Налаштування служби каталогів active directory lightweight directory service (частина 2)

У першій частині цього циклу статей ми розглядали службу каталогів Active Directory Lightweight Directory Service (AD LDS) і сферу її використання. У цій частині ми розглянемо планування і установку служби AD LDS.

процес планування

Планування установки служби AD LDS може являти собою процес проб і помилок, оскільки компанія Microsoft дає не багато корисної інформації. Якщо ви ознайомитеся з оглядом від Microsoft по AD LDS на TechNet, ви побачите, що розділ аспектів апаратного обладнання та програмного забезпечення складається з блоків текстів, в яких вам рекомендується використовувати лічильники продуктивності при тестуванні в лабораторному середовищі, дані про існуючий апаратній обладнанні у виробничому середовищі, а також пілотні рекомендації до визначення вимог до потужностей ваших серверів.

Так що ж Microsoft говорить тут? Думаю, що в загальних рисах вищевказане пропозицію можна інтерпретувати в такий спосіб:

Якщо це твердження вірне, то найбільш логічним підходом до планування AD LDS буде розгляд типів ресурсів, споживаних AD LDS, і базування всіх робіт з планування потужностей з урахуванням таких типів споживаних ресурсів.

З огляду на це, створюється враження, що компанія Microsoft не надає достатньо чітких рекомендацій до планування потужностей AD LDS, я схиляюся до думки про те, що одним з кращих підходів до цього є сприйняття процесу планування потужностей так само, як ви ставитеся до процесу планування потужностей для контролерів домену. Зрештою, сервер AD LDS дуже схожий з сервером контролерів домену. Сервери AD LDS, як і контролери домену, є дуже ідентичними службами каталогів. Звичайно, в них є відмінності, які слід враховувати. При плануванні обсягів Active Directory зазвичай до уваги береться кількість користувачів, у той час як при плануванні AD LDS більша увага приділяється передбачуваному кількості LDAP запитів, які будуть надходити на сервер. Однак, планування обсягів Active Directory, так само як і AD LDS часто вимагає прийняття до уваги таких речей, як топологія і реплікація.

Відмінності між контролерами доменів і AD LDS серверами

Звичайно, незважаючи на значну схожість контролерів домену з серверами AD LDS на архітектурному рівні, просто той факт, що контролери домену використовуються для перевірки справжності входу і реалізації безпеки Windows, означає, що є додаткові аспекти в плануванні контролерів домену, які будуть просто незастосовні до процесу планування для AD LDS.

Одним таким відмінністю є те, що AD LDS не використовує концепцію лісів, на відміну від Windows Active Directory. У середовищі Active Directory ліс являє собою зібрання доменів. Кожен ліс є абсолютно незалежним, хоча ліси можна об'єднувати, використовуючи федеративні відносини довіри.

AD LDS не використовує концепцію лісів і доменів на відміну від контролерів доменів Windows. Замість цього, основним структурним елементом, використовуваним в AD LDS, є екземпляр служби (часто званий в Microsoft примірником). Примірник означає один AD LDS розділ. Кожен екземпляр має своє індивідуальне назву служби, сховище даних каталогів і опис служби.

Ви, напевно, вже знаєте, що контролер домену Windows може обслуговувати тільки один домен. На відміну від нього, один сервер на базі AD LDS може приймати кілька примірників. Це означає, що один AD LDS сервер може містити кілька каталогів.

Звичайно, в зв'язку з цим виникає цікаве питання. У середовищі Active Directory клієнти взаємодіють з контролерами домену за допомогою протоколу Lightweight Directory Access Protocol (LDAP). Як і більшість інших протоколів, LDAP призначений для використання певних номерів портів. Наприклад, LDAP зазвичай використовує порт 389 для запитів каталогів. Якщо LDAP взаємодії потрібно зашифрувати, то використовується порт 636. Контролери доменів, що функціонують в ролі серверів глобальних каталогів, використовують порти 3268 і 3269 для операцій, пов'язаних з глобальними каталогами. З огляду на все вищесказане, вам, можливо цікаво, які порти використовує AD LDS.

Оскільки AD LDS не варто піклуватися про виконання будь-яких функцій глобальних каталогів, ми можемо виключити використання портів 3268 і 3269 відразу. Однак AD LDS все ж використовує порти 389 і 636 таким же чином, як і контролери домену.

Так що ж станеться, якщо сервер містить кілька AD LDS примірників? Зазвичай, першому створюваному примірнику будуть призначені порти 389 і 636. Коли створюється другий примірник, Windows бачить, що ці порти вже використовуються, і починає сканування невикористовуваних портів, починаючи з порту 50,000. Якщо припустити, що порт 50,000 доступний, він буде використовуватися для стандартних LDAP взаємодій на другому екземплярі AD LDS. Порт 50,001 буде використовуватися для SSL зашифрованих LDAP взаємодій на другому екземплярі AD LDS.

Якщо вам потрібно створити третій примірник AD LDS на сервері, Windows побачить, що порти 389 і 636 зайняті, і почне пошук невикористовуваних портів, починаючи з порту 50,000. Так як порти 50,000 і 50,001 вже призначені, третій розділ LDAP займе порти 50,002 і 50,003.

вимоги DNS

Ще однією відмінністю між Active Directory і AD LDS є те, що Active Directory повністю залежить від DNS серверів. Без DNS служба Active Directory не зможе функціонувати. AD LDS, з іншого боку, не вимагає DNS.

У деяких випадках це має сенс. Служба Active Directory використовує DNS в якості механізму підтримки ієрархії доменів. Однак в AD LDS немає ієрархії доменів, тому DNS не потрібно.

Установка служби каталогів Active Directory Lightweight Directory Service

Установка AD LDS є дуже простим процесом. Для цього потрібно відкрити диспетчер сервера (Server Manager). потім перейти по посиланню додавання ролей (Add Roles). Після цього Windows запустить майстра додавання ролей Add Roles Wizard. Натисніть Далі (Next). щоб пропустити вітальну сторінку майстра, і у вас відкриється сторінка, на якій буде відображено список доступних ролей.

Позначте прапорцем опцію Active Directory Lightweight Directory Service. як показано на малюнку A.

Малюнок A: Active Directory Lightweight Directory Service.

Натисніть Далі. в результаті чого у вас відкриється вступна сторінка, в якій буде роз'яснення того, що собою являє AD LDS і для чого використовується. Натисніть Далі. і Windows відобразить повідомлення про підтвердження, що говорить про те, що буде встановлена ​​роль сервера AD LDS. Натисніть кнопку Встановити (Install). щоб почати процес установки.

висновок

У цій статті я пояснив деякі відмінності між Active Directory і AD LDS. У наступній частині цього циклу ми почнемо розглядати основи роботи з AD LDS.