Active Directory - Komponenten (DNS, Domain, Site, OU)

Zuletzt aktualisiert am 27. September 2020 von Lars

DNS und Domain Namespace

Active Directory nutzt den Domain Naming Service (DNS) als Standard zur Namensauflösung für Objekte. Alle Hosts in einem TCP/IP basierenden Netzwerk müssen eine gültige eindeutige IP-Adresse haben. Eine IP-Adresse ist eine 32-Bit Binär-Nummer.

Sie wird in einer punktierten Notation dargestellt, wie z.B. 192.168.0.1. Diese Adressen sind sehr schlecht zu merken. Abhilfe schafft hier DNS. DNS liefert zu einem Domänen-Namen die zugehörige IP-Adressen: Anstatt sich also die Adresse 192.168.0.1 zu merken, kann man ein Ressource Record
erstellen, in dem 192.168.0.1 auf COMPUTER1 verweist.

Ein anderer Vorteil von DNS ist, dass sich IP-Adressen in Netzwerken ändern können. Um beim obigen Beispiel zu bleiben, kann sich die Adresse von COMPUTER1 von 192.168.0.1 auf 192.168.0.37 ändern. In diesem Fall wird das DNS-Record für COMPUTER1 von 192.168.0.1 auf 192.168.0.37 geändert. Benutzer und Applikationen verweisen immer noch auf COMPUTER1 - für sie ist die Änderung also transparent.

DNS ist eine hierarchisches System und als verteilte Datenbank in einer umgekehrten Baumstruktur aufgebaut.

Die Wurzel des Baumes ist die so genannte Root. sie wird normalerweise durch einen Punkt "." repräsentiert. Die Wurzel ist der Beginn des Namensraumes.

Active Directory Komponenten

Die obige Zeichnung zeigt den Internet Domänen-Namensraum (Internet Domain Namespace). Unter der Wurzel Root sind die Verzeichnisse mit den Hauptkategorien wie COM, DE, AT und NET. Domänen können Hosts (Computer, Server) enthalten und Subdomains. Im Internet sind diese Subdomänen Firmen und Organisationen, wie z.B. Microsoft.com oder adac.de.

Active Directory benutzt die selben Regeln und Prozeduren wie DNS um Domänen und Computernamen zu bestimmen.

Wenn ein Client auf das Active Directory zugreifen will., wird DNS benutzt, um dessen Standort innerhalb des Active Directory zu bestimmen. Wenn DNS auf dem Client daher falsch konfiguriert ist schlägt diese Aktion fehl.

Beispiel:

Eine Organisation namens Help and Learn Inc. führt Active Directory ein.
Help and Learn hat zwei Filialen, genannt Ost (East) und West (West).


Helpandlearn.com
ist der Domänen-Namen. Ost und West sollen als Subdomänen aufgesetzt werden. Ein Computer namens laptop1 in der Ost-Filiale hätte dann den Namen laptop1.east.helpandlearn.com.

Active Directory Komponenten

Mögliche DNS-Namen

Es gibt zwei wichtige Regeln bei DNS-Namen

  • Eine Child-Domain kann nur eine Parent-Domain haben. Beispiel: Wenn die Domäne public eine child Domain von microsoft.com ist, kann sie keine Child-Domäne von msn.com sein. Schaut  man sich den FQDN (Fully Qualified Domain Name - Vollständiger Name) an, wird klar.  public.microsoft.com ist eine andere Domäne wie public.msn.com.

  • Child-Domänen einer gleichen Parent-Domain müssen immer unterschiedliche Namen haben.

DNS-Namen bestehen aus durch Punkte getrennte Namensteile. Jeder Teil repräsentiert eine Domäne oder eine Subdomäne im Namensraum.

Der Laptop in der obigen Skizze heisst mit seinem FQDN  laptop1.east.helpandlearn.com.

Um die DNS-Hierarchie eines FQDN zu verstehen, muss man seinen Namen von Rechts nach Links lesen.

Ein Hostname kann auch über seinen relativen Namen aufgelöst werden. Der relative Name ist der Name ohne DNS-Hierarchie. Um einen relativen Namen eines Hosts auflösen zu können muss sich der Host aber in der selben Domäne befinden wie der DNS-Server.

Zurück zum Beispiel: Laptop1 ist der relative Name von laptop1.east.helpandlearn.com. Um Laptop1 auflösen zu können, muss die Auflösungsanforderung in der East-Domäne gestellt werden.

Interner und externer Namensraum

Die Meinungen, ob sich eine Organisation, die Active Directory implementiert und über eine Internet-Anbindung verfügt, ihre Root-Domäne bei einem Internet-Registrar registrieren lassen sollte, gehen auseinander. Microsoft empfiehlt, den Active Directory Namensraum unterhalb und getrennt von einer eventuell vorhanden Internet-Domäne zu implementieren.

Die Firma lars-web.com könnte sich also lars-web.com registrieren und diese Adresse für ihren öffentlichen Internet-Auftritt nutzen. ad.lars-web.com könnte dann z.B. die Root-Domäne des Active
Directory Namensraums sein. Sie könnte aber auch lars-web.net registrieren und diesen nur für den internen Namensraum verwenden.

Domäne

Innerhalb Active Directory werden Domänen verwendet um Verzeichnissicherheit und Ressourcen-Management zu realisieren. User-Accounts werden innerhalb einer Domäne administriert. Ein Active
Directory-Domänen-Controller kann nur eine Domäne verwalten. Der Domänen-Controller hält eine Lese-/Schreib-Kopie der Domain Security Database. Wenn man eine Windows AD-Domäne erstellt, gibt es einige Punkte zu beachten:

Administrative Grenzen

Zugriffsrechte sind nur innerhalb der jeweiligen Domäne gültig. Das gleiche gilt für Group Policy Objects (GPO). Auch sie gelten nur für die jeweiligen Objekte (man kann allerdings GPO explizit zu anderen Domänen linken.

Domain Security Policies

Security Policies sind nur innerhalb einer kompletten Domäne gültig.
Sie beinhalten:

  • Password Policies - Parameter wie Passwort-Länge, Passwort-Komplexität und Passwort-Lebensdauer

  • Account Lockout Policy - legt fest, wie das Behandeln von möglichen Eindringlingen behandelt wird

  • Kerberos Ticket Policy - definiert die Lebenszeit des sog. Kerberos Tickets. Das Kerberos Ticket wird  für die User-Authentifizierung und den Objekt-Zugriff benötigt

Erstellen von Domänen

1. Wählen sie die Forest Root Domain aus. Die Forest Root Domain ist die erste Domäne im Forest (Forest=Gesamtstruktur). Siehe hierzu auch "Was ist Active Directory".

  • Ist die zu erstellende Domäne die erste Active Directory Domäne, wird sie per Standard die erst Domäne im Forest.

  • Wenn die erstellende Domäne einem bereits vorhandenen Active Directory Forest beitritt, muss die Forest Root Domain spezifiziert werden. Es ist wichtig zu wissen, dass die Domain Administrator Group der Forest Root Domain die Möglichkeit hat, die Mitgliedschaft der Enterprise Administrator und der Schema Administrator Gruppe zu ändern.

2. Wählen sie den DNS Domänen Name der die zu erstellenden Domäne aus.

  • Ist die Domäne Tree Root Domain, legen sie einfach einen Namen fest, wobei sie gegebenenfalls die Internet-Konnektivität beachten müssen (siehe weiter oben)

  • Ist sie Teil eines vorhandenen Active Directory, muss der Name Teil eines bereits vorhandenen Active Directory Namensraums sein.

Active Directory Komponenten

3. Implementieren sie die DNS Infrastruktur. DNS wird für Active Directory benötigt. Wenn sie Active Directory bilden, überprüft das Active Directory-Setup-Programm (DCPROMO) ob eine DNS-Struktur verfügbar ist. Wenn nicht, kann man von DCPROMO eine neue DNS-Struktur aufsetzen lassen.

Erstellen von mehreren Domänen

Microsoft empfiehlt nur eine Domäne für Active Directory.

Es gibt aber Fälle, in denen mehrere sinnvoll sind:

  • Sicherheitsanforderungen: Unterschiedliche Sicherheits-Anforderungen erforderten bis Windows Server 2003 mehrere Domänen. Bis 2003 waren z.B. die Password-Polices nur per Domäne möglich.

  • Replizierung: Wenn Standorte einer Firma über schmalbandige WAN-Anbindungen an das Active Directory angeschlossen sind, erhöht die Verwendung von einer Domäne unter Umständen den  Replizierungs-Verkehr. Allerdings kann der Replikations-Verkehr statt durch mehrere
    Domänen auch durch die Standort / Site-Funktionalität gesteuert werden.

  • Existierende Struktur. Gibt es z.B. eine Firmenfusion, müssen mehrere Domänen verwendet. werden.

Trees und Forests

Ein Tree in Windows ist ein DNS-Namensraum. Ein Active Directory-Tree ist eine Sammlung von Domänen. Er besteht aus einer Single Tree Root Domain mit Subdomains, die das Active Directory ausmachen.

Es gibt zwei Typen von Namensräumen, die man auseinander halten muss:

  • Contigous - Zusammenhängend - ein Namensraum wo jede Stufe einer Domäne zu einer übergeordneten und untergeordneten gehört.

Active Directory Komponenten

  • Discontiguous -  nicht zusammenhängend - Ein Namensraum, der aus verschiedenen Root-Domänen besteht. Microsoft.com und helpandlearn.com sind zwei separate (nicht zusammenhängende) Namensräume. Unzusammenhängende Namensräume treten immer bei multiplen Trees auf und bilden einem Domain-Forest.

Active Directory Komponenten

Wie DNS ist der Active Directory Tree ein umgekehrter Baum. Vertrauensstellungen werden automatisch zwischen allen Domänen innerhalb des Trees gebildet.

Ein Active Directory Tree wird automatisch erzeugt, wenn eine neue Root-Domäne installiert wird.

So wie der Namensraum eines Active Directory Trees zusammenhängend ist, ist der eines Forests nicht zusammenhängend.

Ein nicht zusammenhängender Namespace basiert auf verschiedenen DNS Namen. Help and Learn Inc. kauft zum Beispiel eine andere Firma namens Marshallsoft mit der root Domain marshallsoft.com. Aufgrund der unterschiedlichen Namen hat Ihr zusammengefügter Active Directory Umgebung zwei
Trees, die einen Forest bilden.

Active Directory Standorte - Active Directory Sites

Standorte werden dazu verwendet, die logische Struktur von Netzen wiederzugeben. sie bestimmen auch die Art und Weise, wie repliziert wird: Alle Domänen-Controller an einem Standort replizieren immer alle 5 Minuten, oder wenn eine bestimmte Anzahl von Änderungen überschritten wurde.
Domänen-Controller an verschiedenen Standorten replizieren in weitaus größeren Intervallen und strikt nach Zeitplan, unabhängig davon, wie viele Änderungen aufgetreten sind.

Die Standort-Topologie hängt überhaupt nicht mit der Domain-Hierarchie zusammen. Eine einzelne Domäne kann auf viele Standorte verteilt sein oder ein Standort kann mehrere Domänen enthalten.

Wie sollen Standorte verteilt werden?

Ein Standort ist normalerweise ein TCP/IP-Subnetz, das mit einer grossen Bandbreite miteinander vernetzt ist. Subnetze, die durch langsame WAN-Verbindungen verbunden sind, sollten immer auf verschiedene Standorte verteilt werden.

Ein Site-Link (Standort-Verknüpfung) ist die Verbindung zwischen zwei oder mehr Standorten und wird durch 4 Eigenschaften bestimmt:

  • Cost Active Directory - Dem Link kann ein Kost-Wert zugeordnet werden, der bei Replikationen ausgewertet wird. Dadurch kann das Fehlertoleranz-Verhalten beeinflusst werden. Existieren z.B. zwei Links mit unterschiedlichem Wert, wird so lange die Verbindung mit den geringeren Kosten
    verwendet, bis diese ausfällt.

  • Replication Schedule - Dieser Wert gibt an, wann die Verbindung für Replikationen verfügbar ist.  Man kann diesen Wert z.B. so setzen, dass nur nachts repliziert wird.

  • Replication Interval - Mit diesem Wert kann das Intervall festgelegt werden, zu dem die Replizierung zwischen Standorten erfolgen soll.

  • Transport - Mit diesem Wert legt man das Transportprotokoll fest. Man sollte hier RPC over IP verwenden. Ist dies aufgrund Firewall-Beschränkungen o. ä. nicht möglich, kann man auch SMTP over IP verwenden.

Clients und Server sind mit Standorten verbunden

Beim Hochbooten sucht der Windows Client nach einem Domänen-Controller in seiner Domäne. Dieser analysiert die IP-Adresse des Clients und stellt fest, zu welchem Standort er gehört. Der Domänen-Controller gibt den Standortnamen  zurück, der Clients legt diese Information in seinem Cache ab. Der Client benutzt diese Information, um Ressourcen innerhalb seines Standortes festzustellen

KCC verwendet die Standort-Topologie um Replikationen
festzulegen

Der KCC (Knowledge Conistency Checker) läuft, sobald mehrere Domänen vorhanden sind. Er versucht möglichst automatisch die Replikations-Topology festzulegen sowie Fehler in der Replikation zu beheben.

Intrasite gegenüber Intersite Replikation

Es gibt zwei Arten von Replikations-Verkehr innerhalb des AD,
intrasite und intersite. Als intrasite traffic betrachtet man den
Replikationsverkehr, der innerhalb eines Standortes statt findet. Intersite
replication traffic ist der Replikationsverkehr zwischen verschiedenen
Standorten.

IntrasiteIntersite
unkomprimiertkomprimiert
Replikationspartner melden gegenseitig, wenn repliziert
werden muss
Replikationspartner melden nicht, wenn repliziert werden
muss
Replikationspartner replizieren periodischReplikationspartner replizieren periodisch aber immer nur zu
den festgelegten Intervallen
RCP over IPRCP over IP oder SMTP over IP
Replizierungs-Verbindungen können zwischen allen
Domänen-Controllern eines Standortes gebildet werden
Replizierungs-Verbindungen können nur zwischen sog.
bridgehead servern gebildet werden. Ein bridgehead servern wird mit dem KCC
Tool erstellt. Bridgehead Server eines Standortes sind für die
intersite-Replikation verantwortlich.

Standort Topologie Information befindet sich im Configuration
Container

Informationen zum Standort (Standornamen,
Replikationsverbindungen, Subnetze u. m.) werden in der
Standardanwendungs-Verzeichnispartition abgespeichert. Diese wiederum wird zu jedem Domänen Controller im gesamten Forest repliziert. So wird sichergestellt, dass Standort-Änderungen nach und
nach im gesamten AD bekannt werden.

Organisationseinheiten

Mit Organisationseinheiten (OE, Origanisation Units, OU) können Strukturen geschaffen werden, die die Administration vereinfachen: Organisationseinheiten bilden innerhalb Domänen eine besonders nützliche Art von Verzeichnisobjekten.

Organisationseinheiten sind Container innerhalb des AD, denen man Benutzer, Gruppen, Computer und andere Organisationseinheiten hinzufügen können. Auch Objekte aus anderen Domänen können in einer Organisationseinheit enthalten sein.

Eine Organisationseinheit stellt den kleinsten Bereich oder die kleinste Einheit dar, der Gruppenrichtlinieneinstellungen zugewiesen oder an die Administratorrechte delegiert werden können. Mit Hilfe von Organisationseinheiten können sie innerhalb einer Domäne Container erstellen, die die hierarchischen, logischen Strukturen innerhalb Ihrer Organisation widerspiegeln. Auf diese Weise kann die Konfiguration und die Konten- und Ressourcenverwendung in Anpassung an das Organisationsmodell verwaltet werden.

Durch die Verwendung von Organisationseinheiten kann somit die Anzahl der für das Netzwerk benötigten Domänen u. U. minimiert werden.

Weitere Informationen / Quellen

Du willst meine Arbeit unterstützen? Dann freue ich mich über eine kleine Spende!

Kommentar hinterlassen

Deine E-Mail-Adresse wird nicht veröffentlicht. Erforderliche Felder sind mit * markiert