веб-службы Active Directory ADWS

Назначение веб-служб Active Directory

Веб-службы Active Directory (ADWS) в Windows Server 2008 R2 — это новая служба Windows, предоставляющая веб-интерфейс для доменов Active Directory, экземпляров служб Active Directory облегченного доступа к каталогам и средств подключения баз данных Active Directory, которые выполняются на одном сервере Windows Server 2008 R2 с веб-службами Active Directory. Если служба ADWS на сервере Windows Server 2008 R2 остановлена или отключена, то такие клиентские приложения, как Модуль Active Directory для Windows PowerShell или центр администрирования Active Directory, не смогут получить доступ или управлять любыми экземплярами служб каталогов, которые выполняются на этом сервере.

ADWS устанавливается автоматически при добавлении ролей сервера доменных служб Active Directory и служб Active Directory облегченного доступа к каталогам на сервер Windows Server 2008 R2. Служба ADWS настроена на запуск при назначении данному серверу Windows Server 2008 R2 роли контроллера домена с помощью Dcpromo.exe или при создании экземпляра служб Active Directory облегченного доступа к каталогам на данном сервере Windows Server 2008 R2.

WarningПредупреждение
Для правильной работы службе ADWS требуется открытый TCP-порт 9389 на контроллере домена с запущенной службой ADWS. Если при настройке брандмауэра используются объекты групповой политики, убедитесь, что указанный порт открыт для службы ADWS, обновив их.

 

Кого может заинтересовать служба ADWS?

Служба ADWS в Windows Server 2008 R2 может быть полезна для следующих групп:

  • первые пользователи Windows Server 2008 R2, а также проектировщики и аналитики в области ИТ, выполняющие техническую оценку Windows Server 2008 R2;
  • ИТ-планировщики и проектировщики предприятий;
  • группы управления доменными службами Active Directory;
  • администраторы доменных служб Active Directory.

Что следует принять во внимание?

noteПримечание
Если сертификат проверки подлинности сервера, полученный в доверенном центре сертификации, уже представлен на вашем сервере Windows Server 2008 R2 с установленной службой ADWS, то можно пропустить этот подраздел.

 

Служба ADWS предоставляет конечные точки, поддерживающие следующие механизмы проверки подлинности.

  • Встроенная проверка подлинности Windows, использующая протокол проверки подлинности Kerberos, с учетными данными, которые можно делегировать.
  • Простая (имя пользователя и пароль в открытом тексте) проверка подлинности.

Чтобы служба ADWS смогла предоставить конечные точки, которые поддерживают простую проверку подлинности, необходимо запросить и получить сертификат проверки подлинности сервера в доверенном центре сертификации организации, например в доверенном центре сертификации Microsoft или в доверенном центре сертификации на сервере Windows Server 2008 R2 вашей организации.

Например, необходимо установить сертификат проверки подлинности сервера для службы ADWS, которая обеспечивает веб-интерфейс для экземпляра служб Active Directory облегченного доступа к каталогам, запущенных на сервере Windows Server 2008 R2 в среде рабочей группы. В этом случае необходимо использовать простую проверку подлинности, так как протокол проверки подлинности Kerberos нельзя использовать для проверки пользователей рабочей группы.

Сертификат проверки подлинности сервера будет использоваться для удостоверения подлинности сервера клиентом, а также защиты учетных данных клиента (имени пользователя и пароля) в сети путем шифрования канала связи. Дополнительные сведения об установке и использовании центра сертификации см. в описании служб сертификатов по адресу http://go.microsoft.com/fwlink/?LinkID=48952 (возможно, на английском языке).

noteПримечание
Устанавливаемый или импортируемый сертификат должен быть помечен как сертификат для проверки подлинности сервера.

 

После получения сертификата в доверенном центре сертификации этот сертификат нужно установить или импортировать на сервер со службой ADWS. При установке или импорте сертификата из доверенного центра сертификации на сервер Windows Server 2008 R2 со службой ADWS рекомендуется хранить сертификат в личном хранилище на локальном компьютере. Для установки или импорта сертификатов можно воспользоваться оснасткой «Сертификаты» Windows Server 2008 R2. Дополнительные сведения см. в инструкциях по работе с сертификатами по адресу http://go.microsoft.com/fwlink/?LinkId=99765 (возможно, на английском языке).

После установки необходимого сертификата проверки подлинности сервера на Windows Server 2008 R2 необходимо остановить и перезапустить службу ADWS.

  • Остановить службу ADWS можно из окна командной строки, введя следующую команду: net stop ADWS.
  • Запустить службу ADWS можно из окна командной строки, введя следующую команду: net start ADWS.

Новые возможности, предоставляемые службой ADWS

В службе ADWS существует ряд параметров конфигурации, определяющих, как служба ADWS на Windows Server 2008 R2 обрабатывает трафик, создаваемый администраторами. Администраторы могут управлять доменами доменных служб Active Directory, экземплярами служб Active Directory облегченного доступа к каталогам и средств подключения баз данных Active Directory при помощи таких приложений, как Модуль Active Directory или центр администрирования Active Directory. Данные параметры конфигурации хранятся в файле Microsoft.ActiveDirectory.WebServices.exe.config в каталоге %WINDIR%\ADWS.

Эти параметры конфигурации можно настраивать, редактируя файл Microsoft.ActiveDirectory.WebServices.exe.config, для обработки трафика, направляемого службе ADWS в средах Active Directory. Любые изменения в параметрах конфигурации службы ADWS определенного контроллера домена повлияют только на службу ADWS данного контроллера домена. Другими словами, изменения, сделанные в файле Microsoft.ActiveDirectory.WebServices.exe.config на контроллере домена определенного домена или леса, не реплицируются на другие контроллеры домена этого домена или леса.

В следующей таблице приведены имена, значения по умолчанию и описания параметров конфигурации службы ADWS, определяющих, как служба ADWS обрабатывает трафик, создаваемый администраторами, которые управляют экземплярами доменных служб Active Directory и служб Active Directory облегченного доступа к каталогам, а также средства подключения баз данных Active Directory, при помощи Модуль Active Directory или центра администрирования Active Directory.

ImportantВажно
Рекомендуется не изменять установленные по умолчанию значения этих параметров до тех пор, пока они не препятствуют эффективному управлению экземплярами служб каталогов, поддерживаемых службой ADWS, через Модуль Active Directory или центр администрирования Active Directory.

 

Имя параметра Значение по умолчанию Описание
MaxConcurrentCalls 32 Указывает максимальное число одновременных запросов на обслуживание, которые может обработать служба ADWS в любой момент времени. Установите большее значение для этого параметра, если служба ADWS на сервере Windows Server 2008 R2 должна обрабатывать более 32 запросов на обслуживание.
MaxConcurrentSessions 500 Указывает максимальное число клиентских сеансов, которые может принять служба ADWS в любой момент времени. Установите большее значение для этого параметра, если служба ADWS на сервере Windows Server 2008 R2 должна принимать одновременно более 500 клиентских сеансов.
MaxReceivedMessageSize 1 МБ Указывает максимальный размер сообщения запроса в мегабайтах (МБ), который может отправлять клиентский компьютер экземплярам служб каталогов, поддерживаемых службой ADWS. Этот параметр влияет на использование памяти службой ADWS. Например, если для параметра MaxConcurrentCalls задано значение 32, а значение параметра MaxReceivedMessageSize равно 1 МБ, то служба ADWS может одновременно обработать максимум 32 МБ клиентских сообщений запросов.
MaxStringContentLength 32 КБ Указывает максимальный размер строки в килобайтах (КБ) атрибута протокола LDAP, который может обработать служба ADWS в сообщениях запросов, отправляемых клиентским компьютером экземплярам служб каталогов, которые поддерживает служба ADWS. При увеличении этого значения может увеличиться максимально возможное использование памяти службой ADWS.
MaxPoolConnections 10 Указывает максимальное число LDAP-соединений для каждого экземпляра служб каталогов, который используется службой ADWS, запущенной на определенном сервере Windows Server 2008 R2.Например, если значение параметра MaxPoolConnections на определенном сервере Windows Server 2008 R2 равно 10 и на этом сервере запущено 3 экземпляра служб каталогов, то ADWS может использовать максимум 10 LDAP-соединений для каждого из этих экземпляров служб каталогов для обработки запросов, отправленных службе ADWS. Как и значение параметра MaxConcurrentCalls, данный параметр может повлиять на максимальное число запросов, которые одновременно может обрабатывать служба ADWS. Установите большее значение для этого параметра, если при ожидании LDAP-соединения для обработки запросов клиентов на обслуживание происходит превышение тайм-аута.

noteПримечание
Чтобы улучшить производительность, служба ADWS на сервере Windows Server 2008 R2 поддерживает отдельный пул LDAP-соединений для каждого экземпляра служб каталогов, запущенного на этом сервере. Например, если сервер Windows Server 2008 R2 является контроллером домена (с запущенной ролью сервера доменных служб Active Directory) и сервером глобального каталога и если на нем запущено двумя экземпляра служб Active Directory облегченного доступа к каталогам и одним экземпляр средства подключения баз данных Active Directory (всего 5 экземпляров служб каталогов), то служба ADWS на этом сервере Windows Server 2008 R2 поддерживает 5 отдельных пулов LDAP-соединений. Поскольку глобальный каталог не использует тот же порт LDAP, что и доменные службы Active Directory, он считается отдельным экземпляром каталога.

 

MaxPercentageReservedConnections 50% Указывает процент LDAP-соединений, зарезервированных для выполнения операций запроса для каждого экземпляра служб каталогов, поддерживаемых службой ADWS на сервере Windows Server 2008 R2. Установите большее значение процентного показателя, если служба ADWS на сервере Windows Server 2008 R2 в основном используется для выполнения запросов.
MaxConnectionsPerUser 5 Указывает максимальное число одновременных LDAP-соединений (к одному экземпляру служб каталогов), разрешенных службой ADWS в любой момент времени для операций, связанных с набором учетных данных одного клиента (пользователя). Установите большее значение для этого параметра, если одним пользователем выполняется более 5 одновременных клиентских запросов к экземпляру служб каталогов, запущенному на сервере Windows Server 2008 R2. Значение параметра MaxConnectionsPerUser не может превышать значение параметра MaxPoolConnections. Если значения параметров MaxConnectionsPerUser и MaxPoolConnections равны, то это позволяет одному набору учетных данных клиента (для одного клиентского компьютера) использовать все доступные LDAP-соединения для указанного экземпляра служб каталогов.
MaxEnumContextExpiration 30 минут Указывает максимально допустимый период времени, в течение которого служба ADWS извлекает и обрабатывает результаты запроса клиентского компьютера.

CautionВнимание
Изменение значений по умолчанию этого параметра настоятельно не рекомендуется Большая часть результатов поиска будет получена в течение 30 минут.

 

MaxPullTimeout 2 минуты Указывает максимально допустимое значение тайм-аута, которое клиентский компьютер может установить для получения одной страницы результатов поиска. Установите большее значение для этого параметра, если возврат одной страницы с результатами поиска при медленном трафике глобальной сети превышает значение тайм-аута больше чем на 2 минуты.

noteПримечание
Служба ADWS обрабатывает поисковые запросы от клиентского компьютера следующим образом:

  • Клиент отправляет запрос на поиск.
  • Служба ADWS устанавливает контекст поиска и возвращает идентификатор этого контекста на клиентский компьютер.
  • Используя идентификатор контекста поиска, клиентский компьютер отправляет запрос на страницу для извлечения результатов поиска, указывая, какое количество объектов LDAP может быть возвращено на страницу.

Параметр MaxPullTimeout контролирует максимальное количество времени, в течение которого клиентский компьютер может запрашивать службу ADWS для извлечения страницы результатов поиска, в то время как параметр MaxEnumContextExpiration является максимальным временем, в течение которого этот контекст поиска может оставаться открытым.

 

MaxEnumCtxsPerSession 5 Указывает максимальное число поисковых запросов (контекстов поиска), которые могут быть отправлены службе ADWS в течение одного клиентского сеанса.
MaxEnumCtxsTotal 100 Указывает максимальное число поисковых запросов (контекстов поиска), которые могут быть отправлены службе ADWS в течение всех активных клиентских сеансов.

Чтобы изменить значения параметров конфигурации ADWS, нужно отредактировать файл Microsoft.ActiveDirectory.WebServices.exe.config в любом текстовом редакторе и сохранить его в каталоге %WINDIR%\ADWS на сервере Windows Server 2008 R2. После внесения изменений в файл Microsoft.ActiveDirectory.WebServices.exe.config рекомендуется остановить и перезапустить службу ADWS.

  • Остановить службу ADWS можно из окна командной строки, выполнив команду net stop ADWS.
  • Запустить службу ADWS можно из окна командной строки, выполнив команду net start ADWS.
noteПримечание
Несколько параметров конфигурации службы ADWS в данной таблице влияют на регулирование полосы пропускания на сервере Windows Server 2008 R2, на котором выполняется служба ADWS. Администраторам рекомендуется изменять значения по умолчанию только у следующих паромеров: MaxConcurrentCalls, MaxConcurrentSessions, MaxReceivedMessageSize и MaxStringContentLength.

 

Подготовка к развертыванию службы ADWS

Служба ADWS устанавливается автоматически при добавлении ролей сервера доменных служб Active Directory и служб Active Directory облегченного доступа к каталогам на сервер Windows Server 2008 R2. Служба ADWS настроена на запуск при назначении данному серверу Windows Server 2008 R2 роли контроллера домена с помощью Dcpromo.exe или при создании экземпляра служб Active Directory облегченного доступа к каталогам на данном сервере Windows Server 2008 R2.

В какие выпуски включена служба ADWS?

Служба ADWS доступна в следующих выпусках Windows Server 2008 R2:

  • Windows Server 2008 R2 Standard
  • Windows Server 2008 R2 Enterprise
  • Windows Server 2008 R2 Datacenter

Служба ADWS недоступна в следующих выпусках Windows Server 2008 R2:

  • Windows Server 2008 R2 для компьютеров на базе процессоров Itanium
  • Windows Web Server 2008 R2

Добавить комментарий

Ваш e-mail не будет опубликован. Обязательные поля помечены *