Suchen

Active Directory Domain Services vs. Active Directory Lightweight Directory Services ADDS und ADLDS im Direktvergleich

| Autor / Redakteur: Thomas Joos / Dipl.-Ing. (FH) Andreas Donner

Neben den Active Directory Domain Services (ADDS), steht auf Windows-Servern auch der Serverdienst Active Directory Lightweight Directory Services (ADLDS) zur Verfügung. Bei beiden handelt es sich um Verzeichnisdienste – und manchmal ist der Einsatz des weniger komplexen ADLDS vollkommen ausreichend.

Firma zum Thema

Es muss nicht immer Active Directory sein! Für viele Aufgaben reichen die Active Directory Lightweight Directory Services aus, oder sind sogar besser geeignet.
Es muss nicht immer Active Directory sein! Für viele Aufgaben reichen die Active Directory Lightweight Directory Services aus, oder sind sogar besser geeignet.
(Bild: © goldencow_images - stock.adobe.com)

Es gibt einige Anwendungsfälle bei denen der Einsatz von Active Directory Domain Services (ADDS) sinnvoll ist, wie zum Beispiel beim Aufbau einer komplexen Infrastruktur mit einer Active-Directory-Gesamtstruktur (Forest). Aber auch der Verzeichnisdienst Active Directory Lightweight Directory Services (ADLDS) hat seine Berechtigungen. Beide Verzeichnisdienste nutzen das Lightweight Directory Access Protocol (LDAP). ADLDS ermöglicht ebenfalls das Definieren von Standorten und kann ebenfalls Daten replizieren. Mit ADLDS lassen sich die Funktionen eines Verzeichnisdienstes für Anwendungen bereitstellen, ohne Infrastrukturfunktionen wie einen globalen Katalog oder DNS nutzen zu müssen.

ADLDS funktioniert komplett unabhängig von ADDS. Für den Einsatz von ADLDS sind ADDS nicht notwendig. Wenn aber im Unternehmen bereits ADDS betrieben werden, kann parallel dazu ADLDS eingesetzt werden, zum Beispiel für spezielle Anwendungen.

Entlastung von ADDS durch ADLDS

ADLDS ist kein Konkurrenzprodukt von ADDS, sondern kann ein ADDS ergänzen und entlasten. Installiert werden beide über den Server-Manager, das Windows Admin Center oder die PowerShell. Die Funktionen von ADDS haben wir in verschiedenen Beiträgen bereits ausführlich behandelt (siehe Artikel-Galerie am Ende dieses Beitrags). Bei ADLDS handelt es sich, einfach ausgedrückt, um eine abgespeckte Variante von ADDS. Diese kann mit einem ADDS zusammenarbeiten und dieses entlasten.

Durch die Möglichkeit mehrere ADLDS-Instanzen auf einem Server zu betreiben, können auf diesem Weg auch mehrere Anwendungen mit einem ADDS verbunden werden, ohne eine weitere, komplexe Server-Infrastruktur aufbauen zu müssen.

Im Prinzip kann ADLDS bezüglich der Authentifizierung oder der Speicherung von Daten für Anwendungen, die ein eigenes Verzeichnis benötigen, alles was ein ADDS kann. Um mit ADLDS zu arbeiten, sind weder Berechtigungen für ein Active Directory noch Administratorrechte im Netzwerk notwendig. Die jeweilige ADLDS-instanz bekommt ihre eigenen Administratoren, die getrennt von anderen Benutzern in der jeweiligen ADLDS-Instanz verwaltet werden.

Bei Schema-Erweiterungen besser auf ADLDS setzen

Generell ist auch eine Replikation zwischen ADDS- und ADLDS-Instanzen möglich, zum Beispiel wenn bestimmte Anwendungen Attribute benötigen, die nicht im Schema der ADDS-Gesamtstruktur integriert werden sollen. Die Attribute können in ADLDS eingebunden werden und sind dann auf Anforderung auch in ADDS verfügbar. Ein Beispiel dafür ist das Speichern von Fotos. Diese können in ADLDS abgelegt und durch Replikation in ADDS eingebunden werden.

Durch diese Vorgehensweise kann bei der Replikation von ADDS-Domänencontrollern deutlich an Bandbreite eingespart werden, da Schemaerweiterungen in ADDS in den meisten Fällen auch von wachsenden Replikationsdaten begleitet werden. Anwendungen, die sich aber direkt in ein Schema integrieren und dieses erweitern, sind mit ADDS besser bedient als mit ADLDS. Prominentes Beispiel dafür ist der Einsatz von lokalen Microsoft Exchange-Installationen. Exchange kann nicht mit ADLDS betrieben werden, sondern setzt zwingend ADDS voraus. Vor dem Einsatz von ADLDS sollte daher genau überprüft werden, ob die entsprechenden Anwendungen auch kompatibel mit ADLDS sind.

Microsoft empfiehlt Schema-Änderungen auf ein Minimum zu reduzieren, da die Änderungen nicht mehr gelöscht werden können. Jede Schema-Änderung belastet ein Active Directory, da mehr Daten als zuvor verwaltet werden müssen. Benötigen Anwendungen von Drittanbietern oder selbst entwickelte Anwendungen spezielle Attribute oder Erweiterungen des Schemas, kann es sinnvoll sein, für die Anwendung eine eigene ADLDS-Instanz zu betreiben und dadurch ADDS zu entlasten.

Auch Anwendungen in DMZ oder unsicheren Netzwerken, wie Webdienste, die eine Authentifizierung benötigen, sind mit ADLDS oft gut bedient.

ADLDS ist einfacher in der Verwaltung

ADLDS benötigt keine Konfiguration von Domänencontrollern oder Domänen. Der kleine Verzeichnisdienst funktioniert wie eine Anwendung und kann mit seinem Schema mehrere Instanzen zur Verfügung stellen. Dadurch kann ADLDS auch auf herkömmlichen Anwendungsservern betrieben werden, auch außerhalb einer Active-Directory-Gesamtstruktur. Die Installation von ADLDS ändert die Konfiguration eines Servers nicht in dem Umfang ab, wie die Installation eines Domänencontrollers. Da sich ADLDS wie eine herkömmliche Anwendung verhält, halten sich die Eingriffe in das lokale Betriebssystem sehr in Grenzen.

Benötigen Entwickler für eine bestimmte Lösung mehrere Schemas, kann das mit ADLDS auf einem gemeinsamen Server eingerichtet werden. In einer Active-Directory-Gesamtstruktur gibt es dagegen immer nur ein Schema, das alle Domänencontroller nutzen. Die Installation von ADLDS ist sehr einfach, für die Inbetriebnahme ist noch nicht mal ein Neustart des Servers notwendig.

Zusammengefasst bietet ADLDS folgende Möglichkeiten:

  • ADLDS verwendet die gleiche Verzeichnisdiensttechnologie wie Active Directory.
  • Mehrere Instanzen von ADLDS, die jeweils für eine bestimmte Anwendung konzipiert sind, können auf einer einzigen ADLDS-Installation ausgeführt werden.
  • Jeder ADLDS-Konfigurationssatz verfügt über ein separates Schema, das unabhängig vom Active-Directory-Schema ist.
  • ADLDS kann Namenskontexte im X.500-Stil verwenden, zum Beispiel O=Fabrikam und C=US.
  • Um die Anwendungssicherheit zu erhöhen, kann ADLDS Windows-Anmeldedaten zur Authentifizierung und Zugriffskontrolle verwenden.
  • Die Entwicklung für ADLDS kann auf Professional, Business, Enterprise und Ultimate SKUs sowie auf Windows Server-Betriebssystemen erfolgen.

Gruppenrichtlinien und Kerberos

Allerdings bietet ADLDS weder Gruppenrichtlinien noch Vertrauensstellungen. Auch die Integration der DNS-Namensauflösung ist mit ADLDS nicht möglich. Auf der anderen Seite ist das aber auch ein Vorteil, denn im Gegensatz zu ADDS benötigen ADLDS kein funktionierendes DNS-System.

Ein globaler Katalog, wie bei ADDS ist bei ADLDS nicht vorgesehen. Zur Authentifizierung unterstützt ADDS das Kerberos-Protokoll. Dieses wird bei ADLDS nicht eingesetzt.

Active Directory im Fokus
Bildergalerie mit 36 Bildern

(ID:46854575)

Über den Autor

 Thomas Joos

Thomas Joos

Freiberuflicher Autor und Journalist