Are you looking for a comprehensive guide to configure LDAP in Windows Server 2016? LDAP (Lightweight Directory Access Protocol) is an open, vendor-neutral protocol used to access and manage directory information services over a network. LDAP is used to store user account information, such as names, passwords, and access control information, in a directory database. With the help of LDAP, you can easily configure and manage access to network resources. In this guide, we’ll walk you through the steps to configure LDAP in Windows Server 2016, so you can take advantage of this powerful protocol.
To configure LDAP in Windows Server 2016, perform the following steps:
- Open Server Manager and click Tools.
- Select Active Directory Users and Computers.
- Right-click on the domain and click Properties.
- Go to the Security tab and click Advanced.
- Click Add and enter the name of the group that you want to give permissions.
- Check the Allow box for the desired permissions.
- Click OK and Apply.
Introduction to LDAP Configuration on Windows Server 2016
LDAP (Lightweight Directory Access Protocol) is a protocol that is used to access directory services over a network. It is a widely used protocol for managing and accessing user accounts, groups, and other information stored in a directory. LDAP can be used to manage user accounts in Windows Server 2016. In this article, we will discuss how to configure LDAP on Windows Server 2016.
Setting up the LDAP Environment
Before we can configure LDAP on Windows Server 2016, we need to set up the environment. This includes creating a domain controller, creating users and groups, and setting up Active Directory (AD). The domain controller is the computer that will be used to store the domain information, such as user accounts, groups, and other information. The users and groups are the accounts that will be used to access the directory services. Finally, Active Directory is the service that controls access to the directory services.
Creating a Domain Controller
The first step in setting up the LDAP environment is to create a domain controller. This can be done in the Server Manager. From the Server Manager, click on the “Add Roles and Features” link and select the “Active Directory Domain Services” role. This will install the necessary components for the domain controller. Once the role is installed, you can create the domain controller.
Creating Users and Groups
Once the domain controller is created, you can begin creating users and groups. This can be done in the Active Directory Users and Computers console. Here, you can create users, groups, and organizational units. This will be the information that will be accessible through the LDAP directory.
Configuring LDAP on Windows Server 2016
Now that the environment is set up, we can begin configuring LDAP on Windows Server 2016. The first step is to install the LDAP server. This can be done using the Server Manager. From the Server Manager, click on the “Add Roles and Features” link and select the “Active Directory Federation Services” role. This will install the necessary components for the LDAP server.
Creating the LDAP Server
Once the LDAP server is installed, you can begin creating the server. This can be done in the Active Directory Users and Computers console. Here, you will need to create a new organizational unit for the LDAP server. Once the organizational unit is created, you can then create the LDAP server.
Configuring the LDAP Server
Once the LDAP server is created, you can then begin configuring it. This can be done by editing the server’s properties. Here, you can configure the server to accept LDAP requests from clients, set up authentication methods, and set up security policies.
Testing the LDAP Configuration
Once the LDAP server is configured, you can then begin testing it. This can be done by using a LDAP client. Here, you can connect to the LDAP server and test the authentication, search, and other features. Once the tests are complete, you can then deploy the LDAP server in your environment.
Conclusion
Configuring LDAP on Windows Server 2016 is a straightforward process. By following the steps outlined in this article, you should be able to configure LDAP on Windows Server 2016 with ease.
Frequently Asked Questions
What is LDAP?
LDAP (Lightweight Directory Access Protocol) is an open and cross-platform protocol used to access and manage directory services over a network. LDAP is well-suited for managing large directories of users, computers, and other network resources, providing a centralized management system for storage and access of user data. It was created to provide an authentication and authorization system to support distributed computing environments.
What are the Benefits of LDAP?
The main benefit of LDAP is its ability to provide a centralized directory service for a variety of different applications and users. In addition, it provides a secure and efficient way to manage user accounts, passwords, and other authorization information. LDAP is also able to support large numbers of users and can scale to meet the needs of the organization. Finally, LDAP can provide an organization with the ability to perform automated security checks, such as checking user passwords against policy rules.
How to Configure LDAP in Windows Server 2016?
To configure LDAP in Windows Server 2016, you must first install the Active Directory Domain Services role. Once this is done, you can then use the Active Directory Domains and Trusts snap-in in the Server Manager to create a trust relationship between the two domains. You then need to configure the LDAP server settings in the Active Directory Users and Computers snap-in in Server Manager. Finally, you need to configure the LDAP client settings in the computer’s registry.
What are the Steps for Configuring LDAP in Windows Server 2016?
The steps for configuring LDAP in Windows Server 2016 are as follows:
1. Install the Active Directory Domain Services role
2. Create a trust relationship between the domains
3. Configure the LDAP server settings in the Active Directory Users and Computers snap-in
4. Configure the LDAP client settings in the computer’s registry
5. Test the LDAP connection
6. Configure security settings for the LDAP connection.
What is the Difference Between LDAP and Active Directory?
The main difference between LDAP and Active Directory is that LDAP is an open protocol that can be used to access and manage directory services over a network, while Active Directory is a Microsoft-developed directory service that is based on the LDAP protocol. LDAP is used to authenticate and authorize users in a distributed computing environment, while Active Directory is used to store user information and manage user accounts, passwords, and other authorization information.
What Security Settings Should be Used for LDAP?
When configuring LDAP, it is important to ensure that the security settings are configured properly. Security settings such as authentication, encryption, and access control should be configured according to the organization’s security policies. It is also important to ensure that all users have appropriate permissions to access the LDAP server. In addition, it is recommended to use LDAP over SSL (Secure Sockets Layer) to ensure that all data is encrypted when being transmitted over the network.
What are the Common Uses of LDAP?
LDAP is commonly used for authentication and authorization of users in a distributed computing environment. It can also be used to store user information and manage user accounts, passwords, and other authorization information. Additionally, LDAP can be used to provide a centralized directory service for a variety of different applications and users, as well as to provide an automated security system for checking user passwords against policy rules. Finally, LDAP is often used to enable single sign-on (SSO) solutions.
How to Configure Secure LDAP (LDAPS) on Window Server 2012/2016
By following the steps outlined in this article, you can easily configure LDAP in Windows Server 2016. Taking the time to understand and implement LDAP can help you to securely control user access and secure data. LDAP is a powerful tool for administrators to use and can save time and resources for your business. With the right configuration and setup, LDAP can be a powerful asset to your organization.
This article is based on best practice which we need to follow during the implementation of Active Directory and authentication of it with other software in presence of SSO (Single Sign on). So, what actually ldap means? The Lightweight Directory Access Protocol (LDAP) is used to read from and write to Active Directory. By default, LDAP traffic is transmitted unsecured. You can make LDAP traffic confidential and secure by using Secure Sockets Layer (SSL) / Transport Layer Security (TLS) technology. You can enable LDAP over SSL (LDAPS) by installing a properly formatted certificate from either a Microsoft certification authority (CA) or a non-Microsoft CA. so on this blog I will be sharing my knowledge on how to configure secure LDAP connection on Server 2016.
In default, communication between client and server application are not encrypted for LDAP which means it is possible to monitor device or software and view the communications traveling between LDAP client and Server Computers. But that doesn’t mean it can expose the Kerberos, SASL and even NTLM authentication or authorization, because they do have their own encryption methods. So only the data communication between Client and servers do have possibility of getting compromised. Hence let’s work on the securing the communication.
The port that uses by the LDAP for the normal communication is TCP/UDP 389 whereas for the secure communication it will be using 636 port. So, first let’s know how to check it.
Open your machine, go to run, type ‘ldp’ and click on ‘OK’.
Once this is done, a new window will get open. On the ‘Connection’ click ‘Connect’ and provide the server name and port as 636.
So, if you see this kind of error than this means you do not have configured secure LDAP. Then let’s start configuring it.
Configuring secure LDAP:
To configure the secure LDAP, we first need to install Certificate Authority on our Domain Controller. To get install Certificate Authority, please follow this blog. After completion of installing Local CA, open it. Right click on ‘Certificate template’, and select ‘Manage’. On ‘Action’, select ‘View Object Identifiers’.
Now scroll down and verify if you do have Server Authentication with object Identifier 1.3.6.1.5.5.7.3.1, this is the thing which allows us to configure secure ldap.
After verifying Object identifier, now open ‘Microsoft Management Console’ (MMC).
On ‘Microsoft Management Console (MMC)’, ‘Add or Remove Snap-ins’ using computer Certificates
Add certificate for the local computer and click ‘OK’, once this is done.
After adding the Local Certificate, expand the Personal below the Certificates.
You will see a new folder name ‘Certificates’ right-click on it and navigate to ‘Request New Certificate’ and select it.
A new window will get open for the Certificate Enrollment, click ‘Next’ on this.
On ‘Select Certificate Enrollment Policy’ click on ‘Next’.
At ‘Certificate Enrollment’, select ‘Domain Controller’ and click on ‘Enroll’.
It will take a while to get install the ‘Domain certificate’ on your Domain Controller. After completion click on ‘Finish’.
Now you can see the certificate issued to your domain controller on your certificate page.
Testing:
Once you verified the certificate has been installed on your machine, try to get connect to your machine as we did earlier
If the configuration is good, you will receive this kind of message on your LDP console. If it didn’t you might need to restart your machine once.
Hope this was quite helpful blog for the integrating AD authentication with your Application using Secure channel. Keep posting for any comments J
About Author
pdhewjau
Prashant is a Microsoft MVP for Office Servers and Services. He works as Technical Lead on Thakral One and a Microsoft Certified Trainer for Windows Server, Exchange Server and office 365.
На чтение 4 мин Опубликовано Обновлено
LDAP (Lightweight Directory Access Protocol) — это открытый протокол доступа к директориям, используемый для управления ресурсами в распределенной среде. Он широко применяется в системах управления идентификацией и аутентификацией пользователей.
Установка и настройка LDAP на Windows Server 2016 может показаться сложной задачей, но с помощью надежной инструкции можно справиться с этим без особых усилий. В этой статье мы представим подробную инструкцию, которая поможет вам установить и настроить LDAP на Windows Server 2016.
Установка LDAP на Windows Server 2016 требует выполнения нескольких шагов. Сначала необходимо установить роль Active Directory Domain Services (AD DS) на сервере, а затем настроить службу LDAP. Затем вы сможете создать и управлять объектами в директории, используя протокол LDAP.
Содержание
- Требования к системе
- Загрузка Windows Server 2016
- Установка Windows Server 2016
- Подготовка сервера
Требования к системе
Перед установкой и настройкой LDAP на Windows Server 2016 необходимо убедиться, что система соответствует следующим требованиям:
Операционная система: Windows Server 2016, 64-битная версия.
Процессор: 1,4 ГГц 64-битный процессор (2 ГГц или более рекомендуется).
Оперативная память: Минимум 512 МБ оперативной памяти (2 ГБ или более рекомендуется).
Свободное место на жестком диске: Минимум 32 ГБ свободного места на жестком диске.
Сетевое подключение: Должно быть доступно подключение к сети.
Права администратора: Для установки и настройки LDAP требуются права администратора.
Убедитесь, что ваша система соответствует указанным требованиям, прежде чем приступать к установке LDAP на Windows Server 2016.
Загрузка Windows Server 2016
Процесс установки LDAP на Windows Server 2016 начинается с загрузки операционной системы. Вам необходимо иметь установочный диск или скачанный образ Windows Server 2016.
- Откройте браузер и перейдите на официальный сайт Microsoft.
- Найдите раздел загрузок и выберите Windows Server 2016.
- Скачайте образ операционной системы на компьютер.
- Проверьте цифровую подпись файла образа с помощью соответствующего инструмента (например, Certutil).
- Настройте загрузочное устройство вашего сервера для загрузки с установочного диска или подключите образ с помощью виртуального привода.
Теперь ваш сервер готов к установке Windows Server 2016 и дальнейшей настройке LDAP.
Установка Windows Server 2016
Перед установкой Windows Server 2016 убедитесь, что ваш сервер соответствует минимальным требованиям системы.
Приступайте к установке Windows Server 2016 по следующим шагам:
- Вставьте загрузочный диск с Windows Server 2016 в дисковод или подключите флешку с установочными файлами.
- Перезагрузите сервер и выберите загрузку с CD/DVD или USB-устройства, в зависимости от типа установочного носителя.
- На экране выбора языка и раскладки клавиатуры выберите нужные параметры.
- Нажмите «Далее» и затем «Установка с нуля».
- Прочтите и принимайте участие в лицензионном соглашении. Нажмите «Далее».
- Выберите тип установки: «Полный» или «Сервер без графического интерфейса».
- Выберите диск для установки операционной системы. Нажмите «Далее».
- Ожидайте завершения установки операционной системы.
- После завершения установки система перезагрузится. Введите имя компьютера и пароль администратора.
- Продолжайте пошаговую настройку системы согласно инструкциям на экране.
- После завершения настройки вы сможете приступить к установке и настройке LDAP.
Подготовка сервера
Перед установкой LDAP на сервере Windows Server 2016 необходимо выполнить ряд подготовительных шагов. В данном разделе мы рассмотрим эти шаги подробнее.
1. Установка операционной системы Предполагается, что на сервере уже установлена операционная система Windows Server 2016. Если это не так, выполните установку операционной системы перед установкой LDAP. |
2. Установка необходимого программного обеспечения Перед установкой LDAP убедитесь, что на сервере установлены следующие программы:
Если указанные программы не установлены, выполните их установку перед установкой LDAP. |
3. Проверка доступности портов LDAP использует порт 389 для нешифрованных соединений и порт 636 для шифрованных соединений. Убедитесь, что указанные порты не заблокированы на сервере и доступны для использования. |
4. Проверка наличия административных привилегий Установка и настройка LDAP требует административных привилегий. Убедитесь, что у вас есть соответствующие права доступа на сервере. |
5. Проверка наличия домена LDAP используется для работы с доменами и активной директорией. Убедитесь, что на сервере настроен и функционирует домен. |
Привет.
Я часто пишу про тюнинг Active Directory – данная тема интересна тем, что практически на каждом предприятии данная инфраструктурная служба есть, и в большинстве случаев из её возможностей используется малая толика. В данной статье я расскажу про редкий и не освещаемый в простеньких авторизованных курсах функционал – LDAP-политики или Query Policy. Причина забвения данной темы, которая существует с Windows 2000 Server, тривиальна – и без настройки LDAP-политик всё работает с Default Query Policy. Однако в высоконагруженных или требующих взаимодействия с внешними LDAP-сервисами применениях знать, как работают LDAP-политики – надо.
Я предполагаю, что вы знаете, что такое CN, DN, RDN, LDAP, DC, GC, не путаете сайты Active Directory и то, что в IE, а также прониклись Active Directory настолько, что браузер для вас – это вначале ADSI.msc и только после – всё остальное. Наличие знаний хотя бы на уровне MCSA Windows Server 2012 обязательно.
Сразу предупреждение – не надо сразу бежать и применять то, что тут написано, на практике не спланировав и не подумав. Ряд приведённых настроек при быстром и решительном применении могут превратить процесс тюнинга службы каталогов в доработку резюме на сайте хехе.ру. Подумайте, спланируйте, продумайте последовательное применение и аккуратно, понемногу проводите изменения.
Мы будем изучать все существующие в природе Query Policy – начиная с Windows 2000 Server и заканчивая доступной на данный момент версией Windows Server 2016.
LDAP-политики (Query Policy) в Active Directory
- Что такое политики LDAP в Active Directory и зачем они нужны
- Базовые операции с политиками
- Как узнать, какие политики Query Policy поддерживаются
- Настраиваем параметры фильтрации доступа к LDAP
- Параметры функционирования LDAP
- Настраиваем параметры функционирования LDAP в Windows Server 2016
- Формат Query Policy
- Параметры, существующие с Windows 2000 Server
- Параметр Query Policy – MaxActiveQueries
- Параметр Query Policy – InitRecvTimeout
- Параметр Query Policy – MaxConnections
- Параметр Query Policy – MaxConnIdleTime
- Параметр Query Policy – MaxDatagramRecv
- Параметр Query Policy – MaxNotificationPerConn
- Параметр Query Policy – MaxPoolThreads
- Параметр Query Policy – MaxReceiveBuffer
- Параметр Query Policy – MaxPageSize
- Параметр Query Policy – MaxQueryDuration
- Параметр Query Policy – MaxResultSetSize
- Параметр Query Policy – MaxTempTableSize
- Параметры, существующие с Windows Server 2003
- Параметр Query Policy – MaxValRange
- Параметры, существующие с Windows Server 2008 R2
- Параметр Query Policy – MaxResultSetsPerConn
- Параметр Query Policy – MinResultSets
- Параметры, существующие с Windows Server 2012
- Параметр Query Policy – MaxBatchReturnMessages
- Параметры, существующие с Windows Server 2016
- Параметр Query Policy – MaxDirSyncDuration
- Отключаем жестко заданные лимиты настроек
- Создаём новую Query Policy
Начнём.
Что такое политики LDAP в Active Directory и зачем они нужны
Под термином “политики” в связи с Active Directory обычно имеются в виду групповые политики – мощное и легко расширяемое средство для централизованного управления многими настройками ОС и приложений. Некоторые ещё вспоминают “политики паролей” – PSO, которые появились с Windows Server 2008.
Однако, есть ещё одно применение термина “политики Active Directory” – благодаря объектам, которые относятся к классу queryPolicy
, существует возможность тонкой настройки работы контроллеров домена (DC) и серверов глобального каталога (GC), а также ощутимого повышения скорости, надёжности и безопасности их функционирования. Все эти параметры будут относиться именно к клиентским запросам по LDAP и ограничивать размер ответа, занимаемую память, диапазон значений, тайм-ауты и другие подобные свойства. Давайте разберёмся что это, и как это можно (и нужно) эффективно использовать.
Базовые операции с политиками
Query Policy хранятся в специальных объектах класса queryPolicy
. Сам класс queryPolicy
представляет из себя объект, содержащий в себе “пачку” настроек, которые читаются LDAP-серверами. Пачка реализована как многострочные атрибуты lDAPAdminLimits
и lDAPIPDenyList
, которые можно редактировать вручную, прямо в объекте AD, а можно “по-красивому”, через утилиту dsmgmt
(ранее – через ntdsutil
).
Утилита dsmgmt
идеологически “более правильная” по причине, что ntdsutil
изначально предназначался для работы именно с Active Directory, а dsmgmt позиционируется как более общее решение, которое должно работать со всеми службами LDAP-каталогов, включая AD LDS. А вообще, можно это всё править и через оснастку ADSI Editor. И через вкладку “Attributes” у объекта queryPolicy. И через древнюю утилиту ldp.exe. Особой разницы нет – LDAP – достаточно демократичная штука.
Объекты этого класса находятся в специальном контейнере, который расположен в разделе леса Configuration по DN-адресу CN=Query-Policies,CN=Directory Service,CN=Windows NT,CN=Services,CN=Configuration,DC=контекст-Вашего-леса-Active-Directory
. Вы можете увидеть их глазами, если откроете стандартную оснастку Active Directory Sites and Services и не забудете включить отображение ветки лесных сервисов – View / Show Services Node:
Достаточно логично, что эти объекты находятся в разделе configuration, который реплицируется на все контроллеры в лесу. Ведь данные политики применяются не только на контроллеры конкретного домена, а и на GC, и на сайты, которые привязки к доменам не имеют.
Изначально в Active Directory создан единственный объект LDAP-политик с именем Default Query Policy, который содержит настройки “по умолчанию”. Вы его видели на первом скриншоте – а вот так выглядят его настройки для новорожденного DC на Windows Server 2016:
Этот объект надо никогда не трогать. Почему – будет видно далее, а теперь мы поговорим о том, как эти объекты применяются на свою “целевую аудиторию” (DC/GC), редактируются и создаются.
Схема применения LDAP-политик
Объекты queryPolicy могут привязываться к сайту Active Directory, а могут и (что неочевидно) к конкретному контроллеру. Какая же будет логика применения нескольких политик queryPolicy?
- Контроллер домена смотрит раздел леса Configuration, открывает там контейнер Sites, находит себя и в своём дочернем объекте c CN=NTDS Settings и типом
nTDSDSA
смотрит на атрибутqueryPolicyObject
. Если там есть DN политики – настройки применяются и обработка прекращается. Т.е. не как в групповой политике, когда результирующая политика представляет собой “сумму наложений” всех политик на объекте, а сразу – раз политику нашёл, то применил и обработку остановил. - Если своей политики у контроллера домена нет, он берёт свой сайт, открывает его дочерний объект с CN=
NTDS Settings
и типомntDSSiteSettings
, находит там атрибутqueryPolicyObject
(у которого там может и не быть значения, он опциональный), и, в случае наличия, берёт DN объекта LDAP-политики из него. В этом случае обработка также останавливается. - Если не нашлось ничего – контроллер не унывает и идёт читать дефолтный объект с именем Default Query Policy. Поэтому, если Вы придумали свои новые и отличные настройки – всегда делайте новый объект, а не редактируйте дефолтный, чтобы иметь возможность лёгкого возврата настроек (что-то не работает – удалили ссылку на свой объект, контроллер стал читать дефолтный).
Добавлю, что, несмотря на одинаковое название – NTDS Settings, у сайта и у DC объект имеет разные типы – Site Settings (nTDSSiteSettings
) и Domain Controller Settings (nTDSDSA
).
По сути работа Query Policy ещё проще, чем в случае с групповыми политиками, где стандартную схему применения модицифируют многочисленные дополнительные инструменты. Теперь перейдём к самим настройкам, которые будут разделяться на две части (т.к. атрибута, в которых они задаются, тоже два – lDAPIPDenyList
и lDAPAdminLimits
.
Как узнать, какие политики Query Policy поддерживаются
Параметры меняются от версии к версии – и каждый контроллер с удовольствием расскажет вам, какие параметры QueryPolicy он знает и умеет обрабатывать. Для этого в LDAP 3.0 объявлен специальный объект root DSA-specific Entry (RootDSE
), и у него есть multivalued атрибут supportedLDAPPolicies
– вы увидите эти данные, просто подключившись к контроллеру, например, при помощи ldp.exe
:
У некоторых параметров есть жестко зафиксированные, на уровне программного кода ядер NT 6.0 и старше, максимальные значения. В этом случае я это адресно указываю – мол, в любом случае, что бы Вы не выставили, параметр будет интерпретироваться как такой-то.
Замечу, что аутентификация не нужна – по RFC 2251 данный объект, описывающий возможности LDAP-сервера, поддерживающего LDAP 3.0, должен быть доступен любому.
Ну а теперь можно и понастраивать.
Настраиваем параметры фильтрации доступа к LDAP
Первое и самое простое – фильтрация доступа к контроллерам. Благодаря политикам LDAP Вы можете выбрать IP-адреса, доступ с которых будет заблокирован. Делается это достаточно просто – в каждом объекте queryPolicy есть атрибут lDAPIPDenyList, в котором можно указать нужное количество блокируемых адресов. Формат атрибута – массив строк, а каждая строка должна выглядеть просто – IPv4 адрес, пробел и маска. Например строка:
172.16.0.0 255.240.0.0
заблокирует все обращения к контроллеру с частных IPv4-адресов сетей класса B. Для IPv6 данный механизм не реализован. В устаревшей документации можно встретить утверждение, что данный атрибут работает только для дефолтного объекта LDAP-политик, с CN=Default Query Policy
. Это не так – работает и в других.
Думаю, что использование такого параметра вполне очевидно – в случае теоретической доступности контроллера со стороны “ненужных” сетей доступ можно заблокировать. Хотя на данный момент в Windows Server имеется Advanced Firewall, который сам может это сделать, функционал блокировки адресов именно на уровне LDAP-запроса присутствует. Во многом по причине того, что когда данный функционал появился (в 1999 году, вместе с рождением Active Directory), встроенного Firewall в Windows Server не было.
Настраиваем параметры функционирования LDAP в Windows Server 2016
Теперь перейдём к основному массиву настроек. Мы разобьём их список по версиям серверной ОС – от Windows 2000 Server до Windows Server 2016.
Формат Query Policy
Все параметры LDAP-политик имеют формат вида “Имя=Значение”. То есть если нужно присвоить атрибуту Parameter значение 7, результирующая строка будет Parameter=7
.
Параметры, существующие с Windows Server 2000
Параметр Query Policy – MaxActiveQueries
Поддерживается версиями ОС
Только Windows 2000 Server; начиная с Windows Server 2003 параметр игнорируется.
Значение по умолчанию
20
Что делает
Когда использовался, указывал максимальное количество параллельно работающих операций поиска в LDAP на конкретном DC. По достижению этого числа DC выдавал при попытке “заказать” операцию поиска ошибку ERROR_DS_ADMIN_LIMIT_EXCEEDED
. Сейчас не используется, потому что есть более “умная” настройка, ограничивающая количество параллельных операций не для DC, а для ядра процессора.
Параметр Query Policy – InitRecvTimeout
Поддерживается версиями ОС
С Windows 2000 Server.
Значение по умолчанию
120
Что делает
Устанавливает время в секундах, за которое клиент после подключения (фактически, после bind) должен отправить первый рабочий запрос на LDAP-операцию. Если тайм-аут проходит, а клиент молчит, его отключают.
Модифицируем, например, в случае использования внешнего ПО, которое любит “подключиться и думать, что сказать для начала”. К такому ПО относится ряд продуктов IBM (например, Lotus Domino), а также продуктов Microsoft – тот же ILM 2007 и FIM 2010. Ситуация достаточно проста – если у Вас есть такое ПО, то, возможно, Вам имеет смысл увеличить тайм-аут хотя бы до 240 секунд (я увеличивал в случае с FIM 2010 до 600, это давало плюсы). Это не приведёт к какой-то дополнительной нагрузке на DC, скорее, наоборот – если ПО разработано так, что оно вначале находит ближайший/лучший DC и “цепляется” за него, после где-то у себя в голове ставит галочку “ОК, подключились, теперь будем, если что, запросы кидать”, и далее штатно делает с AD операции, то не имеет смысла держать тайм-аут таким, чтобы он регулярно сбрасывал подключение этого ПО, приводя ситуацию к “странно, вроде подключились, запрос кидать пробую – ошибка. наверное, AD нерабочая…”. Это может привести в хорошем варианте к повторной аутентикации ПО, в плохом – к неработоспособности и достаточно смутным ошибкам. Учитывайте, что существование данного параметра в не-дефолтном значении будет отрабатываться только в хорошо спроектированном ПО, которое работает с LDAP достаточно качественно. Поэтому в общем случае лучше увеличить этот параметр для “доверенного” ПО – пусть подключается и висит, нагрузки от единичных пустых LDAP-сессий нет, а траблшутить Лотус, который вначале подключается и через полчаса лезет почитать, что там интересного в Active Directory, дело очень унылое.
Данный механизм предназначен для защиты от DDoS, а не для воспитательно-карательных мер в отношении легального ПО. Не имеет смысла “наказывать” специфично спроектированное ПО тем, что сбрасывать его сессию.
Но в случае контроллера, работа с которым ведётся исключительно короткими сессиями (на нём не сидит админ с открытой консолью Active Directory Users & Computers весь день, с него лишь периодически “подкачивают” политику клиентские системы), имеет смысл понизить этот тайм-аут в целях своевременного “сброса” непонятных подключений. Нормальные клиенты подключаются и сразу же делают нужные операции. Опыт настройки в различных инсталляциях показал, что снижение до 15 секунд в такой ситуации является вполне эффективным и никак не влияет на применение групповых политик и LDAP-операции клиентов (даже географически удалённых и с медленными каналами связи).
Ещё раз – это ограничение стартового тайм-аута – т.е. ожидания первой операции клиента. Idle timeout рассматривается дальше.
Параметр Query Policy – MaxConnections
Поддерживается версиями ОС
С Windows 2000 Server.
Значение по умолчанию
5000
Что делает
Обозначает максимально возможное количество одновременных LDAP-подключений на DC. Заметьте – не после ldap bind, а вообще, т.е. в случае с обычным DC это будет математическая сумма подключений по портам TCP 389 и TCP 636. Что интересно, при появлении “лишнего” подключения (в дефолтном случае – 5001го) контроллером будет сброшено какое-то из существующих. Критерий сброса в документации не указан, эксперименты показали, что вроде как сбрасывается самое “старое” подключение, однако не всегда – на одной и той же инсталляции DC иногда сходил с ума и начинал дропить без видимой логики выбора.
Меняем это значение, если думаем о безопасности Active Directory. По сути, данный параметр надо увеличивать хотя бы раз в 10 сразу, потому что иначе атака вида DoS на контроллер домена может быть вполне успешно и оперативно реализована – подключаясь в цикле (даже авторизуясь при этом – кто мешает, читать-то AD могут Authenticated Users, а RootDSE
и Everyone) можно легко “догнать” суммарное количество сессий до лимита, а после, продолжая инициировать подключения, заставить контроллер сбрасывать рабочие сессии. При этом с точки зрения системы DC загружен не будет (процессор не нагружен, память не кончилась, сетевой интерфейс не загружен, очереди диска нет), а легальные клиенты испытают проблемы. Правда, когда легальный клиент переподключится, то он “выбьет” одну из фейковых сессий LDAP и, в зависимости от нагрузки, может успеть сделать что-то полезное, пока его, в свою очередь, не “выбьет” скрипт, генерящий фейковые сессии.
Параметр Query Policy – MaxConnIdleTime
Поддерживается версиями ОС
С Windows 2000 Server.
Значение по умолчанию
900
Что делает
Устанавливает время бездействия, после которого подключение штатно разрывается со стороны сервера. Важно: время бездействия – это время от поступления на сервер последнего запроса клиента (т.е. если время бездействия выставить в 30 секунд, а клиент запросил выборку, которая по медленному каналу качалась бы больше 30 секунд, контроллер не даст команде корректно отработать – проверено).
В случае наличия ПО, которое постоянно держит открытой подключение на контроллеры домена (тот же Exchange) тайм-аут можно и увеличить, но 15 минут обычно вроде как достаточно. Замечу, что этот тайм-аут сбрасывает только уже аутентицированного клиента. Поэтому в случае, например, “жесткой” привязки Exchange на DC/GC вполне можно этот тайм-аут увеличить – уменьшите количество переподключений. В случае же работы с внешними сервисами (трудно придумать сходу – ну, например, реализуя публично доступный LDAP-каталог (lol)) тайм-аут можно сократить в разы, хоть до 15 секунд – обычно в таких сценариях клиент подключается, делает штучный запрос, и всё – его можно отключать. Надо – ещё раз придёт.
Параметр Query Policy – MaxDatagramRecv
Поддерживается версиями ОС
С Windows 2000 Server.
Значение по умолчанию
4096 байт
Что делает
Устанавливает максимальный размер UDP-датаграммы, которую обрабатывает DC. Т.е. если придёт датаграмма размером больше указанного, контроллер должен её отбросить.
Надо ли править? Обычно нет по банальной причине – LDAP в Active Directory работает по TCP. Никакого особого КПД найти в ограничении размера UDP-пакета не получится, а раз не получится – то надо взять за правило не трогать параметры без явно подтверждённых на то причин. Есть сценарий, в котором повышение этого размера до 64K может быть позитивным, но он мало относится к теме статьи.
Кстати, ранее (в Windows 2000 Server) это значение было меньше в 4 раза, 1024 байта.
Параметр Query Policy – MaxNotificationPerConn
Поддерживается версиями ОС
С Windows 2000 Server.
Значение по умолчанию
5
Что делает
Определяет максимальное количество стоящих в очереди запросов клиента. Т.е. суть проста – клиент подключается, авторизируется, и делает запрос. Клиенту подтверждают, что запрос начинает выполняться, а клиент уже запрашивает следующий. Формируется очередь LDAP-запросов, а данный параметр ограничивает её. Очередь работает по логике FIFO, а действие этого параметра – обычный tail drop, а клиент получает не подтверждение о постановке запроса в очередь, а ERROR_DS_ADMIN_LIMIT_EXCEEDED
.
Модифицируем очень осторожно; с одной стороны – снижение этого числа может достаточно эффективно ликвидировать возможность хитрого DoS’а – фейковый клиент подключается, подтверждает подлинность и начинает доставать сервер запросами – “хочу всех пользователей, у которых поле X похоже на Y”, специально подбирая запросы по таким полям, которые и индексируются, и содержат наиболее обширные данные. Да и ANR тут только ухудшит ситуацию. Вопрос вообще достаточно тонкий, требует понимания и тюнинга всей системы индексации атрибутов объектов в Active Directory и в отрыве от этого рассматриваться не должен. Но в общих чертах – да, уменьшение этого числа для DC, с которыми не работают сервисы типа Exchange, а только обычные клиенты, может оказаться превентивной мерой для описаных выше специфических атак.
Параметр Query Policy – MaxPoolThreads
Поддерживается версиями ОС
С Windows 2000 Server.
Значение по умолчанию
4
Что делает
Определяет количество потоков на одном логическом процессоре, доступном DC/GC. Это будут как потоки для обслуживания входящих из сети запросов, так и потоки для обработки LDAP-поиска. То есть, говоря проще, если Вы поставите DC/GC в виртуальную машину и дадите этой виртуальной машине 2 процессора, данный параметр ограничит число параллельных потоков выполнения до 2*4=8. Потоков, заметьте, а не процессов.
Вполне разумно увеличить этот параметр, если у Вас достаточно производительные процессоры. Теоретически можно придумать DoS-атаку, которая выдаст столько запросов (и достаточно “долгоиграющих”), что контроллер запустит их параллельно, и их количество будет достаточно, чтобы “положить” систему. Смотрите и думайте сами, я лишь могу предложить увеличивать этот параметр для систем с быстрыми CPU – до 10 потоков на процессор.
Параметр Query Policy – MaxReceiveBuffer
Поддерживается версиями ОС
С Windows 2000 Server.
Значение по умолчанию
10,485,760 (10 МБайт)
Что делает
Это – размер буфера для одиночного запроса клиента. Если думаете, что это много, просто вспомните, что запрос – это не обязательно текстовая строчка вида (&(l=Кремль)(|(givenName=Дима)(givenName=Вова)))
, это может быть и масштабная выборка вида “надо все поля всех клиентов, у кого почта на .ru заканчивается”.
Данный параметр тесно связан с количеством одновременно возможных запросов. По сути, вся его оптимизация – это экономия потенциально выделенной памяти в количестве MaxReceiveBuffer * MaxConnections. Заметьте, память выделяется динамически, поэтому наличие этого буфера в 10МБ и количества подключений в 5000 не говорит о том, что DC/GC попытается выделить 50ГБ под буферизацию LDAP-запросов. Т.е. такое возможно в теории, на практике под каждый запрос сразу 10МБ не выделяется. Лучший вариант – мониторинг Вашей инсталляции Active Directory и, в случае отсутствия запросов подобных размеров, снижение этого числа (которое в реальности сделано с большим запасом). На практике в достаточно больших инсталляциях (несколько тысяч хостов, порядка 20 серверов Exchange) данный параметр, будучи установленым в 1МБ, не вызывал никаких проблем.
Кстати, в своё время (в Windows Server 2003) была ошибка, связаннае с тем, что сервер некорректно выделял память под буфер, если его размер в байтах больше странного числа 10737418. Ошибку давно поправили, лечилась она форсированной установкой буфера в 10485760 байт.
У этого параметра есть верхний лимит – 20971520 (в случае попытки выставить параметр выше по факту будет применено это значение).
Параметр Query Policy – MaxPageSize
Поддерживается версиями ОС
С Windows 2000 Server.
Значение по умолчанию
1000
Что делает
Этот параметр достаточно неочевиден по своей настройке. Суть в том, что это не максимальный размер возвращаемых запросом результатов, а размер одной страницы с этими результатами. Если при поиске будет возвращено большее количество объектов, то они будут возвращаться блоками, которые и называются страницами. Сервер держит эти блоки в RAM пока клиент не заберёт их все либо не сделает unbind.
Модифицируем в случае, если хорошо понимаем LDAP и то, что этот параметр, по сути, меняет баланс между “сформировать много страниц ответа и отдавать по одной быстро” vs “сформировать мало страниц и отдавать подольше, но реже”. Интересным является тот факт, что “родной” клиент LDAP в Windows всегда делает paged-запросы, поэтому в принципе сломать что-то этим параметром трудно. Учтите, что тут есть строгая зависимость от того, какие запросы делает клиент – т.е. в случае наличия “глупого” ПО, которое делает не-paged запросы, Вы реально можете ему помешать работать. Если такого ПО нет, я бы рекомендовал снизить этот параметр до 100 исключительно по причине того, что очень малое число запросов к AD возвращают более 100 объектов, а выделять лишнюю память для буферизации смысла нет.
Верхний лимит параметра – 20000 (в случае попытки выставить параметр выше по факту будет применено это значение).
Вообще, нужно учитывать достаточно простую логику Microsoft – все ldap-запросы должны быть с поддержкой paging, поэтому не-paged запросы в общем-то являются потенциально unsupported. Подробнее, если Вы разработчик, можно найти в документации на ldap_create_page_control
.
Параметр Query Policy – MaxQueryDuration
Поддерживается версиями ОС
С Windows 2000 Server.
Значение по умолчанию
120
Что делает
То, что и в названии – максимальное время обработки одиночного запроса. Считается от момента поступления оного, а не от подключения клиента, что логично. Как только время закончится – запрос будет остановлен и клиенту будет возвращена ошибка ERROR_INVALID_PARAMETER
.
Тонкость – это произойдёт только если запрос всё выполняется. Если же он уже выполнен, вернул много результатов и их постранично забирает клиент, то клиента не отключат. Т.е. цель этого механизма – отключать запросы, которые “перегревают” DC, а не стирать через 2 минуты результаты уже готовых, которые сформированы и лежат в буфере.
На практике этот параметр можно реально уменьшить, и сильно. Две минуты на формирование результатов запроса – это надо иметь огромный лес, сложнейший запрос к GC и очень медленный сервер. Если это не так, запрос даже в 10 секунд – сложная в реальности штука. Опять же – измеряйте Вашу реальную ситуацию и модифицируйте настройки в случае необходимости. Верхний лимит параметра: 1200 (в случае попытки выставить параметр выше по факту будет применено это значение. хотя трудно себе представляю штатный запрос к DC/GC, который в норме выполняется дольше 20 минут).
Параметр Query Policy – MaxResultSetSize
Поддерживается версиями ОС
С Windows 2000 Server.
Значение по умолчанию
262,144
Что делает
Устанавливает размер памяти в байтах (в байтах, а не как иногда пишут – “в объектах”), выделяемых на все результаты всех активных сейчас paged-запросов. Т.е. ещё раз – на вообще все, которые на сервере сейчас уже выполнены, и клиенты их забирают. И именно на paged, которые постранично забирают клиенты. Если места на кэширование результатов нового запроса не хватает, то (ключевое) удаляются результаты старого. И если клиент продолжит его забирать, то надо бы его выполнить повторно.
Лучше всего увеличить этот параметр хотя бы до мегабайта. В крупных инсталляциях хорошо срабатывает увеличение до 16 (число выбрано по причине мониторинга и обнаружения ситуаций, когда в буфере лежало до 10МБ результатов и взято с небольшим запасом). Цель – отсутствие ситуации, когда результаты нового paged-запроса затирают недополученные клиентом результаты более старого paged-запроса.
Кстати, в документации Microsoft есть опечатка – там параметр иногда называется MaxResultSize. Такого параметра нет, можете проверить. Вообще, конечно, параметр логичнее было бы назвать MaxResultSetsSize или какой-нибудь MaxTotalResultSetsSize, но увы.
Параметр Query Policy – MaxTempTableSize
Поддерживается версиями ОС
С Windows 2000 Server.
Значение по умолчанию
10000
Что делает
Достаточно интересный параметр. Суть его в следующем – когда выполняете достаточно сложный запрос, в котором есть логические операции (например, объединения или пересечения множеств), то возникает необходимость в формировании промежуточных таблиц с результатами выборок. В них лежат так называемые candidate object’ы – объекты, часть из которых попадёт в результат. Если размер промежуточной таблицы превзойдёт указанное число записей, то система перестанет обрабатывать запрос пошагово (выбрать множество -> выделить подмножество -> из него выбрать по критерию -> и т.д.) а перейдёт к т.н. direct scan (будет обрабатывать потенциальные объекты по-одному). Вот этот параметр – это максимальный размер такой таблицы для каждого из запросов.
Подумайте, будут ли у Вас запросы, промежуточные результаты которых будут превышать это число, и, в случае наличия оных, увеличьте этот параметр. И обломайтесь – по факту он не увеличится. Производительность таких запросов серьёзно упадёт и Вы ничего сделать не сможете – в Windows Server 2008 R2 максимальное значение этого параметра как раз 10000. Увы, как ни странно, в Windows Server 2003 это можно было регулировать гибче. Т.е. верхний лимит параметра как раз и есть его значение по умолчанию, 10000 – в случае попытки выставить параметр выше по факту будет применено это значение.
Параметры, существующие с Windows Server 2003
Параметр Query Policy – MaxValRange
Поддерживается версиями ОС
С Windows Server 2003.
Значение по умолчанию
1500
Что делает
Устанавливает максимальное число результатов, являющихся полями одного атрибута одного объекта, которые может вернуть один LDAP запрос. В общем-то ключевое, под что параметр заточен – это атрибут members у группы. Политика появилась в Windows Server 2003 вместе с изменениями в репликации multivalued-атрибутов (если помните, именно тогда и при помощи LVR был убран штатный для Windows 2000 Server конфликт репликации multivalued-атрибутов). Ранее, в Windows 2000 Server, значение было установлено на 1000 и не могло быть изменено штатным способом.
Модифицируем, например, в случае наличия групп с количеством участников выше 1500. Хитрый DoS, блокируемый этим параметром, придумать можно, но вот проблемы с отправкой почты на адрес “Все сотрудники” в случае линейного включения всех учетных записей пользователей в группу придумываются ощутимо быстрее. Хотите упростить ситуацию – ставьте сразу на 5000 – это верхний лимит параметра.
Параметры, существующие с Windows Server 2008 R2
Параметр Query Policy – MaxResultSetsPerConn
Поддерживается версиями ОС
С Windows Server 2008 R2.
Значение по умолчанию
10
Что делает
Устанавливает максимальное число хранимых со стороны сервера результатов поисковых запросов клиента. Модифицируем в случае, если у нас очень много параллельных запросов. Фактически, в хостинговых сценариях (например, хостинг Exchange). Кстати, в случае, если Ваш домен был установлен не сразу как Windows 2008 R2, параметр будет равен нулю (что по факту опять-таки превратит его на поддерживающих этот параметр контроллерах в 10).
Параметр Query Policy – MinResultSets
Поддерживается версиями ОС
С Windows Server 2008 R2.
Значение по умолчанию
3
Что делает
Задаёт минимальное число параллельных запросов для включения режима оптимизации paged-запросов, доступного в NT 6.1. Модифицируем просто – если поставить единицу, тогда режим оптимизации будет инициироваться всегда, и отработка запросов ускорится.
Параметры, существующие с Windows Server 2012
Параметр Query Policy – MaxBatchReturnMessages
Поддерживается версиями ОС
С Windows Server 2016.
Значение по умолчанию
1100
Что делает
Задаёт максимальное число ответов при заказе расширенной операции с полем “хочу пачкой (batch)” – LDAP_SERVER_BATCH_REQUEST_OID. Эти операции – это, допустим, расширенный поиск с флагами LDAP_SERVER_DOMAIN_SCOPE_OID, LDAP_SERVER_SHOW_DELETED_OID, LDAP_SERVER_SHOW_RECYCLED_OID и подобными. В ответ на такой запрос может быть отдано много одиночных LDAP Message – вот как раз их максимальное количество, которое надо закэшировать и отдавать клиенту, здесь и задаётся. Параметр можно увеличить в больших инсталляциях – но надо, конечно, для начала мониторить происходящее, чтобы увидеть, есть ли такие запросы на практике.
Параметры, существующие с Windows Server 2016
Параметр Query Policy – MaxDirSyncDuration
Отключаем жестко заданные лимиты настроек
В многих настройках я указывал, что они жёстко ограничены – можно указать любое значение, просто если оно больше некого X, то оно будет расцениваться как X.
Это появилось с Windows Server 2008 и – что удивительно – это можно отключить. Последовательность действий для этого проста:
- Открываете редактор – подойдёт ADSI;
- Открываете редактор атрибутов для объекта CN=Directory Service,CN=Windows NT,CN=Services,CN=Configuration,DC=ваш лес – именно для него, для контейнера!
- Берёте атрибут
dSHeuristic
и выставляете ему значение000000000100000001
, если атрибут пустой; этим выставляется битовый флагfLDAPBypassUpperBoundsOnLimits
, который читается DC с Windows Server 2008 и старше;
Делайте это крайне осторожно – это атрибут масштабов леса, у него каждый бит делает что-то определённое – не ошибитесь.
Создаём новую Query Policy
Это достаточно тривиальная задача – откроем ADSI, подцепимся к разделу Configuration, откроем последовательно CN=Services, потом CN=Windows NT, потом CN=Directory Service, потом CN=Query-Policies, и, увидев одинокую политику по умолчанию, создадим новый объект queryPolicy:
У объекта надо будет только задать CN – остальные параметры правятся уже просто, редактированием соответствующего атрибута. Так как он один и в начале статьи приведён, дублировать тут не буду.
Я всё прочитал и поменял все параметры. Что теперь?
Теперь, если всё продолжает работать, можно измерить производительность того, что мы наделали. Не наоборот. Т.е. после тюнинга LDAP-политик в первую очередь всё должно продолжить функционировать, а во вторую – улучшить какие-либо характеристики.
Надеюсь, что данный материал поможет Вам эффективнее работать с инфраструктурой на базе Active Directory, а также покажет, что в данном сервисе есть достаточно много такого, что гораздо интереснее, чем унылые инструкции про “Next->Next->Finish->вроде-кое-как-заработало”.
Техники атаки и защиты LDAP-хранилищ достаточно оригинальны и разнообразны (например, неавторизованный пользователь может заказать априори огромный по количеству результатов запрос, притом запросить, чтобы он (результат запроса) ещё и был отсортирован по неиндексированному атрибуту), поэтому грамотный инженер должен хорошо понимать возможности Active Directory по тюнингу такого функционала.
Удач!
LDAP (Lightweight Directory Access Protocol) — это протокол доступа к серверу каталогов, который обеспечивает единый способ доступа к информации о пользователях, группах и других объектах в распределенных сетевых службах. В данной статье мы рассмотрим подробное руководство по настройке LDAP на сервере Windows Server 2016.
Для начала, установите роль службы каталогов Active Directory на сервере Windows Server 2016. Эта роль позволяет создавать и управлять каталогами, включая LDAP-сервер. После установки роли, вам потребуется настроить несколько параметров, чтобы LDAP-сервер был готов к работе.
Прежде всего, установите соединение с сервером Windows Server 2016 и запустите инструмент «Active Directory Administrative Center». В нем вы сможете создавать и управлять объектами каталога, включая пользователей и группы.
Далее, настройте доступ к LDAP-серверу. Запустите инструмент «Server Manager» и выберете раздел «Настроить удаленный доступ». После этого откройте вкладку «Настройки LDAP», где вы сможете указать порт и протокол, которые будут использоваться для доступа к LDAP-серверу.
Важно отметить, что безопасность LDAP-сервера также играет важную роль. Убедитесь, что вы настроили SSL-сертификаты и указали соответствующий порт и протокол для защищенного доступа к LDAP-серверу.
Содержание
- LDAP: что это и зачем нужно
- Установка и настройка Windows Server 2016 для использования LDAP
- Шаг 1: Установка роли службы каталогов
- Шаг 2: Подготовка сервера после установки роли
- Шаг 3: Создание пользователей и групп
- Шаг 4: Настройка доступа к объектам
LDAP: что это и зачем нужно
LDAP предоставляет стандартный способ доступа к каталогам, который позволяет клиентам выполнять операции поиска, добавления, изменения и удаления записей. Каталоги, которые используют LDAP, содержат информацию о пользователях, группах, компьютерах и других объектах в организации.
LDAP имеет множество преимуществ, которые делают его неотъемлемым инструментом для организации сетевой инфраструктуры:
- Универсальность: LDAP является стандартным протоколом, поддерживаемым большинством поставщиков каталогов и клиентских приложений.
- Масштабируемость: с помощью LDAP можно организовать каталоги с миллионами объектов и обеспечить быстрый доступ к ним.
- Централизация: LDAP позволяет хранить информацию о пользователях, группах и других объектах в централизованном каталоге, что облегчает управление и обеспечивает единообразие данных.
- Аутентификация и авторизация: LDAP используется для проверки подлинности пользователей и управления их доступом к ресурсам в сети.
- Интеграция: LDAP позволяет интегрировать различные приложения и системы с каталогами, обеспечивая доступ к актуальной информации об объектах.
В общем, LDAP облегчает управление пользователями и ресурсами в сети, обеспечивает безопасность и единообразие данных, а также упрощает интеграцию различных систем и приложений. В настоящее время LDAP широко используется в корпоративных сетях и является неотъемлемой частью Windows Server.
Установка и настройка Windows Server 2016 для использования LDAP
В этом руководстве будет рассмотрено, как установить и настроить LDAP на Windows Server 2016 для использования его функциональности.
Шаг 1: Установка роли службы каталогов
1. Откройте «Server Manager» (Менеджер сервера).
2. Нажмите на «Add Roles and Features» (Добавить роли и компоненты).
3. В «Before You Begin» (Перед началом) щелкните «Next» (Далее).
4. Выберите «Role-based or feature-based installation» (Установка на основе ролей или компонентов).
5. Выберите нужный сервер в списке.
6. Выберите «Active Directory Domain Services» (Службы домена Active Directory) в списке ролей.
7. Щелкните «Next» (Далее) и затем «Add Features» (Добавить компоненты). Нажмите «Next» (Далее).
8. На странице «Features» (Компоненты) оставьте настройки по умолчанию и нажмите «Next» (Далее).
9. На странице «AD DS» (Доменные службы Active Directory) оставьте настройки по умолчанию и нажмите «Next» (Далее).
10. На странице «Confirmation» (Подтверждение) проверьте выбранные компоненты и нажмите «Install» (Установить).
11. Дождитесь завершения установки и нажмите «Close» (Закрыть).
Шаг 2: Подготовка сервера после установки роли
1. В «Server Manager» (Менеджер сервера) нажмите на «Local Server» (Локальный сервер).
2. Нажмите на «Manage» (Управление) рядом с «Active Directory Domain Services» (Службы домена Active Directory).
3. В «Active Directory Domain Services Configuration Wizard» (Мастер настройки служб домена Active Directory) выберите «Post-deployment Configuration» (После развертывания конфигурации) и нажмите «Next» (Далее).
4. На странице «Specify the domain controller capabilities» (Укажите возможности контроллера домена) оставьте настройки по умолчанию и нажмите «Next» (Далее).
5. На странице «Delegation of Administration» (Делегирование администрирования) выберите опцию «If only one domain controller exists in this forest, make this domain controller a global catalog (recommended)» (Если в этом лесу существует только один контроллер домена, сделайте этот контроллер домена глобальным каталогом (рекомендуется)) и нажмите «Next» (Далее).
6. На странице «DNS Options» (Параметры DNS) выберите опцию «Install and configure the DNS server on this computer, and set this computer to use this DNS server as its preferred DNS server» (Установить и настроить DNS-сервер на этом компьютере и установить его в качестве предпочтительного DNS-сервера) и нажмите «Next» (Далее).
7. На странице «Additional options» (Дополнительные параметры) оставьте настройки по умолчанию и нажмите «Next» (Далее).
8. На странице «Paths» (Пути) оставьте настройки по умолчанию и нажмите «Next» (Далее).
9. На странице «Review Options» (Просмотр параметров) проверьте выбранные параметры и нажмите «Next» (Далее).
10. На странице «Completing the Active Directory Domain Services Configuration Wizard» (Завершение мастера настройки служб домена Active Directory) нажмите «Close» (Закрыть).
Шаг 3: Создание пользователей и групп
После установки и настройки службы каталогов LDAP на Windows Server 2016 можно создавать пользователей и группы:
1. Откройте «Server Manager» (Менеджер сервера) и выберите «Active Directory Users and Computers» (Пользователи и компьютеры Active Directory).
2. Щелкните правой кнопкой мыши на нужном контейнере, выберите «New» (Новый) и затем «User» (Пользователь).
3. Заполните поля для создания нового пользователя и нажмите «Next» (Далее).
4. Выберите необходимые опции для пользователя и нажмите «Next» (Далее).
5. Нажмите «Finish» (Готово).
6. Чтобы создать группу, повторите шаги 1-2, а затем выберите «Group» (Группа).
7. Заполните поля для создания новой группы и нажмите «Next» (Далее).
8. Нажмите «Finish» (Готово).
Шаг 4: Настройка доступа к объектам
1. Откройте «Server Manager» (Менеджер сервера) и выберите «Active Directory Users and Computers» (Пользователи и компьютеры Active Directory).
2. Щелкните правой кнопкой мыши на нужном объекте, выберите «Properties» (Свойства) и перейдите на вкладку «Security» (Безопасность).
3. Нажмите на «Advanced» (Дополнительно).
4. В «Advanced Security Settings» (Расширенные параметры безопасности) выберите нужные разрешения и нажмите «OK» (ОК).
5. Нажмите «OK» (ОК) для применения изменений.
Теперь у вас должна быть установлена и настроена служба LDAP на Windows Server 2016, и вы можете использовать ее для управления пользователями, группами и другими объектами в сети.