Funktionsweise Beschreibung des Active Directory

Größe: px
Ab Seite anzeigen:

Download "Funktionsweise Beschreibung des Active Directory"

Transkript

1 3 Funktionsweise und Beschreibung des Active Directory Nachdem Sie in den vergangenen Kapiteln einen Einblick in die Funktionsweise des Verzeichnisdienstes sowie die Vorteile von Active Directory gegenüber Windows NT erhalten haben, werden hier die wesentlichen Komponenten und Begriffe von Active Directory wie Domänen, Strukturen, Replikation usw. vorgestellt. 3.1 Domänen und Domänencontroller Während der Installation von Windows 2000 müssen Sie entscheiden, ob der Computer Mitglied einer Arbeitsgruppe oder Domäne werden soll. Die dritte Möglichkeit bei der Serverinstallation, das Einrichten einer Domäne, lassen wir hier zunächst außer Acht. In einer Domäne werden im Gegensatz zur Arbeitsgruppe alle Konten und Ressourcen zentral verwaltet. Dies bedeutet, dass ein Benutzer mit einer einzigen Anmeldung an der Domäne automatisch Zugriff auf alle Ressourcen der kompletten Domäne erhält, für die er die entsprechenden Rechte hat. Die Anmeldung erfolgt ausschließlich am Domänencontroller der Domäne. Dort liegt die zentrale Datenbank, die die Einträge zu den Benutzerkonten, Rechten, Ressourcen usw. enthält. Ein Domänencontroller besitzt keine lokale Sicherheitsdatenbank. In einer einzelnen Domäne können bis zu zwei Millionen Objekte gespeichert werden. Eine Windows 2000-Domäne kann mehrere gleichberechtigte Domänencontroller enthalten. Diese Domänencontroller gleichen automatisch ihre Datenbanken untereinander ab, sodass stets die aktuellen Informationen im Netzwerk zur Verfügung stehen. Dieser Vorgang wird als Replikation bezeichnet. Der Replikationsprozess wird ausführlich in Kapitel 3.7 beschrieben. Wenn Sie mehrere Domänencontroller einsetzen, erzielen Sie damit ein höheres Maß an Datenverfügbarkeit und Fehlertoleranz. Eine Domäne ist die Grundeinheit für Replikation und Sicherheit. In einer Arbeitsgruppe kann sich jeder Benutzer nur lokal an seinem Rechner anmelden. Um dann beispielsweise auf einen Drucker oder freigegebenen Ordner zugreifen zu können, benötigt er separate Passwörter. Die lokalen Benutzerdaten und Ressourceninformationen befinden sich bei jedem Computer in der lokalen Sicherheitsdatenbank. Die Rechner arbeiten alle gleichberechtigt ohne einen Server in einem Peer-to-Peer-Netzwerk. Die Verwaltung von Benutzerkonten und Ressourcen kann hier nur dezentral auf den einzelnen Rechnern erfolgen. Eine Domäne sollte immer einer Arbeitsgruppe vorgezogen werden, es sei denn, Sie haben spezielle Gründe, keine Domäne einzurichten. Dies könnte der Fall sein, wenn Sie nur über ein sehr kleines Netzwerk bis etwa 15 Clients verfügen oder aber die Windows- Clients ihre Anmeldung über einen Novell NetWare-Server durchführen. 59

2 3 Funktionsweise und Beschreibung des Active Directory Mit dem Einrichten des ersten Domänencontrollers einer Domäne wird gleichzeitig auch die Domäne selbst neu eingerichtet. Wenn Sie bei der Installation eines 2000-Servers nicht die Option der Mitgliedschaft in einer Domäne oder Arbeitsgruppe wählen, sondern einen Domänencontroller anlegen wollen, so haben Sie damit jedoch noch kein Active Directory eingerichtet. Solange Sie auf dem Domänencontroller nicht den Installationsassistenten für Active Directory ausgeführt haben, verfügen Sie über eine Domäne, wie Sie sie aus einem Windows NT- Umfeld kennen. Diese Domäne ist zwar einsatzbereit, verfügt aber noch nicht über die Features von Active Directory. Der Installationsassistent für Active Directory übernimmt die Einstellungen der Betriebssysteminstallation wie etwa IP-Adresse, DNS-Server usw. und kombiniert diese mit den für Active Directory spezifischen Angaben des Benutzers wie Name der Domäne, Eingliederung in die Domänenstruktur usw. Ein Domänencontroller ist in seiner Umgebung für die Anmeldung und Authentifizierung der Benutzer sowie das Durchsuchen des Verzeichnisses nach Objekten zuständig. Er speichert sämtliche Daten des Active Directory. Wenn Sie an einem beliebigen Domänencontroller Änderungen an Objekten vornehmen, so werden diese Änderungen automatisch an alle anderen Domänencontroller der Domäne repliziert. Hierbei spricht man von Multimaster-Replikation, da alle Domänencontroller gleichberechtigt sind. Jeder Domänencontroller verfügt über eine beschreibbare Kopie der Active Directory-Datenbank. Somit ist es gleichgültig, an welchem Domänencontroller die Änderungen vorgenommen werden. Wichtige Änderungen, wie etwa das Deaktivieren eines Kontos, werden sofort repliziert. Das Replikationsintervall ist ansonsten einstellbar. Eine Domäne muss nicht identisch sein mit den physischen Grenzen eines Unternehmensstandorts. Es ist möglich, dass in einer Domäne Objekte aus mehreren physisch getrennten Standorten vorhanden sind. Wenn kein Domänencontroller für einen Client verfügbar ist, so konnte unter Windows NT der Client nicht auf Netzwerkressourcen zugreifen. Diese Problematik wurde erkannt und unter Windows 2000 verbessert. Clients ab dem Betriebssystem Windows 2000 verwenden automatisch das Login-Caching. Dabei wird bei jeder erfolgreichen Anmeldung an der Domäne auf dem Client das Login gecacht. Standardmäßig können bis zu zehn Einträge auf dem Client vorgehalten werden. Dieser Wert kann in den Sicherheitsrichtlinien modifiziert werden. Will sich dieser Client nun zu einem späteren Zeitpunkt erneut an der Domäne anmelden und kann dabei keine Verbindung zum Domänencontroller aufbauen, so kann er sich dennoch an der Domäne anmelden. Es werden aus dem Cache des Clients die Einstellungen von Rechten, Gruppenmitgliedschaft etc. des letzten erfolgreichen Anmeldens am Domänencontroller übernommen. Auch wenn diese Einträge auf dem Domänencontroller zwischenzeitlich geändert worden sind, sind die Einstellungen aus dem lokalen Cache für den Client gültig. Der Cache wird dann bei der nächsten erfolgreichen Verbindung zum Domänencontroller automatisch aktualisiert. Innerhalb einer Domäne sind die folgenden Computertypen vertreten: mindestens ein oder mehrere Domänencontroller, Clientcomputer und optional Mitgliedsserver, die als Datei- oder Druckserver dienen können. Auf einem Mitgliedsserver befindet sich nicht 60

3 Strukturen die Active Directory-Datenbank. Somit ist ein Mitgliedsserver auch kein Replikationspartner für Domänencontroller. Abbildung 3.1 gibt einen Überblick über die Rollen von Computern in einer Windows 2000 Active Directory-Domäne. Replikation Active Directory- Datenbank Active Directory- Datenbank Domänencontroller 1 Domänencontroller 2 Client Client Drucker Mitgliedsserver als Druck- und Dateiserver = erfolgreiche Authentifizierung am Domänencontroller = keine Verbindung zum Domänencontroller möglich, Anwenden des Login-Caching = Ressourcenzugriff ist möglich Abbildung 3.1: Computer in einer Active Directory-Domäne 3.2 Strukturen Strukturen sind eine hierarchische Anordnung von Windows 2000-Domänen. Es gibt übergeordnete und untergeordnete Domänen. Im Rahmen der Strukturen wird zwischen Domänenstruktur (Tree) und Gesamtstruktur (Forest) unterschieden. Die Domänenstruktur wird manchmal auch nur als Struktur bezeichnet. 61

4 3 Funktionsweise und Beschreibung des Active Directory Domänenstruktur (Tree) In einer Domänenstruktur (siehe Abbildung 3.2) haben alle Domänen einen fortlaufenden DNS-Namensraum. Der Namensaufbau ist hierarchisch. Jede Domäne wird durch einen eindeutigen DNS-Namen bezeichnet. Dies soll die folgende Abbildung verdeutlichen. ILUPDGH YHUWULHEILUPDGH PDUNHWLQJILUPDGH YHUZDOWXQJYHUWULHE ILUPDGH ILQDQ]HQYHUWULHEILUPDGH ILQDQ]HQPDUNHWLQJ ILUPDGH Abbildung 3.2: Eine Domänenstruktur (Tree) In dieser Domänenstruktur benutzen alle Domänen dasselbe Active Directory-Schema, dieselben Replikationsinformationen und denselben globalen Katalog. In einer Struktur erbt eine untergeordnete Domäne den Namen der übergeordneten Domäne. Vor diesen wird der relative Name der untergeordneten Domäne gestellt. In unserem Beispiel erbt also die Domäne vertrieb.firma.de den Namen der übergeordneten Domäne firma.de, und vor diesen wird der relative Name vertrieb. gesetzt. Dabei spricht man vom fortlaufenden oder zusammenhängenden Namensraum. Im Schaubild sehen Sie in zwei verschiedene Hierarchieebenen untergeordnete Domänen. Es wären auch noch weitere Hierarchieebenen möglich, aber Sie sollten dabei auch die Übersichtlichkeit Ihres Directorys im Auge behalten. So erscheint es wenig sinnvoll, etwa eine Domäne mit folgendem DNS-Namen anzulegen: sekretariat.geschäftsführung.intern.verwaltung.vertrieb.firma.de. Verwenden Sie stattdessen hierarchische Organisationseinheiten innerhalb der Domänen. Diese oben abgebildete Domänenstruktur ist gleichzeitig auch eine komplette Gesamtstruktur. 62

5 Strukturen Gesamtstruktur (Forest) Bei einer Gesamtstruktur handelt es sich um eine hierarchische Anordnung entweder nur einer Domänenstruktur (siehe Abbildung 3.2) oder mehrerer getrennter, unabhängiger Domänenstrukturen (siehe Abbildung 3.3). Selbst eine einzelne Domäne wie firma.de ohne weitere untergeordnete Domänen bildet eine in sich geschlossene Gesamtstruktur. ILUPDGH ILOLDOHGH YHUWULHEILUPDGH PDUNHWLQJILUPDGH YHUWULHEILOLDOHGH ILQDQ]HQPDUNHWLQJ ILUPDGH ILQDQ]HQYHUWULHE ILOLDOHGH YHUZDOWXQJYHU WULHEILUPDGH ILQDQ]HQYHUWULHE ILUPDGH ILUPDGH 6WDPPGRPlQH GHU *HVDPWVWUXNWXU ILOLDOHGH HUVWH 'RPlQH HLQHU QHXHQ 'RPlQHQVWUXNWXU Abbildung 3.3: Eine Gesamtstruktur (Forest) mit getrennten Domänenstrukturen Innerhalb aller Domänen einer Gesamtstruktur werden dasselbe Active Directory- Schema, dieselben Replikationsinformationen sowie derselbe globale Katalog verwendet. Der Namensraum ist nur innerhalb der Domänenstrukturen zusammenhängend. Die beiden Strukturen firma.de und filiale.de bilden getrennte Domänenstrukturen innerhalb der Gesamtstruktur. Nur innerhalb der beiden Strukturen ist der Namensraum fortlaufend. Die erste Domäne in einer Gesamtstruktur heißt auch Stammdomäne der Gesamtstruktur, hier also firma.de. Über den Installationsassistenten für Active Directory können Sie bestimmen, an welcher Hierarchieebene in der Gesamtstruktur die neue Domäne erstellt werden soll. Dabei haben Sie folgende Möglichkeiten: Erste Domäne in einer Gesamtstruktur, hier also firma.de 63

6 3 Funktionsweise und Beschreibung des Active Directory Erste Domäne einer neuen Domänenstruktur, hier also filiale.de Untergeordnete Domäne in bestehender Domänenstruktur, hier alle anderen Nach dem Einrichten des ersten Domänencontrollers einer der eben genannten Domänenarten können Sie für diese Domäne weitere Domänencontroller installieren. Weiterhin werden zwischen allen Windows 2000/2003-Domänen innerhalb der Gesamtstruktur automatisch gegenseitige Vertrauensstellungen eingerichtet. Dies gilt nur für Windows 2000/2003-Domänen. Wenn Sie noch Windows NT-Domänen innerhalb der Gesamtstruktur verwenden, müssen die Vertrauensstellungen zu diesen manuell konfiguriert werden. Die automatische Einrichtung bezieht sich sowohl auf die Vertrauensstellung zwischen übergeordneten und untergeordneten Domänen als auch zwischen der Stammdomäne der Gesamtstruktur und den ersten Domänen neuer Domänenstrukturen. 3.3 Der globale Katalog Der globale Katalog ist zuständig für die Suche nach Objekten im Verzeichnis. Er wird automatisch auf dem ersten Domänencontroller der Stammdomäne der Gesamtstruktur erstellt. Damit wird dieser spezielle Domänencontroller auch globaler Katalogserver genannt. Im globalen Katalog werden zwei verschiedene Replikate der Objektattribute gespeichert. Zum einen enthält der Katalogserver ein vollständiges Replikat aller Objektattribute im gesamten Verzeichnis und zum anderen ein Teilreplikat der Objektattribute, die sich nur im Verzeichnis in jeder Domäne der Gesamtstruktur befinden. Das Teilreplikat enthält zwar alle Objekte, aber nur eine begrenzte Anzahl der Attribute. Über dieses Teilreplikat werden die Suchanfragen zu Objekten im Verzeichnis abgewickelt. Es enthält nur die Attribute der Objekte, die am häufigsten bei Suchanfragen benötigt werden dazu zählen beispielsweise Benutzernamen oder die notwendig sind, um das vollständige Replikat des Objektes zu finden. Um die Sicherheit beim Zugriff auf die Objekte über den globalen Katalog zu gewährleisten, erben die Objekte die Zugriffsrechte ihrer Quelldomänen. Bei einem Objekt sind die Informationen des definierten Namens ausreichend, um den Pfad zum vollständigen Replikat dieses Objektes zu finden. In vielen Fällen ist dem Benutzer aber nicht der vollständige definierte Name bekannt. Über den globalen Katalog wird es ihm ermöglicht, dass er das gewünschte Objekt dennoch findet, wenn er nur einige ihm bekannte Attribute für die Suche angibt. Es ist also nicht erforderlich, dass der Benutzer die genaue Lage des Objekts innerhalb der Gesamtstruktur kennen muss. Deshalb ist es auch wichtig, bei der Erstellung von Objekten möglichst viele Eigenschaften festzulegen, um die Effektivität des globalen Katalogs optimal nutzen zu können. Durch die Verwendung des globalen Katalogs wird der Netzwerkverkehr stark minimiert. Da im Katalog Informationen zu allen Objekten in allen Domänen der Gesamtstruktur enthalten sind, kann eine Suchanfrage innerhalb der Domäne bearbeitet werden, in der der Benutzer, der das Objekt sucht, angemeldet ist. Damit entfällt eine Suche und damit auch der Netzwerkverkehr über Domänengrenzen hinweg. 64

7 Der globale Katalog Auch bei der Anmeldung von Benutzern an der Domäne spielt der globale Katalogserver eine wichtige Rolle. Dieser Server stellt dem Domänencontroller Informationen über das Benutzerkonto zur Verfügung. Beim Anmelden des Clients wird eine Liste generiert, die alle Gruppen enthält, in denen der Client Mitglied ist. Dieses Feature wird jedoch nur in Multi-Domänen-Umgebungen genutzt, in denen der Client Mitglied in mehreren Gruppen in mehreren Domänen sein kann. Die globalen Katalogserver enthalten Mitgliedschaftslisten aller universellen Sicherheitsgruppen. Diese Listen werden benutzt, wenn Clients oder Server die Mitgliedschaft in den Sicherheitsgruppen prüfen müssen. Näheres zu universellen Gruppen finden Sie in Kapitel Universelle Gruppen können nur im einheitlichen Betriebsmodus oder Windows Server 2003-Betriebsmodus verwendet werden. Eine weitere Funktion kommt dem globalen Katalogserver zu, wenn Sie in Ihrer Umgebung Microsoft Exchange Server 2000 einsetzen. Die Katalogserver sind zuständig für das Nachschlagen der Adressbucheinträge und das Auflösen von -Adressen für Outlook-Clients ab der Version Outlook 98 SP2. Ältere -Clients benutzen dafür den Exchange-Server, der dann seinerseits den Zugriff auf einen Katalogserver benötigt Standorte von Katalogservern Aufgrund der eben genannten Aufgaben des Katalogservers können Sie überdenken, wie viele Katalogserver im Netzwerk erforderlich sein können. Dabei sei gleich vorweg eine Warnung ausgesprochen: Zu viele Katalogserver können Ihrer Netzwerk-Performance erheblich schaden. In diesem Zusammenhang sind einige Worte über die Standorte von globalen Katalogservern innerhalb der Gesamtstruktur angebracht. Standardmäßig befindet sich der globale Katalogserver auf dem Domänencontroller, wenn in einer Domäne nur ein Domänencontroller vorhanden ist. Haben Sie hingegen mehrere Domänencontroller in der Domäne, so muss einer davon als Katalogserver definiert werden. Die praktische Anleitung dazu finden Sie in Kapitel 15. Versucht sich ein Benutzer an einer Domäne anzumelden, so muss dafür der Zugriff auf einen globalen Katalogserver sichergestellt sein. Andernfalls kann sich der Benutzer nur über das Login-Caching an der Domäne anmelden. Nur die Mitglieder der Gruppe Domänen-Admins können sich auch ohne den globalen Katalogserver stets an der Domäne anmelden. Wenn in Teilen des Netzwerks nur langsame oder nicht immer verfügbare Verbindungen zwischen den Clients und den Katalogservern vorhanden sind, so sollten Sie auf beiden Seiten der langsamen Verbindung einen Katalogserver implementieren. Zusätzlich kann die Replikation mit einem Domänencontroller an einem Standort mit einer langsamen Verbindung so festgelegt werden, dass sie in Zeiträumen mit geringer Netzwerkauslastung, also etwa den Nachtstunden, vollzogen wird. Richten Sie auch keinen Katalogserver auf dem Domänencontroller ein, der die Betriebsmasterrolle des Infrastrukturmasters (siehe Kapitel ) innehat. Der Infrastrukturmaster ist zuständig für die Aktualisierung von Verweisen zwischen Benutzern und Gruppen. Da ein globaler Katalogserver aber keine veralteten, zu aktualisierenden Einträge in seiner Datenbank enthält, kann der Infrastrukturmaster seine Aufgabe nicht wahrnehmen. Ist jeder Domänencontroller gleichzeitig auch ein Katalogserver, brauchen Sie keine Infrastrukturmaster einzurichten. 65

8 3 Funktionsweise und Beschreibung des Active Directory Haben Sie in Ihrer Umgebung nur eine einzelne Domäne und keinen Exchange Server im Einsatz, so müssen Sie keine zusätzlichen Katalogserver implementieren. Nutzen Sie den Domänencontroller als Katalogserver. Über diesen können die Clients Objekte Ihrer eigenen Domäne suchen. Setzen Sie den Exchange 2000-Server ein, so richten Sie einen Katalogserver an jedem Standort ein, der über mehr als zehn Benutzer verfügt. In sehr großen Standorten sollten Sie aus Gründen der Lastenverteilung und Fehlertoleranz sogar zwei Katalogserver erstellen. Idealerweise haben Sie also an jedem physischen Standort je nach Größe mindestens einen Katalogserver und einen oder mehrere Domänencontroller zur Verfügung. Belassen Sie am besten den Katalogserver auf dem Domänencontroller. Haben Sie an einem Standort mehrere Domänencontroller, sollte nicht jeder gleichzeitig auch die Rolle des globalen Katalogservers übernehmen. Dies würde zu einer erhöhten Netzwerkauslastung nur durch den Replikations-Datenverkehr zwischen den Katalogservern führen, da sich alle Katalogserver in der Gesamtstruktur miteinander replizieren. Allerdings wird ein wesentlich größerer Teil des Netzwerkverkehrs durch die Abfragen von Objekten im Active Directory durch Benutzer und Programme verursacht. An kleineren Standorten können Sie sogar auf einen eigenen Katalogserver verzichten. Allerdings sollte die Netzwerkanbindung mindestens über eine schnelle WAN-Verbindung (Breitbandleitung T1 mit 1,544 Mbit/s oder schneller) zum Standort des nächstgelegenen Katalogservers verfügen. Der globale Katalog wird automatisch über die Active Directory-Replikation erstellt. Auch die Replikationstopologie wird automatisch eingerichtet. Der Satz von Eigenschaften, der in das Teilreplikat der Objektattribute aufgenommen wird, ist von Microsoft vorgegeben. Allerdings haben Sie als Administrator die Möglichkeit, diesen Satz zu erweitern oder anzupassen. 3.4 Standorte Standorte strukturieren wie Domänen das Netzwerk. Die Domänen spiegeln dabei die logische Struktur des Unternehmens wider, während Standorte die physische Struktur widerspiegeln. Des Weiteren dienen auch Organisationseinheiten der logischen Strukturierung des Netzwerks. Ein Standort entspricht einer Gruppe von Computern, die zu einem bestimmten IP- Subnetz gehören. Damit gelten diese Computer untereinander als gut verbunden. Die Computer an einem Standort können auch verschiedenen IP-Subnetzen angehören. Allerdings muss dann auch zwischen diesen eine schnelle Verbindung sichergestellt sein. Diese schnelle Verbindung ist erforderlich, da innerhalb eines Standorts die Replikation sowie Ressourcenabfragen aus dem Active Directory einen nicht unerheblichen Teil der Netzwerkbandbreite in Anspruch nehmen. Deshalb ist es sinnvoller, für WANs mehrere Standorte zu konfigurieren. Die praktische Anleitung zum Einrichten von Standorten finden Sie in Kapitel

9 Standorte Für das Verhältnis zwischen Standorten und Domänen gelten die folgenden Punkte: Eine Domäne kann mehrere Standorte enthalten (siehe Abbildung 3.4), und umgekehrt kann ein Standort auch mehrere Domänen enthalten (siehe Abbildung 3.5). Daraus ergibt sich, dass keine Übereinstimmung zwischen Standortgrenzen und dem Namensraum der Domänen bestehen muss. /$1 ')h 9HUELQGXQJ ILUPDGH :$1 6WDQGRUW %LW6XEQHW] 6WDQGRUW %LW6XEQHW] 6WDQGRUW %LW6XEQHW] Abbildung 3.4: Eine Domäne mit mehreren Standorten Im ersten Modell (siehe Abbildung 3.4) verfügt die Domäne firma.de über insgesamt drei Standorte. Jeder der drei Standorte hat seinen eigenen Subnetzbereich. Die Computer der Standorte 1 und 2 sind nur über langsame Verbindungen (DFÜ bzw. WAN) mit der Domäne verbunden. Deshalb wurde für sie jeweils ein eigener Standort eingerichtet. Der dritte Standort umfasst die Computer eines Subnetzes, die über eine schnelle LAN-Verbindung mit der Domäne verbunden sind. Die Computer aller Standorte sind Mitglieder der Domäne firma.de. 6WDQGRUW %LW6XEQHW] ILUPDGH ILOLDOHGH Abbildung 3.5: Ein Standort in mehreren Domänen Im zweiten Modell (siehe Abbildung 3.5) gibt es nur einen Standort mit einem zusammenhängenden 16-Bit-Subnetz. Zu diesem Standort gehören Computer, die ihrer logischen Struktur nach der Domäne firma.de oder der Domäne filiale.de angehören. Der Standort sagt also nichts über die logische Zugehörigkeit der Computer aus. 67

10 3 Funktionsweise und Beschreibung des Active Directory Wenn Sie die mmc ACTIVE DIRECTORY-STANDORTE UND -DIENSTE öffnen, werden Sie feststellen, dass dort nicht die Computer, die zu einem bestimmten Standort gehören, aufgelistet werden. Das Durchsuchen einer Domäne gibt nur die Computer in ihrer logischen Struktur an. Die einzelnen Computer finden Sie nur unter den Domänen und Organisationseinheiten. Unter ACTIVE DIRECTORY-STANDORTE UND -DIENSTE finden Sie nur die Elemente, die für die Konfiguration der Replikation zwischen den Standorten zuständig sind. Nun noch einige Worte dazu, inwiefern jeder Standort über einen eigenen Domänencontroller verfügen muss. Wenn Sie bei bestimmten Rechnern im Netzwerk bemerken, dass die Domänencontroller sehr lange brauchen, um die Clientanforderungen zu bearbeiten, oder die Menge der Benutzer nicht mehr verarbeiten können, so sollten Sie darüber nachdenken, diese Rechner zu einem separaten Standort mit einem eigenen Domänencontroller zusammenzufassen. Bei der Anmeldung sucht ein Client immer zuerst an seinem eigenen Standort nach einem Domänencontroller. Clientsubnetze sollten immer nur den Standorten zugeordnet werden, zu denen eine schnelle Verbindung und damit auch ein effizienter Zugriff auf den Domänencontroller und die Ressourcen besteht. Wenn sich an einem Standort einer Niederlassung kein Domänencontroller befindet, so werden dorthin auch keine Daten repliziert. Der Client muss also für jede Anmeldung und Ressourcenabfrage eine Netzwerkverbindung zur Hauptstelle oder zu einem Domänencontroller eines anderen Standorts herstellen. Damit dieser Vorgang praktikabel ist, muss eine schnelle Verbindung zum entsprechenden entfernten Domänencontroller vorhanden sein. Nur ein sehr kleiner Standort (bis maximal zehn Clients) muss nicht zwangsläufig über einen eigenen Domänencontroller verfügen. An einem größeren Standort sollen mehrere Domänencontroller eingerichtet werden. 3.5 Organisationseinheiten Organisationseinheiten sind neben den Domänen die zweite Einheit zur logischen Gruppierung von Netzwerkressourcen. Jede Domäne kann ihre eigene Hierarchie und Gliederung der Organisationseinheiten haben. Die Mitglieder der Organisationseinheiten sind alle Mitglieder der Domäne, die die Organisationseinheit(en) beinhaltet. Eine Organisationseinheit verfügt im Gegensatz zu einem Standort nicht über eigene Domänencontroller. Die Organisationseinheiten werden statt der Ressourcendomänen in den Windows NT- Domänenmodellen verwendet. In einer Organisationseinheit werden Objekte in Gruppen gegliedert. Diese Gruppen können die Unternehmensstruktur widerspiegeln. Eine Organisationseinheit kann Objekte wie Computer, Kontakte, Gruppen, weitere Organisationseinheiten, Drucker, Benutzer und freigegebene Ordner enthalten. Durch die Übersichtlichkeit einer geringeren Anzahl von Objekten innerhalb einer Organisationseinheit werden deren Verwaltung und Anzeige erleichtert. An eine Organisationseinheit können administrative Aufgaben delegiert werden. Die Berechtigungen, die ein Benutzer für die Durchführung seiner administrativen Aufgaben benötigt, können entweder für eine separate Organisationseinheit erteilt werden 68

11 Organisationseinheiten oder für eine übergeordnete Organisationseinheit, die die Berechtigungen an die untergeordneten weitervererbt. Damit ist es möglich, die Administration der Domäne an mehrere Administratoren zu verteilen. Sie können so für die Organisationseinheit spezielle Verwaltungsaufgaben erledigen. Die praktische Anleitung für das Erstellen und Konfigurieren von Organisationseinheiten finden Sie in Kapitel Standardmäßig sind keine vorkonfigurierten Organisationseinheiten in der mmc ACTIVE DIRECTORY-BENUTZER UND -COMPUTER enthalten. Dies würde auch wenig Sinn machen, da ja gerade durch die Individualität der Organisationseinheiten Ihr Unternehmensnetzwerk strukturiert werden soll. Abbildung 3.6 gibt einen Überblick über Organisationseinheiten innerhalb einer Domäne sowie die verschiedenen Objekte, die in jeder Organisationseinheit enthalten sein können. ILUPDGH %HQXW]HU 'UXFNHU 28 9HUZDOWXQJ *UXSSH 28 0DUNHWLQJ *UXSSH &RPSXWHU 'UXFNHU.RQWDNW %HQXW]HU *UXSSH 28 3HUVRQDO 28 %XFKKDOWXQJ 'UXFNHU ZDUWHVFKODQJH &RPSXWHU 'DWHLIUHL JDEH &RPSXWHU.RQWDNW %HQXW]HU*UXSSH 'UXFNHU 'UXFNHU Abbildung 3.6: Die Struktur einer Organisationseinheit Die Abbildung zeigt eine Domäne mit insgesamt vier Organisationseinheiten. Die beiden Organisationseinheiten Verwaltung und Marketing sind dabei auf einer Hierarchieebene, die Organisationseinheit Verwaltung enthält als untergeordnete Objekte die Organisationseinheiten Personal sowie Buchhaltung. Jede einzelne Organisationseinheit hat ihre eigene unabhängige Struktur und ihre eigenen Ressourcen. Objekte, die in einer Organisationseinheit vorhanden sind, müssen nicht in allen Organisationseinheiten der Domäne vorkommen, und umgekehrt müssen auch nicht alle Objekte in einer Organisationseinheit eingebunden sein. 69

12 3 Funktionsweise und Beschreibung des Active Directory 3.6 Objekte und Schema Im Active Directory werden sämtliche Ressourcen als Objekte gespeichert. Objekte können Computer, Konten, Drucker, Kontakte usw. sein. Jedes Objekt besteht aus einem bestimmten Satz von Eigenschaften bzw. Attributen, die für dieses Objekt spezifisch sind. So umfasst z.b. ein Domänencontroller-Objekt die folgenden Attribute unter den allgemeinen Eigenschaften: Computername, DNS-Name, Funktion und Beschreibung. Diese Eigenschaften dienen Active Directory als Vorlage für die Objekte. Diese Vorlage muss dem Verzeichnisdienst zum Speichern der Objekte bekannt sein. Das Active Directory-Schema enthält einen vorgegebenen Satz von Definitionen für die Objekte und Informationen im Active Directory. Es gibt zwei Arten von Definitionen, nämlich Attribute und Klassen. Diese werden auch Schemaobjekte oder Metadaten genannt. Das Active Directory-Schema ist für alle Domänen innerhalb einer Gesamtstruktur verbindlich dasselbe. Die Informationen des Schemas werden automatisch repliziert. Attribute Ein Attribut wird nur einmalig im Schema definiert und kann von beliebigen Klassen genutzt werden. So finden Sie z.b. in diversen Objekten wie etwa Computer, Konto usw. das Attribut Beschreibung. In jeder dieser Klassen erfüllt das Attribut den allgemeinen Zweck, das entsprechende Objekt näher zu erläutern, aber in jeder Klasse sieht die Beschreibung für das spezielle Objekt verschieden aus. Klassen Die Klassen bestimmen, welche Arten von Objekten im Active Directory erstellt werden können, so z.b. Computer, Konten usw. Jede Klasse beinhaltet einen bestimmten Satz aller möglichen Attribute. Wenn Sie ein Objekt neu erstellen, erhalten die Attribute die Werte, die das Objekt konkret beschreiben. Die Klassen werden auch als Objektklassen bezeichnet. Unter Windows 2000 und 2003 haben Sie die Möglichkeit, das Schema individuell nach Ihren Bedürfnissen anzupassen. Die praktische Anleitung dazu finden Sie in Kapitel Das Active Directory-Schema ist objektorientiert. Es wird im Verzeichnis als ein Satz von Objekt-Instanzen gespeichert. Dies ist der Unterschied zu anderen Verzeichnisdiensten, bei denen das Schema als Textdatei gespeichert wird, die beim Start des Verzeichnisdienstes ausgelesen wird. Aus den gespeicherten Objekten im Active Directory können Applikationen beispielsweise auslesen, welche Objekte und Eigenschaften verfügbar sind. Das Active Directory-Schema kann dynamisch aktualisiert werden. Beispielsweise kann eine Applikation dem Schema neue Klassen und Attribute hinzufügen und diese neu hinzugefügten Metadaten sofort benutzen. Eine Änderung des Schemas wird durch das Erstellen oder Modifizieren der im Verzeichnis gespeicherten Metadaten erreicht. Auch die Metadaten werden wie jedes andere Objekt im Active Directory durch Zugriffssteuerungslisten (ACLs) geschützt. So wird sichergestellt, dass nur autorisierte Benutzer das Schema ändern können. 70

13 Replikation 3.7 Replikation Replikation bedeutet das Austauschen von Verzeichnisinformationen zwischen mehreren Domänencontrollern. Sämtliche Domänencontroller einer Domäne müssen immer die aktuellen Verzeichnisinformationen zur Verfügung haben. Wenn Sie an einem beliebigen Domänencontroller der Domäne Änderungen vornehmen, so müssen diese schnellstmöglich auch den anderen Domänencontrollern verfügbar gemacht werden. Bei der Replikation werden die geänderten Verzeichnisinformationen von dem einen Domänencontroller an alle anderen gesendet Multimaster-Replikation In einer Windows NT-Umgebung gibt es einen übergeordneten PDC und untergeordnete BDCs. Unter Windows 2000/2003 sind alle Domänencontroller gleichrangig. Fügen Sie einer Domäne aus Aspekten der Redundanz einen weiteren Domänencontroller hinzu, so bezeichnet man diesen auch als Peer-Domänencontroller. Da Windows 2000/ 2003 nicht mehr auf einen übergeordneten Master-Domänencontroller beschränkt ist, sondern jeder einzelne als Master agiert, spricht man vom Multimaster-Domänenmodell. Analog dazu verwendet Windows 2000/2003 auch die Multimaster-Replikation. Somit müssen Sie nicht, wie unter Windows NT, alle Änderungen am PDC vornehmen, sondern Sie können die Verwaltung von einem beliebigen Domänencontroller aus vornehmen. Außerdem bietet die Multimaster-Replikation den Vorteil, dass die Replikation auch dann fortgesetzt werden kann, wenn ein Domänencontroller nicht verfügbar ist. Es ist stets eine hohe Verfügbarkeit der Verzeichnisdaten sichergestellt. Durch die Multimaster-Replikation wird weiterhin eine ausgewogenere Lastenverteilung zwischen den Domänencontrollern sowie eine höhere Fehlertoleranz verwirklicht. Wenn Sie Active Directory im einheitlichen Modus betreiben, so kann keine Replikation mehr mit Windows NT-Domänencontrollern stattfinden. Im gemischten Modus übernimmt der PDC-Emulator-Betriebsmaster (siehe Kapitel ) die Replikation mit den Windows NT-BDCs. Jeder der Domänencontroller besitzt eine beschreibbare Kopie der Verzeichnisdatenbank. Wurden hier Änderungen durchgeführt oder neue Einträge vorgenommen, werden die geänderten bzw. neuen Einträge auf die übrigen Domänencontroller repliziert. Das Active Directory beschränkt sich bei der Replikation ausschließlich auf geänderte oder neue Einträge in der Datenbank. Nicht geänderte Einträge werden nicht zwischen den Domänencontrollern ausgetauscht. Damit ist sichergestellt, dass die durch die Replikation entstehende Netzwerklast auf ein Minimum reduziert wird. Das Multimaster-Modell könnte nun jedoch auf den ersten Blick auch ein Problem mit sich bringen. Was geschieht nämlich, wenn dieselben Änderungen an einem bestimmten Objekt gleichzeitig an mehreren Domänencontrollern vorgenommen werden? Jeder Domänencontroller verwendet einen Zähler für die Änderungen, die an seiner eigenen Verzeichnisdatenbank-Kopie durchgeführt wurden (Originating Write), sowie einen weiteren Zähler für die Änderungen, die er von seinen Replikationspartnern empfangen hat (Replicated Write). Ist nun beispielsweise ein Domänencontroller für eine Weile nicht im Netzwerk verfügbar gewesen, so prüft er bei der Wiederinbetriebnahme 71

14 3 Funktionsweise und Beschreibung des Active Directory anhand seiner Zähler, ob er alle Änderungen seiner Replikationspartner empfangen hat. Ist dies nicht der Fall, so fordert er nur die aktuellen, bei ihm noch nicht vorhandenen Änderungsinformationen an. Jedes Objekt enthält zwei verschiedene USNs (Update Sequence Number). Es gibt einen USN-Wert für das Erstellen (usn-created-wert) und einen Wert für das Ändern des Objekts (usn-changed-wert). Angenommen, Sie erstellen über die mmc ACTIVE DIRECTORY-BENUTZER UND -COMPUTER zehn neue Benutzer auf Server 1. Dann wird die USN für Server 1 um den Wert 10 heraufgesetzt, da die Informationen zehnmal aktualisiert worden sind. Bei diesem Schreibvorgang handelt es sich um eine ausgebende Aktualisierung (Originating Update), da der Server selbst die Aktualisierung vorgenommen hat. Auch direkt mit dem Server verbundene Anwendungen führen ausgebende Aktualisierungen durch. Wird hingegen eine Änderung bei der Replikation empfangen, spricht man von replizierter Aktualisierung (Replicated Update). Für beide Aktualisierungen gibt es separate Zähler. Jede dieser Änderungen enthält eine eindeutige Sequenznummer (USN) sowie einen Zeitstempel. Der höchste USN-Wert ist dabei stets der aktuelle. Die Größe des USN-Wertes beträgt für jedes Objekt 64 Bit. War nun ein Domänencontroller längere Zeit nicht verfügbar, so verfolgt er die zwischenzeitlich vorgenommenen Änderungen nur anhand der Sequenznummer. Tritt jedoch der kompliziertere Fall auf, dass dieselbe Änderung von verschiedenen Benutzern an zwei Domänencontrollern durchgeführt wurde, während beide im Netzwerk verfügbar waren, so entscheidet zusätzlich der Zeitstempel. Für diesen seltenen Fall ist eine Zeitsynchronisierung der Domänencontroller sinnvoll. Dieses Verfahren wird ausführlich in Kapitel beschrieben. Auch die Konfliktlösung von weiteren Replikationsproblemen wird in Kapitel 17.3 beschrieben. Die Replikation der Daten geschieht im Active Directory entweder automatisch oder für standortübergreifende Replikation auch nach einem Zeitplan. Allerdings muss dabei gewährleistet sein, dass eine Änderung nicht vom Quell-Domänencontroller auf andere Domänencontroller und von dort wieder auf die Quelle repliziert wird. Damit würde ein endloser Replikationskreislauf mit hoher Netzwerkbelastung entstehen. Hiergegen verwendet Active Directory jedoch ein systemimmanentes Verfahren, bei dem die Attribute und deren Zähler der ausgebenden Aktualisierungen überwacht werden. Dieser Zähler wird nur bei lokaler Änderung, jedoch nicht bei der Replikation erhöht. Somit ist für den Replikationsprozess erkennbar, dass die Änderung nicht mehr auf den Quellserver repliziert werden muss Die Verzeichnispartitionen oder Namenskontexte Bei der Replikation werden drei Arten von Informationen ausgetauscht. Diese Arten werden auch als Verzeichnispartitionen oder Namenskontexte (NC = Naming Context) bezeichnet. Dabei handelt es sich um Schemainformationen, Konfigurationsinformationen sowie Domänendaten. Die Schemainformationen geben die Objekte sowie deren Attribute vor, die Sie im Verzeichnis erstellen können. Die Konfigurationsinformationen enthalten alle Angaben zur 72

15 Replikation Domänenstruktur und Replikationstopologie. Die Domänendaten enthalten die domänenspezifischen Daten einer Domäne. Ein ausgewählter Teil dieser Daten befindet sich im globalen Katalog aller Domänen einer Gesamtstruktur. Diese Teilmenge wird ausschließlich zwischen globalen Katalogservern repliziert. Die Konfigurations- und Schemainformationen werden auf sämtliche Domänencontroller der Gesamtstruktur repliziert, die spezifischen Domänendaten nur auf die Domänencontroller der Domäne und die ausgewählte Teilmenge der Domänendaten auf alle globalen Katalogserver. Tabelle 3.1 fasst zusammen, welche Informationen auf einem Domänencontroller und einem globalen Katalogserver vorhanden sind und repliziert werden: Information Domänencontroller Globaler Katalogserver Schemainformationen Konfigurationsinformationen Domänendaten Für die Domänen- oder Gesamtstruktur Für alle Domänen der Domänenoder Gesamtstruktur Sämtliche Objekte und Eigenschaften der Domäne Für die Gesamtstruktur Für alle Domänen der Gesamtstruktur Sämtliche Objekte und Eigenschaften der Domäne, der der Katalogserver angehört, sowie die Teilmenge der Objekte und Eigenschaften der Gesamtstruktur Tabelle 3.1: Replikationsinformationen auf Domänencontrollern und Katalogservern Unter Windows 2003 ist neben diesen dreien eine zusätzliche Verzeichnispartition verfügbar, die Applikationspartition. Diese Partition kann eine Hierarchie aller Objekttypen (mit Ausnahme der sicherheitsbezogenen Objekte Benutzer, Gruppen und Computer) enthalten und so konfiguriert werden, dass die Replikation mit beliebigen Domänencontrollern innerhalb der Gesamtstruktur und nicht nur derselben Domänenstruktur durchgeführt werden kann. Mit dieser neuen Partition wird es möglich, dynamische Daten im Active Directory zu speichern, wobei Sie die Möglichkeit haben, den Umfang der Replikationsdaten sowie die Platzierung der Repliken zu steuern, ohne dabei die Netzwerklast unnötig steigern zu müssen Replikationstopologie Bei der Replikation wird unterschieden in Replikation innerhalb eines Standortes und standortübergreifende Replikation. Innerhalb eines Standorts erzeugt Active Directory über Replikationstopologie-Verknüpfungen automatisch eine Ringtopologie zur Replikation zwischen den Domänencontrollern. Für die Berechnung der Replikationstopologie ist der Knowledge Consistency Checker (KCC) zuständig. In der Ringtopologie ist immer ein alternativer Replikationspfad vorhanden, falls ein Domänencontroller ausfallen sollte. Damit ist gewährleistet, dass stets alle Domänencontroller, die im Netzwerk verfügbar sind, ihre aktuellen Informationen austauschen können. 73

16 3 Funktionsweise und Beschreibung des Active Directory $XVIDOO YRQ '& 'RPlQHQFRQWUROOHU 'RPlQHQFRQWUROOHU 'RPlQHQFRQWUROOHU 'RPlQHQFRQWUROOHU VWDQGDUGPl LJH 5HSOLNDWLRQVWRSRORJLH YHUNQ SIXQJ DOWHUQDWLYH 5HSOLNDWLRQVWRSRORJLHYHUNQ SIXQJ EHLP $XVIDOO HLQHV 5HSOLNDWLRQVSDUWQHUV Abbildung 3.7: Replikationstopologie innerhalb eines Standorts Abbildung 3.7 zeigt den standardmäßigen Replikationspfad zwischen den Domänencontrollern 1 bis 4. Sollte nun der Domänencontroller 2 ausfallen, so bemerkt Domänencontroller 1 den Ausfall und wendet seinen Alternativpfad auf Domänencontroller 3 an, der dann in gewohnter Weise seine Informationen an Domänencontroller 4 repliziert. Selbst wenn Sie zusätzliche Domänencontroller hinzufügen, gliedert Active Directory diese automatisch in die bestehende Replikationstopologie ein. Auch wenn Sie einen Domänencontroller aus der Domäne entfernen, unternimmt Active Directory automatisch die notwendigen Schritte. Sie sehen also, dass Sie für die standortinterne Replikation keinerlei Einstellungen selber vornehmen müssen. Die standortübergreifende Replikation müssen Sie hingegen manuell einrichten. Hierbei können Sie Zeiten und Intervalle definieren, Kosten festlegen sowie das Replikationsprotokoll wählen. Die Replikation findet sowohl automatisch innerhalb eines Standortes als auch benutzerdefiniert zwischen verschiedenen Standorten statt. Bei der standortübergreifenden Replikation werden die Daten zur Entlastung und Beschleunigung des Netzwerkverkehrs zwischen den Standorten komprimiert übermittelt. Für das Entpacken der Daten wird jedoch Prozessorleistung benötigt. Umgekehrt werden die Daten innerhalb eines Standorts nicht komprimiert. Da es sich an einem Standort meistens um eine LAN-Verbindung handelt, ist hier das Komprimieren zur Netzwerkentlastung nicht erforderlich. Dafür entfällt eine höhere Prozessorauslastung durch das Dekomprimieren der Daten. 74

17 Zusammenarbeit mit anderen Betriebssystemen und Verzeichnisdiensten 3.8 Zusammenarbeit mit anderen Betriebssystemen und Verzeichnisdiensten In diesem Kapitel wird geklärt, mit welchen anderen Betriebssystemen und Verzeichnisdiensten Windows 2000 Active Directory Interoperabilität bietet. Es ist unwahrscheinlich, dass in allen Unternehmen nur eine reine Windows oder XP-Umgebung vorhanden ist. Gerade der Verzeichnisdienst Novell Directory Service (NDS) von Novell NetWare oder Unix werden oftmals parallel eingesetzt. Zuvor wird beschrieben, inwieweit eine Zusammenarbeit von Active Directory mit älteren Windows-Betriebssystemen gewährleistet ist. Auch die fortschreitende Integration von Microsoft BackOffice-Servern in Active Directory wird in diesem Kapitel besprochen ADSI-Clients für Windows 9x und NT Für die volle Funktionalität aller Active Directory-Features müssen Sie Windows oder XP-Professional-Clients einsetzen. Dennoch ist es auch möglich, Windows-Clients mit Windows 9x oder NT die Zusammenarbeit mit Active Directory zu ermöglichen. Hierzu werden die Windows 9x/NT Active Directory Services Interface-(ADSI-)Clients eingesetzt. Diese ermöglichen immerhin wichtige Grundfunktionalitäten von Active Directory für die älteren Windows-Clients. Die Windows-Versionen 3.x und Windows for Workgroups werden nicht von ADSI unterstützt. Die ADSI-Clients werden wie ein zusätzlicher Netzwerk-Client, etwa der Client für Microsoft-Netzwerk oder Client Service für NetWare, installiert. Über die ADSI-Services werden Ihnen wie gesagt nur die Kernfeatures von Sicherheit und Benutzerzugriff bereitgestellt. Die folgenden Features werden geboten: Der ADSI-Client beinhaltet die NTLM-(NT LAN-Manager-)Authentifizierung in der Version 2.0. Mit der neuen Version werden viele Sicherheitslücken gegenüber der von Windows 9x und NT verwendeten Version 1.0 geschlossen. Der ADSI-Client unterstützt die Kenntnis über seinen aktuellen Standort. Damit wird es ermöglicht, dass Sie sich bei dem Domänencontroller anmelden, der Ihrem Standort am nächsten ist. Standardmäßig melden sich die 9x/NT-Clients zufällig an einem beliebigen Domänencontroller an. Dabei ist es den Clients auch gleichgültig, falls sich der ausgesuchte Domänencontroller am anderen Ende eines WANs befinden sollte. Ein weiteres Handicap des Windows 9x-Clients besteht darin, dass er in einer Windows 2000-Domäne zur Passwortänderung zwingend Zugriff auf den PDC-Emulator- Betriebsmaster benötigt. Auch dieses Problem wird durch den ADSI-Client behoben. Die ADSI-Clients unterstützen eine Skripting-Schnittstelle für ADSI-basierte Skripte. Über diese Skripte, die z.b. in Form von Login-Skripten erstellt werden können, kann direkt auf das Active Directory zugegriffen werden. Standardmäßig können Windows 9x- und NT-Client nur auf allein stehende Wurzelverzeichnisse von DFS (Distributed File System) zugreifen. Mit dem ADSI-Client wird ihnen jedoch der Zugriff auf die fehlertoleranteren verteilten Verzeichnisse ermöglicht, durch die eine höhere Zuverlässigkeit und Fehlertoleranz der DFS-Struktur ermöglicht wird. 75

18 3 Funktionsweise und Beschreibung des Active Directory Als letztes Feature haben die ADSI-Clients Zugriff auf die Eigenschaften des Windows-Adressbuches (Funktion: Suchen nach Personen) im Active Directory. Mit den entsprechenden Zugriffsrechten können Sie dort sogar Eigenschaften wie die Telefonnummer ändern. Wie gesagt, der Einsatz von ADSI ermöglicht Ihnen nicht die komplette Funktionspalette von Active Directory. Deshalb werden Ihnen nun auch einige Features aufgelistet, die trotz ADSI nicht von Windows 9x- und NT-Clients unterstützt werden können. Die Unterstützung der Gruppenrichtlinie sowie der IntelliMirror-Funktionen wie etwa der Softwareverteilung fehlen völlig. Dies ist eindeutig der größte Mangel. Eine Anpassung der beiden ADSI-Clients hätte einen enormen Arbeitsaufwand für Microsoft bedeutet, da diese Technologien eine der größten Änderungen ab der Windows- Version 2000 darstellen. Auch das Kerberos V5-Protokoll (siehe Kapitel 2.2.3) wird nicht unterstützt. Die fehlende Unterstützung des speziellen Speicherbereichs zum Cachen der Kerberos- Tickets versagt den Windows 9x- und NT-Clients dieses Feature. Sie sehen also, dass der ADSI-Client eine gute Zwischenlösung sein kann, bis sämtliche Client-Computer auf Windows 2000 oder XP Professional migriert sind. Aufgrund der fehlenden wichtigen Funktionalitäten ist der ADSI-Client keine Alternative zu einem echten Windows oder XP-Client. Deswegen sollte sein Einsatz auch nur bis zu dem Zeitpunkt einer Migration beschränkt bleiben. Um sich die Arbeit der ADSI-Clientinstallation möglicherweise zu sparen, überlegen Sie, ob Sie in Ihrem Netzwerk die durch den ADSI-Client bereitgestellten Funktionalitäten des Active Directory überhaupt nutzen. Werden Sie überhaupt ein verteiltes fehlertolerantes DFS einsetzen? Oder verfügt Ihr Unternehmen überhaupt über mehrere Standorte, sodass es wichtig wird, welcher Domänencontroller zur Authentifizierung herangezogen wird? Dies wird in einem kleinen Unternehmen nicht der Fall sein. Können Sie diese Fragen mit Nein beantworten, müssen Sie den ADSI-Client als Zwischenlösung nicht unbedingt installieren. Den ADSI-Client für Windows 9x finden Sie auf der Windows 2000 Server-CD unter \CLIENTS\DSCLIENT.EXE. Den ADSI-Client für Windows NT können Sie direkt von der Microsoft-Webseite downloaden. Die Verteilung der Clients können Sie beispielsweise über Login-Skripte oder ein beliebiges Softwareverteilungsprogramm vornehmen. Die Clients unterstützen beide die Silent Installation. Die ADSI-Schnittstellen umfassen ein Verzeichnisdienstmodell und eine Gruppe von COM-Schnittstellen. Über diese Schnittstellen können Anwendungen für Windows 95, Windows 98, Windows NT, Windows 2000 und XP Professional auf verschiedene Verzeichnisdienste zugreifen, beispielsweise auf Active Directory. Sie können als SDK (Software Development Kit) bezogen werden. Die Schnittstellen unterstützen die als Internetstandard (siehe dazu RFC 1823) festgelegten LDAP-Anwendungsprogrammierschnittstellen in der Programmiersprache C. Hierdurch können auch andere Verzeichnisdienstapplikationen so modifiziert werden, dass sie über Active Directory- Schnittstellen und LDAP auf Informationen im Active Directory zugreifen können. 76

19 Zusammenarbeit mit anderen Betriebssystemen und Verzeichnisdiensten Unix und Linux Die Zusammenarbeit zwischen Windows und Unix erfolgt über die Services for Unix (SFU). Diese werden von Windows 2000 ab der Version 2.0 unterstützt. Aktuell ist die Version 3.0 der Unix-Services. Für Windows NT gab es die Unix-Services in der Version 1.0. Diese Unix-Services bestehen aus einigen Microsoft-eigenen Programmen sowie auch weiteren Dienstprogrammen und Verfahren von Drittanbietern zur Zusammenarbeit zwischen den beiden Betriebssystemen. In SFU 3.0 sind über 300 Tools sowie ein SDK für die Unterstützung von über 1900 Unix-APIs enthalten. Folgende Funktionalitäten werden über die Unix-Services für Windows ermöglicht: Die Unterstützung für das Network File System (NFS) ist integriert. NFS ist ein Dienst, der verteilten Computersystemen ein verteiltes Dateisystem bereitstellt. Hierbei handelt es sich um das Unix-Pendant zum DFS (Distributed File System) unter Windows Weiterhin wird unter Windows eine Unix-Befehlsshell, genauer gesagt die Korn Shell-Umgebung (ksh), zur Verfügung gestellt. Die für die Remote-Verwaltung und den Remote-Zugriff erforderlichen Telnet- Dienste werden bereits standardmäßig von Windows 2000/2003 geliefert. Sie sind aber auch in den Unix-Services enthalten. Auch die Kennwortsynchronisierung zwischen Unix und Windows wird über die Unix-Services unterstützt. Es ist eine gemeinsame Verwaltung von Passwörtern möglich, da die Windows-SAM und die Unix-Kontendatenbank passwd/shadow passwd synchronisiert werden können. Wenn die Namen der Benutzerkonten auf beiden Systemen gleich sind, übermittelt Windows 2000 Änderungen an den Kennwörtern automatisch an die Unix-Computer. Auch die Network Information Services (NIS) werden unterstützt. NIS ist der von der Firma SUN vertriebene Verzeichnisdienst. Eines der neuen Features unter Windows 2000 ist die Authentifizierung über Kerberos- Tickets. Diese Methode ist unter Unix schon lange verbreitet und damit auch sehr ausgereift und stabil. Sie haben die Möglichkeit, bestehende Kerberos-Server unter Unix ins Active Directory zu integrieren. Andererseits kann auch Windows 2000 für die Ausgabe der Kerberos-Tickets verantwortlich sein, die von Unix durch Implementierung von Kerberos verwendet werden können. Der Hauptunterschied zwischen SFU 2.0 und 3.0 liegt darin, dass nun Microsoft Interix vollständig in die Services integriert ist. Die Subsystem-Technologie von Interix beschert eine universelle Umgebung, in der Windows- und Unix-Applikationen auf einem System laufen können. Das Unix-Environment läuft auf dem Windows-Kernel. Somit ist es Applikationen und Skripten unter Unix möglich, zusammen mit Windows-Applikationen nativ unter dem Windows-Betriebssystem zu laufen. Eine ausführlichere Beschreibung der Koexistenz zwischen Unix/Linux und dem Active Directory finden Sie in Kapitel

20 3 Funktionsweise und Beschreibung des Active Directory Microsoft BackOffice-Server und Active Directory Microsoft wird auch die stärkere Integration seiner BackOffice-Programme ins Active Directory vorantreiben. Diese Anwendungen sollen Active Directory als ihren primären Speicher verwenden. Bei Microsoft Exchange 2000/2003 ist dieser Schritt bereits vollzogen. Es gibt kein separates Exchange-Verzeichnis mehr. Alle Informationen werden direkt im Active Directory gespeichert. Vergleichbar mit den eben beschriebenen ADSI-Clients für Windows 9x und NT gibt es auch für die zumindest vorübergehend weitere Nutzung von Exchange 5.5 eine Lösung. Diese heißt Active Directory-Connector (ADC). Hierbei handelt es sich um einen Dienst, der die Daten zwischen dem alten Exchange-Verzeichnis und Active Directory austauscht. Damit ist sichergestellt, dass beide Datenspeicher immer auf demselben Stand sind und somit die Exchange wie auch 4.0- oder 5.x-Clients in ihrer jeweiligen Datenbank dieselben Informationen vorfinden. Deshalb wird auch das von den Exchange-Clients der Versionen 4.0 und 5.x verwendete NSPI-Protokoll von Active Directory unterstützt Grundlagen der Verzeichnisdienstzusammenarbeit Bevor im nächsten Kapitel auf die Zusammenarbeit zwischen Active Directory und Novells NDS eingegangen wird, sollen Sie zunächst als Grundlage wissen, welche Schwierigkeiten bei der Zusammenarbeit mit anderen Verzeichnisdiensten auftreten können und welche Lösungen von Active Directory dafür bereitgestellt werden. In vielen Unternehmen werden Daten in verschiedenen Verzeichnissen gepflegt. Mit der Entwicklung von Active Directory wurde versucht, alle Objekte in einem einzigen Verzeichnis zu speichern. Damit wird ein geringerer Verwaltungsaufwand nötig und der Zugriff auf die Daten verbessert. Dafür wurden aber auch Anforderungen an den neuen Verzeichnisdienst gestellt. So muss Active Directory erweiterbar sein, um die Daten beliebiger Anwendungen aufnehmen zu können. Zusätzlich muss sowohl die Migration alter Daten als auch die Zusammenarbeit mit neuen Verzeichnissen möglich sein. Ein Problem liegt vor, wenn die Daten in zwei verschiedenen Verzeichnissen zwar dieselben sind, aber in beiden Verzeichnissen in einer verschiedenen Struktur angelegt und gespeichert sind. Sie müssen sich in diesem Fall überlegen, welche Hierarchie Sie für die Zuordnungen benutzen möchten. Auch auf die Integrität der Daten muss ein Blick geworfen werden. Wird ein Objekt aus dem Verzeichnis gelöscht, muss es komplett aus dem Verzeichnisdienst entfernt werden. Weiterhin muss auch die referenzielle Integrität zwischen Objekten und deren zugehörigen Attributen gewährleistet sein. Wenn Sie ein Attribut ändern, muss das dazugehörige Objekt auch in anderen Verzeichnissen aktualisiert werden. In diesem Zusammenhang muss auch der Besitz von Objekten angesprochen werden. Wenn sich ein Objekt in zwei Verzeichnissen befindet und beide Verzeichnisse meinen, der Besitzer des Objekts zu sein, und dies ändern, sind Konflikte vorprogrammiert. Auch wenn Objektattribute ausschließlich von der besitzenden Applikation geändert werden sollen, darf nicht zusätzlich noch das Verzeichnis, in dem sich das Objekt befindet, Änderungen durchführen. 78

Step by Step Active Directory unter Windows Server 2003. von Christian Bartl

Step by Step Active Directory unter Windows Server 2003. von Christian Bartl Step by Step Active Directory unter Windows Server 2003 von Active Directory unter Windows Server 2003 Um Active Directory zu installieren muss der Server eine fixe IP-Adresse besitzen. Außerdem wird die

Mehr

1 Die Active Directory

1 Die Active Directory 1 Die Active Directory Infrastruktur Prüfungsanforderungen von Microsoft: Configuring the Active Directory Infrastructure o Configure a forest or a domain o Configure trusts o Configure sites o Configure

Mehr

2 Verwalten einer Active Directory

2 Verwalten einer Active Directory Einführung 2 Verwalten einer Active Directory Infrastruktur Lernziele Active Directory und DNS Besonderheiten beim Anmeldevorgang Vertrauensstellungen Sichern von Active Directory Wiederherstellen von

Mehr

2 Datei- und Druckdienste

2 Datei- und Druckdienste Datei- und Druckdienste 2 Datei- und Druckdienste Lernziele: Verteiltes Dateisystem (DFS) Dateiserver Ressourcen Manager (FSRM) Verschlüsseln Erweiterte Überwachung Prüfungsanforderungen von Microsoft:

Mehr

MOC 2195 Windows Server 2003: Planen, Implementieren und Warten einer Active Directory- Infrastruktur

MOC 2195 Windows Server 2003: Planen, Implementieren und Warten einer Active Directory- Infrastruktur MOC 2195 Windows Server 2003: Planen, Implementieren und Warten einer Active Directory- Infrastruktur Unterrichtseinheit 1: Einführung in die Infrastruktur von Active Directory Diese Unterrichtseinheit

Mehr

Sie erhalten einen kurzen Überblick über die verschiedenen Domänenkonzepte.

Sie erhalten einen kurzen Überblick über die verschiedenen Domänenkonzepte. 4 Domänenkonzepte Ziele des Kapitels: Sie verstehen den Begriff Domäne. Sie erhalten einen kurzen Überblick über die verschiedenen Domänenkonzepte. Sie verstehen die Besonderheiten der Vertrauensstellungen

Mehr

Rollen von Domänencontrollern (DC s) Tag 04/00 - Thomas Fakler

Rollen von Domänencontrollern (DC s) Tag 04/00 - Thomas Fakler Rollen von Domänencontrollern (DC s) Multimastermodus Multimastermodus Active Directory unterstützt den Multimastermodus d.h. in vielen Bereichen z.b. DDNS mit Active Directory integrierten Zonen, können

Mehr

5 Benutzer und Gruppen in ADDS-Domänen

5 Benutzer und Gruppen in ADDS-Domänen 5 Benutzer und Gruppen in ADDS-Domänen 5.1 Verwaltung von Benutzern Im Snap-In Active Directory Benutzer und Computer findet sich ein Container Users, in welchem Benutzerkonten angelegt werden können.

Mehr

3 Entwerfen von Identitäts- und

3 Entwerfen von Identitäts- und 3 Entwerfen von Identitäts- und Zugriffsmanagementkomponenten Prüfungsanforderungen von Microsoft: Designing Support Identity and Access Management Components o Plan for domain or forest migration, upgrade,

Mehr

Bereitstellen von Windows 2000 Professional mit Hilfe von RIS

Bereitstellen von Windows 2000 Professional mit Hilfe von RIS Unterrichtseinheit 13: Bereitstellen von Windows 2000 Professional mit Hilfe von RIS Die Remoteinstallationsdienste (Remote Installation Services, RIS) bilden die Grundlage der Windows2000-Remote-Betriebssysteminstallation.

Mehr

Er musste so eingerichtet werden, dass das D-Laufwerk auf das E-Laufwerk gespiegelt

Er musste so eingerichtet werden, dass das D-Laufwerk auf das E-Laufwerk gespiegelt Inhaltsverzeichnis Aufgabe... 1 Allgemein... 1 Active Directory... 1 Konfiguration... 2 Benutzer erstellen... 3 Eigenes Verzeichnis erstellen... 3 Benutzerkonto erstellen... 3 Profil einrichten... 5 Berechtigungen

Mehr

3 Active Directory installieren

3 Active Directory installieren 3 Active Directory installieren In diesem Kapitel gehe ich auf die neuen Active Directory-Funktionen im Einsatz mit Windows Server 2008 ein. Die Funktion eines Domänen-Controllers wird in Windows Server

Mehr

Server Installation 1/6 20.10.04

Server Installation 1/6 20.10.04 Server Installation Netzwerkeinrichtung Nach der Installation müssen die Netzwerkeinstellungen vorgenommen werden. Hierzu wird eine feste IP- Adresse sowie der Servername eingetragen. Beispiel: IP-Adresse:

Mehr

Active Directory REGIONALES RECHENZENTRUM ERLANGEN [RRZE]

Active Directory REGIONALES RECHENZENTRUM ERLANGEN [RRZE] REGIONALES RECHENZENTRUM ERLANGEN [RRZE] Active Directory Systemausbildung Grundlagen und Aspekte von Betriebssystemen und systemnahen Diensten Sebastian Schmitt, 27.05.2015 Agenda Einführung Hauptkomponenten

Mehr

Step by Step Active Directory mit Novell Directory Service unter Windows Server 2003. von Christian Bartl

Step by Step Active Directory mit Novell Directory Service unter Windows Server 2003. von Christian Bartl Step by Step Active Directory mit Novell Directory Service unter Windows Server 2003 von Active Directory mit Novell Directory Service unter Windows Server 2003 1. ADS mit NDS installieren Ändern der IP-Adresse

Mehr

Kompaktes Netzwerk-Wissen rund um die Konfiguration eines Windows Domain-Controllers

Kompaktes Netzwerk-Wissen rund um die Konfiguration eines Windows Domain-Controllers Computer Netzwerk-Technik Teil 2: Windows-Server - Installation Arbeitsweisen Domänen Active Directory Benutzer-Verwaltung DFS RAID-Systeme Server-Cluster Autor: Rainer Egewardt Copyright Kompaktes Netzwerk-Wissen

Mehr

Inhaltsverzeichnis XIII XIII XIV XIV XIV XIV XV XV XV XV XV XV XV XVI XVI

Inhaltsverzeichnis XIII XIII XIV XIV XIV XIV XV XV XV XV XV XV XV XVI XVI Vorwort.................................................................................. Warum dieses Buch?................................................................... Kapitelübersicht........................................................................

Mehr

Einführung Physische vs. logische Struktur Standorte, Dienste und Replikation. Active Directory-Objekte Management und Administrationswerkzeuge

Einführung Physische vs. logische Struktur Standorte, Dienste und Replikation. Active Directory-Objekte Management und Administrationswerkzeuge Einführung Physische vs. logische Struktur Standorte, Dienste und Replikation Vertrauensstellungen Active Directory-Objekte Management und Administrationswerkzeuge i i 2011 Stefan Berge 07.06.2011 2 Active

Mehr

Installieren von Small Business Server 2003 in einer bereits vorhandenen Active Dir... Hilfe und Support

Installieren von Small Business Server 2003 in einer bereits vorhandenen Active Dir... Hilfe und Support Seite 1 von 7 Hilfe und Support Installieren von Small Business Server 2003 in einer bereits vorhandenen Active Directory-Domäne Dieser Artikel ist eine Übersetzung des folgenden englischsprachigen Artikels

Mehr

Inhaltsverzeichnis Vorwort Konzepte des Active Directory

Inhaltsverzeichnis Vorwort Konzepte des Active Directory Vorwort.................................................................. XI Warum dieses Buch.................................................... XI Kapitelübersicht.......................................................

Mehr

-Echte und Originale Prüfungsfragen und Antworten aus Testcenter -Machen Sie sich fit für Ihre berufliche Zukunft!

-Echte und Originale Prüfungsfragen und Antworten aus Testcenter -Machen Sie sich fit für Ihre berufliche Zukunft! -Echte und Originale Prüfungsfragen und Antworten aus Testcenter -Machen Sie sich fit für Ihre berufliche Zukunft! http://www.it-pruefungen.de/ Prüfungsnummer: 70-640 Prüfungsname: Windows Server 2008

Mehr

CaseWare Monitor. ProduktNEWS CaseWare Monitor. Version 4.3. Mehr Informationen zu CaseWare Monitor und unseren anderen Produkten & Dienstleistungen

CaseWare Monitor. ProduktNEWS CaseWare Monitor. Version 4.3. Mehr Informationen zu CaseWare Monitor und unseren anderen Produkten & Dienstleistungen Mit der aktuellen Version hält eine komplett neu konzipierte webbasierte Anwendung Einzug, die sich neben innovativer Technik auch durch ein modernes Design und eine intuitive Bedienung auszeichnet. Angefangen

Mehr

Erstellen sicherer ASP.NET- Anwendungen

Erstellen sicherer ASP.NET- Anwendungen Erstellen sicherer ASP.NET- Anwendungen Authentifizierung, Autorisierung und sichere Kommunikation Auf der Orientierungsseite finden Sie einen Ausgangspunkt und eine vollständige Übersicht zum Erstellen

Mehr

6 NetWare-Clients. 6.1 Native File Access für Windows. Novell NetWare 6.0/6.5 Administration (Grundlagen)

6 NetWare-Clients. 6.1 Native File Access für Windows. Novell NetWare 6.0/6.5 Administration (Grundlagen) 6 NetWare-Clients Als Microsoft 1993 die ersten eigenen Betriebssysteme für Netzwerke (Windows for Workgroups und Windows NT) vorstellte, wurde die LAN-Industrie von Novell NetWare beherrscht. Um erfolgreich

Mehr

Active Directory. Agenda. Michael Flachsel. TU-Windows Konzept Vorhandene Umgebung. Allgemeiner Aufbau & Struktur an der TUB

Active Directory. Agenda. Michael Flachsel. TU-Windows Konzept Vorhandene Umgebung. Allgemeiner Aufbau & Struktur an der TUB Michael Flachsel Active Directory Allgemeiner Aufbau & Struktur an der TUB 6. Juni 2007 Agenda TU-Windows Vorhandene 2 (c) 2007 Michael Flachsel Active Directory" 1 Warum Active Directory Ca. 2000 Ca.

Mehr

09.01.2014. Dokumentation zur Einrichtung des Active-Directory für die Bank am Waldrand. Übung: Active-Directory Daniel Pasch FiSi_FQ_32_33_34

09.01.2014. Dokumentation zur Einrichtung des Active-Directory für die Bank am Waldrand. Übung: Active-Directory Daniel Pasch FiSi_FQ_32_33_34 09.01.2014 Dokumentation zur Einrichtung des Active-Directory für die Bank am Waldrand Übung: Active-Directory Daniel Pasch FiSi_FQ_32_33_34 Inhaltsverzeichnis 1 Der Auftrag... 3 2 Ist-Zustand... 3 3 Soll-Zustand...

Mehr

1 Verwalten von Benutzern,

1 Verwalten von Benutzern, Einführung 1 Verwalten von Benutzern, Gruppen und Computern Lernziele: Die Windows Server 2003 Familie Anmeldearten Administrative Hilfsmittel Bearbeiten von Benutzerkonten Bearbeiten von Gruppen Bearbeiten

Mehr

2. Sie sind der Administrator Ihres Netzwerks, das den SBS 2011 Standard ausführt.

2. Sie sind der Administrator Ihres Netzwerks, das den SBS 2011 Standard ausführt. Arbeitsblätter Der Windows Small Business Server 2011 MCTS Trainer Vorbereitung zur MCTS Prüfung 70 169 Aufgaben Kapitel 1 1. Sie sind der Administrator Ihres Netzwerks, das den SBS 2011 Standard ausführt.

Mehr

und http://www.it-pruefungen.ch ch/

und http://www.it-pruefungen.ch ch/ -Echte und Originale Prüfungsfragen und Antworten aus Testcenter -Machen Sie sich fit für Ihre berufliche Zukunft! http://www.it-pruefungen.ch ch/ Prüfungsnummer : 70-649 Prüfungsname fungsname: TS: Upgrading

Mehr

1 Hochverfügbarkeit. 1.1 Einführung. 1.2 Network Load Balancing (NLB) Quelle: Microsoft. Hochverfügbarkeit

1 Hochverfügbarkeit. 1.1 Einführung. 1.2 Network Load Balancing (NLB) Quelle: Microsoft. Hochverfügbarkeit 1 Hochverfügbarkeit Lernziele: Network Load Balancing (NLB) Failover-Servercluster Verwalten der Failover Cluster Rolle Arbeiten mit virtuellen Maschinen Prüfungsanforderungen von Microsoft: Configure

Mehr

1 Änderungen bei Windows Server 2008 R2

1 Änderungen bei Windows Server 2008 R2 1 Änderungen bei Windows Server 2008 R2 1.1 Der BranchCache Eine völlig neue Möglichkeit, auf Ressourcen zuzugreifen, bietet der BranchCache. In vielen Firmen gibt es Zweigstellen, die mit der Hauptstelle

Mehr

Interoperabilität t zwischen NT 4.0 und Windows Server 2003 Active Directory

Interoperabilität t zwischen NT 4.0 und Windows Server 2003 Active Directory Interoperabilität t zwischen NT 4.0 und Windows Server 2003 Active Directory Jochen Sommer Senior Presales Consultant, MCSE, MCT Microsoft Deutschland GmbH Themen dieses Vortrags: Vertrauensstellungen

Mehr

http://www.microsoft.com/technet Wojciech Micka Microsoft PSC

http://www.microsoft.com/technet Wojciech Micka Microsoft PSC Diagnose, Problembehandlung und Wiederherstellung in Windows Server 2003 Active Wojciech Micka Microsoft PSC Agenda Überprüfen der Funktionalität von Active Problembehandlung bei der Replikation Active

Mehr

Windows 7 vernetzen. Windows 7 nutzt für die Freigabe von Ordnern über die Heimnetzgruppe sogenannte Bibliotheken. Dabei handelt.

Windows 7 vernetzen. Windows 7 nutzt für die Freigabe von Ordnern über die Heimnetzgruppe sogenannte Bibliotheken. Dabei handelt. Windows 7 verfügt über die neue Funktion Heimnetzgruppe. Damit lassen sich Dateien und Ordner zwischen Rechnern austauschen. Auf den Rechnern kann Windows XP, Vista und 7 installiert sein. Die mit Windows

Mehr

MS Active Directory Services & MS Group Policy Object. ITTK A09 Laßnig-Walder Karl Surtmann Klaus

MS Active Directory Services & MS Group Policy Object. ITTK A09 Laßnig-Walder Karl Surtmann Klaus MS Active Directory Services & MS Group Policy Object ITTK A09 Laßnig-Walder Karl Surtmann Klaus Inhaltsverzeichnis Was ist MS Active Directory? Aufbau Struktur DC, GC, Replikation, FSMO Hauptkomponenten

Mehr

Windows 2008 Server R2. Peter Unger

Windows 2008 Server R2. Peter Unger Windows 2008 Server R2 Peter Unger Grundlagen und Begriffe Installation Organisationseinheiten Benutzer Computer Gruppen Benutzerprofile 2 Überblick Verzeichnisdienst Das AD baut auf einer Datenbank auf

Mehr

Kompatibilität von Microsoft Exchange Server mit den Microsoft Windows Server-Betriebssystemen

Kompatibilität von Microsoft Exchange Server mit den Microsoft Windows Server-Betriebssystemen Kompatibilität von Microsoft Exchange Server mit den Microsoft Windows Server-Betriebssystemen Whitepaper Veröffentlicht: April 2003 Inhalt Einleitung...2 Änderungen in Windows Server 2003 mit Auswirkungen

Mehr

Technische Produktinformation: Active Directory- Management in bi-cube

Technische Produktinformation: Active Directory- Management in bi-cube Inhalt: 1 bi-cube -FEATURES ACTIVE DIRECTORY... 2 2 DAS SYSTEMKONZEPT... 3 3 WAS SIND ADOC UND ECDOC?... 3 4 DIE WICHTIGSTEN FUNKTIONEN IM ÜBERBLICK... 5 4.1 Verwaltung der Strukturdaten... 5 4.2 Verwaltung

Mehr

MCSA/MCSE-Zertifizierungsupgrade

MCSA/MCSE-Zertifizierungsupgrade Stephan Hirsch, David Kube MCSA/MCSE-Zertifizierungsupgrade auf Windows Server 2003 MCSE-Examen Nr. 70 292 ADDISON-WESLEY An imprint of Pearson Education München Boston San Francisco Harlow, England Don

Mehr

Active Directory installieren

Active Directory installieren Kapitel 3 Active Directory installieren In diesem Kapitel geht es um die neuen Active Directory-Funktionen unter Windows Server 2008 im Praxiseinsatz. Die Funktion eines Domänencontrollers übernehmen in

Mehr

Netzwerk einrichten unter Windows XP

Netzwerk einrichten unter Windows XP Netzwerk einrichten unter Windows XP Dieses Tutorial beschreibt, wie Sie unter Windows XP das Netzwerk einrichten. Es wird vorausgesetzt, dass der Computer bereits über eine Netzwerkkarte verfügt. Das

Mehr

Microsoft Windows Server 2008. Installation, Konfiguration & Verwaltung. Student-Pack

Microsoft Windows Server 2008. Installation, Konfiguration & Verwaltung. Student-Pack Microsoft Windows Server 2008 Installation, Konfiguration & Verwaltung Student-Pack Windows Server 2008 - Installation, Konfiguration & Verwaltung Seminarunterlage Artikelnr. WS010808 Autor: Carlo Westbrook

Mehr

Active Directory technische Übersicht

Active Directory technische Übersicht Active Directory technische Übersicht Microsoft GmbH Stand: Juli 2002 Übersicht Ausgehend von den Funktionen des Betriebssystems Microsoft Windows 2000 wurden dem Active Directory -Dienst der Windows Server

Mehr

Unterrichtseinheit 9

Unterrichtseinheit 9 Unterrichtseinheit 9 Sicherheitsrichtlinien werden verwendet, um die Sicherheit im Netzwerk zu verstärken. Die effizienteste Möglichkeit zum Implementieren dieser, stellt die Verwendung von Sicherheitsvorlagen

Mehr

Einrichten Active Directory ver 1.0

Einrichten Active Directory ver 1.0 Einrichten Active Directory ver 1.0 Active Directory Windows 2003 Autor: Mag Georg Steingruber Veröffentlicht: August 2003 Feedback oder Anregungen:i-georgs@microsoft.com Abstract Dieses Dokument beschreibt

Mehr

Planungsbuch Microsoft-Netzwerke

Planungsbuch Microsoft-Netzwerke Thomas Joos Planungsbuch Microsoft-Netzwerke Der Praxisleitfaden für Unternehmen An imprint of Pearson Education München Boston San Francisco Harlow, England Don Mills, Ontario Sydney Mexico City Madrid

Mehr

Windows 2008 Server im Datennetz der LUH

Windows 2008 Server im Datennetz der LUH Windows 2008 Server im Datennetz der LUH Anleitung zur Installation von Active Directory und DNS auf einem Windows 2008 Server Zu einem funktionierenden Active-Directory-Server gehört ein interner DNS-Server.

Mehr

1 Verwalten einer Serverumgebung

1 Verwalten einer Serverumgebung Einführung 1 Verwalten einer Serverumgebung Lernziele: Verstehen der Voraussetzungen für die Serververwaltung Erlernen der Remoteverwaltung mit Hilfe der Computerverwaltungskonsole Remoteadministration

Mehr

reditiotlrfs Inhaltsverzeichnis Mag. Christian Zahler, August 2011 1 Windows Server 2008 R2: Active Directory

reditiotlrfs Inhaltsverzeichnis Mag. Christian Zahler, August 2011 1 Windows Server 2008 R2: Active Directory Tree Domain reditiotlrfs Inhaltsverzeichnis 1 Das Active Directory-Domänenkonzept von Windows Server 2008 R2 13 1.1 Bestandteile der Active Directory Domain Services 13 1.2 Forest - - 14 1.3 Entstehung

Mehr

ADMINISTRATION/NETZWERKEINSTELLUNGEN

ADMINISTRATION/NETZWERKEINSTELLUNGEN Cadia Office Betrieb in einer Mehrplatzumgebung Grundlegendes Die Installationsroutine von CadiaOffice ist für die Nutzung auf einem Arbeitsplatz konzipiert und installiert somit alle notwendigen Dateien

Mehr

Kategorie: Active Directory. Kategorie: Active Directory

Kategorie: Active Directory. Kategorie: Active Directory Kategorie: Active Directory 395 Domänencontroller einrichten und verwalten Anwendung In einer Domäne ist in der Regel mindestens ein Domänencontroller vorhanden. Auf dem Domänencontroller werden Verzeichnisdaten

Mehr

ISA Server 2004 ISA Server 2004 Enterprise Edition Installation und Grundkonfiguration - Von Marc Grote

ISA Server 2004 ISA Server 2004 Enterprise Edition Installation und Grundkonfiguration - Von Marc Grote ISA Server 2004 ISA Server 2004 Enterprise Edition Installation und Grundkonfiguration - Von Marc Grote -------------------------------------------------------------------------------- Die Informationen

Mehr

Anleitung - Assistent Lanfex 2011

Anleitung - Assistent Lanfex 2011 Anleitung - Assistent Lanfex 2011 1. Installationshinweise: Bitte installieren Sie Assistent Lanfex direkt am Domänen-Controller. Das Programm sollte ausschließlich auf dem PDC gestartet werden. Hinweis

Mehr

estos MAPI Calendar Replicator 5.1.30.33611

estos MAPI Calendar Replicator 5.1.30.33611 estos MAPI Calendar Replicator 5.1.30.33611 1 Willkommen zu estos MAPI Calendar Replicator... 4 2 Voraussetzungen... 5 3 Funktionsweise... 6 4 Installation... 7 5 Konfiguration... 8 6 UCServer Verbindung...

Mehr

7 Der Exchange Server 2010

7 Der Exchange Server 2010 Der Exchange Server 2010 7 Der Exchange Server 2010 Prüfungsanforderungen von Microsoft: Configuring and Managing Messaging and Collaboration o Configure email. o Manage Microsoft Exchange Server. Managing

Mehr

Scalera Mailplattform Dokumentation für den Anwender Installation und Konfiguration des Outlook Connectors

Scalera Mailplattform Dokumentation für den Anwender Installation und Konfiguration des Outlook Connectors Installation und Konfiguration des Outlook Connectors Vertraulichkeit Die vorliegende Dokumentation beinhaltet vertrauliche Informationen und darf nicht an etwelche Konkurrenten der EveryWare AG weitergereicht

Mehr

http://www.cis.upenn.edu/~bcpierce/unison/download/stable/unison- 2.9.1/

http://www.cis.upenn.edu/~bcpierce/unison/download/stable/unison- 2.9.1/ Einführung Was ist Unison? Unison ist ein Dateisynchronisationsprogramm für Windows und Unix. Es teilt sich viele Funktionen mit anderen Programmen, wie z.b. CVS und rsync. Folgend einige Vorteile des

Mehr

1 Remotedesktopdienste (ehem. Terminal Services)

1 Remotedesktopdienste (ehem. Terminal Services) Windows Server 2008 (R2): Anwendungsserver 1 Remotedesktopdienste (ehem. Terminal Services) Die Remotedesktopdienste gehören zu den Desktopvirtualisierungsprodukten von Microsoft. Die Remotedesktopdienste

Mehr

Top-Themen. Windows 8 - Remotezugriff mit DirectAccess und VPN... 2. Seite 1 von 19

Top-Themen. Windows 8 - Remotezugriff mit DirectAccess und VPN... 2. Seite 1 von 19 Top-Themen Windows 8 - Remotezugriff mit DirectAccess und VPN... 2 Seite 1 von 19 Installation und Konfiguration Windows 8 - Remotezugriff mit DirectAccess und VPN von Thomas Joos Seite 2 von 19 Inhalt

Mehr

NCP Secure Enterprise Management (Windows) Neue Features von Version 2.02 bis 1.03

NCP Secure Enterprise Management (Windows) Neue Features von Version 2.02 bis 1.03 NCP Secure Enterprise Management (Windows) Neue Features von Version 2.02 bis 1.03 What s New Haftungsausschluss Die in diesem Dokument enthaltenen Informationen können ohne Vorankündigung geändert werden

Mehr

OU Verwaltung für CV's

OU Verwaltung für CV's OU Verwaltung für CV's Version Datum Autor Änderung 01 7.12.06 JM Meyer Original 02 14.5.08 JM Meyer Typo und Ergänzungen 03 16.5.08 JM Meyer LMHOSTS lookup entfernt 04 3.7.08 JM Meyer Typo und Ergänzungen

Mehr

Konfigurieren eines Webservers

Konfigurieren eines Webservers Unterrichtseinheit 12: Konfigurieren eines Webservers Erleichterung der Organisation und des Verwaltens von Webinhalten im Intranet und Internet. Übersicht über IIS: Der IIS-Dienst arbeitet mit folgenden

Mehr

1 Das Active Directory-Domänenkonzept von Windows Server 2012

1 Das Active Directory-Domänenkonzept von Windows Server 2012 Das Active Directory-Domänenkonzept von Windows Server 2012 1 Das Active Directory-Domänenkonzept von Windows Server 2012 Microsoft hat mit Windows NT das Konzept der Domäne (engl. Domain) eingeführt.

Mehr

Windows 2008R2 Server im Datennetz der LUH

Windows 2008R2 Server im Datennetz der LUH Windows 2008R2 Server im Datennetz der LUH Anleitung zur Installation von Active Directory und DNS auf einem Windows 2008R2 Server. Zu einem funktionierenden Active-Directory-Server gehört ein interner

Mehr

Windows Server 2012 R2. Netzwerkadministration. Martin Dausch. 1. Ausgabe, Juli 2014 W2012R2N

Windows Server 2012 R2. Netzwerkadministration. Martin Dausch. 1. Ausgabe, Juli 2014 W2012R2N Windows Server 2012 R2 Martin Dausch Netzwerkadministration 1. Ausgabe, Juli 2014 W2012R2N 7 Windows Server 2012 R2 - Netzwerkadministration 7 Active Directory installieren In diesem Kapitel erfahren Sie

Mehr

Installationsanleitung - Command WorkStation 5.5 mit Fiery Extended Applications 4.1

Installationsanleitung - Command WorkStation 5.5 mit Fiery Extended Applications 4.1 Installationsanleitung - Command WorkStation 5.5 mit Fiery Extended Applications 4.1 Fiery Extended Applications Fiery Extended Applications (FEA) 4.1 ist ein Softwarepaket für Fiery Druckcontroller mit

Mehr

Name: lokale Beschreibung: Eine Gruppe, die alle Benutzer enthält, die lokal angemeldet haben.

Name: lokale Beschreibung: Eine Gruppe, die alle Benutzer enthält, die lokal angemeldet haben. Eine Sicherheits-ID (SID) ist ein eindeutiger Wert variabler Länge, der verwendet wird, um einen Sicherheitsprinzipal oder eine Sicherheitsgruppe in Windows-Betriebssystemen zu identifizieren. Bekannte

Mehr

Inhaltsverzeichnis. Herabstufung 96. Inhaltsverzeichnis. 1.3 Entstehung des Active Directory-Konzepts 17

Inhaltsverzeichnis. Herabstufung 96. Inhaltsverzeichnis. 1.3 Entstehung des Active Directory-Konzepts 17 & ''(> Q edmondfs Tree Domain Inhaltsverzeichnis Inhaltsverzeichnis 1 Das Active DirectoryDomänenkonzept von Windows Server 2012 13 1.1 Bestandteile der Active Directory Domain Services 13 1.2 Forest

Mehr

DCOM Einstellungen zur rechnerübergreifenden Kommunikation zwischen OPC Server und OPC Client

DCOM Einstellungen zur rechnerübergreifenden Kommunikation zwischen OPC Server und OPC Client DCOM Einstellungen zur rechnerübergreifenden Kommunikation zwischen OPC Server und OPC Client 1. Einleitung Für die rechnerübergreifende Kommunikation zwischen OPC Client und OPC Server wird bei OPC DA

Mehr

DocuWare unter Windows 7

DocuWare unter Windows 7 DocuWare unter Windows 7 DocuWare läuft unter dem neuesten Microsoft-Betriebssystem Windows 7 problemlos. Es gibt jedoch einige Besonderheiten bei der Installation und Verwendung von DocuWare, die Sie

Mehr

WHS-Freigaben für Apple-Rechner mit MacOS 7-9 einrichten

WHS-Freigaben für Apple-Rechner mit MacOS 7-9 einrichten WHS-Freigaben für Apple-Rechner mit MacOS 7-9 einrichten Da AppleTalk-Netzwerke sich von x86-basierten Netzwerken unterscheiden, müssen Sie beim Einrichten eines AppleTalk-Netzwerks einige besondere Konzepte

Mehr

Reporting Services Dienstarchitektur

Reporting Services Dienstarchitektur Reporting Services Dienstarchitektur Reporting Services Dienstarchitektur In Reporting Services wird ein Berichtsserver als ein Windows - Dienst implementiert, der aus unterschiedlichen Featurebere i-

Mehr

EINRICHTUNG DER PORTMAPPERDIENSTE VON WWW.FESTE-IP.NET!

EINRICHTUNG DER PORTMAPPERDIENSTE VON WWW.FESTE-IP.NET! EINRICHTUNG DER PORTMAPPERDIENSTE VON WWW.FESTE-IP.NET! Auf den folgenden Seiten haben wir verschiedene Anwendungsfälle für unseren IPv6 Portmapper dokumentiert. Bitte bearbeiten Sie immer nur einen Anwendungsfall.

Mehr

Windows Server 2008 für die RADIUS-Authentisierung einrichten

Windows Server 2008 für die RADIUS-Authentisierung einrichten Windows Server 2008 für die RADIUS-Authentisierung einrichten Version 0.2 Die aktuellste Version dieser Installationsanleitung ist verfügbar unter: http://www.revosec.ch/files/windows-radius.pdf Einleitung

Mehr

Titel. System Center Configuration Manager 2012 R2 Anleitung zur Installation

Titel. System Center Configuration Manager 2012 R2 Anleitung zur Installation Autor: Thomas Hanrath Microsoft Certified Trainer Titel System Center Configuration Manager 2012 R2 Anleitung zur Installation Eine beispielhafte Installationsanleitung zur Verwendung im Testlab Quelle:

Mehr

1 Objektfilterung bei der Active Directory- Synchronisierung

1 Objektfilterung bei der Active Directory- Synchronisierung Auswahl der zu synchronisierenden Objekte 1 Objektfilterung bei der Active Directory- Synchronisierung Das optionale Verzeichnissynchronisierungstool von Office 365 hat grundsätzlich die Aufgabe, im lokalen

Mehr

Remote Update User-Anleitung

Remote Update User-Anleitung Remote Update User-Anleitung Version 1.1 Aktualisiert Sophos Anti-Virus auf Windows NT/2000/XP Windows 95/98/Me Über diese Anleitung Mit Remote Update können Sie Sophos-Produkte über das Internet aktualisieren.

Mehr

Clients in einer Windows Domäne für WSUS konfigurieren

Clients in einer Windows Domäne für WSUS konfigurieren Verwaltungsdirektion Abteilung Informatikdienste Clients in einer Windows Domäne für WSUS konfigurieren 08.04.2009 10:48 Informatikdienste Tel. +41 (0)31 631 38 41 Version 1.0 Gesellschaftsstrasse 6 Fax

Mehr

MOC 6237 Windows Server 2008 Active Directory Domänendienste

MOC 6237 Windows Server 2008 Active Directory Domänendienste MOC 6237 Windows Server 2008 Active Directory Domänendienste Unterrichtseinheit 1: Implementieren der Active Directory -Domänendienste In dieser Unterrichtseinheit wird erläutert, wie Active Directory-Domänendienste

Mehr

Inhaltsverzeichnis Vorwort Workshop: Testumgebung Microsoft-Netzwerk

Inhaltsverzeichnis Vorwort Workshop: Testumgebung Microsoft-Netzwerk Vorwort 11 1 Workshop: Testumgebung Microsoft-Netzwerk 17 1.1 Vorbereitungen für die Testumgebung 18 1.2 Microsoft Virtual Server 2005 R2 20 1.2.1 Installation Microsoft Virtual Server 2005 R2 21 1.2.2

Mehr

Kapitel 4: Installieren und Konfigurieren von IBM Cognos Express

Kapitel 4: Installieren und Konfigurieren von IBM Cognos Express Kapitel 4: Installieren und Konfigurieren von IBM Cognos Express Beim Installieren und Konfigurieren von IBM (R) Cognos (R) Express (R) führen Sie folgende Vorgänge aus: Sie kopieren die Dateien für alle

Mehr

Userhandbuch. Version B-1-0-2 M

Userhandbuch. Version B-1-0-2 M Userhandbuch Version B-1-0-2 M Inhaltsverzeichnis 1.0 Was bietet mir SERVRACK?... 3 1.1 Anmeldung... 3 1.2 Passwort vergessen?... 3 1.3 Einstellungen werden in Realtime übernommen... 4 2.0 Die SERVRACK

Mehr

Zeitsynchronisation Windows Server 2008 R2 PDC Master der FRD mit einer externen Zeitquelle

Zeitsynchronisation Windows Server 2008 R2 PDC Master der FRD mit einer externen Zeitquelle Zeitsynchronisation Windows Server 2008 R2 PDC Master der FRD mit einer externen Zeitquelle Wie funktioniert die Zeitsynchronisation in Windows Netzwerken: http://support.microsoft.com/kb/816042 MSDN Blog

Mehr

1 Änderungen bei Windows Server 2008 R2

1 Änderungen bei Windows Server 2008 R2 1 Änderungen bei Windows Server 2008 R2 1.1 Die Neuerungen im Überblick Zeitgleich mit Windows 7 erschien auch das Serverbetriebssystem Windows Server 2008 R2. Diese beiden Betriebssysteme haben den gleichen

Mehr

Eigenen WSUS Server mit dem UNI WSUS Server Synchronisieren

Eigenen WSUS Server mit dem UNI WSUS Server Synchronisieren Verwaltungsdirektion Informatikdienste Eigenen WSUS Server mit dem UNI WSUS Server Synchronisieren Inhaltsverzeichnis Einleitung... 3 Installation WSUS Server... 4 Dokumente... 4 Step by Step Installation...

Mehr

Samba4 / Active Directory Seminar Betriebsystemadministration

Samba4 / Active Directory Seminar Betriebsystemadministration Samba4 / Active Directory Seminar Betriebsystemadministration Martin Faust Hasso-Plattner-Institut Potsdam Mai 2008 1 Themen 2 Samba SMB Protokoll Aktueller Entwicklungsstand, Ziele Active Directory Funktionsweise

Mehr

(1) Grundlagen W2K Server

(1) Grundlagen W2K Server (1) Grundlagen W2K Server 1. Versionen von W2K Server: W2K Server kleine und große Unternehmen W2K Advanced Server große Unternehmen W2K DataCenter Server stärkster Server 2. Verzeichnisdienste in W2K

Mehr

Hosted Microsoft Exchange 2007

Hosted Microsoft Exchange 2007 Hosted Microsoft Exchange 2007 Einrichtung und Grundlagen Stand: 07.07.2011 Hier verwendete Markennamen und Symbole sind Eigentum des Rechtsinhabers und werden hier nur verwendet, weil sie Bestandteil

Mehr

X-RiteColor Master Web Edition

X-RiteColor Master Web Edition X-RiteColor Master Web Edition Dieses Dokument enthält wichtige Informationen für die Installation von X-RiteColor Master Web Edition. Bitte lesen Sie die Anweisungen gründlich, und folgen Sie den angegebenen

Mehr

Active Directory unter Windows Server 2012

Active Directory unter Windows Server 2012 Active Directory unter Windows Server 2012 Planung, Bereitstellung, Verwaltung & Wartung STUDENT Pack Professional Courseware Active Directory unter Windows Server 2012 Planung, Bereitstellung, Verwaltung

Mehr

BüroWARE Exchange Synchronisation Grundlagen und Voraussetzungen

BüroWARE Exchange Synchronisation Grundlagen und Voraussetzungen BüroWARE Exchange Synchronisation Grundlagen und Voraussetzungen Stand: 13.12.2010 Die BüroWARE SoftENGINE ist ab Version 5.42.000-060 in der Lage mit einem Microsoft Exchange Server ab Version 2007 SP1

Mehr

Windows-Domänenverwaltung

Windows-Domänenverwaltung Windows-Domänenverwaltung Gliederung Grundlagen Domänen Planung einer Domäne Wartung und Verwaltung einer Domäne Vorführung Windows - Domänen Eine Domäne stellt einen logischen Verbund von Computern dar,

Mehr

Active Directory Integration Mac OS X. René Meusel Betriebssystemadministration

Active Directory Integration Mac OS X. René Meusel Betriebssystemadministration Active Directory Integration Mac OS X René Meusel Betriebssystemadministration Sommersemester 2009 Gliederung 2 Motivation Was ist Active Directory? Allgemeine Definition Funktionsweise Unterstützung in

Mehr

estos EWS Calendar Replicator 5.1.30.33611

estos EWS Calendar Replicator 5.1.30.33611 estos EWS Calendar Replicator 5.1.30.33611 1 Willkommen zum estos EWS Calendar Replicator... 4 2 Voraussetzungen... 5 3 Funktionsweise... 7 4 Installation... 8 5 Konfiguration... 9 6 UCServer Verbindung...

Mehr

Zugang zum Exchange System

Zugang zum Exchange System HS Regensburg Zugang zum Exchange System 1/20 Inhaltsverzeichnis 1. Zugang über die Weboberfläche... 3 2. Konfiguration von E-Mail-Clients... 6 2.1. Microsoft Outlook 2010... 6 a) Einrichten einer Exchangeverbindung

Mehr

Upgrade eines Windows Server 2003 zu Windows Server 2008

Upgrade eines Windows Server 2003 zu Windows Server 2008 Upgrade eines Windows Server 2003 zu Windows Server 2008 Istzustand: Windows Domäne mit mindestens 1 Domänencontroller unter Windows Server 2003. Ziel: Der vorhandene Domänencontroller (Betriebsmaster)

Mehr

Sie sollen nach Abschluss dieser Übung: das Zusammenwirken von Berechtigungen auf Freigabe- und Dateisystemebene

Sie sollen nach Abschluss dieser Übung: das Zusammenwirken von Berechtigungen auf Freigabe- und Dateisystemebene Modul 5 - Zusammenwirken von Berechtigungen Arbeitsblatt 5-5 Zusammenwirken von Berechtigungen Ihre Aufgaben: Legen Sie drei weitere lokale Gruppen an und füllen Sie diese mit Benutzern. Erstellen Sie

Mehr

Server 2012 R2 - Active Directory. Installation und Grundkonfiguration. Manual 20

Server 2012 R2 - Active Directory. Installation und Grundkonfiguration. Manual 20 Server 2012 R2 - Active Directory Installation und Grundkonfiguration Manual 20 Manual 20 Server 2012 R2 - Active Directory Installation und Grundkonfiguration Ziel In diesem Manual beschreiben wir die

Mehr

Windows Server 2003 im Netzwerkeinsatz

Windows Server 2003 im Netzwerkeinsatz Windows Server 2003 im Netzwerkeinsatz Windows Server 2003 steht für Networking. Damit Zugriffe auf die im Netzwerk vorhandenen Ressourcen möglich sind, muss eine Organisationsform existieren. Windows

Mehr