Настройка службы каталогов Active Directory Lightweight Directory Service (часть 2)

Источник: netdocs
Брайн Позей

В первой части этого цикла статей мы рассматривали службу каталогов Active Directory Lightweight Directory Service (AD LDS) и сферу ее использования. В этой части мы рассмотрим планирование и установку службы AD LDS.

Процесс планирования

Планирование установки службы AD LDS может представлять собой процесс проб и ошибок, поскольку компания Microsoft дает не много полезной информации. Если вы ознакомитесь с обзором от Microsoft по AD LDS на TechNet, вы увидите, что раздел аспектов аппаратного оборудования и ПО состоит из блоков текстов, в которых вам рекомендуется использовать счетчики производительности при тестировании в лабораторной среде, данные о существующем аппаратном оборудовании в производственной среде, а также пилотные рекомендации к определению требований к мощностям ваших серверов.

Так что же Microsoft говорит здесь? Думаю, что в общих чертах вышеуказанное предложение можно интерпретировать следующим образом:

Для развертывания AD LDS необходим только тот сервер, который может работать под управлением Windows Server 2008. Однако в зависимости от того, как AD LDS будет использоваться, серверу, возможно, придется быть достаточно мощным для обработки значительных рабочих нагрузок. По этой причине необходимо провести замеры в обеспечение того, что аппаратное оборудование вашего сервера соответствует требованиям.

Если это утверждение верно, то наиболее логичным подходом к планированию AD LDS будет рассмотрение типов ресурсов, потребляемых AD LDS, и базирование всех работ по планированию мощностей с учетом таких типов потребляемых ресурсов.

Учитывая это, создается впечатление, что компания Microsoft не предоставляет достаточно четких рекомендаций к планированию мощностей AD LDS, я склоняюсь ко мнению о том, что одним из лучших подходов к этому является восприятие процесса планирования мощностей так же, как вы относитесь к процессу планирования мощностей для контроллеров домена. В конце концов, сервер AD LDS очень схож с сервером контроллеров домена. Серверы AD LDS, как и контроллеры домена, являются очень идентичными службами каталогов. Конечно, в них есть отличия, которые следует учитывать. При планировании объемов Active Directory обычно во внимание принимается количество пользователей, в то время как при планировании AD LDS большее внимание уделяется предполагаемому количеству LDAP запросов, которые будут поступать на сервер. Однако, планирование объемов Active Directory, равно как и AD LDS часто требует принятия во внимание таких вещей, как топология и репликация.

Различия между контроллерами доменов и AD LDS серверами

Конечно, несмотря на значительную схожесть контроллеров домена с серверами AD LDS на архитектурном уровне, просто тот факт, что контроллеры домена используются для проверки подлинности входа и реализации безопасности Windows, означает, что есть дополнительные аспекты в планировании контроллеров домена, которые будут просто неприменимы к процессу планирования для AD LDS.

Одним таким отличием является то, что AD LDS не использует концепцию лесов, в отличие от Windows Active Directory. В среде Active Directory лес представляет собой собрание доменов. Каждый лес является абсолютно независимым, хотя леса можно объединять, используя федеративные отношения доверия.

AD LDS не использует концепцию лесов и доменов в отличие от контроллеров доменов Windows. Вместо этого, основным структурным элементом, используемым в AD LDS, является экземпляр службы (часто называемый в Microsoft экземпляром). Экземпляр означает один AD LDS раздел. Каждый экземпляр имеет свое индивидуальное название службы, хранилище данных каталогов и описание службы.

Вы, наверняка, уже знаете, что контроллер домена Windows может обслуживать только один домен. В отличие от него, один сервер на базе AD LDS может принимать несколько экземпляров. Это означает, что один AD LDS сервер может содержать несколько каталогов.

Конечно, в этой связи возникает интересный вопрос. В среде Active Directory клиенты взаимодействуют с контроллерами домена посредством протокола Lightweight Directory Access Protocol (LDAP). Как и большинство других протоколов, LDAP предназначен для использования определенных номеров портов. Например, LDAP обычно использует порт 389 для запросов каталогов. Если LDAP взаимодействия нужно зашифровать, то используется порт 636. Контроллеры доменов, функционирующие в роли серверов глобальных каталогов, используют порты 3268 и 3269 для операций, связанных с глобальными каталогами. Учитывая все вышесказанное, вам, возможно интересно, какие порты использует AD LDS.

Поскольку AD LDS не стоит заботиться о выполнении каких-либо функций глобальных каталогов, мы можем исключить использование портов 3268 и 3269 сразу. Однако AD LDS все же использует порты 389 и 636 таким же образом, как и контроллеры домена.

Так что же произойдет, если сервер содержит несколько AD LDS экземпляров? Обычно, первому создаваемому экземпляру будут назначены порты 389 и 636. Когда создается второй экземпляр, Windows видит, что эти порты уже используются, и начинает сканирование неиспользуемых портов, начиная с порта 50,000. Если предположить, что порт 50,000 доступен, он будет использоваться для стандартных LDAP взаимодействий на втором экземпляре AD LDS. Порт 50,001 будет использоваться для SSL зашифрованных LDAP взаимодействий на втором экземпляре AD LDS.

Если вам нужно создать третий экземпляр AD LDS на сервере, Windows увидит, что порты 389 и 636 заняты, и начнет поиск неиспользуемых портов, начиная с порта 50,000. Так как порты 50,000 и 50,001 уже назначены, третий раздел LDAP займет порты 50,002 и 50,003.

Требования DNS

Еще одним различием между Active Directory и AD LDS является то, что Active Directory полностью зависит от DNS серверов. Без DNS служба Active Directory не сможет функционировать. AD LDS, с другой стороны, не требует DNS.

В некоторых случаях это имеет смысл. Служба Active Directory использует DNS в качестве механизма поддержания иерархии доменов. Однако в AD LDS нет иерархии доменов, поэтому DNS не требуется.

Установка службы каталогов Active Directory Lightweight Directory Service

Установка AD LDS является очень простым процессом. Для этого нужно открыть диспетчер сервера (Server Manager) , затем перейти по ссылке добавления ролей (Add Roles) . После этого Windows запустит мастера добавления ролей Add Roles Wizard. Нажмите Далее (Next) , чтобы пропустить приветственную страницу мастера, и у вас откроется страница, на которой будет отображен список доступных ролей.

Отметьте флажком опцию Active Directory Lightweight Directory Service , как показано на рисунке A.

Рисунок A: Active Directory Lightweight Directory Service.

Нажмите Далее , в результате чего у вас откроется вводная страница, в которой будет разъяснение того, что собой представляет AD LDS и для чего используется. Нажмите Далее , и Windows отобразит сообщение о подтверждении, говорящее о том, что будет установлена роль сервера AD LDS. Нажмите кнопку Установить (Install) , чтобы начать процесс установки.

Весь процесс установки обычно занимает около 30 секунд. После окончания процесса установки роли сервера нажмите кнопку Закрыть (Close) для завершения процесса установки. В отличие от некоторых ролей сервера Windows 2008 роль AD LDS не требует перезагрузки сервера.

Заключение

В этой статье я объяснил некоторые различия между Active Directory и AD LDS. В следующей части этого цикла мы начнем рассматривать основы работы с AD LDS.


Страница сайта http://test.interface.ru
Оригинал находится по адресу http://test.interface.ru/home.asp?artId=25599