Einführung in die Active Directory Lightweight Directory Services (AD LDS) unter Windows Server 2008

Autor: olc, MCSEboard.de

 

Seit einiger Zeit als alleinstehende Installationsroutine für Windows XP und Windows Server 2003 verfügbar [1], hat Microsoft seit Windows Server 2003 R2 einen LDAP-Verzeichnisdienst ohne zusätzliche Komponenten mit an Bord. Dieser hieß unter Windows Server 2003 R2 noch „Active Directory Application Mode“ (ADAM) und erscheint nun in überarbeiteter Form auch unter Windows Server 2008 mit dem neuen Namen „Active Directory Lightweight Directory Services“ (AD LDS).

Im vorliegenden HowTo soll eine kleine Einführung in das Thema der AD LDS gegeben werden. Es werden wie immer nicht alle Aspekte des Themas behandelt, jedoch wird versucht, zumindest die Kernkomponenten bzw. Kernthemen für einen ersten Überblick anzusprechen.

Dieses HowTo wurde auf Basis des Windows Server 2008 RC1 angefertigt,  sollte jedoch problemlos auch auf die RTM Version und spätere anwendbar sein. Es wurde die englische Version des Windows Server 2008 RC1 verwendet.

Klein aber fein

Für den Aufbau einer Active Directory müssen neben dem Verzeichnisdienst selbst auch Infrastrukturdienste wie z.B. DNS betrieben werden. Es ist weiterhin ein hoher Aufwand für die Administration und Wartung einer Active Directory Umgebung notwendig, da diverse Komponenten zu betreuen sind.
Der Vorteil der AD LDS Dienste gegenüber einem vollwertigen Active Directory besteht darin, dass nur die essentiell für einen LDAP [2] Dienst notwendigen Komponenten verfügbar als auch Voraussetzung sind. Ähnlich wie bei anderen LDAP / X.500 Verzeichnisdiensten (wie z.B. OpenLDAP [3]) wird tatsächlich nur ein LDAP Verzeichnis zur Verfügung gestellt. Es sind grundsätzlich erst einmal keine weiteren Dienste notwendig, um das Verzeichnis zu betreiben.
Dies macht in einigen Konstellationen Sinn, so z.B. beim Aufbau einer LDAP Umgebung für Drittapplikationen, beim Aufbau eines Verzeichnisses für DMZs / Extranets oder für Testszenarien in Bezug auf LDAP Abfragen, Schemaerweiterungen etc.
Im Verlauf des HowTos werden noch einige Eckpunkte genannt, die die Flexibilität und Anwendungsgebiete verdeutlichen.

Da die Codebasis der AD LDS dieselbe ist wie die der Active Directory Dienste, ist der zugrunde liegende LDAP Dienst in großen Teilen gleich. Daher ähneln einige Vorgehensweisen stark denjenigen, die auch in AD Umgebungen sinnvoll sind. Auch dazu später mehr.

Im Gegensatz zu den erforderlichen Active Directory Diensten sind die AD LDS im wahrsten Sinne des Wortes Leichtgewichte: Sie beanspruchen je nach Datenvolumen nur wenige 10 MB Arbeitsspeicher pro Instanz. Ein Wert, der den Einsatz auch auf kleineren Maschinen sinnvoll erscheinen lässt. Gerade zu Testzwecken oder in DMS / Extranets, kann eine solche schlanke Lösung Ihren Charme entfalten.