Cấu hình dịch vụ Lightweight Directory Service -
Phần 2


Quản trị mạng – Trong phần hai này chúng ta sẽ tiếp tục giới
thiệu về dịch vụ AD LDS bằng cách khám phá một số công
nghệ có thể sử dụng để lên kế hoạch cho quá trình triển khai v
à
cách triển khai dịch vụ AD LDS.
Quá trình lên kế hoạch
Việc lên kế hoạch để triển khai AD LDS quả thực có thể nói là
quá trình dùng thử và trải nghiệm lỗi vì Microsoft thực sự
không cung cấp nhiều thông tin cần thiết. Nếu tham khảo phần
kiến thức tổng quan được giới thiệu trên TechNet về AD LDS
tại đây thì bạn sẽ thấy phần nói về những vấn đề liên quan đến
phần cứng và phần mềm có đoạn viết “Use performance
counters, testing in the lab, data from existing hardware in a
production environment, and pilot roll outs to determine the
capacity needs of your server” có nghĩa là “Sử dụng các bộ
tính hiệu suất, test trong phòng thí nghiệm, dữ liệu được lấy từ
ph
ần cứng đang tồn tại trong môi trường sản xuất và những gì
có được sẽ giúp bạn xác định được các nhu cầu về dung lượng
của máy chủ”.
Vậy thực sự Microsoft nói gì ở đây. Tuyên bố trên của
Microsoft có thể được tổng kết lại như sau:
Để triển khai AD LDS, bạn chỉ cần có một máy chủ có khả
năng chạy Windows Server 2008. Mặc dù vậy, phụ thuộc vào
cách AD LDS đang được sử dụng như thế nào mà máy ch
ủ cần
ph

ải có để hỗ trợ luồng công việc theo nó. Nhiệm vụ của chúng
ta là cần phải thực hiện các tính toán sao cho bảo đảm phần
cứng máy chủ bảo đảm đủ công suất cho công việc cần làm.
Phương pháp lôgic nhất cho việc lên kế hoạch AD LDS là cần
biết một số tài nguyên mà AD LDS tiêu tốn và dựa trên đó là
những cố gắng của việc lập kế hoạch công suất cho những
nguyên nhân gây tiêu tốn tài nguyên đó.
Mặc dù Microsoft không cung cấp nhiều hướng dẫn cho việc
lên kế hoạch về mặt dung lượng AD LDS nhưng quả thực quá
trình này cũng gần giống như quá trình lên kế hoạch dung
lượng mà bạn sử dụng cho các domain controller. Bạn có thể
thấy, một máy chủ AD LDS rất giống với một domain
controller. Cả máy chủ AD LDS và các domain controller đều
cấu hình các dịch vụ thư mục gần như nhau. Việc lập kế hoạch
dung lượng Active Directory thường cần phải xét đến số lượng
người dùng trong khi đó đối với AD LDS là tính trước số
lượng yêu cầu LDAP sẽ tạo ra đối với máy chủ. Mặc dù vậy cả
hai quá trình lập kế hoạch này thường yêu cầu bạn phải lập
topo và quá trình tạo bản sao.
Sự khác biệt giưa các máy chủ domain controller và máy
chủ AD LDS
Mặc dù các máy chủ domain controller và AD LDS có nhiều
nét rất giống nhau ở mức kiến trúc nhưng chúng vẫn có một số
điểm khác biệt. Các domain controller được sử dụng để xác
thực việc đăng nhập và thực thi các chính sách bảo mật của
Windows, điều đó cũng có nghĩa rằng một số khía cạnh của
việc lập kế hoạch domain controller sẽ không áp dụng được
cho quá trình lập kế hoạch cho AD LDS.
Một sự khác biệt như vậy là AD LDS không sử dụng các khái
niệm forest giống như Active Directory. Trong môi trường

Active Directory, một forest chính là một bộ sưu tập các
domain. Dù các forest hoàn toàn độc lập với nhau nh
ưng chúng
vẫn có thể được join với nhau thông qua việc sử dụng ủy thác
chung.
AD LDS không sử dụng khái niệm forest và domain giống nh
ư
các domain controller mà thay vào đó thành phần cấu trúc
chính được sử dụng bởi AD LDS là một service instance. Một
instance ám chỉ một phân vùng AD LDS riêng. Mỗi một
instance thường có một tên dịch vụ, kho lưu trữ dữ liệu thư
mục và phần mô tả dịch vụ riêng.
Một vấn đề nữa mà có lẽ các bạn cũng biết đó là một domain
controller chỉ có thể phục vụ cho một miền riêng. Ngược lại,
một máy chủ riêng chạy AD LDS lại có thể host nhiều
instance. Điều đó có nghĩa rằng một máy chủ AD LDS có thể
có nhiều thư mục.
Điều này đã làm nảy sinh một câu hỏi khá thú vị. Trong môi
trường Active Directory, các máy khách truyền thông với các
domain controller bằng cách sử dụng Lightweight Directory
Access Protocol (LDAP). Giống như hầu hết các giao thức
khác, LDAP được thiết kế để sử dụng một số cổng cụ thể nào
đó. Cho ví dụ, LDAP thường sử dụng cổng 389 cho việc truy
vấn thư mục. Nếu cần đến mã hóa truyền thông LDAP thì c
ổng
636 sẽ được sử dụng thay vì. Các domain controller đóng vai
trò các máy chủ global catalog sẽ sử dụng cổng 3268 và 3269
cho chức năng liên quan. Và đến đây bạn sẽ tự hỏi vậy AD
LDS sẽ sử dụng cổng nào.
Quả thực AD LDS không quan tâm đến việc thực hiện bất cứ

chức năng global catalog nào vì vậy chúng ta có thể loại bỏ
trường hợp sử dụng cổng 3268 và 3269 ngay từ đầu. Tuy nhi
ên
AD LDS sử dụng các cổng 389 và 636 chính xác như những gì
một domain controller sử dụng.
Vậy điều gì sẽ xảy ra nếu một máy chủ đang hosting nhiều AD
LDS instance? Thông thường, instance đầu tiên được tạo sẽ
được gán sử dụng các cổng 389 và 636. Khi instance thứ hai
được tạo, Windows sẽ thấy các cổng này đang được sử dụng v
à
bắt đầu quét các cổng chưa được sử dụng khác bắt đầu từ cổng
50,000. Giả định rằng cổng 50,000 hiện có sẵn khi đó nó sẽ
được sử dụng cho truyền thông LDAP chuẩn với AD LDS
instance thứ hai. Cổng 50,001 sẽ được sử dụng cho truyền
thông LDAP có mã hóa SSL với AD LDS instance thứ hai.
Nếu bạn tạo một AD LDS instance thứ ba trên máy chủ thì
Windows sẽ nhận biết rằng các cổng 389 và 636 đã được sử
dụng, vì vậy nó sẽ tìm kiếm các cổng chưa được sử dụng khác
bắt đầu từ 50,000. Tuy nhiên do các cổng 50,000 và 50,001 đã
được gán nên phân vùng LDAP sẽ được gán cho các cổng
50,002 và 50,003.
Các yêu cầu DNS
Một sự khác biệt nữa giữa Active Directory và AD LDS là,
Active Directory hoàn toàn phụ thuộc vào các máy chủ DNS.
Không có DNS, Active Directory sẽ không thể hoạt động.
Trong khi đó AD LDS lại không yêu cầu DNS.
Trong một số trường hợp, Active Directory sử dụng DNS như
một cơ chế để duy trì kiến trúc thứ bậc của miền. Tuy nhiên do
không có kiến trúc thứ bận miền có liên quan với AD LDS nên
DNS đối với chúng là không cần thiết.

Cài đặt dịch vụ AD LDS
Việc cài đặt AD LDS quả thực rất đơn giản. Để thực hiện việc
cài đặt này, bạn chỉ cần mở Server Manager, sau đó kích vào
liên kết Add Roles. Lúc này Windows sẽ khởi chạy Add Roles
Wizard. Kích Next để băng qua màn hình chào và bạn sẽ bắt
gặp màn hình hiển thị tất cả các role máy chủ có sẵn.
Tích vào mục chọn Active Directory Lightweight Directory
Services như hiển thị trong hình A bên dưới.

Hình A: Dịch vụ AD LDS
Kích Next, bạn sẽ thấy một màn hình xuất hiện để giải thích
AD LDS là gì và nó có thể làm những gì. Tiếp tục kích Next,
Windows sẽ hiển thị một thông báo xác nhận chỉ thị rằng sẽ
được cài đặt role máy chủ AD LDS. Kích nút Install đ
ể bắt đầu
quá trình cài đặt này.
Toàn bộ quá trình cài đặt chỉ mất khoảng 30s. Sau khi kết thúc
quá trình cài đặt, kích nút Close để hoàn tất. Không giống như
một số role máy chủ Windows 2008, việc cài đặt role AD LDS
không yêu cầu bạn phải khởi động lại máy chủ.
Kết luận
Trong phần hai này đã giới thiệu cho các bạn một số khác biệt
giữa Active Directory và AD LDS. Trong phần ba của loạt bài
này, chúng tôi sẽ giới thiệu một số kiến thức cơ bản trong quá
trình làm việc với AD LDS.