Home » Windows » Windows Server » Active Directory » Active Directory Komponenten
- Anzeige -
Software Asset Management beim Fachmann

Active Directory - Komponenten (DNS, Domain, Site, OU)

Siehe auch den Artikel Was ist Active Directory mit ergänzenden Informationen.

Active Directory besteht aus zahlreichen Komponenten. Um AD zu verstehen, muss man die Funktion der Komponenten verstehen. Dieser Artikel beschreibt die Haupt-Komponenten des Active Directory:

 

DNS und Domain Namespace

Active Directory nutzt den Domain Naming Service (DNS) als Standard zur Namensauflösung für Objekte. Alle Hosts in einem TCP/IP basierenden Netzwerk müssen eine gültige eindeutige IP-Adresse haben. Eine IP-Adresse ist eine 32-Bit Binär-Nummer. Sie wird in einer punktierten Notation dargestellt, wie z.B. 192.168.0.1. Diese Adressen sind sehr schlecht zu merken. Abhilfe schafft hier DNS. DNS liefert zu einem Domänen-Namen die zugehörige IP-Adressen: Anstatt sich also die Adresse 192.168.0.1 zu merken, kann man ein Ressource Record erstellen, in dem 192.168.0.1 auf COMPUTER1 verweist.

Ein anderer Vorteil von DNS ist, dass sich IP-Adressen in Netzwerken ändern können. Um beim obigen Beispiel zu bleiben, kann sich die Adresse von COMPUTER1 von 192.168.0.1 auf 192.168.0.37 ändern. In diesem Fall wird das DNS-Record für COMPUTER1 von 192.168.0.1 auf 192.168.0.37 geändert. Benutzer und Applikationen verweisen immer noch auf COMPUTER1 - für sie ist die Änderung also transparent.

DNS ist eine hierarchisches System und als verteilte Datenbank in einer umgekehrten Baumstruktur aufgebaut.

Die Wurzel des Baumes ist die so genannte Root. sie wird normalerweise durch einen Punkt "." repräsentiert. Die Wurzel ist der Beginn des Namensraumes.

Active Directory Komponenten

Die obige Zeichnung zeigt den Internet Domänen-Namensraum (Internet Domain Namespace). Unter der Wurzel Root sind die Verzeichnisse mit den Hauptkategorien wie COM, DE, AT und NET. Domänen können Hosts (Computer, Server) enthalten und Subdomains. Im Internet sind diese Subdomänen Firmen und Organisationen, wie z.B. Microsoft.com oder adac.de.

Active Directory benutzt die selben Regeln und Prozeduren wie DNS um Domänen und Computernamen zu bestimmen.

Wenn ein Client auf das Active Directory zugreifen will., wird DNS benutzt, um dessen Standort innerhalb des Active Directory zu bestimmen. Wenn DNS auf dem Client daher falsch konfiguriert ist schlägt diese Aktion fehl.

Beispiel:

Eine Organisation namens Help and Learn Inc. führt Active Directory ein. Help and Learn hat zwei Filialen, genannt Ost (East) und West (West). Helpandlearn.com ist der Domänen-Namen. Ost und West sollen als Subdomänen aufgesetzt werden. Ein Computer namens laptop1 in der Ost-Filiale hätte dann den Namen laptop1.east.helpandlearn.com.

Active Directory Komponenten

Mögliche DNS-Namen

Es gibt zwei wichtige Regeln bei DNS-Namen

DNS-Namen bestehen aus durch Punkte getrennte Namensteile. Jeder Teil repräsentiert eine Domäne oder eine Subdomäne im Namensraum.

Der Laptop in der obigen Skizze heisst mit seinem FQDN laptop1.east.helpandlearn.com.

Um die DNS-Hierarchie eines FQDN zu verstehen, muss man seinen Namen von Rechts nach Links lesen.

Ein Hostname kann auch über seinen relativen Namen aufgelöst werden. Der relative Name ist der Name ohne DNS-Hierarchie. Um einen relativen Namen eines Hosts auflösen zu können muss sich der Host aber in der selben Domäne befinden wie der DNS-Server.

Zurück zum Beispiel: Laptop1 ist der relative Name von laptop1.east.helpandlearn.com. Um Laptop1 auflösen zu können, muss die Auflösungsanforderung in der East-Domäne gestellt werden.

Interner und externer Namensraum

Die Meinungen, ob sich eine Organisation, die Active Directory implementiert und über eine Internet-Anbindung verfügt, ihre Root-Domäne bei einem Internet-Registrar registrieren lassen sollte, gehen auseinander. Microsoft empfiehlt, den Active Directory Namensraum unterhalb und getrennt von einer eventuell vorhanden Internet-Domäne zu implementieren.

Die Firma lars-web.com könnte sich also lars-web.com registrieren und diese Adresse für ihren öffentlichen Internet-Auftritt nutzen. ad.lars-web.com könnte dann z.B. die Root-Domäne des Active Directory Namensraums sein. Sie könnte aber auch lars-web.net registrieren und diesen nur für den internen Namensraum verwenden.

Domäne

Innerhalb Active Directory werden Domänen verwendet um Verzeichnissicherheit und Ressourcen-Management zu realisieren. User-Accounts werden innerhalb einer Domäne administriert. Ein Active Directory-Domänen-Controller kann nur eine Domäne verwalten. Der Domänen-Controller hält eine Lese-/Schreib-Kopie der Domain Security Database. Wenn man eine Windows AD-Domäne erstellt, gibt es einige Punkte zu beachten:

Administrative Grenzen

Zugriffsrechte sind nur innerhalb der jeweiligen Domäne gültig. Das gleiche gilt für Group Policy Objects (GPO). Auch sie gelten nur für die jeweiligen Objekte (man kann allerdings GPO explizit zu anderen Domänen linken.

Domain Security Policies

Security Policies sind nur innerhalb einer kompletten Domäne gültig. Sie beinhalten 

Erstellen von Domänen

1. Wählen sie die Forest Root Domain aus. Die Forest Root Domain ist die erste Domäne im Forest (Forest=Gesamtstruktur). Siehe hierzu auch "Was ist Active Directory".

2. Wählen sie den DNS Domänen Name der die zu erstellenden Domäne aus.

Active Directory Komponenten

3. Implementieren sie die DNS Infrastruktur. DNS wird für Active Directory benötigt. Wenn sie Active Directory bilden, überprüft das Active Directory-Setup-Programm (DCPROMO) ob eine DNS-Struktur verfügbar ist. Wenn nicht, kann man von DCPROMO eine neue DNS-Struktur aufsetzen lassen.

Erstellen von mehreren Domänen

Microsoft empfiehlt nur eine Domäne für Active Directory. Es gibt aber Fälle, in denen mehrere sinnvoll sind:

Trees und Forests

Ein Tree in Windows ist ein DNS-Namensraum. Ein Active Directory-Tree ist eine Sammlung von Domänen. Er besteht aus einer Single Tree Root Domain mit Subdomains, die das Active Directory ausmachen.

Es gibt zwei Typen von Namensräumen, die man auseinander halten muss:

Active Directory Komponenten

Active Directory Komponenten

Wie DNS ist der Active Directory Tree ein umgekehrter Baum. Vertrauensstellungen werden automatisch zwischen allen Domänen innerhalb des Trees gebildet.

Ein Active Directory Tree wird automatisch erzeugt, wenn eine neue Root-Domäne installiert wird.

So wie der Namensraum eines Active Directory Trees zusammenhängend ist, ist der eines Forests nicht zusammenhängend.

Ein nicht zusammenhängender Namespace basiert auf verschiedenen DNS Namen. Help and Learn Inc. kauft zum Beispiel eine andere Firma namens Marshallsoft mit der root Domain marshallsoft.com. Aufgrund der unterschiedlichen Namen hat Ihr zusammengefügter Active Directory Umgebung zwei Trees, die einen Forest bilden.

Active Directory Standorte - Active Directory Sites

Standorte werden dazu verwendet, die logische Struktur von Netzen wiederzugeben. sie bestimmen auch die Art und Weise, wie repliziert wird: Alle Domänen-Controller an einem Standort replizieren immer alle 5 Minuten, oder wenn eine bestimmte Anzahl von Änderungen überschritten wurde. Domänen-Controller an verschiedenen Standorten replizieren in weitaus größeren Intervallen und strikt nach Zeitplan, unabhängig davon, wie viele Änderungen aufgetreten sind.

Die Standort-Topologie hängt überhaupt nicht mit der Domain-Hierarchie zusammen. Eine einzelne Domäne kann auf viele Standorte verteilt sein oder ein Standort kann mehrere Domänen enthalten.

Wie sollen Standorte verteilt werden?

Ein Standort ist normalerweise ein TCP/IP-Subnetz, das mit einer grossen Bandbreite miteinander vernetzt ist. Subnetze, die durch langsame WAN-Verbindungen verbunden sind, sollten immer auf verschiedene Standorte verteilt werden.

Ein Site-Link (Standort-Verknüpfung) ist die Verbindung zwischen zwei oder mehr Standorten und wird durch 4 Eigenschaften bestimmt:

Clients und Server sind mit Standorten verbunden

Beim Hochbooten sucht der Windows Client nach einem Domänen-Controller in seiner Domäne. Dieser analysiert die IP-Adresse des Clients und stellt fest, zu welchem Standort er gehört. Der Domänen-Controller gibt den Standortnamen  zurück, der Clients legt diese Information in seinem Cache ab. Der Client benutzt diese Information, um Ressourcen innerhalb seines Standortes festzustellen

KCC verwendet die Standort-Topologie um Replikationen festzulegen

Der KCC (Knowledge Conistency Checker) läuft, sobald mehrere Domänen vorhanden sind. Er versucht möglichst automatisch die Replikations-Topology festzulegen sowie Fehler in der Replikation zu beheben.
 

Intrasite gegenüber Intersite Replikation

Es gibt zwei Arten von Replikations-Verkehr innerhalb des AD, intrasite und intersite. Als intrasite traffic betrachtet man den Replikationsverkehr, der innerhalb eines Standortes statt findet. Intersite replication traffic ist der Replikationsverkehr zwischen verschiedenen Standorten.

Intrasite Intersite
unkomprimiert komprimiert
Replikationspartner melden gegenseitig, wenn repliziert werden muss Replikationspartner melden nicht, wenn repliziert werden muss
Replikationspartner replizieren periodisch Replikationspartner replizieren periodisch aber immer nur zu den festgelegten Intervallen
RCP over IP RCP over IP oder SMTP over IP
Replizierungs-Verbindungen können zwischen allen Domänen-Controllern eines Standortes gebildet werden Replizierungs-Verbindungen können nur zwischen sog. bridgehead servern gebildet werden. Ein bridgehead servern wird mit dem KCC Tool erstellt. Bridgehead Server eines Standortes sind für die intersite-Replikation verantwortlich.

Standort Topologie Information befindet sich im Configuration Container

Informationen zum Standort (Standornamen, Replikationsverbindungen, Subnetze u. m.) werden in der Standardanwendungs-Verzeichnispartition abgespeichert. Diese wiederum wird zu jedem Domänen Controller im gesamten Forest repliziert. So wird sichergestellt, dass Standort-Änderungen nach und nach im gesamten AD bekannt werden.

Organisationseinheiten

Mit Organisationseinheiten (OE, Origanisation Units, OU) können Strukturen geschaffen werden, die die Administration vereinfachen: Organisationseinheiten bilden innerhalb Domänen eine besonders nützliche Art von Verzeichnisobjekten. Organisationseinheiten sind Container innerhalb des AD, denen man Benutzer, Gruppen, Computer und andere Organisationseinheiten hinzufügen können. Auch Objekte aus anderen Domänen können in einer Organisationseinheit enthalten sein.

Eine Organisationseinheit stellt den kleinsten Bereich oder die kleinste Einheit dar, der Gruppenrichtlinieneinstellungen zugewiesen oder an die Administratorrechte delegiert werden können. Mit Hilfe von Organisationseinheiten können sie innerhalb einer Domäne Container erstellen, die die hierarchischen, logischen Strukturen innerhalb Ihrer Organisation widerspiegeln. Auf diese Weise kann die Konfiguration und die Konten- und Ressourcenverwendung in Anpassung an das Organisationsmodell verwaltet werden. Durch die Verwendung von Organisationseinheiten kann somit die Anzahl der für das Netzwerk benötigten Domänen u. U. minimiert werden. 

Quellen

 



War der Artikel hilfreich? Bitte liken und sharen. Danke!

it-zeugs.de ist auch auf Facebook...

Schreibe einen Kommentar - aber kein SPAM - der wird zuverlässig gefiltert!

  • Erforderliche Felder sind markiert mit *.

If you have trouble reading the code, click on the code itself to generate a new random code.