(+84) 463.28.7979

Cấu hình dịch vụ Active Directory Lightweight Directory Service Phần 1


Giới thiệu

Dịch vụ Active Directory Lightweight Directory Service rất hữu ích cho các tình huống trong đó các ứng dụng cần truy cập vào một dịch vụ thư mục, nhưng bạn không muốn có nguy cơ ảnh hưởng đến cơ sở dữ liệu Active Directory của bạn. Trong bài viết này, bạn sẽ được giới thiệu về khả năng, và sử dụng dịch vụ Active Directory Lightweight Directory Service.
Khi Microsoft giới thiệu Active Directory với Windows 2000, nó đã không đi lâu dài trước khi con người bắt đầu nhận ra rằng Active Directory đã được thực sự ít hơn một cơ sở dữ liệu tập trung và rằng Active Directory có thể được sử dụng cho mục đích mà nó đã không bao giờ muốn .
Có vẻ như là hầu hết các nhà cung cấp phần mềm thiết kế sản phẩm của họ là tích hợp Active Directory. Nhiều ứng dụng như lưu trữ thông tin cấu hình của họ trong Active Directory và thậm chí cho đến nay là thực sự sử dụng Active Directory như là một thay thế cho một cơ sở dữ liệu SQL và lưu trữ dữ liệu ứng dụng thực tế trong các cơ sở dữ liệu Active Directory.
Ngày nay, hầu hết các nhà xuất bản phần mềm bên thứ ba dường như có ít phương pháp xâm hại đến cách mà họ giao tiếp với Active Directory. Nhiều ứng dụng đọc dữ liệu Active Directory, nhưng gần như không có vẻ nhiều ứng dụng để lưu trữ dữ liệu trong Active Directory như đã làm một vài năm trở lại. Mặc dù tôi chỉ có thể suy đoán về lý do cho điều này, tôi nghi ngờ rằng nó có cái gì để làm với thực tế là Active Directory đã trở thành một thành phần quan trọng của cơ sở hạ tầng mạng và nhiều quản trị viên không muốn thực hiện lược đồ không mở rộng cần thiết (mà hầu như luôn luôn cần thiết để hỗ trợ các ứng dụng lưu trữ dữ liệu trong Active Directory).
Mặc dù các nhà xuất bản phần mềm không thể sử dụng Active Directory trong phạm vi của họ đã từng làm, tôi nghĩ rằng là an toàn để nói rằng Active Directory có thể rất hữu ích để hỗ trợ các ứng dụng khác nhau. Để cho bạn thấy những gì có nghĩa là hãy xem xét thực tế là Microsoft vẫn còn nhiều mẫu thiết kế của ứng dụng máy chủ của họ với một mức độ cao tích hợp Active Directory. Exchange Server 2007 và Exchange Server 2010 chẳng hạn, được thiết kế theo cách mà tất cả các thông tin cấu hình máy chủ được lưu trữ trong Active Directory, thay vì được lưu trữ cục bộ trên máy chủ. Các lợi thế để làm như vậy là nó làm cho nó có thể tạo một máy chủ không thành công khi đang sử dụng.
Ví dụ: Giả sử rằng bạn đã có một thất hư hỏng khốc với đĩa cứng trên một máy chủ Exchange 2010 đã được đăng Hub Transport Server Role. Do cách thức mà Exchange lưu trữ thông tin cấu hình của nó trong Active Directory, bạn sẽ không phải khôi phục lại một sao lưu dự phòng để khắc phục vấn đề. Thay vào đó, bạn sẽ bắt đầu bằng cách cài đặt lại tài khoản máy tính cho máy chủ bị lỗi trong Active Directory. Sau đó bạn sẽ cài đặt Windows và các gói dịch vụ có thể áp dụng trên một máy chủ mới. Tiếp theo, bạn sẽ chỉ định tên máy chủ giống với như máy chủ bị lỗi của bạn và tham gia vào máy chủ mới với Active Directory. Bởi vì bạn thiết lập lại tài khoản máy tính Active Directory, máy chủ mới lúc này mới có thể sử dụng nó.
Từ đó, sửa chữa vấn đề đơn giản bằng cách chạy chương trình cài đặt Exchange Server với một chuyển đổi đặc biệt. Thiết lập cài đặt những chương trình cần thiết và sau đó cấu hình máy chủ theo thông tin cấu hình được tìm thấy trong Active Directory. Máy chủ mới có thể chạy trong vòng chưa đầy một giờ và không bao giờ khôi phục lại một sao lưu.
Quan điểm của tôi là Active Directory có thể rất hữu ích cho việc hỗ trợ ứng dụng, nhưng rất nhiều nhà sản xuất phần mềm miễn cưỡng sử dụng nó, vì những sự kỳ thị đó là gắn liền với việc mở rộng giản đồ Active Directory.
Một lý do tại sao bạn không thấy nhà sản xuất phần mềm lưu trữ nhiều hơn rất nhiều dữ liệu trong Active Directory đã làm với bản sao Active Directory. Nói chung, bất kỳ dữ liệu được lưu trữ trong Active Directory phải được nhân rộng đến tất cả các bộ điều khiển miền trong miền (thậm chí có thể là tất cả các bộ điều khiển miền trong rừng). Như vậy, nếu một ứng dụng được lưu trữ với một khối lượng lớn dữ liệu trong Active Directory, dữ liệu có thể tác động đến tốc độ của quá trình sao chép bình thường – đặc biệt nếu đó là dữ liệu thay đổi thường xuyên.
Mặc dù với những thách thức này nhưng có một cách để gặt hái những lợi ích của việc tích hợp Active Directory, và không có tác động đến cơ sở dữ liệu Active Directory của bạn. Windows Server 2008 và Windows Server 2008 R2 tích hợp một dịch vụ gọi là Active Directory Lightweight Directory hoặc AD LDS. Một dịch vụ tương tự cũng tồn tại trong Windows Server 2003 tên là Active Directory Application Mode (hoặc ADAM).
Trong trường hợp bạn không quen thuộc với AD LDS, nó cung cấp cho bạn một môi trường rất tương tự, nhưng hoàn toàn tách biệt Active Directory. AD LDS là một dịch vụ độc lập mà không phụ thuộc vào dịch vụ thư mục Active Directory. Trong thực tế, nó được phổ biến để triển khai AD LDS trong các môi trường trong đó không có Active Directory tồn tại.
Một ví dụ hoàn hảo của tình hình như vậy là Microsoft Exchange Server. Trước đó tôi đã nói rằng Exchange Server 2007 và 2010 đều được thiết kế để lưu trữ tất cả các thông tin cấu hình của họ trong cơ sở dữ liệu Active Directory. Có một ngoại lệ lớn tuy nhiên. Exchange Server định nghĩa một loạt các vai trò đó ra lệnh một máy chủ Exchange được cấu hình và những nhiệm vụ máy chủ thực hiện. Tất cả như một trong những vai trò máy chủ được thiết kế để lưu trữ các cấu hình máy chủ trong Active Directory.
Vai trò máy chủ mà không sử dụng Active Directory được biết đến như là Edge Transport Server Role. Máy chủ Edge Transport được thiết kế để cư trú tại vành đai mạng và giữ cho Exchange Server khỏi bị tiếp xúc trực tiếp với Internet.
Bởi vì máy chủ Edge Transport tiếp xúc với các mối đe dọa khác nhau dựa trên Internet, làm cho là thành viên của một miền Active Directory có thể là một nguy cơ bảo mật tiềm ẩn. Nếu ai đó đã có thể thỏa hiệp máy chủ Edge Transport Server họ có thể sử dụng nó để có được thông tin về Active Directory.
Để giữ cho điều này không xảy ra, Edge Transport Server không thể là một thành viên miền và nó không thể lưu trữ bất kỳ vai trò Exchange Server khác. Mặc dù vậy, Edge Transport Server không đòi hỏi phải truy cập vào một số tiền tối thiểu của các thông tin Active Directory để nó có thể làm công việc của mình. Thay vì cung cấp máy chủ có thể truy cập trực tiếp tới Active Directory, Microsoft đã thiết kế vai trò Edge Transport Server sử dụng AD LDS.
Một trong những máy chủ Exchange phụ trợ đọc các thông tin cần thiết từ Active Directory và gửi thông tin vào phân vùng AD LDS trên máy chủ Edge Transport. Bằng cách đó, Edge Transport Server đã truy cập vào các thông tin mà nó cần, mà không thể truy cập Active Directory. Ngẫu nhiên, Edge Transport Server cũng lưu thông tin cấu hình riêng của mình trong phân vùng AD LDS, cũng giống như vai trò Exchange Server lưu trữ thông tin cấu hình trong Active Directory.
Kết luận
Bây giờ tôi đã nói về những gì về AD LDS và nó được sử dụng, tôi muốn chuyển sự chú ý của tôi để sử dụng dịch vụ này trong tổ chức của riêng bạn. Trong phần 2, tôi sẽ bắt đầu thảo luận về phần cứng và các yêu cầu phần mềm để sử dụng AD LDS.

Leave a Reply

Your email address will not be published. Required fields are marked *