(+84) 463.28.7979

Cấu hình dịch vụ Lightweight Directory Service – Phần 2


Trong phần hai này chúng ta sẽ tiếp tục giới thiệu về dịch vụ AD LDS bằng cách khám phá một số công nghệ có thể sử dụng để lên kế hoạch cho quá trình triển khai và cách triển khai dịch vụ AD LDS.

Quá trình lên kế hoạch

Việc lên kế hoạch để triển khai AD LDS quả thực có thể nói là quá trình dùng thử và trải nghiệm lỗi vì Microsoft thực sự không cung cấp nhiều thông tin cần thiết. Nếu tham khảo phần kiến thức tổng quan được giới thiệu trên TechNet về AD LDS tại đây thì bạn sẽ thấy phần nói về những vấn đề liên quan đến phần cứng và phần mềm có đoạn viết “Use performance counters, testing in the lab, data from existing hardware in a production environment, and pilot roll outs to determine the capacity needs of your server” có nghĩa là “Sử dụng các bộ tính hiệu suất, test trong phòng thí nghiệm, dữ liệu được lấy từ phần cứng đang tồn tại trong môi trường sản xuất và những gì có được sẽ giúp bạn xác định được các nhu cầu về dung lượng của máy chủ”.

Vậy thực sự Microsoft nói gì ở đây. Tuyên bố trên của Microsoft có thể được tổng kết lại như sau:
Để triển khai AD LDS, bạn chỉ cần có một máy chủ có khả năng chạy Windows Server 2008. Mặc dù vậy, phụ thuộc vào cách AD LDS đang được sử dụng như thế nào mà máy chủ cần phải có để hỗ trợ luồng công việc theo nó. Nhiệm vụ của chúng ta là cần phải thực hiện các tính toán sao cho bảo đảm phần cứng máy chủ bảo đảm đủ công suất cho công việc cần làm.

Phương pháp lôgic nhất cho việc lên kế hoạch AD LDS là cần biết một số tài nguyên mà AD LDS tiêu tốn và dựa trên đó là những cố gắng của việc lập kế hoạch công suất cho những nguyên nhân gây tiêu tốn tài nguyên đó.

Mặc dù Microsoft không cung cấp nhiều hướng dẫn cho việc lên kế hoạch về mặt dung lượng AD LDS nhưng quả thực quá trình này cũng gần giống như quá trình lên kế hoạch dung lượng mà bạn sử dụng cho các domain controller. Bạn có thể thấy, một máy chủ AD LDS rất giống với một domain controller. Cả máy chủ AD LDS và các domain controller đều cấu hình các dịch vụ thư mục gần như nhau. Việc lập kế hoạch dung lượng Active Directory thường cần phải xét đến số lượng người dùng trong khi đó đối với AD LDS là tính trước số lượng yêu cầu LDAP sẽ tạo ra đối với máy chủ. Mặc dù vậy cả hai quá trình lập kế hoạch này thường yêu cầu bạn phải lập topo và quá trình tạo bản sao.

Sự khác biệt giưa các máy chủ domain controller và máy chủ AD LDS

Mặc dù các máy chủ domain controller và AD LDS có nhiều nét rất giống nhau ở mức kiến trúc nhưng chúng vẫn có một số điểm khác biệt. Các domain controller được sử dụng để xác thực việc đăng nhập và thực thi các chính sách bảo mật của Windows, điều đó cũng có nghĩa rằng một số khía cạnh của việc lập kế hoạch domain controller sẽ không áp dụng được cho quá trình lập kế hoạch cho AD LDS.

Một sự khác biệt như vậy là AD LDS không sử dụng các khái niệm forest giống như Active Directory. Trong môi trường Active Directory, một forest chính là một bộ sưu tập các domain. Dù các forest hoàn toàn độc lập với nhau nhưng chúng vẫn có thể được join với nhau thông qua việc sử dụng ủy thác chung.

AD LDS không sử dụng khái niệm forest và domain giống như các domain controller mà thay vào đó thành phần cấu trúc chính được sử dụng bởi AD LDS là một service instance. Một instance ám chỉ một phân vùng AD LDS riêng. Mỗi một instance thường có một tên dịch vụ, kho lưu trữ dữ liệu thư mục và phần mô tả dịch vụ riêng.

Một vấn đề nữa mà có lẽ các bạn cũng biết đó là một domain controller chỉ có thể phục vụ cho một miền riêng. Ngược lại, một máy chủ riêng chạy AD LDS lại có thể host nhiều instance. Điều đó có nghĩa rằng một máy chủ AD LDS có thể có nhiều thư mục.

Điều này đã làm nảy sinh một câu hỏi khá thú vị. Trong môi trường Active Directory, các máy khách truyền thông với các domain controller bằng cách sử dụng Lightweight Directory Access Protocol (LDAP). Giống như hầu hết các giao thức khác, LDAP được thiết kế để sử dụng một số cổng cụ thể nào đó. Cho ví dụ, LDAP thường sử dụng cổng 389 cho việc truy vấn thư mục. Nếu cần đến mã hóa truyền thông LDAP thì cổng 636 sẽ được sử dụng thay vì. Các domain controller đóng vai trò các máy chủ global catalog sẽ sử dụng cổng 3268 và 3269 cho chức năng liên quan. Và đến đây bạn sẽ tự hỏi vậy AD LDS sẽ sử dụng cổng nào.

Quả thực AD LDS không quan tâm đến việc thực hiện bất cứ chức năng global catalog nào vì vậy chúng ta có thể loại bỏ trường hợp sử dụng cổng 3268 và 3269 ngay từ đầu. Tuy nhiên AD LDS sử dụng các cổng 389 và 636 chính xác như những gì một domain controller sử dụng.

Vậy điều gì sẽ xảy ra nếu một máy chủ đang hosting nhiều AD LDS instance? Thông thường, instance đầu tiên được tạo sẽ được gán sử dụng các cổng 389 và 636. Khi instance thứ hai được tạo, Windows sẽ thấy các cổng này đang được sử dụng và bắt đầu quét các cổng chưa được sử dụng khác bắt đầu từ cổng 50,000. Giả định rằng cổng 50,000 hiện có sẵn khi đó nó sẽ được sử dụng cho truyền thông LDAP chuẩn với AD LDS instance thứ hai. Cổng 50,001 sẽ được sử dụng cho truyền thông LDAP có mã hóa SSL với AD LDS instance thứ hai.

Nếu bạn tạo một AD LDS instance thứ ba trên máy chủ thì Windows sẽ nhận biết rằng các cổng 389 và 636 đã được sử dụng, vì vậy nó sẽ tìm kiếm các cổng chưa được sử dụng khác bắt đầu từ 50,000. Tuy nhiên do các cổng  50,000 và 50,001 đã được gán nên phân vùng LDAP sẽ được gán cho các cổng 50,002 và 50,003.

Các yêu cầu DNS

Một sự khác biệt nữa giữa Active Directory và AD LDS là, Active Directory hoàn toàn phụ thuộc vào các máy chủ DNS. Không có DNS, Active Directory sẽ không thể hoạt động. Trong khi đó AD LDS lại không yêu cầu DNS.

Trong một số trường hợp, Active Directory sử dụng DNS như một cơ chế để duy trì kiến trúc thứ bậc của miền. Tuy nhiên do không có kiến trúc thứ bận miền có liên quan với AD LDS nên DNS đối với chúng là không cần thiết.

Cài đặt dịch vụ AD LDS

Việc cài đặt AD LDS quả thực rất đơn giản. Để thực hiện việc cài đặt này, bạn chỉ cần mở Server Manager, sau đó kích vào liên kết Add Roles. Lúc này Windows sẽ khởi chạy Add Roles Wizard. Kích Next để băng qua màn hình chào và bạn sẽ bắt gặp màn hình hiển thị tất cả các role máy chủ có sẵn.

Tích vào mục chọn Active Directory Lightweight Directory Services như hiển thị trong hình A bên dưới.

Active-Directory

Hình A: Dịch vụ AD LDS

Kích Next, bạn sẽ thấy một màn hình xuất hiện để giải thích AD LDS là gì và nó có thể làm những gì. Tiếp tục kích Next, Windows sẽ hiển thị một thông báo xác nhận chỉ thị rằng sẽ được cài đặt role máy chủ AD LDS. Kích nút Install để bắt đầu quá trình cài đặt này.

Toàn bộ quá trình cài đặt chỉ mất khoảng 30s. Sau khi kết thúc quá trình cài đặt, kích nút Close để hoàn tất. Không giống như một số role máy chủ Windows 2008, việc cài đặt role AD LDS không yêu cầu bạn phải khởi động lại máy chủ.

Kết luận

Trong phần hai này đã giới thiệu cho các bạn một số khác biệt giữa Active Directory và AD LDS. Trong phần ba của loạt bài này, chúng tôi sẽ giới thiệu một số kiến thức cơ bản trong quá trình làm việc với AD LDS.

Theo Windowsnetworking

Leave a Reply

Your email address will not be published. Required fields are marked *

You may use these HTML tags and attributes: <a href="" title=""> <abbr title=""> <acronym title=""> <b> <blockquote cite=""> <cite> <code> <del datetime=""> <em> <i> <q cite=""> <strike> <strong>