224 Kapitel 5: Konfigurieren von AD LDS und RODCs
lieren und die Standardeinstellungen übernehmen, bekommen Sie Probleme, insbesondere
wenn AD DS und AD LDS versuchen, dieselben LDAP-Ports zu benutzen. Der erfahrene
alte Netzwerkingenieur machte es also falsch, und seine Kollegen, noch grün hinter den
Ohren, machten es richtig. Sie behaupteten schadenfroh, die Ursache wäre, dass ich
höchstens bis 50.000 zählen konnte.
Die Moral ist offensichtlich: Ganz egal, wie überzeugt Sie sind, dass Sie alles wissen,
sollten Sie immer die Hilfedateien und die TechNet-Artikel lesen, vor allem die als wich-
tig markierten Abschnitte.
Grundlagen von AD LDS und seine Beziehung zu AD DS
Wenn Sie feststellen wollen, ob Sie AD DS brauchen, um eine Anwendung zu unterstützen,
oder ob Sie AD LDS verwenden können (und sollten), müssen Sie die Unterschiede im
Funktionsumfang der beiden Dienste kennen. AD DS unterstützt verzeichnisfähige Anwen-
dungen, die das AD DS-Schema erweitern. Wenn Sie diese Funktionalität nicht brauchen, ist
es unter Umständen sinnvoll, AD LDS zu verwenden.
Zum Beispiel werden in Microsoft Exchange Server 2007 alle Benutzerinformationen vom
Verzeichnis zur Verfügung gestellt. Wenn Sie diese Anwendung installieren, erweitert sie das
AD DS-Schema erheblich. Dass eine Anwendung wie Exchange Server das Schema erwei-
tert, ist sinnvoll, weil sie einen zentralen Netzwerkdienst zur Verfügung stellt. AD LDS eig-
net sich für diesen Fall nicht.
Wenn Sie andererseits ein Objekt oder ein Attribut zum AD DS-Schema hinzufügen, bleibt
es für immer erhalten und kann nicht mehr gelöscht werden. (Es kann allerdings deaktiviert
oder umbenannt und wiederverwendet werden). Microsoft rät davon ab, das Schema für
Anwendungen zu erweitern, die nicht unternehmenskritisch sind. Das gilt insbesondere für
Anwendungen, die von Fremdherstellern stammen. Anders ausgedrückt: Verwenden Sie in
diesen Fällen AD LDS statt AD DS.
AD LDS bietet im Unterschied zu AD DS Unterstützung für mehrere AD LDS-Instanzen auf
einem einzigen Server. Es ist in der Lage, die Anforderungen aller verzeichnisfähigen An-
wendungen
zu erfüllen, und stellt individuelle Instanzen für die verschiedenen Anwendungen
zur
Verfügung. Sie unterscheiden die Instanzen anhand ihres Namens, der sich normalerweise
aus dem Namen der Anwendung ableitet, die von der Instanz unterstützt wird (zum Beispiel
MeineAnwendung_Instanz). Anders als bei AD DS brauchen Sie keine Anmeldeinformatio-
nen als Organisationsadministrator oder Schemaadministrator, um mit AD LDS zu arbeiten.
AD LDS kann auf Mitglied- oder eigenständigen Servern laufen, und Sie brauchen nur die
Zugriffsrechte eines lokalen Administrators, um es zu verwalten. Es kann auch in einem
Perimeternetzwerk benutzt werden, um Anwendungs- oder Webauthentifizierungsdienste
bereitzustellen.
Wenn Sie AD LDS auf einem Server installieren, ändert es die Konfiguration des Servers
nicht so stark wie AD DS, wenn Sie einen Domänencontroller einrichten. AD LDS ist eine
Anwendung, Sie brauchen den Server nicht neu zu starten, nachdem es installiert wurde.
Für die Windows Server 2008-Upgradeprüfungen müssen Sie wissen, wie eine AD LDS-
Instanz aussieht, wofür AD LDS-Instanzen benutzt werden sollten und welche Beziehung
Get Aktualisieren Ihrer MCSA/MCSE-Zertifizierung auf Windows Server 2008 MCTS - Original Microsoft Training für Examen 70-648 und 70-649 now with the O’Reilly learning platform.
O’Reilly members experience books, live events, courses curated by job role, and more from O’Reilly and nearly 200 top publishers.
