(0) exportieren Drucken
Alle erweitern

Active Directory Lightweight Directory Services (Übersicht)

Letzte Aktualisierung: Juli 2007

Betrifft: Windows Server 2008

Mithilfe der Windows Server® 2008-Rolle "Active Directory® Lightweight Directory Services" (AD LDS) (frühere Bezeichnung: Active Directory-Anwendungsmodus (Active Directory Application Mode, ADAM)) können Sie Verzeichnisdienste für verzeichnisfähige Anwendungen bereitstellen. Dabei entfällt der Verwaltungsaufwand für Domänen und Gesamtstrukturen und die Notwendigkeit eines einzigen Schemas in einer Gesamtstruktur.

In den folgenden Abschnitten erfahren Sie mehr zur AD LDS-Serverrolle, ihre Features sowie die Software- und Hardwareanforderungen für die Installation.

Was ist die AD LDS-Serverrolle?

AD LDS ist ein LDAP-Verzeichnisdienst (Lightweight Directory Access-Protokoll), der verzeichnisfähige Anwendungen flexibel unterstützt. Dabei gelten jedoch nicht die für Active Directory-Domänendienste (Active Directory Domain Services, AD DS) erforderlichen Abhängigkeiten. AD LDS bietet eine ähnliche Funktionalität wie AD DS, erfordert jedoch nicht die Bereitstellung von Domänen oder Domänencontrollern. Sie können mehrere Instanzen von AD LDS gleichzeitig auf demselben Computer ausführen. Für jede AD LDS-Instanz wird dann ein eigenes Schema verwaltet.

AD DS stellt sowohl Verzeichnisdienste für das Serverbetriebssystem Microsoft® Windows Server® als auch für verzeichnisfähige Anwendungen bereit. Für das Serverbetriebssystem speichert AD DS wichtige Informationen zur Netzwerkinfrastruktur, zu Benutzern und Gruppen, Netzwerkdiensten usw. In dieser Funktion muss AD DS innerhalb der Gesamtstruktur dasselbe Schema zugrunde legen.

Die AD LDS-Serverrolle stellt hingegen speziell für verzeichnisfähige Anwendungen Verzeichnisdienste bereit. AD LDS erfordert keine Active Directory-Domänen oder -Gesamtstrukturen. In Umgebungen mit AD DS kann AD LDS jedoch zur Authentifizierung von Windows-Sicherheitsprinzipalen auf AD DS zurückgreifen.

Verwendungsbereiche der AD LDS-Serverrolle

In den folgenden Abschnitten werden gemeinsame AD LDS-Unternehmensverzeichnislösungen beschrieben.

Bereitstellen eines Unternehmensverzeichnisspeichers

AD LDS ist eine voll ausgereifte LDAP-Verzeichnislösung für Unternehmen. AD LDS kann von alllen verzeichnisfähigen Unternehmensanwendungen als Verzeichnisspeicher verwendet werden.

In AD LDS können "private" Verzeichnisdaten in einem lokalen Verzeichnisdienst gespeichert werden, die nur für die Anwendung wichtig sind. Dies kann auf demselben Server geschehen, auf dem sich die Anwendung befindet, wobei eine zusätzliche Konfiguration des Betriebssystemverzeichnisses nicht erforderlich ist. Diese nur für die Anwendung wichtigen Daten müssen nicht umfangreich repliziert werden und werden einzig in dem AD LDS-Verzeichnis gespeichert, das sich auf die Anwendung bezieht. Durch diese Lösung wird der Replikationsverkehr im Netzwerk zwischen den Domänencontrollern reduziert, die das Betriebssystemverzeichnis bedienen. Sie können jedoch, falls erforderlich, diese Daten so konfigurieren, dass sie zwischen mehreren Instanzen von AD LDS repliziert werden.

In Unternehmensanwendungen müssen häufig Anpassungsdaten für authentifizierte Benutzer in AD DS gespeichert werden. Für das Speichern dieser Anpassungsdaten in AD DS wären AD DS-Schemaänderungen erforderlich. In diesem Szenario werden von einer Anwendung mit AD LDS anwendungsspezifische Daten gespeichert, beispielsweise Informationen zu Richtlinien und zur Verwaltung, während die Benutzerprinzipale in AD DS zu Authentifizierung und zum Steuern des Zugriffs auf Objekte in AD LDS verwendet werden. Durch diese Lösungen werden getrennte Benutzerdatenbanken für jedes AD LDS-Verzeichnis unnötig. Deshalb wird durch diese Lösung das übermäßige Aufkommen von Benutzer-IDs und Kennwörtern für jede neu im Netzwerk eingeführte verzeichnisfähige Anwendung vermieden.

Bereitstellen eines Extranet-Authentifizierungsspeichers

Nehmen Sie beispielsweise eine für das Unternehmens-AD DS externe Internetportalanwendung zum Verwalten von Extranetzugriff auf Unternehmensgeschäftsanwendungen und -dienstidentitäten. Ein weiteres Beispiel wäre ein Hostingszenario, in dem ein Anbieter seinen Kunden Domänen- und Speicherdienste durch Verwalten und Aktualisieren von benutzerdedizierten Internet- oder Datenservern ohne Benutzerzugriff auf diese Server anbietet.

Diese im Extranet bereitgestellten Server- und Portalanwendungen erfordern Informationen zu Benutzeridentitäten. Das setzt einen Authentifizierungsspeicher zum Speichern von Informationen für die bedienten Identitäten voraus. AD LDS ist deshalb für diesen Authentifizierungsspeicher geeignet, da Benutzerobjekte gehostet werden können, bei denen es sich nicht um Windows-Sicherheitsprinzipale handelt und die durch einfache LDAP-Bindungen authentifiziert werden können. Internetclients können also durch Portalanwendungen bedient werden, die auf jeder Plattform ausgeführt werden können und die dabei AD LDS als einfachen LDAP-Authentifizierungsspeicher verwenden.

Wenn eine in einem Extranet bereitgestellte Portalanwendung interne AD DS-authentifizierte Identititäten bedienen muss, die sich gerade außerhalb der Unternehmensfirewall befinden, können Sie trotzdem AD LDS als Authentifizierungsspeicher mit den Unternehmensanmeldeinformationen dieser Identitäten bereitstellen. Die Bereitstellung findet dann, wie in der folgenden Abbildung gezeigt, auf einer Extranet-Instanz von AD LDS statt.

Bereitstellen eines Extranet-Authentifizierungsspeichers

Sie können AD LDS auch als Extranet-Authentifizierungsspeicher zusammen mit Active Directory-Verbunddiensten (Active Directory Federation Services, AD FS) bereitstellen. Durch diese Konfiguration können sich Benutzer mithilfe der Technologie für Einmaliges Anmelden (SSO, Single-Sign-On) für mehrere Internetanwendungen mit einem einzigen Benutzerkonto authentifizieren. Weitere Informationen finden Sie in der Übersicht zu Active Directory-Verbunddiensten (http://go.microsoft.com/fwlink/?LinkId=95311 (möglicherweise in englischer Sprache).

Konsolidieren von Identitätssystemen

Es ist auch ein Szenario denkbar, in dem eine Datenmodellbeschränkung, wie besipielsweise eine einzelne LDAP-Partitionsansicht oder eine einzelne Organisationseinheitssansicht (OU, Organizational Unit), einer verzeichnisfähigen Unternehmensanwendung auferlegt wird, die auf Daten zugreifen muss, die sich auf AD DS-authentifizierte Benutzer, Anwendungen oder Netzwerkressourcen aus mehreren Strukturen, Domänen oder OUs im Unternehmen beziehen. Identitätsinformationen für diese verzeichnisfähige Anwendung müssen von mehreren Active Directory-Strukturen, Domänen und OUs oder von mehreren Identätssystemen und anderen Verzeichnissen konsolidiert werden, beispielsweise Personalwesendatenbanken, SAP-Datenbanken, Telefondatenbanken, usw.

AD LDS bietet eine Konsolidierungsverzeichnislösung, da es zusammen mit einem Metaverzeichnis bereitgestellt werden kann. Metaverzeichnisse, beispielsweise MIIS (Microsoft Identity Integration Server) oder IIFP (Microsoft Identity Integration Feature Pack), eine frei erhältliche, vereinfachte Version von MIIS, können verzeichnisfähigen Anwendungen eine einheitliche Sicht aller bekannten Identitätsinformationen zu Unternehmensbenutzern, Anwendungen und Netzwerkressourcen durch Ausführen von Identitätsintegration, Verzeichnissynchronisierung, Kontenbereitstellung und -entzug, sowie Kennwortsynchronisierung zwischen AD DS und AD LDS bieten, wie in der folgenden Abbildung gezeigt wird.

Identitätssysteme werden konsolidiert.

Zur Verfügung stellen einer Bereitstellungsumgebung für AD DS und AD LDS

Da in AD LDS dasselbe Programmierungsmodell verwendet und praktisch dieselbe Verwaltungsfreundlichkeit zur Verfügung gestellt wird wie in AD DS, ist es eine gute Wahl für Entwickler, die verschiedene Active Directory-integrierte Anwendungen bereitstellen und testen. Wenn beispielsweise eine Anwendung in der Entwicklung ein anderes Schema als das aktuelle Serverbetriebssystem AD DS erfordert, kann der Anwendungsentwickler mit AD LDS ein genau passendes Schema für die Anwendung zur Verfügung stellen, das für Geschäftsanforderungen, Datenanforderungen und Workflowprozesse funktionsfähig ist, ohne dass die Konfiguration der Active Directory-Bereitstellung des Unternehmens geändert werden muss. Entwickler können mit einer lokalen Instanz von AD LDS auf einer Entwicklerarbeitsstation arbeiten und die Anwendung dann zu einem späteren Zeitpunkt zu AD DS verschieben.

Entwicklern möchten möglicherweise ein einfaches Verzeichnis, für das sie einfach und ohne extensives Setup oder Hardwareunterstützung während des Entwicklungsvorgangs programmieren können. AD LDS ist einfach auf Entwicklerarbeitsstationen zu installieren oder deinstallieren. Hierdurch ist eine schnelle Wiederherstellung auf einen definierten Status während der Anwendungsprototyperstellungen und des -entwicklungsvorgangs möglich.

Bereitstellen eines Konfigurationsspeichers für verteilte Anwendungen

Sie könnten auch über eine vertellte Anwendung verfügen, für die ein Konfigurationsspeicher mit Fähigkeiten zu Multimaster-Update und -Replikation zum Bedienen mehrerer Komponenten erforderlich ist, beispielsweise eine Firewallanwendung, die auf Daten über Netzwerk- und Anwendungsports zugreift, eine Anwendung zum Filtern von Junk-E-Mail, die auf E-Mail-Adresslisten zugreift oder eine Workflow-Anwendung, die auf Unternehmens- und Richtliniendaten zugreift. Sie können, wie in der folgenden Abbildung gezeigt, AD LDS als vereinfachten Konfigurationsspeicher für solche Anwendungen bereitstellen.

Bereitstellen eines Konfigurationsspeichers für verteilte Anwendungen

In diesem Szenario ist eine AD LDS-Instanz, die als Konfigurationsspeicher der Anwendung dient, mit einer verteilten Anwendung gebündelt. Auf diese Art müssen sich die Anwendungsentwickler vor der Installation der Anwendung nicht um die Verfügbarkeit eines Verzeichnisdienstes kümmern. Stattdessen kann AD LDS in den Installationsvorgang der Anwendung eingebunden werden, um sicherzustellen, dass die Anwendung unmittelbar nach der Installation auf einen Verzeichnisdienst zugreifen kann. Dann konfiguriert und verwaltet die Anwendung ganz oder teilweise selbständig AD LDS, je nach Anteil der Anwendung an der AD LDS-Verwaltung. Außerdem werden durch AD LDS die zahlreichen Datenanforderungen angesprochen.

Migrieren von älteren verzeichnisfähigen Anwendungen

Ihre Organisation verwendet möglicherweise ein bereits bestehendes Verzeichnis mit Namen im Stil von X.500 (O=<organization>,C=<country>) um so verschiedene ältere Anwendungen zu bedienen. Das Unternehmensverzeichnis sollte trotzdem zu AD DS migriert werden. In diesem Szenario können Sie AD LDS als Zwischenlösung verwenden. Sie können AD LDS zum Bedienen mit und Bereitstellen von Unterstützung für die älteren Anwendungen bereitstellen, die Namen im Stil von X.500 verwenden, während Sie AD DS im Unternehmen zum Bereitstellen einer Sicherheitsinfrastruktur verwenden können. Sie können ein Metaverzeichnis verwenden, beispielsweise MIIS, und so die Daten in AD DS und AD LDS synchronisieren und eine problemlose Migration durchführen. In der folgenden Abbildung ist diese AD LDS-Bereitstellung beschrieben.

Verzeichnisfähige Legacyanwendungen werden migriert.

Features der AD LDS-Serverrolle

Sie können mit der AD LDS-Serverrolle mehrere AD LDS-Instanzen auf einem einzelnen Computer erstellen. Von jeder Instanz wird ein gesonderter Dienst in einem eigenen Ausführungskontext ausgeführt. Die AD LDS-Serverrolle stellt folgende Features bereit, mit deren Hilfe Sie AD LDS-Instanzen einfach erstellen, konfigurieren und verwalten können:

  • Einen Assistenten, der Sie beim Erstellen einer AD LDS-Instanz unterstützt

  • Befehlszeilentools zur unbeaufsichtigten Installation und zum Entfernen von AD LDS-Instanzen

  • MMC-Snap-Ins (Microsoft Management Console) zum Konfigurieren und Verwalten von AD LDS-Instanzen, einschließlich des Schemas für jede Instanz

  • Spezielle AD LDS-Befehlszeilentools zum Verwalten, Ausfüllen und Synchronisieren von AD LDS-Instanzen

Neben diesen Tools stehen Ihnen noch viele Active Directory-Tools zum Verwalten von AD LDS-Instanzen zur Verfügung.

Das Betriebssystem Windows Server 2008 enthält die zusätzlichen AD LDS-Features der folgenden Tabelle.

 

Feature Beschreibung

IFM-Generierung (Install From Media)

Mit diesem Feature können Sie in einem Schritt mit einem Ntdsutil.exe- oder Dsdbutil.exe-Vorgang Installationsmedien für künftige AD LDS-Installationen erstellen.

Überwachen von AD LDS-Änderungen

Mit diesem Feature können Sie die AD LDS-Überwachung mit einer neuen Überwachungsunterkategorie einrichten. Darin werden alte und neue Werte protokolliert, wenn Objekte und deren Attribute geändert werden.

noteHinweis
Dieses Feature gilt auch für AD DS. Weitere Informationen finden Sie unter AD DS: Überwachung (http://go.microsoft.com/fwlink/?LinkId=94846 möglicherweise in englischer Sprache).

Datenbereitstellungstool

Mit diesem Feature können Sie Verzeichnisdaten anzeigen, die online in zu verschiedenen Zeitpunkten erstellten Snapshots gespeichert sind. So können Sie ohne Neustart des Servers besser entscheiden, welche Daten wiederhergestellt werden sollen.

noteHinweis
Dieses Feature gilt auch für AD DS. Weitere Informationen finden Sie unter AD DS: Datenbereitstellungstool (http://go.microsoft.com/fwlink/?LinkId=94847, möglicherweise in englischer Sprache).

Unterstützung für Active Directory-Standorte und -Dienste

Mit diesem Feature können Sie das Snap-In für Active Directory-Standorte und -Dienste zum Verwalten der Replikation zwischen AD LDS-Instanzen verwenden. Zum Verwenden dieses Tools müssen Sie die Klassen in MS-ADLDS-DisplaySpecifiers.LDF importieren, um das Schema des Konfigurationssatzes, den Sie verwalten möchten, zu erweitern. Zum Herstellen einer Verbindung mit einer AD LDS-Instanz, in der der Konfigurationssatz gehostet wird, geben Sie den Computernamen und die Portnummer eines Servers an, auf dem diese AD LDS-Instanz gehostet wird.

Dynamische Liste der LDIF-Dateien (LDAP Data Interchange Format, LDAP-Datenaustauschformat) bei der Installation der Instanz

Als Ergänzung der LDIF-Standarddateien, die mit AD LDS bereitgestellt werden, können Sie mit diesem Feature benutzerdefinierte LDIF-Dateien bei der Installation der AD LDS-Instanz erstellen. Dazu fügen Sie die Dateien dem Verzeichnis %systemroot%\ADAM hinzu.

Rekursive Abfragen mit verknüpften Attributen:

Mit diesem Feature können Sie eine einzelne LDAP-Abfrage erstellen, die geschachtelten Attributverknüpfungen folgen kann. Dies kann beim Ermitteln der Gruppenmitgliedschaft und Herkunft hilfreich sein. Weitere Informationen finden Sie im Artikel 914828 in der Microsoft Knowledge Base unter http://go.microsoft.com/fwlink/?LinkId=94828 (möglicherweise in englischer Sprache).

Hardware- und Softwareanforderungen

Ermitteln Sie die für den Server benötigte Kapazität mithilfe von Leistungsindikatoren, Tests in der Testumgebung, Daten aus vorhandener Hardware in der Produktionsumgebung und Pilotbereitstellungen.

noteHinweis
 Für die Server Core-Installationsoption von Windows Server 2008 und für Windows Server 2008 für Itanium-basierte Systeme ist ein begrenzter Satz von Serverrollen verfügbar.

Installieren von AD LDS

Wenn Sie die Installation des Betriebssystems abgeschlossen haben, wird eine Liste der Aufgaben zur Erstkonfiguration angezeigt. Klicken Sie in der Taskliste auf Rollen hinzufügen, und klicken Sie dann auf Active Directory Lightweight Directory Services, um AD LDS zu installieren.

Nachdem Sie dem Server die AD LDS-Serverrolle hinzugefügt haben, können Sie eine AD LDS-Instanz erstellen. Zum Erstellen einer AD LDS-Instanz klicken Sie auf Start, zeigen Sie auf Verwaltung, und klicken Sie dann auf Setup-Assistent für Active Directory Lightweight Directory Services.

Verwalten einer AD LDS-Instanz

AD LDS-Instanzen können mit dem MMC-Snap-In ADSI-Editor verwaltet werden. Klicken Sie zum Verwalten einer AD LDS-Instanz auf Start, zeigen Sie auf Verwaltung, und klicken Sie dann auf ADSI-Editor.

Weitere Informationen

Weitere Informationen zu AD LDS finden Sie unter dem Link zur Hilfe zu AD LDS im Server-Manager.

Fanden Sie dies hilfreich?
(1500 verbleibende Zeichen)
Vielen Dank für Ihr Feedback.

Community-Beiträge

HINZUFÜGEN
Anzeigen:
© 2014 Microsoft