Ověřování je pro uživatele služby AD RMS zajišťováno službou AD DS (Active Directory Domain Services). Pokud je povoleno protokolování, jsou všechny požadavky uživatelských účtů přijaté clusterem služby AD RMS zaznamenány do databáze protokolování.

Odstranění účtů z databáze konfigurace

Při odstranění uživatelského účtu ze služby AD DS nedojde k automatickému odstranění příslušné položky databáze konfigurace v tabulce uživatelských klíčů pro certifikát RAC uživatele. Vzhledem k tomu, že jsou stále přidávány nové uživatelské klíče, ale nejsou odstraňovány staré klíče, může velikost tabulky uživatelských klíčů neomezeně narůstat.

Údržbu databáze konfigurace lze provádět dvěma způsoby. Můžete vytvořit a spustit uloženou proceduru, která při odebírání přidruženého uživatelského účtu ze služby AD DS odstraní uživatelský klíč označený příslušným identifikátorem zabezpečení (SID).

Nebo můžete vytvořit a pravidelně spouštět skript, který z databáze konfigurace odstraní uživatelské klíče, jejichž přidružené identifikátory zabezpečení (SID) již ve službě AD DS neexistují. Vzhledem k tomu, že při použití této metody dochází k velkému zatížení databázového serveru i služby AD DS, měli byste skript spouštět v době nízké aktivity.

Přesunutí uživatelských účtů do jiné doménové struktury služby AD DS

Při nastavování a zřizování kořenového clusteru v organizaci může pro každou doménovou strukturu služby Active Directory existovat pouze jeden kořenový cluster.

Obecně platí, že při přesunutí uživatelského účtu z jedné domény do jiné domény ve stejné struktuře je pro uživatelský účet v nové doméně vytvořen nový identifikátor zabezpečení (SID). Pokud se potom uživatel pokusí získat ze serveru v clusteru certifikát RAC, jeví se v důsledku odlišného identifikátoru zabezpečení jako nový uživatel. Cluster pro daný uživatelský účet generuje nové klíče a vystaví nový certifikát RAC pomocí původní e-mailové adresy uživatele. Jestliže se uživatel pokusí použít nový certifikát RAC s existující licencí k použití, nebudou si klíče a identifikátor zabezpečení odpovídat. Uživatel potřebuje získat novou licenci k použití. To platí také v případě přesunutí uživatelského účtu do domény v jiné doménové struktuře.

Další odkazy

Obsah