Galileo Computing < openbook > Galileo Computing - Professionelle Bücher. Auch für Einsteiger.
Professionelle Bücher. Auch für Einsteiger.

Inhaltsverzeichnis
Geleitwort zu diesem Buch
Inhalt des Buchs
1 Warum eine neue Server-Version?
2 Editionen und Lizenzen
3 Hardware und Dimensionierung
4 Protokolle
5 Was überhaupt ist .NET?
6 Installation
7 Core-Installationsoption
8 Active Directory-Domänendienste
9 Netzwerkdienste im AD-Umfeld
10 Active Directory Lightweight Directory Services (AD LDS)
11 Active Directory-Verbunddienste (Federation Services)
12 Active Directory-Zertifikatdienste
13 Active Directory-Rechteverwaltungsdienste (AD RMS)
14 »Innere Sicherheit«
15 Dateisystem und Dateidienste
16 Drucken
17 Webserver (IIS)
18 SharePoint (Windows SharePoint Services, WSS)
19 Remotedesktopdienste (Terminaldienste)
20 Hochverfügbarkeit
21 Datensicherung
22 Servervirtualisierung mit Hyper-V
23 Windows PowerShell
24 Windows 7 und Windows Server 2008 R2
Stichwort
Ihre Meinung?

Spacer
<< zurück
Windows Server 2008 R2 von Ulrich B. Boddenberg
Das umfassende Handbuch
Buch: Windows Server 2008 R2

Windows Server 2008 R2
geb., 1.410 S., 59,90 Euro
Rheinwerk Computing
ISBN 978-3-8362-1528-2
Pfeil 10 Active Directory Lightweight Directory Services (AD LDS)
Pfeil 10.1 Installation
Pfeil 10.2 Einrichten einer Instanz
Pfeil 10.3 Administration
Pfeil 10.4 Replikation einrichten


Galileo Computing - Zum Seitenanfang

10.2 Einrichten einer Instanz topZur vorigen Überschrift

Nach der zuvor erfolgten Grundinstallation müssen Sie einige Schritte durchführen, um die AD LDS zum Leben zu erwecken, nämlich:

  • Erzeugen einer neuen AD LDS-Instanz
  • Erzeugen einer Anwendungsverzeichnispartition. Dieser Schritt muss in vielen Fällen nicht vom Administrator durchgeführt werden, weil er oft von Anwendungen, die AD LDS nutzen möchten, durchgeführt wird.

Hinweis

Auf einem AD LDS-Server können beliebig viele Anwendungsverzeichnispartitionen liegen. Eine Anwendungsverzeichnispartition entspricht in etwa einem Domänennamenskontext. Eine Anwendungsverzeichnispartition nebst Schema- und Konfiguratationsnamenskontext liegt in einer AD LDS-Instanz.


Die Grundinstallation von AD LDS hat im Menü Verwaltung ein neuen Menüpunkt namens Setup-Assistent für Active Directory Lightweight Directory Services (oh, wie überraschend) erzeugt, der eine neue AD LDS-Instanz erstellen kann. Diese Aufgabe können Sie übrigens auch aus dem Server-Manager heraus starten: In Abbildung 10.2 sind zwei Links für die Erledigung dieser Aufgabe zu entdecken.

Kommen wir nun zum Assistenten zum Einrichten einer neuen Instanz: Auf der ersten Dialogseite des Assistenten entscheiden Sie sich für das Anlegen einer neuen Instanz (Abbildung 10.3). Alternativ kann ein Replikat einer anderen bereits vorhandenen Instanz erzeugt werden. Sie sehen also, dass die aus dem Active Directory bekannten Replikationsmechanismen auch bei AD LDS zu finden sind.

Abbildung 10.3 Zunächst müssen Sie entscheiden, ob eine neue Instanz oder ein Replikat einer vorhandenen Instanz erzeugt werden soll.

Der Assistent wird dann nach einem Namen für die neu einzurichtende Instanz fragen. Der Name kann beliebig ausgewählt werden. Wie immer gilt, dass es nicht zum Nachteil gereicht, wenn die Namen einigermaßen »sprechend« sind. Mit anderen Worten: Instanz1 ist sicherlich kein optimaler Name. Mit dem Instanznamen werden Sie es beispielsweise zu tun haben, wenn Sie eine Instanz mit der Dienste-Verwaltung anhalten oder starten möchten (Abbildung 10.4).

Abbildung 10.4 Anders als bei ADDS können beliebig viele AD LDS-Instanzen auf einem Server ausgeführt werden.

Der nächste Dialog fordert Sie auf, Ports für die LDAP-Kommunikation mit der neuen Verzeichnisinstanz einzugeben. Hier müssen Sie aufpassen, denn der Port darf auf dem Server noch nicht verwendet werden. Standardmäßig wird LDAP-Kommunikation auf Port 389 initiiert. Ist der Server, auf dem Sie AD LDS verwenden möchten, bereits ein Domänencontroller, dürfen Sie diesen Port nicht verwenden, da er dann bereits verwendet wird – ADDS nutzt den standardmäßigen LDAP-Port. Falls Sie mehrere AD LDS-Instanzen auf einem Server installieren, ist das kein Problem, solange Sie darauf achten, dass jede Instanz mit einer eigenen Port-Nummer ausgestattet ist (Abbildung 10.5).

Abbildung 10.5 Die Auswahl der Portnummer ist wichtig. Sie darf nicht mit einer auf dem Server eventuell vorhandenen ADDS-Portnummer identisch sein.

Sie haben übrigens keine Chance, eine bereits verwendete Portnummer doppelt zu vergeben. Wie auf Abbildung 10.6 zu sehen ist, wird der Assistent Sie auf ein solches »Missgeschick« hinweisen. Trotzdem sollten Sie die vorgenommenen Einstellungen dokumentieren. Erstens brauchen Sie die Portnummern spätestens beim Zugriff auf die Instanz, zweitens können Sie sich nicht unbedingt darauf verlassen, dass der Assistent Sie immer zuverlässig warnen wird. Wenn die Instanz, der die Portnummer eigentlich zugeordnet ist, zufällig nicht läuft, wird der Assistent das nicht erkennen!

Abbildung 10.6 Wenn Portnummern auf einem System doppelt vergeben werden, erscheint eine Warnung.

Als Nächstes müssen Sie entscheiden, ob Sie eine Anwendungsverzeichnispartition (Application Directory Partition) erzeugen möchten. Etliche Applikationen, die AD LDS (oder den Vorgänger ADAM) verwenden möchten, sind in der Lage, die Anwendungsverzeichnispartition selbst anzulegen. In einem solchen Fall entscheiden Sie sich für Nein (Abbildung 10.7).

Abbildung 10.7 Falls eine Anwendung dazu nicht in der Lage ist, können Sie mit dem Assistenten eine Anwendungsverzeichnispartition erstellen.

In dem Beispiel dieses Buchs legen wir eine Anwendungsverzeichnispartition an. In diesem Fall ist ein Name für die Partition erforderlich. Sie können hier standardmäßige X.500-Kürzel verwenden, so beispielsweise das o (Organisation), c (Country), s (State) und viele andere mehr.

Auch AD LDS muss seine Informationen im Dateisystem des Servers ablegen. Die Speicherorte werden auf dem folgenden Dialog erfasst (Abbildung 10.8). Es ist durchaus von Vorteil, für die eigentlichen Daten und die Logs unterschiedliche physikalische Laufwerke zu verwenden, um im Ernstfall nicht alles zu verlieren. Vergessen Sie nicht, dass diese Dateien natürlich auch gesichert werden müssen.

Abbildung 10.8 Die Dateien sollten in einer produktiven Installation auf verschiedenen physikalischen Laufwerken abgelegt werden.

Den nächsten Dialog kennen Sie von den meisten Installationsprogrammen, die Dienste installieren; es geht um das Konto, unter dem diese AD LDS-Instanz ausgeführt werden soll. Standardmäßig wird das integrierte Konto Netzwerkdienst verwendet. Dies ist ein Konto mit sehr stark eingeschränkten Berechtigungen, das Sie als Dienstkonto für Ihre AD LDS-Instanz verwenden sollten. Die NTFS-Berechtigungen des Ablageorts, in dem die Dateien der Instanz gespeichert werden, werden vom Assistenten dahingehend angepasst, dass das Konto Netzwerkdienst lesend und schreibend zugreifen kann (Abbildung 10.9).

Im nächsten Schritt müssen Sie festlegen, welche Benutzer administrative Berechtigungen auf die Instanz haben sollen (Abbildung 10.10). Sie können einen beliebigen Benutzer oder eine beliebige Gruppe festlegen. Dies ist übrigens keine Entscheidung für die Ewigkeit, vielmehr legen Sie die Benutzer(gruppe) fest, die die ersten administrativen Aufgaben erledigen können (bzw. kann) – und das kann beispielsweise auch das Ergänzen der Berechtigungen sein.

Abbildung 10.9 Das Dienstkonto muss festgelegt werden. »Netzwerkdienst« ist im Allgemeinen eine gute Wahl.

Abbildung 10.10 Die Benutzer mit administrativen Rechten für die neue Instanz werden festgelegt.

Für das in diesem Buch gezeigte Beispiel wird die LDIF-Datei MS-User.LDF importiert, die dafür sorgt, dass ein User-Objekt vorhanden ist, das von den Attributen her in etwa dem Benutzerobjekt im ADDS entspricht.

Der letzte Dialog des Assistenten fragt, ob Sie eine oder mehrere LDIF-Dateien importieren möchten (Abbildung 10.11). LDIF ist die Abkürzung für Lightweight Data Interchange Format. Es dient dazu, Konfigurations-, Schema- oder Inhaltsdaten per Datei zwischen LDAP-Verzeichnissen auszutauschen. Falls Sie keine LDF-Datei importieren, wird die Anwendungsverzeichnispartition zwar nicht leer sein, aber nur die grundlegenden Schema- und Konfigurationsinformationen beinhalten. Objekte wie beispielsweise die Klasse User sind dann nicht vorhanden.

Abbildung 10.11 Auf Wunsch können LDIF-Dateien importiert werden. Sie sorgen z. B. dafür, dass bereits Schema-Informationen enthalten sind.

Abbildung 10.12 Die angelegte Instanz ist im Konfigurationswerkzeug »Dienste« zu sehen und kann hier beispielsweise beendet oder neu gestartet werden.

Der Assistent kann nun die AD LDS-Instanz anlegen. Hat alles funktioniert, wovon im Allgemeinen auszugehen ist, kann die Instanz in der Diensteverwaltung gestartet, gestoppt etc. werden (Abbildung 10.12).



Ihr Kommentar

Wie hat Ihnen das <openbook> gefallen? Wir freuen uns immer über Ihre freundlichen und kritischen Rückmeldungen. >> Zum Feedback-Formular
<< zurück
 Ihre Meinung?
Wie hat Ihnen das <openbook> gefallen?
Ihre Meinung

 Buchempfehlungen
Zum Katalog: Windows Server 2012 R2






 Windows Server
 2012 R2


Zum Katalog: Office 365






 Office 365


Zum Katalog: Microsoft Hyper-V






 Microsoft Hyper-V


Zum Katalog: Linux-Server






 Linux-Server


Zum Katalog: Vmware vSphere 5






 Vmware vSphere 5


 Shopping
Versandkostenfrei bestellen in Deutschland und Österreich
InfoInfo




Copyright © Rheinwerk Verlag GmbH 2010
Für Ihren privaten Gebrauch dürfen Sie die Online-Version natürlich ausdrucken. Ansonsten unterliegt das <openbook> denselben Bestimmungen, wie die gebundene Ausgabe: Das Werk einschließlich aller seiner Teile ist urheberrechtlich geschützt. Alle Rechte vorbehalten einschließlich der Vervielfältigung, Übersetzung, Mikroverfilmung sowie Einspeicherung und Verarbeitung in elektronischen Systemen.


[Rheinwerk Computing]

Rheinwerk Verlag GmbH, Rheinwerkallee 4, 53227 Bonn, Tel.: 0228.42150.0, Fax 0228.42150.77, service@rheinwerk-verlag.de