Benutzerspezifische Werkzeuge

Information zum Seitenaufbau und Sprungmarken fuer Screenreader-Benutzer: Ganz oben links auf jeder Seite befindet sich das Logo der JLU, verlinkt mit der Startseite. Neben dem Logo kann sich rechts daneben das Bannerbild anschließen. Rechts daneben kann sich ein weiteres Bild/Schriftzug befinden. Es folgt die Suche. Unterhalb dieser oberen Leiste schliesst sich die Hauptnavigation an. Unterhalb der Hauptnavigation befindet sich der Inhaltsbereich. Die Feinnavigation findet sich - sofern vorhanden - in der linken Spalte. In der rechten Spalte finden Sie ueblicherweise Kontaktdaten. Als Abschluss der Seite findet sich die Brotkrumennavigation und im Fussbereich Links zu Barrierefreiheit, Impressum, Hilfe und das Login fuer Redakteure. Barrierefreiheit JLU - Logo, Link zur Startseite der JLU-Gießen Direkt zur Navigation vertikale linke Navigationsleiste vor Sie sind hier Direkt zum Inhalt vor rechter Kolumne mit zusaetzlichen Informationen vor Suche vor Fußbereich mit Impressum


Artikelaktionen

Windows 20XX Server und Active Directory Service (ADS)

Allgemeine Informationen zu Windows-2000/2003/2008/2012-Servern mit Erläuterung der Begriffe wie "Active Directory", "ADS und DNS", "Betriebs-Master" und "Global Catalog".

1. Was ist Active Directory?

Active Directory ist der zentrale Verzeichnisdienst von Microsoft. Er wurde zusammen mit Windows 2000-Server eingeführt und ist stark an das x.500-Modell angelehnt. Das bedeutet, es existiert eine zentrale Benutzer- und Kontendatenbank, in der alle relevanten Daten zu Benutzern, Rechnern, Druckern, Gruppen u.s.w. mit deren Rechten abgelegt sind. Ein entscheidendes Merkmal im Gegensatz zu Windows NT ist: Es ist nicht möglich, ADS (AD-Service) zu betreiben ohne DNS-Server. In dieser DNS-Datenbank werden außer der üblichen Zuordnung von FQDN (Fully Qualified Domain Name) zu IP-Adressen jetzt auch Informationen über die vorhandenen Netzwerkdienste gespeichert. Damit ist es Workstations beispielsweise möglich, einen Server zu ermitteln, der ihre Benutzeranmeldung durchführen kann.

 

1.1 Domäne

Die Basiseinheit für das AD ist die Domäne.

Darstellung einer Domäne mit ihrer Peripherie (Server, Clients, Drucker) und den Benutzern.

Sie ist eine logische Gruppierung von Netzressourcen und Netzbenutzern, die unter einem Namen zu finden sind. Ein Domänen-Name ist, im Gegensatz zu Windows-NT-Domänen-Namen, ein DNS-Name, beispielsweise: "hrz.uni-giessen.de". Diese Domäne repräsentiert einen logischen Zusammenschluss von Objekten. All diese Objekte sind unter diesem gemeinsamen Namenskontext adressierbar und werden im AD gespeichert. Eine Domäne kann aus mehreren Domänen-Controllern bestehen, um eine höhere Ausfallsicherheit zu gewährleisten. Anders als unter Windows NT existieren hier aber nicht ein Primary-Domain-Controller (PDC) und ein oder mehrere Backup-Domain-Controller (BDC) sondern gleichwertige Domänen-Controller, die sich über ein Multimaster-Replikationsmodell replizieren.

Eine Domäne wird durch Einrichtung des ersten Domänen-Controllers angelegt. Um Kompatibilität mit Windows-NT-Servern zu gewährleisten gibt es zwei Domänen -Modi, in denen Domänen betrieben werden können: ein gemischter und ein einheitlicher (nativ) Domänenmodus. Sie können vom gemischten in den einheitlichen Modus wechseln, aber danach nicht mehr zurück. Es ist also genau abzuwägen, wann der Zeitpunkt gekommen ist zu wechseln. Im einheitlichen Modus stehen ihnen einige Funktionen zur Verfügung, die im gemischten Modus nicht vorhanden sind.

1.2. Tree

Ein weiteres Element im Konzept des Active Directory ist der Tree. Darunter versteht man einen hierarchischen Zusammenschluss von einer oder mehreren Domänen, die einen kontinuierlichen Namenskontext bilden. Sobald die erste Domäne aufgesetzt wird, bildet diese automatisch auch die Wurzel eines neuen Trees. An diese Wurzel lassen sich dann in beliebiger Tiefe weitere Domänen anhängen, vorausgesetzt all diese Domänen folgen immer dem existierenden Namenskontext. Besteht also als Wurzel eine Domäne uni-giessen.de, so können daran die Domänen chemie.uni-giessen.de, hrz.uni-.giessen.de usw. angehängt werden.

 tree

Zwei oder mehrere Domänen, die zusammen einen Tree bilden, sind über sogenannte two-way-transitive Kerberos-Trusts verbunden. Two-way bedeutet in diesem Fall, dass die Vertrauensstellung in beide Richtungen geht. Transitiv bedeutet, dass das Vertrauen von einer Domäne zu einer anderen durchgereicht wird. Die Vertrauensstellungen werden automatisch durch die Verbindung zweier Domänen generiert und benutzen das Kerberos-Sicherheitsprotokoll. Nach der erfolgreichen Einbindung einer Domäne in einen Tree werden alle Netzwerkressourcen des Trees für alle anderen Domänen im Tree sichtbar. Des weiteren kann sich ein Benutzer an jedem beliebigem Server mit seiner Benutzerkennung anmelden, unabhängig davon, in welcher Domäne diese gehalten wird. Ferner können für die Benutzer- und Gruppenkennungen aller Domänen Rechte auf alle Objekte des Trees vergeben werden.

Alle Domänen eines Trees müssen einem gemeinsamen Schema folgen. Dadurch wird sichergestellt, dass im ganzen Tree stets gleichartig aufgebaute Objekte mit denselben Attributen verwendet werden. Des weiteren teilen sich alle Domänen eines Trees einen gemeinsamen Global-Catalog. Dies ermöglicht eine schnelle Suche nach den gängigsten Attributen von Objekten, da diese domänenübergreifend an einer zentralen Stelle abgelegt sind.

2.3. Forests

Ein Zusammenschluss von zwei oder mehreren Trees wird im AD Forest genannt. Im Gegensatz zu Domäne und Trees weisen die in einem Forest zusammengeschlossenen Trees keinen kontinuierlichen Namensraum auf.

 Forest

Natürlich stellt sich hier die Frage, wann wird ein Tree und wann ein Forest verwendet? Hier zunächst ein kurzes allgemeines Statement:

Beide Verwaltungseinheiten sind in ihrem Aufbau und ihren Bestimmungen sehr ähnlich und weisen keine Performance-Unterschiede auf. Der Hauptunterschied in punkto Zugriff bezieht sich auf die Art und Weise, wie Suchoperationen ausgeführt werden. Suchen werden immer entweder an den Global Catalog geleitet (gesamtes Directory, beinhaltet alle Trees), oder an eine bestimmte Domäne. Wenn die Suchoperation an eine bestimmte Domäne geleitet ist, und die Suche eine tiefe Suche ist, dann werden innerhalb eines Trees LDAP-Verweise (Referrals) an Child-Domänen zurückgegeben, aber eben nur an Child-Domänen, nicht an Nachbar-Trees. Der Client kann sich dann entscheiden, ob er dem Verweis nachgehen will. Der Verwaltungsaufwand für Trees und Forests ist identisch. Beide erfordern n-1-Vertrauensstellungen.

2.4 Organizational Unit (OU)

Bei Windows NT bestand die einzige Möglichkeit eine Hierarchie abzubilden darin, Ressource und Account-Domänen zu gründen und diese über Trusts zu verbinden. Im AD genügt dank der OUs eine Domäne, um die Struktur einer ganzen Organisation abzubilden.

 ou.png

OUs werden in einer grafischen Oberfläche als Ordner dargestellt und ähneln daher sehr der Darstellung von Verzeichnissen im Windows-Explorer. Die Stärke der OUs liegt in den von ihnen gebotenen Verwaltungsmöglichkeiten. Ein Administrator kann Zugriffsrechte für OUs an Benutzer oder Benutzergruppen vergeben und damit auch an andere delegieren. Über den Vererbungsmechanismus können diese Rechte dann auf alle Objekte innerhalb dieser OU übertragen werden. Auf diese Weise lassen sich ganze Abteilungen vor gewissen Benutzern verstecken bzw. der Zugriff auf diese Objekte einschränken. Des Weiteren können auf diese Weise administrative Aufgaben auf mehrere Personen verteilt werden, ohne gleich alle Rechte aus der Hand zu geben. Weist beispielsweise eine Organisation mehrere Abteilungen auf und gibt es in jeder Abteilung eine EDV-Gruppe, so wäre es eine Möglichkeit, je Abteilung eine OU im Active Directory zu erstellen. Anschließend können dann den verantwortlichen Gruppen die Rechte zur Verwaltung "ihrer" OU erteilt werden. Dies würde eine deutliche Arbeitsentlastung für den Administrator bringen und trotzdem sicherstellen, dass kein Unbefugter Einblick in die Bereiche der unterschiedlichen Abteilungen erlangt.

Die Kombination von Domänen und OUs ermöglicht somit eine flexible Verwaltung einer unbegrenzten Anzahl von Objekten im Netzwerk. Auf diese Weise lässt sich jede Organisation im Active Directory abbilden. Anzumerken ist in diesem Zusammenhang, dass die OU nicht als Eintrag im DNS erscheint. Somit gibt es zwar für eine OU hrz in der Domäne uni-giessen.de einen Eintrag im DNS der auf die Domäne verweist, allerdings wird kein Eintrag hrz.uni-giessen.de angelegt. Eine OU ist ein normales Objekt im AD und unterliegt daher den zuvor erwähnten Namenskonventionen für Objekte.


Wenn man sich die Struktur der OUs anschaut, stellt sich einem automatisch die Frage:"Wozu Trees oder Forests?". Auch diese lassen eine Abbildung der Unternehmensstruktur zu und das ohne den Aufwand weiterer Domänen hochzuziehen und zu administrieren. Es gibt allerdings noch genügend Gründe, die für eine Aufteilung des Verzeichnisses über mehrere Domänen hinweg sprechen. Hier zunächst eine kurze Auflistung dieser Gründe:

  • Bei dezentraler Auslegung der Organisation, in der die Benutzer und Ressourcen von unterschiedlichen Administratoren verwaltet werden, kann eine eindeutige Trennung der Rechte vorgenommen werden.
  • Viele Administratoren wollen sich nicht einer übergeordneten Instanz unterordnen und verlangen eine dritte Trennung der Einflussbereiche.
  • Es existieren mehrere Organisationen, für die eigene Sicherheitsrichtlinien auf Domänenebene implementiert werden sollen.
  • Das Unternehmen ist auf mehrere geographische Standorte verteilt, die nur über sehr langsame WAN-Leitungen verbunden sind. Diese Leitungen sollen vor der Belastung durch die domäneninterne Verzeichnisreplikation verschont werden.
  • Es wird ein Upgrade von einem bestehenden Domänen-Modell durchgeführt und das Unternehmen möchte die bestehende Struktur beibehalten.
  • Politische Entscheidung für autonome Einheiten mit verschiedenen Namen.

2. ADS und DNS

Ohne Domain Name System (DNS) ist Active Directory (ADS) nicht zu betreiben.

Das DNS ist Dreh- und Angelpunkt für sämtliche Bereiche der Namensauflösung im AD. Im Gegensatz zu Windows-NT-4.0-Domänen mit ihrer linearen Struktur sind DNS-Domänen hierarchisch aufgebaut. Die Hierarchie der DNS-Domänen wird internetweit definiert. Ihre verschiedenen Ebenen bezeichnen Computer, Organisationsdomänen und Toplevel-Domänen. Mit DNS werden auch Host-Namen, wie z.B. uni-giessen.de, zu TCP/IP-Adressen (Transmission Control Protocol/Internet Protocol), z.B. 134.176.3.20, zugeordnet. Wenn Sie in dieser Art von Domäne Computerressourcen ansprechen, verwenden Sie den vollqualifizierten Hostnamen (FQHN), z.B. w2kserv1.uni-giessen.de. Dabei steht w2kserv1 für den Namen eines einzelnen Computers (host) , uni-giessen für die Organisationsdomäne und de für die Topleveldomäne. Topleveldomänen befinden sich im Stamm der DNS-Hierarchie und werden deshalb als Stammdomänen bezeichnet. Sie sind nach geografischer Lage organisiert, mit Hilfe eines zweistelligen Ländercodes, z.B. DE für Deutschland, nach Organisationstyp, z.B. com für kommerzielle Organisationen, und nach Funktion, z.B. shop für Online-Läden. Normale Domänen wie uni-giessen.de werden auch als übergeordnete Domänen bezeichnet, weil sie einer Organisationsstruktur übergeordnet sind. Sie lassen sich in untergeordnete Domänen aufteilen, die für unterschiedliche Niederlassungen, Bereiche oder geografische Lagen verwendet werden können. Beispielsweise kann der FQHN für einen Computer in der Physik R1.physik.uni-giessen.de lauten. Dabei steht R1 für den Computernamen, physik für die untergeordnete Domäne und uni-giessen.de für die übergeordnete Domäne. Wie Sie sehen, stellt DNS einen integrierten Bestandteil der Active-Directory-Technologie dar und das in einem Ausmaß, dass Sie DNS im Netzwerk konfigurieren müssen, bevor Sie Active Directory installieren können.

3. Betriebs-Master

Betriebs-Master sind Domänen-Controller, die bestimmte, einzelne Aufgaben und Vorgänge ausführen. Betriebs-Master sind Einzelmaster; es darf kein weiterer Domänen-Controller mit gleichen Aufgaben vorhanden sein.

Schema-Master

Je Forest steht ein Schema-Master zur Verfügung. Domänen, Trees und der Forest greifen stets auf dasselbe Schema zu. Da nur ein Domänen-Conroller für den gesamten Forest diese Rolle übernimmt, muss besonders auf dessen Lage im Netzwerk und auf eine möglichst gute Ausfallsicherheit der Maschine geachtet werden. Zwar steht bei einem Ausfall dieser Maschine nicht sofort das gesamte Netzwerk, denn jeder Domänen-Controller hat ja eine Kopie des Schemas, aber dennoch können für die Zeitdauer des Ausfalls keine Änderungen am Schema vorgenommen werden. Die geschützte und zu übertragende Datei bei der FSMO (Floating Single Master Operation)-Übergabe ist das Schema selbst.

RID-Pool-Master

Je Domäne gibt es einen RID-Pool-Master, dessen Aufgabe in der Verwaltung und Verteilung des RID-Pools besteht. Auf jedem Domänen-Controller besteht die Möglichkeit, Benutzer und Benutzergruppen anzulegen. Diese müssen mit einer eindeutigen Kennung, der SID, versehen werden. Die SID besteht aus einer Domänen-SID (für alle Objekte dieser Art in einer Domäne gleich) und der Relativen ID (RID). Um zu gewährleisten, dass jeder Benutzer bzw. jede Benutzergruppe eine eindeutige SID bekommt, wird jedem Domänen-Controller eine bestimmte Menge von RIDs vom RID-Pool-Master zugewiesen. Die geschützten und übertragenen Daten bei einer FSMO-Übergabe sind der RID-Pool und die dazu verwandten Informationen, wie z.B. die zugewiesenen RID-Mengen je Domänen-Controller.

Domain-Names-Master

Je Forest gibt es einen Domain-Namens-Master. Der Domain-Names-Master ist verantwortlich für Änderungen im Namenskontext auf der Ebene des Forests. Dieser Domänen-Controller ist der einzige, der dem Verzeichnis Domänen hinzufügen und diese auch wieder entfernen kann

PDC-Emulator

Je Domäne gibt es einen PDC-Emulator. Diese Rolle wird benötigt, wenn die AD-Domäne im Mixed-Mode betrieben wird und somit auch einen Windows NT-Domäne darstellt. Der PDC-Emulator übernimmt in solchen Umgebungen die Rolle des primären Domänen-Controllers. Alle anderen Domänen-Controller der AD-Domäne spielen die Rolle des Backup-Domänen-Controllers. Der Mixed-Mode gewährleistet die Abwärtskompatibilität der AD-Domäne und bietet somit auch NT-Maschinen die Möglichkeit, sich völlig transparent in die Domäne zu integrieren. Der PDC-Emulator wird auch genutzt, um Down-Level-Clients weiterhin zu unterstützen und um Passwortänderungen schnell zu replizieren. Die geschützte und mitgelieferten Daten bei einer FSMO-Übergabe sind in diesem Fall nur die Rolle des FSMO selbst.

Infrastruktur-Master

Je Domäne gibt es einen Infrastruktur-Master. Dieser ist dafür verantwortlich, die Lokation von Objekten zu überprüfen und auf den neuesten Stand zu bringen, die einmal in dieser Datenbank angelegt waren und in eine andere Domäne verschoben wurden. Dies ist wichtig, wenn bestimmte domänenübergreifenden Beziehungen, wie zwischen universellen Gruppen und ihren Gruppenmitgliedern, bestehen. Sollte es mehr als einen Domäne geben, darf der Infrastruktur-Master kein Global Catalog Server sein.

4. Global Catalog

Der Global Catalog ist eine Rolle im AD, die einem oder mehreren ausgesuchten Domänen-Controllern des gesamten Verzeichnisses zugewiesen werden kann. Ein solcher Domänen-Controller wird dann auch Global-Catalog-Server genannt. Der GC hält häufig benötigte, ausgewählte Attribute aller Objekte des gesamten Verzeichnisses (nicht nur einer Domäne) und ermöglicht deren Indizierung. Standardmäßig ist der erste installierte Domänen-Controller gleichzeitig auch der GCS. Je nach Größe und geographischer Verteilung des Netzwerkes können auch mehrere GCS definiert werden. Hinter der Rolle des GC verbirgt sich sowohl ein Dienst, der als einen Art Suchmaschine anzusehen ist als auch eine Datenbank. Auf diese Wiese sind Objekte schnell zu finden, auch wenn deren Position im Verzeichnis nicht genau bekannt ist. Besonders relevant wird dies, wenn das Verzeichnis über mehrer Domänen verteilt wird . Bei den Einträgen im GC ist zu beachten, dass es sich hierbei um eine Untermenge der im Verzeichnis zur Verfügung stehenden Attributen handelt. Es werden mehrere Attribute für jedes Objekt des Verzeichnisses gespeichert. Als Attribute im GC werden diejenigen ausgewählt, auf welche die meisten Abfragen gerichtet sind. Bei einem Objekt User-Account könnten dies beispielsweise Name und Telefonnummer sein. Jeder Administrator mit den entsprechenden Rechten zur Änderung des Schemas kann entscheiden, welche Attribute eines Objektes in den GC aufgenommen werden. Ausgenommen davon sind nur die von Microsoft fix definierten Standardattribute die immer zum GC repliziert werden müssen.