.png){kind=spacer}
Neues in den AD DS: Active Directory-Webdienste
Letzte Aktualisierung: Januar 2009
Betrifft: Windows Server 2008 R2
Welche Aufgabe haben die Active Directory-Webdienste?
Active Directory-Webdienste (Active Directory Web Services, ADWS) unter Windows Server 2008 R2 ist ein neuer Windows-Dienst, der eine Webdienstschnittstelle für Active Directory-Domänen, AD LDS-Instanzen (Active Directory Lightweight Directory Services) und Instanzen des Active Directory-Datenbankaktivierungstools bereitstellt, die auf demselben Server unter Windows Server 2008 R2 wie ADWS ausgeführt werden. Wenn ADWS auf einem Server unter Windows Server 2008 R2 beendet oder deaktiviert wird, können Clientanwendungen, wie das Active Directory-Modul für Windows PowerShell oder das Active Directory-Verwaltungscenter, nicht auf Verzeichnisdienstinstanzen auf diesem Server zugreifen bzw. diese verwalten.
ADWS wird automatisch installiert, wenn Sie AD DS- oder AD LDS-Serverrollen zum Server unter Windows Server 2008 R2 hinzufügen. ADWS ist so konfiguriert, dass der Dienst ausgeführt wird, wenn der Server unter Windows Server 2008 R2 durch Ausführen von Dcpromo.exe in einen Domänencontroller verwandelt wird oder wenn eine AD LDS-Instanz auf dem Server unter Windows Server 2008 R2 erstellt wird.
 Warnung |
|---|
| Für eine einwandfreie Ausführung von ADWS muss der TCP-Port 9389 auf dem Domänencontroller geöffnet sein, auf dem der Dienst ausgeführt wird. Wenn Sie den Firewall mithilfe eines Gruppenrichtlinienobjekts konfigurieren, müssen Sie das Gruppenrichtlinienobjekt so aktualisieren, dass dieser Port für ADWS geöffnet ist. |
Für wen ist ADWS von Interesse?
Die folgenden Gruppen sind möglicherweise an ADWS unter Windows Server 2008 R2 interessiert:
- Erstbenutzer von Windows Server 2008 R2 sowie IT-Planer und -Analysten, die Windows Server 2008 R2 technisch beurteilen.
- Enterprise IT-Planer und -Entwickler
- AD DS-Managementteams
- AD DS-Administratoren
Gibt es spezielle Überlegungen?
 Hinweis |
|---|
| Wenn ein Serverauthentifizierungszertifikat einer vertrauenswürdigen Zertifizierungsstelle bereits auf dem Server unter Windows Server 2008 R2 vorhanden und ADWS installiert ist, können Sie diesen Abschnitt überspringen. |
ADWS legt Endpunkte offen, die die folgenden Authentifizierungsmechanismen unterstützen:
- Integrierte Windows-Authentifizierung unter Verwendung der Kerberos-Authentifizierung mit Anmeldeinformationen, die delegiert werden können.
- Einfache Authentifizierung (Nur-Text-Benutzername und -Kennwort)
Damit ADWS Endpunkte offenlegen kann, die die einfache Authentifizierung unterstützen, müssen Sie ein Serverauthentifizierungszertifikat von einer vertrauenswürdigen Zertifizierungsstelle in Ihrer Organisation, z. B. einer Microsoft-Zertifizierungsstelle, oder einer vertrauenswürdigen Zertifizierungsstelle eines Drittanbieters auf dem Server unter Windows Server 2008 R2 anfordern und erhalten.
Angenommen, Sie müssen beispielsweise ein Serverauthentifizierungszertifikat für ADWS installieren, das eine Webdienstschnittstelle für eine AD LDS-Instanz bereitstellt, die auf einem Server unter Windows Server 2008 R2 in einer Arbeitsgruppenumgebung ausgeführt wird. In diesem Fall muss die einfache Authentifizierung verwendet werden, da das Kerberos-Authentifizierungsprotokoll nicht für die Authentifizierung von Arbeitsgruppenbenutzern verwendet werden kann.
Dieses Serverauthentifizierungszertifikat wird zur Authentifizierung des Servers beim Client und zum Schutz von Benutzername und Kennwort des Clients im Netzwerk durch Verschlüsseln des Kommunikationskanals verwendet. Weitere Informationen zum Installieren und Verwenden einer Zertifizierungsstelle finden Sie in den Artikeln zu den Zertifikatdiensten (http://go.microsoft.com/fwlink/?LinkId=48952, möglicherweise in englischer Sprache).
|
Hinweis |
|---|
| Das zu installierende oder importierende Zertifikat muss für die Serverauthentifizierung gekennzeichnet sein. |
Nachdem Sie das Zertifikat von einer vertrauenswürdigen Zertifizierungsstelle erhalten haben, müssen Sie es auf dem Server, auf dem ADWS ausgeführt wird, installieren oder importieren. Wenn Sie ein Zertifikat von einer vertrauenswürdigen Zertifizierungsstelle auf dem Server unter Windows Server 2008 R2 installieren oder importieren und ADWS installiert ist, wird empfohlen, dass Sie das Zertifikat im persönlichen Zertifikatspeicher des lokalen Computers speichern. Sie können das Zertifikat-Snap-In von Windows Server 2008 R2 zum Installieren oder Importieren Ihrer Zertifikate verwenden. Weitere Informationen finden Sie in den Artikeln zu "Zertifikate: So wird es gemacht" (http://go.microsoft.com/fwlink/?LinkId=99765, möglicherweise in englischer Sprache).
Nach der Installation des erforderlichen Serverauthentifizierungszertifikats auf dem Server unter Windows Server 2008 R2 müssen Sie ADWS beenden und neu starten:
- Sie können ADWS durch Ausführen des folgenden Befehls an einer Eingabeaufforderung beenden: net stop ADWS.
- Sie können ADWS durch Ausführen des folgenden Befehls an einer Eingabeaufforderung starten: net start ADWS.
Welche neuen Funktionen bietet ADWS?
In ADWS gibt es eine Vielzahl von Konfigurationsparametern, die bestimmen, wie der von Administratoren generierte Datenverkehr von ADWS unter Windows Server 2008 R2 verarbeitet wird. Administratoren können AD DS-Domänen, AD LDS-Instanzen und Instanzen des Active Directory-Datenbankaktivierungstools mithilfe von Anwendungen wie z. B. dem Active Directory-Modul oder dem Active Directory-Verwaltungscenter verwalten. Diese Konfigurationsparameter werden in der Datei Microsoft.ActiveDirectory.WebServices.exe.config im Verzeichnis %WINDIR%\ADWS gespeichert.
Durch Bearbeiten der Datei Microsoft.ActiveDirectory.WebServices.exe.config können Sie diese Konfigurationsparameter anpassen, um Datenverkehr zu berücksichtigen, der an ADWS in den Active Directory-Umgebungen gerichtet ist. Alle Änderungen, die Sie auf einem bestimmten Domänencontroller an den ADWS-Konfigurationsparametern vornehmen, wirken sich nur auf ADWS aus, der auf diesem bestimmten Domänencontroller ausgeführt wird. Wenn Sie also Änderungen an der Datei Microsoft.ActiveDirectory.WebServices.exe.config auf einem Domänencontroller in einer bestimmten Domäne oder Gesamtstruktur vornehmen, werden diese nicht auf andere Domänencontroller in dieser Domäne oder Gesamtstruktur repliziert.
In der folgenden Tabelle werden die Namen, Standardwerte und Beschreibungen der ADWS-Konfigurationsparameter aufgeführt, die bestimmen, wie ADWS den Verkehr verarbeitet, der von Administratoren generiert wird, die AD DS- und AD LDS-Instanzen sowie Instanzen des Active Directory-Datenbankaktivierungstools mit dem Active Directory-Modul oder dem Active Directory-Verwaltungscenter verwalten.
 Wichtig |
|---|
| Sie sollten die Standardwerte dieser Parameter nur ändern, wenn die Werte Sie daran hindern, von ADWS unterstützte Verzeichnisdienstinstanzen mit dem Active Directory-Modul oder dem Active Directory-Verwaltungscenter effizient zu verwalten. |
| Parametername | Standardwert | Beschreibung | ||
|---|---|---|---|---|
|
MaxConcurrentCalls |
32 |
Gibt die maximale Anzahl gleichzeitiger Dienstanforderungen an, die ADWS gemäß Konfiguration zu einem bestimmten Zeitpunkt verarbeiten kann. Legen Sie einen höheren Wert für diesen Parameter fest, wenn ADWS auf dem Server unter Windows Server 2008 R2 in der Lage sein muss, mehr als 32 Dienstanforderungen zu einem bestimmten Zeitpunkt zu verarbeiten. |
||
|
MaxConcurrentSessions |
500 |
Gibt die maximale Anzahl von Clientsitzungen an, die ADWS zu einem bestimmten Zeitpunkt annehmen kann. Legen Sie einen höheren Wert für diesen Parameter fest, wenn ADWS auf dem Server unter Windows Server 2008 R2 in der Lage sein muss, mehr als 500 gleichzeitige Clientsitzungen zu einem bestimmten Zeitpunkt anzunehmen. |
||
|
MaxReceivedMessageSize |
1 MB |
Gibt die maximale Größe der Meldungsanforderung in MB (Megabyte) an, die ein Clientcomputer an die Verzeichnisdienstinstanzen senden kann, die von ADWS unterstützt werden. Diese Einstellung kann sich auf den Speicherbedarf von ADWS auswirken. Wenn MaxConcurrentCalls beispielsweise auf 32 festgelegt ist und MaxReceivedMessageSize auf 1 MB festgelegt ist, ist ADWS so konfiguriert, dass der Dienst Clientmeldungsanforderungen mit maximal 32 MB zu einem bestimmten Zeitpunkt verarbeiten kann. |
||
|
MaxStringContentLength |
32 KB |
Gibt die maximale Zeichenfolgengröße im KB (Kilobyte) eines LDAP-Attributs (Lightweight Directory Access-Protokoll) an, die ADWS gemäß Konfiguration in einer Meldungsanforderung verarbeiten kann, die von einem Clientcomputer an eine von ADWS unterstützte Verzeichnisdienstinstanz gesendet wird. Wenn Sie diesen Wert erhöhen, kann der maximal mögliche Speicherbedarf von ADWS steigen. |
||
|
MaxPoolConnections |
10 |
Gibt die maximale Anzahl von LDAP-Verbindungen für jede Verzeichnisdienstinstanz an, die von ADWS auf einem bestimmten Server unter Windows Server 2008 R2 verwendet wird. Wenn beispielsweise MaxPoolConnections auf einem bestimmten Server unter Windows Server 2008 R2 auf 10 festgelegt ist und drei Verzeichnisdienstinstanzen auf diesem Server ausgeführt werden, verwendet ADWS maximal 10 LDAP-Verbindungen zu diesen einzelnen Verzeichnisdienstinstanzen, um an ADWS gesendete Anforderungen zu verarbeiten. Zusammen mit MaxConcurrentCalls kann sich dies auf die maximale Einstellung gleichzeitiger Anforderungen auswirken, die ADWS verarbeiten kann. Legen Sie diesen Parameter auf einen höheren Wert fest, wenn Sie feststellen, dass es zu Timeouts der Clientdienstanforderungen kommt, während diese auf eine verfügbare LDAP-Verbindung zum Verarbeiten ihrer Anforderung warten.
|
||
|
MaxPercentageReservedConnections |
50% |
Gibt den Prozentsatz der LDAP-Verbindungen an, der zum Ausführen von Abfragevorgängen für die einzelnen Verzeichnisdienstinstanzen reserviert ist, die ADWS auf einem bestimmten Server unter Windows Server 2008 R2 unterstützt. Legen Sie einen höheren Prozentwert für diesen Parameter fest, wenn ADWS auf diesem Server unter Windows Server 2008 R2 vorrangig zum Ausführen von Abfragen verwendet wird. |
||
|
MaxConnectionsPerUser |
5 |
Gibt die maximale Anzahl von LDAP-Verbindungen (zu einer einzelnen Verzeichnisdienstinstanz) an, die ADWS zu einem bestimmten Zeitpunkt für Vorgänge zulässt, die einem einzelnen Satz von Anmeldeinformationen (einem Benutzer) zugeordnet sind. Legen Sie einen höheren Wert für diesen Parameter fest, wenn Sie mehr als fünf gleichzeitige Clientanforderungen eines Benutzers an eine einzelne Verzeichnisdienstinstanz auf Ihrem Server unter Windows Server 2008 R2 feststellen. Der Wert von MaxConnectionsPerUser darf nicht größer sein als der Wert von MaxPoolConnections. Wenn die Werte von MaxConnectionsPerUser und MaxPoolConnections gleich hoch sind, kann ein einzelner Satz von Anmeldeinformationen (für einen einzelnen Clientcomputer) alle verfügbaren LDAP-Verbindungen für eine bestimmte Verzeichnisdienstinstanz in Anspruch nehmen. |
||
|
MaxEnumContextExpiration |
30 Minuten |
Gibt die maximal zulässige Zeitspanne an, während der ADWS die Ergebnisse einer Abfrageanforderung von einem Clientcomputer verarbeitet und abruft.
|
||
|
MaxPullTimeout |
2 Minuten |
Gibt den maximal zulässigen Zeitlimitwert an, den ein Clientcomputer beim Abrufen einer Seite mit Suchergebnissen festlegen kann. Legen Sie einen höheren Wert für diesen Parameter fest, wenn langsamer WAN-Datenverkehr (Wide Area Network) beim Zurückgeben einer Seite mit Suchergebnissen zu einem Zeitlimitwert führt, der über zwei Minuten liegt.
|
||
|
MaxEnumCtxsPerSession |
5 |
Gibt die maximale Anzahl von Suchanforderungen (Suchkontexten) an, die über eine einzelne Clientsitzung an ADWS gesendet werden dürfen. |
||
|
MaxEnumCtxsTotal |
100 |
Gibt die maximale Anzahl von Suchanforderungen (Suchkontexten) an, die über alle aktiven Clientsitzungen an ADWS gesendet werden dürfen. |
Vorsicht Wenn Sie die Werte der ADWS-Konfigurationsparameter ändern möchten, ändern Sie die Datei Microsoft.ActiveDirectory.WebServices.exe.config in einem Text-Editor und speichern Sie sie dann im Verzeichnis %WINDIR%\ADWS auf dem Server unter Windows Server 2008 R2. Nach dem Ändern der Datei Microsoft.ActiveDirectory.WebServices.exe.config ist es ratsam, ADWS zu beenden und anschließend neu zu starten:
- Sie können ADWS durch Ausführen des net stop ADWS-Befehls an einer Eingabeaufforderung beenden.
- Sie können ADWS durch Ausführen des net start ADWS-Befehls an einer Eingabeaufforderung starten.
|
Hinweis |
|---|
| Mehrere ADWS-Konfigurationsparameter in dieser Tabelle wirken sich auf die Bandbreiteneinschränkung auf einem Server unter Windows Server 2008 R2 aus, auf dem ADWS ausgeführt wird. Es wird empfohlen, dass Administratoren nur die Standardwerte der folgenden Parameter ändern: MaxConcurrentCalls, MaxConcurrentSessions, MaxReceivedMessageSize und MaxStringContentLength. |
Wie kann ich die Bereitstellung von ADWS vorbereiten?
ADWS wird automatisch installiert, wenn Sie AD DS- oder AD LDS-Serverrollen zum Server unter Windows Server 2008 R2 hinzufügen. ADWS ist so konfiguriert, dass der Dienst ausgeführt wird, wenn der Server unter Windows Server 2008 R2 in einen Domänencontroller durch Ausführen von Dcpromo.exe verwandelt wird oder wenn eine AD LDS-Instanz auf dem Server unter Windows Server 2008 R2 erstellt wird.
In welchen Editionen ist ADWS enthalten?
ADWS ist in den folgenden Editionen von Windows Server 2008 R2 verfügbar:
- Windows Server 2008 R2 Standard
- Windows Server 2008 R2 Enterprise
- Windows Server 2008 R2 Datacenter
ADWS ist nicht in den folgenden Editionen von Windows Server 2008 R2 verfügbar:
- Windows Server 2008 R2 für Itanium-basierte Systeme
- Windows Web Server 2008 R2
