none
AD LDSとは何ですか? RRS feed

  • 質問

  • こんにちは。現在MCPの勉強をしているのですが、また質問させてください。
    Active Directory Lightweight Directory Serviceとは何なのでしょうか?

    MCPの赤本によると、
    「特定のアプリケーションに特化したディレクトリサービス」
    とあり、図解されていました。

    しかし、まったくイメージすることが出来ませんでした。

    【01】
    まず、「特定のアプリケーション」というとWordやExcelをイメージすれば良いのでしょうか?
    例えば、限定的に例を挙げると「Wordに特化したディレクトリサービス」と解釈し、
    AD LDSを使用すると、AD LDSで許可したオブジェクトのみがWordを使用することが出来るようになり、
    他のユーザはWordが使用できなくなるとイメージすれば良いのでしょうか?
    (この例の場合、AD LDSの役割を追加したサーバにWordやExcelをインストールしている必要があると認識しています。)

    しかし、そうなるとドメインの集中管理と同じで、AD LDSを使用するクライアントは、
    ドメインに参加していないと意味をなさないのですか?

    AD LDSを使用することと、ドメインに参加することは無関係と読み取れたので、頭が混乱しています。
    (赤本には、AD LDSはActive Directoryドメイン環境から独立して機能すると記載されていました。)

    【02】
    クライアントコンピュータやアプリケーションからAD LDSインスタンスへのアクセスにはLDAPを使用します。
    とありますが、LDAPというのは「ディレクトリデータベース」ですよね?

    つまり、特定のアプリケーション(例えばWord等)の情報が、AD LDSインスタンスに格納されるということですか?

    これは、共有フォルダの中にWORDファイルが保存され、AD LDSで許可したオブジェクトのみが
    使用できるというイメージを持てば良いでしょうか?

    また、LDAPはディレクトリサービスなので、このディレクトリとはAD LDSのことを指しているのでしょうか?

    AD LDSのサービスのインストール方法や、設定方法については、説明書を読んで分かったのですが、
    AD LDSとはそもそも何なのか?ということが全く分かりませんでした。


    AD LDSについて、具体的なイメージが全く沸かないため、そもそもAD LDSとはなんなのかがさっぱり分かりませんでした。
    AD DSについては実機で動かしながら、概ね分かるようになったのですが、LDSのところでつまづいてしまいました。

    低レベルな質問であることは重々承知しておりますが、イメージがわかないので、説明を読んでもさっぱり理解でません。

    LDAPやディレクトリサービスという単語の理解が曖昧なため、ずれた質問かもしれません。

    詳しい方がいらっしゃいましたら、教えていただけないでしょうか。

    よろしくお願いします。

    2011年5月8日 5:06

回答

  • やや語弊があるやもしれませんが ざっくり

    ・AD LDS は AD DS で保持する Active Directory 情報の一部の複製情報を持つ物

    ADDS→LDS へ一方的な情報複製

     

    Active Directory 自体は LDAP の拡張版みたいなものなのですが、そこから LDAP向きの情報だけの複製を作るイメージなのかな、、と。

     

    用途は Word/Excel  も関係なくないかもしれませんが、 もう少し Active Directoryと連携を主に利用する機能アプリケーションの為にある感じでしょうか。

    たとえば Exchange Server 2010 をメールサーバとして使う場合、インターネット側からメールを受信する受け口に Exchange Server 2010 Edge Transport Server の役割を

    インストールしたりしますが、これらは AD DSとの直接通信を遮断されるようなDMZ領域に配置されます。でもユーザ情報がいくつかあった方が便利なので AD LDSを構成し、情報コピーを貰う感じ??

     

     

     

    2011年5月9日 0:22
  • 全く個人的な見解ですが、Active Directoryは、ユーザー管理やポリシーといったOSのセキュリティと深く結び過ぎてしまい、単なる住所録や設定情報を放り込みたいためだけに利用したいときに使うにはちょっと使いづらい時もあります。そう言ったときにAD LDSの出番になります。
    OSのセキュリティとからめたくない時に、独立して使用できるADなので、以前はActive Directory Application Modeと言っていました。

    AD LDSは、Word/Excelといったアプリケーションよりかは、シングルサインオンとかでUnixとか他システム連携を行わなければいけない時とかリモートアクセスサーバーやその手のアプライアンス機器で、OSのユーザーとは別のLDAPに応答する住所録(ディレクトリサービス)を用意する必要に迫られた場合に便利だったりします。

    ところで、LDAPはLightweight Directory Access Protocolです。要は、通信のためのプロトコルで、HTTPとかFTPと同じ感じです(OSI参照モデルのアプリケーション層)。HTTPに応答するのがWeb Serverなら、LDAPに応答するのはDirectory Serviceになります。ディレクトリデータベースを持つのは、LDAPに応答するDirectory Serviceです(Active Directory,Active Direcotry LDS,OpenLDAPなど)

    ちなみに、ディレクトリサービスと言えば、他にはDNSとかNISなどもこれらに含まれます。


    2011年5月9日 4:39
    モデレータ
  • 既に複数の方からアドバイスがされていますが、補足いたします。

    簡単にいうとADの簡易版になります。

    ADとAD LDSは連携ができますが、ADのスキーマとAD LDSのスキーマはそれぞれ独立しているのが特徴になります。

    例えば、ADアプリケーションを作成する際に、実際の環境を使うのではなくAD LDSで簡易的なADを使用することによってADアプリケーションの開発を行うことなどが想定されています。それによって現状の環境を操作することなく新しい環境(スキーマの拡張など)を構築することが可能になります。

    しかし、現在は仮想環境が簡単に使用できるのでわざわざAD LDSを使わずとも、仮想環境でAD環境を使用することが容易になっていますのであまり使われません。

    実際に私が知っているレベルでは、ExchangeのEdgeに使用することや、外部システムとの連携の際にADを使用せずに、AD LDSを使用するなどです。

    以上、参考になれば幸いです。


    MVP:Virtual Machine Blog:MCTの憂鬱 http://naonao71.wordpress.com/
    2011年5月9日 6:46
    モデレータ
  • このレベルは理解されているのかもしれませんが、誤解を恐れずにシンプルに言うと

    AD DS は 「アカウントを管理/認証をするアプリケーション」+「情報を貯めておくデーターベース」から構成されています。

    AD LDSはこのAD DSの構成要素のうち「データーベースのしくみ」だけ提供するものです。

    AD DSは「アカウントを管理/認証をするアプリケーション」が主に使用しますから、データベースに何を入れるかはある程度決まっています。大きくいじることはできません。

    AD LDSはデーターベースの仕組みのみの提供なので、どのようなデーター項目でデータベースを構成するかを自分で指定することが出来ます。つまり、「アカウントを管理/認証をするアプリケーション」ではなく「特定のアプリケーション」に特化した形で作ってもらっていいですよということです。

    しかし今現在、(私の認識では)AD LDSの使途は、Exchange Serverの構成情報のコピーを持つことくらいではないでしょうか。

    2011年5月15日 9:14

すべての返信

  • やや語弊があるやもしれませんが ざっくり

    ・AD LDS は AD DS で保持する Active Directory 情報の一部の複製情報を持つ物

    ADDS→LDS へ一方的な情報複製

     

    Active Directory 自体は LDAP の拡張版みたいなものなのですが、そこから LDAP向きの情報だけの複製を作るイメージなのかな、、と。

     

    用途は Word/Excel  も関係なくないかもしれませんが、 もう少し Active Directoryと連携を主に利用する機能アプリケーションの為にある感じでしょうか。

    たとえば Exchange Server 2010 をメールサーバとして使う場合、インターネット側からメールを受信する受け口に Exchange Server 2010 Edge Transport Server の役割を

    インストールしたりしますが、これらは AD DSとの直接通信を遮断されるようなDMZ領域に配置されます。でもユーザ情報がいくつかあった方が便利なので AD LDSを構成し、情報コピーを貰う感じ??

     

     

     

    2011年5月9日 0:22
  • 全く個人的な見解ですが、Active Directoryは、ユーザー管理やポリシーといったOSのセキュリティと深く結び過ぎてしまい、単なる住所録や設定情報を放り込みたいためだけに利用したいときに使うにはちょっと使いづらい時もあります。そう言ったときにAD LDSの出番になります。
    OSのセキュリティとからめたくない時に、独立して使用できるADなので、以前はActive Directory Application Modeと言っていました。

    AD LDSは、Word/Excelといったアプリケーションよりかは、シングルサインオンとかでUnixとか他システム連携を行わなければいけない時とかリモートアクセスサーバーやその手のアプライアンス機器で、OSのユーザーとは別のLDAPに応答する住所録(ディレクトリサービス)を用意する必要に迫られた場合に便利だったりします。

    ところで、LDAPはLightweight Directory Access Protocolです。要は、通信のためのプロトコルで、HTTPとかFTPと同じ感じです(OSI参照モデルのアプリケーション層)。HTTPに応答するのがWeb Serverなら、LDAPに応答するのはDirectory Serviceになります。ディレクトリデータベースを持つのは、LDAPに応答するDirectory Serviceです(Active Directory,Active Direcotry LDS,OpenLDAPなど)

    ちなみに、ディレクトリサービスと言えば、他にはDNSとかNISなどもこれらに含まれます。


    2011年5月9日 4:39
    モデレータ
  • 既に複数の方からアドバイスがされていますが、補足いたします。

    簡単にいうとADの簡易版になります。

    ADとAD LDSは連携ができますが、ADのスキーマとAD LDSのスキーマはそれぞれ独立しているのが特徴になります。

    例えば、ADアプリケーションを作成する際に、実際の環境を使うのではなくAD LDSで簡易的なADを使用することによってADアプリケーションの開発を行うことなどが想定されています。それによって現状の環境を操作することなく新しい環境(スキーマの拡張など)を構築することが可能になります。

    しかし、現在は仮想環境が簡単に使用できるのでわざわざAD LDSを使わずとも、仮想環境でAD環境を使用することが容易になっていますのであまり使われません。

    実際に私が知っているレベルでは、ExchangeのEdgeに使用することや、外部システムとの連携の際にADを使用せずに、AD LDSを使用するなどです。

    以上、参考になれば幸いです。


    MVP:Virtual Machine Blog:MCTの憂鬱 http://naonao71.wordpress.com/
    2011年5月9日 6:46
    モデレータ
  • 回答ありがとうございました。

    > たとえば Exchange Server 2010 をメールサーバとして使う場合、インターネット側からメールを受信する受け口に Exchange Server 2010 Edge Transport Server の役割を
    > インストールしたりしますが、これらは AD DSとの直接通信を遮断されるようなDMZ領域に配置されます。でもユーザ情報がいくつかあった方が便利なので AD LDSを構成し、情報コピーを貰う感じ??

    赤本等にもそのような説明がありました。
    Exchange Serverを触ったことがないのと、私の理解力が乏しいためか、分かるような分からないような・・・といった感じです。

    2011年5月9日 13:05
  • ありがとうございます。

    > たとえば Exchange Server 2010 をメールサーバとして使う場合、インターネット側からメールを受信する受け口に Exchange Server 2010 Edge Transport Server の役割を
    > インストールしたりしますが、これらは AD DSとの直接通信を遮断されるようなDMZ領域に配置されます。でもユーザ情報がいくつかあった方が便利なので AD LDSを構成し、情報コピーを貰う感じ??

    アプリケーションに特化したADということで、なんとなくイメージ湧きました。
    ただ、「インスタンス」等の単語が絡んだりして、実際の動きをイメージできません。
    AD LDSで作成する「インスタンス」とは、AD DSにアクセするための、ユーザIDとイメージすれば良いでしょうか。
    (ユーザID=アプリケーションID→インスタンス)

    > シングルサインオンとかでUnixとか他システム連携を行わなければいけない時とかリモートアクセスサーバーやその手のアプライアンス機器で、OSのユーザーとは別のLDAPに応答する住所録(ディレクトリサービス)を用意する必要に迫られた場合に便利だったりします。

    まだ、Active Directoryの部分しか理解出来ていないので、AD LDSの構築方法は分かるけれど、どのようなときに使用して、何の役に経つのかが分からないという困った状態です。
    詳しい説明いただけておりますが、少ししっくりこない感じです。申し訳ありません。

    > LDAPはLightweight Directory Access Protocolです。要は、通信のためのプロトコルで、HTTPとかFTPと同じ感じです(OSI参照モデルのアプリケーション層)。

    ありがとうございました。
    LDAPについて少し誤解しておりました。たしかに、プロトコルでしたね。
    新しい単語+普段使わない単語であったため、少し混乱していたようです。

    2011年5月9日 13:12
  • ありがとうございました。

    > 例えば、ADアプリケーションを作成する際に、実際の環境を使うのではなくAD LDSで簡易的なADを使用することによってADアプリケーションの開発を行うことなどが想定されています。それによって現状の環境を操作することなく新しい環境(スキーマの拡張など)を構築することが可能になります。
    LDSを使えば、ADと同じようなスキーマを作成し、それを使って開発を行うってことですか?
    AD LDSは、システム構築屋よりも、システム開発屋が使用するものでしょうか。
    実際の用途がイメージできないため、難しいです。

    > しかし、現在は仮想環境が簡単に使用できるのでわざわざAD LDSを使わずとも、仮想環境でAD環境を使用することが容易になっていますのであまり使われません。
    なるほど。
    見かけない理由はそれだったのですね。

    > 実際に私が知っているレベルでは、ExchangeのEdgeに使用することや、外部システムとの連携の際にADを使用せずに、AD LDSを使用するなどです。
    Exchange Serverは近日勉強しようと思っています。
    やはり、他の技術も理解しておかないと、使用用途がイメージしづらいですね…

    私のレベルが少し低いため、ちょっと実運用や利便性がイメージできませんでした。
    AD LDSについて、MCPの問題は解けるし、構築はできますが、実用性についてイメージが湧かないので何のための勉強かという感じになってしまってます。

    私はServer製品についてもう少し勉強したほうが良さそうですね・・・
    ADの勉強で手一杯になっていました。

    > MVP:Virtual Machine Blog:MCTの憂鬱 http://naonao71.wordpress.com/
    参考記事が多くありました。
    今後たびたび参考にさせていただきます。

    2011年5月9日 13:23
  • このレベルは理解されているのかもしれませんが、誤解を恐れずにシンプルに言うと

    AD DS は 「アカウントを管理/認証をするアプリケーション」+「情報を貯めておくデーターベース」から構成されています。

    AD LDSはこのAD DSの構成要素のうち「データーベースのしくみ」だけ提供するものです。

    AD DSは「アカウントを管理/認証をするアプリケーション」が主に使用しますから、データベースに何を入れるかはある程度決まっています。大きくいじることはできません。

    AD LDSはデーターベースの仕組みのみの提供なので、どのようなデーター項目でデータベースを構成するかを自分で指定することが出来ます。つまり、「アカウントを管理/認証をするアプリケーション」ではなく「特定のアプリケーション」に特化した形で作ってもらっていいですよということです。

    しかし今現在、(私の認識では)AD LDSの使途は、Exchange Serverの構成情報のコピーを持つことくらいではないでしょうか。

    2011年5月15日 9:14