Einführung in Active Directory

Transkript

1 3 K A P I T E L 1 Einführung in Active Directory Der Active Directory-Verzeichnisdienst stellt eine zentrale Struktur für die Verwaltung von Netzwerkressourcen bereit, in der Sie Benutzer und Ressourcen auf einfache Weise hinzufügen, entfernen und umstrukturieren können. Das vorliegende Kapitel liefert eine Einführung in die Konzepte von Active Directory sowie die im Verzeichnisdienst durchgeführten Verwaltungsaufgaben und begleitet Sie durch die nötigen Schritte zur Planung einer Active Directory-Infrastruktur. Hinweis In diesem Buch bezeichnen die Begriffe Windows Server 2003 und Windows Server 2003-Familie vier Produkte: Microsoft Windows Server 2003, Standard Edition; Microsoft Windows Server 2003, Enterprise Edition; Microsoft Windows Server 2003, Datacenter Edition und Microsoft Windows Server 2003, Web Edition. Die Web Edition von Windows Server 2003 unterstützt den Einsatz von Active Directory jedoch nur teilweise. Ein Computer mit Windows Server 2003, Web Edition, kann als Mitgliedsserver in einem Active Directory-basierten Netzwerk fungieren, jedoch nicht als Active Directory-Domänencontroller eingesetzt werden. Bedeutung dieses Kapitels Dieses Kapitel führt Sie in die Grundlagen von Active Directory ein. Bei der Bearbeitung der Lektionen dieses Kapitels sollten Sie berücksichtigen, dass auf die hier vorgestellten Konzepte in den folgenden Kapiteln, die der Implementierung und Verwaltung von Windows Server 2003 gewidmet sind, im Detail eingegangen wird. Lektionen in diesem Kapitel: Lektion 1: Active Directory im Überblick Lektion 2: Grundlegendes zu den Active Directory-Konzepten sowie administrativen Aufgaben Lektion 3: Planen des Active Directory-Infrastrukturdesigns

2 4 Teil I Selbststudium Bevor Sie beginnen Für die Bearbeitung des vorliegenden Kapitels müssen Sie die grundlegenden Verwaltungskonzepte von Microsoft Windows NT oder Microsoft Windows 2000 kennen.

3 Kapitel 1 Einführung in Active Directory 5 Lektion 1: Active Directory im Überblick Mit Active Directory können Sie eine Verzeichnisstruktur entwerfen, die genau auf die Anforderungen Ihrer Organisation zugeschnitten ist. Diese Lektion bietet eine Einführung in die Konzepte eines Verzeichnisdienstes, den Einsatz von Objekten in Active Directory sowie die Funktion der einzelnen Active Directory-Komponenten. Am Ende dieser Lektion werden Sie in der Lage sein, die folgenden Aufgaben auszuführen: Beschreiben der Funktionen eines Verzeichnisdienstes Erläutern des Zwecks von Active Directory Erläutern des Zwecks des Active Directory-Schemas Benennen der Komponenten von Active Directory Beschreiben der Funktion der Active Directory-Komponenten Erläutern des Zwecks des globalen Katalogs in Active Directory Veranschlagte Zeit für diese Lektion: 30 Minuten Grundlegendes zu Verzeichnisdiensten Ein Verzeichnis (Directory) ist eine gespeicherte Zusammenstellung von Informationen über Objekte, die zueinander in Beziehung stehen. In einem -Adressbuch werden beispielsweise Namen von Benutzern oder Einrichtungen und die jeweils zugehörige -Adresse gespeichert. Darüber hinaus können in einem solchen Adressbuch zusätzliche Informationen wie zum Beispiel die Postanschrift des Benutzers bzw. der Einrichtung gespeichert sein. In einem verteilten Computersystem oder einem öffentlichen Computernetzwerk wie z.b. dem Internet gibt es zahlreiche Objekte. Hierzu gehören Dateiserver, Drucker, Faxserver, Anwendungen, Datenbanken und Benutzer. Die Benutzer müssen in der Lage sein, diese Objekte aufzufinden und zu verwenden. Administratoren müssen in der Lage sein, die Verwendung dieser Objekte zu verwalten. Ein Verzeichnisdienst speichert alle Informationen, die zur Verwendung und Verwaltung dieser Objekte an einem zentralen Punkt erforderlich sind. Auf diese Weise wird das Auffinden und Verwalten der Ressourcen vereinfacht. Ein Verzeichnisdienst unterscheidet sich von einem Verzeichnis dahingehend, dass der Dienst sowohl die Quelle der Informationen ist als auch die Mittel bereitstellt, mit denen dem Benutzer die Informationen zugänglich gemacht werden. Ein Verzeichnisdienst fungiert als Schaltzentrale des Netzwerkbetriebssystems. Er ist die zentrale Stelle, mit der die Netzwerkeinheiten verwaltet und Beziehungen zwischen den verteilten Ressourcen gehandhabt werden, damit eine Zusammenarbeit möglich wird. Da ein Verzeichnisdienst diese fundamentalen Betriebssystemfunktionen erfüllt, muss er eng mit den Verwaltungs- und Sicherheitsmechanismen des Betriebssystems gekoppelt werden, sodass Integrität und Datenschutz des Netzwerks gewährleistet sind. Ferner spielt der Verzeichnisdienst bei der Definition und Erhaltung der Netzwerkinfrastruktur einer Organisation, bei der

4 6 Teil I Selbststudium Durchführung von Aufgaben zur Systemverwaltung sowie bei der Steuerung des Benutzerzugriffs auf das Informationssystem eines Unternehmens eine wichtige Rolle. Wozu dient ein Verzeichnisdienst? Ein Verzeichnisdienst stellt das Mittel zur Strukturierung und Vereinfachung des Zugriffs auf die Ressourcen in einem vernetzten Computersystem dar. Benutzer und Administratoren kennen möglicherweise nicht den exakten Namen eines benötigten Objekts. Sie können jedoch eventuell eines oder mehrere Attribute der fraglichen Objekte benennen. Wie in Abbildung 1.1 gezeigt, kann mithilfe eines Verzeichnisdienstes und einer Abfrage eine Liste von Objekten im Verzeichnis angezeigt werden, die diese Attribute aufweisen. Mit der Abfrage Alle Farbdrucker auf der dritten Etage suchen wird das Verzeichnis beispielsweise nach allen Druckerobjekten durchsucht, die das Attribut Farbe und dritte Etage besitzen (etwa ein Standortattribut namens dritte Etage ). Ein Verzeichnisdienst ermöglicht das Auffinden eines Objekts basierend auf einem oder mehreren seiner Attribute. Server 1 Benutzer Drucker 1 Server 2? Verzeichnisserver Name: Server 1 OS: Windows 2000 Typ: Dateiserver Standort: erste Etage Name: Server 2 OS: Novell NetWare 4.0 Typ: Dateiserver Standort: zweite Etage Drucker Name: Drucker 1 Typ HP-4Si Farbe: Nein Duplex: Ja Standort: dritte Etage Abbildung 1.1 Einsatz eines Verzeichnisdienstes Ein Verzeichnisdienst ist sowohl ein Verwaltungs- als auch ein Endbenutzertool. Je größer ein Netzwerk wird, desto mehr Objekte müssen verwaltet werden. Dies macht einen Verzeichnisdienst unverzichtbar.

5 Kapitel 1 Einführung in Active Directory 7 Der Windows Server 2003-Verzeichnisdienst Active Directory ist der in die Windows 2003 Server-Produktfamilie integrierte Verzeichnisdienst. Die Active Directory-Dienste umfassen das Verzeichnis, in dem Informationen zu den Netzwerkressourcen sowie sämtliche Dienste gespeichert werden, mit denen die Informationen verfügbar und einsetzbar gemacht werden. Active Directory ist auch der in Windows 2000 integrierte Verzeichnisdienst. Features des Active Directory-Dienstes Die Active Directory-Version der Windows Server 2003-Familie stellt eine bedeutende Erweiterung gegenüber dem flachen Domänenmodell von Windows NT dar. Active Directory ist in die Windows Server 2003-Familie integriert und bietet folgende Features: Zentraler Datenspeicher Sämtliche Active Directory-Daten werden in nur einem verteilten Datenspeicher abgelegt, wodurch der Benutzer auf einfache Weise von einem beliebigen Standort aus auf die Informationen zugreifen kann. Ein einzelner, verteilter Datenspeicher erfordert weniger Verwaltung und muss nicht dupliziert werden. Darüber hinaus werden Verfügbarkeit und Strukturierung der Daten verbessert. Skalierbarkeit Active Directory ermöglicht aufgrund der Konfiguration von Domänen und Strukturen sowie der Platzierung von Domänencontrollern eine Skalierung des Verzeichnisses in Abstimmung mit den Geschäfts- und Netzwerkanforderungen. Active Directory kann pro Domäne mehrere Millionen Objekte verwalten und nutzt eine Indizierungstechnologie sowie hoch entwickelte Replikationstechniken zur Verbesserung der Leistung. Erweiterungsfähigkeit Die Struktur der Active Directory-Datenbank (das Schema) kann erweitert werden, um angepasste Informationstypen zuzulassen. Verwaltungsfähigkeit Im Gegensatz zum flachen Domänenmodell von Windows NT basiert Active Directory auf hierarchischen Organisationsstrukturen. Diese Organisationsstruktur vereinfacht die Steuerung der administrativen Privilegien sowie weiterer Sicherheitseinstellungen und erleichtert den Benutzern das Auffinden von Netzwerkressourcen wie Dateien und Druckern. Integration in DNS (Domain Name System) Active Directory verwendet DNS, einen Internetstandarddienst, der leicht lesbare Hostnamen in numerische IP-Adressen (Internet Protocol) übersetzt. Wenngleich getrennt und zu unterschiedlichen Zwecken implementiert, weisen Active Directory und DNS die gleiche hierarchische Struktur auf. Active Directory-Clients verwenden DNS zum Auffinden von Domänencontrollern. Bei Einsatz des DNS-Dienstes von Windows Server 2003 können primäre DNS-Zonen in Active Directory gespeichert werden, wodurch eine Replikation auf andere Active Directory- Domänencontroller möglich wird. Verwaltung der Clientkonfiguration Active Directory bietet neue Technologien für das Verwalten von Aspekten der Clientkonfiguration, z.b. hinsichtlich Benutzermobilität und Festplattenausfällen, und dies mit geringstmöglichem Verwaltungsaufwand und minimaler Ausfallzeit.

6 8 Teil I Selbststudium Richtlinienbasierte Verwaltung In Active Directory werden Richtlinien zur Definition der erlaubten Aktionen und Einstellungen für Benutzer und Computer innerhalb eines Standorts, einer Domäne oder Organisationseinheit eingesetzt. Die richtlinienbasierte Verwaltung erleichtert Aufgaben wie die Aktualisierung von Betriebssystemen, die Anwendungsinstallation sowie das Sperren von Benutzerprofilen oder Desktopsystemen. Replikation von Informationen Active Directory stellt die Multimaster-Replikationstechnologie bereit, die Informationsverfügbarkeit, Fehlertoleranz und Lastenausgleich sicherstellt und darüber hinaus weitere Leistungsvorteile bietet. Die Multimasterreplikation ermöglicht das Aktualisieren des Verzeichnisses von einem beliebigen Domänencontroller aus und repliziert Verzeichnisänderungen auf alle weiteren Domänencontroller. Da mehrere Domänencontroller eingesetzt werden, wird die Replikation selbst dann fortgesetzt, wenn einer der Domänencontroller ausfällt. Flexible, sichere Authentifizierung und Autorisierung Die Authentifizierungs- und Autorisierungsdienste von Active Directory bieten Schutz für Ihre Daten und stellen eine geringstmögliche Einschränkung für über das Internet durchgeführte Geschäftsaufgaben sicher. Active Directory unterstützt verschiedene Authentifizierungsprotokolle, z.b. das Kerberos 5-Protokoll, SSL 3 (Secure Sockets Layer) sowie TLS (Transport Layer Security) unter Verwendung von X.509-Zertifikaten der Version 3. Zusätzlich stellt Active Directory domänenübergreifende Sicherheitsgruppen bereit. Sicherheitsintegration Active Directory ist in die Windows Server 2003-Sicherheit integriert. Die Zugriffssteuerung kann für jedes Objekt im Verzeichnis und für jede Eigenschaft eines Objekts definiert werden. Sicherheitsrichtlinien können lokal, auf einen Standort, eine Domäne oder eine Organisationseinheit angewendet werden. Verzeichnisfähige Anwendungen und Infrastruktur Die Features von Active Directory erleichtern die Konfiguration und Verwaltung von Anwendungen und anderen verzeichnisfähigen Netzwerkkomponenten. Zusätzlich bietet Active Directory mit ADSI (Active Directory Service Interfaces) eine leistungsstarke Entwicklungsumgebung. Interoperabilität mit anderen Verzeichnisdiensten Active Directory basiert auf Standardprotokollen für den Verzeichniszugriff. Hierzu zählen Lightweight Directory Access Protocol (LDAP), Version 3, und Name Service Provider Interface (NSPI), wodurch eine Interoperabilität mit anderen Verzeichnisdiensten möglich ist, die diese Protokolle nutzen. Da das LDAP-Protokoll für den Verzeichnisdienstzugriff ein Protokoll nach Industriestandard ist, können mit ihm Programme entwickelt werden, welche die gemeinsame Nutzung von Active Directory-Informationen mit anderen LDAP-fähigen Verzeichnisdiensten ermöglichen. Active Directory unterstützt ferner das von Microsoft Exchange Server 4- und 5.x-Clients verwendete NSPI-Protokoll, um Kompatibilität mit dem Exchange-Verzeichnis bereitzustellen. Signierter und verschlüsselter LDAP-Datenverkehr Per Voreinstellung signieren und verschlüsseln die zum Lieferumfang von Windows Server 2003 gehörenden Active Directory-Tools sämtlichen LDAP-Datenverkehr. Durch das Signieren des LDAP-Datenverkehrs wird sichergestellt, dass die Datenpakete von einer bekannten Quelle stammen und nicht manipuliert wurden.

7 Kapitel 1 Einführung in Active Directory 9 Weitere Informationen Wenn Sie sich bereits mit den Features von Active Directory für Windows 2000 auskennen, finden Sie eine detaillierte Aufstellung der neuen Active Directory-Funktionen der Windows Server 2003-Familie in Anhang A, Neue Active Directory- Features in der Windows Server 2003-Familie. Active Directory-Objekte Die in Active Directory gespeicherten Daten, z.b. Informationen über Benutzer, Drucker, Server, Datenbanken, Gruppen, Computer und Sicherheitsrichtlinien, werden in Form von Objekten organisiert. Ein Objekt ist ein individueller, benannter Attributsatz, der eine bestimmte Netzwerkressource repräsentiert. Als Objektattribute werden die Eigenschaften der Objekte im Active Directory-Verzeichnis bezeichnet. Die Attribute eines Benutzerkontos umfassen beispielsweise den Vor-, Nach- und Anmeldenamen des Benutzers, während die Attribute eines Computerobjekts den Computernamen und eine Beschreibung enthalten können (siehe Abbildung 1.2). Objekte Active Directory Computer Attribute Computername Beschreibung Comp1 Comp2 Comp3 Benutzer Attribute Vorname Nachname Anmeldename Users Jane Doe John Doe Attributwert Abbildung 1.2 Active Directory-Objekte und -Attribute Einige Objekte, die so genannten Container, können andere Objekte enthalten. Eine Domäne ist beispielsweise ein Containerobjekt, das Informationen zu Benutzer- und Computerkonten enthalten kann. In Abbildung 1.2 wird der Ordner User dargestellt, der als Container für Benutzerkontenobjekte dient. Active Directory-Schema Das Active Directory-Schema definiert Objekte, die in Active Directory gespeichert werden können. Das Schema ist eine Definitionsliste, die festlegt, welche Art von Objekten und welche Art von Informationen zu einem Active Directory-Objekt gespeichert werden können. Da die Schemadefinitionen selbst als Objekte gespeichert werden, können sie genau wie alle übrigen Active Directory-Objekte verwaltet werden.

8 10 Teil I Selbststudium Das Schema wird durch zwei Objekttypen definiert: Schemaklassenobjekte (auch als Schemaklassen bezeichnet) und Schemaattributobjekte (auch Schemaattribute genannt). Wie in Abbildung 1.3 dargestellt, werden Klassen- und Attributobjekte in getrennten Listen innerhalb des Schemas definiert. Schemaklassenobjekte und Attributobjekte werden unter dem Begriff Schemaobjekte oder Metadaten zusammengefasst. Teilliste von Schemaklassenobjekten Teilliste von Schemaattributobjekten Computer Computer- Klassenobjektdefinition Beschreibung Allgemeiner Name (CN) X.500 OID Klassentyp Kategorie accountexpires accountnamehistory acsaggregatetokenrateperuser Gruppe Benutzer categoryid- Attributobjektdefinition Beschreibung Allgemeiner Name (CN) X.500 OID Syntaxbereichsgrenzen catalogs categories categoryid Abbildung 1.3 Schemaklassenobjekte und -attributobjekte Schemaklassenobjekte beschreiben die Objekte, die in Active Directory erstellt werden können. Eine Schemaklasse fungiert als Vorlage für die Erstellung neuer Active Directory-Objekte. Jede Schemaklasse ist eine Auflistung von Schemaattributobjekten. Wenn Sie eine Schemaklasse erstellen, speichern die Schemaattribute Informationen, die das Objekt beschreiben. Die Benutzerklasse z.b. setzt sich aus vielen Schemaattributen zusammen. Hierzu zählen etwa Netzwerkadresse, Basisverzeichnis usw. Jedes Objekt in Active Directory stellt eine Instanz einer Schemaobjektklasse dar. Schemaattributobjekte definieren die Klassenobjekte, mit denen sie verknüpft sind. Jedes Schemaattribut wird nur einmal definiert, kann jedoch in mehreren Klassen verwendet werden. Das Beschreibungsattribut beispielsweise kann in vielen Klassen eingesetzt werden, wird jedoch im Schema nur einmal definiert, um die Einheitlichkeit zu gewährleisten. Das Active Directory-Schema enthält einen Satz Basisklassen und -attribute. Erfahrene Entwickler und Netzwerkadministratoren können das Schema durch die Definition neuer Klassen und Attribute für vorhandene Klassen dynamisch erweitern. Wenn Sie z.b. Informationen zu Benutzern angeben müssen, die gegenwärtig nicht im Schema definiert sind, müssen Sie das Schema der Benutzerklasse erweitern. Das Erweitern des Schemas ist jedoch eine erweiterte Operation, die schwer wiegende Folgen haben kann. Ein Schema kann nur deaktiviert, jedoch nicht gelöscht werden, und wird automatisch repliziert. Aus diesem Grund sollten Sie eine Schemaerweiterung sorgfältig planen und vorbereiten.

9 Active Directory-Komponenten Kapitel 1 Einführung in Active Directory 11 Verschiedene Active Directory-Komponenten ermöglichen den Aufbau einer Verzeichnisstruktur, die genau auf Ihre Anforderungen zugeschnitten ist. Die folgenden Active Directory-Komponenten repräsentieren den logischen Aufbau einer Organisation: Domänen, Organisationseinheiten (OUs), Strukturen und Gesamtstrukturen. Die folgenden Active Directory-Komponenten repräsentieren physische Strukturen in einer Organisation: Standorte (physische Subnetze) und Domänencontroller. Active Directory trennt hierbei die logische und die physische Struktur vollständig voneinander. Logischer Aufbau In Active Directory werden Ressourcen in einer Struktur, die das Organisationsmodell reflektiert, logisch angeordnet. Hierzu verwenden Sie Domänen, Organisationseinheiten (OUs), Strukturen und Gesamtstrukturen. Durch das logische Gruppieren von Ressourcen können Sie eine Ressource problemlos anhand ihres Namens auffinden und müssen ihren physischen Standort nicht kennen. Aufgrund der logischen Strukturierung der Ressourcen macht Active Directory den physischen Aufbau des Netzwerks für die Benutzer transparent. Abbildung 1.4 veranschaulicht die Beziehung der Domänen, OUs, Strukturen und Gesamtstrukturen in Active Directory. Gesamtstruktur OU Domäne Domäne OU OU Domäne Domäne Domäne OU OU OU Struktur Abbildung 1.4 Die Beziehung der Domänen, OUs, Strukturen und Gesamtstrukturen in Active Directory Domänen In Active Directory stellt die Domäne den Kernpunkt der logischen Strukturierung dar. In einer Domäne können Millionen von Objekten gespeichert werden. Die in einer Domäne gespeicherten Objekte werden als für das Netzwerk relevant eingestuft. Es handelt sich um die Objekte, die von den Netzwerkbenutzern zur Ausführung ihrer täglichen Aufgaben benötigt werden: Drucker, Dokumente, -Adressen, Datenbanken, Benutzer, verteilte Komponenten und weitere Ressourcen. Alle Netzwerkobjekte liegen in einer Domäne

10 12 Teil I Selbststudium vor, und jede Domäne speichert ausschließlich Informationen zu den in ihr enthaltenen Objekten. Active Directory umfasst mindestens eine Domäne. Eine Domäne kann mehrere physische Standorte umspannen. Domänen weisen die folgenden Merkmale auf: Alle Netzwerkobjekte sind in einer Domäne enthalten, und jede Domäne speichert ausschließlich Informationen zu den in ihr enthaltenen Objekten. Eine Domäne stellt eine Sicherheitsbarriere dar. Der Zugriff auf die Domänenobjekte wird über Zugriffssteuerungslisten (Access Control Lists, ACLs) gesteuert, welche die mit den Objekten verknüpften Berechtigungen enthalten. Diese Berechtigungen steuern, welche Benutzer Zugriff auf ein Objekt erhalten und in welchem Umfang dieser Zugriff erfolgen kann. In der Windows Server 2003-Familie gehören zu den Objekten u.a. Dateien, Ordner, Freigaben, Drucker und weitere Active Directory-Objekte. Sämtliche Sicherheitsrichtlinien und -einstellungen, beispielsweise Verwaltungsrechte und ACLs, gelten nicht domänenübergreifend. Sie besitzen als Domänenadministrator sämtliche Rechte zur Festlegung von Richtlinien, dies jedoch nur innerhalb der Ihnen unterstellten Domäne. Die Domänenfunktionsebene (in Windows 2000 als Domänenmodus bezeichnet) stellt ein Mittel zur Aktivierung domänenweiter Active Directory-Features innerhalb der Netzwerkumgebung dar. Es stehen vier Domänenfunktionsebenen zur Verfügung: Windows 2000 gemischt (Standardeinstellung), Windows 2000 pur, Windows Server 2003 interim und Windows Server Die Domänenfunktionsebene Windows 2000 gemischt ermöglicht innerhalb einer Domäne die Interaktion zwischen einem Windows Server 2003-Domänencontroller und Domänencontrollern, auf denen Windows NT 4.0, Windows 2000 oder ein Produkt der Windows Server 2003-Familie ausgeführt wird. Die Domänenfunktionsebene Windows 2000 pur ermöglicht einem Windows Server 2003-Domänencontroller die Interaktion mit Domänencontrollern in der Domäne, auf denen Windows 2000 oder Windows Server 2003 ausgeführt wird. Bei Verwendung der Domänenfunktionsebene Windows Server 2003 interim ist ein Windows Server 2003-Domänencontroller in der Lage, mit Domänencontrollern der Domäne zu interagieren, auf denen Windows NT 4.0 oder Windows Server 2003 ausgeführt wird. Die Domänenfunktionsebene Windows Server 2003 schließlich ermöglicht einem Windows Server 2003-Domänencontroller ausschließlich die Interaktion mit Windows Server 2003-Domänencontrollern in der Domäne. Informationen zum Heraufstufen der Domänenfunktionsebene finden Sie in Kapitel 3, Verwalten von Active Directory. Als Administrator müssen Sie eine Domänenstruktur entwerfen, welche die Unternehmensstruktur widerspiegelt. In Lektion 3, Planen des Active Directory-Infrastrukturdesigns, werden die Grundlagen des Domänenentwurfs behandelt. Ausführliche Informationen zur Erstellung von Domänen finden Sie in Lektion 4, Installieren und Verwalten von Domänen, Strukturen und Gesamtstrukturen. OUs Eine Organisationseinheit (OU) ist ein Container, mit dessen Hilfe Objekte innerhalb einer Domäne in logische administrative Gruppen gegliedert werden. Organisationseinheiten können zum Ausführen administrativer Aufgaben, beispielsweise zur Verwaltung von Benutzern und Ressourcen, verwendet werden, da sie die kleinste Einheit darstellen, an die administrative Aufgaben delegiert werden können. Eine Organisationseinheit kann Objekte wie Benutzerkonten, Gruppen, Computer, Drucker, Anwendungen, Dateifreigaben sowie weitere

11 Kapitel 1 Einführung in Active Directory 13 Organisationseinheiten derselben Domäne enthalten. Die Hierarchie einer Organisationseinheit innerhalb einer Domäne ist unabhängig von der Hierarchiestruktur der Organisationseinheiten anderer Domänen, d.h. jede Domäne kann eine eigene OU-Hierarchie implementieren. Durch das Hinzufügen von OUs zu anderen OUs, die so genannte Verschachtelung, können Sie die administrative Steuerung hierarchisch gestalten. Als Administrator müssen Sie eine OU-Struktur entwerfen, welche die Unternehmensstruktur widerspiegelt. In Lektion 3, Planen des Active Directory-Infrastrukturdesigns, werden die Grundlagen des OU-Entwurfs behandelt. In Kapitel 6, Implementieren einer OU-Struktur werden Informationen zur Implementierung einer OU-Struktur bereitgestellt. In Abbildung 1.5 spiegelt die Domäne microsoft.com die Organisation eines Transportunternehmens wider. Die Domäne umfasst drei OUs: US, Aufträge und Versand, wobei die Ordner Aufträge und Versand in der OU US geschachtelt sind. In den Sommermonaten erhöht sich die Zahl der auszuliefernden Bestellungen, weshalb die Geschäftsleitung einen Unteradministrator für die Auftragsabteilung angefordert hat. Der Unteradministrator benötigt nur Berechtigungen zum Erstellen von Benutzerkonten und zum Versorgen der Benutzer mit Zugriff auf die Dateien und freigegebenen Drucker der Auftragsabteilung. Statt eine neue Domäne zu erstellen, können Sie diesen Anforderungen gerecht werden, indem Sie dem Unteradministrator innerhalb der OU Aufträge geeignete Berechtigungen zuweisen. OU Aufträge microsoft.com Admin US Benutzer Drucker Dateien AUF- TR US ÄGE VERSAND Abbildung 1.5 Verwenden einer OU zur Handhabung administrativer Aufgaben Wenn der Unteradministrator später Benutzerkonten in den Organisationseinheiten US, Aufträge und Versand erstellen soll, können Sie ihm die Berechtigungen innerhalb der einzelnen Organisationseinheiten getrennt erteilen. Da die OUs Aufträge und Versand jedoch in der OU US verschachtelt sind, ist es effizienter, die Berechtigungen nur einmalig der OU US zu erteilen und die Berechtigungen per Vererbung an die OUs Aufträge und Versand weiterzugeben. Standardmäßig erben in Active Directory alle untergeordneten Objekte (Aufträge und Versand) die Berechtigungen der ihnen übergeordneten Objekte (US). Das Erteilen von Berechtigungen auf einer höheren Ebene bei Einsatz der Vererbung kann die Verwaltungsaufgaben reduzieren.

12 14 Teil I Selbststudium Strukturen Eine Struktur ist eine Gruppierung oder hierarchische Anordnung einer oder mehrerer Windows Server 2003-Domänen, die durch Hinzufügen einer oder mehrerer untergeordneter Domänen zu einer vorhandenen übergeordneten Domäne erstellt werden. Domänen in einer Struktur nutzen gemeinsam einen zusammenhängenden Namespace und eine hierarchische Namensstruktur. Namespaces werden in der nächsten Lektion ausführlich behandelt. Gemäß den DNS-Standards handelt es sich bei dem Domänennamen einer untergeordneten Domäne um den relativen Namen dieser untergeordneten Domäne, an den der Name der übergeordneten Domäne angehängt wird. In Abbildung 1.6 stellt microsoft.com die übergeordnete Domäne dar, die Domänen us.microsoft.com und uk.microsoft.com sind ihr untergeordnete Domänen. Die untergeordnete Domäne von uk.microsoft.com lautet sls.uk.microsoft.com. Durch das Erstellen einer Domänenhierarchie in einer Struktur können Sie die Sicherheit erhalten und die Verwaltung innerhalb einer Organisationseinheit oder einer einzelnen Domäne einer Struktur ermöglichen. In dieser Struktur können Organisationsänderungen mühelos umgesetzt werden. microsoft.com uk.microsoft.com us.microsoft.com sls.uk.microsoft.com Abbildung 1.6 Eine Domänenstruktur Als Administrator müssen Sie die Strukturen so entwerfen, dass sie die Unternehmensstruktur widerspiegeln. In Lektion 3, Planen des Active Directory-Infrastrukturdesigns, werden die Grundlagen des Strukturentwurfs behandelt. Ausführliche Informationen zur Erstellung von Strukturen finden Sie in Lektion 4, Installieren und Verwalten von Domänen, Strukturen und Gesamtstrukturen. Gesamtstrukturen Eine Gesamtstruktur ist eine Gruppierung oder hierarchische Anordnung einer oder mehrerer Strukturen, die in einer Domänenstruktur separat und vollständig unabhängig voneinander vorliegen. Gesamtstrukturen besitzen folgende Merkmale: Alle Domänen einer Gesamtstruktur basieren auf einem gemeinsamen Schema. Alle Domänen einer Gesamtstruktur nutzen einen gemeinsamen globalen Katalog. Alle Domänen einer Gesamtstruktur sind durch bidirektionale, transitive Vertrauensstellungen miteinander verknüpft.

13 Kapitel 1 Einführung in Active Directory 15 Die Strukturen einer Gesamtstruktur haben entsprechend ihren Domänen unterschiedliche Namensstrukturen. Domänen in einer Gesamtstruktur agieren unabhängig, die Gesamtstruktur ermöglicht jedoch die Kommunikation innerhalb der gesamten Organisation. In Abbildung 1.7 bilden microsoft.com und msn.com eine Gesamtstruktur. Der Namespace ist hierbei nur innerhalb der jeweiligen Struktur zusammenhängend. microsoft.com msn.com uk.microsoft.com us.microsoft.com uk.msn.com us.msn.com sls.uk.microsoft.com sls.uk.msn.com Abbildung 1.7 Eine aus einzelnen Strukturen bestehende Gesamtstruktur Die Gesamtstrukturfunktionsebene bietet ein Mittel zur Aktivierung gesamtstrukturweiter Active Directory-Features innerhalb Ihrer Netzwerkumgebung. Es stehen drei Gesamtstrukturfunktionsebenen zur Verfügung: Windows 2000 gemischt (Standardeinstellung), Windows 2000 pur, Windows Server 2003 interim und Windows Server Die Funktionsebene Windows 2000 gemischt ermöglicht innerhalb einer Domäne einem Windows Server 2003-Domänencontroller die Interaktion mit Domänencontrollern, auf denen Windows NT 4.0, Windows 2000 oder Windows Server 2003 ausgeführt wird. Die Funktionsebene Windows Server 2003 interim ermöglicht einem Windows Server 2003-Domänencontrollerdie Interaktion mit Domänencontroller der Domäne, die Windows NT 4.0 oder Windows Server 2003 ausführen. Die Domänenfunktionsebene Windows Server 2003 schließlich ermöglicht einem Windows Server 2003-Domänencontroller ausschließlich die Interaktion mit Windows Server 2003-Domänencontrollern in der Domäne. Sie können die Funktionsebene einer Gesamtstruktur nur dann heraufstufen, wenn Sie die geeignete Windows-Version ausführen. Informationen zum Heraufstufen der Gesamtstrukturfunktionsebene finden Sie in Kapitel 3, Verwalten von Active Directory. Als Administrator müssen Sie die Gesamtstruktur so entwerfen, dass sie die Unternehmensstruktur widerspiegelt. In Lektion 3, Planen des Active Directory-Infrastrukturdesigns, werden die Grundlagen des Gesamtstrukturentwurfs behandelt. Ausführliche Informationen zur Erstellung von Gesamtstrukturen finden Sie in Lektion 4, Installieren und Verwalten von Domänen, Strukturen und Gesamtstrukturen.

14 16 Teil I Selbststudium Physische Strukturen Die physischen Komponenten von Active Directory sind Standorte und Domänencontroller. Als Administrator entwickeln Sie anhand dieser Komponenten eine Verzeichnisstruktur, die genau auf die physische Struktur Ihrer Organisation zugeschnitten ist. Standorte Ein Standort ist ein Subnetz oder eine Kombination mehrerer IP-Subnetze (Internet Protocol), die über zuverlässige Hochgeschwindigkeitsverbindungen miteinander verbunden sind. Ein Standort weist üblicherweise die gleichen Grenzen wie ein lokales Netzwerk auf (Local Area Network, LAN). Wenn Sie in Ihrem Netzwerk Subnetze gruppieren, sollten Sie nur die Subnetze miteinander kombinieren, die schnelle, kostengünstige und zuverlässige Netzwerkverbindungen besitzen. Eine Netzwerkverbindung wird als schnell eingestuft, wenn sie mindestens 512 Kilobits pro Sekunde (KBit/s) übertragen kann. Eine verfügbare Bandbreite (die durchschnittliche Bandbreite, die bei normal hohem Datenaufkommen in einem Netzwerk zur Verfügung steht) von 128 KBit/s und höher ist ausreichend für einen Standort. Standort A Eine einzige Domäne mit einem einzigen Standort Standort A Eine einzige Domäne mit mehreren Standorten Standort B Mehrere Domänen mit einem einzigen Standort Standort A Abbildung 1.8 Die Beziehung zwischen Standorten und Domänenstrukturen

15 Kapitel 1 Einführung in Active Directory 17 In Active Directory sind Standorte nicht Teil des Namespace. Wenn Sie den logischen Namespace durchsuchen, werden Computer und Benutzer in einer Struktur von Domänen und OUs angezeigt, nicht jedoch in einer Gliederung nach Standorten. Die Standorte enthalten lediglich Computer- und Verbindungsobjekte, die zur Konfiguration der Replikation zwischen den Standorten verwendet werden. Wie in Abbildung 1.8 dargestellt, kann eine einzelne Domäne mehrere geografische Standorte umspannen, und ein einzelner Standort kann Benutzerkonten und Computer enthalten, die mehreren Domänen angehören. Als Administrator müssen Sie die Standortstruktur so entwerfen, dass sie die Unternehmensstruktur widerspiegelt. In Lektion 3, Planen des Active Directory-Infrastrukturdesigns, werden die Grundlagen des Standortentwurfs behandelt. Informationen zur Konfiguration von Standorten finden Sie in Kapitel 5, Konfigurieren von Standorten und Verwalten der Replikation. Domänencontroller Ein Domänencontroller ist ein Computer, auf dem Windows Server 2003 ausgeführt wird und auf dem ein Replikat des Domänenverzeichnisses (der lokalen Domänendatenbank) gespeichert ist. Da eine Domäne einen oder mehrere Domänencontroller aufweisen kann, besitzen alle Domänencontroller innerhalb einer Domäne ein vollständiges Replikat des Domänenabschnitts des Verzeichnisses. Ein Domänencontroller kann nur eine Domäne bedienen. Ein Domänencontroller authentifiziert außerdem Anmeldeversuche und verwaltet die Sicherheitsrichtlinie für eine Domäne. In der nachstehenden Liste werden #die Funktionen eines Domänencontrollers aufgeführt: Auf jedem Domänencontroller wird eine vollständige Kopie der Active Directory-Informationen für die jeweilige Domäne gespeichert. Außerdem werden hier die Änderungen an diesen Informationen verwaltet und auf die weiteren Domänencontroller in der Domäne repliziert. Die Domänencontroller innerhalb einer Domäne replizieren gegenseitig und füreinander Verzeichnisinformationen für alle Objekte in der Domäne. Wenn Sie eine Operation ausführen, durch die eine Aktualisierung von Active Directory nötig wird, werden die Änderungen tatsächlich auf einem der Domänencontroller vorgenommen. Dieser Domänencontroller repliziert diese Änderungen auf alle weiteren Domänencontroller innerhalb der Domäne. Sie können den bei der Replikation verursachten Datenverkehr zwischen den Domänencontrollern steuern, indem Sie die Häufigkeit der Replikation sowie die Datenmenge festlegen, die in einem Arbeitsschritt repliziert wird. Domänencontroller nehmen eine sofortige Replikation bestimmter wichtiger Aktualisierungen vor, beispielsweise die Deaktivierung eines Benutzerkontos. Active Directory verwendet die so genannte Multimasterreplikation, bei der keiner der Domänencontroller als Masterdomänencontroller fungiert. Stattdessen sind alle Domänencontroller innerhalb einer Domäne gleichberechtigt, und jeder Domänencontroller besitzt eine Kopie der Verzeichnisdatenbank, in die Daten geschrieben werden können. Die Domänencontroller speichern unter Umständen für kurze Zeiträume unterschiedliche Informationen, jedoch nur solange, bis alle Domänencontroller die Active Directory- Änderungen synchronisiert haben.

16 18 Teil I Selbststudium Wenngleich Active Directory die Multimasterreplikation unterstützt, können einige Änderungen nicht im Multimastermodus durchgeführt werden. Mindestens ein Domänencontroller kann zur Durchführung von Replikationsoperationen im Einzelmastermodus eingesetzt werden (Operationen, die nicht gleichzeitig an unterschiedlichen Stellen im Netzwerk durchgeführt werden dürfen). Betriebsmasterfunktionen sind spezielle Rollen, die einem (oder mehreren) Domänencontroller in einer Domäne zugewiesen werden, damit dieser Replikationsoperationen im Einzelmastermodus ausführt. Domänencontroller erkennen Konflikte, die auftreten können, wenn ein Attribut auf einem Domänencontroller geändert wird, bevor eine Änderung desselben Attributs auf einem anderen Domänencontroller vollständig übertragen wurde. Konflikte werden durch einen Vergleich der Versionsnummer aller Eigenschaftenattribute ermittelt, einer attributspezifischen Nummer, die bei Erstellung des Attributs zugewiesen wird. Active Directory löst derartige Konflikte auf, indem das geänderte Attribut mit der höheren Versionsnummer repliziert wird. Durch das Bereitstellen von mehr als einem Domänencontroller in einer Domäne sorgen Sie für Fehlertoleranz. Befindet sich ein Domänencontroller im Offlinemodus, können sämtliche Funktionen in dieser Zeit durch einen anderen Domänencontroller erfüllt werden, beispielsweise das Aufzeichnen von Active Directory-Änderungen. Domänencontroller verwalten alle Aspekte der Interaktion zwischen Benutzern und Domäne, z.b. das Suchen nach Active Directory-Objekten und das Validieren von Benutzeranmeldungen. Als Administrator müssen Sie Domänencontroller in Standorten platzieren, um die physische Struktur Ihrer Organisation abzubilden und Replikation und Authentifizierung zu optimieren. In Lektion 3, Planen des Active Directory-Infrastrukturdesigns, werden die Grundlagen der Platzierung von Domänencontrollern behandelt. Informationen zur Erstellung von Domänencontrollern finden Sie in Kapitel 2, Installieren und Konfigurieren von Active Directory. Katalogdienste der globale Katalog Active Directory erlaubt Benutzern und Administratoren das Auffinden von Objekten, wie z.b. Dateien, Druckern oder Benutzern innerhalb einer Domäne. Das Ermitteln von Objekten, die sich innerhalb des Unternehmens, aber außerhalb der Domäne befinden, erfordert allerdings einen Mechanismus, der es der Domäne erlaubt, als eine Entität zu fungieren. Ein Katalogdienst enthält ausgewählte Informationen zu jedem Objekt in allen Domänen innerhalb des Verzeichnisses, was für die Durchführung von Suchläufen innerhalb eines Unternehmens von Nutzen ist. Der globale Katalog ist der von Active Directory bereitgestellte Katalogdienst. Der globale Katalog ist der zentrale Speicher für Informationen zu Objekten in einer Struktur oder Gesamtstruktur. Standardmäßig wird ein globaler Katalog automatisch auf dem ersten Domänencontroller in der ersten Domäne der Gesamtstruktur erstellt. Ein Domänencontroller, der eine Kopie des globalen Katalogs speichert, wird als globaler Katalogserver bezeichnet. Sie können einen beliebigen Domänencontroller in der Gesamtstruktur als globalen Katalogserver einsetzen. Active Directory verwendet die Multimasterreplikation zur Replikation der globalen Kataloginformationen zwischen globalen Katalogservern in anderen Domä-

17 Kapitel 1 Einführung in Active Directory 19 nen. Der globale Katalogserver speichert für seine Hostdomäne ein vollständiges Replikat aller Objektattribute im Verzeichnis und ein Teilreplikat aller Objektattribute, die im Verzeichnis jeder Domäne der Gesamtstruktur enthalten sind. Das Teilreplikat speichert Attribute, die in Suchoperationen häufig eingesetzt werden (beispielsweise Vor- und Nachname eines Benutzers, Anmeldename usw.). Attribute werden im globalen Katalog für die Replikation gekennzeichnet (oder die Kennzeichnung wird entfernt), wenn sie im Active Directory- Schema definiert werden. In den globalen Katalog replizierte Objektattribute erben dieselben Berechtigungen wie in Quelldomänen, wodurch die Sicherheit der Daten im globalen Katalog gewährleistet wird. Globale Katalogfunktionen Der globale Katalog erfüllt die folgenden zwei Hauptfunktionen: Er ermöglicht einem Benutzer die Anmeldung an einem Netzwerk, indem er bei Einleitung des Anmeldeprozesses Informationen über universelle Gruppenmitgliedschaften an einen Domänencontroller weitergibt. Er ermöglicht das Auffinden von Informationen im Verzeichnis, unabhängig davon, welche Domäne in der Gesamtstruktur die Daten tatsächlich enthält. Wenn sich ein Benutzer am Netzwerk anmeldet, stellt der globale Katalog dem Domänencontroller, der die Anmeldeinformationen verarbeitet, Informationen zu Mitgliedschaften in universellen Gruppen zum jeweiligen Konto zur Verfügung. Befindet sich nur ein Domänencontroller in der Domäne, fungiert der Domänencontroller auch als globaler Katalogserver. Befinden sich mehrere Domänencontroller im Netzwerk, wird einer der Domänencontroller als globaler Katalogserver konfiguriert. Ist kein globaler Katalog verfügbar, wenn ein Benutzer den Netzwerkanmeldeprozess einleitet, kann sich der Benutzer nur lokal am Computer anmelden. Dies gilt nicht, wenn der Standort so konfiguriert wurde, dass Lookups zu universellen Gruppenmitgliedschaften bei Anmeldeversuchen zwischengespeichert werden. Tipp Wenn ein Benutzer Mitglied der Gruppe Domänen-Admins ist, kann er sich auch dann am Netzwerk anmelden, wenn der globale Katalog nicht verfügbar ist. Der globale Katalog ist so konzipiert, dass auf Benutzer- und Programmanforderungen zu Objekten an beliebigen Standorten in der Domänenstruktur oder Gesamtstruktur mit maximaler Geschwindigkeit und minimalem Netzwerkverkehr reagiert werden kann. Da ein globaler Katalog Informationen zu allen Objekten aller Domänen der Gesamtstruktur enthält, kann eine Abfrage eines nicht in der lokalen Domäne vorliegenden Objekts durch einen globalen Katalog in der Domäne verarbeitet werden, in der die Abfrage ausgelöst wurde. Daher führt die Suche nach Informationen im Verzeichnis nicht zu unnötigem Datenverkehr über Domänengrenzen hinaus.

18 20 Teil I Selbststudium Der Abfrageprozess Eine Abfrage ist eine spezifische Anforderung eines Benutzers im globalen Katalog, mit deren Hilfe Active Directory-Daten abgerufen, geändert oder gelöscht werden. Die nachfolgend aufgelisteten und in Abbildung 1.9 veranschaulichten Schritte beschreiben den Abfrageprozess: 1. Der Client fragt den DNS-Server ab, um den globalen Katalogserver zu ermitteln. 2. Der DNS-Server sucht nach dem Standort des globalen Katalogservers und gibt die IP- Adresse des Domänencontrollers zurück, der als globaler Katalogserver fungiert. 3. Der Client fordert die IP-Adresse des Domänencontrollers an, der als globaler Katalogserver fungiert. Die Anforderung wird an Port 3268 auf dem Domänencontroller gesendet; Active Directory-Standardabfragen werden an Port 389 gesendet. 4. Der globale Katalogserver verarbeitet die Abfrage. Wenn der globale Katalog das Attribut des gesuchten Objekts enthält, sendet der globale Katalogserver eine Antwort an den Client. Ist das Attribut des gesuchten Objekts nicht im globalen Katalog enthalten, wird die Abfrage an Active Directory weitergeleitet. Sie können beliebige Domänencontroller oder dedizierte zusätzliche Domänencontroller als globale Katalogserver konfigurieren. Berücksichtigen Sie bei der Auswahl der Domänencontroller, die als globale Katalogserver fungieren sollen, die Kapazität Ihres Netzwerks im Hinblick auf die Verarbeitung des Replikations- und Abfrageverkehrs. Domäne A Domäne B Client DC1 DC DC2 DC3 DC1 Globaler Katalogserver Globaler Katalog Multimasterreplikation Globaler Katalogserver DC2 Globaler Katalog Abbildung 1.9 Der Abfrageprozess

19 Kapitel 1 Einführung in Active Directory 21 Als Administrator müssen Sie globale Katalogserver in Standorten platzieren, um schnelle Antwort auf Benutzeranforderungen zu gewährleisten und Redundanz bereitzustellen. In Lektion 3, Planen des Active Directory-Infrastrukturdesigns, werden die Grundlagen der Platzierung von globalen Katalogservern behandelt. Informationen zur Konfiguration von globalen Katalogservern finden Sie in Kapitel 5, Konfigurieren von Standorten und Verwalten der Replikation. Lernzielkontrolle Die folgenden Fragen dienen dazu, die wichtigsten Lehrinhalte dieser Lektion zu vertiefen. Können Sie eine Frage nicht beantworten, bearbeiten Sie das entsprechende Lektionsmaterial noch einmal, und versuchen Sie dann erneut, die Frage zu beantworten. Die Antworten zu den Lernzielkontrollfragen finden Sie im Abschnitt Fragen und Antworten am Ende dieses Kapitels. 1. Inwiefern unterscheiden sich Verzeichnisdienst und Verzeichnis? 2. Inwieweit ist Active Directory skalierbar? 3. Was ist die Multimasterreplikation? 4. Benennen Sie die Active Directory-Komponenten, die zur Darstellung des logischen Aufbaus einer Organisation herangezogen werden. 5. Benennen Sie die physischen Komponenten von Active Directory. 6. Welche Funktion erfüllt der globale Katalog?

20 22 Teil I Selbststudium Zusammenfassung der Lektion Ein Verzeichnisdienst speichert alle Informationen, die zur Verwendung und Verwaltung der Systemobjekte an einem zentralen Punkt erforderlich sind. Auf diese Weise wird das Auffinden und Verwalten der Ressourcen vereinfacht. Die in Active Directory gespeicherten Daten werden in Form von Objekten organisiert, die wiederum Attribute aufweisen. Das Active Directory-Schema definiert Objekte, die in Active Directory gespeichert werden können. Schemaklassen und -attribute definieren das Active Directory-Schema. Der logische Aufbau einer Organisation kann durch die folgenden Active Directory-Komponenten dargestellt werden: Domänen, Organisationseinheiten (OUs), Strukturen und Gesamtstrukturen. Die physischen Komponenten von Active Directory sind Standorte und Domänencontroller. Der globale Katalog ist der zentrale Speicherort für Informationen zu Objekten in einer Struktur oder Gesamtstruktur.

21 Kapitel 1 Einführung in Active Directory 23 Lektion 2: Grundlegendes zu den Active Directory-Konzepten sowie administrativen Aufgaben Die Windows Server 2003-Familie und Active Directory haben nicht nur verschiedene neue Konzepte zu bieten, sondern weisen gegenüber Windows NT auch einige Änderungen an bisher verwendeten Konzepten auf. Diese Konzepte betreffen Replikation, Vertrauensstellungen, Änderungs- und Konfigurationsverwaltung, Gruppenrichtlinien, DNS sowie die Objektbenennung. Es ist wichtig, die Bedeutung dieser Konzepte und deren Anwendung auf Active Directory zu verstehen. Zusätzlich sollten Sie sich mit den Active Directory-Verwaltungsaufgaben vertraut machen, die in den verschiedenen Kapiteln dieses Trainings behandelt werden. Am Ende dieser Lektion werden Sie in der Lage sein, die folgenden Aufgaben auszuführen: Erklären der Active Directory-Replikation Erläutern der sicherheitstechnischen Beziehungen zwischen Domänen in einer Struktur (Vertrauensstellungen) Benennen der Komponenten für die Änderungs- und Konfigurationsverwaltung Erläutern des Zwecks und der Funktion von Gruppenrichtlinien Beschreiben des von Active Directory verwendeten DNS-Namespace Beschreiben der Objektbenennung in Active Directory Beschreiben der Active Directory-Verwaltungsaufgaben Veranschlagte Zeit für diese Lektion: 20 Minuten Replikation Benutzer und Dienste sollten in der Lage sein, jederzeit und von einem beliebigen Computer in der Domänenstruktur oder Gesamtstruktur aus auf die Informationen im Verzeichnis zuzugreifen. Durch die Replikation wird sichergestellt, dass Änderungen an einem Domänencontroller auch auf allen weiteren Domänencontrollern in der Domäne vorgenommen werden. Die Verzeichnisinformationen werden sowohl auf den Domänencontroller innerhalb eines Standortes als auch auf den Domänencontrollern anderer Standorte repliziert.

22 24 Teil I Selbststudium Welche Informationen werden repliziert? Die im Verzeichnis (der Datei Ntds.dit) gespeicherten Informationen werden in vier Kategorien unterteilt. Jede dieser Informationskategorien wird Verzeichnispartition genannt. Eine Verzeichnispartition wird auch als Namenskontext bezeichnet. Die Verzeichnispartitionen stellen die Einheiten der Replikation dar. Das Verzeichnis enthält die folgenden Partitionen: Schemapartition Diese Partition definiert die im Verzeichnis erstellbaren Objekte sowie die Attribute, die diese Objekte aufweisen können. Diese Daten sind allen Domänen in einer Gesamtstruktur gemein und werden auf alle Domänencontroller in einer Gesamtstruktur repliziert. Konfigurationspartition Diese Partition beschreibt den logischen Aufbau der Bereitstellung, einschließlich Domänenstruktur oder Replikationstopologie. Diese Daten sind allen Domänen in einer Gesamtstruktur gemein und werden auf alle Domänencontroller in einer Gesamtstruktur repliziert. Domänenpartition Diese Verzeichnispartition beschreibt alle Objekte in einer Domäne. Diese Daten sind domänenspezifisch und werden nicht auf andere Domänen repliziert. Die Daten werden jedoch auf alle Domänencontroller in dieser Domäne repliziert. Anwendungsverzeichnispartition Diese Partition speichert dynamische, anwendungsspezifische Daten in Active Directory, ohne sich nennenswert auf die Netzwerkleistung auszuwirken, da Umfang der Replikation und Platzierung der Replikate durch Sie gesteuert werden können. Die Anwendungsverzeichnispartition kann beliebige Arten von Objekten enthalten. Ausgenommen hiervon sind Sicherheitsprinzipale (Benutzer, Gruppen und Computer). Daten können explizit an durch den Administrator spezifizierte Domänencontroller in einer Gesamtstruktur umgeleitet werden, um unnötigen Replikationsdatenverkehr zu vermeiden. Alternativ können alle Daten auf alle Domänencontroller repliziert werden, ähnlich wie bei der Replikation von Schema, Konfiguration und Domänenpartitionen. Ein Domänencontroller speichert und repliziert die folgenden Daten: Die Schemapartitionsdaten einer Gesamtstruktur. Die Konfigurationspartitionsdaten aller Domänen in einer Gesamtstruktur. Die Domänenpartitionsdaten (alle Verzeichnisobjekte und -eigenschaften) für die zugehörige Domäne. Diese Daten werden auf alle zusätzlichen Domänencontrollern der Domäne repliziert. Zum Auffinden von Informationen wird ein Teilreplikat mit häufig verwendeten Attributen aller Objekte in der Domäne in den globalen Katalog repliziert.

23 Kapitel 1 Einführung in Active Directory 25 Ein globaler Katalog speichert und repliziert die folgenden Daten: Die Schemapartitionsdaten einer Gesamtstruktur. Die Konfigurationspartitionsdaten aller Domänen in einer Gesamtstruktur. Ein Teilreplikat mit häufig verwendeten Attributen für alle Verzeichnisobjekte in der Gesamtstruktur (wird nur zwischen den globalen Katalogservern repliziert). Ein vollständiges Replikat mit allen Attributen für alle Verzeichnisobjekte in der Domäne, in der sich der globale Katalog befindet. Vorsicht Erweiterungen des Schemas in einem globalen Katalog sollten mit besonderer Umsicht vorgenommen werden. Schemaerweiterungen können fatale Folgen auf große Netzwerke haben, da die Erweiterungen nicht gelöscht (nur deaktiviert) werden können und die Synchronisierung der Erweiterungen innerhalb der Gesamtstruktur zu einem erheblichen Anstieg des Netzwerkdatenverkehrs führt. Wie werden Informationen repliziert? Active Directory repliziert Informationen auf zwei Arten: standortintern und standortübergreifend. Die Notwendigkeit aktuellster Verzeichnisinformationen muss gegen die Beschränkungen durch verfügbare Netzwerkbandbreite abgewogen werden. Standortinterne Replikation Innerhalb eines Standorts sorgt ein Windows Server Dienst mit dem Namen Konsistenzprüfung (KCC) für die automatische Erzeugung einer Replikationstopologie zwischen den Domänencontrollern einer Domäne. Die erzeugte Topologie entspricht einer Ringstruktur. Der Konsistenzprüfungsdienst ist ein integrierter Prozess, der auf allen Domänencontrollern ausgeführt wird. Die Topologie definiert den Pfad der Verzeichnisaktualisierungen so, dass diese von einem Domänencontroller zum nächsten geleitet werden, bis alle Domänencontroller innerhalb des Standorts die Verzeichnisaktualisierungen empfangen haben. Der Konsistenzprüfungsdienst bestimmt, welche Server am besten für die Replikation untereinander geeignet sind und legt bestimmte Domänencontroller als Replikationspartner fest. Bei dieser Festlegung werden Konnektivität, Verlauf der erfolgreichen Replikationen sowie Übereinstimmungen hinsichtlich vollständiger und teilweiser Replikate zugrunde gelegt. Domänencontroller können mehr als einen Replikationspartner besitzen. Der Konsistenzprüfungsdienst erstellt in diesem Fall Verbindungsobjekte, welche die Replikationsverbindungen zwischen den Replikationspartnern repräsentieren. Durch die Ringstruktur wird sichergestellt, dass mindestens zwei Replikationspfade von einem Domänencontroller zu einem anderen verfügbar sind. Wenn einer der Domänencontroller vorübergehend nicht verfügbar ist, kann die Replikation dennoch für alle verbleibenden Domänencontroller vorgenommen werden, was in Abbildung 1.10 veranschaulicht wird.