Налаштування служби каталогів Active Directory Lightweight Directory Service (частина 2), Комерція, Різне, статті

У першій частині цього циклу статей ми розглядали службу каталогів Active Directory Lightweight Directory Service (AD LDS) і сферу її використання. У цій частині ми розглянемо планування і установку служби AD LDS.


Процес планування


Планування установки служби AD LDS може представляти собою процес проб і помилок, оскільки компанія Microsoft дає не багато корисної інформації. Якщо ви ознайомитеся з оглядом від Microsoft по AD LDS на TechNet, ви побачите, що розділ аспектів апаратного устаткування і ПО складається з блоків текстів, в яких вам рекомендується використовувати лічильники продуктивності при тестуванні в лабораторній середовищі, дані про існуючий апаратній обладнанні у виробничому середовищі, а також пілотні рекомендації до визначення вимог до потужностей ваших серверів.


Так що ж Microsoft говорить тут? Думаю, що в загальних рисах вищевказане пропозицію можна інтерпретувати так:


Для розгортання AD LDS необхідний тільки той сервер, який може працювати під управлінням Windows Server 2008. Проте залежно від того, як AD LDS буде використовуватися, серверу, можливо, доведеться бути достатньо потужним для обробки значних робочих навантажень. З цієї причини необхідно провести заміри в забезпечення того, що апаратне обладнання вашого сервера відповідає вимогам.


Якщо це твердження вірне, то найбільш логічним підходом до планування AD LDS буде розгляд типів ресурсів, споживаних AD LDS, і базування всіх робіт з планування потужностей з урахуванням таких типів споживаних ресурсів.


Враховуючи це, складається враження, що компанія Microsoft не надає достатньо чітких рекомендацій до планування потужностей AD LDS, я схиляюся до думки про те, що одним з кращих підходів до цього є сприйняття процесу планування потужностей так само, як ви ставитеся до процесу планування потужностей для контролерів домену. Зрештою, сервер AD LDS дуже схожий з сервером контролерів домену. Сервери AD LDS, як і контролери домену, є дуже ідентичними службами каталогів. Звичайно, в них є відмінності, які слід враховувати. При плануванні обсягів Active Directory зазвичай до уваги береться кількість користувачів, у той час як при плануванні AD LDS більша увага приділяється передбачуваному кількості LDAP запитів, які будуть надходити на сервер. Однак, планування обсягів Active Directory, так само як і AD LDS часто вимагає прийняття до уваги таких речей, як топологія і реплікація.


Відмінності між контролерами доменів і AD LDS серверами


Звичайно, незважаючи на значну схожість контролерів домену з серверами AD LDS на архітектурному рівні, просто той факт, що контролери домену використовуються для перевірки справжності входу і реалізації безпеки Windows, означає, що є додаткові аспекти в плануванні контролерів домену, які будуть просто незастосовні до процесу планування для AD LDS.


Одним таким відмінністю є те, що AD LDS не використовує концепцію лісів, на відміну від Windows Active Directory. У середовищі Active Directory ліс являє собою зібрання доменів. Кожен ліс є абсолютно незалежним, хоча лісу можна об’єднувати, використовуючи федеративні відносини довіри.


AD LDS не використовує концепцію лісів і доменів на відміну від контролерів доменів Windows. Замість цього, основним структурним елементом, використовуваним в AD LDS, є примірник служби (часто званий в Microsoft примірником). Примірник означає один AD LDS розділ. Кожен примірник має своє індивідуальне назву служби, сховище даних каталогів і опис служби.


Ви, напевно, вже знаєте, що контролер домену Windows може обслуговувати тільки один домен. На відміну від нього, один сервер на базі AD LDS може приймати кілька примірників. Це означає, що один AD LDS сервер може містити кілька каталогів.


Звичайно, у цьому зв’язку виникає цікаве питання. У середовищі Active Directory клієнти взаємодіють з контролерами домена за допомогою протоколу Lightweight Directory Access Protocol (LDAP). Як і більшість інших протоколів, LDAP призначений для використання певних портів. Наприклад, LDAP зазвичай використовує порт 389 для запитів каталогів. Якщо LDAP взаємодії потрібно зашифрувати, то використовується порт 636. Контролери доменів, що функціонують в ролі серверів глобальних каталогів, використовують порти 3268 і 3269 для операцій, пов’язаних з глобальними каталогами. Враховуючи все вищесказане, вам, можливо цікаво, які порти використовує AD LDS.


Оскільки AD LDS не варто піклуватися про виконання будь-яких функцій глобальних каталогів, ми можемо виключити використання портів 3268 і 3269 відразу. Однак AD LDS все ж використовує порти 389 і 636 таким же чином, як і контролери домену.


Так що ж станеться, якщо сервер містить кілька AD LDS примірників? Зазвичай, першому створюваному примірнику будуть призначені порти 389 і 636. Коли створюється другий примірник, Windows бачить, що ці порти вже використовуються, і починає сканування невикористовуваних портів, починаючи з порту 50,000. Якщо припустити, що порт 50,000 доступний, він буде використовуватися для стандартних LDAP взаємодій на другому примірнику AD LDS. Порт 50,001 буде використовуватися для SSL зашифрованих LDAP взаємодій на другому примірнику AD LDS.


Якщо вам потрібно створити третій примірник AD LDS на сервері, Windows побачить, що порти 389 і 636 зайняті, і почне пошук невикористовуваних портів, починаючи з порту 50,000. Так як порти 50,000 і 50,001 вже призначені, третій розділ LDAP забере порти 50,002 і 50,003.


Вимоги DNS


Ще однією відмінністю між Active Directory і AD LDS є те, що Active Directory повністю залежить від DNS серверів. Без DNS служба Active Directory не зможе функціонувати. AD LDS, з іншого боку, не вимагає DNS.


У деяких випадках це має сенс. Служба Active Directory використовує DNS в якості механізму підтримки ієрархії доменів. Проте в AD LDS немає ієрархії доменів, тому DNS не потрібно.


Установка служби каталогів Active Directory Lightweight Directory Service


Установка AD LDS є дуже простим процесом. Для цього потрібно відкрити диспетчер сервера (Server Manager), потім перейти по посиланню додавання ролей (Add Roles). Після цього Windows запустить майстра додавання ролей Add Roles Wizard. Натисніть Далі (Next), щоб пропустити привітальну сторінку майстра, і у вас відкриється сторінка, на якій буде відображено список доступних ролей.


Позначте прапорцем опцію Active Directory Lightweight Directory Service, як показано на малюнку A.



Малюнок A: Active Directory Lightweight Directory Service.


Натисніть Далі, в результаті чого у вас відкриється вступна сторінка, в якій буде роз’яснення того, що собою являє AD LDS і для чого використовується. Натисніть Далі, і Windows відобразить повідомлення про підтвердження, що говорить про те, що буде встановлена ​​роль сервера AD LDS. Натисніть кнопку Встановити (Install), щоб почати процес установки.


Весь процес установки зазвичай займає близько 30 секунд. Після закінчення процесу установки ролі сервера натисніть кнопку Закрити (Close) для завершення процесу установки. На відміну від деяких ролей сервера Windows 2008 роль AD LDS не вимагає перезавантаження сервера.


Висновок


У цій статті я пояснив деякі відмінності між Active Directory і AD LDS. У наступній частині цього циклу ми почнемо розглядати основи роботи з AD LDS.


Схожі статті:


Сподобалася стаття? Ви можете залишити відгук або підписатися на RSS , щоб автоматично отримувати інформацію про нові статтях.

Коментарів поки що немає.

Ваш отзыв

Поділ на параграфи відбувається автоматично, адреса електронної пошти ніколи не буде опублікований, допустимий HTML: <a href="" title=""> <abbr title=""> <acronym title=""> <b> <blockquote cite=""> <cite> <code> <del datetime=""> <em> <i> <q cite=""> <s> <strike> <strong>

*

*