配置Active Directory轻量级目录服务（1）

轻量级目录服务是用于在应用程序需要访问目录服务的情况，但你不想冒险损害您的Active Directory数据库。在本文中，将向您介绍轻量级目录服务，它的用途，和能力。当微软推出Windows 2000 Active Directory，没过多久，人们开始意识到Active Directory真是多中心数据库，和Active Directory可以使用为目的，它从来就不是。一会儿，好像几乎所有的软件供应商在设计他们的产品是活动目录集成。许多这样的应用程序的配置信息存储在ActiveDirectory，有的甚至是到目前为止作为治疗真正的活动目录作为一种替代一个SQL数据库和存储在ActiveDirectory数据库的实际应用数据。今天，大多数第三方软件出版商似乎少侵入性的方法，他们与Active Directory接口的方法。许多应用程序读取ActiveDirectory数据，但不是很多的应用程序似乎把这些数据存储在ActiveDirectory，就像几年前。虽然我只能推测这原因，我怀疑这件事的事实与Active Directory已成为网络基础设施的重要组成部分，许多管理者都不愿意进行不必要的架构扩展（这几乎总是需要在Active Directory支持应用程序，存储数据）。尽管软件发布者不得使用Active Directory到相当的程度，他们曾经做的那样，我认为它是安全的说，活动目录可以支持各种应用中是非常有用的。为了让你明白我的意思，事实上，微软还设计了许多具有高度的Active Directory整合他们的服务器应用程序。Exchange Server 2007和Exchange Server 2010为例，在这样一种方式，所有的服务器配置信息存储在ActiveDirectory的设计，而不是存储在本地服务器上的。这样做的优势是它可以使再生失败服务器上飞。假设你有一个灾难性的硬盘故障在Exchange 2010服务器，主办了集线器传输服务器角色。因为，Exchange存储在ActiveDirectory配置信息的方式，你甚至不会恢复为一个备份来解决问题。相反，你会开始将计算机帐户服务器在Active Directory失败。你将安装Windows和任何适用的服务包上一个新的服务器。接下来，您将指定服务器相同的计算机名为你的失败服务器使用，和新的服务器连接到Active Directory。因为你重置活动目录的计算机帐户，新的服务器能够使用它。从那里，固定的问题是运行Exchange Server安装程序与一个特殊的开关一样简单。安装程序将安装必要的二进制文件，然后配置服务器根据Active Directory中找到的配置信息。新的服务器可以在不到一个小时的运行，并没有恢复备份。我的观点是，Active Directory可以应用的支持是非常有用的，但是，许多软件出版商不愿意使用它在某种程度上，微软，因为羞耻是连接到Active Directory架构扩展。另一个原因，你不会看到更多的软件出版商存储多个ActiveDirectory中的数据必须与Active Directory复制。一般来说，这是存储在Active Directory中任何的数据必须被复制到所有的域中的域控制器（甚至可能是所有的林中的域控制器）。例如，如果应用程序存储大量的ActiveDirectory中的数据，该数据可能会影响正常的复制过程的速度，特别是如果数据变化频繁。尽管有这些挑战，有一种方法可以从Active Directory集成的好处，而不影响的过程中，你的活动目录数据库。Windows Server 2008和Windows Server 2008 R2包括服务称为轻型目录服务，或AD LDS。Windows Server 2003中也存在类似的服务，但被称为Active Directory应用程序模式（或亚当）。如果你不熟悉AD LDS，它为你提供了一个环境，是非常相似的，但完全分开，活动目录。AD LDS是一个独立的服务，已在Active Directory服务不依赖。事实上，它是常见的部署在没有Active Directory域存在环境AD LDS。这样一个完美的例子是微软Exchange服务器的情况。我之前说过Exchange Server 2007和2010都是设计来存储他们的所有配置信息在ActiveDirectory数据库。就是这可是一个很大的例外。Exchange服务器定义了一系列的角色，决定了Exchange服务器配置，以及哪些任务服务器执行。所有的服务器角色是设计用来存储在Active Directory服务器配置。服务器角色，不使用Active Directory被称为边缘传输服务器角色。边缘传输服务器的目的是驻留在网络边界和保持其他Exchange服务器被直接暴露在互联网上。因为边缘传输服务器暴露于各种基于互联网的威胁，使它的ActiveDirectory域的成员可能是一个潜在的安全风险。如果有人能够妥协的边缘传输服务器，他们可以用它来获得有关Active Directory信息。为了防止这种情况的发生，边缘传输服务器不能是一个域的成员，它不能带有任何其他Exchange服务器角色。即便如此，边缘传输服务器需要访问最少的Active Directory信息以便它能做的工作。而不是提供服务器直接访问Active Directory，微软已经设计了边缘传输服务器角色使用AD LDS。一个后端Exchange服务器读取需要的信息，活动目录，并将信息发送到边缘传输服务器上的AD LDS分区。这样，边缘传输服务器可以访问其信息需求，而不能访问Active Directory。顺便说一句，边缘传输服务器存储自己的配置信息在AD LDS分区，正如其他Exchange服务器角色配置信息储存在Active Directory。结论现在我已经谈到了AD LDS是它是干什么用的，我想把我的注意力在自己的组织中使用这项服务。在2部分中，我将讨论的硬件和软件要求使用AD LDS。