通過使用 Windows Server? 2008 Active Directory(R) 輕型目錄服務(wù) (AD LDS) 角色 [以前稱為 Active Directory 應(yīng)用程序模式 (ADAM)]�����,可以為已啟用目錄的應(yīng)用程序提供目錄服務(wù)�����,而無需占用域和林中的開銷���,并且不要求在整個(gè)林中只使用一個(gè)架構(gòu)��。
在下面的部分中���,將了解到有關(guān) AD LDS 服務(wù)器角色�����、其中的功能以及進(jìn)行安裝時(shí)的軟件和硬件注意事項(xiàng)的詳細(xì)信息。
AD LDS 是為已啟用目錄的應(yīng)用程序提供靈活支持的輕型目錄訪問協(xié)議 (LDAP) 目錄服務(wù),它沒有 Active Directory 域服務(wù) (AD DS) 必需的依存關(guān)系�����。AD LDS 提供的許多功能都與 AD DS 相同��,但是無需部署域或域控制器����。可以在一臺(tái)計(jì)算機(jī)上同時(shí)運(yùn)行多個(gè) AD LDS 實(shí)例�,每個(gè) AD LDS 實(shí)例都有一個(gè)獨(dú)立管理的架構(gòu)。
AD DS 為 Microsoft(R) Windows Server 服務(wù)器操作系統(tǒng)和已啟用目錄的應(yīng)用程序均提供目錄服務(wù)���。對(duì)于服務(wù)器操作系統(tǒng)���,AD DS 存儲(chǔ)有關(guān)網(wǎng)絡(luò)設(shè)施、用戶和組以及網(wǎng)絡(luò)服務(wù)等的關(guān)鍵信息���。在此角色下�����,AD DS 在整個(gè)林中必須遵循單一架構(gòu)�����。
另一方面���,AD LDS 服務(wù)器角色還專門為已啟用目錄的應(yīng)用程序提供目錄服務(wù)�����。AD LDS 不需要或不依賴 Active Directory 域或林��。但是��,在有 AD DS 的環(huán)境中���,AD LDS 可以使用 AD DS 對(duì) Windows 安全主體進(jìn)行身份驗(yàn)證。
以下部分描述了常用的 AD LDS 企業(yè)目錄解決方案��。
提供企業(yè)目錄存儲(chǔ)
對(duì)于企業(yè)來說,AD LDS 是成熟的 LDAP 目錄解決方案���。所有已啟用目錄的企業(yè)應(yīng)用程序都可以使用 AD LDS 作為其目錄存儲(chǔ)。
AD LDS 可以將僅與應(yīng)用程序有關(guān)的“專用”目錄數(shù)據(jù)存儲(chǔ)在本地目錄服務(wù)(可能位于與應(yīng)用程序相同的服務(wù)器上)中��,而無需向服務(wù)器操作系統(tǒng)目錄中添加任何其他配置����。此僅與應(yīng)用程序有關(guān)并且不必廣泛復(fù)制的數(shù)據(jù)單獨(dú)存儲(chǔ)在與應(yīng)用程序關(guān)聯(lián)的 AD LDS 目錄中。該解決方案減少了服務(wù)該服務(wù)器操作系統(tǒng)目錄的域控制器之間的網(wǎng)絡(luò)流量�。但是,如有必要�����,您可以將此數(shù)據(jù)配置為在多個(gè) AD LDS 實(shí)例之間復(fù)制�。
企業(yè)應(yīng)用程序必須經(jīng)常將與經(jīng)過身份驗(yàn)證的用戶相關(guān)聯(lián)的個(gè)性化數(shù)據(jù)存儲(chǔ)在 AD DS 中。將此個(gè)性化數(shù)據(jù)存儲(chǔ)在 AD DS 中將需要更改 AD DS 架構(gòu)�。這種情況下,應(yīng)用程序可以使用 AD LDS 來存儲(chǔ)特定于應(yīng)用程序的數(shù)據(jù)(如策略和管理信息)��,而使用 AD DS 中的用戶主體進(jìn)行身份驗(yàn)證以及控制對(duì) AD LDS 中對(duì)象的訪問����。這種解決方案將不需要每個(gè) AD LDS 目錄擁有其自己的用戶數(shù)據(jù)庫���。因此,這種解決方案可以防止每次向網(wǎng)絡(luò)中引入新的已啟用目錄的應(yīng)用程序時(shí)最終用戶的用戶 ID 和密碼的繁殖����。
提供 Extranet 身份驗(yàn)證存儲(chǔ)
考慮 Web 門戶應(yīng)用程序的示例,該應(yīng)用程序管理對(duì)企業(yè)業(yè)務(wù)應(yīng)用程序和位于企業(yè) AD DS 外部的服務(wù)標(biāo)識(shí)的 Extranet 訪問����。另一個(gè)示例是一個(gè)承載方案,該方案中提供商通過維護(hù)和更新客戶專用的 Web 或數(shù)據(jù)服務(wù)器為其客戶提供域和存儲(chǔ)服務(wù)��,而客戶無需具有訪問這些服務(wù)器的權(quán)限�。
在 Extranet 中部署的這些服務(wù)器和門戶應(yīng)用程序都需要具有自定義標(biāo)識(shí)。它們要求進(jìn)行身份驗(yàn)證存儲(chǔ)以保存它們所服務(wù)的標(biāo)識(shí)的授權(quán)信息�。AD LDS 是此身份驗(yàn)證存儲(chǔ)的最佳候選,因?yàn)樗梢猿休d非 Windows 安全主體但可以使用 LDAP 簡(jiǎn)單綁定進(jìn)行身份驗(yàn)證的用戶對(duì)象����。換言之,Web 客戶端可以由門戶應(yīng)用程序提供服務(wù)���,當(dāng)將 AD LDS 用作簡(jiǎn)單的 LDAP 身份驗(yàn)證存儲(chǔ)時(shí)���,這些應(yīng)用程序可以在任何平臺(tái)上運(yùn)行�����。
如果在 Extranet 中部署的門戶應(yīng)用程序必須服務(wù)當(dāng)前位于企業(yè)防火墻之外經(jīng)過 AD DS 身份驗(yàn)證的內(nèi)部標(biāo)識(shí)�����,則您仍然可以借助在 AD LDS 的 Extranet 實(shí)例上設(shè)置的這些標(biāo)識(shí)的企業(yè)帳戶憑據(jù)將 AD LDS 部署為身份驗(yàn)證存儲(chǔ),如下圖所示���。
還可以將 AD LDS 部署為 Extranet 身份驗(yàn)證存儲(chǔ)以及 Active Directory 聯(lián)合身份驗(yàn)證服務(wù) (AD FS)��。此配置使 Web 單一登錄 (SSO) 技術(shù)能夠借助單一用戶帳戶對(duì)多個(gè) Web 應(yīng)用程序的用戶進(jìn)行身份驗(yàn)證���。有關(guān)詳細(xì)信息�,請(qǐng)參閱“Active Directory 聯(lián)合身份驗(yàn)證服務(wù)概述”(http://go.microsoft.com/fwlink/?LinkId=95311)(可能為英文網(wǎng)頁)�����。
合并標(biāo)識(shí)系統(tǒng)
您可能擁有一個(gè)方案�,在該方案中對(duì)企業(yè)已啟用目錄的應(yīng)用程序施加數(shù)據(jù)模型限制[如單一 LDAP 分區(qū)視圖或單一組織單位 (OU) 視圖]����,該應(yīng)用程序必須訪問與經(jīng)過 AD DS 身份驗(yàn)證的用戶��、應(yīng)用程序或位于企業(yè)的多個(gè)林�����、域或 OU 中的網(wǎng)絡(luò)資源關(guān)聯(lián)的數(shù)據(jù)����。必須將多個(gè) Active Directory 林、域和 OU 或多個(gè)標(biāo)識(shí)系統(tǒng)和其他目錄(如人力資源數(shù)據(jù)庫�����、SAP 數(shù)據(jù)庫���、電話目錄等等)中的此已啟用目錄的應(yīng)用程序的標(biāo)識(shí)信息進(jìn)行合并���。
AD LDS 提供一個(gè)合并的目錄解決方案,因?yàn)槟梢詫⑵渑c元目錄一起部署�。元目錄,如 Microsoft Identity Integration Server (MIIS) 或者是免費(fèi)的輕型版本的 MIIS 的 Microsoft Identity Integration Feature Pack (IIFP),可以通過在 AD DS 和 AD LDS 之間執(zhí)行身份集成�、目錄同步、帳戶設(shè)置和取消設(shè)置以及密碼同步�����,為已啟用目錄的應(yīng)用程序提供有關(guān)企業(yè)用戶�����、應(yīng)用程序���、網(wǎng)絡(luò)資源的所有已知標(biāo)識(shí)信息的統(tǒng)一視圖,如下圖所示�。
為 AD DS 和 AD LDS 提供開發(fā)環(huán)境
由于 AD LDS 使用的編程模型與 AD DS 相同�����,并且提供的管理體驗(yàn)也幾乎與 AD DS 相同��,因此它非常適合于正在暫存和測(cè)試各種 Active Directory 集成的應(yīng)用程序的開發(fā)人員���。例如�,如果正在開發(fā)的應(yīng)用程序需要一個(gè)不同于當(dāng)前服務(wù)器操作系統(tǒng) AD DS 的架構(gòu),則應(yīng)用程序開發(fā)人員可以使用 AD LDS 為該應(yīng)用程序提供一個(gè)量身定制的架構(gòu)�,該架構(gòu)適合于業(yè)務(wù)需求、數(shù)據(jù)要求以及工作流程�,而沒有改變企業(yè) Active Directory 部署的配置。開發(fā)人員可以在開發(fā)人員工作站上使用 AD LDS 的本地實(shí)例���,之后再將該應(yīng)用程序移動(dòng)到 AD DS���。
開發(fā)人員可能希望擁有一個(gè)簡(jiǎn)單的目錄,他們可以輕松對(duì)其進(jìn)行編程�,而無需在開發(fā)過程中擴(kuò)展設(shè)置或硬件支持。AD LDS 在開發(fā)人員工作站上易于安裝或卸載�����。這樣便允許在應(yīng)用程序原型制作和部署過程中迅速還原為清除狀態(tài)�����。
為分布式應(yīng)用程序提供配置存儲(chǔ)
您可能擁有一個(gè)分布式應(yīng)用程序�,該應(yīng)用程序要求具有多主機(jī)更新和復(fù)制功能的配置存儲(chǔ)來服務(wù)其多個(gè)組件,例如�,訪問網(wǎng)絡(luò)和應(yīng)用程序端口數(shù)據(jù)的防火墻應(yīng)用程序、訪問電子郵件地址列表的垃圾郵件篩選應(yīng)用程序或訪問企業(yè)和策略數(shù)據(jù)的工作流程應(yīng)用程序��。對(duì)于此類應(yīng)用程序,可以將 AD LDS 部署為輕型配置存儲(chǔ)���,如下圖所示�。
在此方案中���,作為應(yīng)用程序配置存儲(chǔ)服務(wù)的 AD LDS 實(shí)例與分布式應(yīng)用程序捆綁在一起��。采用這種方法����,應(yīng)用程序設(shè)計(jì)者不必在安裝該應(yīng)用程序之前擔(dān)心目錄服務(wù)的可用性��。相反�����,它們可以將 AD LDS 作為其應(yīng)用程序安裝過程的一部分包含����,以確保安裝后該應(yīng)用程序立即具有訪問目錄服務(wù)的權(quán)限����。然后該應(yīng)用程序根據(jù)應(yīng)用程序?qū)?AD LDS 管理的暴露程度完全自己或部分自己配置和管理 AD LDS,并且它使用 AD LDS 來解決其各種數(shù)據(jù)要求。
遷移舊版已啟用目錄的應(yīng)用程序
您的組織可能使用一個(gè)具有 X.500 樣式命名(O=<組織>��,C=<國家>) 的已建立的目錄來服務(wù)各種舊版應(yīng)用程序�����,但它也可能希望將其企業(yè)目錄遷移到 AD DS����。在此方案中,您可以使用 AD LDS 作為臨時(shí)解決方案��?��?梢圆渴?AD LDS 以服務(wù)依賴于 X.500 樣式命名的舊版應(yīng)用程序并為其提供支持�����,可以在企業(yè)中使用 AD DS 來提供共享安全基礎(chǔ)結(jié)構(gòu)�?��?梢允褂迷夸洠ㄈ?MIIS)自動(dòng)同步 AD DS 和 AD LDS 中的數(shù)據(jù)以便獲得無縫的遷移體驗(yàn)�。下圖介紹了此 AD LDS 部署�。
可以使用 AD LDS 服務(wù)器角色在一臺(tái)計(jì)算機(jī)上創(chuàng)建多個(gè) AD LDS 實(shí)例。每個(gè)實(shí)例都作為獨(dú)立的服務(wù)在其自身的執(zhí)行上下文中運(yùn)行�。AD LDS 服務(wù)器角色包括以下功能,以便于創(chuàng)建�、配置和管理 AD LDS 實(shí)例:
- 用于引導(dǎo)您完成創(chuàng)建 AD LDS 實(shí)例過程的向?qū)?br>
- 用于執(zhí)行無人參與安裝和刪除 AD LDS 實(shí)例的命令行工具
- 用于配置和管理 AD LDS 實(shí)例的 Microsoft 管理控制臺(tái) (MMC) 管理單元,包括每個(gè)實(shí)例的架構(gòu)
- 用于管理���、填充和同步 AD LDS 實(shí)例的 AD LDS 特定命令行工具
除這些工具以外��,還可以使用許多 Active Directory 工具來管理 AD LDS 實(shí)例�����。
Windows Server 2008 操作系統(tǒng)包括下表中列舉的其他 AD LDS 功能���。
| 功能 |
描述 |
|
從媒體安裝 (IFM) 生成
|
借助此功能,可以使用單步的 Ntdsutil.exe 或 Dsdbutil.exe 進(jìn)程為后續(xù) AD LDS 安裝創(chuàng)建安裝媒體�����。
|
|
審核 AD LDS 更改
|
借助此功能��,可以使用新的審核子類別來設(shè)置 AD LDS 審核��,以便在對(duì)對(duì)象及其屬性進(jìn)行更改時(shí)記錄舊值和新值��。
|
|
數(shù)據(jù)挖掘工具
|
借助此功能���,無需重新啟動(dòng)服務(wù)器���,即可查看聯(lián)機(jī)存儲(chǔ)在不同時(shí)間點(diǎn)獲取的快照中的目錄數(shù)據(jù),以便更好地決定要還原的數(shù)據(jù)���。
|
|
對(duì) Active Directory 站點(diǎn)和服務(wù)的支持
|
借助此功能����,可以使用 Active Directory 站點(diǎn)和服務(wù)管理單元來管理 AD LDS 實(shí)例之間的復(fù)制。若要使用該工具���,您必須導(dǎo)入 MS-ADLDS-DisplaySpecifiers.LDF 中的類����,以擴(kuò)展您要管理的配置集架構(gòu)����。若要連接到托管您的配置集的 AD LDS 實(shí)例,請(qǐng)指定托管此 AD LDS 實(shí)例的服務(wù)器的計(jì)算機(jī)名稱和端口號(hào)����。
|
|
實(shí)例設(shè)置過程中的 LDAP 數(shù)據(jù)交換格式 (LDIF) 文件的動(dòng)態(tài)列表。
|
借助此功能�,除了隨 AD LDS 一起提供的默認(rèn) LDIF 文件外,還可以通過將自定義 LDIF 文件添加到 %systemroot%\ADAM 目錄中��,使自定義 LDIF 文件可用于 AD LDS 實(shí)例設(shè)置過程中���。
|
|
遞歸鏈接屬性查詢:
|
借助此功能�����,可以創(chuàng)建跟蹤嵌套屬性鏈接的單個(gè) LDAP 查詢����。對(duì)于確定組成員身份和體系�,該功能非常有用。有關(guān)詳細(xì)信息����,請(qǐng)參閱 Microsoft 知識(shí)庫中的文章 914828 (http://go.microsoft.com/fwlink/?LinkId=94828)(可能為英文網(wǎng)頁)。
|
操作系統(tǒng)安裝完成后,將出現(xiàn)初始配置任務(wù)列表��。若要安裝 AD LDS,請(qǐng)?jiān)谌蝿?wù)列表中單擊“添加角色”��,然后單擊“Active Directory 輕型目錄服務(wù)器”��。
在向服務(wù)器中添加 AD LDS 服務(wù)器角色之后�,可以創(chuàng)建一個(gè) AD LDS 實(shí)例。若要?jiǎng)?chuàng)建 AD LDS 實(shí)例��,請(qǐng)單擊“開始”��,指向“管理工具”���,然后單擊“Active Directory 輕型目錄服務(wù)安裝向?qū)А?/strong>��。
注意
