Active Directory Lightweight Directory Service – قسمت اول

سرویس Active Directory Lightweight Directory یا به اختصار AC LDS یکی از سرویس های ۵ گانه مرتبط با تکنولوژی اکتیو دایرکتوری در ویندوز سرور ۲۰۰۸ است. در ویندوز سرور ۲۰۰۳ سرویسی مشابه AD LDS به نام  Active Directory Application Mode یا به اختصار ADAM موجود بود که اکنون AD LDS با برتری هایی که نسبت به ADAM دارد جایگزین شده است. همانطور که از اسم این سرویس مشخص است سرویسی کوچک شده از سرویس AD DS است که در واقع مهمترین وظیفه AD LDS پشتیبانی از نرم افزار هایی است که به سرویس دایرکتوری برای فعالیت خود نیازمند اند اما در شبکه بنا به دلایلی نصب AD DS را مناسب نمی دانیم و یا ترجیح می دهیم سرویس AD DS دست نخورده باقی بماند. یک مثال پرکاربرد، نرم افزار Microsoft Exchange Server 2007 است که تمام اطلاعات کاربران در این برنامه با سرویس دایرکتوری نگه داری می شود. زمانی که Microsoft Exchange Server 2007 را نصب می کنید، در AD DS Schema مواردی را اضافه می کند که تقریبا شاید حجم را به ۲ برابر می رساند. تغییر روی Schema شاید کار جالبی نباشد چرا که این تغییر همیشگی است و غیرقابل حذف شدن است، هرچند می توان آن را غیر فعال کرد. از طرفی، روز به روز شاهد افزایش تعداد برنامه های Active Directory integrated (برنامه های یکپارچه با AD) هستیم که بسیاری از آنها Schema را ویرایش می کنند. با توجه به آنکه ممکن است نخواهید یک برنامه Schema را در محیط اکتیو دایرکتوری شما ویرایش کند، راهکار AD LDS بسیار راهکار خوبی است. البته در آینده در خصوص بهترین طراحی اکتیو دایرکتوری و سناریوهای مرتبط با هر کدام از سرویس های ۵ گانه صحبت خواهم کرد.

در هر حال زمانی که قصد نصب یک نرم افزار که Schema را تغییر می دهد دارید باید با دقت کافی عمل کنید چرا که سرویس اکتیو دایرکتوری برای سالیان بسیاری در محیط کاری شما باقی می ماند. حتی با به روز شدن نسخ ویندوز سرور و سرویس اکتیو دایرکتوری، از مهاجرت به نسخه جدید تر ویندوز و یا Upgrade استفاده خواهید کرد بنابراین اگر تغییری در Schema ایجاد شود ممکن است تا بیش از یک دهه باقی بماند. حال ممکن است از نرم افزار اتوماسیون اداری استفاده می کنید که Schema را ویرایش می کند، با عوامل مختلفی ممکن است آن نرم افزار دیگر تولید نشود و یا در هر عوامل دیگری ایجاد شود که مجبور خواهید شد از نرم افزار دیگری استفاده کنید. همانند آنکه آن برنامه دیگر نیازهای سازمان شما را برآورده نمی کند و به استفاده از نرم افزار دیگری روی می آورید.  اکنون با توجه به آنکه تغییرات روی Schema قابل حذف نیستند، بسیاری از اطلاعات بیهوده نگه داری می شوند، زمان replication بالا می رود و … .

سرویس AD LDS می تواند تمام نیاز های یک نرم افزار یکپارچه با AD را بر آورده کند و سرویس AD DS دست نخورده باقی بماند.(در خصوص Global Catalog دقت کنید) به اضافه آنکه به اعتبارات گروهی Enterprise Administrator و Schema Administrator برای ویرایش AD LDS نیاز نیست و مدیران شبکه هر بخش می توانند خود به مدیریت بپردازند. مدیریت AD LDS آسان تر است و حتی نصب آن به Restart بی نیاز است. AD LDS مشابه AD DS از پروتکل Lightweight Directory Access Protocol یا LDAP استفاده می کند  و بنابراین یک ساختار سلسله مراتبی دارد. نکته قابل توجه دیگر آن است بر خلاف اکتیو دایرکتوری دامین سرویس، Directory Partition در AD LDS از نامگذاری پروتکلهای X500 پشتیبانی به عمل می آورد. AD LDS از Global Catalog و Trusts بهره نمی برد و فاقد Group Policy ، X509 و PKIs است. (Public key infrastructure) لزومی ندارد AD LDS روی یک دامین کنترلر Run شود و می تواند با ابزار Backup ویندوز سرور ۲۰۰۸ یکپارچه کار کند.

بهبود های AD LDS نسبت به ADAM

۱٫ امکان نصب در Server Core
۲٫امکان Auditing پیشرفته
۳٫ پشتیبانی از سایت ها مشابه AD DS
۴٫ پشتیبانی از ابزار Database Mounting Tool  یا در واقع Dsamain.exe که در ریکاوری بسیار مفید است.
و بسیاری دیگر

پیشنیاز های نصب AD LDS

۱٫ سیستم عامل مورد پشتیبانی همانند Windows Server 2008, Enterprise Edition
۲٫ یک User Account با داشتن حقوق مدیریتی Local

پیشنیاز های حذف AD LDS

۱٫ حذف کردن تمام نرم افزارهای مرتبط از طریق Programs & Features از کنترل پنل
۲٫ یک User Account با داشتن حقوق مدیریتی Local

نصب Active Directory Lightweight Directory Service

adlds1 به Server Manager بروید و در قسمت Roles گزینه Add Roles را بزنید. در ویزاردی که باز می شود Active Directory Lightweigh Directory Services را انتخاب کنید و سپس نصب را انجام دهید. اکنون باید مرحله دوم را انجام دهید. می توانید به Administrative Tools بروید و Active DActive Directory Lightweigh Directory Services Setup Wizard را بزنید. همچنین می توانید به پوشه (Folder) ویندوز رفته و سپس در آن پوشه adam رفته و adaminstall را بزنید. به عبارت دیگر به systemroot%adam% بروید.

پیش نیاز ها

نصب  AD LDS مشابه AD DS شامل دو مرحله است. مرحله اول نصب Role بود که در قسمت قبل انجام شد، مرحله دوم تنظیمات اولیه است که در اینجا بررسی می شوند:

آ. توصیه می شود یک پارتیشن یا والیوم به غیر از پارتیشنی که سیستم عامل روی آن قرار دارد را جهت نصب نمونه آماده کنید.

ب. یک نام که توصیه می شود یک نام با معنی انتخاب کنید.

پ. پورت ها، AD LDS و AD DS هر دو از پورت های یکسان برای انتقال اطلاعات استفاده می کنند (به صورت پیش فرض) این پورت ها شامل LDAP یا پورت ۳۸۹ و LDAP Over SSL یا Secure LDAP پورت ۶۳۶ است. به اضافه آنکه AD DS از دو پورت ۳۲۶۸ برای دسترسی به GC با پروتکل LDAP و پورت ۳۲۶۹ که برای دسترسی به GC با Secure LDAP استفاده می کند. بدیهی است از آنجایی که GC در AD LDS موجود نیست، این دو پورت بدون استفاده برای AD LDS هستند. این مسئله تداخل پورت ها دلیل خوبی برای آن است که روی یک سرور AD LDS و AD DS را با هم اجرا نکنیم هرچند که ویزارد می تواند به صورت خودکار این تداخل را تشخیص دهد و در این صورت پورت های ۵۰،۰۰۰ , ۵۰،۰۰۱ را به صورت پیش فرض انتخاب می کند و برای موارد اضافی نیز پورت هایی از همان Range انتخاب می کند. می توانید به دلایل خاص این پورت ها را تغییر دهید مثلا زمانی که در اشغال نرم افزار دیگری هستند و در غیر این صورت تغییر پورت ها توصیه نمی شود. اگر در یک محیط دامین این کار را انجام می دهید توصیه می شود پورت های ۵۰،۰۰۰ را انتخاب کنید.

ت. یک نام برای Active Directory Application Partition می توانید انتخاب کنید. این نام باید یک نام DN یا distinguished name باشد که به عنوان مثال به این شکل نوشته می شودCN=AppPartADLDS,DC=Contoso=DC=com . اینکه یک Application Partition ایجاد کنید یا خیر بستگی به نیاز محیط عملیاتی شما دارد. همانطور که می دانید App. Partition برای کنترل replication در یک سرویس دایرکتوری کاربرد دارد. به عنوان مثال زمانی که یک Active Directory Intergrated Zone در MS DNS ایجاد می کنید، از یک پارتیشن برای همسان سازی اطلاعات استفاده خواهد شد. یک App. Partition برای AD LDS هم برای کنترل ترافیک Replication کاربرد دارد. در سه روش می توان یک Application Partition مربوط به AD LDS ایجاد کرد. زمامی که سرویس را نصب می کنید. زمانی که نرم افزاری نصب می کنید که وابسته به سرویس است و یا به صورت دستی و با استفاده از دستور LDP.exe. توصیه می شود اگر نرم افزاری نصب می کنید که به صورت خودکار App. Partition نمی سازد در زمان نصب سرویس یک Application Partition بسازید.

ث. یک Account برای اجرای سرویس نیاز خواهید داشت. هرچند می توانید از اشتراک Network Service استفاده کنید اما در برخی سناریو ها مثلا زمانی که چندین نمونه را همزمان به کار می گیرید و یا مواردی که اعتبارات خاص نیاز است استفاده از Network Serivce ناکارآمد خواهد بود. برای ساخت یک Account دیگر اقدام کنید و توصیه های زیر را در نظر بگیرید:

– اگر در محیط اکتیو دایرکتوری هستید یک Domain Account بسازید و در غیر این صورت Local Account بسازید.

– نام Account با نام نمونه (Instance) یکی باشد.

– از یک پسورد بسیار ایمن استفاده کنید. (بسیار پیچیده باشد)

– گزینه های  User Cannot change Password و  The Passowd Never Expire را انتخاب کنید.

– در هر کامپیوتری که میزبان نمونه است (نمونه را روی آن می سازید) حق Logon as a Service را به Account بدهید. (از طریق Local Security Policy در صورت در دسترس بودن)

– برای Auditing حتما گزینه های مربوطه را تنظیم کنید.

ج. گروهی که مدیران AD LDS هستند. بهتر است همواره یک گروه را انتخاب کنید  حتی اگر آن گروه شامل یک کاربر باشد. بهتر است یک گروه هم نام با نمونه بسازید و اگر در دامین هستید، یک Domain Group و اگر نیستید یک Local Group  بسازید. خود را در آن گروه عضو کنید.

چ. فایل های LDIF یا Light Weight Directory Interchange Format که سبب توانایی هایی برای AD LDS علاوه بر توانایی ها پیش فرض می شود. این فایل ها در systemroot%Adam% قرار می گیرند. به عنوان مثال برای هماهنگ شدن AD DS با AD LDS باید فایل ms-AdamSyncMetaData.ldif را انتخاب کنید. می توانید فایل های جدیدی اضافه کنید اما فایل های موجود به شرح زیر اند:

–  فایل ms-ADAM-upgrade-1.ldf : به روز رسانی Schema به آخرین ورژن موجود.

– فایل ms-ADAMSchemaw2k3.ldf : برای همکاری با اکتیو دایرکتوری در ویندوز سرور ۲۰۰۳ پیش نیاز و لازم است.

– فایل ms-ADAMSchemaw2k8.ldf : برای همکاری با اکتیو دایرکتوری در ویندوز سرور ۲۰۰۸ پیش نیاز و لازم است.

– فایل ms-ADAMSyncMetadata.ldf : برای همکاری با یک جنگل AD DS با AD LDS پیش نیاز و لازم است.

– فایل ms-ADLDS-DisplaySpecifiers.ldf : برای استفاده از کنسول Active Directory Sites & Services  در AD LDS لازم است.

– فایل ms-InetOrgperson.ldf : برای ساختن کلاس های InetOrgPreson User لازم است.

– فایل ms-User.ldf : برای ساخت کلاس های کاربری (User Classes) لازم است.

– فایل ms-UserProxy.ldf : برای ساختن کلاس ساده ی UserProxy لازم است.

– فایل ms-UserProxyFull.ldf : برای ساختن کلاس کامل UserProxy لازم است. ms-UserProxy.ldf یا ms-inetOrgPerson.ldf نیز در صورت انتخاب این گزینه باید انتخاب شوند.

شروع به تنظیمات

۱) ویزارد AD LDS Setup Wizard را مطابق آنچه پیش از این توضیح داده شد اجرا کنید و Welcome ویزارد را بخوانید و Next بزنید.

۲) در گام بعدی در خصوص آنکه آیا یک نمونه (instance) جدید ایجاد شود یا یک Replica از یک instance موجود ایجاد شود سوال می شود. دقت داشته باشید که اگر یک New instance ایجاد کنید (یعنی A unique instance را انتخاب کنید) ، نمونه جدید نمی تواند با نمونه های گذشته Replication انجام دهد. اگر می خواهید که یک Replica از یک نمونه ی AD LDS موجود ایجاد کنید، گزینه A Replica of an existing instance را انتخاب کنید. من فعلا گزینه اول را انتخاب می کنم. با زدن Next به مرحله بعدی Wizard بروید.

۳) در این مرحله باید یک نام برای نمونه جدید انتخاب کنید.

۴)  در مرحله بعدی باید با توجه به آنچه در بخش پیش نیاز ها گفته شد، پورت ها را انتخاب کنید. با زدن Next به مرحله بعدی می رویم.

۵) در این مرحله باید معین کنیم که آیا App. Partition ساخته شود یا خیر، با توجه به آنچه در پیش نیاز ها گفته شد.

۶) در این مرحله باید محل قرار گیری فایل های سرویس دایرکتوری را معین کنیم که به صورت پیش فرض در مسیری مشابه C:Program FilesMicrosoft ADAMInsanceNameData ذخیره می شود. InstanceName نام نمونه است و به توصیه پیش نیاز توجه کنید. با زدن Next به مرحله بعدی می رویم.

۷) اکنون باید Account مناسب را با توجه به مباحث پیش نیاز معین کنیم.

۸) در مرحله بعدی باید مدیر (ها) سرویس AD LDS را معین کنیم. توصیه می شود یک گروه را انتخاب کنید.

۹) حال باید فایل LDIF را برای Import شدن انتخاب کنیم.

۱۰) با زدن Next فرآیند نصب را تایید می کنیم و نصب شدن آغاز می شود. به Restart شدن نیازی نیست.

2 دیدگاه در Active Directory Lightweight Directory Service – قسمت اول

  1. مهندس دستتون درد نکنه
    واقعا مطالب در عین سادگی و خوب توضیح داده شدند.
    اگه امکانش باشه که تصاویر و یا فیلم مربوطه هم گذاشته بشه خیلی به یادگیری کمک می کنه
    در هر حال از وقتی که برای نوشتن این مطالب می گذارین و البته به اشتراک گذاری مطالبی که براش سالها زحمت کشیدین و بی هیچ چشم داشتی در اختیار دوست داران این حوزه می گذارین نهایت تشکر رو دارم
    توضیحات ارزشمندی چون مطالب شما رو تو این رشته که می بینم بیشتر به لذت دانش مخصوصا تو آی تی پی میبرم

پاسخ دهید

نشانی ایمیل شما منتشر نخواهد شد. بخش‌های موردنیاز علامت‌گذاری شده‌اند *