Quá trình lên kế hoạch
Việc lên kế hoạch để triển khai AD LDS
quả thực có thể nói là quá trình dùng thử và trải nghiệm lỗi vì
Microsoft thực sự không cung cấp nhiều thông tin cần thiết. Nếu tham
khảo phần kiến thức tổng quan được giới thiệu trên TechNet về AD LDS tại đây thì bạn sẽ thấy phần nói về những vấn đề liên quan đến phần cứng và phần mềm có đoạn viết “Use
performance counters, testing in the lab, data from existing hardware
in a production environment, and pilot roll outs to determine the
capacity needs of your server” có nghĩa là “Sử dụng các bộ tính
hiệu suất, test trong phòng thí nghiệm, dữ liệu được lấy từ phần cứng
đang tồn tại trong môi trường sản xuất và những gì có được sẽ giúp bạn xác định được các nhu cầu về dung lượng của máy chủ”.
Vậy thực sự Microsoft nói gì ở đây. Tuyên bố trên của Microsoft có thể được tổng kết lại như sau:
Để triển khai AD LDS, bạn chỉ cần có một máy chủ có khả năng chạy Windows Server 2008. Mặc dù vậy, phụ thuộc vào cách AD LDS đang được sử dụng như thế nào mà máy chủ cần phải có để hỗ trợ luồng công việc theo nó. Nhiệm vụ của chúng ta là cần phải thực hiện các tính toán sao cho bảo đảm phần cứng máy chủ bảo đảm đủ công suất cho công việc cần làm.
Để triển khai AD LDS, bạn chỉ cần có một máy chủ có khả năng chạy Windows Server 2008. Mặc dù vậy, phụ thuộc vào cách AD LDS đang được sử dụng như thế nào mà máy chủ cần phải có để hỗ trợ luồng công việc theo nó. Nhiệm vụ của chúng ta là cần phải thực hiện các tính toán sao cho bảo đảm phần cứng máy chủ bảo đảm đủ công suất cho công việc cần làm.
Phương pháp lôgic nhất cho việc lên kế
hoạch AD LDS là cần biết một số tài nguyên mà AD LDS tiêu tốn và dựa
trên đó là những cố gắng của việc lập kế hoạch công suất cho những
nguyên nhân gây tiêu tốn tài nguyên đó.
Mặc dù Microsoft không cung cấp nhiều
hướng dẫn cho việc lên kế hoạch về mặt dung lượng AD LDS nhưng quả thực
quá trình này cũng gần giống như quá trình lên kế hoạch dung lượng mà
bạn sử dụng cho các domain controller. Bạn có thể thấy, một máy chủ AD
LDS rất giống với một domain controller. Cả máy chủ AD LDS và các
domain controller đều cấu hình các dịch vụ thư mục gần như nhau. Việc
lập kế hoạch dung lượng Active Directory thường cần phải xét đến số
lượng người dùng trong khi đó đối với AD LDS là tính trước số lượng
yêu cầu LDAP sẽ tạo ra đối với máy chủ. Mặc dù vậy cả hai quá trình lập
kế hoạch này thường yêu cầu bạn phải lập topo và quá trình tạo bản
sao.
Sự khác biệt giưa các máy chủ domain controller và máy chủ AD LDS
Mặc dù các máy chủ domain controller và
AD LDS có nhiều nét rất giống nhau ở mức kiến trúc nhưng chúng vẫn có
một số điểm khác biệt. Các domain controller được sử dụng để xác thực
việc đăng nhập và thực thi các chính sách bảo mật của Windows, điều đó
cũng có nghĩa rằng một số khía cạnh của việc lập kế hoạch domain
controller sẽ không áp dụng được cho quá trình lập kế hoạch cho AD LDS.
Một sự khác biệt như vậy là AD LDS không
sử dụng các khái niệm forest giống như Active Directory. Trong môi
trường Active Directory, một forest chính là một bộ sưu tập các domain.
Dù các forest hoàn toàn độc lập với nhau nhưng chúng vẫn có thể được
join với nhau thông qua việc sử dụng ủy thác chung.
AD LDS không sử dụng khái niệm forest và
domain giống như các domain controller mà thay vào đó thành phần cấu
trúc chính được sử dụng bởi AD LDS là một service instance. Một
instance ám chỉ một phân vùng AD LDS riêng. Mỗi một instance thường có
một tên dịch vụ, kho lưu trữ dữ liệu thư mục và phần mô tả dịch vụ
riêng.
Một vấn đề nữa mà có lẽ các bạn cũng
biết đó là một domain controller chỉ có thể phục vụ cho một miền riêng.
Ngược lại, một máy chủ riêng chạy AD LDS lại có thể host nhiều
instance. Điều đó có nghĩa rằng một máy chủ AD LDS có thể có nhiều thư
mục.
Điều này đã làm nảy sinh một câu hỏi khá
thú vị. Trong môi trường Active Directory, các máy khách truyền thông
với các domain controller bằng cách sử dụng Lightweight Directory
Access Protocol (LDAP). Giống như hầu hết các giao thức khác, LDAP được
thiết kế để sử dụng một số cổng cụ thể nào đó. Cho ví dụ, LDAP thường
sử dụng cổng 389 cho việc truy vấn thư mục. Nếu cần đến mã hóa truyền
thông LDAP thì cổng 636 sẽ được sử dụng thay vì. Các domain controller
đóng vai trò các máy chủ global catalog sẽ sử dụng cổng 3268 và 3269
cho chức năng liên quan. Và đến đây bạn sẽ tự hỏi vậy AD LDS sẽ sử dụng
cổng nào.
Quả thực AD LDS không quan tâm đến việc
thực hiện bất cứ chức năng global catalog nào vì vậy chúng ta có thể
loại bỏ trường hợp sử dụng cổng 3268 và 3269 ngay từ đầu. Tuy nhiên AD
LDS sử dụng các cổng 389 và 636 chính xác như những gì một domain
controller sử dụng.
Vậy điều gì sẽ xảy ra nếu một máy chủ
đang hosting nhiều AD LDS instance? Thông thường, instance đầu tiên
được tạo sẽ được gán sử dụng các cổng 389 và 636. Khi instance thứ hai
được tạo, Windows sẽ thấy các cổng này đang được sử dụng và bắt đầu
quét các cổng chưa được sử dụng khác bắt đầu từ cổng 50,000. Giả định
rằng cổng 50,000 hiện có sẵn khi đó nó sẽ được sử dụng cho truyền thông
LDAP chuẩn với AD LDS instance thứ hai. Cổng 50,001 sẽ được sử dụng
cho truyền thông LDAP có mã hóa SSL với AD LDS instance thứ hai.
Nếu bạn tạo một AD LDS instance thứ ba
trên máy chủ thì Windows sẽ nhận biết rằng các cổng 389 và 636 đã được
sử dụng, vì vậy nó sẽ tìm kiếm các cổng chưa được sử dụng khác bắt đầu
từ 50,000. Tuy nhiên do các cổng 50,000 và 50,001 đã được gán nên
phân vùng LDAP sẽ được gán cho các cổng 50,002 và 50,003.
Các yêu cầu DNS
Một sự khác biệt nữa giữa Active
Directory và AD LDS là, Active Directory hoàn toàn phụ thuộc vào các
máy chủ DNS. Không có DNS, Active Directory sẽ không thể hoạt động.
Trong khi đó AD LDS lại không yêu cầu DNS.
Trong một số trường hợp, Active
Directory sử dụng DNS như một cơ chế để duy trì kiến trúc thứ bậc của
miền. Tuy nhiên do không có kiến trúc thứ bận miền có liên quan với AD
LDS nên DNS đối với chúng là không cần thiết.
Cài đặt dịch vụ AD LDS
Việc cài đặt AD LDS quả thực rất đơn giản. Để thực hiện việc cài đặt này, bạn chỉ cần mở Server Manager, sau đó kích vào liên kết Add Roles. Lúc này Windows sẽ khởi chạy Add Roles Wizard. Kích Next để băng qua màn hình chào và bạn sẽ bắt gặp màn hình hiển thị tất cả các role máy chủ có sẵn.
Tích vào mục chọn Active Directory Lightweight Directory Services như hiển thị trong hình A bên dưới.
Hình A: Dịch vụ AD LDS
Kích Next, bạn sẽ thấy một màn hình xuất hiện để giải thích AD LDS là gì và nó có thể làm những gì. Tiếp tục kích Next, Windows sẽ hiển thị một thông báo xác nhận chỉ thị rằng sẽ được cài đặt role máy chủ AD LDS. Kích nút Install để bắt đầu quá trình cài đặt này.
Toàn bộ quá trình cài đặt chỉ mất khoảng 30s. Sau khi kết thúc quá trình cài đặt, kích nút Close
để hoàn tất. Không giống như một số role máy chủ Windows 2008, việc
cài đặt role AD LDS không yêu cầu bạn phải khởi động lại máy chủ.
Kết luận
Trong phần hai này đã giới thiệu cho
các bạn một số khác biệt giữa Active Directory và AD LDS. Trong phần ba
của loạt bài này, chúng tôi sẽ giới thiệu một số kiến thức cơ bản trong
quá trình làm việc với AD LDS.
