Active Directory besteht aus zahlreichen Komponenten. Um AD zu verstehen, muss man die Funktion der Komponenten verstehen. Dieses Kapitel beschreibt die Haupt-Komponenten des Active Directory:
Active Directory nutzt den Domain Naming Service (DNS) als Standard zur Namensauflösung für Objekte. Alle Hosts in einem TCP/IP basierenden Netzwerk müssen eine gültige eindeutige IP-Adresse haben. Eine IP-Adresse ist eine 32-Bit Binär-Nummer. sie wird in einer punktierten Notation dargestellt, wie z.B. 192.168.0.1. Diese Adressen sind sehr schlecht zu merken. Abhilfe schafft hier DNS. DNS liefert zu einem Domänen- Namen die zugehörige IP-Adresen auf: Anstatt sich also die Adresse 192.168.0.1 zu merken, kann man ein Ressource Record erstellen, in dem 192.168.0.1 auf COMPUTER1 verweist.
Ein anderer Vorteil von DNS ist, dass sich IP-Adressen in Netzwerken ändern können. Um beim obigen Beispiel zu bleiben, kann sich die Adresse von COMPUTER1 von 192.168.0.1 auf 192.168.0.37 ändern. In diesem Fall wird das DNS-Record für COMPUTER1 von 192.168.0.1 auf 192.168.0.37 geändert. Benutzer und Applikationen verweisen immer noch auf COMPUTER1 - für sie ist die Änderung also transparent.
DNS ist eine hierarchisches System und als verteilte Datenbank in einer umgekehrten Baumstruktur aufgebaut.
Die Wurzel des Baumes ist die so genannte Root. sie wird normalerweise durch einen Punkt "." repräsentiert. Die Wurzel ist der Beginn des Namensraumes.
Die obige Zeichnung zeigt den Internet Domänen-Namensraum (Internet Domain Namespace). Unter der Wurzel Root sind die Verzeichnisse mit den Hauptkategorien wie COM, DE, AT und NET. Domänen können Hosts (Computer, Server) enthalten und Subdomains. Im Internet sind diese Subdomänen Firmen und Organisationen, wie z.B. Microsoft.com oder Adac.de.
Active Directory benutzt die selben Regeln und Prozeduren wie DNS um Domänen und Computernamen zu bestimmen.
Wenn ein Client auf das Active Directory zugreifen will., wird DNS benutzt, um dessen Standort innerhalb des Active Directory zu bestimmen. Wenn DNS auf dem Client daher falsch konfiguriert ist schlägt diese Aktion fehl.
Beispiel:
Eine Organisation namens Help and Learn Inc. führt Active Directory ein. Help and Learn hat zwei Filialen, genannt Ost (East) und West (West). Helpandlearn.com ist der Domänen-Namen. Ost und West sollen als Subdomänen aufgesetzt werden. Ein Computer namens laptop1 in der Ost-Filiale hätte dann den Namen laptop1.east.helpandlearn.com.
Es gibt zwei wichtige Regeln bei DNS-Namen
Eine Child-Domain kann nur eine Parent-Domain haben. Beispiel: Wenn die Domäne public eine child Domain von microsoft.com ist, kann sie keine Child-Domäne von msn.com sein. Schaut man sich den FQDN an, wird klar. public.microsoft.com ist eine andere Domäne wie public.msn.com.
Child-Domänen einer gleichen Parent-Domain müssen immer unterschiedliche Namen haben.
DNS-Namen bestehen aus durch Punkte getrennte Namensteile. Jeder Teil repräsentiert eine Domäne oder eine Subdomäne im Namensraum.
Der Laptop in der obigen Skizze heißt mit seinem FQDN laptop1.east.helpandlearn.com.
Um die DNS-Hierarchie eines FQDN zu verstehen, muss man seinen Namen von Rechts nach Links lesen.
Ein Hostname kann auch über seinen relativen Namen aufgelöst werden. Der relative Name ist der Name ohne DNS-Hierarchie. Um einen relativen Namen eines Hosts auflösen zu können muss sich der Host aber in der selben Domäne befinden wie der DNS-Server.
Zurück zum Beispiel: Laptop1 ist der relative Name von laptop1.east.helpandlearn.com. Um Laptop1 auflösen zu können, muss die Auflösungsanforderung in der East-Domäne gestellt werden.
Die Meinungen, ob sich eine Organisation, die Active Directory implementiert und über eine Internet-Anbindung verfügt, Ihre Root-Domäne bei einem Internet-Registrar registrieren lassen sollte, gehen auseinander. Microsoft empfiehlt, den Active Directory Namensraum unterhalb und getrennt von einer eventuell vorhanden Internet-Domäne zu implementieren.
Die Firma lars-web.com könnte sich also lars-web.com registrieren lassen. ad,lars-web.com könnte dann z.B. die Root-Domäne des Active Directory Namensraums sein.
Benötigt eine Firma keinen Internet Zugang, wird die Firma für Active Directory in jedem Fall einen internen DNS-Namensraum benutzen. Trotzdem benötigt Active Directory immer DNS, um funktionieren zu können.
Innerhalb Active Directory werden Domänen verwendet um Verzeichnissicherheit und Ressourcen-Management zu realisieren. User-Accounts werden innerhalb einer Domäne administriert. Ein Active Directory-Domänen-Controller kann nur eine Domäne verwalten. Der Domänen-Controller hält eine Lese-/Schreib-Kopie der Domain Security Database. Wenn man eine Windows 2000 / 2003 Domäne erstellt, gibt es einige Punkte zu beachten:
Zugriffsrechte sind nur innerhalb der jeweiligen Domäne gültig. Das gleiche gilt für Group Policy Objects (GPO). Auch sie gelten nur für die jeweiligen Objekte (man kann allerdings GPO explizit zu anderen Domänen linken).
Security Policies sind nur innerhalb einer kompletten Domäne gültig. Sie beinhalten
Password Policies - beinhalten Parameter wie Passwort-Länge, Passwort-Komplexität und Passwort-Lebensdauer
Account Lockout Policy - legt fest, wie das Behandeln von möglichen Eindringlingen behandelt wird.
Kerberos Ticket Policy - definiert die Lebenszeit des Kerberos Tickets. Das Kerberos Ticket wird wie das Access-Token unter NT für die User-Authentifizierung und den Objekt-Zugriff benötigt.
Sind unterschiedliche Security Policies gefordert, so kommt für das Active Directory nur ein Design mit mehreren Domänen in Frage.
1. Wählen sie die Forest Root Domain aus. Die Forest Root Domain ist die erste Domäne im Forest
Ist die zu erstellende Domäne die erste Active Directory Domäne, wird sie per Standard die erst Domäne im Forest.
Wenn die erstellende Domäne einem bereits vorhandenen Active Directory Forest beitritt, muss die Forest Root Domain spezifiziert werden. Es ist wichtig zu wissen, dass die Domain Administrator Group der Forest Root Domain die Möglichkeit hat, die Mitgliedschaft der Enterprise Administrator und der Schema Administrator Gruppe zu ändern.
2. Wählen sie den DNS Domänen Name der die zu erstellenden Domäne aus.
Ist die Domäne Tree Root Domain, legen sie einfach einen Namen fest, wobei sie gegebenenfalls die Internet-Konnektivität beachten müssen (siehe weiter oben)
Ist sie Teil eines vorhandenen Active Directory, muss der Name Teil eines bereits vorhandenen Active Directory Namensraums sein.
3. Implementieren sie die DNS Infrastruktur. DNS wird für Active Directory benötigt Wenn sie Active Directory bilden, überprüft das Active Directory-Setup-Programm (DCPROMO) ob eine DNS-Struktur verfügbar ist. Wenn nicht, kann man mit DCPROMO eine neue DNS-Struktur aufsetzen. Ist diese ein mal aufgesetzt, kann sie nicht mehr geändert werden. Man kann dann nur noch mit DCPROMO Active Directory löschen und neu aufsetzen.
Microsoft empfiehlt nur eine Domäne für Active Directory. Es gibt aber Fälle, in denen mehrere sinnvoll sind:
Sicherheitsanforderungen: Unterschiedliche Sicherheits-Anforderungen erfordern mehrere Domänen. Erinnern sie sich daran, dass z.B. die Password-Polices nur per Domäne gelten.
Anforderung an autonome Administration: Mitglieder der Domain Administration Group haben volle Kontrolle über alle Objekte einer Domäne. Unter Umständen ist das nicht gewünscht, dann muss in mehrere Domänen aufgeteilt werden.
Replizierung: Wenn Standorte einer Firma über schmalbandige WAN-Anbindungen an das Active Directory angeschlossen sind, erhöht die Verwendung von einer Domäne unter Umständen den Replizierungs-Verkehr. Wie wir noch sehen werden, kann der Replikations-Verkehr aber statt durch mehrere Domänen auch durch die Standort / Site-Funktionalität gesteuert werden.
Existierende Windows NT Domänen Struktur: Wenn eine vorhandene NT Domänen Struktur im Zuge einer Migration übernommen werden soll, sind ebenfalls mehrere Domänen erforderlich. Diese Vorgehensweise wird allerdings nicht empfohlen, i. d. R. sollte immer versucht werden, eine vorhandene NT-Domänen-Struktur in weniger Active Directory-Domänen zu konsolidieren. Wie wir weiter unten sehen helfen uns dabei die AD-Oranisation Units (Organisations-Einheiten) weiter.
Ein Tree in Windows 2000 / 2003 ist ein DNS-Namensraum. Ein Active Directory-Tree ist eine Sammlung von Domänen. Er besteht aus einer Single Tree Root Domain mit Subdomains, die das Active Directory ausmachen.
Es gibt zwei Typen von Namensräumen , die man auseinander halten muss:
Contigous - Zusammenhängend - ein Namensraum wo jede Stufe einer Domäne zu einer über oder unter Ihr gehört.
Discontiguous - nicht zusammenhängend - Ein Namensraum, der aus verschiedenen Root-Domänen besteht. Microsoft.com und helpandlearn.com sind zwei separate (nicht zusammenhängende) Namensräume. Unzusammenhängende Namensräume treten immer bei multiplen Trees auf und bilden einem Domain-Forest.
Wie DNS ist der Active Directory Tree ein umgekehrter Baum. Vertrauensstellungen werden automatisch zwischen allen Domänen innerhalb des Baumes gebildet.
Ein Active Directory Tree wird automatisch erzeugt, wenn eine neue Root-Domäne installiert wird.
So wie der Namensraum eines Active Directory Trees zusammenhängend ist, ist der eines Forests nicht zusammenhängend.
Ein nicht zusammenängender Namespace basiert auf verschiedenen DNS Namen. Help and Learn Inc. kauft zum Beispiel eine andere Firma namens Marshallsoft mit der root Domain marshallsoft.com. Aufgrund der unterschiedlichen Namen hat Ihr zusammengefügter Active Directory Umgebung zwei Trees, die einen Forest bilden.
Ein Active Directory-Forest muss folgende Punkte erfüllen:
Ein einzelnes Schema - Ein Schema ist ein Regelsatz, die im Verzeichnis enthaltenen Objekt- und Attributklassen, die Einschränkungen und Begrenzungen für Instanzen dieser Objekte sowie ihr Namensformat definiert. Das Schema wird zu jedem Domänen-Controller innerhalb des Forests repliziert. Nur Mitglieder der Schema-Administrator Gruppe können das Schema ändern
Einen einzelnen globalen Katalog - Der globale Katalog dient zur schnellen Suche innerhalb des Verzeichnisses. Er besteht aus einem begrenzten Satz der gebräuchlichsten Attributen für jedes Objekt innerhalb des Verzeichnisses. Benutzer melden sich am Verzeichnis mit ihrem sog. User Principal Name an. Er besteht aus zwei Teilen, username@domainname. Der Teil username ist einfach der Login-Name des Benutzers, der domainname-Teil ist der DNS Name der Active Directory-Domäne, in dem sich das Konto des Benutzers befindet. Damit ist der User Principal Name eine eindeutige Identifizierung eines Benutzers innerhalb des Active Directory.
Einen einzelnen Configuration Container - Der Configuration Container speichert die Active Directory Konfiguration des gesamten Forests. Er enthält Informationen über Active Directory Partitionen, Sites, Dienste und über Verzeichnis-Anwendungen. Der Kontext hierfür ist cn=configuration, dc=forestRootDomain. Jede Änderung am Configuration Container wird zu allen anderen Domain-Controller im Forest repliziert. Die Enterprise Administrators Gruppe hat vollen Zugriff auf den Configuration Container
Complete Trust Domain Model - Active Directory bildet normalerweise transitive Zwei-Wege Vertrauensstellungen zwischen allen Domänen im Forest. Alle Benutzer und Gruppen aller Domänen sind daher in Access Control Listen miteinander verbunden. Es müssen daher keine Vertrauensstellungen von Hand mehr angelegt werden (wie unter Windows NT).
Standorte werden dazu verwendet, die logische Struktur von Netzen wiederzugeben. sie bestimmen auch die Art und Weise, wie repliziert wird: Alle Domänen-Controller an einem Standort replizieren immer alle 5 Minuten, oder wenn eine bestimmte Anzahl von Änderungen überschritten wurde. Domänen-Controller an verschiedenen Standorten replizieren in weitaus größeren Intervallen und strikt nach Zeitplan, unabhängig davon, wie viele Änderungen aufgetreten sind.
Die Standort-Topologie hängt überhaupt nicht mit der Domain-Hierarchie zusammen! Eine einzelne Domäne kann auf viele Standorte verteilt sein oder ein Standort kann mehrere Domänen enthalten.
Ein Standort ist normalerweise ein TCP/IP-Subnetz, das mit einer großen Bandbreite miteinander vernetzt ist. Subnetze, die durch langsame WAN-Verbindungen verbunden sind, sollten immer auf verschiedene Standorte verteilt werden.
Ein Site-Link (Standort-Verknüpfung) ist die Verbindung zwischen zwei oder mehr Standorten.
sie wird durch 4 Eigenschaften bestimmt:
Cost Active Directory - Dem Link kann ein Kost-Wert zugeordnet werden, der die Verwendung bei Replikationen bestimmt. Dadurch kann das Fehlertoleranz-Verhalten beeinflusst werden. Existieren z.B. zwei Links mit unterschiedlichem Wert, wird so lange die Verbindung mit den geringeren Kosten verwendet, bis diese ausfällt.
Replication Schedule - Dieser Wert gibt an, wann die Verbindung für Replikationen verfügbar ist. Man kann diesen Wert z.B. so setzen, dass nur nachts repliziert wird.
Replication Interval - Mit diesem Wert kann das Intervall festgelegt werden, zu dem die Replizierung zwischen Standorten erfolgen soll
Transport - Mit diesem Wert legt man das Transportprotokoll fest. Man sollte hier RPC over IP verwenden. Ist dies aufgrund Firewall-Beschränkungen o. ä. nicht möglich, kann man auch SMTP over IP verwenden.
Beim Hochbooten sucht der Windows 2000 / XP Client nach einem Domänen-Controller in seiner Domäne. Dieser analysiert die IP-Adresse des Clients und stellt fest, zu welchem Standort er gehört. Der Domänen-Controller gibt den Standortnamen zurück, der Clients legt diese Information in seinem Cache ab. Der Client benutzt diese Information, um Ressourcen innerhalb seines Standortes festzustellen
Es gibt zwei Arten von Replikations-Verkehr innerhalb des AD, intrasite und intersite. Als intrasite traffic betrachtet man den Replikationsverkehr, der innerhalb eines Standortes statt findet. Intersite replication traffic ist der Replikationsverkehr zwischen verschiedenen Standorten.
| Intrasite | Intersite |
| unkomprimiert | komprimiert |
| Replikationspartner melden gegenseitig, wenn repliziert werden muss | Replikationspartner melden nicht, wenn repliziert werden muss |
| Replikationspartner replizieren periodisch | Replikationspartner replizieren periodisch aber immer nur zu den festgelegten Intervallen |
| RCP over IP | RCP over IP oder SMTP over IP |
| Replizierungs-Verbindungen können zwischen allen Domänen-Controllern eines Standortes gebildet werden | Replizierungs-Verbindungen können nur zwischen sog. bridgehead servern gebildet werden. Ein bridgehead servern wird mit dem KCC Tool erstellt. Bridgehead Server eines Standortes sind für die intersite-Replikation verantwortlich. |
Informationen zum Standort (Standornamen, Replikationsverbindungen, Subnetze u. m.) werden im Configuration Container abgespeichert. Dieser wiederum wird zu jedem Domänen Controller im gesamten Forest repliziert. So wird sichergestellt, dass Standort-Änderungen nach und nach im gesamten AD bekannt werden.
Mit Organisationseinheiten (OE, Origanisation Units, OU) können Strukturen geschaffen werden, die die Administration vereinfachen: Organisationseinheiten bilden innerhalb Domänen eine besonders nützliche Art von Verzeichnisobjekten. Organisationseinheiten sind Container innerhalb des AD, denen man Benutzer, Gruppen, Computer und andere Organisationseinheiten hinzufügen können. Auch Objekte aus anderen Domänen können in einer Organisationseinheit enthalten sein.
Eine Organisationseinheit stellt den kleinsten Bereich oder die kleinste Einheit dar, der Gruppenrichtlinieneinstellungen zugewiesen oder an die Administratorrechte delegiert werden können. Mit Hilfe von Organisationseinheiten können sie innerhalb einer Domäne Container erstellen, die die hierarchischen, logischen Strukturen innerhalb Ihrer Organisation widerspiegeln. Auf diese Weise kann die Konfiguration und die Konten- und Ressourcenverwendung in Anpassung an das Organisationsmodell verwaltet werden. Durch die Verwendung von Organisationseinheiten kann somit die Anzahl der für das Netzwerk benötigten Domänen u. U. minimiert werden.
In diesem Abschnitt wurden einige der im AD enthaltenen Komponenten sowie deren Struktur beschrieben. ADs werden aus Forest (definieren das gemeinsame Schema), Trees (definieren dem Domänen-Namensraum) und Domänen (bilden die Sicherheits- und Replikations-Einheiten) gebildet.