LWsystems berät und betreut Sie in allen Fragen Ihrer IT.
Rufen Sie einfach an!

05451 - 9363 845 oder 05403 - 55 56

Active Directory

Nächste Seite: Anhang Aufwärts: Einführung in Windows 2000 Vorherige Seite: Domänenstrukturen   Index


Unterabschnitte

• Aufbau des Active Directory
  • Objekthierarchie
  • Globaler Katalog
  • Physische Struktur
  • Backup des Active Directory
  
  
• Operations Master

---

Active Directory

Das sogenannte Active Directory ist die Verzeichnisdatenbank von Windows 2000. Hier werden Informationen zu allen Objekten im Netzwerk gespeichert. Active Directory Objekte sind:

• Benutzer
• Gruppen
• Computer
• Drucker
• Server
• Domänen
• Standorte

Das Directory ist als verteilte Datenbank aufgebaut, so daß die Administration an den Objekten dezentral erfolgen kann.

Aufbau des Active Directory

Der Aufbau des Verzeichnisses wird zuerst durch das Schema vorgegeben. Dieses enthält Definitionen aller Objekttypen, wie z.B. Benutzer oder Computer, die im Active Directory angelegt und verwaltet werden können. Im Schema können grundsätzlich zwei verschiedene Eintragstypen definiert werden.

Objektklassen

beschreiben die möglichen Verzeichnisobjekte, die erstellt werden können.

Attribute

werden den einzelenen Objektklassen zugeordnet und beschreiben das einzelne Objekt genau. Attribute werden hier nur einmal definiert. Die Zuordnung von Attributen zu Objektklassen erfolgt über eine Art Pointer, so daß eine Änderung an einem Attribut sich auf alle Attribute dieses Typs in allen Objektklassen auswirkt.

Das Schema ist zentral für alle Objekte gültig und kann dynamisch geändert werden. Die Änderungen wirken sich nach einer gewissen Replikationsdauer auf alle Objekte im Verzeichnis aus.

Der Zugriff auf das Gesamtschema des Verzeichnisses wird über die DACL (Discretionaly Access Control List) gesteuert, so daß nur bestimmte Accounts Änderungen am Schema vornehmen können.

Objekthierarchie

Die Hierarchie der Objekte in Active Directory ist wie ein Verzeichnisbaum aufgebaut. Hierarchisch besteht hier folgende Reihenfolge:

1. Forest (Gesamtstruktur)
2. Tree (Struktur)
3. Domäne
4. Organisationseinheit (OU)

Die einzelnene, strukturbestimmenden Objekte habe die folgenden Funktionen:

Forest

(auch: Gesamtstruktur) Wenn zwischen mehreren Strukturen Vertrauensstellungen aufgebaut werden, bilden diese die sogenannte Gesamtstruktur oder Forest. Die Gesamtstruktur wird also gebildet, in dem zwischen den einzelnen Trees Vertrauensstellungen aufgebaut werden. Diese sind automatisch bidirektional und transitiv. Dieses Konstrukt ist dadurch gekennzeichnet, daß es keinen gemeinsamen Namensraum nutzt. Allerdings wird ein gemeinsames VerzeichnisSchema und ein gemeinsamer globaler Katalog genutzt. Wie oben angedeutet, wird die zuerst erstellte Domäne der Gesamtstruktur auch die Stammdomäne der Gesamtstruktur.

Eine einzelne standalone Struktur, stellt automatisch eine Gesamtstruktur dar, die aus einer einzigen Struktur besteht. Jede Stammdomäne einer Struktur besitzt daher eine transitive Vertrauensstellung mit der Stammdomäne der Gesamtstruktur. Das Konstrukt der Gesamtstrukturen bietet also die Möglichkeit, einer bestehenden Domänenhierarchie eine Domäne hinzuzufügen, ohne daß diese in den Namensraum der vorhandenen Domänenstruktur aufgenommen werden muß. Da die der Gesamtstruktur hinzugefügte Domäne(nstruktur) automatisch bidirektionale und transitve Vertrauensstellungen zur Stammdomäne der Gesamtstruktur besitzt, werden die Vertrauensstellungen innerhalb der Gesamtstruktur über die Namensräume hinweg vererbt.

Tree

Als Tree (Struktur) wird eine hierarchische Anordnung von W2K Domänen bezeichnet, die einen zusammenhängenden (DNS-) Namensraum verwenden. Die erste Domäne, die erstellt wird ist automatisch die Stammdomäne des Forest.

Die Struktur eines Active Directory ist direkt auf dem DNS-Namensraum abgebildet. Ein AD-Baum entspricht dem DNS-Baum, so daß für jede (Sub-) Domain ein einzelner Baum entsteht. Wird einer vorhandenen Struktur eine neue Domäne hinzugefügt, wird diese der Stammdomäne der Struktur untergeordnet. Der Domänenname setzt sich jetzt aus dem eigentlichen Namen der Domäne und dem DNS Namen der Struktur zusammen. Hierbei wird rechts an den Namen der neuen Domäne der Name der Gesamtstruktur angehängt, so daß sich die neue Domäne eindeutig im DNS Namensraum zuordnen läßt.

Die untergeordneten Domänen besitzen bidirektionale und transitive Vertrauensstellungen zur übergreifenden Domäne. Aufgrund der transitiven Vertrauensstellungen vertrauen alle Domänen der Struktur einander direkt oder indirekt, da eine Vererbung der Vertrauensstellungen innerhalb der Domäne stattfindet.

Domänen

Eine Domäne ist eine Sammlung von Computern, die durch die Administration festgelegt wird. Die Domäne muß einen netzwerkweiten, eindeutigen Namen besitzen, damit die Zuordnung der Ressourcen der Domäne im gesamten Netzwerk eindeutig ist. Sie stellt den Zugriff auf die zentralisierten Benuter- und Gruppenkonten zur Verfügung. Die Verwaltung der Domäne obliegt dem Domänenadministrator. Somit stellt die Domänen auch eine Sicherheitsgrenze zu anderen Domänen dar. Der Domänenadministrator besitzt nur Rechte innerhalb dieser einen Domäne, wenn ihm nicht explizit auch Rechte an anderen Domänen zugewiesen wurden.

Alle Mitglieder einer Domäne verwenden gemeinsam eine Verzeichnisdatenbank. Diese wird auf allen Domänencontrollern dieser Domäne replieziert, so daß sie vollständig auf allen Domänencontrollern vorliegt.

Organisationseinheit (OU)

Eine Organisationseinheit ist ein Containerobjekt, daß zum Gruppieren anderer Objekte im AD dient. Eine Organisationseinheit kann neben Objekten auch andere Organisationseinheiten enthalten. Die Hierarchie der Organisationseinheiten kann innerhalb einer Domäne frei gewählt werden. In der Regel richtet sie sich nach den Netzwerkstrukturen (Netzwerkverwaltungsmodell) oder nach der Organisationsstruktur des Unternehmens.

Verwaltungsaufgaben an Objekten einer OU können an bestimmte Bentzer deligiert werden. Hierzu werden diesen Accounts die Berechtigungenen für die Organisationseinheit und den enthaltenen Objekten zugewiesen. Hierbei kann sowohl die volle Kontrolle über die Objekte eingestellt werden, wie auch nur eingeschränkte Verwaltungsmöglichkeiten.

Globaler Katalog

Die Gesamtstruktur stützt sich auf den globalen Katalog. Hier werden die Objektattribute gespeichert, die am häufigsten bei Abfragen benötigt werden. Hierunter fallen z.B. Namen und Anmeldenamen von Accounts. Im globalen Katalog sind außerdem alle Angaben gespeichert, die nötig sind, den Speicherort eines bestimmten Objektes zu ermitteln. Der globale Katalog wird also genutzt, um Abfragen und den Anmeldevorgang zu beschleunigen und um die Speicherorte der einzelnen Objekte ermitteln zu können. Des weiteren sind hier die Zugriffsberechtigungen für jedes Objekt und Attribut des globalen Katalogs gespeichert, um bestimmen zu können ob und wie ein bestimmter Account Zugriff auf diese Information haben darf.

Zur weiteren Beschleunigung wurde der globale Katalogserver eingeführt, der eine Kopie der Abfragen speichert und diese an den globalen Katalog zur Abfrage weiterleitet. Der erste in AD erstellte Domänencontroller wird automatisch der globale Katalogsever. Zum Lastenausgleich können mehrere Katalogserver aufgesetzt werden.

Physische Struktur

Die logische Struktur von AD, die in Strukturen, Domänen und OUs aufgeteilt ist, wird von der physischen Struktur des Netzwerks getrennt. Die logische Struktur dient dazu, die Verwaltung der Netzwerkressourchen zu organisieren, während die physische Struktur sich auf den Netzwerkverkehr auswirkt. Die physische Struktur des AD Netzwerks wird durch die beiden Komponenten

• Domänencontroller und
• Standorte

abgebildet. Die physische Struktur legt fest, wie der Datenverkehr für die Anmeldung verläuft und über welche Verbindungen die Replikationen erfolgen.

Sites (Standorte)

Als Standort der phyische Teilbereich eines Netzwerks bezeichnet, dessen einzelne Teilnetze mit Hochgeschwindigkeitsleitungen verbunden sind. In der Regel sind sieses LAN-Netze, können jedoch auch über hochgeschwindigkeits WAN Verbindungen laufen. Mit Hilfe dieses Konstrukts kann das Netzwerk so aufgebaut werden, daß die Replikationen über Verbindungen mit genügend Bandbreite abgewickelt werden. Falls im Standort ein Domänencontroller installiert ist, verbleibt der Anmeldeverkehr innerhalb eines Standortes, so daß die Anmeldung auch komplett über schnelle Verbindungen abgewickelt wird und die Verzögerungen somit gering gehalten werden. In jeder Site sollte aus Gründen des schnellen Zugriffs zumindest ein globaler Katalogserver und ein Domänencontroller installiert werden.

Die Konfiguration der Sites erfolgt mit Hilfe des MMC-Snap-In Active Directory Standorte und -Dienste. Hier werden die einzelnen Domänen und die Netzwerkverbindungen zu einem Standort hinzugefügt. Die Verbindung zwischen den Standorten werden über die sogenannten Site Links festgelegt. Dieses sind zumeist Verbindungen mit niedrigerer Bandbreite. Hierbei läßt sich auch einstellen, wann und wie der Datenverkehr zur Replizierung über diese Verbindungen abgewickelt wird. Die Replizierung innerhalb eines Standorts wird als Intra-Site (standortintern) bezeichnet. Diese findet wesentlich häufiger statt als eine standortübergreifende (Inter-Site) Replizierung.

Per Default erfolgt die Replizierung über RPC (Remote Procedure Call). Inter-Site Replikationen können aus Gründen der Bandbreitenbeschränkung so konfiguriert werden, daß sie über SMTP (Simple Mail Transfer Protocol) abgewickelt werden. Hierbei werden Emails verschickt (SMTP), die komprimierte verschlüsselte Replikationsinformationen enthalten. Die Email muß zudem von einer Zertifizierungsautorität signiert werden. Daher ist die Installation einer Zertifizierungsautorität (CA) zur notwendig. Diese Option ist allerdings nur für die Replikation zwischen verschiedenen Domänen möglich. Standortübergreifende Replikationen innerhalb einer Domän erfolgt immer direkt über IP.

Backup des Active Directory

In einer Domänenstruktur mit mehreren Domänencontrollern ist ein ist ein Komplettausfall aufgrund der verteilten Datenbankstruktur des AD eher unwarscheinlich. Die Informationen werden in mehr oder weniger regelmäßigen Abständen auf die anderen Domänencontroller repliziert, so daß die Datenbank nach einiger Zeit redundant vorliegt. Aus Sicherheitsgründen^24.1 sollte aber auf jeden Fall auch ein Backup des Active Directory erfolgen.

Ein Restore der Daten wird in der Regel vor allem dann benötigt, falls versehentlich Daten innerhalb der AD Struktur gelöscht wurden. Hier wird kein Vollrestore benötigt, sondern nur ein eine Teilwiederherstellung. Bei der Wiederherstellung kann zwischen einer autoritativen^24.2Wiederherstellung des AD und einer nicht authoritativen gewählt werden. Die Daten, die bei der autoritative Wiederherstellung eingespielt werden werden an die anderen Domänencontroller repliziert und überschreiben dort andere Einstellungen. Die nicht autoritativ wiederhergestellten Daten werden nur auf einem Domänencontroller gehalten und beim nächsten Replizierungsvorgang wieder überschrieben.

Durchführung eines Restore des Active Directoy

Zur Durchführung des autoritativen Restores muß der Rechner im Modus für die Wiederherstellung der Verzeichnisdienste gestartet werden. Anschließend kann das Verzeichnis SYSVOL und das Active Directory wiederhergestellt werden. Falls eine authoritative Wiederherstellung erfolgen soll, wird jetzt das Konsolenprogramm ntdsutil gestartet. Hiermit können AD-Objekte für die maßgebende Wiederherstellung markiert werden, indem die Sequenzunummer der Objekte für die Replizierung soweit inkrementiert wird, daß sie größer ist als die der anderen Aktualisierungsnummern. Das Objekt wird dann bei der Replizierung nicht von anderen überschrieben, sondern überschreibt selbst die Einstellungen auf den anderen Domänen Controllern.

Anschließend muß der Rechner auf neu gestartet werden um wieder im normalen Modus zu laufen. Die Wiederherstellung der Systemstatusdaten kann nur am lokalen Computer erfolgen. Eine Remote-Wiederherstellung ist nicht möglich.

Operations Master

Die Replizierung der Verzeichnisdatenbank arbeitet im Mulitmaster- Betrieb. Bei verschiedenen Aufgabenstellungen könnte diese Betriebsart jedoch zu Konflikten führen, so daß der Betrieb empfindlich gestört werden würde. Hierfür wurden verschiedene Aufgabenbereiche aus dem Multimasterbetrieb ausgekoppelt und dürfen nur im Einzelmasterbetrieb durchgeführt werden. Diese Rolle übernimmt ein Domänencontroller, der als einziger im gesamten Forest oder Tree diese Rolle ausführen darf. Dieser Domänencontroller wird dann Operations Master (deutsch: Betriebsmaster) genannt. Die folgenden Aufgabenbereiche dürfen nur im Einzelmasterbetrieb ausgeführt werden:

Schemamaster

Der Schemamaster überwacht die Änderungen am AD- Schema. Es darf zum selben Zeitpunkt nur ein Schemamaster im Forest existieren.
Um das Schema des Forest zu ändern, benötigt der Administrator Zugriff zu dem Schemamaster DC und muß Mitglied der Gruppe Schema Admins sein.

Domain Naming Master

(deutsch: DNS- Master) Der Domain Naming Master ist für das Hinzufügen und Entfernen von Domänen aus dem Forest verantwortlich. Diese Rolle sollte eine Maschine übernehmen, auf der auch der Globale Katalog lokalisiert ist. Auch diese Rolle darf zur gleichen Zeit nur einmal im Forest vorhanden sein.

PDC-Emulator

Der PDC-Emulator zeichnet für die pre W2K Clients verantwortlich. Er ist der Einzelmaster für die eventuell noch vorhandenen BDCs in der Domäne. Mit Hilfe des PDC- Emulators können z.B. Clients, die kein AD unterstützen, z.B. ihre Passwortänderungen vornehmen. Die Rolle des PDC- Emulators muß domänenweit einmalig definiert werden.

RID-Master

Der RID-Master weist den Domänencontrollern einer Domäne Seqenzen von relativen IDs (RIDs) zu. Die Domänencontroller fordern beim RID-Master einen Pool von RIDs an, die sie zur Generierung von Security-IDs (SIDs) benötigen. Ein Objekt wird über die SID eindeutig gekennzeichnet. Diese besteht unter anderem aus der Domänen-SID und der RID. Die Domänen SID ist innerhalb des Forests, die RID innerhalb der Domäne eindeutig, so daß jedes Objekt im Forest eindeutig identifiziert werden kann. Da der RID Master eine domäneneindeutige ID erzeugt darf er nur einmal in der Domäne vorkommen. Der RID Master wird auch benötigt, falls ein Objekt von einer Domäne zu einer anderen mit Hilfe des Befehls movetree verschoben wird.

Infrastrukturmaster

Der Infrastrukturmaster ist für den akutellen Stand der domänenübergreifenden Zuordnungen verantwortlich. Er paßt beispielsweise die Zuordnungen der Userobjekte zu den Gruppenobjekten an, wenn diese sich ändern. Die Rolle des Infrastrukturmasters ist domänenweit eindeutig. Die von ihm durchgeführten Änderungen werden dann mit Hilfe der normalen Replikationsvorgänge auf die anderen Domänencontroller übertragen.

---

Fußnoten

... Sicherheitsgründen^24.1

Das System kann nicht nur durch Fehler in der Soft- oder Hardware beeinträchtigt werden, sondern auch durch äußere Umstände wie z.B. ein Wassereinbruck oder Feuer im Gebäude. Aus diesem Grunde sollte ein Teil der Sicherungsmedien auch immer außerhalb des Gebäudes aufbewahrt werden.

...autoritativen^24.2

autoritativ: maßgebend, maßgeblich

---

Nächste Seite: Anhang Aufwärts: Einführung in Windows 2000 Vorherige Seite: Domänenstrukturen   Index

Copyright © 2001 Martin Werthmöller

Der Text darf nicht verändert, allerdings frei kopiert werden falls dieser Copyright-Hinweis erhalten bleibt. Anregungen, Korrekturen und Beiträge zu diesem Dokument sind jederzeit willkommen. Bitte senden Sie diese per Email an: doku@werthmoeller.de