Embed Size (px)
Citation preview
671Windows Server 2008 Active Directory 目錄服務
第14章
Active Directory輕量型目錄服務
Windows Server 2008共提供五種不同的Active Directory技術,其中與Active
Directory網域服務(Active Directory Domain Services;AD DS)最相似的,
就是Active Directory輕量型目錄服務(Active Directory Lightweight Directory
Services;AD LDS)。因為AD LDS正是AD DS功能的子集合,其使用相同核心
程式碼,並提供相似的功能組。
AD LDS之前的名稱是Active Directory應用程式模式(Active Directory
Application Mode;ADAM),是一種不需更改AD DS中,Network Operating
System(NOS)目錄的資料庫結構描述,以應用程式為基礎,支援目錄的技
術。AD LDS的設計就是為了將使用目錄服務的應用程式,不需整合至NOS目
錄。
Active Directory網域服務也支援啟用目錄的應用程式。其中的最佳範例就是
Microsoft Exchange Server 2007。透過目錄提供Exchange Server中的所有使用者
資訊。在網路安裝Exchange Server時,就開始擴充AD DS架構,通常是大小加
倍。但是你已學習不可以輕易編輯結構描述,如果在AD DS結構描述加入物件
或屬性,就會永久性加入而無法移除。可以停用或重新命名,並重新使用者些
物件,但是誰希望NOS目錄中還有無法作用的物件呢?為了應用程式而加入結
構描述,如Exchange Server是很合適的,因為可以提供核心網路服務,也就是
e-mail。
MORE INFO∣AD設計的最佳實作
對於AD與AD結構描述的管理指導原則,可以參考《Windows Server 2003: Best Practices for Enterprise Deployments》並免費下載「Chapter 3: Designing the Active Directory」,網址為http://www.resonet.com/Documents/007222343X_Ch03.pdf。對於建立新樹系,以及將樹系內容轉移至另一個樹系的資訊,可以查詢《Windows Server 2008: The Complete Reference by Ruest and Ruest》(McGraw-Hill Osborne;2008)。此書說明如何以Windows Server為基礎建立完整架構,並且將所有內容移動到另一個位置。
但是如果是其他應用程式,特別是協力廠商所提供的軟體,就必須考量是否需
要整合至AD DS目錄。請注意,生產環境中的AD DS架構必須運作很長的時間,
第14章 Active Directory輕量型目錄服務
672
多年後如果協力廠商的軟體已不敷使用,就必須處理已加入AD DS架構的產品擴
充,增加複寫時間,並且在目錄加入未使用內容。
這就是AD LDS的主要功能。因為可以在單一伺服器支援多個AD LDS執行個體
(AD DS只能支援目錄中單一伺服器的單一執行個體),AD LDS可以符合各種
啟用目錄服務應用程式的需求,並提供以個別應用程式為基礎的執行個體。除
此之外,AD LDS不需要Enterprise Administrator或Schema Administrator認證也
可以使用AD LDS,但是AD DS就需要這些認證才能夠執行。AD LDS可以在成
員或獨立伺服器執行,並且只需要本機系統管理員權限即可。因為可以在周邊
網路提供應用程式或Web認證的服務。AD LDS是企業跨防火牆與網際網路提供
授權的四種AD技術之一(如圖14-1)。
圖14-1:AD LDS可以支援應用程式在內部或外部網路使用
本章考試目標:
設定額外的Active Directory伺服器角色 ■
設定Active Directory輕量型目錄服務(Active Directory Lightweight ❑
Directory Service;AD LDS)。
課程內容:
課程1:瞭解與安裝AD LDS ■ ........................................................................... 675
課程2:設定與使用AD LDS ■ ........................................................................... 686
673
課前準備
Windows Server 2008 Active Directory 目錄服務
課前準備
為了完成本章練習,必須準備以下項目:
在實體或虛擬電腦安裝命名為SERVER01的Windows Server 2008,並且是 ■
contoso.com網域的網域控制站。詳細的步驟說明於《第1章:安裝》與
《第2章:管理》。
在另一個實體或虛擬電腦安裝Windows Server 2008。機器命名為SERVER03 ■
並且是contoso.com網域的成員伺服器。此電腦將管理本章練習中,安裝與
建立的AD LDS執行個體。確認此電腦的D磁碟機儲存AD LDS執行個體的
資料。這個磁碟區建議使用10 GB。
在實體或虛擬電腦安裝第三台Windows Server 2008。電腦命名為 ■
SERVER04,並且是contoso.com網域的成員伺服器。此電腦將設定AD LDS
的複寫範圍。此電腦的D磁碟機也儲存AD LDS執行個體的資料。這個磁碟
區建議使用10 GB。
實務應用
Danielle Ruest與Nelson Ruest
在2003年底,Redmond Magazine(後來的Magazine)要我們回顧前版產
品在市場中協助系統管理員管理AD環境的表現。我們對此感到很訝異,
因為Active Directory是我們最喜歡的技術之一。除了輕量型目錄存取通訊
協定(Lightweight Directory Access Protocol;LDAP)目錄服務,Active
Directory也是很強的NOS目錄,可以管理數百萬計的物件。除此之外,
Active Directory包含群組原則,這是強大的物件管理平台,可以擴充NOS
的目錄服務功能。最後,在整個目錄架構中,透過Group Policy Software
Delivery功能管理以Windows安裝為基礎的軟體套件。毫無疑問的,對我
們來說Active Directory是Redmond開發實驗室中最好的產品之一。
透過網際網路進行市場調查之後,我們列出六個可協助管理AD環境的產
品:
Quest FastLane Active Roles ■
Aelita Enterprise Directory Manager ■
NetIQ Security Administration Suite ■
第14章 Active Directory輕量型目錄服務
674
Javelina ADvantage ■
NetPro Active Directory Lifecycle Suite ■
Bindview Secure Active Directory LifeCycle Suite ■
這六個之中,文章中只有介紹其中四個。Bindview拒絕提供產品的測
試版本,因此我們略過此項目。NetPro看似最佳的工具組,但還沒
有上市,所以我們也略過此項目。但之後我們會有機會撰寫NetPro
的Active Directory產品套件文章(請參考http://mcpmag.com/reviews/products/article.asp?EditorialsID=454),的確是很好的產品。因此,剩下四個產品尚未說明。可以參考文章「The 12 Mighty Labors of
Active Directory Management」(http://mcpmag.com/Features/article.asp?EditorialsID=359)。此文章似乎頗受各地讀者好評。但也因為我們在文章中所做出的重要觀點,而遭到部分強烈的評論。
其中兩個產品,NetIQ與Quest FastLane,會編輯AD資料庫結構描述。
當時我們協助的少數AD實作問題中,每個問題都有相同的疑問:如何管
理編輯結構描述?因為一旦編輯了結構描述,就無法復原。在Windows
Server 2003中,Microsoft提供停用或重新命名與重新使用結構描述編輯,
但對於客戶與我們,這是較差的選項。最好的方式,就是除非必要,否則
不要變更結構描述。除此之外,Microsoft調整相關的ADAM,以支援企業
整合應用程式與目錄服務所需,但不需變更NOS目錄結構。
最後,我們選擇Aelita產品作為最佳選擇:Aelita將資料庫儲存在Microsoft
SQL Server,而不是編輯Active Directory結構描述,因此,此工具較另外
兩個為佳。Javelina無法與其他工具比較,因為沒有支援相同功能的設計。
簡而言之,在我們發表文章後的兩個月,Quest購買了Aelita,並且將
Enterprise Directory Manager(EDM)整合至Active Roles的下個版本。
原本的Active Roles由FastLane發表,這是加拿大Ottawa的小企業,也被
Quest併購而加入了EDM。新版本的Active Roles不再需要為了實作而編輯
結構描述,而且持續提供Active Directory管理的強大功能。我們的文章是
否對這件事情有任何影響?誰知道?但可以確定的是:即使有強大工具如
ADAM,也不應該編輯NOS目錄結構描述,現在有了AD LDS,就不用再
擔心這種問題了。
675
課程1∣瞭解與安裝AD LDS
Windows Server 2008 Active Directory 目錄服務
課程1︱瞭解與安裝AD LDS
雖然使用與AD DS相同的程式碼,AD LDS卻更平易近人。例如在伺服器安裝
AD LDS時,不會因此更改伺服器的設定,但是AD DS建立網域控制站時卻會變
更。AD LDS只是單純的一種應用程式。安裝時,不需重新啟動伺服器,因為應
用程式安裝過程只會在伺服器加入功能,但不會更改其架構。
但是在開始之前,必須先瞭解AD LDS執行個體,以及AD LDS執行個體與AD
DS目錄之間的關聯性及使用方式。然後即可開始安裝AD LDS服務的流程。
學習本課程之後,你將能夠:
瞭解使用AD LDS的時機。 ■
在成員伺服器安裝AD LDS。 ■
找出並檢視AD LDS目錄存放區。 ■
課程預估學習時間:30分鐘
瞭解AD LDS
與AD DS一樣,AD LDS執行個體以LDAP為基礎,並提供階層式資料庫服務。
與關聯性資料庫不同,LDAP目錄可提供特定目的的最佳化,而且可以使用於
需要快速查詢特定應用程式的資訊。表14-1說明LDAP目錄與關聯性資料庫,如
Microsoft SQL Server的差異。這種比較能夠協助瞭解使用LDAP目錄而不是關聯
性資料庫的應用程式。
LDAP目錄 關聯性資料庫
快速讀取與搜尋。 快速寫入。
通常以DNS或X.500命名系統為基礎的階層
式資料庫設計。
使用表格包含行列的結構性資料設計。表
格可以互相連結。
使用標準結構描述,這是一種可擴充的結
構描述。
不需倚賴結構描述。
分散式且透過複寫維護資料的一致性。 集中儲存資料。
套用物件階層的安全性。 套用資料列與欄階層的安全性。
表14-1:比較LDAP目錄與關聯性資料庫
第14章 Active Directory輕量型目錄服務
676
LDAP目錄 關聯性資料庫
因為使用分散式資料庫,在複寫完成前,
資料不是絕對的一致性。
因為是資料輸入式交易,因此隨時都可維
持資料的一致性。
不會鎖定記錄,每次可以更改兩個。
透過更新序列號碼(Update Sequence
Number;USN)管理衝突。
鎖定記錄,一次只能更改一個。
表14-1:比較LDAP目錄與關聯性資料庫(續)
表14-1提供了依據應用程式選擇合適資料庫的指導原則。
除此之外,AD LDS以AD DS為基礎,但不包含AD DS的所有功能。表14-2說明
AD LDS與AD DS的功能差異。
功能 AD LDS AD DS
包含一個以上的伺服器執行個體。
包含各執行個體的獨立結構描述。
在用戶端作業系統執行,如Windows Vista或Windows Server 2008
成員伺服器。
在網域控制站執行。
目錄磁碟分割倚賴X.500的命名轉換。
安裝或移除時不需重新啟動機器。
啟動或停止服務時不需重新啟動機器。
支援群組原則。
包含GC。
管理物件,如工作站、成員伺服器、與網域控制站。
支援網域與樹系間的信任關係。
支援與整合公開金鑰基礎結構(Public Key Infrastructure;PKI)
與X.509認證。
支援搜尋目錄服務的DNS服務(SRV)記錄。
表14-2:比較AD LDS與AD DS
677
課程1∣瞭解與安裝AD LDS
Windows Server 2008 Active Directory 目錄服務
功能 AD LDS AD DS
支援LDAP應用程式發展介面(Appl icat ion Programming
Interface;API)。
支援Active Directory服務介面(ADSI)API。
支援Messaging API(MAPI)。
支援物件階層的安全性與委派系統管理。
倚賴多主機複寫,以維護資料一致性。
支援結構描述擴充與應用程式目錄磁碟分割。
是否從可移除媒體安裝複本。
是否包含安全性原則提供Windows Server網路存取。
是否包含安全性原則提供應用程式與Web Services存取。
是否與Windows Server 2008備份工具整合。
表14-2:比較AD LDS與AD DS(續)
在表14-2的資訊中,可以瞭解AD LDS與AD DS中各有異同之處。例如,可以
很簡單的分辨Exchange Server必須與AD DS整合,而不是使用AD LDS,因為
Exchange Server需要存取GC服務才可以執行。如果沒有這項服務,e-mail使用
者不能查詢收件者。因為AD LDS不支援GC,因此Exchange Server無法使用這
項服務。但是Exchange Server就是需要存取網域或樹系中各站台目錄資料的應用
程式。因此也需要知道網域控制站的位置,才可以讓使用者使用適當的e-mail位
址。
但AD LDS提供許多與AD DS相同的服務。例如可以在網路中多個位置建立分佈
式複本的執行個體,相當於網域控制站的位置,然後使用多主機複寫來確認資
料一致性。簡而言之,AD LDS是一種AD DS提供的輕量、可攜,且更有延展性
的目錄服務。
AD LDS情境
對於AD LDS以及其功能組應該已經有更進一步的了解了,現在開始便是使用此
技術的情況。在這些情境中,衡量應該使用AD LDS或AD DS。
第14章 Active Directory輕量型目錄服務
678
應用程式需要使用LDAP目錄時,請考慮使用AD LDS,而不是AD DS。AD ■
LDS可以將伺服器視為應用程式,提供高速與本機存取的目錄資料。因為
所有資料都在本機,所以可降低複寫流量。除此之外,可以繫結AD LDS執
行個體與部署的應用程式。例如,假設人力資源應用程式必須使用自訂原
則,才可以確認使用者只能存取使用者物件所包含的特定屬性組,如此即
可將這些屬性與原則儲存於AD LDS。
需要AD LDS提供與AD DS中使用者帳號相關的資料,但需要擴充AD DS ■
結構描述。在此情況下,使用AD LDS提供額外的使用者資料,而不需編輯
AD DS結構描述。例如有集中化的應用程式提供企業中各員工的圖片,並
且關聯圖片與使用者AD DS帳號,可以將圖片儲存在AD LDS執行個體。在
集中位置的AD LDS儲存圖片,可連結圖片與AD DS使用者帳號,但因為圖
片儲存於AD LDS,所以不會複寫其他AD DS資料,如此一來,可以降低複
寫的頻寬需求。
需要AD LDS執行個體提供驗證服務的Web應用程式,如周邊網路或外部網 ■
路的Microsoft SharePoint Portal Server。AD LDS可以透過防火牆查詢內部
AD DS架構,以取得使用者帳號資訊,並安全地儲存於周邊網路。這種方
式可避免在周邊網路部署AD DS,或者在內部網路與周邊網路部署網域控
制站。請注意,在此情況中也可以使用Active Directory同盟服務(AD FS)
提供相同的存取服務。AD FS將討論於《第17章:Active Directory同盟服
務》。
將多種身分識別儲存於單一目錄儲存區。使用Metadirectory服務,如 ■
Microsoft Identity Integration Server(MIIS)、Microsoft Identity Lifecycle
Manager(MILM)、或免費的Identity Integration Feature Pack(IIFP),
可以從多種來源取得資料,並整合於AD LDS執行個體。MIIS與MILM支
援各種來源的資料佈建,如AD DS樹系、SQL Server資料庫,以及協力廠
商的LDAP服務等。IIFP是MIIS的子網路,並支援AD DS、AD LDS,與
Exchange Server的資料整合性。使用這些解決方案,透過委派單一主要來
源,並佈建此資源至其他儲存區,可以降低身分識別管理的負荷。
679
課程1∣瞭解與安裝AD LDS
Windows Server 2008 Active Directory 目錄服務
MORE INFO∣MIIS、MILM、與IIFP
如果想要進一步瞭解MIIS,可以參考:http://www.microsoft.com/technet/miis/evaluate/overview.mspx。如果想要進一步瞭解MIISMILM,可以參考:http://www.microsoft.com/windowsserver/ilm2007/default.mspx。如果想要進一步瞭解並下載IIFP,可以參考:http://www.microsoft.com/downloads/details.aspx?familyid=d9143610-c04d-41c4-b7ea-6f56819769d5&displaylang=en。
支援部門應用程式。在部分情況中,部門可能需要額外身分識別資訊,與 ■
企業內其他部門無關的資訊。如果要將這些資訊整合至AD LDS執行個體,
部門可以存取但不會影響整個企業的目錄服務。
支援分佈式應用程式。如果是分佈式應用程式,而且需要存取多個位置資 ■
料,因為AD LDS提供與AD DS相同的多主機複寫功能,所以也可以使用
AD LDS。
將舊版目錄應用程式移轉至AD LDS。如果企業執行需要LDAP目錄的舊版 ■
目錄應用程式,可以將資料轉移至AD LDS執行個體,並標準化為Active
Directory目錄技術。
支援本機開發。因為AD LDS可以安裝於用戶端工作機,可以提供開發人員 ■
可攜式單一執行個體的目錄,支援開發自訂應用程式所需存取的身分識別
資料。開發時使用AD LDS比AD DS更簡易管理與儲存。
除此之外,評估啟用目錄商業應用程式時,在指定使用AD DS系統架構編 ■
輯之前,應該指定應用程式使用AD LDS或程式自己的ADAM。相較之下,
與其部署需要更改NOS系統架構的應用程式,還不如部署商業應用程式與
可攜式目錄,可以更容易部署,而且對網路的影響也較低。
這些情境都代表可能使用AD LDS的情境。通常應用程式應該包含空白目錄、安
全導向應用程式與網路設定,與原則儲存應用程式。
經過以上的說明,可以得知AD LDS比AD DS擁有較高的可攜性,且更有延展
性。每當需要考慮在AD DS編輯系統架構時,請先考慮使用AD LDS。幾乎在各
種情況下,AD LDS都會是更好的選擇,因為AD DS應該為NOS目錄保留,而且
應該只有在增加NOS目錄功能的情形下,才需要整合應用程式。
第14章 Active Directory輕量型目錄服務
680
MORE INFO∣AD LDS
如果想要進一步瞭解AD LDS,可以參考:http://technet2.microsoft.com/windowsserver2008/en/library/b7fb96ec-3f3f-4860-a1ab-eb43e54bbefc1033.mspx。
Exam Tip 請注意以上說明的情境。雖然測驗中較少使用AD LDS,但仍有出題的機率,通常會使用於選擇AD LDS而不是其他的AD技術。
安裝AD LDS
AD LDS是Windows Server 2008的一部分,可以安裝,也可設定於完整安裝或
Server Core。除此之外,AD LDS是透過Windows Server 2008 Hyper-V虛擬化的
理想選項。因為需求較低,而且除非使用AD LDS的應用程式在實體安裝有額外
的特定需求,AD LDS可以輕易的執行在Windows Server 2008作業系統的虛擬執
行個體。
除此之外,盡量避免在網域控制站安裝AD LDS。雖然AD LDS可以與網域控制
站(DC)角色並存,即使是RODC角色,都應該在網路中維持DC的特定角色,
如果可以的話,應該只有加上DNS服務的功能。因為DC也是虛擬化的理想選
項,各種網路都可以使用此技術管理執行Hyper-V的伺服器,而且其他虛擬化服
務的執行個體也應該盡可能虛擬化DC。使用虛擬化DC,可以更容易確認伺服器
不需管理其他角色,因為其他角色也在各自的Windows Server 2008執行個體虛
擬化。
也必須考量在高安全性需求環境中使用AD LDS。其中一個極佳的範例就是必須
在外部或周邊網路執行驗證目錄服務。在這些環境使用Server Core安裝是一個很
好的選擇,可以降低企業在外部網路的伺服器攻擊面。
確認AD LDS需求
在前面的部分已說明AD LDS的安裝需求很低。其中包含:
支援的作業系統,如Windows Server 2008 Standard Edition、Enterprise ■
Edition,或Datacenter Edition。
本機系統管理員帳號存取權限。 ■
從伺服器移除AD LDS需要兩個動作:
681
課程1∣瞭解與安裝AD LDS
Windows Server 2008 Active Directory 目錄服務
首先,使用控制台中的程式和功能,移除安裝角色後所建立的所有AD LDS ■
執行個體。
其次,使用伺服器管理員移除AD LDS角色。 ■
如同以上的說明,安裝與移除都非常簡單明瞭。其中必須注意的就是要確認先
移除伺服器中的執行個體,才能移除角色。
Exam Tip 請注意,必須先移除伺服器的角色,才能從伺服器移除所有AD LDS執行個體。
在Server Core安裝AD LDS
安裝AD LDS的方式與安裝AD DS很相似。首先必須安裝伺服器角色;然後建
立想要使用的AD LDS執行個體。在Windows Server 2008完整安裝中,安裝AD
LDS的方式將說明於本課程的練習當中。
在Server Core安裝AD LDS的過程非常簡單,就如同Windows Server 2008完整安
裝的步驟般簡單。可以使用以下步驟:
1. 以本機系統管理認證登入Windows Server 2008成員或執行Server Core的一
般伺服器。
2. 開始辨識AD LDS的服務名稱。請使用以下指令:oclist | more
使用管線符號(|)後面加上想要在畫面中檢視的內容。按下空白鍵移動到
下一個畫面。在找到角色名稱之後,使用【Ctrl+C】鍵可以取消指令。此
名稱應該顯示於第一個資訊畫面,而且應該是DirectoryServices-ADAM-
ServerCore。
3. 執行角色的安裝。使用以下指令:start /w ocsetup DirectoryServices-ADAM-ServerCore
角色名稱大小寫有別,因此必須確認輸入正確的名稱;否則將無法執行指
令。此外,使用start /w指令可以確認角色安裝完成後,才回傳命令提示。
如果再次執行oc l i s t指令,將看到AD LDS角色已加入伺服器。也可以瀏
覽%SystemRoot%\ADAM資料夾,以檢視新的AD LDS資料夾。伺服器現在已經
可以管理AD LDS執行個體。
第14章 Active Directory輕量型目錄服務
682
PRACTICE|安裝AD LDS
在此練習中,將在執行Windows Server 2008完整安裝的伺服器,安裝AD LDS角
色。然後將瀏覽安裝資料夾的內容,辨識是否已安裝檔案。
Exercise 1|安裝AD LDS ▲
在此練習中,將安裝AD LDS伺服器角色。
1. 確認Active Directory網域伺服器(SERVER01.contoso.com)正在執行,並
啟動成員伺服器SERVER03.contoso.com與SERVER04.contoso.com。
2. 使用Contoso\Administrator帳號登入SERVER03.contoso.com。使用AD
LDS時不需要網域系統管理員的權限。因為各AD LDS安裝與AD DS獨立,
所以只需要本機系統管理權限,但在此練習也可以使用網域系統管理員的
權限。
3. 在Server Manager的Roles節點按滑鼠右鍵,然後選擇「Add Roles」。
4. 檢視Before You Begin畫面,然後點選「Next」。
5. 在「Select Server Roles」對話方塊,選擇「Active Directory Lightweight
Directory Services」,然後點選「Next」。
6. 檢視Active Directory Lightweight Directory Services視窗的資訊,然後點選
「Next」。
7. 確認選項,並點選「Install」。
8. 檢視安裝結果,然後點選「Close」。
9. 在SERVER04.contoso.com重複此作業。
AD LDS已安裝於兩台成員伺服器。
AD LDS安裝負責安裝服務並產生名為Adamntds.dit的目錄儲存區,位置
在%SystemRoot%\Adam資料夾。也會加入設定與管理AD LDS的工具。
MORE INFO∣AD LDS安裝步驟
如果想要參考逐步安裝AD LDS的說明,可以參考:http://technet2.microsoft.com/windowsserver2008/en/ l ibrary/141900a7-445c-4bd3-9ce3-5ff53d70d10a1033.mspx?mfr=true。
安裝完成後,會在Server Manager顯示此角色(如圖14-2)。
683
課程1∣瞭解與安裝AD LDS
Windows Server 2008 Active Directory 目錄服務
圖14-2:檢視Server Manager中的AD LDS角色
Exercise 2|檢視已安裝的AD LDS檔案 ▲
在此練習中,將檢視伺服器中已安裝的AD LDS檔案。
1. 以Contoso\Administrator帳號登入SERVER03.contoso.com成員伺服器。
2. 開啟Windows Explorer視窗。在Start功能表的Computer按滑鼠右鍵,然後
選擇「Explore」。
3. 檢視%SystemRoot%\ADAM資料夾。
4. 檢視AD LDS安裝過程中所安裝的檔案。
在Windows Server 2008完整安裝中,AD LDS會建立ADAM資料夾,並在
兩個資料夾中部署20個檔案。在此情況下,使用U.S. English。如圖14-3,
ADAM資料夾的檔案包含:
AD LDS程式檔案,包含.dll、.exe、.cat、.ini與.xml檔案。 ❑
AD LDS目錄儲存區,Adamntds.dit。 ❑
建立時部署的AD LDS執行個體,輕量目錄格式(.ldf)。 ❑
在下一個課程設定AD LDS時,即可使用這些檔案類型。
第14章 Active Directory輕量型目錄服務
684
圖14-3:AD LDS安裝於%SystemRoot%\Adam資料夾,並建立AD LDS資料庫
在Windows Server 2008 Server Core與完整安裝中所安裝的AD LDS,會使用不
同的檔案與資料夾。Server Core只建立一個當地語系化的資料夾,但完整安裝會
建立兩個資料夾。除此之外,完整安裝包含額外的工具,也就是Active Directory
Schema Analyzer,而Server Core不會安裝此工具(如圖14-4)。
圖14-4:在Server Core安裝AD LDS,只有包含19個檔案與單一子目錄
685
課程1∣瞭解與安裝AD LDS
Windows Server 2008 Active Directory 目錄服務
課程總結
正如同其名稱所表示的,AD LDS是輕量型版本的AD DS。除了Network ■
Operating System功能之外,AD LDS支援各種AD DS功能。因此,這是可
以在不安全環境中,使用應用程式自訂設定與授權服務的目錄服務,如周
邊網路。
AD LDS的安裝需求很簡單:只要是Windows Server 2008的伺服器即可。可 ■
以是成員伺服器、獨立伺服器、或網域控制站,但建議DC不要與其他角色
共同使用。
如果要安裝AD LDS,可以在Add Roles Wizard選擇角色。可以算是 ■
Windows Server 2008中最基本的安裝過程。
如果要移除AD LDS,首先必須透過控制台的程式和功能移除所有執行個 ■
體,然後從Server Manager移除角色。
課程回顧
你可以用下列問題測試你對課程1「瞭解與安裝AD LDS」內容的瞭解程度。如
果想要使用電腦來進行測試,書附光碟中也有包含這些問題。
1. 你是contoso.com的系統管理員。早上老闆提出新的要求。你必須盡可能讓SERVER04執行新角色。SERVER04目前管理五個AD LDS執行個體。必須
從此伺服器移除AD LDS。以本機系統管理員身分登入SERVER04,並啟動
進階命令提示工具。你使用ocsetup指令與/uninstall參數,但卻沒有辦法作用。應該使用以下哪個選項來處理此問題?
A. 必須重新啟動伺服器,確認完成所有安裝程序,然後再次執行uninstall指令。
B. 必須使用Server Manager移除所有AD LDS執行個體與角色。
C. 必須使用控制台的程式和功能解除安裝所有已建立的AD LDS執行個
體,然後在命令提示工具執行ocsetup /uninstall。D. 必須使用oclist指令找出移除所需使用的語法選項。再次使用ocsetup指令與正確的語法。
NOTE∣解答
這些問題的解答與說明,以及每個選項的對與錯說明都可以在本書最後的「解答」中找到。
