Active Directory® Basit Dizin Hizmetleri (AD LDS) sunucu rolü, bir Basit Dizin Erişimi Protokolü (LDAP) dizin hizmetidir. Dizin altyapılı uygulamalar için Active Directory Etki Alanı Hizmetleri’nin (AD DS) gerektirdiği bağımlılıklar olmadan veri depolama ve alma işlevlerini sağlar.
Windows Server® 2008 işletim sistemindeki AD LDS, Windows® XP Professional ve Windows Server® 2003 işletim sistemlerinde kullanılabilen Active Directory Uygulama Modu (ADAM) tarafından sağlanan işlevselliği kapsar.
AD LDS ne yapıyor?
AD LDS, kuruluşlara dizin altyapılı uygulamalarda esnek destek sağlar. Dizin altyapılı uygulama, verileri depolamak için bir veritabanı, düz dosya veya başka bir veri depolama yapısı yerine bir dizin kullanır. Hem dizin hizmetleri (AD LDS gibi) hem de ilişkisel veritabanları veri depolama ve alma işlevlerini sağlar, ancak en iyi duruma getirme açısından farklıdırlar. Dizin hizmetleri, okuma işlemleri için en iyi duruma getirilmiştir; ilişkisel veritabanları ise işlemler için en iyi duruma getirilmiştir. Piyasada satılan birçok uygulamada ve özel uygulamada dizin altyapılı bir tasarım kullanılmıştır. Örneğin:
- Müşteri ilişkileri yönetimi (CRM) uygulamaları
- İnsan Kaynakları (İK) uygulamaları
- Genel adres defteri uygulamaları
AD DS’nin sağladığı işlevlerin çoğunu AD LDS de sağlar (ve gerçekte, aynı kod tabanına dayanır), ancak etki alanlarının veya etki alanı denetleyicilerinin dağıtımını gerektirmez.
AD LDS’nin birden çok örneğini aynı anda tek bir bilgisayarda çalıştırabilir ve her AD LDS örneğinin veya yapılandırma kümesinin (örnek bir yapılandırma kümesinin parçasıysa) şemasını bağımsız olarak yönetebilirsiniz. Üye sunucular, etki alanı denetleyicileri ve tek başına sunucular AD LDS sunucu rolünü çalıştıracak biçimde yapılandırılabilir.
AD LDS aşağıdaki işlevleri sağlaması bakımından AD DS’ye benzer:
- Çok ana kopyalı çoğaltma
- Active Directory Hizmeti Arabirimleri (ADSI) uygulama programlama arabirimi (API) desteği
- Uygulama dizini bölümleri
- Güvenli Yuva Katmanı (SSL) üzerinden LDAP
AD LDS ile AD DS arasındaki temel farklılık, AD LDS’nin Windows güvenlik ilkelerini saklamamasıdır. AD LDS, içerdiği nesnelere erişimi denetleyen erişim denetim listelerinde (ACL) Windows güvenlik ilkeleri (etki alanı kullanıcıları gibi) kullanabilir; ancak Windows, AD LDS’de saklanan kullanıcıların kimliğini doğrulayamaz veya ACL’lerinde AD LDS kullanıcılarını kullanamaz. Ayrıca AD LDS, etki alanlarını ve ormanları, Grup İlkesi’ni veya genel katalogları desteklemez.
AD LDS kimleri ilgilendirir?
AD LDS, aşağıdaki gereksinimlere sahip olan kuruluşlar için kullanışlıdır:
- Özelleştirilmiş şemalar kullanan veya merkezi olmayan dizin yönetimine bağımlı olan uygulamaya özgü dizinler
AD LDS dizinleri, AD DS’nin etki alanı altyapısından ayrıdır. Bu nedenle, tek bir uygulama tarafından kullanılabilen şema uzantıları gibi, AD DS dizininde bulunması istenmeyen şema uzantılarını kullanan uygulamaları destekleyebilirler. Ayrıca, yerel sunucu yöneticisi, AD LDS dizinlerini yönetebilir; etki alanı yöneticilerinin yönetimsel destek sağlamaları gerekmez.
- Kuruluşun etki alanı yapısından ayrı olan dizin altyapılı uygulama geliştirme ve prototip oluşturma ortamları
Dizin altyapılı uygulamalar oluşturan uygulama geliştiriciler, AD LDS rolünü herhangi bir sunucuya, hatta tek başına sunuculara bile yükleyebilir. Böylece geliştiriciler, kuruluşun AD DS altyapısında herhangi bir değişiklik yapmalarına gerek kalmadan, dizini kendi geliştirme ortamlarında denetleyebilir ve değiştirebilir. Bu uygulamalar daha sonra uygulamanın dizin hizmeti olarak AD LDS veya AD DS kullanılarak dağıtılabilir.
Ağ yöneticileri, dizin deposu olarak AD DS kullanılarak dağıtılacak uygulamalar için prototip veya deneme ortamı olarak AD LDS’yi kullanabilir; ancak uygulamanın AD DS’ye özel özelliklere bağımlı olmaması gerekir.
- Dış istemci bilgisayarların ağ kaynaklarına erişimini yönetme
Web istemci bilgisayarları veya geçici istemci bilgisayarlar gibi dış istemci bilgisayarların kimliğini doğrulamaları gereken kuruluşlar, kimlik doğrulama için dizin deposu olarak AD LDS’yi kullanabilir. Böylece, kuruluşların dış istemci bilgilerini kuruluşun etki alanı dizininde saklamaları gerekmez.
- Karma ortamlarda eski LDAP istemci bilgisayarların AD DS’de kimlik doğrulaması yapabilmelerini sağlama
Kuruluşlar birleştiğinde, genelde farklı sunucu işletim sistemleri çalışan LDAP istemci bilgisayarların tek bir ağ altyapısında tümleştirilmeleri gerekir. Bu gibi durumlarda, ağ yöneticileri eski LDAP uygulamaları çalışan istemci bilgisayarları hemen yükseltmek veya AD DS şemasını eski istemcilerle çalışacak biçimde değiştirmek yerine, bir veya daha fazla sunucuya AD LDS sunucu rolünü yükleyebilir. AD LDS sunucu rolü, istemci bilgisayarlar LDAP erişimi ve kimlik doğrulaması için özgün olarak AD DS’yi kullanacak biçimde yükseltilinceye kadar, eski şemayı kullanan bir ara dizin deposu gibi davranır.
Dikkat edilmesi gereken özel noktalar var mıdır?
AD LDS, uygulamalar için bir dizin hizmeti olacak biçimde tasarlandığından, uygulamaların dizin nesnelerini oluşturmaları, yönetmeleri ve kaldırmaları beklenir. Genel amaçlı bir dizin hizmeti olarak AD LDS, şu tür etki alanı yönelimli araçlar tarafından desteklenmez:
- Active Directory Etki Alanları ve Güvenleri
- Active Directory Kullanıcıları ve Bilgisayarları
- Active Directory Siteleri ve Hizmetleri
Ancak yöneticiler, aşağıdaki gibi dizin araçlarını kullanarak AD LDS dizinlerini yönetebilir:
- ADSI Düzenleme (AD LDS’de nesneleri görüntülemek, değiştirmek, oluşturmak ve silmek için)
- Ldp.exe (genel LDAP yönetimi için)
- Diğer şema yönetimi yardımcı programları
Varolan kodu değiştirmem gerekiyor mu?
ADAM ile çalışacak biçimde tasarlanmış uygulamaların AD LDS ile çalışabilmesi için herhangi bir değişiklik yapılması gerekmemektedir.