Active Directory: Grundlagen

Veröffentlicht von Mac am

Rating: 4.9/5. (24 Stimmen) Details
Bitte warten...

Das Active Directory (AD) ist ein Verzeichnisdienst aus dem Hause Microsoft. Es beinhaltet und verwaltet Netzwerkressourcen wie Benutzer, Gruppen, Drucker, aber auch Standorte und Subnetze. Es verbindet Technologien und baut auf Standards, welche eine Implementierung weiterer Dienste und Anwendungen vereinfacht. Im einfachen Sinne spricht man von einer Datenbank als Kommunikationsknoten. In den Anfängen war eine Windows Domäne ein flacher Container bestehend aus Benutzer, Computer, Gruppen und einer Handvoll Richtlinien. Mit Windows 2000 Server veröffentlichte Microsoft Active Directory, eine hierarchische Datenbank mit einer Vielzahl von Möglichkeiten.

Der Grundstein eines jeden Active Directory ist das Schema. Es definiert die Objektklassen und -eigenschaften, und konstruiert damit die Domäne. Das Schema ist versioniert und individuell erweiterbar. Die Kommunikation erfolgt über Lightweight Directory Access Protocoll (LDAP) und bedient sich dem Domain Name System (DNS) zur Ermittlung von Ressourcen. Dadurch erklärt sich, dass ohne DNS keine Domäne erstellt werden kann. Eine Domäne kann beliebig viele Subdomains beinhalten und wird nur durch ihre Komplexität und Verwaltbarkeit begrenzt. Der Abgleich von Domänendaten ist als Replikation bekannt und stellt die Konsistenz übergreifend sicher. Eine Verbindung zwischen Root- und Subdomains gilt standardmäßig als bidirektional und transitiv, im Allgemeinen als Vertrauensstellung (engl. Trust) bekannt.

Definition bidirektionale, transitive Vertrauensstellung
Wenn A B vertraut, dann vertraut B automatisch auch A (bidirektional). Wenn A B vertraut, und B vertraut C, dann vertraut A automatisch C und umgekehrt (transitiv).

 

Beispiel einer Active Directory-Domänenstruktur

Das Gebilde aus Domain und Subdomains wird Gesamtstruktur (engl. Forest) genannt und bildet die logische Grenze. Mehrere Gesamtstrukturen können eine Vertrauensstellung eingehen und so miteinander verknüpft werden, man spricht auch von Federation. Neben der physikalischen Abgrenzung durch Netzwerk, Router, Bridges ermöglicht Active Directory die logische Einteilung bspw. anhand von Standorten, sogenannten Sites. Die Replikation über Sites hinweg kann direkt gesteuert werden. Die Authentifizierung erfolgt über Kerberos. Bei dem Authentifizierungsvorgang wird bei Anmeldung ein Ticket erstellt, welches standardmäßig 10 Stunden gilt. Über dieses Token, oder auch Ticket Granting Ticket (TGT), werden die Berechtigungen gesteuert. Nach Ablauf des festgelegten Zeitraums wird das Ticket automatisch erneuert.

Die kleinste Einheit in einer Domäne ist der Domänencontroller (DC). Er hält die Datenbank (ntds.dit) des AD vor. Bei mehreren Domänencontrollern erfolgt der Abgleich von Daten automatisch über die Replikation. In einer Domäne gibt es mindestens einen Globalen Katalog, der grundlegende Informationen über die Gesamtstruktur hält. Zusätzlich existieren 5 Master in einer Domäne mit speziellen Funktionen wie folgt erläutert:

Schemamaster

  • Einer in der Gesamtstruktur.
  • Steuert alle Aktualisierungen und Änderungen am Schema.
  • Bei Ausfall können Administratoren keine Änderungen am Schema durchführen, die Benutzer werden nicht beeinträchtigt.
  • Übertragung in AD-Schema, nur wenn der alte Schema-Master endgültig ausgefallen ist.

Domain Naming Master

  • Einer in der Gesamtstruktur.
  • Steuert das Hinzufügen und Entfernen von Domänen.
  • Bei Ausfall können Administratoren keine Domänen in der Gesamtstruktur erstellen oder entfernen, die Benutzer werden nicht beinträchtigt.
  • Übertragung in AD-Domänen und Vertrauensstellungen, nur wenn der alte Domain Naming Master endgültig ausgefallen ist.

RID-Master

  • Einer pro Domäne.
  • Weist DCs der jeweiligen Domäne RID-Sequenzen zu. Eine RID-Sequenz ist Teil der SID von Benutzer-, Gruppen- und Computer-Objekten. Die SID setzt sich aus der Domänen-SID zusammen, die für alle Objekte in der Domäne gleich ist, und der RID, die innerhalb der Domäne eindeutig ist.
  • Bei Ausfall können Administratoren keine neuen Objekte erzeugen, wenn der DC alle vorhandenen RIDs aufgebraucht hat. Benutzer werden nicht beinträchtigt.
  • Übertragung in AD-Benutzer und Computer, nur wenn der alte RID-Master endgültig ausgefallen ist.

PDC-Emulator

  • Einer pro Domäne.
  • Arbeitet als Primärer Domänen-Controller in Domänen mit Computern ohne W2k-Client-Software oder mit DCs unter Windows NT 4.0. In einer W2k-Domäne im einheitlichen Modus ist dies der bevorzugte Empfänger von Replikationen von auf anderen DCs ausgeführten Kennwortänderungen. Bei einer fehlgeschlagenen Anmeldung aufgrund eines falschen Kennworts wird zunächst der PDC-Emulator befragt, bevor die Anmeldung abgewiesen wird.
  • Bei Ausfall werden speziell die Benutzer beeinträchtigt, die nicht mit W2k-Clients arbeiten.
  • Übertragung in AD-Benutzer und Computer, kann unmittelbar nach Ausfall erfolgen und zurück übertragen werden, wenn der alte PDC-Emulator wieder online ist.

Infrastruktur-Master

  • Einer pro Domäne.
  • Aktualisiert die Verweise von Gruppen zu Benutzern bei der Änderung von Gruppenmitgliedschaften und Objektnamen und verteilt die Aktualisierungen über die Replikation.
  • Sollte auf einem Server liegen, der nicht den globalen Katalog enthält, da sonst Inkonsistenzen bei domänenübergreifenden Verweisen nicht identifiziert werden können. Sollte aber eine gute Verbindung zu einem globalen Katalog haben, möglichst im gleichen Standort,
  • Ein Ausfall macht sich für Administratoren bemerkbar, die umfangreichere Änderungen in den Gruppenmitgliedschaften durchgeführt haben, die Aktualisierungen werden verzögert. Benutzer werden nicht beinträchtigt.
  • Übertragung in AD-Benutzer und Computer auf einen Sever, der kein Server für den globalen Katalog sein sollte. Kann später zurück übertragen werden.

Hinweis
Der erste installierte Domänencontroller hält alle Rollen und ist automatisch Globaler Katalog Server.

Um Standards in einer Domänenstruktur durchzusetzen, stellt Microsoft Gruppenrichtlinien (GPO) zur Verfügung. Sie bestehen im Grunde aus einer Vielzahl von Registry-Einträgen, die jede erdenkliche Konfiguration von Computer- und Benutzereinstellungen ermöglichen. GPO’s werden auf einzelne Computer oder Benutzer oder einer Obermenge hiervon übertragen. Standardmäßig werden zwei GPO’s ausgeliefert, die Standard-Domänen- und Standard-Domänencontroller Policy.

Da das AD auf DNS aufbaut, muss mindestens ein Server als DNS-Server fungieren. Dabei ist wichtig, das dieser DNS die Zone in das AD integriert hat. DNS kann entweder separat vor oder während der Einrichtung des AD installiert bzw. angegeben werden.

Führe DCPROMO (im Verzeichnis “%SYSTEMROOT%system32“) in der Befehlszeile aus oder gehe über die Serververwaltung, um Active Directory zu installieren. Folge dem Assistenten um eine Domäne deiner Wahl einzurichten.

Tipp
Um eine Sicherung eines AD einzuspielen, damit die Replikationsdaten zwischen Standorten gering bleiben, muss der Schalter /ADV dem Befehl DCPROMO hinzugefügt werden, respektive DCPROMO /ADV. Das ist ab Windows Server 2008 nicht mehr zwingend notwendig. Ab diesem Betriebssystem wird die Funktion zum Einspielen des Backups standardmäßig im Assistenten zur Auswahl gestellt. Vorausgesetzt das Häkchen “Advanced Mode” ist im Wizard gesetzt.

Weiterführende Informationen
Hilfestellung zur Installation
Detaillierte Infos zum AD
Tiefgreifende Informationen Microsofts 

 

 

Related Posts:

Kategorien: Microsoft
Schlagwörter:
Mac

Mac

Seit über 20 Jahren beschäftige ich mich mit Themen aus dem Bereich IT. Mein Schwerpunkt liegt dabei auf Produkte aus dem Hause Microsoft. Dazu gehören neben Active Directory und Windows Server insbesondere Netzwerkdienste wie DNS, DFS und DHCP. Zudem bin ich ein großer Verfechter des Internet Information Service, also dem Windows Webserver. Berührungspunkte im Bereich Citrix XenApp sowie XenDesktop, als auch VMware runden meinen Erfahrungsschatz ab.

0 Kommentare

Kommentar verfassen

Diese Website verwendet Akismet, um Spam zu reduzieren. Erfahre mehr darüber, wie deine Kommentardaten verarbeitet werden.