfigurationsobjekten weiter oben). Dadurch erben die
neuen Webschnittstellensites alle Anpassungen, die an den Menüs, Befehlen, Formularen und sonstigen
Elementen Ihrer Webschnittstellensites der älteren Version vorgenommen wurden.
So erstellen Sie Webschnittstellensites, die auf einem vorhandenen Konfigurationsobjekt
basieren:
1
Öffnen Sie das Configuration Center.
Zum Öffnen des Configuration Center wählen Sie Active Roles 7.0 Configuration Center auf der Seite
Apps oder im Menü Start aus, je nachdem, welche Version des Windows-Betriebssystems Sie verwenden.
2
Klicken Sie im Hauptfenster des Configuration Center unter Webschnittstelle auf Sites verwalten.
Dell Active Roles 7.0
Erste Schritte
36
3
Klicken Sie auf der Seite Sites auf Erstellen.
4
Daraufhin wird der Assistent „Webschnittstellensite erstellen“ geöffnet. Wählen Sie auf der Seite
Webanwendung des Assistenten die IIS-Website aus, die die Webanwendung enthalten soll, die die
Webschnittstellensite implementiert, und geben Sie einen Alias für diese Anwendung an.
Der Alias definierte den virtuellen Pfad, der Bestandteil der Adresse der Webschnittstellensite ist. Sie
können sich die daraus resultierende Adresse auf der Seite Webanwendung ansehen.
5
Klicken Sie auf Weiter, um zur Seite Konfiguration zu gelangen.
6
Wählen Sie aus der Liste auf der Seite Konfiguration die Option Aus vorhandener Konfiguration
importieren aus.
7
Füllen Sie die Felder auf der Seite Konfiguration aus:
a
Geben Sie im Feld Konfigurationsname den Namen des Konfigurationsobjekts für die neue
Webschnittstellensite an. Sie können den Standardnamen akzeptieren.
Der Assistent erstellt ein Konfigurationsobjekt mit dem angegebenen Namen und importiert
Konfigurationsdaten in dieses Objekt.
b
Wählen Sie aus der Liste im Feld Zu importierende Konfiguration den Namen des
Konfigurationsobjekts aus, aus dem die Konfigurationsdaten importiert werden sollen.
Dies muss der Name des Konfigurationsobjekts sein, der von Ihren bestehenden
Webschnittstellensites der älteren Active Roles-Version verwendet wird (siehe Ermitteln von
Konfigurationsobjekten weiter oben).
8
Klicken Sie auf Erstellen und warten Sie, während der Assistent die neue Webschnittstellensite erstellt.
Führen Sie diese Schritte für jede Ihre Webschnittstellensites der älteren Version durch und wählen Sie dabei in
Schritt 7b jeweils den entsprechenden Objektnamen aus.
Löschen von Standardsites
Nachdem Sie die Webschnittstellensites der neuen Version erstellt haben, die die Konfiguration der
Webschnittstellensites der älteren Version erben, können Sie die Standard-Webschnittstellensites löschen, die
bei der Erstkonfiguration der Webschnittstelle erstellt wurden (siehe Installieren und Konfigurieren der
Webschnittstelle weiter oben).
So löschen Sie die Standard-Webschnittstellensites:
1
Öffnen Sie das Configuration Center.
Zum Öffnen des Configuration Center wählen Sie Active Roles 7.0 Configuration Center auf der Seite
Apps oder im Menü Start aus, je nachdem, welche Version des Windows-Betriebssystems Sie verwenden.
2
Klicken Sie im Hauptfenster des Configuration Center unter Webschnittstelle auf Sites verwalten.
3
Suchen Sie auf der Seite Sites Listenpositionen, die Standard-Webschnittstellensites bezeichnen, und
löschen Sie diese mithilfe der Schaltfläche Löschen nacheinander.
Sie erkennen Listenpositionen, die für Standard-Webschnittstellensites stehen, anhand des Namens in
der Spalte Konfiguration:
•
Standardsite für Administratoren (7.0) bezeichnet die Standardsite für Administratoren
•
Standardsite für Help Desk (7.0) bezeichnet die Standardsite für den Help Desk
•
Standardsite für Selbstverwaltung (7.0) bezeichnet die Standardsite für die Selbstverwaltung
Dell Active Roles 7.0
Erste Schritte
37
Aktualisieren anderer Komponenten
In diesem Abschnitt werden die Aktualisierungsmöglichkeiten für folgende Komponenten von Active Roles
beschrieben:
•
Konsole (MMC-Schnittstelle)
•
Verwaltungsshell
•
ADSI Provider
•
SDK
•
Collector und Berichtspaket
Aktualisieren der Active Roles-Konsole
Sie können die Active Roles-Konsole von Version 7.0 parallel zur Active Roles-Konsole von Version 6.7, 6.8 oder
6.9 auf demselben Computer installieren. Eine andere Möglichkeit besteht darin, die neue Konsole auf einem
anderen Computer zu installieren. Anweisungen zur Installation finden Sie unter Verfahren zum Installieren der
Konsole weiter oben.
Wenn Sie die Konsole von Version 6.9 oder früher nicht mehr benötigen, können Sie diese über Programme und
Funktionen in der Systemsteuerung deinstallieren: Klicken Sie in der Liste der installierten Programme mit der
rechten Maustaste auf MMC-Schnittstelle und klicken Sie dann auf Deinstallieren.
Aktualisierung von Shell, ADSI-Anbieter und SDK
Die Active Roles Management Shell, der ADSI-Anbieter und das SDK von Version 7.0 sind in einer einzigen
Komponente, den so genannten Verwaltungstools enthalten. Sie können die Verwaltungstools parallel zur Active
Roles-Version 6.7, 6.8 oder 6.9 auf demselben Computer installieren. Eine andere Möglichkeit besteht darin, die
Verwaltungstools auf einem anderen Computer zu installieren. Das Active Roles-Installationsprogramm
installiert die Verwaltungstools standardmäßig. Sie können die Verwaltungstools auch ohne andere
Komponenten installieren (siehe Verfahren für die ausschließliche Installation von Shell, ADSI-Anbieter und SDK
weiter oben).
Wenn Sie die Verwaltungsshell von Active Roles 6.7, 6.8 oder 6.9 nicht mehr benötigen, können Sie diese über
Programme und Funktionen in der Systemsteuerung deinstallieren: Klicken Sie in der Liste der installierten
Programme mit der rechten Maustaste auf Management Shell und klicken Sie dann auf Deinstallieren. Beachten
Sie, dass der Verwaltungsdienst die Verwaltungsshell benötigt. Deinstallieren Sie die ältere Version der
Verwaltungsshell nicht von dem Computer, auf dem der Verwaltungsdienst von Version 6.7, 6.8 oder 6.9
installiert ist.
Das Active Roles SDK von Version 6.9 oder früher ist als Feature im Installationspaket des Verwaltungsdienstes
enthalten. Sie können es deinstallieren, indem Sie den Installationsassistenten des Verwaltungsdienstes im
Wartungsmodus verwenden: Klicken Sie unter Programme und Funktionen mit der rechten Maustaste auf
Verwaltungsdienst und klicken Sie dann auf Ändern, um den Installationsassistenten zu starten. Wählen Sie auf
der Seite Select Features im Assistenten die Option zum Löschen des Features SDK and Resource Kit aus.
Der Active Roles ADSI-Anbieter von Version 6.9 oder früher wird normalerweise zusammen mit Active RolesHauptkomponenten wie Verwaltungsdienst, Webschnittstelle oder MMC-Schnittstelle installiert und entfernt,
nachdem die Hauptkomponenten deinstalliert wurden.
Aktualisieren von Collector und Berichtspaket
Die Active Roles-Berichtskomponenten müssen in der folgenden Reihenfolge aktualisiert werden:
•
Collector
•
Berichtspaket
•
Collector-Datenbank
Dell Active Roles 7.0
Erste Schritte
38
Collector
Für die Aktualisierung deinstallieren Sie zunächst Ihre ältere Version von Collector und installieren dann die
neue Version. Sie können Collector über Programme und Funktionen in der Systemsteuerung deinstallieren.
Nachdem Sie die ältere Version von Collector deinstalliert haben, installieren Sie die neue Version. Anweisungen
zur Installation finden Sie unter Installation von Collector weiter oben.
Berichtspaket
Vor der Aktualisierung muss zuerst die alte Version des Berichtspakets deinstalliert und dann die neue installiert
werden. Das Berichtspaket muss auf dem Rechner, der ursprünglich für die seine Installation verwendet wurde,
deinstalliert werden. Sie können das Berichtspaket über Programme und Funktionen in der Systemsteuerung
deinstallieren.
Nachdem Sie die ältere Version des Berichtspakets deinstalliert haben, stellen Sie die Version bereit.
Anweisungen dazu finden Sie unter Bereitstellen des Berichtspakets weiter oben.
Collector-Datenbank
Die neue Version des Berichtspakets ist nicht mit der Datenbank einer älteren Collector-Version kompatibel.
Wenn Sie Berichte erstellen möchten, die auf den in dieser Datenbank gespeicherten Ereignissen basieren,
müssen Sie die Ereignisse in die Datenbank der neuen Collector-Version importieren und diese Datenbank dann
als Datenquelle für die Berichte der neuen Berichtspaketversion angeben. Anweisungen zum Konfigurieren der
Datenquelle finden Sie unter „Arbeiten mit Berichten“ im Active Roles-Administratorhandbuch.
So importieren Sie Ereignisse aus der Datenbank einer älteren Collector-Version
1
Starten Sie den Collector-Assistenten:
Sie können den Collector-Assistenten starten, indem Sie Active Roles 7.0 Collector and Report Pack auf
der Seite Apps oder im Menü Start auswählen, je nachdem, welche Version des Windows-Betriebssystems
Sie verwenden.
2
Klicken Sie auf der Seite Select Task auf Import events from an earlier database version und klicken
Sie dann auf Next.
3
Klicken Sie auf der Seite Source Database auf Specify und geben Sie den Namen und SQL Server der
Datenbank an, die Ihr Collector der älteren Version verwendet. Klicken Sie auf Weiter.
4
Klicken Sie auf der Seite Target Database auf Specify und geben Sie den Namen und SQL Server der
Datenbank an, die Ihr Collector der aktuellen Version verwendet.
5
Klicken Sie auf Next und warten Sie, während der Assistent den Import durchführt.
Separate Verwaltungsverlaufsdatenbank
Nach der Installation und Konfiguration des Verwaltungsdienstes können Sie im Configuration Center eine
separate Datenbank zur Speicherung von Verwaltungsverlaufsdaten angeben. Diese Konfigurationsoption dient
zur Unterstützung von Active Roles-Bereitstellungen, bei denen es nicht möglich ist, dieselbe Datenbank für
Verwaltungsverlaufsdaten und Konfigurationsdaten zu verwenden. Die Verwendung einer separaten
Verwaltungsverlaufsdatenbank könnte den Replikationsdatenverkehr reduzieren, wenn mehrere
Verwaltungsdienstinstanzen ihre Konfigurationsdaten mit Hilfe der Active Roles-Replikation synchronisieren,
oder die Datenbankgröße reduzieren, wenn mehrere Verwaltungsdienstinstanzen dieselbe
Konfigurationsdatenbank gemeinsam nutzen.
Bitte beachten Sie, dass mehrere Verwaltungsdienstinstanzen nur dann für eine gemeinsame Nutzung von
Verwaltungsverlaufsdaten konfiguriert werden können, wenn sie dieselben Konfigurationsdaten nutzen. Die
Datenfreigabe kann mit Hilfe der Active Roles-Replikation erzielt werden, oder wenn mehrere
Verwaltungsdienstinstanzen die gleiche Konfigurations- oder Verwaltungsverlaufsdatenbank verwenden. Wenn
Sie zum Beispiel möchten, dass zwei Instanzen des Verwaltungsdienstes dieselbe Verwaltungsverlaufsdatenbank
verwenden, müssen Sie gewährleisten, dass eine der folgenden Bedingungen erfüllt ist: (1) beide Instanzen
verwenden dieselbe Konfigurationsdatenbank oder (2), wenn die beiden Instanzen separate
Dell Active Roles 7.0
Erste Schritte
39
Konfigurationsdatenbanken verwenden, werden die beiden Datenbanken mithilfe der Active Roles-Replikation
synchronisiert; ansonsten können bei Änderungsverlaufsberichten oder dem Genehmigungsworkflow Probleme
auftreten.
Die Verwaltungsverlaufsdaten umfassen:
•
Informationen über die Änderungen, die von den Active Roles-Benutzern an den Verzeichnisdaten
vorgenommen wurden. Diese Informationen werden für die Erstellung von Änderungsverlaufsberichten
verwendet.
•
Informationen über Genehmigungs-, temporäre Gruppenzugehörigkeits- und
Deprovisionierungsaufgaben. Diese Informationen werden von Active Roles-Funktionen wie
Genehmigungsworkflow, temporäre Gruppenzugehörigkeiten und Rückgängigmachen der
Deprovisionierung verwendet.
Viele wichtige Funktionen von Active Roles hängen stark von der Konsistenz und der Verfügbarkeit der
Verwaltungsverlaufsdaten ab. Bei mehreren Verwaltungsdienstinstanzen mit einer gemeinsamen Konfiguration
ist es ratsam, wenn die Verwaltungsdienstinstanzen auch dieselben Verwaltungsverlaufsdaten nutzen. Die
Standardkonfiguration des Verwaltungsdienstes entspricht dieser Anforderung, indem sie eine einzige
Datenbank für die Speicherung der Konfigurationsdaten und der Verwaltungsverlaufsdaten nutzt.
Wenn Sie sich jedoch entschließen, Verwaltungsverlaufs- und Konfigurationsdaten separat zu speichern, können
Sie dies nach der Erstkonfiguration des Verwaltungsdiensts mit Active Roles Configuration Center festlegen: Die
Option, Verwaltungsverlaufsdaten in einer separaten Datenbank zu speichern, findet sich auf der Seite
Verbindung zur Datenbank im Assistenten „Active Roles-Datenbank ändern“.
Erstellen einer neuen Datenbank
Nachdem Sie die Erstkonfiguration der Verwaltungsdienstinstanz mit der Option, eine neue Active RolesDatenbank zu erstellen, durchgeführt haben, wird die neue Datenbank zum Speichern von Konfigurations- und
Verwaltungsverlaufsdaten verwendet. Sie können mit dem Configuration Center eine separate Datenbank zum
Speichern von Verwaltungsverlaufsdaten erstellen.
1
Starten Sie das Configuration Center auf dem Computer, auf dem die Verwaltungsdienstinstanz
ausgeführt wird, die Sie konfigurieren möchten.
Zum Aufrufen des Configuration Center wählen Sie Active Roles 7.0 Configuration Center auf der Seite
Apps oder im Menü Start aus, je nachdem, welche Version des Windows-Betriebssystems Sie verwenden.
2
Klicken Sie auf der Seite Dashboard im Hauptfenster mit Konfigurationseinstellungen im Bereich
Verwaltungsdienst auf Einstellungen verwalten.
3
Klicken Sie auf der daraufhin geöffneten Seite Verwaltungsdienst im Bereich Active Roles-Datenbank
auf Ändern.
4
Daraufhin wird der Assistent „Active Roles-Datenbank ändern“ geöffnet. Prüfen Sie in diesem Assistenten
auf der Seite Verbindung zur Datenbank die Datenbankverbindungseinstellungen für die
Konfigurationsdatenbank. Wenn der Verwaltungsdienst die SQL Server-Authentifizierung verwendet,
geben Sie das Kennwort für die SQL-Anmeldung an, die zum Aufbau der Verbindung zur Datenbank
verwendet wird.
5
Aktivieren Sie das Kontrollkästchen Verwaltungsverlaufsdaten in einer separaten Datenbank speichern
auf der Seite Verbindung zur Datenbank und klicken Sie dann auf Weiter.
6
Klicken Sie auf der Seite Optionen für Verwaltungsverlaufsdatenbank auf Neue Active RolesDatenbank und dann auf Weiter.
7
Geben Sie auf der Seite Verbindung zur Verwaltungsverlaufsdatenbank in den Feldern SQL Server und
Datenbank die SQL Server-Instanz und den Namen der Datenbank an, in der dieser Verwaltungsdienst
seine Verwaltungsverlaufsdaten speichern soll.
8
Wählen Sie auf der Seite Verbindung zur Verwaltungsverlaufsdatenbank unter Verbinden mit die
entsprechende Authentifizierungsoption aus:
•
Wenn der Verwaltungsdienst das Dienstkonto verwenden soll, um sich mit der
Verwaltungsverlaufsdatenbank zu verbinden, klicken Sie auf Windows-Authentifizierung.
Dell Active Roles 7.0
Erste Schritte
40
•
9
Soll sich der Verwaltungsdienst mithilfe einer SQL Server-Anmeldung mit der
Verwaltungsverlaufsdatenbank verbinden, klicken Sie auf SQL Server-Authentifizierung und
geben den Anmeldenamen und das Kennwort ein.
Klicken Sie auf Weiter und folgen Sie den Anweisungen des Assistenten, um die Konfiguration
abzuschließen.
Verwenden einer vorhandenen Datenbank
Falls Sie bereits über eine Verwaltungsdienstinstanz verfügen, die ihre Verwaltungsverlaufsdaten in einer
separaten Datenbank speichert und eine weitere Instanz die Verwaltungsverlaufsdaten ebenfalls in dieser
Datenbank speichern soll, konfigurieren Sie die zusätzliche Instanz wie folgt:
1
Starten Sie das Configuration Center auf dem Computer, auf dem die Verwaltungsdienstinstanz
ausgeführt wird, die Sie konfigurieren möchten.
Zum Aufrufen des Configuration Center wählen Sie Active Roles 7.0 Configuration Center auf der Seite
Apps oder im Menü Start aus, je nachdem, welche Version des Windows-Betriebssystems Sie verwenden.
2
Klicken Sie auf der Seite Dashboard im Hauptfenster mit Konfigurationseinstellungen im Bereich
Verwaltungsdienst auf Einstellungen verwalten.
3
Klicken Sie auf der daraufhin geöffneten Seite Verwaltungsdienst im Bereich Active Roles-Datenbank
auf Ändern.
4
Daraufhin wird der Assistent „Active Roles-Datenbank ändern“ geöffnet. Prüfen Sie in diesem Assistenten
auf der Seite Verbindung zur Datenbank die Datenbankverbindungseinstellungen für die
Konfigurationsdatenbank.
Wenn der Verwaltungsdienst die SQL Server-Authentifizierung verwendet, geben Sie das Kennwort für die
SQL-Anmeldung an, die zum Aufbau der Verbindung zur Datenbank verwendet wird.
5
Aktivieren Sie das Kontrollkästchen Verwaltungsverlaufsdaten in einer separaten Datenbank speichern
auf der Seite Verbindung zur Datenbank und klicken Sie dann auf Weiter.
6
Klicken Sie auf der Seite Optionen für Verwaltungsverlaufsdatenbank auf Vorhandene Active RolesDatenbank und dann auf Weiter.
7
Geben Sie auf der Seite Verbindung zur Verwaltungsverlaufsdatenbank in den Feldern SQL Server und
Datenbank die SQL Server-Instanz und den Namen der Datenbank an, in der dieser Verwaltungsdienst
seine Verwaltungsverlaufsdaten speichern soll.
8
Wählen Sie auf der Seite Verbindung zur Verwaltungsverlaufsdatenbank unter Verbinden mit die
entsprechende Authentifizierungsoption aus:
9
•
Wenn der Verwaltungsdienst das Dienstkonto verwenden soll, um sich mit der
Verwaltungsverlaufsdatenbank zu verbinden, klicken Sie auf Windows-Authentifizierung.
•
Soll sich der Verwaltungsdienst mithilfe einer SQL Server-Anmeldung mit der
Verwaltungsverlaufsdatenbank verbinden, klicken Sie auf SQL Server-Authentifizierung und
geben den Anmeldenamen und das Kennwort ein.
Klicken Sie auf Weiter und folgen Sie den Anweisungen des Assistenten, um die Konfiguration
abzuschließen.
Durchführen einer Pilot-Bereitstellung
In einer großen Unternehmensumgebung ist vor der Aktualisierung auf die neue Active Roles-Version
möglicherweise die Durchführung eines Pilotprojekts erforderlich. Bei einem Pilotprojekt stellen Sie
Komponenten der neuen Version in Ihrer Produktionsumgebung parallel zu der vorhandenen Installation der
Komponenten, die Sie aktualisieren möchten, bereit, werten dann die Ergebnisse aus und beheben mögliche
Probleme.
Dell Active Roles 7.0
Erste Schritte
41
Normalerweise wird ein Pilotprojekt mit einer kleinen Gruppe von Benutzern in der Produktionsumgebung
durchgeführt, die dann bestimmte Aufgaben mit Hilfe der neuen Active Roles-Version durchführen. Dies zeigt,
dass die neue Version wie erwartet funktioniert und dass sie den Anforderungen der Organisation entspricht.
Ein Pilotprojekt ist eine Bereitstellung der neuen Active Roles-Version für eine Untergruppe der
Benutzergruppe. Die Benutzer, die nicht am Pilotprojekt teilnehmen, führen ihre normale, alltägliche Arbeit mit
Hilfe der alte Active Roles-Version durch. Dies erfordert, dass die alte Version parallel zur Pilot-Bereitstellung in
der Produktionsumgebung ausgeführt wird.
Wenn das Pilotprojekt als erfolgreich und bereit für den Einsatz im Produktionsbetrieb eingestuft wird, können
Sie Ihre vorhandenen Produktionskomponenten auf die neue Version aktualisieren.
Die Bereitstellung eines Pilotprojekts umfasst die folgenden Schritte:
1
Bereitstellen des Pilot-Verwaltungsdienstes: Stellen Sie eine Instanz des Verwaltungsdienstes der
neuen Active Roles-Version bereit und aktualisieren Sie diese mit den Konfigurationsdaten aus der
Datenbank, die der Produktions-Verwaltungsdienst der älteren Active Roles-Version verwendet.
2
Bereitstellen der Pilot-Webschnittstelle: Stellen Sie eine Instanz der Webschnittstelle der neuen Active
Roles-Version bereit und legen Sie fest, dass diese neue Instanz den im vorherigen Schritt
bereitgestellten Verwaltungsdienst verwendet. Erstellen Sie außerdem die Webschnittstellensites auf
dieser Webschnittstelleninstanz, indem Sie die Konfigurationsdaten importieren, die Ihre ProduktionsWebschnittstellensites der älteren Active Roles-Version verwenden.
3
Installation der Konsole: Installieren Sie die Active Roles-Konsole der neuen Version.
Diese Schritte werden in den nachfolgenden Abschnitten beschrieben.
Bereitstellen des Pilot-Verwaltungsdienstes
Wenn Sie Ihre Pilot-Instanz des Verwaltungsdienstes bereitstellen, müssen Sie gewährleisten, dass sie über
dieselbe Konfiguration wie Ihre Produktionsinstanzen des Verwaltungsdienstes verfügt. Gehen Sie dazu wie folgt
vor:
1
Erstellen Sie eine Instanz des neuen Verwaltungsdienstes. Anweisungen dazu finden Sie unter Installieren
und Konfigurieren des Verwaltungsdienstes weiter oben.
Sie können den Verwaltungsdienst von Version 7.0 parallel zum Verwaltungsdienst von Version 6.7, 6.8
oder 6.9 auf demselben Computer installieren. Eine andere Möglichkeit besteht darin, den neuen
Verwaltungsdienst auf einem anderen Computer zu installieren.
2
Importieren Sie die Konfigurationsdaten aus der Datenbank, die Ihr Produktions-Verwaltungsdienst der
älteren Active Roles-Version verwendet, in den gerade erstellten, neuen Verwaltungsdienst.
Zum Importieren der Konfigurationsdaten verwenden Sie den Assistenten „Konfiguration importieren“
aus dem Configuration Center. Geben Sie auf der Seite Quelldatenbank im Assistenten „Konfiguration
importieren“ die Datenbank an, die Ihr Produktions-Verwaltungsdienst der älteren Active Roles-Version
verwendet. Detaillierte Anweisungen zum Import finden Sie unter Importieren von Konfigurationsdaten
weiter oben.
Optional können Sie zusätzlich zu den Konfigurationsdaten auch die Verwaltungsverlaufsdaten aus der
Datenbank Ihres Produktions-Verwaltungsdienstes importieren (siehe Importieren von Verwaltungsverlaufsdaten
weiter oben).
Wechsel zu einer neuen Betriebssystem- oder SQL ServerVersion
Bei einer Pilot-Bereitstellung möchten Sie die neue Verwaltungsdienstversion eventuell auf einem Server
installieren, auf dem eine neuere Version des Windows-Betriebssystems ausgeführt wird. Außerdem müssen Sie
die Datenbank des neuen Verwaltungsdienstes möglicherweise auf einer neueren Version von SQL Server hosten.
Sie können diese Anforderungen wie folgt erfüllen:
1
Installieren und konfigurieren Sie den neuen Verwaltungsdienst auf einem Computer, auf dem das
gewünschte Betriebssystem ausgeführt wird. Geben Sie bei der Erstkonfiguration die gewünschte SQL
Dell Active Roles 7.0
Erste Schritte
42
Server-Instanz an. Dies muss nicht die SQL Server-Instanz sein, die die Datenbank Ihres ProduktionsVerwaltungsdienstes der älteren Active Roles-Version hostet. Sie können eine beliebige SQL ServerVersion wählen, die die Systemanforderungen für die neue Active Roles-Version erfüllt.
2
Importieren Sie die Konfigurationsdaten und optional auch die Verwaltungsverlaufsdaten aus der
Datenbank, die Ihr Produktions-Verwaltungsdienst der älteren Active Roles-Version verwendet, in den
zuvor erstellten, neuen Verwaltungsdienst.
Bereitstellen der Pilot-Webschnittstelle
Nachdem Sie den Pilot-Verwaltungsdienst bereitgestellt und seine Konfiguration aktualisiert haben, können Sie
die Webschnittstelle für Ihr Pilotprojekt bereitstellen. Stellen Sie sicher, dass die Pilotinstanz der
Webschnittstelle die folgenden Bedingungen erfüllt:
•
Sie verwendet die Verwaltungsdienstinstanz, die Sie für Ihr Pilotprojekt bereitgestellt haben (siehe
Bereitstellen des Pilot-Verwaltungsdienstes weiter oben).
•
Sie enthält für jede Ihrer Produktions-Webschnittstellesites der älteren Active Roles-Version eine Site mit
denselben Anpassungen bei Menüs, Befehlen, Formularen und sonstigen Elementen, wie die
Produktionssite.
Sie können diese Anforderungen wie folgt erfüllen:
1
Ermitteln und notieren Sie für jede Ihrer Produktions-Webschnittstellesites der älteren Active RolesVersion den Namen des Konfigurationsobjekts, das die Site verwendet.
Sie können die vorhandenen Site-Konfigurationsobjekte ermitteln, indem Sie den WebschnittstellensiteKonfigurationsassistenten auf dem Computer verwenden, auf dem die Produktions-Webschnittstelle
ausgeführt wird. Detaillierte Anweisungen zum Import finden Sie unter Ermitteln von
Konfigurationsobjekten weiter oben.
2
Erstellen Sie eine Instanz der neuen Webschnittstelle und konfigurieren Sie diese für die Verwendung der
Verwaltungsdienstinstanz, die Sie für das Pilotprojekt bereitgestellt haben. Ausführlichere Informationen
finden Sie im Abschnitt Installieren und Konfigurieren der Webschnittstelle weiter oben in diesem
Dokument.
Sie können die Webschnittstelle von Version 7.0 parallel zur Webschnittstelle von Version 6.7, 6.8 oder
6.9 auf demselben Computer installieren. Eine andere Möglichkeit besteht darin, die neue
Webschnittstelle auf einem anderen Computer zu installieren.
3
Erstellen Sie auf der in Schritt 2 erstellten Webschnittstelleninstanz Webschnittstellensites und
importieren Sie dabei Site-Konfigurationsdaten aus den in Schritt 1 ermittelten Konfigurationsobjekten.
Anweisungen dazu finden Sie unter Erstellen von Sites auf der Grundlage alter Konfigurationsobjekte
weiter oben.
Löschen Sie optional die Standardsites, die beim Konfigurieren der Webschnittstelle in Schritt 2 erstellt wurden.
Die Standardsites verfügen nicht über vorhandene Siteanpassungen und weisen die Standardkonfiguration aus
Menüs, Befehlen, Formularen und sonstigen Elementen auf. Anweisungen zum Löschen der StandardWebschnittstellensites finden Sie unter Löschen von Standardsites weiter oben.
Installation der Active Roles-Konsole
Sie benötigen die Active Roles-Konsole von Version 7.0, wenn sich die Konsole mit dem Verwaltungsdienst von
Version 7.0 verbinden soll. Da die Konsole von Version 7.0 keine Verbindung zum Verwaltungsdienst älterer
Versionen herstellt, gewährleistet die Verwendung der aktuellsten Konsolenversion (Version 7.0) für Ihr
Pilotprojekt die automatische Verbindung zum Pilot-Verwaltungsdienst. Sie können die Active Roles-Konsole von
Version 7.0 parallel zur Active Roles-Konsole von Version 6.7, 6.8 oder 6.9 auf demselben Computer installieren.
Eine andere Möglichkeit besteht darin, sie auf einem anderen Computer zu installieren. Anweisungen zur
Installation finden Sie unter Verfahren zum Installieren der Konsole weiter oben.
Dell Active Roles 7.0
Erste Schritte
43
Überlegungen bezüglich der Bereitstellung
In diesem Abschnitt werden Probleme hinsichtlich der Bereitstellung des Active Roles-Verwaltungsdienstes
behandelt. Die Informationen für diesen Abschnitt stammen aus folgenden Quellen:
•
Feedback unserer aktuellen Kunden, die Bereitstellungen für Unternehmen mit mehreren Standorten
haben
•
Umfangreiche Tests von Active Roles in unseren Softwareentwicklungslaboren
•
Vergleiche und Tests von Active Roles-Mitbewerberlösungen
Es gibt keine technischen Voraussetzungen für die Installation mehrerer Verwaltungsdienste an einem Standort
oder an verschiedenen Standorten. Die Anzahl der an einem Standort installierten Verwaltungsdienste und die
Anzahl der Standorte mit Verwaltungsdiensten hängen von den Bedürfnissen und Anforderungen der jeweiligen
Organisation, der aktuellen Infrastruktur und Hardware und vom jeweiligen Workflow ab. Wenn das Hinzufügen
der Active Roles Konsole (MMC-Schnittstelle) zur Pilotbereitstellung geplant ist, brauchen Sie nur die neue
Version der Konsole auf einem entsprechenden Server zu installieren und die Verbindung zwischen der Konsole
und Ihrem Pilotverwaltungsdienst herzustellen. Bei der Bereitstellung müssen die Administratoren die folgenden
Punkte beachten:
•
Workflow
•
Hardwarevoraussetzungen
•
Anforderung an die Verfügbarkeit
•
Replikationsvolumen
Wenn eine Organisation die oben aufgeführten Informationen zusammengestellt und ausgewertet hat, ist sie in
der Lage, die Standorte und die Anzahl der zu installierenden Verwaltungsdienste zu ermitteln. Der letzte
Unterabschnitt stellt Netzplandiagramme zur Verfügung, die die potenziellen Active Roles Bereitstellungen
veranschaulichen.
Workflow
Dieser Faktor konzentriert sich auf die Active Directory (AD)-Datenverwaltungsprozesse und verfahren
einschließlich der Feststellung, wer diese Aufgaben durchführen wird und von wo aus diese Personen auf die
Verwaltungsdienste zugreifen werden. Im Allgemeinen werden diese Aufgaben auf verschiedene Gruppen
aufgeteilt. Diese Gruppen können Administratoren sowohl der oberen als auch der unteren Ebene, ein Help
Desk, Mitarbeiter der Personalabteilung und die Leiter von Arbeitsgruppen umfassen.
Nachfolgend sind einige Szenarien für die möglichen Workflows für AD Datenverwaltungsverfahren aufgeführt:
•
Die Workflows sind an einem Standort zentralisiert und werden von einer Gruppe ausgeführt
•
Die Workflows sind an einem Standort oder in einem LAN zentralisiert und werden von mehreren
Gruppen ausgeführt
•
Die Workflows sind auf mehrere Standorte verteilt, werden jedoch von einer Unternehmensgruppe
ausgeführt
•
Die Workflows sind auf mehrere Standorte verteilt und werden von verschiedenen, unabhängigen
Unternehmensgruppen ausgeführt
Die Organisationen sollten die Standorte, an denen die AD Datenverwaltung durchgeführt wird, sowie deren
Netzwerkverbindungen, die Anzahl der mit der Ausführung der Aufgaben betrauten Benutzer sowie die Art der
von diesen Benutzern ausgeführten Arbeiten schematisch darstellen. So wird das Personal des Help Desk
beispielsweise den Verwaltungsdienst häufiger nutzen als Mitarbeiter, die nur gelegentlich ihre persönlichen
Daten ändern.
Außerdem sollte die Anzahl der Benutzer an jedem Standort zum Diagramm hinzugefügt werden. Aktuelle
Kunden berichten, dass keine zusätzlichen Dienste zu installiert werden brauchten, um die Active RolesLeistung zu verbessern. Das Hinzufügen der Anzahl der Benutzer dient nicht zur Angabe der Arbeitslast oder der
Leistung des Verwaltungsdienstes. Die Anzahl der Benutzer soll den Organisationen helfen, ihren eigenen
Arbeitsaufwand zu beurteilen und zu verstehen, und wie Active Roles mit diesem Arbeitsaufwand in
Übereinstimmung gebracht werden kann.
Dell Active Roles 7.0
Erste Schritte
44
Hardwarevoraussetzungen
Nach der Berechnung der Ressourcennutzung eines Verwaltungsdiensts und der Zuweisung der Workflows der
Netzwerkstandorte verfügt eine Organisation über die notwendigen Informationen, um die Anschaffung
zusätzlicher Hardware bewerten zu können.
Es gibt keine technischen Voraussetzungen hinsichtlich der Installation des Verwaltungsdienstes auf bestimmter
Hardware. Die derzeitigen Kunden verwenden nicht nur zweckbestimmte Hardware. Sie nutzen eine
Kombination zweckbestimmter und gemeinsam mit anderen Anwendungen genutzter Hardware zum Hosten des
Verwaltungsdienstes. Ein aktueller Kunde verwaltet beispielsweise 2.000.000 AD-Objekte in einer globalen
Installation mit insgesamt fünf Verwaltungsdiensten, von denen zwei zweckbestimmt sind und die anderen drei
auch von anderen Anwendungen genutzt werden.
Anhand der aktuellen Infrastruktur einer Organisation, einschließlich vorhandener Server, Sites und
Verbindungen, kann festgelegt werden, wie viel zusätzliche Hardware erforderlich ist, um Active Roles zu
verwenden. Der Verwaltungsdienst kann auf jedem Server installiert werden. Organisation sollten jedoch die
beiden nachfolgend aufgeführten Richtlinien berücksichtigen:
•
Von der Installation des Verwaltungsdienstes auf einem Domänencontroller wird abgeraten.
•
Normalerweise installieren Organisationen den Verwaltungsdienst auf einem anderen Anwendungs-,
Datei- oder Druckserver.
Abhängig von Serviceniveau-Vereinbarungen oder Zielen sollte, wenn die vorhandenen Server bereits vollständig
ausgelastet oder gar überlastet sind, ein neuer Server angeschafft werden, und der Verwaltungsdienst und
zusätzliche Dienste sollten auf die neuen Ausrüstungen verlagert werden. Dies ermöglicht nicht nur die
Bereitstellung von Active Roles, sondern auch die Leistungsverbesserung der aktuell bereit gestellten Dienste.
Da Active Roles während der Migration zu Active Directory oft verwendet wird, Active Roles kann die
Bereitstellung in die Planung neuer Hardware und Serverzusammenführung eingeschlossen werden.
Der Bedarf nach Redundanz und Verfügbarkeit beeinflusst ebenfalls die Hardwarevoraussetzungen. Weitere
Details finden Sie im Unterabschnitt „Verfügbarkeit und Redundanz“.
Webschnittstelle: IIS Server erforderlich
Wenn eine Organisation plant, die Active Roles-Webschnittstelle zu verwenden, muss IIS auf dem Server, der die
Webschnittstelle ausführt, installiert werden.
Es empfiehlt sich, dass Organisationen die Active Roles-Webschnittstelle verwenden, weil sie mehr Flexibilität
als die MMC-Schnittstelle bietet. Die Benutzer können von nahezu überall im Netzwerk auf die Webschnittstelle
zugreifen. Es zeigt den Administratoren nur die Daten und Aufgaben an, die sie verwalten bzw. ausführen
können, weshalb die Bedienung der Webschnittstelle leicht zu erlernen ist und die Webschnittstelle äußerst
sicher ist.
Verfügbarkeit und Redundanz
Einer der Vorteile von Active Roles liegt darin, dass die Administratoren keine Berechtigungen für Active
Directory brauchen, um die Benutzerverwaltung und sonstige Aufgaben auszuführen. Dies zwingt die
Administratoren, Active Roles zu verwenden, und stellt eine sichere Verwaltung durch die Durchsetzung der
„Regeln und Rollen“ von Active Roles sicher. Die fehlenden AD Berechtigungen können jedoch ein Problem
darstellen, wenn der Verwaltungsdienst nicht verfügbar ist. Die Auswirkungen dieses potenziellen Problems
hängen von der jeweiligen Situation ab, aber das Problem kann bei Beachtung der folgenden Richtlinien
vermieden bzw. behoben werden.
Hauptstandorte
Für Hauptstandorte sollten zwei Richtlinien befolgt werden:
•
Unsere Kunden stellen normalerweise zwei Verwaltungsdienste für jeden wichtigen Standort bereit, wo
die AD-Datenverwaltung und die Benutzerverwaltung ausgeführt werden. Diese redundante Dienstlösung
Dell Active Roles 7.0
Erste Schritte
45
ist effektiv, wenn sowohl der primäre Verwaltungsdienst als auch alle Verbindungen zu anderen
Standorten ausfallen.
Organisationen sollten ihr Verwaltungssystem und ihre Erfahrung mit anderen Verwaltungsdiensten wie
etwa SMS nutzen, um den Bedarf für einen Verwaltungsdienst an einem Standort zu ermitteln.
•
Die meisten Kunden konzentrieren ihre Verwaltungsdienste nicht alle auf einen Standort. Wenn der
Zugriff auf einen Standort fehlschlägt, würden alle Verwaltungsdienste von AD angehalten. Stattdessen
installieren sie Verwaltungsdienste an zwei oder manchmal noch mehr Standorten.
In den meisten Szenarien werden selbst bei einem Ausfall des Servers, auf dem der Verwaltungsdienst
ausgeführt wird, die Verbindungen zu anderen Standorten aufrecht erhalten. Administratoren können
auf die Verwaltungsdienste an einem anderen Standort zugreifen und die AD-Replikation forcieren, um
die Änderungen so bald wie möglich auf dem lokalen Domänencontroller anzuzeigen.
Remotestandorte
Für Remotestandorte, an denen entweder gar keine oder nur geringfügige Verwaltungstätigkeiten ausgeführt
werden (z. B. Erstellen einiger weniger Benutzer, Aktualisieren von Mitarbeiterdaten oder Entsperren von
Konten), gibt es drei Konzepte. Es können ein oder mehrere Konzepte befolgt werden, und sie sollten das
mögliche Problem vermeiden, dass die Administratoren keine AD-Berechtigungen haben und dass ein
Verwaltungsdienst ausfällt. Die befolgten Konzepte hängen vom Workflow ab.
•
Wenn wenige AD-Verwaltungsaufgaben an einem Standort ausgeführt werden, dann können lokale
Administratoren auf einen Remoteverwaltungsdienst zugreifen. Administratoren an Remotestandorten
können auf einen Verwaltungsdienst an einem Hauptstandort zugreifen. Erforderlichenfalls können
native Windows-Verwaltungstools verwendet werden, um AD zur Replikation der Änderungen zu
forcieren, sodass diese so bald wie möglich auf dem lokalen Domänencontroller angezeigt werden.
•
Wenn lokale Administratoren an einem Standort normalerweise keinen Zugriff auf AD benötigen, dann
muss an diesem Standort kein Verwaltungsdienst installiert werden. Ein Administrator an einem
Hauptstandort kann die Änderungen für einen Benutzer an einem Remotestandort vornehmen. Bei Bedarf
kann eine forcierte Replikation verwendet werden, um die Änderungen schnell auf dem lokalen
Domänencontroller des Benutzers anzuzeigen.
HINWEIS: An Active Roles Benutzerschnittstellen kann der Administrator absichtlich den
Domänencontroller wählen, wo die Veränderungen angewandt werden können, wodurch
Verzögerungen bei der Datenreplikation verhindert werden.
•
Eine Organisation kann einem oder mehreren Administratoren an jedem Standort die
Zugangsberechtigung zu AD gewähren. Wenn ein Standort beispielsweise über fünf Administratoren
verfügt, so wird nur einem Administrator die Zugangsberechtigung zu AD erteilt. Diese Lösung ist für die
meisten Standorte mit Ausnahme von kleinen Standorten, die von Administratoren einer der untersten
Ebenen verwaltet werden, akzeptabel.
HINWEIS: Active Roles ermöglicht es den Administratoren, Berechtigungen von Active Roles in
Active Directory zu übertragen (zu synchronisieren), wodurch die AD-Berechtigungsverwaltung
vereinfacht wird.
Replikationsvolumen
Active Roles verwendet den Microsoft SQL Server, um die Konfigurationsdatenbank zu verwalten. Die
Replikationsfunktionen von SQL Server erleichtern die Implementierung von mehreren äquivalenten
Konfigurationsdatenbanken, die von verschiedenen Verwaltungsdiensten verwendet werden.
Der Replikationsdatenverkehr kann beurteilt werden, indem man berücksichtigt, was repliziert werden soll und
was nicht. Normalerweise werden Active Roles-Konfigurationsinformationen nur bei Änderungen repliziert. Das
bedeutet, dass das Replikationsvolumen gering ist, wenn die Administratoren nicht allzu häufig verwaltete
Einheiten, Zugriffsvorlagen und Richtlinien erstellen und Berechtigungen delegieren.
Dell Active Roles 7.0
Erste Schritte
46
Speicherorte und Anzahl der Dienste
Nach Berücksichtigung der wichtigsten Faktoren, die die Speicherorte und Anzahl der Verwaltungsdienste
beeinflussen könnten, sollten Unternehmen ein Netzplandiagramm erstellen, das das Design für die Active
Roles-Bereitstellung veranschaulicht.
Die folgenden Beispiele für High-Level-Netzplandiagramme veranschaulichen die potenziellen Active RolesBereitstellungen nach den weiter oben beschriebenen Richtlinien.
Zentral
Diese Diagramm zeigt ein zentrales Netzwerk und einen zentralen Workflow (die Abkürzung ARS bezieht sich auf
den Active Roles-Verwaltungsdienst).
Dezentrale Standorte
Zweckbestimmte
ARS/IIS
ARS
Dezentrale Standorte
ARS/IIS
ARS-Replikation
AD-Replikation
Dezentrale Standorte
In dieser zentralisierten Struktur erfolgt die gesamte AD Datenverwaltung vom Hauptgeschäftssitz aus durch
eine Gruppe von Netzwerkadministratoren und die Mitarbeiter des Help Desk. Der Hauptgeschäftssitz ist ein
großer Standort mit verschiedenen, untereinander gut angebundenen Standorten. Die meisten Mitarbeiter
arbeiten am Hauptgeschäftssitz. Große Remotestandorte verfügen über Netzwerkpersonal, das für Aufgaben
wie etwa die Einrichtung und Pflege von Hardware und Software verantwortlich ist. Kleinere Remotestandorte
verfügen über nicht technische Mitarbeiter. Die Netzwerkwartung für diese Standorte erfolgt durch IT-Personal,
das zu den Standorten reist, oder durch Vertragsunternehmen.
Die Anzahl der Verwaltungsdienste hängt von der Anzahl der verwalteten Objekte und von der Anzahl der
Administratoren ab. Im Diagramm gibt es einen dedizierten Active Roles-Verwaltungsdienst (Dedizierter ARS)
und zwei Verwaltungsdienste auf gemeinsam genutzter Hardware. Diese Anzahl sollte sowohl die Verfügbarkeit
als auch die Redundanz gewährleisten. Zu den anderen Diensten auf der gemeinsam genutzten Hardware gehört
unter anderem der Druck und sowie andere Anwendungen.
Nur wenige Administratoren verwenden die Active Roles-Konsole, während die meisten Administratoren und das
gesamte Help-Desk-Personal die Webschnittstelle verwenden.
Normalerweise werden nicht alle Verwaltungsdienste an einem Standort installiert, aber in diesem Fall hat
mindestens einer der beiden folgenden Unternehmensabläufe sowie technische Faktoren Vorrang vor dieser
Regel:
•
Die Remotestandorte verfügen nur über sehr wenig Personal und erfordern nur eine äußerst geringe AD
Datenverwaltung.
•
Es wurde festgelegt, dass bei einem Ausfall der Verbindung zum zentralen Standort die Priorität der
Organisation die Wiederherstellung der Verbindung und nicht die Verwaltung von AD ist.
Dell Active Roles 7.0
Erste Schritte
47
Verteilt ohne Remoteverwaltung
Diese Diagramm zeigt ein verteiltes Netzwerk und einen verteilten Workflow (die Abkürzung ARS bezieht sich
auf den Active Roles-Verwaltungsdienst).
Dezentrale Standorte
Zweckbestimmte
ARS/IIS
ARS/IIS
Dezentrale Standorte
Dezentrale Standorte
Zweckbestimmte
ARS/IIS
Dezentrale Standorte
Dezentrale Standorte
ARS/IIS
ARS-Replikation
AD-Replikation
Dezentrale Standorte
In diesem Szenario erfolgt die AD Datenverwaltung von Hauptstandorten aus durch eine Gruppe von
Netzwerkadministratoren und die Mitarbeiter des Help Desk. Diese Standorte können Campus oder einzelne
Standorte sein, die per LAN/WAN-Verbindungen miteinander vernetzt sind.
Große Remotestandorte verfügen über Netzwerkpersonal, das für Aufgaben wie etwa die Einrichtung und Pflege
von Hardware und Software verantwortlich ist. Kleinere Remotestandorte verfügen über nicht technische
Mitarbeiter. Die Netzwerkwartung für diese Standorte erfolgt durch IT-Personal, das zu den Standorten reist,
oder durch Vertragsunternehmen.
Die Anzahl der Verwaltungsdienste hängt auch in diesem Fall von der Anzahl der verwalteten Objekte und von
der Anzahl der Administratoren ab. Das Diagramm weist einen zweckbestimmten und einen gemeinsam mit
anderen Anwendungen genutzten Verwaltungsdienst je Standort aus. Diese Konfiguration gewährleistet sowohl
die Redundanz als auch die Verfügbarkeit an jedem Hauptstandort und im gesamten Netzwerk. Wenn ein
Verwaltungsdienst ausfällt, kann der andere Dienst am entsprechenden Standort genutzt werden. Wenn beide
Dienste an einem Standort ausfallen, kann die AD Datenverwaltung an einem anderen Standort ausgeführt
werden. Solange die Verbindungen funktionieren, können die Administratoren an dem Standort, an dem die
Dienste ausgefallen sind, auf die Verwaltungsdienste am funktionierenden Standort zugreifen.
An beiden Standorten verwenden nur wenige Administratoren die Active Roles-Konsole, während die meisten
Administratoren und das gesamte Help-Desk-Personal die Webschnittstelle verwenden.
Dell Active Roles 7.0
Erste Schritte
48
Verteilt mit Remoteverwaltung
Dieses Diagramm zeigt ein stark verteiltes Netzwerk und einen stark verteilten Workflow (die Abkürzung ARS
bezieht sich auf Active Roles-Verwaltungsdienst).
Dezentrale Standorte
Zweckbestimmte
ARS/IIS
ARS/IIS
ARS/IIS
Dezentrale Standorte
Zweckbestimmte
ARS/IIS
Dezentrale Standorte
Dezentrale Standorte
ARS/IIS
ARS-Replikation
AD-Replikation
Dezentrale Standorte
In diesem Szenario wird die AD Datenverwaltung an allen Standorten durchgeführt. Diese Standorte können
Campus oder einzelne Standorte sein, die per LAN/WAN-Verbindungen miteinander vernetzt sind. Die Arbeit
wird von einer Gruppe von Netzwerkadministratoren und den Mitarbeitern des Help Desk ausgeführt. Die Leiter
von Arbeitsgruppen führen Arbeiten auf unterster Ebene wie etwa den Zugriff auf bestimmte Dateiverzeichnisse
und Verteilerlisten durch.
Die Anzahl der Verwaltungsdienste hängt von der Anzahl der verwalteten Objekte, von der Anzahl der
Administratoren und von der Anzahl der Standorte ab. Das Diagramm weist einen zweckbestimmten und einen
gemeinsam mit anderen Anwendungen genutzten Verwaltungsdienst an den Hauptstandorten aus. Diese
Konfiguration gewährleistet sowohl die Redundanz als auch die Verfügbarkeit an jedem Hauptstandort und im
gesamten Netzwerk. Wenn ein Verwaltungsdienst ausfällt, kann der andere Server am entsprechenden Standort
genutzt werden. Wenn beide Verwaltungsdienste an einem Standort ausfallen, kann die AD Datenverwaltung an
einem anderen Standort ausgeführt werden. Solange die Verbindungen funktionieren, können die
Administratoren an dem Standort, an dem die Dienste ausgefallen sind, auf die Verwaltungsdienste am
funktionierenden Standort zugreifen.
An einem dritten, mittelgroßen Standort ist der Verwaltungsdienst auf einer gemeinsam mit anderen
Anwendungen genutzten Hardware installiert. Die Administratoren an diesem Standort verwenden eine
Webschnittstelle, sodass die Hardware auch IIS hostet. Ein Verwaltungsdienst wurde an diesem Standort
installiert, weil er über eine beträchtliche Anzahl von Benutzern verfügt, die AD Verwaltungstätigkeiten und
den Help Desk-Support leisten. Die Bereitstellung eines Verwaltungsdiensts an diesem Standort verteilt die Last
auf die Dienste, während sie gleichzeitig die Redundanz und Verfügbarkeit verbessert. Wenn dieser Standort und
das Netzwerk wachsen, kann sich die Notwendigkeit zur Errichtung von Verbindungen und einer Replikation
zwischen den drei größten Standorten ergeben.
Die Administratoren an den kleinsten Standorten greifen über die Webschnittstelle auf die Verwaltungsdienste
an den Hauptstandorten zu. Der Grund hierfür ist die Anzahl der Benutzer und Administratoren sowie deren
Arbeitslast.
An beiden großen Standorten verwenden nur wenige Administratoren die Active Roles-Konsole, während die
meisten Administratoren und das gesamte Help-Desk-Personal die Webschnittstelle verwenden.
Dell Active Roles 7.0
Erste Schritte
49
Physischer Entwurf
In diesem Abschnitt werden zwei typische Installationskonfigurationen für Active Rolesbeschrieben. Bei beiden
Installationen ist die Architektur so ausgelegt, dass die Effektivität der Active Roles Software danach optimiert
ist, wie das Netzwerk konfiguriert ist und wie die administrativen Aufgaben zugeteilt werden.
Mehrere Softwarekomponenten müssen bei der Bereitstellung von Active Roles in Betracht gezogen werden:
•
AR-Dienst: Der Active Roles-Verwaltungsdienst (AR-Dienst) kommuniziert direkt mit einem Active
Directory-Domänencontroller (DC) und ist für die Ausführung aller Änderungen in Active Directory
verantwortlich. Der DC, mit dem der AR-Dienst kommuniziert, wird automatisch ausgewählt und kann
vom Active Roles-Benutzer geändert werden. Der AR-Dienst ist außerdem für die Ausführung von
Zugriffsüberprüfungen verantwortlich, um zu verhindern, dass nicht autorisierte Benutzer Verbindungen
zu den Active Roles-Schnittstellen herstellen, und um sicherzustellen, dass autorisierte Benutzer die
Aufgaben gemäß ihrer Rolle und der festgelegten Regeln ausführen.
•
Konsole: Die Active Roles-Konsole stellt eine MMC-basierte Schnittstelle bereit, um Active Roles zu
konfigurieren und die Verwaltung von Active Directory auszuführen. Die Konsole stellt lediglich die
Verbindung zum AR-Dienst her und ist nicht in der Lage, Änderungen direkt in Active Directory
vorzunehmen.
•
Webschnittstelle: Mit Active Roles werden drei sofort verwendbare Webschnittstellen geliefert: die
Webschnittstelle für Administratoren, die Webschnittstelle für Help Desk und die Webschnittstelle für
die Selbstverwaltung. Beim Setup der Webschnittstellen muss der Administrator entscheiden, ob die
Webschnittstelle mit einem bestimmten AR-Dienst verbunden sein soll oder ob der AR-Dienst dynamisch
ausgewählt werden kann. Alle Webschnittstellen werden lediglich mit dem AR-Dienst verbunden und sind
nicht in der Lage, Änderungen direkt in Active Directory vorzunehmen.
Die Entscheidung, wo die Server, die die Active Roles-Softwarekomponenten ausführen platziert werden sollen,
muss die Stärken des vorhandenen Netzwerks und der entsprechenden IT-Dienststruktur nutzen.
Bereitstellung für Fehlertoleranz und Lastenausgleich
Auf die gleiche Weise, wie Active Directory bei Verwendung eines einzelnen Domänencontrollers keine
Fehlertoleranz hat, hat auch Active Roles keine Fehlertoleranz, wenn ein einzelner Server bereitgestellt wird,
auf dem der AR-Dienst ausgeführt wird. Es ist entscheidend, dass mindestens zwei Server bereitgestellt werden,
auf denen der AR-Dienst ausgeführt wird, um über eine Active Roles-Umgebung mit Fehlertoleranz zu verfügen.
Nichtsdestoweniger funktioniert auch im ungünstigsten Fall, dass alle AR-Dienstinstanzen ausfallen, Active
Directory normal weiter. Das einzige Ergebnis eines kompletten Ausfall ist, dass die tägliche Verwaltung oder
Help-Desk-Funktionen vielleicht unterbrochen werden, bis ein Server, auf dem der AR-Dienst ausgeführt wird,
wieder online ist.
Ein zusätzlicher Vorteil der Bereitstellung mehrerer AR-Dienstinstanzen besteht darin, dass sowohl die Konsole
als auch die Webschnittstellen zu einem neuen AR-Dienst wechseln, wenn der erste nicht reagiert. Die
Benutzung ist etwas anders, je nachdem, welche Schnittstelle gerade benutzt wird, wenn der AR-Dienst
ausfällt. Innerhalb der Konsole sieht der Benutzer, dass der AR-Dienst ausgefallen ist, und braucht nur den
Befehl Verbinden ausführen, um automatisch mit dem nächsten verfügbaren AR-Dienst verbunden zu werden.
Die Benutzer der Webschnittstelle haben einen nahtloseren Übergang, wenn die Webschnittstelle automatisch
zum nächsten AR-Dienst wechselt. Zu beachten ist, dass der automatische Failover nur dann funktioniert, wenn
beim Webschnittstellen-Setup die Möglichkeit gewählt wurde, jeden beliebigen verfügbaren Verwaltungsdienst
zu benutzen.
Es ist möglich, die Webschnittstellen- und AR-Dienstkomponenten aus Sicherheitsgründen oder aus
geschäftlichen Gründen auf separaten Servern bereitzustellen. Wenn die Webschnittstelle und der AR-Dienst auf
separaten Servern bereitgestellt werden, wird jedoch normalerweise die Standardauthentifizierung verwendet,
um die Webschnittstellenbenutzer zu authentifizieren, wobei die Anmeldeinformationen der Benutzer
unverschlüsselt über das Netzwerk übermittelt werden. In diesem Fall empfehlen wir dringend, dass ein
sicherer Kanal (SSL) auf dem Server, der die Webschnittstelle ausführt, konfiguriert wird, um den Datenverkehr
zwischen dem Server und dem Webbrowser zu verschlüsseln. Es ist jedoch am besten, die AR-Dienst- und
Webschnittstellen-Komponenten auf demselben Server zu belassen, um eine integrierte Authentifizierung und
eine bessere Leistung zu erzielen.
Dell Active Roles 7.0
Erste Schritte
50
Zentrale Bereitstellung
Die erste Installationskonfiguration ist bekannt als Zentrales Modell. Bei diesem Modell wird die Verwaltung von
einem einzelnen größeren Standort kontrolliert. Beim zentralen Modell platziert die Bereitstellung die Server an
einem einzigen physischen Standort. Dadurch können sich alle AR-Dienstinstanzen eine einzige Konfigurationsund Verwaltungsverlaufsdatenbank teilen oder ihre Konfigurationsänderungen an einem Partner replizieren,
sofern eine Fehlertoleranzkonfiguration verfügbar ist. Während eine zentrale Bereitstellung kleinere physische
Standorte oder Filialen beinhalten kann, wird die Verwaltung normalerweise vermutlich nicht an diesen
Standorten ausgeführt.
AR-Instanz Nr. 1
NORDAMERIKA
AR-Dienst
IIS
AR-Instanz Nr. 2
AMER DC
AR-Dienst
IIS
EMEA DC
AR-Instanz Nr. 3
SQL Server
Konfigurationsdatenbank
Verwaltungsverlaufsdatenbank
APAC DC
AR-Dienst
IIS
EMEA
APAC
EMEA DC
Webschnittstellenclient
APAC DC
Webschnittstellenclient
Dieses Diagramm zeigt eine zentrale Bereitstellung von Active Roles mit den folgenden Merkmalen:
•
Alle Active Roles (AR)-Instanzen befinden sich an einem einzigen Standort. Jede Instanz wird von einem
Server gehostet, der den AR-Dienst zusammen mit einem Webserver (IIS) ausführt, der seinerseits
Webschnittstellen ausführt.
•
Alle Active Roles-Instanzen teilen sich die gleiche Datenbank für die Speicherung der Konfigurations- und
Verwaltungsverlaufsdaten (Konfigurations-DB und Verwaltungsverlauf-DB).
•
Die Filialen EMEA und APAC verwenden die Webschnittstelle, um administrative, Help-Desk- oder SelfService-Aufgaben auszuführen.
DC-Schwerpunkt
Normalerweise wählt der Active Roles-Verwaltungsdienst (AR-Dienst) den Active Directory-Domänencontroller
(DC), mit dem er kommuniziert, selbst; standardmäßig ist dies der am nächsten gelegene DC. Bei dem Modell
mit zentraler Bereitstellung bedeutet dies, dass der AR-Dienst den am gleichen Standort wie die entsprechende
AR-Instanz gefundenen DC auswählt, damit selbst die Lokale Änderungen-Anrufe (aus dem EMEA- oder APACStandort) regional für den sich in Nordamerika (und nicht lokal) befindenden DC ausgeführt werden, wobei
durch die Active-Directory-Replikationsverzögerung eine zusätzliche Verlangsamung entsteht.
Das bevorzugte Verhalten wäre Folgendes:
•
Regional werden Lokale Änderungen-Anrufe für lokal verfügbare DC ausgeführt.
•
Websiteübergreifende Änderungen-Anrufe werden für am Zielstandort verfügbare DC ausgeführt.
Die entsprechende DC-Wahl würde sicherstellen, dass die Änderungen ohne durch die Active DirectoryReplikation bedingte Verlangsamung am Zielstandort erscheinen. Die Active Roles-Benutzer können einen
Dell Active Roles 7.0
Erste Schritte
51
entsprechenden DC mit Hilfe des Befehls Aktuellen DC wechseln im Menü für das Domänenobjekt in der Active
Roles-Konsole oder an der Webschnittstelle wählen. Wenn der aktuelle DC vom Benutzer explizit angegeben
wird, übermittelt der AR-Dienst die Änderungsanforderungen an diesen DC statt an den am nächsten gelegenen
DC.
Verteilte Bereitstellung
Die zweite Installationskonfiguration ist das Verteilte Modell, bei dem die Server durch die Analyse der Art und
Weise, wie das Netzwerk konfiguriert ist und wie administrative Aufgaben zugewiesen und ausgeführt werden,
bereit gestellt werden.
In einer verteilten Umgebung gibt es drei Hauptkriterien zur Festlegung der Platzierung von Active Roles:
1
Wo soll die Verwaltung ausgeführt werden?
2
Wie sind die Domänencontroller platziert?
3
Welches ist die Schnittstelle der Wahl für die Administratoren?
Wenn sich die Administratoren und die Domänencontroller am gleichen physischen Standort befinden, muss sich
auch der AR-Dienst an diesem Standort befinden. In diesem Fall können weder die Konsole noch die
Webschnittstelle von den Administratoren verwendet werden. Jedoch ist es, wenn die Webschnittstelle die
Hauptschnittstelle der Wahl ist, wichtig sicherzustellen, dass der AR-Dienst der Webschnittstelle mit Punkten zu
einem Domänencontroller am gleichen Standort verbunden ist, so dass die Änderungen nicht über einen WANAnschluss weitergegeben werden.
Wenn sich die Administratoren an einem Standort und die Domänencontroller an einem anderen Standort
befinden, wäre der entscheidende Faktor die WAN-Zuverlässigkeit.
Es ist wichtig zu verstehen, dass der AR-Dienst sämtliche Änderungen an einem Domänencontroller, dem er
zugeordnet wurde, schreibt. Der entscheidende Punkt hier ist, dass Active Roles-Clientanwendungen nie eine
direkte Schnittstelle mit einem Domänencontroller haben. Folglich ist es wichtiger, dass sich der AR-Dienst in
der Nähe des ihm zugeordneten Domänencontrollers befindet, als dass die Clientanwendung im Verhältnis zum
Domänencontroller bereit gestellt wird.
Jedoch ist es sowohl an der Konsole als auch an den Webschnittstellen möglich, einen spezifischen
Domänencontroller zu wählen, für welchen der AR-Dienst die Änderungen schreibt.
Dell Active Roles 7.0
Erste Schritte
52
NORDAMERIKA – NYC-Standort
AR-Instanz Nr. 2
AR-Instanz Nr. 1
Failover/Lastenausgleich
ARS. AMER.company, com
IIS
AR-Dienst
SQL Server - Herausgeber
Konfigurationsdatenbank
Verwaltungsverlaufsdatenbank
AR-Dienst
EMEA DC
APAC DC
IIS
SQL Server - Abonnent
Konfigurationsdatenbank
Verwaltungsverlaufsdatenbank
Webschnittstellenclients
AMER DC
SQL-Datenbankreplikation
SQL-Datenbankreplikation
EMEA – LONDON-Standort
AR-Instanz Nr. 3
AR-Instanz Nr. 4
Failover/Lastenausgleich
ARS. EMEA.company, com
IIS
AR-Dienst
SQL Server - Abonnent
Konfigurationsdatenbank
Verwaltungsverlaufsdatenbank
AR-Dienst
EMEA DC
APAC DC
IIS
SQL Server - Abonnent
Konfigurationsdatenbank
Verwaltungsverlaufsdatenbank
Webschnittstellenclients
AMER DC
SQL-Datenbankreplikation
SQL-Datenbankreplikation
APAC – HONGKONG-Standort
AR-Instanz Nr. 5
AR-Instanz Nr. 6
Failover/Lastenausgleich
ARS. APAC.company, com
IIS
AR-Dienst
SQL Server - Abonnent
Konfigurationsdatenbank
Verwaltungsverlaufsdatenbank
AR-Dienst
EMEA DC
APAC DC
IIS
SQL Server - Abonnent
Konfigurationsdatenbank
Verwaltungsverlaufsdatenbank
Webschnittstellenclients
AMER DC
Dieses Diagramm zeigt eine verteilte Bereitstellung von Active Roles mit den folgenden Merkmalen:
•
Jeder der drei Standorte hat zwei Active Roles (AR)-Instanzen, die zum Zweck der Fehlertoleranz und
des Lastenausgleiches bereit gestellt werden.
•
Jede Active Roles-Instanz wird von einem Server gehostet, der den AR-Dienst zusammen mit einem
Webserver (IIS) ausführt, der die Webschnittstelle ausführt.
•
Alle Active Roles-Instanzen haben eine separate Datenbank für die Speicherung der Konfigurations- und
Verwaltungsverlaufsdaten (Konfigurations-DB und Verwaltungsverlauf-DB).
•
Die Datenbanken werden mit Hilfe der SQL Server-Replikationsfunktion synchronisiert. Einer der
Datenbankserver spielt die Herausgeberrolle, während es sich bei den anderen um Abonnenten dieser
Veröffentlichungen handelt (in Bezug auf die SQL Server-Replikation).
•
Die Verwaltung erfolgt mit Hilfe der Webschnittstelle immer für eine Site, indem WebschnittstellenClients (Webbrowser) mit einer der beiden innerhalb der Site bereit stehenden AR-Instanzen verbunden
wird.
Insgesamt werden sechs Active Roles Instanzen innerhalb des weltweiten Unternehmens bereit gestellt, davon
zwei in jeder der drei Hauptregionen—Nordamerika, EMEA (Europa, Naher Osten und Afrika) und APAC (Asien
und Pazifikraum). Dieses Bereitstellungsmodell mit einer Site ist eine effiziente Möglichkeit, von Active Roles
veranlasste Active Directory-Datenänderungen wirksam zu machen, indem die Wartezeit für die
websiteübergreifende Active Directory-Replikation verringert wird.
Alle Active Roles Instanzen stellen den gleichen Workflow für die Active Directory-Zugriffsdelegierung bereit
und können wie ein einzelner Delegierungsmechanismus gehandhabt werden. Die Freigabe der gleichen
Konfigurationseinstellungen zur gemeinsamen Nutzung durch die einzelnen Instanzen erfolgt mit Hilfe der SQLReplikation.
Jede Region hat zwei Active Roles -Instanzen für Failover- und Lastenausgleichszwecke. Zu Failover-Zwecken ist
jede Instanz hardware- und softwareunabhängig mit einem eigenen AR-Dienst, Webschnittstellen (IIS) und SQL
Dell Active Roles 7.0
Erste Schritte
53
Server. Diese Bereitstellung ist bezüglich Hardwareerweiterungen flexibel: Eine neue Hardware kann in das
Projekt zwecks Lastenausgleich oder Fehlersuche hinzugefügt werden, ohne dass die Bereitstellung geändert zu
werden braucht.
DC-Schwerpunkt
Der AR-Dienst wählt normalerweise den am nächsten gelegenen Active Directory-Domänencontroller (DC), um
mit ihm zu kommunizieren. Deshalb kommuniziert die an einem bestimmten Standort befindliche AR-Instanz
normalerweise mit einem DC, der am gleichen Standort ausfindig gemacht wird. Das bedeutet:
•
Die AR-Instanz wendet normalerweise die Active-Directory-Datenänderungen auf einen am lokalen
Standort ausfindig gemachten DC an. Dieser DC wird Aktueller DC genannt.
•
Die AR-Instanz ruft die Datenänderungen, die in Active Directory erfolgen, normalerweise von dem am
lokalen Standort ausfindig gemachten DC aus ab. Dieser DC wird DirSync-DC genannt.
Standardmäßig wählt der AR-Dienst den gleichen Domänencontroller für die Rolle des aktuellen DC und des
DirSync-DC.
NORDAMERIKA – NYC-Standort
AR-Instanz Nr. 1
AR-Instanz Nr. 2
Failover/Lastenausgleich
ARS. AMER.company, com
IIS
AR-Dienst
AR-Dienst
AMER
DirSync-DC
IIS
AMER Aktueller DC
EMEA – LONDON-Standort
AR-Instanz Nr. 3
AR-Instanz Nr. 4
Failover/Lastenausgleich
ARS. EMEA.company, com
IIS
AR-Dienst
AR-Dienst
EMEA
DirSync-DC
IIS
EMEA Aktueller DC
APAC – HONGKONG-Standort
AR-Instanz Nr. 6
AR-Instanz Nr. 5
Failover/Lastenausgleich
ARS. APAC.company, com
IIS
AR-Dienst
AR-Dienst
APAC
DirSync-DC
IIS
APAC Aktueller DC
Der AR-Dienst hört den DirSync-DC nach Änderungen im Zusammenhang mit Active Roles dynamischen
Konfigurationsobjekten wie Dynamische Gruppen und Verwaltete Einheiten ab. Jeder Vorgang, der den Abruf
oder die Änderung der Active-Directory-Daten beinhaltet und der von den Active Roles-Clientschnittstellen oder
der internen Logik des AR-Dienstes angefordert wird, wird für diesen DC ausgeführt. Der Benutzer kann mit
Hilfe des Aktuellen DC wechseln-Befehls in der Active Roles-Konsole oder an der Webschnittstelle einen
anderen DC für die Client-Vorgänge angeben.
Alle 10 Minuten validiert der AR-Dienst die Verfügbarkeit des gewählten DirSync-DC. Wenn der AR-Dienst
feststellt, dass der DC nicht verfügbar ist, wählt er einen anderen DC. Bis der AR-Dienst einen anderen DC
wählt, erhält jeder Benutzer von Active Roles, der den aktuellen DC nicht explizit angibt, eine Fehlermeldung,
wenn er versucht, einen Vorgang mit Active Directory auszuführen.
Wenn Sie nur einen DC am gleichen Standort für den AR-Dienst haben und wenn dieser DC auf irgendeinem
Grund nicht mehr zur Verfügung steht (z. B. nach einem Neustart), dann wählt der AR-Dienst einen DC an einem
Dell Active Roles 7.0
Erste Schritte
54
andern Standort. Nachdem der DC auf seiner Homepage verfügbar geworden ist, wechselt der AR-Dienst wieder
zum DC auf seiner Homepage.
Wenn Sie mehrere DCs am gleichen Standort für den AR-Dienst haben, dann wird nicht alle 10 Minuten von
einem DC zum anderen gewechselt. Wenn als am nächsten gelegener DC ein DC identifiziert wird, der nicht dem
aktuellen DC entspricht, dann wechselt der AR-Dienst nur dann zum neuen DC, wenn sich dieser auf seiner
Homepage befindet und der aktuelle DC an einem anderen Standort ausfindig gemacht wird, so dass der ARDienst nie zwischen 2 verfügbaren DCs am gleichen Standort hin- und herwechselt.
Standardmäßig wählt der AR-Dienst einen beliebigen, so nahe wie möglich gelegenen DC für eine verwaltete
Domäne. Dieses Verhalten kann pro Dienst oder pro Domäne konfiguriert werden. Um dieses Verhalten zu
konfigurieren, verwenden Sie die Registerkarte DirSync-Server auf dem Eigenschaftenblatt für ein verwaltetes
Domänenobjekt im Ordner Konfiguration/Serverkonfiguration/Verwaltete Domäne auf dem Eigenschaftenblatt
für ein Verwaltungsdienstobjekt im Ordner Konfiguration/Serverkonfiguration/Verwaltungsdienste in der
Active Roles-Konsole). Wenn Sie die Option Nur der angegebene Domänencontroller wählen und der
angegebene DC nicht verfügbar ist, dann wechselt der AR-Dienst nicht zu einem anderen DC und ist die Domäne
für die Verwaltung nicht verfügbar. Weitere Informationen finden Sie in der Active Roles-Hilfe: Klicken Sie auf
der Registerkarte DirSync-Server auf Help oder drücken Sie F1 im Dialogfeld DirSync-Serverauswahl, das
angezeigt wird, wenn Sie auf der Registerkarte DirSync-Server auf Ändern klicken.
SQL-Datenbank
Insgesamt sechs SQL Server-Instanzen werden im weltweiten Unternehmen bereit gestellt, um die Active RolesDatenbank zu hosten, wobei sich zwei Instanzen in einer der drei Hauptregionen—Nordamerika, EMEA und
APAC—befinden. Jede AR-Instanz hat eine separate SQL-Datenbank. Die Datenbanken werden mit Hilfe der SQL
Server-Replikationsfunktion synchronisiert. Einer der Datenbankserver spielt die Herausgeberrolle, während die
anderen Abonnenten für diese Veröffentlichung sind.
NORDAMERIKA
AR-Instanz Nr. 1
AR-Instanz Nr. 2
Failover/Lastenausgleich
ARS. AMER.company, com
IIS
AR-Dienst
AR-Dienst
SQL Server - Herausgeber
Konfigurationsdatenbank
Verwaltungsverlaufsdatenbank
IIS
SQL Server - Abonnent
Konfigurationsdatenbank
Verwaltungsverlaufsdatenbank
SQL-Datenbankreplikation
SQL-Datenbankreplikation
EMEA
AR-Instanz Nr. 3
AR-Instanz Nr. 4
Failover/Lastenausgleich
ARS. EMEA.company, com
IIS
AR-Dienst
AR-Dienst
SQL Server - Abonnent
Konfigurationsdatenbank
Verwaltungsverlaufsdatenbank
SQL-Datenbankreplikation
IIS
SQL Server - Abonnent
Konfigurationsdatenbank
Verwaltungsverlaufsdatenbank
SQL-Datenbankreplikation
APAC
AR-Instanz Nr. 5
AR-Instanz Nr. 6
Failover/Lastenausgleich
ARS. APAC.company, com
IIS
AR-Dienst
SQL Server - Abonnent
Konfigurationsdatenbank
Verwaltungsverlaufsdatenbank
AR-Dienst
IIS
SQL Server - Abonnent
Konfigurationsdatenbank
Verwaltungsverlaufsdatenbank
Dell Active Roles 7.0
Erste Schritte
55
Active Roles verwendet normalerweise die gleiche Datenbank, um die Konfigurations- und die
Verwaltungsverlaufsdaten zu speichern. Die Konfigurationsdaten sind auf die mit der Delegierung und dem
Workflow zusammenhängenden Objekten anwendbar, z. B. Zugriffsvorlagen, Richtlinienobjekte oder verwaltete
Einheiten. Die mit Hilfe von Active Roles erstellten Attributen werden auch als Teil der Konfigurationsdaten
gespeichert. Die Verwaltungsverlaufsdaten enthalten den Verlauf der Änderungen, die an den DirectoryObjekten mit Hilfe von Active Roles vorgenommen wurden. Außerdem werden die Aufgaben Genehmigung,
Temporäre Gruppenzugehörigkeit und Deprovisionierung als Bestandteil der Verwaltungsverlaufsdaten
gespeichert. Angesichts des großen Volumens der Verwaltungsverlaufsdaten empfiehlt es sich, eine
Verwaltungsverlaufsdatenbank zu erstellen (siehe „Zentraler Verwaltungsverlaufsdatenspeicher“ im Active
Roles-Administratorhandbuch).
Active Roles verwendet die SQL Server-Mergereplikation, um die Konfigurations- und Verwaltungsverlaufsdaten
zwischen den Datenbanken zu synchronisieren. Eine der Datenbanken ist in der SQL Server-Instanz konfiguriert,
die die Herausgeberrolle spielt; die restlichen Datenbanken sind als Halter der Abonnentenrolle konfiguriert.
Die Anweisungen zur Replikationskonfiguration erhalten Sie im Active Roles-Administratorhandbuch (siehe
Abschnitt „Replikation konfigurieren“). Anweisungen zur Replikation der Verwaltungsverlaufsdaten finden Sie
unter „Replikation von Verwaltungsverlaufsdaten“ im Active Roles-Administratorhandbuch. Um die Replikation
erfolgreich zu konfigurieren, müssen Sie sicherstellen, dass all Ihre SQL Server-Instanzen die gleiche Version von
SQL Server ausführen. Wenn ein SQL Server-Servicepack in einer der Instanzen installiert ist, muss der gleiche
Servicepack in allen Instanzen installiert sein.
Webschnittstelle
Jede der sechs AR-Instanzen hat eine separate Webschnittstelleninstallation, wobei die AR-Dienst- und die
Webschnittstellen-Komponenten gemeinsam auf dem gleichen Server ausgeführt werden. Ein Design, bei dem
der AR-Dienst und die Webschnittstelle auf einem einzigen Server installiert sind, nutzt die integrierte
Authentifizierung, die es den Domänennutzern ermöglicht, auf die Webschnittstelle zuzugreifen, ohne nach
ihrem Benutzernamen und Kennwort gefragt zu werden.
NORDAMERIKA – NYC-Standort
AR-Instanz Nr. 1
AR-Instanz Nr. 2
Weblastenausgleich
ARS. AMER.company, com
IIS/AR-Webschnittstelle
Site für Administratoren
Site für das Help Desk
Site für Self-Service
IIS/AR-Webschnittstelle
Site für Administratoren
Site für das Help Desk
Site für Self-Service
Webschnittstellenclients
EMEA – LONDON-Standort
AR-Instanz Nr. 4
AR-Instanz Nr. 3
Weblastenausgleich
ARS. EMEA.company, com
IIS/AR-Webschnittstelle
Site für Administratoren
Site für das Help Desk
Site für Self-Service
IIS/AR-Webschnittstelle
Site für Administratoren
Site für das Help Desk
Site für Self-Service
Webschnittstellenclients
APAC – HONGKONG-Standort
AR-Instanz Nr. 6
AR-Instanz Nr. 5
Weblastenausgleich
ARS. APAC.company, com
IIS/AR-Webschnittstelle
Site für Administratoren
Site für das Help Desk
Site für Self-Service
IIS/AR-Webschnittstelle
Site für Administratoren
Site für das Help Desk
Site für Self-Service
Webschnittstellenclients
Insgesamt sechs Webschnittstelleninstanzen werden innerhalb des weltweiten Unternehmens bereit gestellt,
wobei zwei Instanzen in jeder der drei Hauptregionen installiert sind. In jeder Region stellen zwei
Dell Active Roles 7.0
Erste Schritte
56
Webschnittstelleninstanzen Lastenausgleichs- und Failover-Funktionen bereit. Ursprünglich hat jeder AR-Dienst
eine dedizierte Webschnittstelleninstanz; später wird es möglich sein, eine andere Webschnittstelleninstanz für
den gleichen AR-Dienst einzubringen, wenn die Leistung optimiert werden soll.
Jede Webschnittstelleninstanz enthält mehrere Websites. Die Websitekonfiguration wird zwischen den
einzelnen Webschnittstelleninstanzen mit Hilfe der SQL-Datenbank-Replikation synchronisiert (die WebsiteKonfigurationseinstellungen werden als Bestandteil der Active Roles-Konfigurationsdaten gespeichert). Auf diese
Weise können Sie eine Website nach einer einzigen Webschnittstelleninstanz anpassen und sichergehen, dass die
Replikationsfunktion die Anpassungsänderungen in allen Webschnittstelleninstanzen zur Anwendung bringt.
Die Webschnittstelle stellt aussagekräftige „Out of the Box“-Änderungsfunktionen zur Verfügung, damit die
Webschnittstellen-Sites ganz einfach so konfiguriert werden können, dass sie dem Endnutzer bestimmte Felder
oder Attribute, einschließlich benutzerdefinierte (erweiterte) Schemaattribute, zeigen oder nicht zeigen. Es ist
auch möglich, Befehle hinzuzufügen oder zu entfernen, neue Formulare zu erstellen oder bereits vorhandene
Seiten anzupassen, indem Formulare (Registerkarten) und Formularfelder (Einträge) hinzugefügt werden.
Die Webschnittstelle enthält drei vordefinierte Websitevorlagen:
•
Standard-Site für Administratoren
•
Standard-Site für das Help Desk
•
Standard-Site für die Selbstverwaltung
Sie können diese Vorlagen verwenden, um neue Webschnittstellen-Sites zu erstellen und jede der neuen Sites
nach Bedarf anzupassen. Auf diese Weise können Sie mehrere Help-Desk-Sites zur Verfügung stellen, von denen
jede einzeln benutzerdefiniert ist. Um neue Webschnittstellen-Sites und Site-Konfigurationen zu erstellen,
stellt Active Roles den Webschnittstellen-Site-Konfigurations-Assistenten zur Verfügung. Sie können diesen
Assistenten im Start-Menü auf jedem beliebigen Server, der die Webschnittstelle ausführt, öffnen. Der Assistent
hat hauptsächlich den Zweck,
•
eine neue Webschnittstellensite mit einer bereits vorhandenen Konfiguration zu erstellen. Mit dieser
Option können Sie lediglich eine Webschnittstellensite-Konfiguration wählen, die in Ihrer Active RolesUmgebung bereits existiert. Bitte verwenden Sie diese Option, wenn Sie eine neue
Webschnittstelleninstanz zur Verfügung stellen, um eine bereits vorhandene benutzerdefinierte
Webschnittstellensite zu dieser Instanz hinzuzufügen.
•
eine neue Webschnittstellensite mit einer neuen Konfiguration zu erstellen. Mit dieser Option können Sie
lediglich eine der drei vordefinierten Website-Vorlagen wählen; die Option erstellt eine neue
Webschnittstellensite-Konfiguration auf der Grundlage der von Ihnen gewählten Vorlage. Bitte
verwenden Sie diese Option, um eine neue Webschnittstellensite in einer Ihrer
Webschnittstelleninstanzen zu erstellen. Für die anderen Instanzen muss die neue Site zur Verfügung
gestellt werden, indem die von Ihnen erstellte Site-Konfiguration gewählt wird.
Bei der Bereitstellung einer neuen Webschnittstelleninstanz ist es wichtig zu bedenken, dass nur drei
Standardwebschnittstellensites „out of the box“ installiert sind. Um eine benutzerdefinierte
Webschnittstellensite zu einer neu installierten Webschnittstelleninstanz hinzuzufügen, müssen Sie den
Konfigurationsassistenten für Webschnittstellensites verwenden.
Active Roles in einer Windows Azure-VM
Dieser Abschnitt enthält eine Übersicht über die empfohlenen Schritte für die Bereitstellung von Active Roles in
der Windows Azure Infrastructure Services-Umgebung. Nachdem Sie diese Schritte ausgeführt haben, sind die
folgenden Dienste über virtuelle Windows Azure-Computer in Windows Azure verfügbar:
•
SQL Server 2012 als Host für die Active Roles-Datenbank
•
Active Roles-Verwaltungsdienst
•
Active Roles-Webschnittstelle
Dell Active Roles 7.0
Erste Schritte
57
Schritt 1: Voraussetzungen
Nachfolgend wird davon ausgegangen, dass die folgenden Voraussetzungen bereits erfüllt sind:
•
Microsoft-Konto mit mindestens einem gültigen, aktiven Windows Azure-Abonnement
•
Mindestens ein Replikatdomänencontroller mit Schreibzugriffe im Windows Azure-Konto
Anweisungen zum Installieren eines Replikatdomänencontrollers finden Sie unter Install a Replica Active
Directory Domain Controller in Windows Azure Virtual Networks.
Schritt 2: Bereitstellen von Microsoft SQL Server 2012
Führen Sie die folgenden Aufgaben aus, um SQL Server bereitzustellen:
1
Erstellen Sie einen virtuellen Computer basierend auf einem SQL Server 2012-Image, das in Windows
Azure veröffentlicht ist.
Wählen Sie beim Erstellen des virtuellen Computers auf der Seite Konfiguration des virtuellen
Computers die Option Neuen Clouddienst erstellen aus und wählen Sie das virtuelle Netzwerk aus, das
vom Replikatdomänencontroller in Windows Azure verwendet wird.
Anweisungen zum Bereitstellen von SQL Server 2012 in Windows Azure finden Sie unter Provisioning a
SQL Server Virtual Machine on Windows Azure.
2
Fügen Sie den virtuellen SQL Server 2012-Computer zur Active Directory-Domäne hinzu.
3
Weisen Sie die feste Serverrolle sysadmin in SQL Server Management Studio dem Domänenbenutzerkonto
zu, das als Dienstkonto für den Active Roles-Verwaltungsdienst verwendet wird.
4
Konfigurieren Sie die Windows-Firewall so, dass von Computern im virtuellen Netzwerk Verbindungen
zum TCP-Port 1433 zulässig sind.
Da der Zugriff auf SQL Server vom virtuelle Netzwerk aus erfolgt, brauchen Sie keine öffentlichen
Endpunkte in Windows Azure zu erstellen.
Schritt 3: Bereitstellen des Active RolesVerwaltungsdienstes
Führen Sie die folgenden Aufgaben aus, um den Active Roles-Verwaltungsdienst bereitzustellen:
1
Erstellen Sie einen virtuellen Computer basierend auf einem Windows Server 2012-Image, das in
Windows Azure veröffentlicht ist.
Wählen Sie beim Erstellen des virtuellen Computers auf der Seite Konfiguration des virtuellen
Computers den Clouddienst aus, den Sie in Schritt 2: Bereitstellen von Microsoft SQL Server 2012 für den
virtuellen SQL Server-Computer erstellt haben. Dadurch wird automatisch das richtige virtuelle
Netzwerk ausgewählt, da der Clouddienst bereits als Host für den virtuellen SQL Server-Computer
verwendet wird. Weitere Informationen finden Sie unter Add a Virtual Machine to a Virtual Network im
Abschnitt „Create Virtual Machine and Deploy to Virtual Network“.
2
Fügen Sie den neu erstellten virtuellen Computer zur Active Directory-Domäne hinzu.
3
Stellen Sie über Remotedesktop eine Verbindung zum virtuellen Computer her und führen Sie den Active
Roles-Installationsassistenten aus, um den Active Roles-Verwaltungsdienst zu installieren (siehe
Vorgehensweise zur Bereitstellung des Verwaltungsdienstes weiter oben).
Geben Sie das entsprechende Benutzerkonto an, das in der Active Directory-Domäne definiert ist, wenn
Sie zur Eingabe des Dienstkontos aufgefordert werden. Achten Sie darauf, dass dieses Benutzerkonto
Mitglied der lokalen Administratorengruppe des virtuellen Computers ist, auf dem der Verwaltungsdienst
installiert wird. Dabei kann es sich beispielsweise um ein Domänenbenutzerkonto handeln, das zur
Domänenadministratorgruppe der Active Directory-Domäne gehört.
Dell Active Roles 7.0
Erste Schritte
58
Geben Sie den Namens des SQL Servers an, den Sie in Schritt 2: Bereitstellen von Microsoft SQL Server
2012 bereitgestellt haben, wenn Sie zur Eingabe des SQL Servers aufgefordert werden.
4
Führen Sie den folgenden Windows PowerShell-Befehl auf dem virtuellen Computer aus, auf dem der
Active Roles-Verwaltungsdienst installiert ist, um die Windows-Firewall zu konfigurieren:
$allowedClientSubnets = @('10.0.0.0/8', '172.16.0.0/12', '192.168.0.0/16'); 
New-NetFirewallRule -DisplayName "Active Roles" -Direction Inbound `
-Action Allow -Service 'aradminsvc' -RemoteAddress $allowedClientSubnets `
-Enabled True
Schritt 4: Bereitstellen der Active RolesWebschnittstelle
Führen Sie die folgenden Aufgaben aus, um die Active Roles-Webschnittstelle bereitzustellen:
1
Erstellen Sie einen virtuellen Computer basierend auf einem Windows Server 2012-Image, das in
Windows Azure veröffentlicht ist.
Wählen Sie beim Erstellen des virtuellen Computers auf der Seite Konfiguration des virtuellen
Computers den Clouddienst aus, den Sie in Schritt 2: Bereitstellen von Microsoft SQL Server 2012 für den
virtuellen SQL Server-Computer erstellt haben. Dadurch wird automatisch das richtige virtuelle
Netzwerk ausgewählt, da der Clouddienst bereits als Host für den virtuellen Computer mit dem Active
Roles-Verwaltungsdienst und für den virtuellen SQL Server-Computer verwendet wird. Weitere
Informationen finden Sie unter Add a Virtual Machine to a Virtual Network im Abschnitt „Create Virtual
Machine and Deploy to Virtual Network“.
2
Fügen Sie den neu erstellten virtuellen Computer zur Active Directory-Domäne hinzu.
3
Stellen Sie über Remotedesktop eine Verbindung zum virtuellen Computer her und führen Sie den Active
Roles-Installationsassistenten aus, um die Active Roles-Webschnittstelle zu installieren (siehe Installieren
und Konfigurieren der Webschnittstelle weiter oben).
Wählen Sie bei der entsprechenden Eingabeaufforderung die Option aus, eine Verbindung zum
Verwaltungsdienst auf dem angegebenen Computer herzustellen, und geben Sie den vollqualifizierten
Domänennamen des in Schritt 3: Bereitstellen des Active Roles-Verwaltungsdienstes bereitgestellten
virtuellen Computers an.
Dell Active Roles 7.0
Erste Schritte
59
Info zu Dell
Dell berücksichtigt die Wünsche seiner Kunden und liefert auf der ganzen Welt innovative Technologien,
Geschäftslösungen und Dienstleistungen, die anerkannt und geschätzt werden. Weitere Informationen finden
Sie unter www.software.dell.com/de-de.
Kontakt zu Dell
Technischer Support: 
Online-Support
Produktfragen und Vertrieb: 
0800 800-78378
E-Mail: 
[email protected]
Technische Supportressourcen
Der technische Support steht Kunden, die Dell-Software mit einem gültigen Wartungsvertrag gekauft haben, und
Kunden zur Verfügung, die über eine Testversion verfügen. Das Support Portal ist unter
https://support.software.dell.com/de-de erreichbar.
Das Support Portal stellt Selbsthilfetools bereit, mit denen Sie Probleme schnell und eigenständig lösen können
– 24 Stunden am Tag, 365 Tage im Jahr. Darüber hinaus ermöglicht das Portal über ein OnlineServiceanforderungssystem auch direkten Zugang zu unseren Produktsupporttechnikern.
Das Portal bietet folgende Möglichkeiten:
•
Erstellen, Aktualisieren und Verwalten von Serviceanforderungen (Supportfälle)
•
Anzeigen von Knowledge Base-Artikeln
•
Erhalten von Produktbenachrichtigungen
•
Herunterladen von Software. Testsoftware finden Sie unter Testdownloads.
•
Anzeigen von Videos zur Vorgehensweise
•
Teilnahme an Communitydiskussionen
•
Chatten mit einem Supporttechniker
Dell Active Roles 7.0
Erste Schritte
60