2.2 计划安装
可以在域控制器或成员服务器上安装 Active Directory 驱动程序。 开始安装驱动程序之前,请确定以下事项:
- 在哪个位置安装 Active Directory 驱动程序 Shim
- 如何解决安全问题
2.2.1 在哪个位置安装 Active Directory 驱动程序和 Shim
Active Directory 驱动程序 Shim 必须在一个受支持的 Windows 平台上运行。 但是,不需要在此同一计算机上安装 Metadirectory 引擎。 使用远程装载程序可以将引擎和驱动程序 Shim 分隔开来,这样便可以平衡不同计算机上的负载,或者适应公司的指令。
选择的安装方案将确定驱动程序 Shim 的安装方式。 如果选择在 Identity Manager 所在的同一计算机(Metadirectory 引擎和 Identity Vault 位于该计算机上)上安装驱动程序 Shim,则 Identity Manager 将直接调用驱动程序 Shim。 如果选择在另一台计算机上安装驱动程序 Shim,则必须使用远程装载程序。
在每种方案中,将以相同的方式安装驱动程序本身。请参见Section 4.0, 配置 Active Directory 驱动程序。
本地安装
单个 Windows 域控制器可以承载 Identity Vault、Metadirectory 引擎和驱动程序。
Figure 2-1 方案 1 - 所有组件在一台服务器上
此配置非常适合希望节省硬件成本的组织。 这也是性能最高的配置,因为 Identity Manager 和 Active Directory 之间不存在网络交通。
但是,在域控制器上承载 Identity Vault 和 Metadirectory 引擎会增加控制器的总体负载,并且会增大控制器出现故障的风险。 由于域控制器在 Microsoft 联网中发挥着关键的作用,因此,与添加硬件的成本相比,许多组织更看重域鉴定的速度,以及域控制器故障相关的风险。
只在 Windows 服务器上远程安装
可通过 Active Directory 域控制器在独立的计算机上安装 Identity Vault、Metadirectory 引擎和驱动程序。 使用此配置则不需要在域控制器上安装任何 Identity Manager 软件。
Figure 2-2 方案 2 - Active Directory 和驱动程序 Shim 在不同的服务器上
如果公司策略不允许在域控制器上运行驱动程序,则此配置很有吸引力。
在 Windows 和其它平台上远程安装
可以在 Active Directory 域控制器上安装远程装载程序和驱动程序 Shim,但需要在独立的服务器上安装 Identity Vault 和 Metadirectory 引擎。
Figure 2-3 方案 3 - Active Directory、远程装载程序和驱动程序 Shim 在一台服务器上
如果 Identity Vault 和 Metadirectory 引擎 (Identity Manager) 不是在一种受 Windows 支持的平台版本上安装的,则此配置很有吸引力。
方案 2 和方案 3 配置可以排除在域控制器上承载 Identity Vault 和 Metadirectory 引擎所存在的性能影响。
在 Windows 成员服务器上远程安装
如果对平台有要求,并且存在域控制器的限制,则可以使用三服务器配置。
Figure 2-4 方案 4 - 三服务器配置
此配置的设置更复杂,但它可以适应某些组织实行的限制。 此图中的两台 Windows 服务器是域的成员服务器。