В своей предыдущей части я показывал, как устанавливать службу Active Directory Lightweight Directory Service. В этой статье я хочу продолжить обсуждение рассмотрением того, как создавать экземпляр AD LDS.
Концепция экземпляра уникальна для AD LDS (в противоположность Active Directory). Как я говорил в предыдущей части, один сервер Windows 2008 может размещать в себе несколько каталогов. Каждый из этих каталогов называется экземпляром.
Необходимо назначать имена каждому создаваемому экземпляру. Выбранное имя будет служить в качестве механизма уникальной идентификации экземпляра на сервере.
Помимо назначения имен для экземпляров необходимо также назначить им номера портов. Обычно LDAP взаимодействия проходят на порте 389, а SSL зашифрованные LDAP взаимодействия проходят на порте 636. Можно использовать эти номера портов для AD LDS, но только в том случае, если вы не планируете устанавливать службу каталогов Active Directory на этом сервере.
Следует учитывать, что каждый экземпляр AD LDS требует свои уникальные номера портов. Конечно, это применимо только при наличии нескольких экземпляров AD LDS на одном сервере. Если вы используете выделенные серверы под каждый AD LDS экземпляр, то каждый такой экземпляр сможет использовать порты 389 и 636 (если сервер не используется в качестве контроллера домена).
Наконец, каждый AD LDS экземпляр имеет соответствующий раздел каталога приложений. Когда вы создаете раздел каталога приложений, вам нужно будет задать ему имя. Используемое имя может быть либо в формате X.500, либо в FQDN формате.
Итак, теперь, когда мы узнали об элементах, необходимых для создания экземпляра AD LDS, давайте создадим экземпляр. Начнем процесс с открытия мастера установки Active Directory Lightweight Directory Services Setup Wizard. Ярлык для этого мастера можно найти в меню инструментов администрирования сервера (Administrative Tools).
После запуска мастера установки When the Active Directory Lightweight Directory Services Setup Wizard нажмите кнопку Далее, чтобы пропустить приветственную страницу мастера. На этом этапе вы увидите окно, подобное тому, что показано на рисунке 1, с вопросом о том, хотите ли вы создать уникальный экземпляр или копию существующего экземпляра. Поскольку мы устанавливаем новый экземпляр, выбираем опцию Уникальный экземпляр (A Unique Instance). О копиях экземпляра мы поговорим в 4 части этого цикла.
Рисунок 1: Выбор опции создания уникального экземпляра.
Нажмите Далее, после чего вам будет предложено указать имя и (необязательно) описание создаваемого экземпляра, как показано на рисунке 2. В целях демонстрации я буду использовать имя экземпляра по умолчанию (то есть Instance1). В реальности, однако, я бы рекомендовал использовать более значимое имя.
Рисунок 2: Необходимо указать имя и при желании описание создаваемого экземпляра.
При нажатии кнопки Далее вы переходите на следующую страницу мастера, рисунок 3. Как видно на рисунке, умолчанием Windows будет использование порта номер 50000 для LDAP взаимодействий в новом экземпляре, и порта номер 50001 для SSL зашифрованных LDAP взаимодействий. Вы можете изменить эти номера портов на любые другие номера (включая 389 и 636), если эти порты уже не используются сервером, и вы не планируете делать его контроллером домена.
Рисунок 3: По умолчанию Windows использует порты 50000 и 50001 для нового экземпляра AD LDS.
Нажмите Далее, чтобы перейти на страницу, показанную на рисунке 4. Как видно на рисунке, на этой странице мастер просит вас создать раздел каталога приложений. Раздел каталога приложений по своей сути является репозитарием с поддержкой каталога, который можно использовать для хранения данных приложения.
Рисунок 4: Почти во всех случаях необходимо создавать раздел каталога приложений.
Поскольку самая суть создания экземпляра AD LDS заключается в обеспечении хранения данных приложений в разделе каталога, почти во всех случаях нужно выбирать опцию создания нового раздела каталога приложений. Существует всего две ситуации, в которых не нужно создавать раздел каталога приложений. Его не нужно создавать, если вы хотите создать его позже вручную. И его также не нужно создавать, если вы планируете установить приложение, которое автоматически создаст раздел каталога приложений самостоятельно.
Как я уже говорил, необходимо указать имя раздела каталога приложений. Необходимо указать его в формате отличительного имени. Согласно TechNet 'AD LDS поддерживает X.500 и DNS форматы имен для разделов каталогов высшего уровня'. Учитывая это, должен сказать, что никогда не встречал отличительные имена в формате DNS, которые бы использовались в качестве имен разделов каталога приложений в реальности. Если вы посмотрите на рисунок 4 еще раз, вы увидите, что даже в компании Microsoft считают X.500 формат более предпочтительным для отличительных имен, поскольку пример, показанный на рисунке, задан формате X.500.
Независимо от типа отличительного имени, заданного вами, важно указать его правильно с первой попытки. В противном случае мастер установки позволит вам выполнить весь процесс до конца, прежде чем выдаст ошибку.
После указания отличительного имени раздела нажмите Далее для перехода на страницу, на которой вам нужно будет указать путь, по которому будут сохраняться файлы данных и файлы восстановления данных, используемые этим экземпляром AD LDS. Раздел мастера, который показан на рисунке 5, должен быть знаком всем тем, кому когда-либо доводилось устанавливать контроллер домена Active Directory.
Рисунок 5: Необходимо указать путь, используемый базой данных AD LDS.
В среде Active Directory обычно можно использовать путь по умолчанию. Однако когда речь заходит о AD LDS, нужно перенаправить файл данных и файлы восстановления данных на высокоскоростной или отказоустойчивый массив, в зависимости от того, насколько интенсивно экземпляр AD LDS будет использоваться.
После указания необходимого пути нажмите Далее для перехода на страницу, где нужно задать служебную учетную запись для экземпляра AD LDS. Можно использовать сетевую служебную учетную запись или указать служебную учетную запись домена. Конечно, серверы, на которых будут расположены экземпляры AD LDS, не всегда являются участниками домена, поэтому в таких случаях вы будете вынуждены использовать сетевую служебную учетную запись.
Нажмите Далее для перехода на страницу, где нужно будет указать имя пользователя или группы пользователей, которым будет предоставлен административный доступ к создаваемому разделу. По умолчанию Windows будет использовать учетную запись, с которой вы вошли во время создания учетной записи, как показано на рисунке 6, но обычно лучше вручную указывать группу администраторов.
Рисунок 6: Указание имени пользователя или группы, которой будет предоставлен административный контроль над экземпляром AD LDS.
После нажатия на кнопку Далее вы увидите страницу, на которой мастер спросит вас о том, какие LDIF файлы нужно импортировать. Выбранные вами LDIF файлы создадут схему экземпляра. Вы можете выбирать любой LDIF файл или сочетание файлов. В документации приложения, которое будет использовать экземпляр AD LDS, должно быть указано, какие LDIF файлы нужно импортировать.
После нажатия на кнопку Далее вы увидите сводную информацию о выбранных вами опциях. Если все указанно корректно, нажмите Далее, и AD LDS экземпляр будет создан. По завершении этого процесса нажмите Готово, чтобы закрыть мастера.
Заключение
В этой статье я показал вам, как создавать AD LDS экземпляр и соответствующий раздел каталога данных приложений. В следующей части я покажу вам, как создавать копию раздела, который мы только что создали.