Microsoft Windows Server 2008 W-W2008AD. Autor: Martin Dausch. 1. Ausgabe vom 28. November HERDT-Verlag für Bildungsmedien GmbH, Bodenheim

Transkript

1 W-W2008AD Autor: Martin Dausch 1. Ausgabe vom 28. November 2008 HERDT-Verlag für Bildungsmedien GmbH, Bodenheim Internet: Alle Rechte vorbehalten. Kein Teil des Werkes darf in irgendeiner Form (Druck, Fotokopie, Mikrofilm oder einem anderen Verfahren) ohne schriftliche Genehmigung des Herausgebers reproduziert oder unter Verwendung elektronischer Systeme verarbeitet, vervielfältigt oder verbreitet werden. Microsoft Windows Server 2008 Themen-Special: Active Directory W-W2008AD Dieses Buch wurde mit großer Sorgfalt erstellt und geprüft. Trotzdem können Fehler nicht vollkommen ausgeschlossen werden. Verlag, Herausgeber und Autoren können für fehlerhafte Angaben und deren Folgen weder eine juristische Verantwortung noch irgendeine Haftung übernehmen. Die in diesem Buch und in den abgebildeten bzw. zum Download angebotenen Dateien genannten Personen und Organisationen, Adress- und Telekommunikationsangaben, Bankverbindungen etc. sind frei erfunden. Übereinstimmungen oder Ähnlichkeiten mit lebenden oder toten Personen sowie tatsächlich existierenden Organisationen oder Informationen sind unbeabsichtigt und rein zufällig. Die Bildungsmedien des HERDT-Verlags enthalten Links bzw. Verweise auf Internetseiten anderer Anbieter. Auf Inhalt und Gestaltung dieser Angebote hat der HERDT- Verlag keinerlei Einfluss. Hierfür sind alleine die jeweiligen Anbieter verantwortlich.

2 Inhalt Windows Server Themen-Special: Active Directory I 1 Informationen zu diesem Buch Voraussetzungen und Ziele Aufbau und Konventionen Einführung in das Active Directory Eigenschaften eines Verzeichnisdienstes Überblick über das Active Directory Standards des Active Directorys Zentrale Bestandteile des Active Directorys Theoretische Grundlagen Plattformübergreifende Standards X.500-Standard Architektur des Active Directorys Lightweight Directory Access Protocol (LDAP) Domain Name System (DNS) Standorte Standorte planen Standorte einrichten Standorte konfigurieren Replikation verwalten Active Directory Server und Betriebsmaster Domänencontroller Flexible Single Master Operations (FSMO) FSMO-Server Global Catalog Server Leistungsoptimierung Überblick Domänencontroller Verzeichnisstruktur Belastung durch Zugriffe Active Directory und Domänen Das Domänenmodell unter Windows NT im Vergleich zu Windows Server Das Domänenmodell unter Active Directory Domänenstruktur Gesamtstruktur Standort (Site) Nutzen und Verteilung des Global Catalogs Sicherheit im Active Directory Authentifizierungsdienste Kerberos Version Access Control Group Policies IPSec Active-Directory-Schema Active-Directory-Schema Schema-Erweiterung planen und vorbereiten Schema erweitern Arbeiten mit dem Directory Arbeiten mit Objekten Universelle Gruppen Das Verzeichnis warten...91 Stichwortverzeichnis Active Directory: Planung und Migration Planungsaspekte der Migration Domänenstrukturen Namensraum Organisationseinheiten Domänen- und Gesamtstrukturfunktionsebenen Migrationspfade

3 3 Windows Server Themen-Special: Active Directory 3 Theoretische Grundlagen In diesem Kapitel erfahren Sie wie ein Verzeichnisdienst nach dem X.500-Standard aufgebaut ist wie das wichtigste Protokoll des Active Directorys, das LDAP, arbeitet nach welchen Regeln im DNS Namen aufgelöst werden Voraussetzungen Netzwerkgrundlagen 3.1 Plattformübergreifende Standards Standards Die Hauptgründe für die Verwendung von Standards im Active Directory liegen darin, dass durch diese Standards relativ offene Schnittstellen zur Verfügung gestellt werden, über die andere Programme auf das Active Directory zugreifen können. Zu diesen Standards gehören solche, die die Struktur vorgeben, wie X.500, aber auch der Zugriff auf das Active Directory über das LDAP und die Namensauflösung mithilfe von DNS. 3.2 X.500-Standard X.500-Standard Der X.500-Standard kann als die Grundlage des Active Directorys gelten. Obwohl im Active Directory bei weitem nicht alle Eigenschaften des X.500-Standards umgesetzt wurden, orientiert es sich in seinem Aufbau und in seinen Konzepten doch sehr stark an dieser Spezifikation. Geschichte 1983 setzten sich zwei Gremien daran, Merkmale für einen leistungsfähigen, internationalen Verzeichnisdienst festzulegen. Die Motivation für dieses Vorgehen entsprang den Schwierigkeiten mit einer zentralen Datenbank, die zur Verwaltung von Personeninformationen angelegt wurde. In ihr waren Informationen über Administratoren der (früher überschaubaren) Vorform des Internets und später auch über Mitarbeiter von Betrieben, die an das Internet angeschlossen waren, gespeichert. Lange Wartezeiten bei Suchabfragen waren damals die Regel, sodass größere Unternehmen dazu übergingen, ihre eigenen Datenbanken für Netzinformationen zu implementieren. Um dem dabei entstehenden Wildwuchs Herr zu werden, wurden 1988 das sogenannte CCITT X.500 Blue Book und die entsprechende Norm der ISO 9594 verabschiedet. Damit hatten die CCITT (Committee for International Telegraph and Telephone), jetzt ITU (International Telecommunication Union), und die ISO (International Standards Organisation) doch noch eine gemeinsame Linie gefunden und die Spezifikationen eines plattformunabhängigen verteilten Verzeichnisdiensts festgelegt. 12 HERDT-Verlag

4 Theoretische Grundlagen 3 Im X.500-Standard sind folgende wichtige Eigenschaften eines Verzeichnisdienstes definiert: Dezentraler Aufbau und Verwaltung Komplexe Suchmöglichkeiten Homogener Namenskontext Erweiterbare Struktur (Schema) Wichtige Begriffe Directory System Agent (DSA) und Directory User Agent (DUA) Im X.500-Verzeichnis sind bestimmte Objekte, ihre dazugehörigen Attribute und die eigentlichen Werte gespeichert. Welche Attribute zu welchem Objekt eingetragen werden dürfen, wird dabei im Schema definiert, das beliebig erweitert werden kann. Die eigentliche Speicherung und der Zugriff auf das Verzeichnis geschehen verteilt auf mehrere Ressourcen. Dies bemerkt jedoch im Normalfall weder der Benutzer noch der Administrator. Für jeden Teilbereich des Verzeichnisses ist spezielle Software mit der Funktion eines Directory System Agent (DSA) zuständig, der die ihm anvertrauten Informationen verwaltet und Suchanfragen bearbeitet. Von außen können sowohl Programme als auch Benutzer auf das Verzeichnis zugreifen. Sie interagieren dabei mit einem sogenannten Directory User Agent (DUA), der ihre Anfragen an bestimmte DSAs weiterleitet. Directory Information Tree (DIT) Die Gesamtheit aller im Verzeichnis gespeicherten Informationen wird als Directory Information Base bezeichnet. Damit sind Objekte, Attribute, Werte etc. gemeint. Die Abbildung dieser Informationen erfolgt hierarchisch in einer Baumstruktur. Deshalb wird hier von Directory Information Tree (DIT) gesprochen. Stellen Sie sich einen Baum auf dem Kopf stehend vor, so ist dies eine gute Analogie für die Struktur der X.500- Datenbank. Am oberen Ende des Baumes steht die Root (die Wurzel). Dann folgen Verbindungen und Verzweigungen. Jeweils an den Knotenpunkten befinden sich Objekte. Diese können wiederum Verzweigungen auf andere Objekte beinhalten, dann werden sie Non-leaf-Objekte genannt. Stehen sie am Ende eines Astes und besitzen keine Verzweigung, werden sie als Leaf-Objekte bezeichnet. Objekte und Attribute Die Beschreibung von Objekten geschieht mithilfe von Attributtypen, in die wiederum Attributwerte eingetragen werden. Den Objekten sind dabei meist reale Dinge zugeordnet. Dabei kann einer realen Sache (z. B. einem Notebook) genau ein Objekt (z. B. Computer) oder mehrere Objekte (z. B. Computer, Backup-Server) zugewiesen werden. Genauso ist es möglich, dass ein Objekt (z. B. Arbeitsgruppe) für mehrere Dinge aus der Realität steht (z. B. für die Personen Herr Meier, Frau Schmidt und Herr Gruber). Non-leaf-Objekte Herr Meier Verbindung Vertrieb bsp Root.. Wichtige Konzepte des Directory Information Trees Objekt Attributtypen Prozessor Arbeitsspeicher Computer Leaf- Objekte Administrator Druckserver Attributwerte 64 MB 128 MB 486 Pentium Objekt, Attributtyp und Attributwert HERDT-Verlag 13

5 3 Windows Server Themen-Special: Active Directory Namensbildung Das Wiederauffinden von Objekten ist nur dadurch möglich, dass jedem Objekt ein eindeutiger Name zugeordnet wird. Dieser Name wird Distinguished Name (DN) genannt. Jedes Objekt besitzt einen DN. Für die Bildung des DNs ist es wichtig, zu wissen, dass auf jeder Ebene des DITs für jedes Objekt ein Name vergeben wird, mit Ausnahme der Root, die keinen Namen erhält. Der Name eines Objekts auf einer Ebene wird als Relative Distinguished Name (RDN) bezeichnet. Er ist nur relativ eindeutig, da er nur in Verbindung mit den übergeordneten Ebenen gilt. Im Beispiel existieren für die Ebene "Objektklasse: organisation" zwei Einträge für bsp: und. Verfolgen Sie nun den Weg von der Root zu einem Objekt, so ist klar, wie sich der DN zusammensetzt: Er wird aus den übergeordneten RDNs und dem RDN des Objekts gebildet. Objektklasse: country RDN: de DN: country=de Objektklasse: organisation RDN: bsp DN: country=de; organisation=bsp Objektklasse: root RDN: (leer) DN: (leer) bsp Objektklasse: organisational unit RDN: vertrieb vertrieb DN: country=de; organisation=bsp; organisational unit=vertrieb ibm software (leer) Relative Distinguished Names (RDN) und Distinguished Names (DN) de us bsp Schema Das komplexeste Thema im X.500-Standard ist sicherlich das Schema. Es regelt: den Aufbau des DITs (und damit) die Vergabe von DNs für die Objekte die Beschaffenheit der Objektklassen die Eigenschaften der Attributtypen Die Regeln für den DIT bestimmen den hierarchischen Aufbau des Verzeichnisses, d. h., welches Objekt an welcher Stelle der Hierarchie stehen darf. So könnte eine Regel festlegen, dass das Objekt Abteilung (z. B. Vertrieb) immer dem Objekt Organisation untergeordnet sein muss. Etwaige fehlerhafte Einträge, wie z. B. einen Benutzer direkt nach der Root zu platzieren, werden vom System zurückgewiesen. Aus den Regeln des Schemas für das DIT ergibt sich die konsistente und nachvollziehbare eindeutige Namensgebung für die Objekte in Form des DNs. Objektklassen Jede Objektklasse erhält vom Verzeichnisdienst einen eindeutigen Objektbezeichner in Form einer ID. In einer Objektklasse (z. B. country, organisational unit, Drucker, Computer, Benutzer) werden die Attribute, die ein Objekt beschreiben, festgelegt. Dabei wird zwischen zwingenden und optionalen Attributen unterschieden. Ein zwingendes Attribut für die Objektklasse Drucker könnte z. B. Name sein. Optional können auch noch der Ort sowie das Modell angegeben werden. Diese optionalen Attribute dürfen bei der Eintragung des Objekts auch freigelassen werden. Beim Definieren neuer Objektklassen macht sich eine weitere Regelung für Objektklassen bemerkbar: die Vererbung. Für jede Objektklasse sind ihre über- und untergeordneten Objektklassen festgelegt. Daraus ergibt sich die "Erbreihenfolge" der Objektklassen. Die oberste Klasse im X.500-Standard wird als Objektklasse top bezeichnet. Sie gibt alle ihre Attribute an die jeweiligen Unterklassen weiter. Diese Vererbung gilt bis auf die unterste Ebene. Legt also ein Administrator eine neue Objektklasse an, z. B. Farbdrucker als Unterklasse von Drucker, so besitzt diese Klasse automatisch alle Attribute der Klasse Drucker (z. B. Name, Ort, Modell). Der Klasse Farbdrucker können noch weitere Attribute hinzugefügt werden (z. B. Anzahl der Echtfarben). 14 HERDT-Verlag

6 Theoretische Grundlagen 3 Es lassen sich drei Arten von Objektklassen unterscheiden: Abstract Structural Auxiliary Objektklassen von diesem Typ dienen als Vorlage für andere Objektklassen. Für sie findet kein Eintrag im DIT statt. Beispiel: Objektklasse top In dieser Art von Objektklasse wird festgelegt, an welcher Stelle im DIT Objekte dieser Klasse eingetragen werden können und welche Attribute zu ihr gehören. Die Objektklasse auxiliary (deutsch: Erweiterungsklasse) beinhaltet eine Reihe von Attributen, die Objektklassen des Typs abstract oder structural zugeordnet werden können. Sie ist als eine Sammlung von Attributen zu verstehen, die bestimmten Objektklassen zugewiesen werden könnten (z. B. eine Auxiliary-Klasse mit Sicherheitsinformationen, die für mehrere, aber eventuell nicht alle Gruppen von Administratoren wichtig sind). Attributtypen Den Objektklassen werden Attribute zugeordnet (z. B. Modell für die Objektklasse Drucker), die mit Attributwerten gefüllt werden können. In einer Syntax ist festgelegt, welche Werte ein Attribut annehmen kann (z. B. numerische Werte oder beliebige Zeichenfolgen). Dadurch ist gewährleistet, dass keine unsinnigen Werte wie z. B. negative Zahlen für die Anzahl der Echtfarben eines Druckers eingegeben werden können. Jedes Attribut wird im Schema nur einmal definiert. Es kann jedoch mehreren Objektklassen zugeordnet werden. Das Attribut Modell könnte z. B. von den Klassen Drucker, Computer, Router etc. verwendet werden. Attribute lassen sich ein- oder mehrwertig definieren. Ein Beispiel für ein mehrwertiges Attribut wäre eine Objektklasse, da in ihr die spezifische Ausprägung der Klasse sowie ihre jeweiligen Oberklassen definiert sind. Die Objektklassen Name, Modell, Ort wären Beispiele für einwertige Attribute. X.500 und verteilte Datenbanken Die Daten über das Verzeichnis werden unter dem X.500-Standard in Form von verteilten Datenbanken gespeichert. Dadurch kann nahezu jede beliebige Größe der Gesamtdatenbank realisiert werden. Zudem wird die Störanfälligkeit für das Gesamtsystem herabgesetzt, da nicht alle Informationen auf einmal verloren gehen können. Die Verteilung der Informationen auf mehrere Systeme hat Auswirkungen für die Anmeldung am Verzeichnisdienst (Authentifizierung) die Zugriffskontrolle die Realisierung der Suchanfragen die Replikation der Daten Anmeldung am Verzeichnisdienst (Authentifizierung) Im Prinzip kann jede Person versuchen, sich am Verzeichnis anzumelden, wenn sie einen gültigen Benutzernamen kennt. Entscheidend ist, dass das System feststellen kann, ob die Person, die sich unter dem Namen HGruber anmeldet, auch tatsächlich mit der Person Herr Hans Gruber übereinstimmt, dem dieser Benutzername zugeordnet ist. Es geht also um die Frage der Authentifizierung von Personen. Im Normalfall wird die Authentifizierung mithilfe eines Passworts gelöst, das nur derjenige kennt, der diesen Benutzernamen verwenden darf. Das Passwort ist im System in Verbindung mit dem Benutzernamen gespeichert und wird bei der Anmeldung überprüft. Die Art der Speicherung sowie der Übertragung der Passwörter wird unterschiedlich gehandhabt. Selbst wenn die Passwörter im System verschlüsselt abgelegt sind und deshalb auch von Administratoren nicht gelesen werden können, werden Benutzernamen und Passwörter auf dem Weg vom Client zum Server häufig im Klartext übertragen. Dies erleichtert es einem Hacker, der das Netzwerk abhört, sowohl an die Benutzernamen als auch an die Passwörter zu gelangen. Im Active Directory werden die Passwörter von Anfang an verschlüsselt. Einfache Authentifizierung Grundsätzlich lassen sich zwei Formen der Authentifizierung unterscheiden: die einfache und die strenge. Bei der einfachen Authentifizierung wird der Benutzer einmal angemeldet, indem der Benutzername und das Passwort mit den im System gespeicherten Werten verglichen werden. Anschließend kann der angemeldete Benutzer auf das gesamte System zugreifen. HERDT-Verlag 15

7 3 Windows Server Themen-Special: Active Directory Da jedoch das X.500-Verzeichnis mit verteilten Datenbanken arbeitet und möglicherweise schon bei einer einfachen Abfrage Zugriffe nicht nur auf einen, sondern auf mehrere Server nötig sind, müsste ein Benutzer sich ständig neu an jedem Server anmelden. Um dies zu vermeiden, wurde die strenge Authentifizierung eingeführt. Strenge Authentifizierung Bei der strengen Form der Authentifizierung werden nach der erfolgreichen Anmeldung an einem Server des Systems bei jeder Anfrage an einen weiteren Server Benutzerinformationen mitgeschickt. Diese Informationen werden so erzeugt, dass ihr Absender eindeutig identifiziert werden kann. Deshalb nennt man sie auch digitale Signatur. Digitale Signatur Dazu werden ein öffentlicher und ein privater Schlüssel (d. h. ein Verschlüsselungsalgorithmus) erzeugt. Diese hängen insofern zusammen, als dass sie die Daten entschlüsseln können, die der jeweils andere verschlüsselt hat. Für einen anderen als den passenden Schlüssel ist dies unmöglich. Der öffentliche Schlüssel ist jedem Benutzer zugänglich, der private Schlüssel muss geheim gehalten werden. Richtet ein (an einem Server angemeldeter) Benutzer eine Abfrage an einen anderen Server des Verzeichnisses, so werden zwei Datenpäckchen verschickt. Das eine enthält den Benutzernamen und die Anfrage und wird unverschlüsselt an den Zielserver geschickt. Aus diesem ersten Päckchen wird das zweite (die digitale Signatur) abgeleitet. Um den aufwändigen Verschlüsselungsprozess abzukürzen, wird nicht das gesamte erste Päckchen, sondern nur eine Art Quersumme (Hash) davon mit dem privaten Schlüssel des Benutzers verschlüsselt und dann an den Zielserver geschickt. Dieser entschlüsselt mithilfe des öffentlichen Schlüssels dieses Benutzers das zweite Päckchen und erhält dann den Hash. Diesen Wert kann er mit dem Hash über das erste (unverschlüsselte) Päckchen vergleichen. Stimmen beide Werte überein, so ist erstens gesichert, dass diese Nachricht von dem betreffenden Benutzer stammt und zweitens, dass sie unterwegs nicht verändert wurde. privat öffent HGruber AH2 %9T Q?R Digitale Signatur AH2 %9T Q?R HGruber Digitale Signatur mit privatem und öffentlichem Schlüssel Diese Prozedur funktioniert auch in die andere Richtung. Verschlüsselt der Absender mit dem öffentlichen Schlüssel des Empfängers, so kann er sicher sein, dass nur dieser an die Daten gelangen kann. Kontrolle des Zugriffs Sobald sichergestellt ist, dass die Person, die sich anmeldet, auch die ist, die sie vorgibt zu sein, stellt sich nur noch die Frage, was sie eigentlich im Verzeichnis tun darf. Für die Kontrolle des Zugriffs wird im X.500-Standard die Access Control List (ACL) verwendet. In dieser Liste ist für jedes Objekt des Verzeichnisses gespeichert, welcher Benutzer auf es zugreifen darf. Diese Liste wird vor jedem gewünschten Zugriff auf Erlaubnis durchsucht. In der Grundeinstellung darf keiner der Benutzer auf irgendein Objekt zugreifen. Zugriffsrechte müssen immer zuerst explizit positiv definiert werden. 16 HERDT-Verlag

8 Theoretische Grundlagen 3 Realisierung der Suchanfragen Im X.500-Standard werden sowohl der Benutzer - und eine Applikation verhält sich in diesem Sinne genauso wie ein Benutzer - als auch das Verzeichnis durch ihre Agenten "vertreten": auf Benutzer-/Applikationsseite durch den Directory User Agent (DUA) und auf der Seite des Verzeichnisses durch den Directory System Agent (DSA). Das Verzeichnis wiederum wird möglicherweise nicht nur von einem, sondern von mehreren DSAs verwaltet. Möchte ein Benutzer eine Anfrage an das Verzeichnis richten, so nimmt sein DUA Kontakt mit dem Home- DSA auf. Dazu wurde früher das Directory Access Protocol (DAP) verwendet, das jedoch aufgrund seiner komplexen Struktur in den meisten Verzeichnisdiensten durch das Lightweight DAP (LDAP) ersetzt wurde. Kann der Home-DSA die Anfrage des DUA nicht beantworten, so wird die Anfrage an den nächsten DSA weitergeleitet oder dem DUA die Adresse eines anderen DSAs rückgemeldet, mit dem der DUA anschließend Kontakt aufnimmt. Diese Prozedur läuft so lange, bis die Anfrage beantwortet oder für endgültig gescheitert erklärt wurde. Replikation der Daten Ähnlich wie bei Windows NT 4.0 wird beim X.500-Standard das Single-Master-Replikationsmodell verwendet. Hier existiert ein Master-Server, auf dem zentral alle Daten gehalten werden. Alle Änderungen an den Daten des Verzeichnisses werden auf dem Master durchgeführt und von ihm aus an untergeordnete Server (sogenannte Slaves) verteilt. Dieses Modell hat den Nachteil, dass es nicht beliebig erweiterbar ist, da ein Master nicht beliebig groß sein kann. Unterschieden davon wird das Multi-Master-Modell, das auch im Active Directory eingesetzt wird. Dort können mehrere gleichberechtigte Server Änderungen annehmen und tauschen sie untereinander aus. Dabei müssen Konfliktsituationen (z. B. wenn an zwei Servern gleichzeitig Änderungen vorgenommen werden) jedoch gesondert bewältigt werden. So dürfen sensible Vorgänge (z. B. Veränderungen am Schema des Verzeichnisses) auch hier nur an besonders autorisierten Servern vorgenommen werden. 3.3 Architektur des Active Directorys Schichten Nachdem Sie den Aufbau und die Komponenten eines Verzeichnisdienstes nach dem X.500-Standard kennen gelernt haben, soll im Folgenden die Umsetzung dieses Standards auf die Architektur des Active Directorys dargestellt werden. Das Active Directory lässt sich als Datenbank beschreiben, die von einem Dienst verwaltet wird. Bei diesem Dienst handelt es sich um den Directory System Agent (DSA), der jedoch nur für bestimmte Aufgaben zuständig ist. Er wird unterstützt von zwei weiteren Schichten der Active-Directory-Architektur: dem Datenbank-Layer und der Extensible Storage Engine. An einem Beispiel kann die Aufgabenteilung der drei Schichten des Active Directorys deutlich werden. Ein Client schickt einen Änderungswunsch über seinen Agenten (vgl. im X.500-Standard: Directory User Agent) an den DSA. Dabei kann es sich z. B. um einen Agenten handeln, der ein bestimmtes Protokoll verwendet (z. B. LDAP). Der DSA prüft, ob die Anfrage in Hinblick auf das gültige Schema zulässig ist und leitet sie an den Datenbank-Layer weiter. Dort wird entschieden, wo genau in der Datenbank die relevanten Informationen zu finden sind. Den eigentlichen Zugriff auf die physikalische Datenbank und die entsprechende Datei nimmt die Extensible Storage Engine vor, die anschließend die Ergebnisse wieder zurück an den Client leitet. Client LDAP-Agent Directory System Agent Datenbank-Layer Extensible Storage Engine Schichten der Active-Directory-Architektur HERDT-Verlag 17

9 3 Windows Server Themen-Special: Active Directory Directory System Agent Das Active Directory basiert auf einer Datenbank, die von ihrer Struktur her nicht direkt die hierarchische Struktur der X.500-Namenskontexte abbildet. Diese Datenbank besteht aus zwei Tabellen und ist völlig flach aufgebaut. Die Hauptaufgabe des DSAs besteht darin, diese flache Struktur in die hierarchische Struktur des X.500-Namenskontexts zu überführen und wieder zurückzuübersetzen. Weitere Aufgaben des DSAs sind: Überprüfung der Daten: Anhand des Schemas wird geprüft, ob die Änderung von Objektinformationen oder der Neueintrag von Objekten in dieser Form zulässig ist (z. B. ob alle zwingenden Attribute eingetragen wurden). Bereitstellung von verschiedenen Kommunikationsschnittstellen für Agenten, die mithilfe unterschiedlicher Techniken auf das Active Directory zugreifen möchten (z. B. LDAP, MAPI) Unterstützung der Replikation Unterstützung des Global-Catalog-Dienstes Verwaltung von Sicherheitsinformationen (Vergabe der Security Descriptors) Einbindung in das Security Subsystem In der Betriebssystemarchitektur von Windows Server 2008 befindet sich ein sogenanntes Security Subsystem. Dieses Subsystem beinhaltet mehrere Komponenten, die in dem Prozess lsass.exe im Task-Manager sichtbar werden. Eine Komponente des Security Subsystems ist die Local-Security-Authority (LSA). Sie bearbeitet wichtige sicherheitsrelevante Aufgaben wie z. B. die Authentifizierung von Benutzern und Diensten. Der DSA bildet nun einen Teil des LSA-Prozesses. Durch die enge Verschaltung von DSA und Security Subsystem können dem Active Directory wichtige Sicherheitsinformationen direkt entnommen und hinzugefügt werden, ohne sie extern zwischenspeichern zu müssen und auf diese Weise Sicherheitsrisiken zu produzieren. Datenbank-Layer Der Datenbank-Layer ist zuständig für die Ortung der gesuchten Objekte in der Datenbank. Er besitzt optimierte Suchfunktionen und weist die gesuchten Objekte den tatsächlichen Zeilen und Spalten der Tabelle in der Active-Directory-Datenbank zu. Diese Informationen gibt er an die Extensible Storage Engine weiter. Extensible Storage Engine Bei der Extensible Storage Engine handelt es um ein Tabellenverwaltungsprogramm. Dazu wurde für Windows Server 2008 die Version, die bei Microsoft Exchange erfolgreich eingesetzt wird und als Jet-Engine bekannt ist, optimiert. Sie arbeitet nach der Indexed Sequential Access Method (ISAM). Dies bedeutet, dass für jeden Veränderungsvorgang ein Eintrag in eine LOG-Datei geschrieben wird. Dadurch können sämtliche Veränderungen nachverfolgt, bei einem Systemabsturz wiederhergestellt und gegebenenfalls wieder rückgängig gemacht werden. Die eigentliche Datenbank des Active Directorys setzt sich aus zwei Tabellen zusammen. Die Objekttabelle enthält in den Zeilen die Objekte und in den Spalten die einzelnen Attribute. Die zweite Tabelle, die Link- Tabelle, beinhaltet die Beziehungen der einzelnen Objekte zueinander (z. B., dass die Objektklasse Vertrieb dem Objekt Firma untergeordnet ist). 3.4 Lightweight Directory Access Protocol (LDAP) DAP als Vorgänger Ursprünglich wurde für den Zugriff von Clients auf Verzeichnisse des X.500-Standards das Directory Access Protocol (DAP) verwendet. Das DAP war jedoch in seiner Handhabung sehr komplex und ressourcenhungrig. Deshalb wurde eine entschlackte Version entwickelt: das Lightweight Directory Access Protocol (LDAP). LDAP hat gegenüber DAP Geschwindigkeitsvorteile bei der Bearbeitung von Anfragen. Zudem arbeitet LDAP auf der Basis von TCP/IP, einem weit verbreiteten Internetprotokoll, sodass die Einbindung in unterschiedliche Plattformen leichter verwirklicht werden kann. 18 HERDT-Verlag

10 Theoretische Grundlagen 3 Die Zusammenarbeit zwischen LDAP und Verzeichnissen, die rein nach dem X.500-Standard aufgebaut sind, ist nicht direkt möglich. Um das LDAP für den Zugriff auf solche Verzeichnisse nutzen zu können, müssen die Anfragen erst in die Sprache des DAPs übersetzt werden. Diese Aufgabe kann von einem LDAP-Server übernommen werden. Dieser Prozess benötigt jedoch Zeit und Ressourcen, weswegen er in den meisten existierenden Verzeichnisdiensten umgangen wird. Dazu werden, ähnlich wie im Active Directory, die Verzeichnisse an den X.500-Standard nur angelehnt, sodass der direkte Einsatz von LDAP möglich wird. Das Aufweichen der strengen X.500-Konventionen ermöglicht auch die Verwendung des sehr nützlichen DNS, das im nächsten Kapitel beschrieben wird. Operationen Wenn ein Client und ein Server mithilfe des LDAPs miteinander Daten austauschen, sind dazu grundsätzlich mindestens die folgenden drei Schritte bzw. Operationen nötig: Aufbau der Verbindung Bearbeiten der Anfrage, z. B. Suchen oder Ändern Beenden der Verbindung Aufbau und Beenden der Verbindung Der erste Schritt ist eine BindRequest-Anfrage des Clients an den Server. Anschließend erfragt der Server die Authentifizierungsdaten des Clients. Je nach Art der Authentifizierung (einfach oder streng) werden bestimmte Sicherheitsmechanismen aktiviert (z. B. Kerberos). Sind die Informationen korrekt und ist die Authentifizierung erfolgreich abgeschlossen, antwortet der Server mit einem BindResponse. Zum Beenden der Verbindung wird vom Client oder vom Server ein UnbindRequest gesendet. Darauf folgt eine sofortige Trennung der Verbindung, ohne dass eine Bestätigung des Eingangs der Nachricht abgewartet wird. Suchen Um bestimmte Informationen im Verzeichnis suchen zu können, bietet LDAP eine Reihe von Möglichkeiten. Dazu gehören unter anderem die folgenden Merkmale einer Suchabfrage: Der Startpunkt der Suche in Form eines Distinguished Name Das Umfeld der Suche mit den drei Alternativen: nur innerhalb des DN-Objekts, zusätzlich eine Ebene darunter oder zusätzlich alle Ebenen darunter Die Kriterien der Suchabfrage, z. B. gesucht wird ein Wert größer 30 Boolesche Operatoren wie and, or, not, um mehrere Suchkriterien zu verknüpfen Die Anzahl der anzuzeigenden gefundenen Einträge, um umfangreichere Ergebnislisten einzuschränken und das System nicht zu überlasten Ändern Für die Operation des Änderns von Verzeichnisdaten stehen folgende Merkmale zur Verfügung: Add: Hinzufügen neuer Objekte. Wird ein neues Objekt angelegt, so müssen mindestens die zwingenden Attribute mit Werten gefüllt werden. Delete: Löschen von Objekten. Nur Leaf-Objekte dürfen gelöscht werden. Modify: Bearbeiten, Hinzufügen oder Löschen von Attributen für bestehende Objekte Modify DN: Hiermit kann der DN eines Objekts geändert werden, und somit können ganze Teilbäume (wenn es sich um ein Non-leaf-Objekt handelt) verschoben werden. HERDT-Verlag 19

11 3 Windows Server Themen-Special: Active Directory Namenskonventionen Um Informationen schnell und gezielt ablegen und wieder auffinden zu können, bedürfen sie einer eindeutigen Adressierung. Ein System, das standardmäßig sowohl im Internet als auch im Intranet verwendet wird, ist der Uniform Resource Locator (URL). Speziell für das LDAP wurde ein LDAP-URL definiert, dessen Syntax unten dargestellt wird. Uniform Resource Locator (URL) Unabhängig von der Plattform sowie von der Art und Weise, wie die entsprechende Information abgelegt wurde, bietet das Konzept des URLs die Möglichkeit, eine Ressource (z. B. eine Datei oder einen Server) in einem größeren Netzwerk eindeutig zu bezeichnen. Ein Beispiel für die Adresse einer Internetressource wäre: Hier befindet sich also auf dem WWW-Server von Microsoft die Datei index.html, auf die über das HTTP-Protokoll zugegriffen werden kann. Mithilfe dieser URL kann sie gelesen werden. Auf ähnliche Weise könnte auf diesem Server auch eine Suchabfrage gestartet werden. LDAP-URL Mithilfe von LDAP werden in erster Linie Suchanfragen an Verzeichnisdienste gestellt. Die Syntax für solche Anfragen mithilfe der LDAP-URL sieht folgendermaßen aus: ldap://servername/dn?attribute?menge?filter ServerName : Hier steht die IP-Adresse, der DNS-Name oder der NETBIOS-Name eines LDAP-Servers. DN : Distinguished Name des Eintrags, ab dem die Suche beginnen soll (Startpunkt) Attribute : Attribute, die in der Ergebnisdarstellung erscheinen sollen. Wird hier nichts angegeben, so werden alle Attribute der gefundenen Einträge angezeigt. Menge : Hier wird das Umfeld der Suche festgelegt. Drei Möglichkeiten stehen zur Verfügung: Suche nur im ausgewählten Objekt (base), zusätzlich eine Ebene darunter (one) oder alle Ebenen darunter (sub). Filter : Hier werden die Suchkriterien definiert. Dazu gehören ein Attribut, ein Vergleichsoperator und ein Vergleichswert. Mehrere Kriterien können durch boolesche Operatoren verknüpft werden. Folgende Anfrage würde auf dem Server von Microsoft innerhalb und unterhalb der Position von management.microsoft.com nach der Mail-Adresse einer Person mit dem Namen Gates suchen. ldap://microsoft.com/ou=management,o=microsoft,o=com?mail?sub?name=gates 3.5 Domain Name System (DNS) Nutzen Ein in größeren Netzwerken und auch im Internet sehr häufig verwendetes Protokoll zur Kommunikation zwischen Rechnern ist das TCP/IP-Protokoll. Damit Rechner jedoch überhaupt Verbindungen zueinander aufbauen können, müssen sie sich gegenseitig "rufen" können. Dazu wird in Netzen, die auf TCP/IP-Basis arbeiten, jedem Rechner eine IP-Adresse zugewiesen. Neben dem klassischen IPv4 kann in Netzwerken hierbei auch IPv6 verwendet werden. Dies ist jedoch noch nicht üblich, und da eine Umstellung mit erheblichen Kosten verbunden wäre, behandelt dieses Buch weiterhin IPv4 als Standard. Eine IPv4-Adresse besteht aus vier Zahlen à einem Byte, die durch einen Punkt getrennt werden (z. B ). Die Zahlenadresse ist jedoch für den Benutzer nicht sehr einprägsam und wenig komfortabel. Für den User wäre die Verwendung von richtigen Namen (z. B. programm. meinkino.de) für jeden Rechner sinnvoller. 20 HERDT-Verlag

12 Theoretische Grundlagen 3 Um dieses Problem für das Internet zu lösen, wurde das Domain Name System (DNS) entwickelt. Es ist in der Lage, Rechnernamen in IP-Adressen zu übersetzen. Der User kann also einen Namen in seinen Browser eingeben und das DNS, bzw. genauer gesagt ein DNS-Server, ermöglicht es dem Browse-Programm, die IP-Adresse des gesuchten Servers zu finden und anschließend mittels TCP/IP Kontakt aufzunehmen. Das DNS kann wie eine große Datenbank betrachtet werden, in der die Zuordnungen zwischen Rechnernamen und IP-Adressen gespeichert sind. Dieser Vorgang der Übersetzung von Rechnernamen in IP- Adressen wird Namensauflösung genannt. Das Active Directory basiert in seiner Namensauflösung auf dem DNS. Deswegen sollen im Folgenden wichtige Begriffe und Konzepte des DNS vorgestellt werden. DNS-Server Server: programm DNS-Name: programm.meinkino.de IP-Adresse: Client DNS-Abfrage: Client sucht Server mit dem DNS- Namen programm.meinkino.de. Client schickt Anfrage an DNS-Server. Dieser schickt als Antwort die IP-Adresse. Nun kann Client Zielserver kontaktieren Domänen, Resource Records, Zonen Das DNS benutzt eine Namensstruktur, die der des X.500-Standards ähnlich ist. Der Aufbau ist hierarchisch, und jeder Eintrag (genannt Resource Record) besitzt einen eindeutigen Namen. Dieser setzt sich aus dem Rechnernamen und dem Namen der Domäne zusammen, zu der dieser Rechner gehört. Zum Beispiel hätte der Server programm der DNS-Domäne meinkino.de den DNS-Namen programm.meinkino.de. Dieser vollständige DNS-Name wird Fully Qualified Domain Name (FQDN) genannt. Wie im X.500-Verzeichnis erhält auch im DNS die oberste Einheit, die Root, keinen Namen. Domäne Als Domäne wird eine Verwaltungseinheit bezeichnet, die einen oder mehrere Server oder andere (Sub-)Domänen enthalten kann. Sie entspricht einem Teilbaum des DNS-Verzeichnisses. Alle untergeordneten Namen sind ein Teil dieser Domäne. Gleichzeitig kann diese Domäne wiederum Mitglied einer übergeordneten Domäne sein. Domäne: meinkino.de root de (leer) com ibm.. Domäne: de reservierung programm meinkino Resource Records Domänen im DNS Die im DNS gespeicherten Einträge, die die Verbindung zwischen Rechnername und IP-Adresse herstellen können, werden Resource Records (RR) genannt. Diese Datensätze enthalten standardmäßig folgende Informationen: HERDT-Verlag 21

13 3 Windows Server Themen-Special: Active Directory name : Rechnername ttl: Time-to-live. Hier kann die Gültigkeitsdauer des RR festgesetzt werden. Nach Ablauf der angegebenen Zeit wird der RR gelöscht. Diese Option kommt häufig bei temporären Einträgen in einem Zwischenspeicher (Cache) zum Einsatz. class : Hier kann das benutzte Protokoll festgelegt werden. Dabei handelt es sich fast immer um die Internetklasse "IN". type : Hier wird der Typ des RRs beschrieben. Die wichtigsten Typen sind SOA (Start of Authority, der erste Eintrag in jede DNS-Datenbank), NS (der für die Domäne zuständige Name Server) und A (Hosteintrag, also die IP-Adresse für den unter name spezifizierten Rechnernamen). Daneben verwendet Active Directory Dienstidentifizierungen (SRV), die besagen, auf welchen Rechnern ein Domänendienst verfügbar ist. data : Hier sind die unter type festgelegten Informationen eingetragen. PROGRAMM IN A Beispiel für einen Resource Record Zonentypen Als Zone wird ein Teilbereich einer Domäne oder eine gesamte Domäne bezeichnet. Jede Zone wird von einem DNS-Server verwaltet. Ein DNS-Server kann auch mehrere Zonen verwalten. Alle Einträge (RRs) einer Zone werden in einer sogenannten Zonendatei gespeichert. Jede Zonendatei erhält die Extension *.dns. Zur Delegation von Administrationsaufgaben in einer Domäne kann diese in kleinere oder größere Zonen aufgeteilt werden. Zonen können in folgenden Varianten auftreten: Primäre Zone Sekundäre Zone Active Directory integrierte Zone Stubzone Ein DNS-Server, der eine primäre Zone besitzt, wird auch als primärer DNS-Server bezeichnet. Er verfügt über die Autorität und über die Zuständigkeit für die Zone. Veränderungen an der Zone, wie z. B. die Änderungen von Ressourceneinträgen, werden vom Primary Name Server vorgenommen. Für jede Zone kann es nur einen Primary Name Server geben. Ein sekundärer Name Server besitzt zwar ebenfalls die Autorität über eine Zone, bezieht aber die Informationen über eine Zone von einem primären DNS Server. Er hält eine Nur-Lese-Kopie dieser Zone. Die Übertragung der Informationen dieser Zone nennt man Zonentransfer. Ein sekundärer DNS-Server dient im Wesentlichen der Redundanz. Es kann keinen, einen oder mehrere sekundäre DNS-Server für eine Zone geben. Das traditionelle DNS arbeitet mit einem Single-Master Modell, bei dessen Verwendung nur ein Server (der primäre DNS-Server) zur Aktualisierung der Daten berechtigt ist. Die Informationen werden in DNS-Zonendateien abgelegt, die lokal auf dem Server liegen. Dadurch existiert ein Single Point of Failure. Sobald eine Zone als Active Directory integriert bestimmt wird, werden alle Informationen des DNS im Active Directory gespeichert, und der Administrator hat dadurch die Möglichkeit, über die Konfiguration von mehreren DNS-Servern Redundanz bereitzustellen. Die Informationen in einer Stubzone entsprechen lediglich der Untermenge der Informationen einer primären Zone. Die Stubzone enthält neben dem SOA-, den NS- nur noch die A-Ressourceneinträge der Namensserver (keine A-Einträge von weiteren Hosts). Diese werden zur Identifizierung von autorisierenden DNS-Servern der jeweiligen Zone verwendet. Eine Stubzone selbst ist nicht autorisierend, besitzt also kein Schreibrecht in dieser Zone. Der Vorteil einer Stubzone besteht zum einen in der geringe Menge an Informationen, die an die Stubzone übertragen werden müssen, und zum anderen darin, dass für eine Stubzone nicht das Recht zum Übertragen der Zonendaten am autorisierenden DNS-Server vorhanden sein muss. Servertypen In den DNS-Servern sind die RRs für die Namensauflösung der Server innerhalb der Domänen gespeichert. Um jedoch überhaupt zu dem öffentlichen DNS-Server zu finden, müssen diese wiederum in einem zentralen Speicher verzeichnet sein. Diese Aufgabe übernehmen die InterNIC (Internet Network Information Center) und die von ihr autorisierten Organisationen. Dort werden die IP-Adressen der DNS-Server aller registrierten Domänen gespeichert. Will ein Unternehmen z. B. die (Sub-)Domäne meinkino in der Domäne de anmelden, müssen der Rechnername sowie die IP-Adresse des DNS-Servers dieser Domäne bei InterNIC eingetragen werden. 22 HERDT-Verlag

14 Theoretische Grundlagen 3 Primary- und Secondary- DNS-Server Cache-Only-DNS-Server Forwarder-DNS-Server Die InterNIC verlangt, dass für jede Domäne mindestens zwei DNS-Server bereitgehalten werden: ein Primary- und ein Secondary-DNS-Server. Gründe für diese Regelung liegen in der Sicherheit (Ausfallredundanz) sowie in der Performanz, da zwei Rechner mehr Anfragen beantworten können als nur einer. Änderungen an dem DNS einer Zone können nur am Primary-DNS- Server durchgeführt werden (nur dieser ist autorisierend, d. h. besitzt ein Schreibrecht an dieser Zone), von dem sie anschließend auf den Secondary repliziert werden (dieser ist nicht autorisierend, d. h. hat ein Nur-Leserecht an dieser Zone). Dieser Server ist nicht für eine spezielle Zone zuständig, sondern dient der Zwischenspeicherung (Caching) von DNS-Informationen aus anderen DNS- Servern. Gelangt eine Client-Anfrage an einen Cache-Only-Server und kann die betreffende Information nicht im Cache gefunden werden, leitet er die Anfrage an andere DNS-Server weiter und speichert die Ergebnisse im Cache ab. Dies führt zu einer beschleunigten Bearbeitung von häufig gestellten Anfragen und verringert den Netzwerkverkehr, der durch Zonenübertragungen verursacht wird. Diese spezielle Serverart kümmert sich um Anfragen an DNS-Server, die nicht im eigenen Intranet, sondern im Internet liegen. Da diese Anfragen meist über relativ langsame WAN-Verbindungen abgewickelt werden und viel Zeit in Anspruch nehmen, darf nicht jeder DNS-Server sie durchführen (und damit längere Zeit blockiert sein), sondern dies dürfen nur einige wenige speziell dafür vorbereitete Forwarder. Bedingte Weiterleitungen Ein unter Windows Server 2003 neu hinzugekommenes Feature ist das Conditional Forwarding. Mit diesem im Deutschen als "Weiterleitung mit Bedingung" bezeichneten Funktion haben Sie die Möglichkeit, anhand des in der Namensabfrage enthaltenen DNS-Domänennamens gezielt bestimme DNS-Server zu kontaktieren, um z. B. die Namensauflösung zu einem Partnerunternehmen zu beschleunigen. Namensauflösung Wenn ein Client eine DNS-Anfrage an die meist lokal im Betriebssystem vorhandene DNS-Komponente (genannt Resolver) stellt, gelingt die Namensauflösung im Normalfall im Laufe der folgenden Schritte: Client-Caching Server-Caching Rekursive Ermittlung Iterative Ermittlung Der Resolver hält die Ergebnisse der letzten DNS-Anfragen im Cache und versucht zuerst, die Anfrage mithilfe dieses lokalen Caches zu beantworten. Sind die gewünschten Informationen nicht vorhanden, schickt der Resolver die Anfrage weiter an den DNS-Server. Auch dieser durchsucht zuerst seinen Cache. Werden weder im Cache noch in den Zoneninformationen die gewünschten Angaben gefunden, bestehen zwei Möglichkeiten der weiteren Vorgehensweise: die rekursive und die iterative Ermittlung. Der vom Resolver angefragte DNS-Server übernimmt die weitere Suche. Entsprechend der Hierarchie der DNS-Namen fragt er zuerst den betreffenden Root-DNS-Server an. Hierbei handelt es sich um Server für die Top-Level- Domains wie z. B. com, org, de, us. Von diesem erhält er die IP-Adresse des DNS-Servers der gesuchten Domäne. Dieser wiederum kann den gesuchten Rechnernamen auflösen. Das Ergebnis gibt der vom Resolver angefragte DNS- Server an den Resolver zurück. Der vom Resolver angefragte DNS-Server gibt alle verfügbaren Informationen, die er zur Anfrage finden kann, an den Resolver zurück und beteiligt sich nicht weiter an der Suche. Eine solche zurückgegebene Information wäre z. B. die IP-Adresse des benötigten Root-DNS-Servers. Bei dieser Suchform liegt die meiste Arbeit beim Resolver und damit auf Seiten des Clients. HERDT-Verlag 23