Einrichten einer Active Directory-Domäne (Engl. Originaltitel: Setting Up an Active Directory Domain) Duwamish Online Aaron Ching Microsoft Developer Network Dezember 2000 Zusammenfassung: Dieser Artikel bietet einen Überblick über die Microsoft Active Directory-Technologie sowie Schritt-für-Schritt-Richtlinien für das Einrichten einer Active Directory-Domäne für eine Webfarm, wie beispielsweise DuwamishOnline.com. Einführung Die Einführung von Microsoft Active Directory, eine der vielen Verbesserungen des Betriebssystems Microsoft Windows 2000 Server, ist eines der bedeutendsten, jedoch auch verwirrendsten Features. Im Vergleich zu seinem Vorgänger (dem Domänencontroller in früheren Versionen des Betriebssystems Microsoft Windows NT ) bietet Active Directory in Windows 2000 Server eine neue Architektur und eine erheblich erweiterte Reihe von Features. Obwohl es nicht das Ziel dieses Artikels ist, alle in Active Directory verfügbaren Features zu erörtern, bietet er einen Überblick über die Technologie und konzentriert sich dabei auf zwei neue Konzepte: ein neues Architekturmodell des Domänencontrollers und eine neue integrierte Beziehung zu DNS. Diese Features sind besonders hilfreich, wenn Sie lernen möchten, Webfarmen wie DuwamishOnline.com aufzubauen. Außerdem werden wir die Schritt-für-Schritt-Verfahren für das Einrichten einer solchen Webfarm mit Active Directory erörtern. Dieser Artikel geht davon aus, dass die Leser über Grundkenntnisse in Bezug auf die Netzwerkkonzepte in früheren Versionen von Windows NT verfügen. Übersicht über Active Directory Wie eine Telefonauskunft, die Informationen zu Telefonnummern für Personen und Organisationen bereitstellt, ist Active Directory ein Verzeichnisdienst, der Informationen über alle vernetzten Ressourcen, wie beispielsweise Computer, Drucker, Benutzer, freigegebene Ordner, Nachrichtenwarteschlangen usw., speichert und anbietet. Active Directory fungiert als Hauptschaltzentrale in einer Netzwerkumgebung. Es hilft Benutzern und Anwendungen, diese vernetzten Ressourcen zu finden, auf sie zuzugreifen und Verbindungen zueinander herzustellen. Noch wichtiger ist, dass nur autorisierte Benutzer oder Anwendungen sicher auf die Ressourcen zugreifen dürfen. In einer Serverfarmumgebung wie der in Duwamish Online werden Active Directory-Server bereitgestellt, um zentralen, sicheren Zugriff durch Benutzer und Anwendungen auf alle Server im Netzwerk zu bieten. Darüber hinaus bietet es Verzeichnisdienste, die Message Queuing (MSMQ) zum Verwalten von Nachrichtenwarteschlangen verwendet, die asynchrone Operationen ermöglichen. (Weitere Informationen zu den Message Queuing-Diensten finden Sie im Artikel zu MSMQ (englischsprachig ].)
Weitere Informationen zu Active Directory finden Sie in der Active Directory-Übersicht unter http://www.microsoft.com/windows2000/guide/server/features/dirlist.asp (englischsprachig). Als Nächstes konzentrieren wir uns auf zwei neue Konzepte, die in Active Directory zum ersten Mal vorgestellt wurden. Neues Architekturmodell des Domänencontrollers Ein Computer, auf dem Active Directory-Komponenten installiert sind, die solche Verzeichnisdienste anbieten, wird Domänencontroller genannt. Das Installieren von Active Directory auf einem Computer, der Windows 2000 Server ausführt, entspricht dem Umwandeln oder Heraufstufen des Servers in einen bzw. zu einem Domänencontroller für eine bestimmte Domäne. Bei Active Directory sind alle Windows 2000 Server-Domänencontroller Peers und unterstützen Multimasterreplikation, indem sie Active Directory-Informationen auf alle Domänencontroller replizieren. Dies ist eine wichtige Änderung des Architekturentwurfs gegenüber der Master-Slave-Beziehung zwischen dem primären Domänencontroller (Primary Domain Controller, PDC) und dem Sicherungsdomänencontroller (Backup Domain Controller, BDC) in früheren Versionen von Windows NT. Im Gegensatz zu früheren Versionen von Windows NT, in denen nur der PDC die Masterkopie mit Lese- /Schreibzugriff behält und eine schreibgeschützte Kopie der Verzeichnisinformationen auf den BDC repliziert, verwendet Active Directory die Multimasterreplikation zwischen Domänencontrollern, so dass Administratoren jetzt Änderungen von jedem der Domänencontroller aus vornehmen können. Dadurch wird das System zuverlässiger, wenn ein Domänencontroller, insbesondere der PDC, ausfällt. Integration mit DNS Eine weitere wichtige Änderung des Architekturentwurfs in Active Directory ist seine enge Integration mit dem DNS (Domain Name System). In Windows 2000 stellen NetBIOS-Namen (Network Basic Input/Output System) nicht mehr die primäre Namensauflösungsmethode für das Identifizieren eines Computers oder Druckers im Netzwerk dar. Stattdessen wird ein voll qualifizierter Domänenname (Fully Qualified Domain Name, FQDN), wie beispielsweise server1.microsoft.com, für solche Identifikationen verwendet. Das bedeutet, dass die Active Directory-Domäne jetzt dieselbe Namensstruktur (oder denselben Namespace) wie die DNS-Domäne verwendet. Beispielsweise wurde in früheren Versionen von Windows NT ein Computer möglicherweise im NetBIOS der Windowsnetzwerkdomäne als SERVER1 bezeichnet und in der DNS-Domäne als server1.microsoft.com. In Windows 2000 wird der Computer sowohl in der Active Directory-Domäne als auch in der DNS-Domäne als server1.microsoft.com bezeichnet. Es ist jedoch wichtig, die Unterschiede zwischen Active Directory und DNS zu erkennen. Sie speichern unterschiedliche Daten und verwalten unterschiedliche Objekte, obwohl sie sehr eng zusammenarbeiten. DNS ist ein TCP/IP-Namensauflösungsdienst (Transmission Control Protocol/Internet Protocol), der Ressourceneinträge hauptsächlich speichert, um Domänennamen in ihre entsprechenden IP-Adressen zu übersetzen. Obwohl DNS unabhängig von Active Directory arbeiten kann, können seine Daten in Active Directory integriert und gespeichert werden. Dabei werden DNS-Informationen automatisch auf andere Domänencontroller repliziert und bieten dadurch verbesserte Zuverlässigkeit und Sicherheit für den DNS-Dienst. Andererseits ist Active Directory ein Verzeichnisdienst, der Namensanforderungen für Domänenobjekte in Objekteintragsdaten speichert und auflöst (beispielsweise Antworten auf eine Anforderung für die Netzwerkkonfiguration eines Computers). Um einen Active Directory-Server zu suchen, fragt ein Active Directory-Client zuerst seinen zugewiesenen DNS-Server ab, um die IP-Adresse des Active Directory-Servers herauszufinden. Es gehört zum Entwurf, dass DNS für das Funktionieren von Active Directory erforderlich ist. Tatsächlich hat das Einrichten eines Active Directory-Domänencontrollers im Allgemeinen das Einrichten eines DNS-Servers während des Installationsvorgangs zur Folge, wenn kein DNS-Server im Netzwerk gefunden werden kann.
Weitere Informationen zum Aufbau des DNS-Namespaces und der Beziehung zwischen DNS und Active Directory finden Sie im Artikel Einrichten von DNS bzw. Setting Up a Domain Name System (englischsprachig). Einrichten eines Active Directory-Domänencontrollers Wie in unserem Artikel zur Netzwerk- und Systemkonfiguration erwähnt, haben wir zwei Server als Active Directory-Domänencontroller für unsere interne Domäne intdomain.com eingerichtet. Wir verwenden einen dedizierten Computer für das Einrichten des ersten Domänencontrollers und richten aus Redundanzgründen einen weiteren Domänencontroller auf dem Verwaltungsserver ein. Da die Domänencontroller von den Webservern und den Auftragsverarbeitungsservern (für Message Queuing) ebenso wie von den zweifach gruppierten Datenbankservern erreichbar sein müssen, müssen sie mit dem Back- End-Netzwerk, dem Verwaltungsnetzwerk oder beiden verbunden sein. In den folgenden Abschnitten beschreiben wir die Schritt-für-Schritt-Verfahren für das Einrichten dieser Active Directory-Domänencontroller sowie die Verfahren für das Einrichten eines Active Directory-Clients für die Domäne. Installieren des ersten Domänencontrollers Führen Sie die folgenden Schritte durch, um eine neue Domäne zu erstellen und die Active Directory-Dienste auf einem Server zu installieren, wobei der Server der erste Domänencontroller der Domäne wird: 1. Klicken Sie im Startmenü auf Ausführen. Geben Sie dcpromo ein, und klicken Sie dann auf OK. Dadurch wird der Assistent zum Installieren von Active Directory gestartet. 2. Nach der Willkommensseite werden Sie aufgefordert, den Typ des Domänencontrollers für den Server anzugeben. Behalten Sie die Standardauswahl bei, um den Server als Domänencontroller für eine neue Domäne einzurichten. 3. Als Nächstes werden Sie aufgefordert, eine neue Domänenstruktur oder eine neue untergeordnete Domäne in einer bestehenden Domänenstruktur zu erstellen. Wählen Sie in diesem Fall für die interne Domäne Eine neue Domänenstruktur erstellen. 4. Anschließend werden Sie aufgefordert, eine neue Gesamtstruktur zu erstellen oder einer bestehenden Gesamtstruktur beizutreten. Da dies die erste Domäne ist und es noch keine Gesamtstruktur gibt, behalten Sie die Standardauswahl Neue Gesamtstruktur aus Domänenstrukturen erstellen bei. 5. Wie bereits erwähnt, verwendet Active Directory in Windows 2000 jetzt als primäre Namenskonvention den voll qualifizierten Domänennamen (Fully Qualified Domain Name, FQDN). Wenn Sie nach einem neuen Domänennamen gefragt werden, geben Sie den FQDN für die interne Domäne ein (in unserem Fall intdomain.com). 6. Active Directory ist abwärtskompatibel mit früheren Versionen von Windows NT, die als Namenskonvention NetBIOS-Namen verwenden. Aus Gründen der Konsistenz haben wir uns entschieden, denselben Domänennamen als NetBIOS-Namen zu verwenden. Akzeptieren Sie in unserem Fall die Standardeinstellung "INTDOMAIN" für den NetBIOS-Domänennamen. 7. In den nächsten beiden Dialogfeldern werden Sie aufgefordert, Speicherorte für die Active Directory- Datenbank und das Active Directory-Protokoll sowie das freigegebene SYSVOL anzugeben. Um bessere Leistung und Wiederherstellung zu erzielen, sollten Sie die Datenbank und das Protokoll auf separaten Festplatten speichern. Um den Prozess zu vereinfachen, haben wir uns entschieden, alle Standardspeicherorte zu akzeptieren. 8. An dieser Stelle versucht der Installations-Assistent, eine Verbindung mit einem DNS-Server für die neue Domäne herzustellen. Wenn bereits ein DNS-Server für die Domäne vorhanden ist und im Netzwerk gefunden werden kann, fährt der Assistent mit dem nächsten Schritt fort; wenn nicht, fragt er Sie, ob Sie als Teil des Active Directory-Installationsvorgangs einen DNS-Server auf demselben Computer installieren und konfigurieren oder den DNS-Server später installieren möchten. Sie sollten die Standardauswahl der ersten Option beibehalten, wenn Sie nicht wirklich alle DNS- Ressourceneinträge selbst vornehmen möchten.
9. Die restlichen Dialogfelder, die der Installations-Assistent anzeigt, befassen sich mit Sicherheitsfragen. Wählen Sie die Option Nur mit Windows 2000-Servern kompatible Berechtigungen, wenn alle Computer in der Domäne Windows 2000 ausführen, wie dies bei Duwamish Online der Fall ist. Als Nächstes geben Sie ein Administratorkennwort an. 10. Zum Schluss wird eine Zusammenfassung angezeigt, die Ihre Auswahl bestätigt. Wenn die Informationen richtig sind, bestätigen Sie sie, indem Sie auf Weiter klicken. 11. Starten Sie den Server nach Abschluss des Konfigurationsvorgangs neu. Installieren eines zusätzlichen Domänencontrollers Das Installieren eines zusätzlichen Active Directory-Domänencontrollers ist viel einfacher als das Installieren des ersten Domänencontrollers. Bevor Sie den Vorgang starten, stellen Sie sicher, dass der zusätzliche Server Zugriff auf dasselbe Netzwerksegment hat, damit er mit dem ersten Server kommunizieren kann. Außerdem müssen Sie die IP-Adresse eines DNS-Servers angeben (gemäß der obigen Empfehlung wäre dies der erste Domänencontroller), der wiederum verwendet wird, um die Computer zu suchen, die als Domänencontroller dienen. So geben Sie den DNS-Server an 1. Klicken Sie mit der rechten Maustaste auf Netzwerkumgebung, und wählen Sie Eigenschaften aus. 2. Klicken Sie im Dialogfeld Netzwerk- und DFÜ-Verbindungen mit der rechten Maustaste auf das Symbol LAN-Verbindung, und wählen Sie Eigenschaften aus. Anmerkung Wenn der Computer über mehrere Netzwerkadapterkarten verfügt, die mit verschiedenen Netzwerksegmenten verbunden sind (wie die Duwamish Online-Netzwerkkonfiguration) und Sie nicht sicher sind, welche Karte mit dem internen Netzwerk verbunden ist, können Sie die Verbindung identifizieren, indem Sie das mit dem internen Netzwerk verbundene Kabel physisch trennen. Daraufhin zeigt das Symbol der gesuchten Verbindung den deaktivierten Status an. Benennen Sie diese Verbindung entsprechend um, bevor Sie das Netzwerkkabel erneut anbringen. 3. Wählen Sie Internetprotokoll (TCP/IP) aus, und klicken Sie dann auf Eigenschaften. 4. Wählen Sie im Dialogfeld Internetprotokolleigenschaften (TCP/IP) die Option Folgende DNS- Serveradressen verwenden: aus. 5. Geben Sie die IP-Adresse in das Feld Bevorzugter DNS-Server: ein. (Wenn der DNS-Server im Rahmen des Installationsvorgangs für den ersten Active Directory-Server eingerichtet wurde, geben Sie die IP-Adresse dieses Servers ein. Siehe Schritt 8 im vorherigen Abschnitt, "Installieren des ersten Domänencontrollers".) 6. Klicken Sie auf OK, um die Änderungen zu bestätigen. Da der DNS angegeben ist, können Sie nun einen zusätzlichen Domänencontroller installieren. So installieren Sie einen zusätzlichen Domänencontroller 1. Klicken Sie im Startmenü auf Ausführen. Geben Sie dcpromo ein, und klicken Sie dann auf OK. Dadurch wird der Assistent zum Installieren von Active Directory initiiert. 2. Nach der Willkommensseite werden Sie aufgefordert, den Typ des Domänencontrollers für den Server anzugeben. Wählen Sie Zusätzlicher Domänencontroller für eine bestehende Domäne aus. 3. Als Nächstes werden Sie aufgefordert, einen Benutzernamen, ein Kennwort und einen Domänennamen (in unserem Fall intdomain) einzugeben. 4. Geben Sie auf Aufforderung den voll qualifizierten Domänennamen der Domäne ein, für die der Computer einen zusätzlichen Domänencontroller darstellen soll. (Geben Sie in unserem Fall intdomain.com ein.) 5. Ähnlich wie beim Installieren des ersten Active Directory-Servers werden Sie aufgefordert, die Speicherorte der Datenbank und des Protokolls sowie das freigegebene SYSVOL anzugeben. Um den Prozess zu vereinfachen, haben wir uns entschieden, die Standardspeicherorte zu akzeptieren. 6. Wenn Sie ein Administratorkennwort angegeben haben, werden Sie aufgefordert, die zusammengefassten Informationen auf einem Bildschirm zu überprüfen und zu bestätigen. Klicken Sie auf Weiter, um die Installation zu starten. 7. Starten Sie den Server nach Abschluss der Installation neu.
Einrichten eines Active Directory-Clients Beim Installieren von Windows 2000 werden Sie aufgefordert, einer bestehenden Domäne oder Arbeitsgruppe beizutreten. Wenn der Domänencontroller zum Zeitpunkt der Installation noch nicht verfügbar ist, können Sie der Domäne zu einem späteren Zeitpunkt beitreten. Bevor Sie den Vorgang starten, stellen Sie sicher, dass der Computer Zugriff auf dasselbe Netzwerksegment hat, damit er mit der Domäne kommunizieren kann. Wie beim Einrichten des zusätzlichen Domänencontrollers müssen Sie die IP-Adresse des DNS-Servers angeben. Die folgenden Schritte beschreiben das Hinzufügen eines Computers zu einer neuen Domäne in Windows 2000. 1. Klicken Sie mit der rechten Maustaste auf Arbeitsplatz, und wählen Sie Eigenschaften aus. 2. Klicken Sie im Dialogfeld Systemeigenschaften auf die Registerkarte Netzwerkidentifikation und dann auf Eigenschaften. 3. Klicken Sie im Dialogfeld Änderungen der Benutzerinformationen auf das Optionsfeld Domäne, wenn es noch nicht ausgewählt ist. Geben Sie den vollständigen Namen der Domäne ein (in unserem Fall intdomain.com). 4. Klicken Sie auf OK, um die Änderungen zu bestätigen. Sie werden aufgefordert, den Domänenbenutzernamen und das Kennwort einzugeben. 5. Starten Sie den Server neu, damit die Änderungen wirksam werden. Schlussfolgerung Active Directory wird in der Webfarm DuwamishOnline.com hauptsächlich deswegen verwendet, weil es verbesserte Message Queuing-Features (MSMQ) unterstützt, indem es die Verwendung von öffentlichen Nachrichtenwarteschlangen zulässt. Weitere Informationen zu MSMQ und der Netzwerkarchitektur von Duwamish Online finden Sie im Artikel Message Queuing Configuration (englischsprachig). Ein weiterer Vorteil von Active Directory in dieser Konfiguration ist die Vereinfachung unseres DNS, das für unseren Datenbankcluster erforderlich ist (siehe Erstellen eines umfassend verfügbaren Datenbankclusters bzw. Building a Highly Available Database Cluster [englischsprachig]).