AD LDS Konfiguration

Ehe ich z.B. mit ADAMSync oder anderen Prozessen den AD LDS mit Daten fülle, sollte ich einige Vorarbeiten durchführen. Dazu gibt es unterschiedliche Werkzeuge wie ADSIEDT aber auch die PowerShell und DSMGMT.EXE. Oft gibt es mehrere Wege eine Aktion auszuführen, die ich aber nicht alle parallel beschreibe.

Aktion Beschreibung Erledigt

ADSIEDIT und Administratoren

Zuerst verbinde ich mit mittels ADSIEDIT auf den Server. Hier "Localhost:5000" und die Configuration-Partition.

Ein erster Blick zeigt schon die Ähnlichkeit mit dem Active Directory. Neu sind aber die "Roles" mit den vier vorbereiteten Gruppen. ADLDS hat ja keine "Domain-Partition" und daher auch keine Sicherheitsgruppen wie "Domain Administratoren" oder "Enterprise Administratoren".

Sie sehen aber hier auch den "Administrator", der beim Setup schon angelegt wurde. Hier können Sie nun weitere Administratoren anlegen. Die Gruppe der "Reader" und "Users" ist per Default nicht gefüllt.

Config NC

Für fast alle Änderungen braucht man den Configuration Naming Context und der beginnt zwar mit "cn=configuation" aber endet mit einer pro Installation unterschiedlichen GUID. Daher hole ich mir erst einmal den NC in eine Variable.

$ConfigNC= (Get-ADRootDSE -Server localhost:50000).configurationnamingcontext

Forest Mode

Selbst eine Installation der ADLDS auf Windows 2019 stellt den Forest functional Mode auf Windows 2003. Damit gehen natürlich einige schöne Funktionen wie z.B. der Papierkorb nicht. Daher setze ich den Mode zumindest auf Windows 2008R2

#Forestmode anpassen
Set-ADObject `
   -Identity "CN=Partitions,$($ConfigNC)" `
   -Replace @{"msDS-Behavior-Version"=4} `
   -Server localhost:50000

Papierkorb

Schon beim Active Directory habe ich den Papierkorb das ein oder andere Mal gebraucht und wenn ihr AD LDS nicht nur ein DirSync-Ziel ist, in dem Sie die Daten einfach wieder importieren können, dann rate ich dazu, den Papierkorb zu aktivieren. Das geht per PowerShell sehr einfach

# RecycleBin für AD LDS aktivieren
Enable-ADOptionalFeature `
   -Identity 'Recycle Bin Feature' `
   -Scope ForestOrConfigurationSet `
   -Target $ConfigNC `
   -Server localhost:50000

Application Partition

Ich habe beim Setup absichtlich keine Application Partition angelegt um sie dann hier zu konfigurieren. Microsoft beschreibt das einmal als "Source Code", aber das geht auch per LDP. Über die Funktion "Add Child" gebe ich einen freien DN ab und fülle die beiden Attribute:

ObjectClass: domainDNS
instanceType 5

Ein "Run" legt dann die Partition an.

Achtung: Nach dem "Run" wird das Fenster nicht geschlossen. Der Erfolg oder Misserfolg ist hinten im LDP-Fenster sichtbar.

Die Neue Partition können Sie unter Angabe des DN z.B. mit ADSIEDIT o.ä. binden. Es gibt hier aber nicht viel zu sehen:

Es gibt nur die drei vordefinierten OUs "LostAndFound", "NTDS Quotas" und "Roles"

TLS/SSL

 Beachten Sie zur Einrichtung von LDAPS bitte die eigene Seite AD LDS Zertifikate für LDAPS

Backup

Ich muss zugeben, dass aktuell keine meiner AD LDS-Instanzen bei Kunden aktiv gesichert werden. Natürlich werden die Server per VSS oder Snapshot gesichert und wenn der VSS-Provider einen guten Job macht, ist auch der AD LDS-Service mit gesichert. Aber bislang sind die AD LDS-Services immer nur Kopien von echten Daten, die für 3rd-Party-Programme aufbereitet und vorgehalten werden. Es ist in der Regel einfacher den AD LDS einfach noch mal zu installieren und die Daten wieder zu importieren.

Allerdings können natürlich auch mit DSDBUTIL ein Backup starten:

Das Zielverzeichnis muss leer sein.

$InstanceName = "Instance1"
$BackupRoot = "C:\backup\adlds-instance1\"
dsdbutil "Activate Instance $InstanceName" ifm "Create Full $BackupRoot\$InstanceName" quit quit

Simple Bind

AD LDS erlaubt nur sichere Anmeldungen, NTLM und Kerberos gehören dazu aber eine Übertragung von Benutzername/Kennwort über eine unverschlüsselte Verbindung per "Simple Bind" ist per Default nicht aktiviert.

Ich würde dies auch nicht aktivieren aber für eine Fehlersuche und Analyse kann es temporär sinnvoll sein, den unverschlüsselten Zugriff per Simple Bind zu erlauben, dass Sie z.B. per Wireshark zuschauen können, welche LDAP-Anfragen ein Client sendet.

Editieren Sie dazu per ADSIEDIT den folgenden Wert im ADAM.

LDAP_Pfad: CN=Directory Service,CN=Windows NT,CN=Services,CN=Configuration,CN={GUID}
Attribute: msDS-Other-Settings
Value Ensure RequireSecureSimpleBind = 0

 

Damit sollte sich auch eine Anmeldung mit Simple Bind ohne SSL erreichen lassen. Allerdings benötigen Sie natürlich immer noch einen "berechtigen Benutzer". Das kann ein Domain User sein, ein Benutzer auf dem ADAM-Computer oder auch ein Security Principal innerhalb der ADAM-Datenbank.

Eventlog

Als letzten Punkt nach Installation und Backup sollten Sie wissen, dass AD LDS auch ein eigenes Eventlog anlegt. Hier können Sie schauen, ob es jetzt schon Fehler gibt und für den Regelbetrieb sollten Sie vielleicht eine Überwachung implementieren.

 

Weitere Links

ADAMSYNC is a command-line utility that performs a one-way synchronization of data from Active Directory into ADAM. Adamsync uses an XML-based con-figuration file that drives the parameters of the ongoing synchronization