Was ist Active Directory?
Active Directory Domain Services ist der Directory Server von Microsoft. Es bietet Authentifizierungs- und Autorisierungsmechanismen sowie einen Rahmen, in dem andere verwandte Dienste bereitgestellt werden können (AD Certificate Services, AD Federated Services usw.). Es ist eine LDAP- kompatible Datenbank, die Objekte enthält. Die am häufigsten verwendeten Objekte sind Benutzer, Computer und Gruppen. Diese Objekte können nach einer beliebigen Anzahl logischer oder geschäftlicher Anforderungen in Organisationseinheiten (OUs) organisiert werden. Gruppenrichtlinienobjekte (Group Policy Objects, GPOs) können dann mit Organisationseinheiten verknüpft werden, um die Einstellungen für verschiedene Benutzer oder Computer in einer Organisation zu zentralisieren.
Wenn Leute "Active Directory" sagen, beziehen sie sich normalerweise auf "Active Directory-Domänendienste". Es ist wichtig zu beachten, dass es andere Active Directory-Rollen / -Produkte gibt, z. B. Zertifikatdienste, Verbunddienste, Lightweight Directory-Dienste, Rechteverwaltungsdienste usw. Diese Antwort bezieht sich speziell auf Active Directory-Domänendienste.
Was ist eine Domain und was ist ein Wald?
Ein Wald ist eine Sicherheitsgrenze. Objekte in separaten Gesamtstrukturen können nicht miteinander interagieren, es sei denn, die Administratoren der einzelnen Gesamtstrukturen stellen eine Vertrauensstellung zwischen ihnen her. Ein Enterprise-Administratorkonto für domain1.com, das normalerweise das privilegierteste Konto einer Gesamtstruktur ist, verfügt beispielsweise über keinerlei Berechtigungen in einer zweiten Gesamtstruktur mit dem Namen domain2.com, selbst wenn diese Gesamtstrukturen im selben LAN vorhanden sind, es sei denn, es besteht eine Vertrauensstellung .
Wenn Sie über mehrere nicht zusammenhängende Geschäftseinheiten verfügen oder separate Sicherheitsgrenzen benötigen, benötigen Sie mehrere Gesamtstrukturen.
Eine Domain ist eine Verwaltungsgrenze. Domänen sind Teil eines Waldes. Die erste Domäne in einer Gesamtstruktur wird als Gesamtstruktur-Stammdomäne bezeichnet. In vielen kleinen und mittleren Organisationen (und sogar einigen großen) finden Sie nur eine einzige Domäne in einer einzigen Gesamtstruktur. Die Gesamtstruktur-Stammdomäne definiert den Standardnamespace für die Gesamtstruktur. Wenn beispielsweise die erste Domäne in einer neuen Gesamtstruktur benannt domain1.comwird, ist dies die Gesamtstruktur-Stammdomäne. Wenn Sie geschäftlich eine untergeordnete Domäne benötigen, beispielsweise eine Zweigstelle in Chicago, können Sie die untergeordnete Domäne benennen chi. Der FQDN der untergeordneten Domäne wärechi.domain1.com. Sie können sehen, dass dem Namen der untergeordneten Domäne der Name der Gesamtstruktur-Stammdomäne vorangestellt wurde. Das funktioniert normalerweise so. Sie können disjunkte Namespaces in derselben Gesamtstruktur haben, dies ist jedoch eine separate Dose Würmer für eine andere Zeit.
In den meisten Fällen möchten Sie versuchen, alles Mögliche zu tun, um eine einzige AD-Domäne zu haben. Es vereinfacht die Verwaltung, und moderne Versionen von AD vereinfachen das Delegieren der Steuerung auf der Grundlage von Organisationseinheiten, wodurch weniger untergeordnete Domänen erforderlich sind.
Ich kann meine Domain beliebig benennen, oder?
Nicht wirklich. dcpromo.exeist das Tool, das die Heraufstufung eines Servers zu einem Domänencontroller verwaltet, nicht idiotensicher. Sie können dann mit Ihrer Benennung falsche Entscheidungen treffen. Wenn Sie sich nicht sicher sind, lesen Sie diesen Abschnitt. (Bearbeiten: dcpromo ist in Server 2012 veraltet . Verwenden Sie das Install-ADDSForestPowerShell-Cmdlet oder installieren Sie AD DS über den Server-Manager.)
Verwenden Sie zunächst keine erfundenen TLDs wie .local, .lan, .corp oder irgendetwas anderes. Diese TLDs sind nicht reserviert. ICANN verkauft jetzt TLDs, sodass Ihre TLDs, mycompany.corpdie Sie heute verwenden, möglicherweise morgen jemandem gehören. Wenn Sie besitzen mycompany.com, ist es klug, etwas wie internal.mycompany.comoder ad.mycompany.comfür Ihren internen AD-Namen zu verwenden. Wenn Sie mycompany.comeine extern auflösbare Website verwenden, sollten Sie vermeiden, diese auch als internen AD-Namen zu verwenden, da Sie am Ende ein Split-Brain-DNS haben.
Domänencontroller und globale Kataloge
Ein Server, der auf Authentifizierungs- oder Autorisierungsanforderungen reagiert, ist ein Domänencontroller. In den meisten Fällen verfügt ein Domänencontroller über eine Kopie des globalen Katalogs . Ein globaler Katalog (Global Catalog, GC) ist eine Teilmenge von Objekten in allen Domänen einer Gesamtstruktur. Es ist direkt durchsuchbar, was bedeutet, dass domänenübergreifende Abfragen normalerweise auf einem GC ausgeführt werden können, ohne dass ein Verweis auf einen Domänencontroller in der Zieldomäne erforderlich ist. Wenn auf Port 3268 ein DC abgefragt wird (3269 bei Verwendung von SSL), wird der GC abgefragt. Wenn Port 389 (bei Verwendung von SSL 636) abgefragt wird, wird eine Standard-LDAP-Abfrage verwendet und Objekte, die in anderen Domänen vorhanden sind, erfordern möglicherweise eine Verweisung .
Wenn ein Benutzer versucht, sich mit seinen AD-Anmeldeinformationen bei einem Computer anzumelden, der mit AD verbunden ist, werden die gesalzene und gehashte Kombination aus Benutzername und Kennwort sowohl für das Benutzerkonto als auch für das angemeldete Computerkonto an den Domänencontroller gesendet Computer meldet sich auch an. Dies ist wichtig, da beim Zurücksetzen oder Löschen des Kontos eines Computerkontos in AD möglicherweise eine Fehlermeldung angezeigt wird, die besagt, dass zwischen dem Computer und der Domäne keine Vertrauensbeziehung besteht. Obwohl Ihre Netzwerkanmeldeinformationen in Ordnung sind, wird dem Computer nicht mehr vertraut, dass er sich bei der Domäne anmeldet.
Bedenken hinsichtlich der Verfügbarkeit von Domänencontrollern
Ich höre "Ich habe einen primären Domänencontroller (PDC) und möchte einen Backup-Domänencontroller (BDC) installieren" viel häufiger, als ich glauben möchte. Das Konzept der PDCs und BDCs ist mit Windows NT4 zum Erliegen gekommen. Die letzte Bastion für PDCs befand sich in einem gemischten Windows 2000-Übergangsmodus, als es noch NT4-DCs gab. Grundsätzlich verfügen Sie nur über zwei Domänencontroller, es sei denn, Sie unterstützen eine mehr als 15 Jahre alte Installation, für die noch kein Upgrade durchgeführt wurde.
Mehrere Domänencontroller können gleichzeitig Authentifizierungsanforderungen von verschiedenen Benutzern und Computern beantworten. Wenn einer ausfällt, bieten die anderen weiterhin Authentifizierungsdienste an, ohne dass Sie einen "primären" Dienst einrichten müssen, wie Sie es in den NT4-Tagen getan hätten. Es wird empfohlen, mindestens zwei Domänencontroller pro Domäne zu haben. Diese Domänencontroller sollten sowohl eine Kopie des GC als auch DNS-Server enthalten, die auch eine Kopie der Active Directory Integrated DNS-Zonen für Ihre Domäne enthalten.
FSMO-Rollen
"Wenn es also keine PDCs gibt, warum gibt es dann eine PDC-Rolle, die nur ein einzelner DC haben kann?"
Ich höre das sehr. Es gibt eine PDC-Emulatorrolle . Es ist anders als ein PDC zu sein. Tatsächlich gibt es 5 Flexible Single Master Operations-Rollen (FSMO) . Diese werden auch als Operations Master-Rollen bezeichnet. Die beiden Begriffe sind austauschbar. Was sind sie und was machen sie? Gute Frage! Die 5 Rollen und ihre Funktion sind:
Domain Naming Master - Es gibt nur einen Domain Naming Master pro Gesamtstruktur. Der Domänennamen-Master stellt sicher, dass eine neue Domäne eindeutig ist, wenn sie zu einer Gesamtstruktur hinzugefügt wird. Wenn der Server, der diese Rolle innehat, offline ist, können Sie den AD-Namespace nicht ändern, z. B. indem Sie neue untergeordnete Domänen hinzufügen.
Schemamaster - In einer Gesamtstruktur gibt es nur einen Schemamaster. Es ist für die Aktualisierung des Active Directory-Schemas verantwortlich. Für Aufgaben, die dies erfordern, z. B. die Vorbereitung von AD für eine neue Version von Windows Server als Domänencontroller oder die Installation von Exchange, sind Schemaänderungen erforderlich. Diese Änderungen müssen über den Schemamaster vorgenommen werden.
Infrastruktur-Master - Pro Domäne gibt es einen Infrastruktur-Master. Wenn Sie nur eine Domain in Ihrer Gesamtstruktur haben, müssen Sie sich darüber keine Gedanken machen. Wenn Sie über mehrere Gesamtstrukturen verfügen, sollten Sie sicherstellen, dass diese Rolle nicht von einem Server übernommen wird, der auch als GC-Inhaber fungiert, es sei denn, jeder Domänencontroller in der Gesamtstruktur ist ein GC . Der Infrastruktur-Master ist dafür verantwortlich, dass domänenübergreifende Verweise ordnungsgemäß behandelt werden. Wenn ein Benutzer in einer Domäne zu einer Gruppe in einer anderen Domäne hinzugefügt wird, stellt der Infrastrukturmaster für die betreffenden Domänen sicher, dass er ordnungsgemäß behandelt wird. Diese Rolle funktioniert nicht ordnungsgemäß, wenn sie sich in einem globalen Katalog befindet.
RID-Master - Der relative ID-Master (RID-Master) ist für die Ausgabe von RID-Pools an DCs verantwortlich. Es gibt einen RID-Master pro Domain. Jedes Objekt in einer AD-Domäne verfügt über eine eindeutige Sicherheitskennung (SID).. Dies setzt sich aus einer Kombination der Domänenkennung und einer relativen Kennung zusammen. Jedes Objekt in einer bestimmten Domäne hat dieselbe Domänenkennung, sodass Objekte durch die relative Kennung eindeutig werden. Jeder Domänencontroller verfügt über einen Pool relativer IDs. Wenn dieser Domänencontroller ein neues Objekt erstellt, hängt er eine RID an, die er noch nicht verwendet hat. Da Domänencontroller nicht überlappende Pools erhalten, sollte jede RID für die Dauer der Lebensdauer der Domäne eindeutig bleiben. Wenn ein Domänencontroller noch ~ 100 RIDs in seinem Pool hat, fordert er einen neuen Pool vom RID-Master an. Wenn der RID-Master über einen längeren Zeitraum offline ist, schlägt die Objekterstellung möglicherweise fehl.
PDC-Emulator - Schließlich kommen wir zu der am häufigsten missverstandenen Rolle von allen, der PDC-Emulator-Rolle. Es gibt einen PDC-Emulator pro Domäne. Wenn ein Authentifizierungsversuch fehlschlägt, wird er an den PDC-Emulator weitergeleitet. Der PDC-Emulator fungiert als "Tie-Breaker", wenn ein Kennwort auf einem DC aktualisiert wurde und noch nicht auf die anderen repliziert wurde. Der PDC-Emulator ist auch der Server, der die Zeitsynchronisierung in der gesamten Domäne steuert. Alle anderen DCs synchronisieren ihre Zeit vom PDC-Emulator. Alle Clients synchronisieren ihre Zeit von dem DC, bei dem sie sich angemeldet haben. Es ist wichtig, dass alles innerhalb von 5 Minuten zueinander bleibt, da sonst Kerberos kaputt geht und dann alle weinen.
Beachten Sie, dass die Server, auf denen diese Rollen ausgeführt werden, nicht in Stein gemeißelt sind. Normalerweise ist es trivial, diese Rollen zu verschieben. Während einige Domänencontroller etwas mehr als andere tun, funktioniert normalerweise alles normal, wenn sie für kurze Zeit ausfallen. Wenn sie für längere Zeit nicht verfügbar sind, ist es einfach, die Rollen transparent zu übertragen. Es ist viel schöner als die NT4 PDC / BDC-Tage, also hören Sie bitte auf, Ihre DCs nach diesen alten Namen zu benennen. :)
Also, ähm ... wie teilen die DCs Informationen, wenn sie unabhängig voneinander funktionieren können?
Replikation natürlich . Standardmäßig replizieren Domänencontroller, die zu derselben Domäne am selben Standort gehören, ihre Daten in Intervallen von 15 Sekunden. Dies stellt sicher, dass alles relativ aktuell ist.
Es gibt einige "dringende" Ereignisse, die eine sofortige Replikation auslösen. Diese Ereignisse sind: Ein Konto wird für zu viele fehlgeschlagene Anmeldungen gesperrt, das Domänenkennwort oder die Sperrrichtlinien werden geändert, das LSA-Geheimnis wird geändert, das Kennwort für das Computerkonto eines Domänencontrollers wird geändert oder die RID-Masterrolle wird übertragen zu einem neuen DC. Jedes dieser Ereignisse löst ein sofortiges Replikationsereignis aus.
Passwortänderungen liegen zwischen dringend und nicht dringend und werden eindeutig gehandhabt. Wenn das Kennwort eines Benutzers geändert wird DC01und ein Benutzer versucht, sich bei einem Computer anzumelden, für den die Authentifizierung ausgeführt wird, DC02bevor die Replikation stattfindet, ist dies wahrscheinlich nicht erfolgreich, oder? Zum Glück passiert das nicht. Angenommen, es gibt hier auch einen dritten DC mit DC03der Rolle des PDC-Emulators. Wenn DC01mit dem neuen Kennwort des Benutzers aktualisiert wird, wird diese Änderung sofort auch auf repliziert DC03. Wenn der Authentifizierungsversuch DC02fehlschlägt, DC02wird dieser Authentifizierungsversuch an weitergeleitet DC03, wodurch überprüft wird, ob er tatsächlich funktioniert und die Anmeldung zulässig ist.
Reden wir über DNS
DNS ist entscheidend für ein ordnungsgemäß funktionierendes AD. Die offizielle Microsoft-Party-Line besagt, dass jeder DNS-Server verwendet werden kann, wenn er ordnungsgemäß eingerichtet ist. Wenn Sie versuchen, BIND zum Hosten Ihrer AD-Zonen zu verwenden, sind Sie hoch. Ernsthaft. Bleiben Sie bei der Verwendung von AD Integrated DNS-Zonen und verwenden Sie gegebenenfalls bedingte oder globale Weiterleitungen für andere Zonen. Ihre Clients sollten alle so konfiguriert sein, dass sie Ihre AD-DNS-Server verwenden. Daher ist Redundanz hier wichtig. Wenn Sie zwei Domänencontroller haben, lassen Sie beide DNS ausführen und konfigurieren Sie Ihre Clients so, dass beide für die Namensauflösung verwendet werden.
Außerdem sollten Sie sicherstellen, dass bei mehreren Domänencontrollern diese sich nicht zuerst für die DNS-Auflösung auflisten. Dies kann zu einer Situation führen, in der sie sich auf einer "Replikationsinsel" befinden, auf der sie von der übrigen AD-Replikationstopologie getrennt sind und nicht wiederhergestellt werden können. Wenn Sie zwei Server DC01 - 10.1.1.1und haben DC02 - 10.1.1.2, sollte die DNS-Serverliste folgendermaßen konfiguriert sein:
Server: DC01 (10.1.1.1)
Primärer DNS - 10.1.1.2
Sekundärer DNS - 127.0.0.1
Server: DC02 (10.1.1.2)
Primärer DNS - 10.1.1.1
Sekundärer DNS - 127.0.0.1
OK, das scheint kompliziert zu sein. Warum möchte ich AD überhaupt verwenden?
Denn sobald Sie wissen, was Sie tun, wird Ihr Leben unendlich besser. AD ermöglicht die Zentralisierung der Benutzer- und Computerverwaltung sowie die Zentralisierung des Ressourcenzugriffs und der Ressourcennutzung. Stellen Sie sich eine Situation vor, in der Sie 50 Benutzer in einem Büro haben. Wenn Sie möchten, dass jeder Benutzer ein eigenes Login für jeden Computer hat, müssen Sie auf jedem PC 50 lokale Benutzerkonten konfigurieren. Mit AD müssen Sie das Benutzerkonto nur einmal erstellen und es kann sich standardmäßig bei jedem PC in der Domäne anmelden. Wenn Sie die Sicherheit verbessern möchten, müssen Sie dies 50 Mal tun. Ein Albtraum, oder? Stellen Sie sich auch vor, Sie haben eine Dateifreigabe, auf die nur die Hälfte dieser Personen zugreifen soll. Wenn Sie AD nicht verwenden, müssen Sie entweder den Benutzernamen und die Kennwörter von Hand auf dem Server replizieren, um scheinbaren Zugriff zu erhalten, oder Sie d müssen ein gemeinsames Konto erstellen und jedem Benutzer den Benutzernamen und das Passwort geben. Eine Möglichkeit bedeutet, dass Sie die Passwörter der Benutzer kennen (und ständig aktualisieren müssen). Der andere Weg bedeutet, dass Sie keinen Audit-Trail haben. Nicht gut, oder?
Sie haben auch die Möglichkeit, Gruppenrichtlinien zu verwenden, wenn Sie AD eingerichtet haben. Gruppenrichtlinien sind eine Reihe von Objekten, die mit Organisationseinheiten verknüpft sind und Einstellungen für Benutzer und / oder Computer in diesen Organisationseinheiten definieren. Wenn Sie beispielsweise festlegen möchten, dass "Herunterfahren" für 500 Labor-PCs nicht im Startmenü angezeigt wird, können Sie dies in einer Einstellung in den Gruppenrichtlinien tun. Anstatt Stunden oder Tage damit zu verbringen, die richtigen Registrierungseinträge manuell zu konfigurieren, erstellen Sie ein Gruppenrichtlinienobjekt einmal, verknüpfen es mit der richtigen Organisationseinheit oder den richtigen Organisationseinheiten und müssen nie wieder darüber nachdenken. Es gibt Hunderte von Gruppenrichtlinienobjekten, die konfiguriert werden können, und die Flexibilität der Gruppenrichtlinien ist einer der Hauptgründe dafür, dass Microsoft auf dem Unternehmensmarkt eine so große Rolle spielt.