老森常谈 IT 帮助

【AD ADS (AD 轻量目录服务)】

◎ 微软的纯 LDAP 服务。
◎ 独立程序，可安装在域内/外，可安装多个。
◎ 可通过 adamsync 同步 AD DS 的账户信息，但无法同步密码，除非通过其他工具，如微软的 FIM、MIM，但需要购买授权。
◎ 如果打算让外部使用单一账号访问 LDAP 通讯录，可以考虑。

相关指令：

ldifde -i -f ms-adamschemaw2k8.ldf -s localhost:389 -k -j . -c "cn=configuration,dc=X" #configurationNamingContext

adamsync /install localhost:389 C:\LDS\MS-AdamSyncConf.XML /passPrompt

adamsync /sync localhost:389 dc=ldap,dc=local /log C:\LDS\synclog.txt

# log 有出現錯誤的模組，可以在 MS-AdamSyncConf.XML 用 <exclude>extensionName</exclude> 先排除掉。

# <exclude>extensionName</exclude> 跟 <include>extensionName</include> 項目不能同時存在。

# 如果有多組 OU 要匯入，可以用多個 <base-dn>ou=a,dc=abc,dc=com</base-dn> 來匯入。

【AD FS (AD 联盟服务)】

◎ 主要用于单点登录 (SSO) (单点登录)。
◎ AD FS 不是 LDAP。
◎ 使用 SAML (类似 XML)，若要在其他应用服务使用 AD FS，需要配合这部分。

【参考资料】

• AD DS 同步到 AD LDS 解决方案 | Experts Exchange
• ADAMSync 用户代理和 SID 问题?
• ADAM 示例配置文件 | ServiceNow 文档
• ADAMSync 101 – Microsoft 技术社区 – 400165
• 同步 LDS 到 AD DS | Dirk & Brad 的 Windows 博客
• 与 Active Directory 域服务同步