Active Directory (Entwurf)
Inhalt:
- Allgemeines
- Namenskonvention
- Logische Struktur
- Vertrauensstellungen
- Physische Struktur
- Spezielle DC-Funktionen
 |
Allgemeines
Active Directory ist in einem Windows 2000-Netzwerk der Verzeichnisdienst, der die zentrale Organisation und Verwaltung aller Netzwerkressourcen erlaubt. Es ermöglicht den Benutzern über eine einzige zentrale Anmeldung den Zugriff auf alle Ressourcen und den Administratoren die zentral organisierte Verwaltung, transparent von der Netzwerktopologie und den eingesetzten Netzwerkprotokollen.
Die Beschränkung von Windows NT 4.0 auf 40.000 Objekte existiert nicht mehr, Active Directory kann Millionen von Objekten verwalten.
Unterstützte Technologien:
- DHCP - Dynamic Host Configuration Protocol - Zuordnung von IP-Adressen (RFC 2131)
- (D)DNS - (Dynamic) Domain Name System - jeder W2k-Domänenname ist ein gültiger DNS-Name (RFC 2052, 2163)
- SNTP - Simple Network Time Protocol - Zeitdienst (RFC 1769)
- LDAP - Lightweight Directory Access Protocol v3 - Verzeichniszugriff und Verzeichnisschema (RFC 1823, 2247, 2251, 2252, 2256)
- LDIF - LDAP Data Interchange Format - Verzeichnissynchronisation (IETF-Entwurf)
- Kerberos V5 - Authentifizierung (RFC 1510)
- X.509 v3-Zertifikate - Authentifizierung (ISO X.509)
- TCP/IP - Transmission Control Protocol/Internet Protocol (RFC 791, 793)
|
Namenskonvention
- Definierter Name
- Jedes AD-Objekt hat einen definierten Namen, der die Domäne und den Pfad in AD identifiziert und in der Gesamtstruktur eindeutig ist.
- CN: Common Name
- DC: Domain Component
CN=James Smith, CN=Users, DC=galad, DC=local
- Relativ definierter Name
- Ein Teil des definierten Namens, das ein Attribut des Objekts darstellt. Muss innerhalb des Containers eindeutig sein.
RDN Benutzerobjekt: James Smith
RDN übergeordnetes Objekt: Users- User Principal Name (UPN)
- Besteht aus dem Anmeldenamen und dem DNS-Namen der Domäne.
- "Benutzerfreundlicher" Name, kann zur Anmeldung am Netzwerk verwendet werden.
- Müssen eindeutig sein, wird von AD jedoch nicht erzwungen.
JSmith@galad.local
- Globally Unique Identifier (GUID)
- 128 Bit-Wert in hexadezimaler Darstellung, ist für jedes Objekt eindeutig und wird auch bei Umbenennung und Verschiebung nicht geändert.
|
Logische Struktur
- Schema und Objekte
Das Schema enthält die Definitionen aller in Active Directory gespeicherten Objekte (Benutzer, Computer, ...) in Form von Klassen bzw. Objektklassen. Eine Objektklasse ist eine Auflistung von Attributen, die Informationen zur Beschreibung des Objekts enthalten. Sämtliche möglichen Attribute (Name, Beschreibung, Standort, ...) werden im Schema definiert. Jedes Attribut kommt nur einmal im Schema vor, kann jedoch in mehreren Objektklassen verwendet werden. Objekte können über die Attribute gesucht werden.
Die Gesamtstruktur besitzt ein einziges gemeinsames Schema, das bei Änderungen auf alle Domänencontroller repliziert wird. Es ist in einer Verzeichnispartition (Replikationseinheit) der Active Directory-Datenbank gespeichert, wird als Active Directory-Objekt behandelt und hat den definierten Namen:
CN=schema, CN=configuration, DC=Domänenname, DC=Domänenstamm
- Organisationseinheiten (OU - Organizational Unit)
Containerobjekte zur logischen administrativen Organisation und Strukturierung von Objekten. Über eine verschachtelte Hierarchie von OUs kann die Organisationsstruktur und/oder die Verwaltungsstruktur des Netzwerks abgebildet werden. Jede Domäne der Gesamtstruktur kann eine eigene OU-Hierarchie implementieren.
Die Objektverwaltung von Organisationseinheiten kann ganz oder teilweise an bestimmte Benutzer und Gruppen zugewiesen werden, indem die entsprechenden Berechtigungen für die OU erteilt werden. Innerhalb einer Domäne können Objekte beliebig zwischen OUs verschoben werden, OUs können beliebig geschachtelt und neu erstellt werden.
- Domänen
Eine Auflistung von Computern, die eine gemeinsame Verzeichnisdatenbank nutzen. Alle Netzwerkobjekte existieren innerhalb einer Domäne, die die jeweiligen Informationen darüber enthält. Eine Domäne ist eine Sicherheitsgrenze, jede Domäne hat ihre eigenen Sicherheitsrichtlinien und Sicherheitsbeziehungen zu anderen Domänen. Ein Domänen-Administrator hat nur innerhalb seiner Domäne Rechte und Berechtigungen.
Eine Domäne ist auch eine Replikationseinheit, jeder Domänencontroller repliziert im Multimasterbetrieb die vollständigen Verzeichnisinformationen für seine Domäne. Jeder DC kann Änderungen durchführen und replizieren.
Eine Domäne kann im gemischten Modus oder im einheitlichen Modus laufen. Per Default ist der gemischte Modus aktiv und unterstützt DCs mit Windows NT. Wenn alle DCs mit Windows 2000 laufen, kann die Domäne in den einheitlichen Modus konvertiert werden. Dies ergibt insbesondere erweiterte Möglichkeiten bei der Gruppenverwaltung (Verschachtelung, universale Gruppen). Die Konvertierung kann nicht rückgängig gemacht werden; jede Domäne in der Gesamtstruktur kann unabhängig von den anderen Domänen im gemischten oder im einheitlichen Modus laufen.
- Struktur (Tree)
Eine hierarchische Anordnung von Domänen mit einem gemeinsamen, hierarchisch strukturierten Namespace. Die Aufteilung in mehrere Domänen kann unter anderem in folgenden Fällen sinnvoll sein:
- Unterschiedliche Kennwortanforderungen
- Große Anzahl an Objekten
- Unterschiedliche Internetdomänennamen (mehrere Strukturen)
- Replikationssteuerung
- Dezentralisierte Netzwerkverwaltung
Die erste in einer Struktur erzeugte Domäne ist die Stammdomäne der Struktur. Weitere Domänen können als untergeordnete Domänen zu vorhandenen zugefügt werden.
- Gesamtstruktur (Forest)
Hierarchische Anordnung mehrerer Strukturen ohne zusammenhängenden Namespace. Alle Strukturen und damit Domänen einer Gesamtstruktur haben gemeinsam:
- Konfiguration
- Schema
- Globaler Katalog
Die erste in einer neuen Gesamtstruktur erzeugte Domäne wird die Stammdomäne der Gesamtstruktur. Sie enthält das Schema und die Konfiguration.
|
Vertrauensstellungen
- Unidirektional, nicht transitiv
Wenn Domäne A der Domäne B vertraut, vertraut B nicht automatisch A (unidirektional). Wenn A B vertraut und B vertraut C, so vertraut A nicht automatisch C (nicht transitiv). Der Standard in Windows NT Domänen und die einzige Möglichkeit bei Verbindung mit Windows NT Domänen oder Windows 2000 Domänen einer anderen Gesamtstruktur.
- Bidirektional, transitiv
Wenn A B vertraut, dann vertraut B automatisch auch A (bidirektional). Wenn A B vertraut, und B vertraut C, dann vertraut A automatisch C und umgekehrt (transitiv). Die Standardeinstellung zwischen Windows 2000 Domänen in einer Gesamtstruktur und ein Feature des Kerberos-Protokolls.
|
Physische Struktur
Die physische Struktur wird zur Konfiguration und Verwaltung des Netzwerkverkehrs eingesetzt. Sie definiert, wo und wann Replikations- und Anmeldeverkehr stattfindet.
- IP-Subnetz
Computergruppierung aufgrund eines gemeinsamen IP-Adressbereichs. Wird durch die Netzwerkstrukturen vorgegeben (physikalische Anbindung, Trennung durch Router, ...), oder durch die Bereichszuordnungen der DHCP-Server. Für ein IP-Subnetz wird von einer optimalen Verbindung der Computer untereinander ausgegangen.
- Standort
Kombination eines oder mehrerer zuverlässig durch Hochgeschwindigkeits-Verbindungen verbundener IP-Subnetze. Ein Standort kann beliebig viele Subnetze beinhalten, ein Subnetz gehört jedoch nur zu einem Standort.
Die Standortmitgliedschaft eines Computers wird für Clients dynamisch aufgrund ihrer IP beim Einschalten festgelegt. Domänencontroller werden bei der Active Directory-Installation einem Standort zugeordnet, können aber manuell in einen anderen Standort verschoben werden.
Bei der Installation des ersten DCs der Domäne wird ein Standardstandort erstellt, dem alle IP-Subnetze zugewiesen werden.
Da Domänen zur logischen Struktur gehören, müssen sich die physische Struktur und die Domänenstruktur nicht entsprechen. Ein Standort kann mehrere Domänen enthalten, eine Domäne kann mehrere Standorte enthalten. Standorte und Domäne können voneinander getrennte Namespaces haben.
- Domänencontroller
Computer mit Windows 2000 Server und einem Replikat der Verzeichnisdatenbank. Verwaltet die Änderungen an den Verzeichnisinformationen und repliziert sie auf die anderen DCs der Domäne. Verwaltet die Benutzeranmeldevorgänge, die Authentifizierung und die Verzeichnissuche.
Jede Domäne muss mindestens einen DC enthalten. Mehrere DCs gewährleisten die Verfügbarkeit und die Fehlertoleranz. Jeder Standort sollte insbesondere bei geographischer Trennung über mindestens einen DC verfügen.
DCs verwenden die Multimasterreplikation, alle DCs sind gleichberechtigt und auf allen können Änderungen am Verzeichnis vorgenommen werden. Aufgrund der Latenzzeiten bei der Replikation können dadurch jedoch kurzzeitig auf verschiedenen DCs verschiedene Informationen vorhanden sein.
|
Spezielle DC-Funktionen
- Server für den globalen Katalog
Ein Domänencontroller, der eine Kopie des globalen Katalogs verwaltet und Abfragen verarbeitet. Der globale Katalog ist ein Repository von Informationen. Er speichert die am häufigsten in Abfragen verwendeten Attribute aller Objekte in Active Directory aus der Gesamtstruktur und kann die Position dieser Objekte im Verzeichnis bestimmen. Er zentralisiert und optimiert damit Suchanfragen von Benutzern.
Er ermöglicht außerdem die Benutzeranmeldung mit dem UPN aus anderen Domänen heraus, in der das Benutzerkonto nicht bekannt ist. Bei Anmeldung an einer Domäne im einheitlichen Modus stellt der globale Katalog dem DC, der die Anmeldung verarbeitet, Mitgliedschaftsinformationen der universellen Gruppe zur Verfügung. Steht kein globaler Katalog zur Verfügung, kann sich der Benutzer anhand von zwischengespeicherten Anmeldeinformationen an der Domäne anmelden, wenn er vorher bereits angemeldet war. Ansonsten ist außer für Domänen-Admins nur eine Anmeldung am lokalen Computer möglich.
Der erste in Active Directory erstellte DC wird Server für den globalen Katalog, weitere können hinzugefügt werden.
- Einzelmasterbetrieb
Ein Betriebsmaster ist ein DC, der eine Einzelmaster-Betriebsfunktion ausführt. Solche Vorgänge dürfen nicht auf mehreren DCs gleichzeitig auftreten.
Der erste in der Gesamtstruktur erstellte DC übernimmt alle Einzelmaster-Funktionen der Gesamtstruktur und der Stammdomäne. Der erste in einer untergeordneten Domäne erstellte DC übernimmt die domänenbezogenen Einzelmaster-Funktionen. Alle Rollen können auf andere DCs übertragen werden.
Schemamaster
- Einer in der Gesamtstruktur.
- Steuert alle Aktualisierungen und Änderungen am Schema.
- Bei Ausfall können Administratoren keine Änderungen am Schema durchführen, die Benutzer werden nicht beeinträchtigt.
- Übertragung in AD-Schema, nur wenn der alte Schema-Master endgültig ausgefallen ist.
Domain Naming Master
- Einer in der Gesamtstruktur.
- Steuert das Hinzufügen und Entfernen von Domänen.
- Bei Ausfall können Administratoren keine Domänen in der Gesamtstruktur erstellen oder entfernen, die Benutzer werden nicht beinträchtigt.
- Übertragung in AD-Domänen und Vertrauensstellungen, nur wenn der alte Domain Naming Master endgültig ausgefallen ist.
RID-Master
- Einer pro Domäne.
- Weist DCs der jeweiligen Domäne RID-Sequenzen zu. Eine RID-Sequenz ist Teil der SID von Benutzer-, Gruppen- und Computer-Objekten. Die SID setzt sich aus der Domänen-SID zusammen, die für alle Objekte in der Domäne gleich ist, und der RID, die innerhalb der Domäne eindeutig ist.
- Bei Ausfall können Administratoren keine neuen Objekte erzeugen, wenn der DC alle vorhandenen RIDs aufgebraucht hat. Benutzer werden nicht beinträchtigt.
- Übertragung in AD-Benutzer und Computer, nur wenn der alte RID-Master endgültig ausgefallen ist.
PDC-Emulator
- Einer pro Domäne.
- Arbeitet als Primärer Domänen-Controller in Domänen mit Computern ohne W2k-Client-Software oder mit DCs unter Windows NT 4.0. In einer W2k-Domäne im einheitlichen Modus ist dies der bevorzugte Empfänger von Replikationen von auf anderen DCs ausgeführten Kennwortänderungen. Bei einer fehlgeschlagenen Anmeldung aufgrund eines falschen Kennworts wird zunächst der PDC-Emulator befragt, bevor die Anmeldung abgewiesen wird.
- Bei Ausfall werden speziell die Benutzer beeinträchtigt, die nicht mit W2k-Clients arbeiten.
- Übertragung in AD-Benutzer und Computer, kann unmittelbar nach Ausfall erfolgen und zurück übertragen werden, wenn der alte PDC-Emulator wieder online ist.
Infrastruktur-Master
- Einer pro Domäne.
- Aktualisiert die Verweise von Gruppen zu Benutzern bei der Änderung von Gruppenmitgliedschaften und Objektnamen und verteilt die Aktualisierungen über die Replikation.
- Sollte auf einem Server liegen, der nicht den globalen Katalog enthält, da sonst Inkonsistenzen bei domänenübergreifenden Verweisen nicht identifiziert werden können. Sollte aber eine gute Verbindung zu einem globalen Katalog haben, möglichst im gleichen Standort,
- Ein Ausfall macht sich für Administratoren bemerkbar, die umfangreichere Änderungen in den Gruppenmitgliedschaften durchgeführt haben, die Aktualisierungen werden verzögert. Benutzer werden nicht beinträchtigt.
- Übertragung in AD-Benutzer und Computer auf einen Sever, der kein Server für den globalen Katalog sein sollte. Kann später zurück übertragen werden.
|
Inhaltlicher Stand: 2001-11-09
 |
galad Webdesign 2001 - Alle Rechte vorbehalten Von diesem Dokument dürfen im Rahmen von Schulungen Kopien für die Teilnehmer angefertigt werden. Dieser Hinweis muß darauf enthalten sein. Jede anderweitige kommerzielle Verwertung ist untersagt. |