Active Directory – Komponenten (DNS, Domain, Site, OU)

muss man die Funktion der Komponenten verstehen. Dieser Artikel beschreibt die
Haupt-Komponenten des Active
Directory:

  • DNS und Domain Namespace – siehe auch
    DNS
  • Domains
  • Forest
  • Trees
  • Sites
  • OE

 

DNS und Domain Namespace

Active Directory nutzt den Domain Naming Service (DNS) als Standard zur
Namensauflösung für Objekte. Alle Hosts in einem TCP/IP
basierenden Netzwerk müssen eine gültige eindeutige IP-Adresse haben. Eine IP-Adresse ist eine 32-Bit Binär-Nummer.
Sie wird
in einer
punktierten Notation dargestellt, wie z.B. 192.168.0.1. Diese Adressen sind sehr schlecht zu
merken. Abhilfe schafft hier DNS. DNS liefert zu einem Domänen-Namen die
zugehörige IP-Adressen: Anstatt
sich also die Adresse 192.168.0.1 zu merken, kann man ein Ressource Record
erstellen, in dem 192.168.0.1 auf COMPUTER1 verweist.

Ein anderer Vorteil von DNS ist, dass sich IP-Adressen in Netzwerken ändern können. Um
beim obigen Beispiel zu bleiben, kann sich die Adresse von COMPUTER1 von
192.168.0.1 auf 192.168.0.37 ändern. In diesem Fall wird das DNS-Record für
COMPUTER1 von 192.168.0.1 auf 192.168.0.37 geändert. Benutzer und Applikationen
verweisen immer noch auf COMPUTER1 – für sie ist die Änderung also transparent.

DNS ist eine hierarchisches System und als verteilte Datenbank in einer
umgekehrten Baumstruktur aufgebaut.

Die Wurzel des Baumes ist die so genannte Root. sie wird normalerweise durch
einen Punkt „.“ repräsentiert. Die Wurzel ist der Beginn des Namensraumes.

Active Directory Komponenten

Die obige Zeichnung zeigt den Internet Domänen-Namensraum (Internet
Domain Namespace). Unter der Wurzel Root sind die Verzeichnisse mit den Hauptkategorien wie
COM, DE, AT und NET. Domänen können Hosts (Computer, Server) enthalten und
Subdomains. Im Internet sind diese Subdomänen Firmen und
Organisationen, wie z.B. Microsoft.com oder adac.de.

Active Directory benutzt die selben Regeln und Prozeduren wie DNS
um Domänen und Computernamen zu bestimmen.

Wenn ein Client auf das Active Directory zugreifen will., wird DNS benutzt, um dessen
Standort innerhalb des Active Directory zu bestimmen. Wenn DNS auf dem Client
daher falsch konfiguriert ist schlägt diese Aktion fehl.

Beispiel:

Eine Organisation namens Help and Learn Inc. führt Active Directory
ein.
Help and Learn hat zwei Filialen, genannt Ost (East) und West (West).
Helpandlearn.com
ist der Domänen-Namen. Ost und West sollen als Subdomänen
aufgesetzt werden. Ein Computer namens laptop1 in der Ost-Filiale hätte dann den
Namen laptop1.east.helpandlearn.com.

Active Directory Komponenten

Mögliche DNS-Namen

Es gibt zwei wichtige Regeln bei DNS-Namen

  • Eine Child-Domain kann nur eine Parent-Domain haben. Beispiel:
    Wenn die Domäne public eine child Domain von microsoft.com ist, kann sie keine
    Child-Domäne von msn.com sein. Schaut  man sich den FQDN (Fully Qualified
    Domain Name – Vollständiger Name) an, wird klar.
    public.microsoft.com
    ist eine andere Domäne wie public.msn.com.

  • Child-Domänen einer gleichen Parent-Domain müssen immer
    unterschiedliche Namen haben.

DNS-Namen bestehen aus durch Punkte getrennte Namensteile. Jeder
Teil repräsentiert eine Domäne oder eine Subdomäne im Namensraum.

Der Laptop in der obigen Skizze heisst mit seinem FQDN
laptop1.east.helpandlearn.com
.

Um die DNS-Hierarchie eines FQDN zu verstehen, muss man seinen
Namen von Rechts nach Links lesen.

Ein Hostname kann auch über seinen relativen Namen aufgelöst
werden. Der relative Name ist der Name ohne DNS-Hierarchie. Um einen relativen
Namen eines Hosts auflösen zu können muss sich der Host aber in der selben
Domäne befinden wie der DNS-Server.

Zurück zum Beispiel: Laptop1 ist der relative Name von
laptop1.east.helpandlearn.com. Um Laptop1 auflösen zu können, muss
die Auflösungsanforderung in der East-Domäne gestellt werden.

Interner und externer Namensraum

Die Meinungen, ob sich eine Organisation, die Active Directory
implementiert und über eine Internet-Anbindung verfügt, ihre Root-Domäne bei einem
Internet-Registrar registrieren lassen sollte, gehen auseinander. Microsoft
empfiehlt, den Active Directory
Namensraum unterhalb und getrennt von einer eventuell vorhanden Internet-Domäne
zu implementieren.

Die Firma lars-web.com könnte sich also lars-web.com
registrieren und diese Adresse für ihren öffentlichen Internet-Auftritt nutzen. ad.lars-web.com könnte dann z.B. die Root-Domäne des Active
Directory Namensraums sein. Sie könnte aber auch lars-web.net
registrieren und diesen nur für den internen Namensraum verwenden.

Domäne

Innerhalb Active Directory werden Domänen verwendet um
Verzeichnissicherheit und Ressourcen-Management zu realisieren. User-Accounts
werden innerhalb einer Domäne administriert. Ein Active
Directory-Domänen-Controller kann nur eine Domäne verwalten. Der
Domänen-Controller hält eine Lese-/Schreib-Kopie der Domain Security Database.
Wenn man eine Windows AD-Domäne erstellt, gibt es einige Punkte zu
beachten:

Administrative Grenzen

Zugriffsrechte sind nur innerhalb der jeweiligen Domäne gültig.
Das gleiche gilt für Group Policy Objects (GPO). Auch sie gelten nur für die
jeweiligen Objekte (man kann allerdings GPO explizit zu anderen Domänen linken.

Domain Security Policies

Security Policies sind nur innerhalb einer kompletten Domäne gültig.
Sie
beinhalten

  • Password Policies – Parameter wie Passwort-Länge,
    Passwort-Komplexität und Passwort-Lebensdauer

  • Account Lockout Policy – legt fest, wie das Behandeln von
    möglichen Eindringlingen behandelt wird

  • Kerberos Ticket Policy – definiert die Lebenszeit des sog.
    Kerberos Tickets. Das Kerberos Ticket wird  für die User-Authentifizierung und den Objekt-Zugriff benötigt

Erstellen von Domänen

1. Wählen sie die Forest Root Domain aus. Die Forest Root Domain
ist die erste Domäne im Forest (Forest=Gesamtstruktur). Siehe hierzu auch

„Was ist Active Directory
„.

  • Ist die zu erstellende Domäne die erste Active Directory Domäne,
    wird sie per Standard die erst Domäne im Forest.

  • Wenn die erstellende Domäne einem bereits vorhandenen Active
    Directory Forest beitritt, muss die Forest Root Domain spezifiziert werden. Es
    ist wichtig zu wissen, dass die Domain Administrator Group der Forest Root
    Domain die Möglichkeit hat, die Mitgliedschaft der Enterprise Administrator und
    der Schema Administrator Gruppe zu ändern.

2. Wählen sie den DNS Domänen Name der die zu erstellenden
Domäne aus.

  • Ist die Domäne Tree Root Domain, legen sie einfach einen Namen
    fest, wobei sie gegebenenfalls die Internet-Konnektivität beachten müssen (siehe
    weiter oben)

  • Ist sie Teil eines vorhandenen Active Directory, muss der Name
    Teil eines bereits vorhandenen Active Directory Namensraums sein.

Active Directory Komponenten

3. Implementieren sie die DNS Infrastruktur. DNS wird für Active
Directory benötigt. Wenn sie Active Directory bilden, überprüft das Active
Directory-Setup-Programm (DCPROMO) ob eine DNS-Struktur verfügbar ist. Wenn
nicht, kann man von DCPROMO eine neue DNS-Struktur aufsetzen lassen.

Erstellen von mehreren Domänen

Microsoft empfiehlt nur eine Domäne für Active
Directory
. Es
gibt aber Fälle, in denen mehrere sinnvoll sind:

  • Sicherheitsanforderungen: Unterschiedliche
    Sicherheits-Anforderungen erforderten bis Windows Server 2003 mehrere Domänen.
    Bis 2003 waren z.B. die Password-Polices nur per Domäne möglich.

  • Replizierung: Wenn Standorte einer Firma über schmalbandige
    WAN-Anbindungen an das Active Directory angeschlossen sind, erhöht die
    Verwendung von einer Domäne unter Umständen den  Replizierungs-Verkehr.
    Allerdings kann der Replikations-Verkehr statt durch mehrere
    Domänen auch durch die
    Standort / Site-Funktionalität gesteuert werden.

  • Existierende Struktur. Gibt es z.B. eine Firmenfusion, müssen
    mehrere Domänen verwendet. werden.

Trees und Forests

Ein Tree in Windows ist ein DNS-Namensraum. Ein Active Directory-Tree ist eine Sammlung von Domänen. Er besteht aus einer Single
Tree Root Domain mit Subdomains, die das Active Directory ausmachen.

Es gibt zwei Typen von Namensräumen, die man auseinander halten
muss:

  • Contigous – Zusammenhängend – ein Namensraum wo jede Stufe einer
    Domäne zu einer übergeordneten und untergeordneten gehört.

Active Directory Komponenten

  • Discontiguous –  nicht zusammenhängend – Ein Namensraum,
    der aus verschiedenen Root-Domänen besteht. Microsoft.com und helpandlearn.com
    sind zwei separate (nicht zusammenhängende) Namensräume. Unzusammenhängende
    Namensräume treten immer bei multiplen Trees auf und bilden einem Domain-Forest.

Active Directory Komponenten

Wie DNS ist der Active Directory Tree ein umgekehrter Baum.
Vertrauensstellungen werden automatisch zwischen allen Domänen innerhalb des
Trees gebildet.

Ein Active Directory Tree wird automatisch erzeugt, wenn eine
neue Root-Domäne installiert wird.

So wie der Namensraum eines Active Directory Trees
zusammenhängend ist, ist der eines Forests nicht zusammenhängend.

Ein nicht zusammenhängender Namespace basiert auf verschiedenen
DNS Namen. Help and Learn Inc. kauft zum Beispiel eine andere Firma namens
Marshallsoft mit der root Domain marshallsoft.com. Aufgrund der
unterschiedlichen Namen hat Ihr zusammengefügter Active Directory Umgebung zwei
Trees, die einen Forest bilden.

Active Directory Standorte – Active Directory Sites

Standorte werden dazu verwendet, die logische Struktur von
Netzen wiederzugeben. sie bestimmen auch die Art und Weise, wie repliziert wird:
Alle Domänen-Controller an einem Standort replizieren immer alle 5 Minuten, oder
wenn eine bestimmte Anzahl von Änderungen überschritten wurde.
Domänen-Controller an verschiedenen Standorten replizieren in weitaus größeren
Intervallen und strikt nach Zeitplan, unabhängig davon, wie viele Änderungen
aufgetreten sind.

Die Standort-Topologie hängt überhaupt nicht mit der
Domain-Hierarchie zusammen. Eine einzelne Domäne kann auf viele Standorte
verteilt sein oder ein Standort kann mehrere Domänen enthalten.

Wie sollen Standorte verteilt werden?

Ein Standort ist normalerweise ein TCP/IP-Subnetz, das mit einer
grossen Bandbreite miteinander vernetzt ist. Subnetze, die durch langsame WAN-Verbindungen verbunden sind, sollten immer auf verschiedene Standorte
verteilt werden.

Ein Site-Link (Standort-Verknüpfung) ist die Verbindung zwischen
zwei oder mehr Standorten und wird durch 4 Eigenschaften bestimmt:

  • Cost Active Directory – Dem Link kann ein Kost-Wert
    zugeordnet werden, der bei Replikationen ausgewertet wird. Dadurch kann
    das Fehlertoleranz-Verhalten beeinflusst werden. Existieren z.B. zwei Links mit
    unterschiedlichem Wert, wird so lange die Verbindung mit den geringeren Kosten
    verwendet, bis diese ausfällt.

  • Replication Schedule – Dieser Wert gibt an, wann die
    Verbindung für Replikationen verfügbar ist.  Man kann diesen Wert z.B. so
    setzen, dass nur nachts repliziert wird.

  • Replication Interval – Mit diesem Wert kann das Intervall
    festgelegt werden, zu dem die Replizierung zwischen Standorten erfolgen soll.

  • Transport – Mit diesem Wert legt man das
    Transportprotokoll fest. Man sollte hier RPC over IP verwenden. Ist dies
    aufgrund Firewall-Beschränkungen o. ä. nicht möglich, kann man auch SMTP over IP
    verwenden.

Clients und Server sind mit Standorten verbunden

Beim Hochbooten sucht der Windows Client nach einem
Domänen-Controller in seiner Domäne. Dieser analysiert die IP-Adresse des
Clients und stellt fest, zu welchem Standort er gehört. Der Domänen-Controller
gibt den Standortnamen  zurück, der Clients legt diese Information in
seinem Cache ab. Der Client benutzt diese Information, um Ressourcen innerhalb
seines Standortes festzustellen

KCC verwendet die Standort-Topologie um Replikationen
festzulegen

Der KCC (Knowledge Conistency Checker) läuft, sobald mehrere
Domänen vorhanden sind. Er versucht möglichst automatisch die
Replikations-Topology festzulegen sowie Fehler in der Replikation zu beheben.

Intrasite gegenüber Intersite Replikation

Es gibt zwei Arten von Replikations-Verkehr innerhalb des AD,
intrasite und intersite. Als intrasite traffic betrachtet man den
Replikationsverkehr, der innerhalb eines Standortes statt findet. Intersite
replication traffic ist der Replikationsverkehr zwischen verschiedenen
Standorten.

Intrasite Intersite
unkomprimiert komprimiert
Replikationspartner melden gegenseitig, wenn repliziert
werden muss
Replikationspartner melden nicht, wenn repliziert werden
muss
Replikationspartner replizieren periodisch Replikationspartner replizieren periodisch aber immer nur zu
den festgelegten Intervallen
RCP over IP RCP over IP oder SMTP over IP
Replizierungs-Verbindungen können zwischen allen
Domänen-Controllern eines Standortes gebildet werden
Replizierungs-Verbindungen können nur zwischen sog.
bridgehead servern gebildet werden. Ein bridgehead servern wird mit dem KCC
Tool erstellt. Bridgehead Server eines Standortes sind für die
intersite-Replikation verantwortlich.

Standort Topologie Information befindet sich im Configuration
Container

Informationen zum Standort (Standornamen,
Replikationsverbindungen, Subnetze u. m.) werden in der
Standardanwendungs-Verzeichnispartition abgespeichert. Diese wiederum wird zu jedem Domänen Controller im gesamten Forest repliziert. So wird sichergestellt, dass Standort-Änderungen nach und
nach im gesamten AD bekannt werden.

Organisationseinheiten

Mit Organisationseinheiten (OE, Origanisation Units, OU) können Strukturen
geschaffen werden, die die Administration vereinfachen: Organisationseinheiten
bilden innerhalb Domänen eine besonders nützliche Art von Verzeichnisobjekten.
Organisationseinheiten sind Container innerhalb des AD, denen man Benutzer,
Gruppen, Computer und andere Organisationseinheiten hinzufügen können. Auch
Objekte aus anderen Domänen können in einer Organisationseinheit enthalten sein.

Eine Organisationseinheit stellt den kleinsten Bereich oder die kleinste
Einheit dar, der Gruppenrichtlinieneinstellungen zugewiesen oder an die
Administratorrechte delegiert werden können. Mit Hilfe von
Organisationseinheiten können sie innerhalb einer Domäne Container erstellen,
die die hierarchischen, logischen Strukturen innerhalb Ihrer Organisation
widerspiegeln. Auf diese Weise kann die Konfiguration und die Konten- und
Ressourcenverwendung in Anpassung an das Organisationsmodell verwaltet werden.
Durch die Verwendung von Organisationseinheiten kann somit die Anzahl der für
das Netzwerk benötigten Domänen u. U. minimiert werden.

 

Weitere Informationen / Quellen

Achtung!

Dieser Artikel wurde automatisiert vom alten CMS übernommen. Dort war er zuletzt am 05.08.2017 geändert worden. Bei der Konvertierung können sich Fehler eingeschlichen haben, wie zum Beispiel falsche Zeilenumbrüche, fehlende Bilder oder fehlende Zeichen. Wenn du einen solchen Fehler entdeckst, dann schreibe doch bitte einen Kommentar, damit ich das beheben kann.

Vielen Dank für deine Mühe.


Hat dir der Artikel gefallen? Dann freue ich mich, wenn du ein Like hinterlässt und ihn teilst.
Herzlichen Dank.

Kommentar hinterlassen

Deine E-Mail-Adresse wird nicht veröffentlicht. Erforderliche Felder sind mit * markiert.