LDS AD - este un serviciu director care funcționează prin intermediul LDAP (Lightweight Directory Access Protocol - un protocol de acces director ușor) și oferă suport flexibil, axat pe performanta aplicatiilor cu directoare, economisind astfel cerințele pentru servicii tradiționale Active Directory (Active Directory Servicii de domeniu, AD DS). AD servicii LDS include cea mai mare parte funcționalitatea AD DS, dar este nevoie de nici o implementare domenii sau controlere de domeniu pentru a utiliza pentru funcționarea acestuia. Puteți rula mai multe instanțe LDS AD pe un singur calculator, cu fiecare instanță va folosi propriul circuit, independent de control.
Active Directory oferă suport pentru ambele servere care rulează Microsoft® Windows Server, și aplicații orientate pentru a lucra cu directoare. Pentru fiecare server AD serviciu DS sistem de operare stochează informații importante despre infrastructură, utilizatorii rețelei și grupuri, servicii de rețea, și așa mai departe. În acest AD DS modul de serviciu de operare este de a utiliza un sistem unic pentru întregul domeniu al pădurii.
Pe de altă parte, rolul AD LDS instalat pe server, oferă suport pentru serviciile de director special pentru aplicații destinate pentru lucrul cu directoare. Pentru a lucra AD LDS nu necesită prezența domeniului sau de pădure Active Directory. Cu toate acestea, în medii cu DS servicii AD dislocate, LDS AD pot utiliza informațiile pentru AD DS pentru autentificarea directori de securitate Windows.
Când trebuie să folosesc rolul AD LDS
Următoarele secțiuni descriu principalele scenarii ale AD LDS utilizarea director de afaceri.
Organizarea de aplicații corporative, depozit de date
AD LDS este o soluție completă pentru lucrul cu directoare LDAP pe întreprinderi. Toate aplicațiile de întreprindere axat pe lucrul cu directoare, se pot utiliza AD LDS ca un depozit pentru datele lor.
LDS AD pot fi stocate în directorul local (eventual pe același server pe care este instalată aplicația) „închis“ informații referitoare doar la o anumită aplicație, fără a necesita nici o configurare suplimentară Active Directory pe acest server. Aceste informații sunt stocate în AD LDS de director, asociat exclusiv cu fiecare aplicație specifică. Această abordare reduce replicarea traficului în rețea între controlerele de domeniu care deservesc director Active Directory. Cu toate acestea, puteți seta replicarea datelor între mai multe instanțe de serviciu AD LDS, dacă este necesar.
De multe ori, aplicatiile enterprise au nevoie pentru a stoca date asociate cu utilizatorii autentificați DS AD. La stocarea datelor în AD directorul DS poate fi necesar să modificați schema serviciului. În acest scenariu, aplicația poate utiliza directorul AD LDS pentru a stoca date, cum ar fi informații despre politicile și parametrii de control, și în același timp, de a utiliza AD directorul DS pentru a verifica siguranța participanților și emiterea drepturilor de acces la obiectele de director AD LDS. Cu această abordare, pentru fiecare director AD LDS nu are nevoie de o bază de date care conține informații de proprietate despre utilizatori. De aceea, această decizie împiedică proliferarea prerogativelor de utilizator, care apare de fiecare dată când punerea în funcțiune o nouă aplicație de rețea.
de stocare a datelor extranet pentru clienți
Luați în considerare exemplul unui portal web corporativ care controlează accesul la aplicații de afaceri interne și a clienților servicii extranet care sunt externe serviciul întreprinderii AD DS. Un alt exemplu ar fi un scenariu în care furnizorul oferă informații de web-hosting servicii, localizarea și actualizarea de client pe serverele web la care clienții înșiși nu au acces.
Aceste servere, și portalul web au nevoie de propriile sale stochează informații despre obiectele care interacționează cu ele. Pe rolul unei astfel de facilitate este foarte potrivit AD LDS director, deoarece poate stoca informații despre obiecte care nu sunt directori de securitate Windows, dar pot fi autentificate pe baza atributelor LDAP. Cu alte cuvinte, clienții externi pot fi deservite de portalul web, care rulează pe orice platformă, în timp ce ca un simplu depozit cu o conexiune LDAP utilizează AD directorul LDS.
Dacă aplicată într-un portal web extranet ar trebui să servească AD interne DS conturile de serviciu sunt situate în spatele firewall-ul companiei, puteți utiliza în continuare AD directorul LDS pentru a stoca informații despre aceste conturi. În acest caz, datele vor fi sincronizate între serviciul intern de AD DS și instanțele de serviciu AD LDS, desfășurat într-un extranet. Această schemă este prezentată în figura următoare.
De asemenea, puteți implementa o acreditare de date extranet client bazate pe LDS AD, în colaborare cu Active Directory Federation Services (Active Directory Federation Services, ADFS). Această configurație permite autentificarea utilizatorului prin intermediul SSO (Single-sign-on, SSO), atunci când un set de acreditări este utilizat în mai multe aplicații Web pe parcursul sesiunii de rețea. Pentru mai multe informații, consultați articolul Prezentare generală a ADFS pe site-ul Web Microsoft Windows Server TechCenter.
Consolidarea datelor de identitate de la mai multe sisteme
AD Serviciul LDS este o soluție pentru consolidarea identității, deoarece vă permite să implementați un metadirector centralizat. Metadirectories, cum ar fi Microsoft Identity Integration Server (MIIS) sau Microsoft Integrare Identity Feature Pack (IIFP), care este o versiune gratuită ușoară a Miis, prevede catalog cerere centric un singur model de reprezentare a informațiilor cu privire la toate conturile cunoscute de utilizatori individuali și companii, programe și rețele resurse. Acest lucru se realizează prin combinarea informațiilor de cont, director de sincronizare inițializarea deinitialization și conturi, precum și prin sincronizarea parolei între serviciile AD DS și AD LDS. Această schemă este prezentată în figura următoare.
Organizarea mediului de dezvoltare a aplicatiilor pentru AD DS și AD LDS
Un AD LDS folosește același model de programare și asigură practic aceeași metodă de administrare ca și AD DS, de aceea este foarte potrivit pentru dezvoltatorii care sunt pregătite și testate pentru o varietate de aplicații care sunt integrate cu Active Directory. De exemplu, dacă ați creat o aplicație trebuie să utilizeze un sistem de diferit de curent Active Directory schema de serviciu, dezvoltatorul poate utiliza AD LDS pentru a personaliza propriile aplicații schema în conformitate cu cerințele de afaceri, organizarea de date și fluxul de lucru. În acest caz, configurația schema Active Directory corporative rămâne neschimbat. Dezvoltatorii de aplicații pot lucra cu AD LDS instanța locală pe stațiile de lucru, apoi configurați aplicația pentru a lucra cu AD DS schemă după cum este necesar.
În timp ce lucrează la crearea de dezvoltatorii de aplicații preferă să utilizeze pentru un director simplu, care nu necesită ajustarea atentă sau utilizarea de hardware suplimentar. LDS AD pot fi ușor de instalat pe stațiile de lucru, și, de asemenea, pot fi îndepărtate cu ușurință, permițând în orice moment pentru a restabili directorul la starea sa inițială în momentul dezvoltării de aplicații și procesul de depanare.
Configurațiile de stocare a datelor pentru aplicații distribuite
În acest scenariu, o instanță de AD LDS, în calitate de aplicații depozit de date de configurare, vine cu o aplicație distribuită. Astfel, dezvoltatorii nu trebuie să vă faceți griji cu privire la disponibilitatea unui serviciu de director înainte de a instala o aplicație. În schimb, ei pot face AD de instalare instanță LDS este parte a procesului de instalare a aplicației pentru a obține o asigurare că catalogul va fi disponibil imediat după instalarea este completă. Aplicația stabilește servicii AD LDS și administrează ca parte a promis funcționale, și utilizează, de asemenea, directorul AD LDS pentru a lucra cu informațiile necesare.
Migrare aplicatii mai vechi, orientate pentru a lucra cu cataloage
Organizația dvs. poate utiliza directoarele existente cu nume asignarea X.500 standard (O =<организация>,C =<страна>), Care servesc o varietate de aplicații moștenite. S-ar putea dori să se mute aceste directoare pentru AD DS Catalogul de servicii. În acest caz, puteți utiliza serviciul AD LDS ca o soluție intermediară. Aveți posibilitatea să implementați servicii AD LDS pentru întreținere și suport pentru aplicații mai vechi care folosesc X.500 standardele de denumire, în timp ce implementat pe AD DS compania de serviciu va oferi o infrastructură de securitate comună. Puteți utiliza un metadirector, cum ar fi Miis, pentru a sincroniza automat informațiile AD DS și AD LDS, care va asigura un transfer complet armonizat de date. Această schemă este prezentată în figura următoare.
Funcționalitatea rolului AD LDS
Puteți utiliza rolul de server LDS AD pentru a crea mai multe instanțe de servicii AD LDS pe un singur computer. Fiecare instanță ruleaza ca un serviciu separat în propriul context. Rolul AD LDS include următoarele componente pentru a facilita crearea, configurarea și gestionarea LDS AD cazuri:
a crea un AD LDS instanță master
instrumente de linie de comandă pentru efectuarea de instalare nesupravegheate și îndepărtarea automată a LDS AD cazuri
Snap-in consola Microsoft Management Console (MMC) pentru a configura și administra instanțe și LDS AD scheme
Instrumente speciale de linie de comandă pentru gestionarea, umplerea și sincronizarea LDS AD instanțe
În plus față de toate cele de mai sus, puteți utiliza, de asemenea, multe instrumente Active Directory pentru a administra LDS AD cazuri.
Suport pentru Active Directory anticipate - Site-uri și servicii
Această caracteristică vă permite să utilizați un director Active pocnet - Site-uri și servicii pentru a gestiona replicare între serviciile de exemplu AD LDS. Pentru a utiliza acest echipament trebuie să importați clasele listate în MS-ADLDS-DisplaySpecifiers.LDF (fișierul pe care doriți să îl importați utilizând Active Directory Lightweight Directory Services Setup Wizard Wizard) fișier pentru a extinde setul de configurare schemă pe care doriți să gestionați. Pentru conectarea la un AD LDS instanță care conține setul de configurare, specificați numele serverului și portul numărul pe care rulează.
acces dinamic la LDAP (Data Interchange Format) LDIF-fișiere în timpul instalării AD LDS instanță
Această funcție vă permite să acordați acces la propriile LDIF-fișiere în timpul instalării LDS AD serviciu exemplu, plasarea lor în «% SystemRoot% \ ADAM» dosar. Aceste fișiere vor fi în plus față de LDIF-fișier care furnizează serviciul implicit AD LDS.
interogări recursive cu link-uri de atribute imbricate
Această caracteristică vă permite să creați LDAP-interogări care formează atributele sub-link, și pot fi foarte utile pentru a determina membru al grupului și mamă obiecte. Pentru mai multe informații, consultați articolul 914828 (RO) Baza de cunoștințe Microsoft.
Note cu privire la software și hardware
Pentru a determina cerințele pentru serverul dvs., utilizați contoare de performanță, testarea de laborator, datele obținute prin utilizarea echipamentelor existente, precum și desfășurarea de testare a AD directorul LDS.
Instalarea rolul AD LDS
După instalarea sistemului de operare, o listă de sarcini în configurația inițială a serverului. Pentru a instala rolul AD LDS în lista de activități, faceți clic pe linkul Adăugați roluri. și apoi faceți clic pe Active Directory Lightweight Directory link-ul Server.
După ce instalați pe LDS dvs. rolul de server AD, puteți crea un AD LDS instanță. Pentru a face acest lucru, în meniul Start, deschideți folderul Instrumente de administrare, apoi faceți clic pe pictograma Active Directory Lightweight Directory Services Setup Wizard.
Managementul de cazuri de LDS AD
Puteți gestiona LDS AD cazuri prin utilizarea ADSI Edit anticipate. Pentru a face acest lucru, în meniul Start, deschideți folderul Instrumente de administrare, apoi faceți clic pe pictograma ADSI Edit.
informaţii suplimentare
Pentru mai multe informații despre serviciul de LDS AD, faceți clic pe link-ul de ajutor în serverul Server Manager Control fereastra Manager de AD LDS.