Конфигуриране на Active Directory Lightweight Directory Service (Част 2) - Софтуер
В първата част от тази поредица от статии разгледахме Active Directory Lightweight Directory Service (AD LDS) и нейните употреби. В тази част ще разгледаме планирането и инсталирането на услугата AD LDS.
Процесът на планиране
Планирането за инсталиране на AD LDS може да бъде процес на проба и грешка, тъй като Microsoft не предоставя много полезна информация. Ако прочетете прегледа на AD LDS на Microsoft в TechNet, ще видите, че разделът Съображения за хардуер и софтуер се състои от текстови блокове, които ви насърчават да използвате броячи на производителност при тестване в лабораторна среда, данни за съществуващ хардуер в производствена среда и пилотни насоки за определяне на изискванията за капацитет на вашия сървър.
И така, какво казва Microsoft тук? Мисля, че най-общо горното изречение може да се тълкува по следния начин:
Внедряването на AD LDS изисква само сървър, който може да работи с Windows Server 2008. Въпреки това, в зависимост от това как ще се използва AD LDS, може да се наложи сървърът да е достатъчно мощен, за да се справи със значителни натоварвания. Поради тази причина е необходимо да се направят измервания, за да се гарантира, че вашият сървърен хардуер отговаря на изискванията.
Ако това твърдение е вярно, тогава най-логичният подход към планирането на AD LDS би бил да се разгледат видовете ресурси, консумирани от AD LDS, и да се основава цялата работа по планиране на капацитета на тези видове консумирани ресурси.
Като се има предвид това, изглежда, че Microsoft не предоставяВъпреки че има ясни насоки за AD LDS планиране на капацитет, аз клоня към мисълта, че един от най-добрите подходи към това е процесът на планиране на капацитет да се третира по същия начин, по който се отнасяте към процеса на планиране на капацитет за контролери на домейн. В края на краищата AD LDS сървърът е много подобен на сървър на домейн контролер. AD LDS сървърите, подобно на домейн контролерите, са почти същите директорийни услуги. Разбира се, те имат различия, които трябва да се вземат предвид. Оразмеряването на Active Directory обикновено взема предвид броя на потребителите, докато AD LDS планирането се фокусира повече върху очаквания брой LDAP заявки, които ще бъдат изпратени до сървъра. Въпреки това, оразмеряването на Active Directory, както и AD LDS, често изискват разглеждане на неща като топология и репликация.
Разлики между домейн контролери и AD LDS сървъри
Разбира се, докато домейн контролерите са архитектурно подобни на AD LDS сървърите, простият факт, че домейн контролерите се използват за удостоверяване при влизане и сигурност на Windows означава, че има допълнителни съображения за планиране на домейн контролер, които просто не се прилагат към процеса на планиране за AD LDS.
Една такава разлика е, че AD LDS не използва концепцията за гори, за разлика от Windows Active Directory. В среда на Active Directory гората е колекция от домейни. Всяка гора е напълно независима, въпреки че горите могат да бъдат обединени с помощта на тръстове.
AD LDS не използва концепцията за гори и домейни, за разлика от домейн контролерите на Windows. Вместо това основният структурен елемент, използван в AD LDS, еекземпляр на услугата (често наричан екземпляр в Microsoft). Един екземпляр означава един AD LDS дял. Всеки екземпляр има свое собствено индивидуално име на услуга, хранилище на данни на директория и описание на услугата.
Вероятно вече знаете, че домейн контролерът на Windows може да обслужва само един домейн. За разлика от това, един базиран на AD LDS сървър може да хоства множество екземпляри. Това означава, че един AD LDS сървър може да съдържа няколко директории.
Разбира се, това повдига интересен въпрос. В среда на Active Directory клиентите комуникират с домейн контролери, използвайки протокола за лек достъп до директория (LDAP). Както повечето други протоколи, LDAP е проектиран да използва специфични номера на портове. Например LDAP обикновено използва порт 389 за заявки за директория. Ако LDAP комуникациите трябва да бъдат криптирани, тогава се използва порт 636. Домейн контролерите, действащи като сървъри за глобален каталог, използват портове 3268 и 3269 за операции, свързани с глобален каталог. С всичко казано до тук, може би се чудите какви портове използва AD LDS.
Тъй като AD LDS не трябва да се грижи за функциите на глобалния каталог, можем да премахнем портове 3268 и 3269 наведнъж. Въпреки това AD LDS все още използва портове 389 и 636 по същия начин като домейн контролерите.
И така, какво се случва, ако сървърът съдържа множество екземпляри на AD LDS? Обикновено на първото създадено копие ще бъдат присвоени портове 389 и 636. Когато бъде създадено второто копие, Windows вижда, че тези портове вече се използват и започва да сканира за неизползвани портове, започвайки от порт 50 000. Ако приемем, че порт 50 000 е наличен, той ще се използва за стандартен LDAPвзаимодействия на втория екземпляр на AD LDS. Порт 50.001 ще се използва за SSL криптирани LDAP комуникации на второто AD LDS копие.
Ако трябва да създадете трето копие на AD LDS на сървър, Windows ще види, че портове 389 и 636 са заети и ще започне да търси неизползвани портове, започвайки от порт 50 000. Тъй като портове 50.000 и 50.001 вече са зададени, третият LDAP дял ще заема портове 50.002 и 50.003.
DNS изисквания
Друга разлика между Active Directory и AD LDS е, че Active Directory е напълно зависим от DNS сървърите. Без DNS Active Directory не може да функционира. AD LDS, от друга страна, не изисква DNS.
В някои случаи това има смисъл. Active Directory използва DNS като механизъм за поддържане на йерархията на домейна. AD LDS обаче няма йерархия на домейни, така че DNS не се изисква.
Инсталиране на Active Directory Lightweight Directory Service
Инсталирането на AD LDS е много прост процес. За да направите това, отворете сървърния мениджър (Server Manager), след което следвайте връзката за добавяне на роли (Add Roles). След това Windows ще стартира съветника за добавяне на роли. Щракнете върху Напред, за да пропуснете началната страница на съветника и ще бъдете отведени до страница, която показва списък с налични роли.
Проверете опцията Active Directory Lightweight Directory Service, както е показано на фигура A.
Фигура A: Active Directory Lightweight Directory Service.
Щракнете върху Напред, което ще ви отведе до уводна страница, която ще обясни какво е AD LDS и за какво се използва. Щракнете върху Напред и Windows ще покаже съобщение за потвърждение, че ще бъде инсталиранAD LDS сървърна роля. Щракнете върху бутона Инсталиране, за да започнете инсталационния процес.
Целият процес на инсталиране обикновено отнема около 30 секунди. След като процесът на инсталиране на ролята на сървъра приключи, щракнете върху бутона Затвори, за да завършите процеса на инсталиране. За разлика от някои сървърни роли на Windows 2008, AD LDS ролята не изисква рестартиране на сървъра.
Заключение
В тази статия обясних някои от разликите между Active Directory и AD LDS. В следващата част от тази поредица ще започнем да разглеждаме основите на работата с AD LDS.