Огляд служб active directory lightweight directory services
AD LDS - це служба каталогів, що працює по протоколу LDAP (Lightweight Directory Access Protocol - полегшений протокол доступу до каталогів) і забезпечує гнучку підтримку додатків, орієнтованих на роботу з каталогами, позбавляючи Вас від вимог, що пред'являються до традиційної службі каталогів Active Directory (Active Directory Domain Services, AD DS). Служба AD LDS включає в себе більшість функціональних можливостей AD DS, однак для її роботи не потрібно проводити розгортання доменів або використовувати контролери доменів. Ви можете запускати відразу декілька екземплярів AD LDS на одному комп'ютері, при цьому кожен примірник буде використовувати свою власну, незалежно керовану схему.
Служба каталогів Active Directory забезпечує підтримку як серверів під управлінням ОС Microsoft® Windows Server, так і додатків, орієнтованих на роботу з каталогами. Для кожної серверної операційної системи служба AD DS зберігає важливу інформацію про мережевої інфраструктури, користувачів і групи, мережевих службах і так далі. У такому режимі роботи служба AD DS повинна використовувати єдину схему для всього лісу доменів.
З іншого боку, роль AD LDS, встановлена на сервері, забезпечує підтримку служб каталогів спеціально для додатків, орієнтованих на роботу з каталогами. Для роботи AD LDS не потрібно наявності доменів або лісів Active Directory. Проте, в середовищах з розгорнутими службами AD DS служба AD LDS може використовувати інформацію AD DS для перевірки справжності учасників безпеки Windows.
Коли слід використовувати роль AD LDS
У наступних розділах описані основні сценарії використання каталогів AD LDS на підприємствах.
Організація сховища даних корпоративних додатків
AD LDS є повноцінним рішенням для роботи з каталогами LDAP на підприємствах. Всі корпоративні програми, орієнтовані на роботу з каталогами, можуть використовувати AD LDS як сховище своїх даних.
AD LDS може зберігати в локальному каталозі (можливо, на тому ж самому сервері, на якому встановлено додаток) «закриту» інформацію, що відноситься тільки до певного додатка, не вимагаючи при цьому ніякої додаткової настройки каталогу Active Directory на цьому сервері. Ця інформація зберігається в каталозі AD LDS, пов'язаному виключно з кожним конкретним додатком. Такий підхід зменшує мережевий трафік реплікації між контролерами домену, обслуговуючими каталог Active Directory. Проте, при необхідності Ви можете налаштувати реплікацію даних між декількома екземплярами служби AD LDS.
Часто корпоративні додатки повинні зберігати дані, пов'язані з користувачами, які пройшли перевірку AD DS. При зберіганні цих даних в каталозі служби AD DS може виникнути необхідність зміни схеми цієї служби. У даному сценарії додаток може використовувати каталог AD LDS для зберігання таких даних, як інформація про політиків і керівників параметрах, і в той же час використовувати каталог AD DS для перевірки учасників безпеки і видачі прав доступу до об'єктів каталогу AD LDS. При такому підході для кожного каталогу AD LDS не потрібна наявність власної бази даних, що містить відомості про користувачів. Саме тому таке рішення запобігає розростання призначених для користувача облікових даних, що відбувається кожного разу при введенні в експлуатацію нового мережевого додатки.
Організація сховища даних клієнтів екстрамережі
Розглянемо приклад корпоративного веб-порталу, який управляє доступом до внутрішнім бізнес-додатків і обслуговує клієнтів екстрамережі, що є зовнішніми стосовно до служби AD DS підприємства. Іншим прикладом може бути сценарій, в якому провайдер надає послуги веб-хостингу, розміщуючи і оновлюючи інформацію клієнтів на веб-серверах, до яких самі клієнти доступу не має.
Ці сервери і веб-портал потребують своїх власних сховищах інформації про взаємодіючих з ними об'єктах. На роль такого сховища добре підходить каталог AD LDS, оскільки він може зберігати інформацію про об'єкти, які не є учасниками безпеки Windows, але здатних проходити перевірку автентичності на основі атрибутів LDAP. Іншими словами, зовнішні клієнти можуть обслуговуватися веб-порталом, що працюють на будь-якій платформі, тоді як в якості простого сховища з доступом по протоколу LDAP використовується каталог AD LDS.
Якщо розгорнутий в екстрамережі веб-портал повинен обслуговувати внутрішні облікові записи служби AD DS, розташованої за корпоративним брандмауером, Ви все одно можете використовувати каталог AD LDS для зберігання інформації про ці облікові записи. У цьому випадку дані будуть синхронізуватися між внутрішньою службою AD DS і екземплярами служби AD LDS, розгорнутими в екстрамережі. Ця схема зображена на наступному малюнку.
Ви також можете розгорнути сховище облікових даних клієнтів екстрамережі на основі AD LDS спільно зі службами федерації Active Directory (Active Directory Federation Services, ADFS). Ця конфігурація дозволяє проводити перевірку достовірності користувачів за допомогою технології єдиного входу (Single-sign-on, SSO), коли один набір облікових даних використовується відразу в декількох веб-додатках протягом мережевого сеансу. Для отримання додаткової інформації зверніться до статті Огляд ADFS на веб-сайті Microsoft Windows Server TechCenter.
Консолідація ідентифікаційних даних з декількох систем
Служба AD LDS є рішення по консолідації ідентифікаційних даних, оскільки з її допомогою Ви можете розгорнути централізований метакаталог. Метакаталогі, такі як Microsoft Identity Integration Server (MIIS) або Microsoft Identity Integration Feature Pack (IIFP), який є безкоштовною полегшеною версією MIIS, забезпечують для орієнтованих на роботу з каталогами додатків єдину модель подання інформації про всі відомі облікових записах корпоративних користувачів, програм і мережевих ресурсів. Це досягається шляхом об'єднання інформації про облікові записи, синхронізації каталогів, ініціалізації та деініціалізацію облікових записів, а також шляхом синхронізації паролів між службами AD DS і AD LDS. Ця схема зображена на наступному малюнку.
Організація середовища розробки додатків для AD DS і AD LDS
Служба AD LDS використовує ту ж саму модель програмування, і віртуально надає такий же спосіб адміністрування, що і AD DS, тому вона добре підходить для розробників, які готують і тестують різні додатки, інтегровані з Active Directory. Наприклад, якщо створюється програма має використовувати схему, відмінну від поточної схеми служби Active Directory, розробник може використовувати AD LDS для того, щоб налаштувати власну схему додатки відповідно до вимог бізнесу, організації даних і робочого процесу. При цьому конфігурація існуючої корпоративної схеми Active Directory залишається без змін. Розробники додатків можуть працювати з локальними екземплярами AD LDS на своїх робочих станціях, а потім налаштовувати додатки на роботу зі схемою AD DS в міру необхідності.
Під час роботи над створенням додатків розробники вважають за краще використовувати для роботи простий каталог, який не потребує ретельної настройки або використання додаткового апаратного забезпечення. AD LDS легко встановлюється на робочі станції, і також легко видаляється, що дозволяє в будь-який час відновлювати каталог в початковий стан під час процесу розробки і налагодження додатків.
Організація сховища даних конфігурацій для розподілених додатків
У цьому сценарії екземпляр AD LDS, який виступає в ролі сховища даних конфігурації програми, поставляється разом з розподіленим додатком. Таким чином, розробникам не потрібно піклуватися про доступність служби каталогів перш ніж встановлювати програму. Замість цього вони можуть зробити установку примірника служби AD LDS частиною процесу установки програми, отримуючи гарантію того, що каталог буде доступний відразу після завершення установки. Після цього додаток налаштовує службу AD LDS і управляє їй в рамках закладеного функціоналу, а також використовує каталог AD LDS для роботи з необхідною інформацією.
Перенесення старих додатків, орієнтованих на роботу з каталогами
У Вашої організації можуть використовуватися вже існуючі каталоги зі стандартом присвоєння імен X.500 (O =<организация>,C =<страна>), Які обслуговують різні старі додатки. Ви можете захотіти перенести ці каталоги в каталог служби AD DS. У цьому випадку Ви можете використовувати службу AD LDS як проміжного рішення. Ви можете розгорнути службу AD LDS для обслуговування та підтримки старих додатків, що використовують стандарт присвоєння імен X.500, тоді як розгорнута на підприємстві служба AD DS буде забезпечувати загальну інфраструктуру безпеки. Ви можете використовувати метакаталог, такий як MIIS, для автоматичної синхронізації інформації AD DS і AD LDS, що забезпечить повністю узгоджений перенесення даних. Ця схема зображена на наступному малюнку.
Функціональні можливості ролі AD LDS
Ви можете використовувати роль сервера AD LDS для створення декількох екземплярів служби AD LDS на одному комп'ютері. Кожен екземпляр виконується як окрема служба в своєму власному контексті. Роль AD LDS включає в себе наступні компоненти, що полегшують створення, налаштування і управління екземплярами AD LDS:
Майстер створення екземпляра AD LDS
Інструменти командного рядка для виконання автоматичної установки і автоматичного видалення екземплярів AD LDS
Оснащення консолі Microsoft Management Console (MMC) для настройки та управління екземплярами і схемами AD LDS
Спеціальні інструменти командного рядка для управління, заповнення та синхронізації екземплярів AD LDS
Крім усього перерахованого вище, Ви також можете використовувати багато інструментів Active Directory для адміністрування примірників AD LDS.
Підтримка оснащення Active Directory - сайти і служби
Ця функціональна можливість дозволяє використовувати оснастку Active Directory - сайти і служби для управління реплікацією між екземплярами служб AD LDS. Для використання цієї оснастки Ви повинні імпортувати класи, перераховані у файлі MS-ADLDS-DisplaySpecifiers.LDF (цей файл необхідно імпортувати за допомогою майстра Active Directory Lightweight Directory Services Setup Wizard), щоб розширити схему набору конфігурації, яким Ви хочете керувати. Для підключення до примірника служби AD LDS, який містить набір конфігурації, вкажіть ім'я і номер порту сервера, на якому він запущений.
Динамічне надання доступу до LDIF-файлів (LDAP Data Interchange Format) під час установки примірника AD LDS
Ця функціональна можливість дозволяє надавати доступ до власних LDIF-файлів під час установки примірника служби AD LDS, розміщуючи їх в папці «% systemroot% \ ADAM». Ці файли будуть доповненням до LDIF-файлів, що надаються службою AD LDS за замовчуванням.
Рекурсивні запити з вкладеними зв'язками атрибутів
Ця функціональна можливість дозволяє створювати LDAP-запити, що формують вкладені зв'язку атрибутів, і може виявитися дуже корисною при визначенні членства в групах, а також батьківських об'єктів. Для отримання додаткової інформації зверніться до статті 914828 (EN) бази знань Microsoft.
Зауваження щодо програмного та апаратного забезпечення
Для визначення вимог, що пред'являються до Вашого сервера, використовуйте лічильники продуктивності, лабораторне тестування, дані, отримані при використанні існуючого обладнання, а також тестове розгортання каталогів AD LDS.
Установка ролі AD LDS
Після завершення установки операційної системи з'являється список завдань по початковій конфігурації сервера. Для установки ролі AD LDS клацніть в списку завдань посилання Add roles. а потім клацніть посилання Active Directory Lightweight Directory Server.
Після того як Ви встановите на Вашому сервері роль AD LDS, Ви можете створювати екземпляри служби AD LDS. Для цього в меню Start розкрийте папку Administrative Tools і клацніть значок Active Directory Lightweight Directory Services Setup Wizard.
Управління екземплярами AD LDS
Ви можете управляти екземплярами AD LDS за допомогою оснастки ADSI Edit. Для цього в меню Start розкрийте папку Administrative Tools і клацніть значок ADSI Edit.
додаткова інформація
Для отримання додаткової інформації про службу AD LDS клацніть посилання AD LDS Help у вікні диспетчера управління сервером Server Manager.