轻型目录服务概述

Active Directory 轻型目录服务概述

通过使用 Windows Server? 2008 Active Directory(R) 轻型目录服务 (AD LDS) 角色 [以前称为 Active Directory 应用程序模式 (ADAM)]，可以为已启用目录的应用程序提供目录服务，而无需占用域和林中的开销，并且不要求在整个林中只使用一个架构。

在下面的部分中，将了解到有关 AD LDS 服务器角色、其中的功能以及进行安装时的软件和硬件注意事项的详细信息。

什么是 AD LDS 服务器角色？

AD LDS 是为已启用目录的应用程序提供灵活支持的轻型目录访问协议 (LDAP) 目录服务，它没有 Active Directory 域服务 (AD DS) 必需的依存关系。AD LDS 提供的许多功能都与 AD DS 相同，但是无需部署域或域控制器。可以在一台计算机上同时运行多个 AD LDS 实例，每个 AD LDS 实例都有一个独立管理的架构。

AD DS 为 Microsoft(R) Windows Server 服务器操作系统和已启用目录的应用程序均提供目录服务。对于服务器操作系统，AD DS 存储有关网络设施、用户和组以及网络服务等的关键信息。在此角色下，AD DS 在整个林中必须遵循单一架构。

另一方面，AD LDS 服务器角色还专门为已启用目录的应用程序提供目录服务。AD LDS 不需要或不依赖 Active Directory 域或林。但是，在有 AD DS 的环境中，AD LDS 可以使用 AD DS 对 Windows 安全主体进行身份验证。

何时应该使用 AD LDS 服务器角色？

以下部分描述了常用的 AD LDS 企业目录解决方案。

提供企业目录存储

对于企业来说，AD LDS 是成熟的 LDAP 目录解决方案。所有已启用目录的企业应用程序都可以使用 AD LDS 作为其目录存储。

AD LDS 可以将仅与应用程序有关的“专用”目录数据存储在本地目录服务（可能位于与应用程序相同的服务器上）中，而无需向服务器操作系统目录中添加任何其他配置。此仅与应用程序有关并且不必广泛复制的数据单独存储在与应用程序关联的 AD LDS 目录中。该解决方案减少了服务该服务器操作系统目录的域控制器之间的网络流量。但是，如有必要，您可以将此数据配置为在多个 AD LDS 实例之间复制。

企业应用程序必须经常将与经过身份验证的用户相关联的个性化数据存储在 AD DS 中。将此个性化数据存储在 AD DS 中将需要更改 AD DS 架构。这种情况下，应用程序可以使用 AD LDS 来存储特定于应用程序的数据（如策略和管理信息），而使用 AD DS 中的用户主体进行身份验证以及控制对 AD LDS 中对象的访问。这种解决方案将不需要每个 AD LDS 目录拥有其自己的用户数据库。因此，这种解决方案可以防止每次向网络中引入新的已启用目录的应用程序时最终用户的用户 ID 和密码的繁殖。

提供 Extranet 身份验证存储

考虑 Web 门户应用程序的示例，该应用程序管理对企业业务应用程序和位于企业 AD DS 外部的服务标识的 Extranet 访问。另一个示例是一个承载方案，该方案中提供商通过维护和更新客户专用的 Web 或数据服务器为其客户提供域和存储服务，而客户无需具有访问这些服务器的权限。

在 Extranet 中部署的这些服务器和门户应用程序都需要具有自定义标识。它们要求进行身份验证存储以保存它们所服务的标识的授权信息。AD LDS 是此身份验证存储的最佳候选，因为它可以承载非 Windows 安全主体但可以使用 LDAP 简单绑定进行身份验证的用户对象。换言之，Web 客户端可以由门户应用程序提供服务，当将 AD LDS 用作简单的 LDAP 身份验证存储时，这些应用程序可以在任何平台上运行。

如果在 Extranet 中部署的门户应用程序必须服务当前位于企业防火墙之外经过 AD DS 身份验证的内部标识，则您仍然可以借助在 AD LDS 的 Extranet 实例上设置的这些标识的企业帐户凭据将 AD LDS 部署为身份验证存储，如下图所示。

还可以将 AD LDS 部署为 Extranet 身份验证存储以及 Active Directory 联合身份验证服务 (AD FS)。此配置使 Web 单一登录 (SSO) 技术能够借助单一用户帐户对多个 Web 应用程序的用户进行身份验证。有关详细信息，请参阅“Active Directory 联合身份验证服务概述”(http://go.microsoft.com/fwlink/?LinkId=95311)（可能为英文网页）。

合并标识系统

您可能拥有一个方案，在该方案中对企业已启用目录的应用程序施加数据模型限制[如单一 LDAP 分区视图或单一组织单位 (OU) 视图]，该应用程序必须访问与经过 AD DS 身份验证的用户、应用程序或位于企业的多个林、域或 OU 中的网络资源关联的数据。必须将多个 Active Directory 林、域和 OU 或多个标识系统和其他目录（如人力资源数据库、SAP 数据库、电话目录等等）中的此已启用目录的应用程序的标识信息进行合并。

AD LDS 提供一个合并的目录解决方案，因为您可以将其与元目录一起部署。元目录，如 Microsoft Identity Integration Server (MIIS) 或者是免费的轻型版本的 MIIS 的 Microsoft Identity Integration Feature Pack (IIFP)，可以通过在 AD DS 和 AD LDS 之间执行身份集成、目录同步、帐户设置和取消设置以及密码同步，为已启用目录的应用程序提供有关企业用户、应用程序、网络资源的所有已知标识信息的统一视图，如下图所示。

为 AD DS 和 AD LDS 提供开发环境

由于 AD LDS 使用的编程模型与 AD DS 相同，并且提供的管理体验也几乎与 AD DS 相同，因此它非常适合于正在暂存和测试各种 Active Directory 集成的应用程序的开发人员。例如，如果正在开发的应用程序需要一个不同于当前服务器操作系统 AD DS 的架构，则应用程序开发人员可以使用 AD LDS 为该应用程序提供一个量身定制的架构，该架构适合于业务需求、数据要求以及工作流程，而没有改变企业 Active Directory 部署的配置。开发人员可以在开发人员工作站上使用 AD LDS 的本地实例，之后再将该应用程序移动到 AD DS。

开发人员可能希望拥有一个简单的目录，他们可以轻松对其进行编程，而无需在开发过程中扩展设置或硬件支持。AD LDS 在开发人员工作站上易于安装或卸载。这样便允许在应用程序原型制作和部署过程中迅速还原为清除状态。

为分布式应用程序提供配置存储

您可能拥有一个分布式应用程序，该应用程序要求具有多主机更新和复制功能的配置存储来服务其多个组件，例如，访问网络和应用程序端口数据的防火墙应用程序、访问电子邮件地址列表的垃圾邮件筛选应用程序或访问企业和策略数据的工作流程应用程序。对于此类应用程序，可以将 AD LDS 部署为轻型配置存储，如下图所示。

在此方案中，作为应用程序配置存储服务的 AD LDS 实例与分布式应用程序捆绑在一起。采用这种方法，应用程序设计者不必在安装该应用程序之前担心目录服务的可用性。相反，它们可以将 AD LDS 作为其应用程序安装过程的一部分包含，以确保安装后该应用程序立即具有访问目录服务的权限。然后该应用程序根据应用程序对 AD LDS 管理的暴露程度完全自己或部分自己配置和管理 AD LDS，并且它使用 AD LDS 来解决其各种数据要求。

迁移旧版已启用目录的应用程序

您的组织可能使用一个具有 X.500 样式命名（O=<组织>，C=<国家>） 的已建立的目录来服务各种旧版应用程序，但它也可能希望将其企业目录迁移到 AD DS。在此方案中，您可以使用 AD LDS 作为临时解决方案。可以部署 AD LDS 以服务依赖于 X.500 样式命名的旧版应用程序并为其提供支持，可以在企业中使用 AD DS 来提供共享安全基础结构。可以使用元目录（如 MIIS）自动同步 AD DS 和 AD LDS 中的数据以便获得无缝的迁移体验。下图介绍了此 AD LDS 部署。

AD LDS 服务器角色的功能

可以使用 AD LDS 服务器角色在一台计算机上创建多个 AD LDS 实例。每个实例都作为独立的服务在其自身的执行上下文中运行。AD LDS 服务器角色包括以下功能，以便于创建、配置和管理 AD LDS 实例：

• 用于引导您完成创建 AD LDS 实例过程的向导
  
  
• 用于执行无人参与安装和删除 AD LDS 实例的命令行工具
  
  
• 用于配置和管理 AD LDS 实例的 Microsoft 管理控制台 (MMC) 管理单元，包括每个实例的架构
  
  
• 用于管理、填充和同步 AD LDS 实例的 AD LDS 特定命令行工具
  
  

除这些工具以外，还可以使用许多 Active Directory 工具来管理 AD LDS 实例。

Windows Server 2008 操作系统包括下表中列举的其他 AD LDS 功能。

 

功能	描述
从媒体安装 (IFM) 生成	借助此功能，可以使用单步的 Ntdsutil.exe 或 Dsdbutil.exe 进程为后续 AD LDS 安装创建安装媒体。
审核 AD LDS 更改	借助此功能，可以使用新的审核子类别来设置 AD LDS 审核，以便在对对象及其属性进行更改时记录旧值和新值。 注意 该功能还适用于 AD DS。有关详细信息，请参阅 AD DS：审核 (http://go.microsoft.com/fwlink/?LinkId=94846)（可能为英文网页）。
数据挖掘工具	借助此功能，无需重新启动服务器，即可查看联机存储在不同时间点获取的快照中的目录数据，以便更好地决定要还原的数据。 注意 该功能还适用于 AD DS。有关详细信息，请参阅 AD DS：数据挖掘工具 (http://go.microsoft.com/fwlink/?LinkId=94847)（可能为英文网页）。
对 Active Directory 站点和服务的支持	借助此功能，可以使用 Active Directory 站点和服务管理单元来管理 AD LDS 实例之间的复制。若要使用该工具，您必须导入 MS-ADLDS-DisplaySpecifiers.LDF 中的类，以扩展您要管理的配置集架构。若要连接到托管您的配置集的 AD LDS 实例，请指定托管此 AD LDS 实例的服务器的计算机名称和端口号。
实例设置过程中的 LDAP 数据交换格式 (LDIF) 文件的动态列表。	借助此功能，除了随 AD LDS 一起提供的默认 LDIF 文件外，还可以通过将自定义 LDIF 文件添加到 %systemroot%\ADAM 目录中，使自定义 LDIF 文件可用于 AD LDS 实例设置过程中。
递归链接属性查询：	借助此功能，可以创建跟踪嵌套属性链接的单个 LDAP 查询。对于确定组成员身份和体系，该功能非常有用。有关详细信息，请参阅 Microsoft 知识库中的文章 914828 (http://go.microsoft.com/fwlink/?LinkId=94828)（可能为英文网页）。

硬件和软件注意事项

使用性能计数器、实验室测试、生产环境中现有硬件的数据，以及试行版本确定服务器所需的容量。

注意
可用于 Windows Server 2008 的 Server Core 安装选项以及面向基于 Itanium 的系统的 Windows Server 2008 的一组有限服务器角色。

安装 AD LDS

操作系统安装完成后，将出现初始配置任务列表。若要安装 AD LDS，请在任务列表中单击“添加角色”，然后单击“Active Directory 轻型目录服务器”。

在向服务器中添加 AD LDS 服务器角色之后，可以创建一个 AD LDS 实例。若要创建 AD LDS 实例，请单击“开始”，指向“管理工具”，然后单击“Active Directory 轻型目录服务安装向导”。

管理 AD LDS 实例

可以通过使用 ADSI 编辑 MMC 管理单元来管理 AD LDS 实例。若要管理 AD LDS 实例，请单击“开始”，指向“管理工具”，然后单击“ADSI 编辑”。

详细信息

若要了解有关 AD LDS 的详细信息，请单击服务器管理器中的“AD LDS 帮助”链接。