Active Directory :

Begriffe und Konzepte

Arbeitsgruppe (peer to peer) kontra Domäne (Client/Server):

Arbeitsgruppe Domäne
alle Rechner können Ressourcen zur Verfügung stellen Zentrale Kontenführung auf bestimmten Rechnern (Domänencontroller)
Konten ( Authentifizierung ) auf allen Rechnern, die Ressourcen zur Verfügung stellen Mit einer Authentifikation erhält man Zugriff auf alle nötigen Rechner
>> komplexe Verwaltung bei vielen Rechnern >>vereinfachte Verwaltung, gute Skalierbarkeit

 

Überblick Verzeichnisdienst (AD):

Begriffe:

Schema:

 

Objektklasse Attribut  Attributwert
Benutzer Anmeldename  Administrator
  Kennwort  g7Erfg
Computer Name 

Dozi

das Schema kann um neue Klassen und diese um neue Attribute erweitert werden (durch „Schemaadmins“ oder Anwendungen wie Exchange 2000)

globaler Katalog:

DNS:

Vertrauensstellung:

 

  • sind die Voraussetzung für die domänenübergreifende Rechtevergabe (Rechte zusätzlich nötig)
  • implizite
- gegenseitig, transitiv (durchgreifend)
- in Strukturen und Gesamtstrukturen
  • explizite
- einseitig, nicht transitiv
- zwischen Gesamtstrukturen oder NT4 Domänen (Kv5)

Replikation:

Namenskonventionen:

logische Elemente von AD:

Domänen - ACLs, Sicherheitsrichtlinien und Verwaltungsrechte sind nicht domänenübergreifend
- enthalten alle Netzwerkobjekte einer Domäne
- enthalten nur die Infos zu Objekten einer Domäne
>> stellen einen Sicherheitsbereich und eine Replikationseinheit dar
Organisationseinheiten (OU) - logische Unterteilung innerhalb einer Domäne
- Containerobjekt, das andere Objekte enthalten kann
- Einsatz: a) Delegation von Verwaltungsaufgaben
  b) Vorgabe einheitlicher Arbeitsumgebungen (Software, Desktop)
Struktur (Baum, Tree)

- gemeinsamer DNS-Namensraum für über- und untergeordnete Domänen

- Vertrauensstellung zwischen über und untergeordneten Domänen
- gemeinsames Schema
- gemeinsamer globaler Katalog
Gesamtstruktur (Wald, Forrest) - getrennter DNS-Namensraum der Strukturen
- Vertrauensstellung zwischen Ausgangsdomänen der Strukturen
- >>in einer GS vertrauen sich alle Domänen
- gemeinsames Schema
- gemeinsamer globaler Katalog

physische Elemente von AD:

Standorte

- verbundene Teilnetze, die über eine schnelle, permanente und zuverlässige Verbindung verfügen (meistens LAN Grenzen)

- ist kein Bestandteil des Namenraums

- ein Standortobjekt enthält nur Computer- und Verbindungsobjekte für die Replikation

- eine Domäne kann mehrere Standorte umfassen und ein Standort kann mehrere Domänen beinhalten
Domänencontroller (DC) - unterhält den Anteil der Domäne am Gesamtverzeichnis
- führt die Replikation durch
- arbeiten im Multimasterprinzip
- sorgen für Fehlertoleranz (>1)
- verwaltet Authentifikation und suchen in AD

Active Directory Installation:

Voraussetzungen:

 

Erstellen einer Domäne (>Rechner wird Domänencontroller):

 

Erstellen eines weiteren DCs in einer Domäne:

 

Installation und Standorte:

 

Auflistung einiger der Änderungen, die durch die AD-Installation getätigt werden:

 

Überprüfen des Installationsvorgangs:

 

Domänen-Modus:

 

Deinstallation:

 

MS Empfehlungen:

 

DNS-ADS Zusammenarbeit und Integration:

Zusammenarbeit:

z.B. Zugriff eines Clients auf den Authentifizierungsdienst einer WIN 2000 Domäne (Kerberos): Der Client fragt seinen DNS Server und dieser sieht in seinen SRV Einträgen nach um den Namen eines DC's zu ermitteln. (dann A Eintrag für die IP Adresse)

 

SRV Einträge:

ldap 0 100 384 dozi.de
Dienst Priorität (bevorzugt verwendet KLEIN) Gewichtung (Lastausgleich bei gleicher Priorität) Portnummer Recher, der den Dienst für die Domäne .de anbietet.

Active Directory Integrierte Zone:

DNS Server installieren (als Vorbereitung auf ADS Installation):

  1. statische IP-Adresse
  2. Domänennamen eintragen (Netzwerkidentifikation)
  3. DNS Dienst installieren
  4. Forward lookup Zonen einrichten (dyn. Aktualisierungen zulassen)
  5. Reverse lookup Zonen (falls gewünscht)
  6. Zone als AD-INT modifizieren (falls gewünscht)
  7. nur gesicherte Aktualisierungen einstellen (falls gewünscht)
  8. Zugriffssteuerung über AD einstellen (falls gewünscht)

Mindestanforderungen an DNS für ADS:

MS Empfehlungen:

Benutzer und Gruppen:

Benutzer und Namen:

Anzeigename - (sollte vollständiger Name sein) DisplayName notwendig einzigartig im Container nicht zur Anmeldung geeignet
UPN (z.B. user@ms.com) userPrincipleName optional einzigartig in der Gesamtstruktur Anmeldung: user@ms.com
Pre-Windows2000 Name (z.B. user) Anmeldename - samAccountName notwendig einzigartig in der Domäne Anmeldung: user + Domäne (aus Menü)

Massen Im/Export von Objekten:

Progamme csvde.exe csvde.exe (nur hinzufügen)

ldifde.exe (hinzufügen, löschen, ändern)

z.B. Benutzerkonten
erforderliche Daten Pfad zur ErstellungsOU
Objektklasse
Anmeldename
empfohlene Daten UPN
Konto de/aktiviert
mögliche Daten persönliche Angaben
nicht möglich Kennwort

Standard Verwaltungsaufgaben:

Hilfsmittel: suchen in AD

Gruppen:

Gruppentyp:

Gruppenbereiche

- global:

- lokale Domänengruppe:

- universal:

MS Gruppenstrategie:

 

Empfehlungen:

Veröffentlichen von Ressourcen in AD:

Vorteil: Auffinden von Ressourcen im zentralen AD Verzeichnis, ohne die physischen Orte der Ressourcen kennen zu müssen. (SUCHEN IN AD, (evt. DSCLIENT))

Insbesondere nützlich, falls sich der physikalische Ort ändert.

DSClient: (für 9x Systeme)

Veröffentlichung von: freigegeben Ordnern, Druckern, Dienste

Freigaben:

Drucker:

Printserver, die WIN 2000 Domänenmitglieder sind, veröffentlichen ihre Drucker automatisch in AD (Standardeinstellung, kann über GPO geändert werden). Checkbox „Anzeigen in Verzeichnis“ unter Drucker - (RM) Freigabe

Nicht WIN 2000 Printserver: - freigegebene Drucker müssen manuell veröffentlicht werden.

Druckerobjekte:

Verwaltungsaufgaben:

Drucker und Standorte:

Standorte:

Vorgehen:

MS Empfehlungen:

Ressourcen und Rechte:

NTFS - Rechte AD - Rechte
(Dateien, Verzeichnisse, Drucker) (AD - Objekte)

Zugriffssteuerung

Token <=> ACL Token <=> ACL

Vererbung

Rechte werden an untergeordnete Verz. und Dateien vererbt

Rechte werden an untergeordnete Container und Objekte vererbt

kann am untergeordneten Objekt deaktiviert werden kann am untergeordneten Objekt deaktiviert werden

Standardrechte

Jeder: Vollzugriff Jeder: „eingeschränktes lesen“ ...weitere Einträge...

resultierende Rechte

Dateirechte überschreiben die Verzeichnissrechte

Einzelobjektrechte überschreiben Containerrechte

verweigern ist dominant verweigern ist dominant
Rechte sind kumulativ Rechte sind kumulativ
kopieren:
Rechte des übergeordneten Ordners werden übernommen
kopieren:
nicht existent
verschieben:
anderes Laufwerk: siehe kopieren; gleiches Laufwerk: Rechte bleiben erhalten
verschieben:
die explizit vergebenen Rechte bleiben erhalten

Freigaberechte:

NTFS: kumulativ => Ergebnis NTFS Gesamtergebnis: restriktiv
Freigaberechte: kumulativ => Ergebnis Freigabe

DFS: ...zentralisiertes Freigabesystem mit Verweisen zu den einzelnen Freigaben...

Zugriffssteuerung:

Sicherheitsprinzipal:

Sicherheitseinstellungen: (Objektanhang)

Kerberos: (Authentifizierungsprotokoll für WIN 2000 Domänen)

Zugriffs-Token:

Delegation von Verwaltungsaufgaben:

Empfehlungen:

Gruppenrichtlinien:

GPO enthält Gruppenrichtlinieneinstellungen:

GPC(Container)  - AD-Objekt
GPT(Template)  - Datei auf SYSVOL
(RM) auf Objekt → Eigenschaften → Reg.Karte Gruppenrichtlinie
Neu: erstellt GPO und verknüpft es mit dem Objekt (z.B. OU)
Hinzufügen: verknüpft mit existierendem GPO

GPO Abarbeitungsreihenfolge:

Anwendung von Gruppenrichtlinien:

Nützliche Tools:

Delegation der Verwaltung von Gruppenrichtlinien:

GPO Verknüpfungen: - „Objektverwaltung zuweisen“
- gplink und gpoption Attribut
GPOs erstellen: - Mitglied der „Richtlinien-Ersteller-Besitzer“ Gruppe
- Mitglied der „DOM-Admin“ Gruppe
GPOs bearbeiten: - Schreib / Lese-Rechte für das GPO
- Sicherheitsregisterkarte für das GPO

MS-Empfehlungen:

 

Gruppenrichtlinien - Softwareverteilung

Softwarekreis: Software kaufen, verteilen, unterhalten, entfernen

Windows Installer Dienst: (arbeitet mit IntelliMirror)

Client und Server mit Dateisystemeinstiegspunkt

Installerdienst (msiexec.exe) - nur Lese-Recht
Anwenden bestimmter „Pakete“ - DFS als zentralen Einstiegspunkt

(Installation, Modifikation, Reparatur und Entfernen von Software)

- Verstecken ($)

Pakete: (am Softwareverteilungpunkt bereitstellen)

*.msi Installationspaket: Infos über Installation, nötige Dateien, Reg-Einträge, …
*.mst Transform: modifiziert *.msi Angaben (nur bei der Installation)
*.msp patch: modifiziert Software nachträglich
*.zap Textdatei veröffentlicht Software (selbst erstellbar) und ist unabhängig vom Installerdienst, allerdings eingeschränktere Möglichkeiten
 

(benötigt nicht den Installer)

z.B.:

[Application]
  FriendlyName = "ACRO 5"
SetupCommand = "\\dozi\acro\acrobat50d.exe"
[Ext]
pdf=
  + benötigte Installationsdateien

GPO - Softwareverteilung

Veröffentlichen (beim Anmelden)

Zuweisen (beim Anmelden) Zuweisen (beim Starten)

Bereitstellung in der Systemsteuerung Software → Installation

Bereitstellung in der Systemsteuerung Software → Installation

Installation beim Start des Rechners

Installation durch Aufruf einer Datei mit verknüpfter Erweiterung (optional)

Installation durch Aufruf einer Datei mit verknüpfter Erweiterung (immer)

 
 

Installation bei Aufruf der Anwendung über das Startmenü (Desktop)

 

De/Neu-installation durch Benutzer

De/Neu-installation durch Benutzer

Deinstallation über Systemsteuerung Software nur durch Admins Rep. Durch Benutzer

*.msi, *.zap

*.msi

*.msi

Intellimirror: automatische Reparatur der Anwendung bei Defekt (nur Installer)

Unterhalten (upgraden) der Software

Entfernen der Software

Kategorien:

Datenerweiterungen:

MS Empfehlung:

 

 

Konfiguration der Benutzerumgebung

Administrative Vorlagen:

(modifizierten Registrierungsschüssel: HKey_Current_User - bei Anmeldung des Users
  HKey_Local_Machine) - beim Start des Rechners
Die Modifizierung bleibt so lange gültig wie deren GPO und ueberschreibt normalerweise die lokale Einstellung.
  • Windows Komponenten:
Zugriff auf Tools und Betriebssystem z.B.
  • Taskplaner verfügbar
  • NetMeeting (Freigabe, Chat deaktivieren…
  • MMC: Welche Snap-Ins dürfen verwendet werden …, Autorenmodus erlaubt
  • IE: Welche Eigenschaften können konfiguriert werden …
  • System:
z.B.
  • nur bestimmte Programme erlauben / verweigern werden (Namensangabe) → Taskmanager deaktivieren; Registrierungstools verbieten; Kommandozeile verbieten
  • Verhalten bei fehlender Treibersignatur
  • Gruppenrichtlinien: Loopback, langsame Verbindungen, Aktualisierungsintervalle…
  • Sicherheitsfenster Alt-Strg-Entf (Computer sperren, Kennwort,…)
  • Anmeldung / Abmeldung: Programme, synchron / asynchron
  • Datenträgerkontingente

 

  • Netzwerk:
  • Offline-Dateien
  • welche Operationen sind in der Netzwerkumgebung möglich (Eigenschaften von NISs ändern, RAS-Verbindungen erstellen, …)
  • Drucker:
  • Veröffentlichungseigenschaften
  • Webbasiertes drucken
  • Startmenü & Taskleiste:
  • einstellen, welche Optionen verfügbar sind (Suchen, Hilfe, Abmelden, …)
  • Änderungen verweigern
  • persönlich angepasste Menüs …
  • Desktop:
  • was wird auf dem Desktop angezeigt
  • was wird Active Desktop erlaubt
  • Systemsteuerung:
  • was wird angezeigt
  • welche Operationen sind erlaubt (Software, Drucker, Anzeige)

Loopback Modus:

Durch diese Richtlinie wird der Satz von Gruppenrichtlinienobjekten für diesen Computer für jeden Benutzer angewendet, der sich an einem Computer anmeldet, für den diese Richtlinie gilt. Unabhängig von dessen speziellen Benutzerrichtlinien. (Wenn beispielsweise das Office einem Benutzer zugewiesen wurde, kann es mit dem Loopback-Modus an diesem Rechner und für diesen Benutzer deaktiviert werden.) Diese Richtlinie wurde für Computer mit besonderem Zweck, wie z. B. Computer in Bibliotheken, Laboren oder Klassenzimmern, wo die Benutzerrichtlinie je nach Computer geändert werden muss.

Es gibt zwei Modi: Ersetzen und Zusammenführen:

Es wird die Gruppenrichtlinie von der OU angewendet, in der der Computer sich befindet.

Die 3 Einstellungsmöglichkeiten für Gruppenrichtlinien: Ergebnis

Skripte:

Start *.bat, *.cmd, *.vbs; perl, javascript
Anmelden z.B. - Programme / Dienste starten / beenden - Netzlaufwerke verbinden + Konfiguration …
Abmelden
Herunterfahren  
Standard synchron asynchron
nacheinander gleichzeitig

Übung: Datei: Anmeldung.bat:

start /high sol.exe
net use k: \dozi.de/user:user@de user  

für Dienste:

net start tlntsvr oder
net stop tlntsvr

Ordner umleiten:

Nur für Benutzer

------- vergleich Umleitung<>Server gespeichertes Profil -------

Profil

Umleitung

- beim Anmelden: laden des gesamten Profils (inkl. Eigene Dateien) übers Netz

- Dateien werden nur bei Bedarf übers Netz kopiert

- Profil wird auch lokal gespeichert

- Speicherung nur im Netz


- Eigene Dateien Umleitung: \Server%USERNAME% (Standard)
- StartMenü
- Desktop UNC Pfad pro Gruppe (Erweiterung)
- Anwendungsdaten

Weitere Einstellungen: (Standard)

Sicherheitseinstellungen: ( nur öffentliche Schlüssel)

Arbeit mit Sicherheitsrichtlinien:

über Verwaltungskonsolen können die Sicherheitseinstellungen der lokalen GPO (lokale Sich.-linie), der Standarddomänenrichtlinie (Sich.-linie für Domänen) und der Standarddomänencontrollerrichtlinie (Sich.-linie für DC's) angezeigt werden.

DC

Srv

WS

basic

basic

basic

secure

 

secure

hisec

 

hisec

Höhere Sicherheit
geringere Kompatibilät

Hilfsmittel: Snap-Ins:

  • Sicherheitsvorlagen
  • Sicherheitskonfiguration und -analyse
  • lokale Sicherheitsrichtlinie
  • secedit
  • Konfiguration / Erstellung von Vorlagen
  • Vergleich zwischen tatsächlichen und Vorlagen-Einstellungen
  • → lokale + effektive Eintellungen
  • (Analyse, Konfiguration, Aktualisierung)

Überwachung:

  1. Überwachung in den Überwachungsrichtlinien aktivieren (Erfolg / Fehler)
  2. Am überwachten Objekt die Überwachung aktivieren:
  3. Auswerten (Mit Hilfe einer Suchmaske in der Ereignisanzeige im Systemprotokoll)

Richtlinien werden lokal auf dem jew. Computer überwacht.

MS Empfehlungen:

Beim Hinzufügen eines zweiten DC's mittels dcpromo wird man um Eingabe eines Passwortes gebeten. Auf diesem Rechner kann man sich nicht lokal anmelden, sondern nur noch als Administrator mit genau diesem Passwort. Zum Ausführen für dcpromo muss man Domänenadmin sein. Der zweite DC löscht alle lokalen Konten (bis auf das genannte) und repliziert selbsständig die Konten eines anderen DC's.

Multi-Domänen Umgebung:

Multi-Domänen-Bild

Gesamtstruktur (GS): (Wald, Forrest)

DC: enthält alle Daten aller Objekte seiner Domäne

Gründe für mehrere Domänen:

Vertrauensstellungen: (in einer GesamtStruktur)

Die Vertrauensstellung ermöglicht es einem Benutzer mit dem Konto seiner Domäne in vertrauenden Domänen auf Ressourcen zuzugreifen. (Allerdings benötigt der Benutzer explizite Rechte auf die Ressourcen)

Authentifizierung in den Domänen:

Vertrauensstellungen außerhalb eine Gesamtstruktur:

Der Ressourcenzugriff findet entgegen der Richtung des Vertrauens statt.

Zwischen:

Einrichten von Vertauensstellungen:

Eintrag auf GS 1: (hamburg.de)

Eintrag auf GS 2: (.de)

Globaler Katalog → Anmeldung:

Einrichtung eines Globalen Katalog-Servers (GC):

Universal Gruppe:

I Empfehlung:

MS Empfehlungen:

Replikation und Standorte:

Replikation: Abgleich der AD-Daten zwischen DC’s

Replikationstopologie

Kreistopologie:

- Domänenintern für Domänendaten

- Domänenübergreifend (innerhalb der GS) für Konfig. Daten
- Domänenübergreifend (innerhalb der GS) für Schema Daten
- Replikation des globalen Katalogs
- Replikation über Verbindungsobjekte, die vom System (KCC, knowlege consistancy checker) automatisch erstellt werden.
- NTDS Settings in Standorte + Dienste:
  • → Verbindungsobjekte manuell erstellen
  • → Verbindungsobjekte bearbeiten
  • → Manuell (Jetzt) replizieren
- Automatische Querverbindungsobjekte, so dass jeder DC über 3 Replikationsschritte (15min) erreichbar ist.

Standorte:

Standorte und Replikation

Standort intern (intra)

Standort übergreifend (inter)

- zwischen den DCs eines Standortes (s.o.)

- zwischen Brückenkopf-Servern in den unterschiedlichen Standorten  keine Ringtopologie

- verwendet Benachrichtigungsmechanismus

- Replikationsverkehr ist zeitgeplant (manuell) - Zeitintervall - Zeiträume

- Replikationsverkehr ist nicht komprimiert

- Replikationsverkehr ist komprimiert

 

optimiert für minimale Bandbreiten-auslastung

- (RPCs über IP) als Protokoll

- (RPCs über IP) oder SMTP als Protokoll

 

Verbindungsojekte werden auch hier automatisch erstellt (KCC, ISTG)


RPC

SMTP

- keine CA nötig

- erfordert Zertifikate → CA

 

- asynchron (ignoriert Zeitpläne)

 

- Einsatz bei unzuverlässigen Netzen!

Standortverbindungsobjekte

AD Standorte + Dienste: Inter-Site Transports

Standortverknüpfungsbrücke:

Im Normalfall ist das nicht nötig, da Standortverbindungsobjekte von selbst aus ein transitives Verhalten aufweisen.

Tools:

replmon.exe - Support Tool !!!!!
repadmin.exe - Support Tool (CMD)

MS Empfehlungen:

Betriebsmasterrollen (FSMO)

FSMO - flexible single master operation

Verteilung der Betriebsmasterrollen:

Schema-Master: DC 1

erster DC der GS

einmal pro GS

Domänennamens-Master: DC 1

erster DC der GS

PDC-Emulator: DC 1, DC A

erster der Domäne

einmal pro Domäne

RID-Master: DC 1, DC A

erster der Domäne

Infrastruktur-Master: DC 1, DC A

erster der Domäne


Schema-Master:

  • verwaltet alle Änderungen und Aktualisierungen am Schema (nur Schema-Admins dürfen das Schema ändern)
  • einmalig pro GS
sollten beide auf einem Rechner laufen

Domänennamens-Master:

  • verwaltet das Hinzufügen und löschen von Domänen in der GS (Organisations-Admins)
  • muss auch GC sein
  • einmalig pro GS

PDC-Emulator:

  • übernimmt die Rolle des PDC für NT4.0 BDC's in einer gemischten Domäne
  • übernimmt die Kennwortänderung von nicht-W2k-Clients und reduziert die Verzögerung bei Kennwortänderungen !!!
  • Zeitsynchronisierung, deswegen auch im einheitlichen Modus wichtig
  • verhindert Konflikte bei der Replikation von GPO's (Standartmässig werden sie dort erstellt)
  • einmalig pro Domäne
Wenn ein Benutzer sein Kenwort vergessen hat, und ich setze es an einem anderen DC zurück, wird es dem PDC-Emulator sofort mitgeteilt. An dem DC, an dem sich der Benutzer anwählt, gilt aber zwischen 5-15 min noch das alte Kennwort. Der DC stellt also ein anderes Kennwort fest und übermittelt deshalb die Anmeldung an den PDC-Emulator.

RID-Master: (Relative ID)

  • weist anderen DC's Blöcke von relativen IDs zu, mit denen die DC's Objekte erstellen können
  • Jedes Objekt hat eindeutige Objekt-ID: Domänen-ID + relative ID
  • verschieben von Objekten zwischen Domänen:
    • nur auf RID-Master - CMD: movetree
  • einmalig pro Domäne
  • (der Sinn ist erkennbar, wenn Objekte in Standorten erstellt werden, die nicht permanent mit der Domäne verbunden sind...)
 

Infrastruktur-Master:

  • prüft, verwaltet die Konsistenz von Gruppenmitgliedschaften (z.B. 1 Benutzer wird in eine andere Domäne verschoben, Domänenübergreifende Gruppenmitgliedschaft)
  • gleicht Daten mit dem GC ab
  • nicht auf dem selben Rechner wie der GC!
  • Empfehlung: selber Standort wie GC
  • einmalig pro Domäne

 

Da bei einer Domäne ohne getrennte Rollen alle Master auf einem Server laufen, ist es egal, ob der ISM korrekt funktioniert

Tools zum Anzeigen und Ändern der Betriebsmasterrollen

   Ändern + Anzeigen nur Ändern

nur Anzeigen

Schema Master:

AD-Schema Snap-In
(RM)AD-Schema

ntdsutil.exe (Inbesondere bei erzwungenen Übernahmen)

Replmon.exe 

  • zu überwachenden Server hinzufügen 
  • Eigenschaften des Servers
  • Reg. Karte FSMO-Roles

 

 

Domänennamens Master:

AD-Domänen + Vertrauensstellungen
(RM)AD-Domänen + Vertrauensstellungen

PDC Emulator:

AD-Benutzer + Computer
(RM)AD-Benutzer + Computer

RID Master: (Relative ID)

Infrastruktur Master:


Übertragen

(erzwungenes) Übernehmen

einer Bertriebsmasterrolle

- BM ist funktionsfähig und verfügbar

- BM ist nicht verfügbar oder funktionsfähig

→ komplette Datenübertragung

→ möglicher Datenverlust

Vorgehensweise (Infrastruktur Master und PDC):

  • AD Benutzer + Computer
  • (RM) Verbindung mit DC herstellen (DC, der die Rolle übernehmen soll)
  • (RM) Betriebsmaster
  • Reg. Karte Infrastruktur MasterÄndern

Vorgehensweise (RID, Dom., Schema):

  • mit ntdsutil.exe übertragen
 

Verhalten bei Fehlern auf dem Betriebsmaster

  • PDC-Emulator
  • Infrastruktur Master
  • Schema Master
  • Domänennamen Master
  • RID Master
  • feststellen wie schwer der Fehler ist (Zeit)
  • feststellen, welcher DC die Rolle hat
  • erzwungene Übernahme der Rolle auf einen anderen DC - neuen Master auf Funktion überprüfen
  • [nach Reparatur des ursprünglichen Masters, kann dieser die Rolle zurück übernehmen]
  • feststellen wie schwer der Fehler ist
  • den „defekten“ Master dauerhaft vom Netz trennen
  • Replikationszyklus abwarten, erzwungene Übernahme auf anderen DC

  • Ursprünglichen Schema-, Domänennamen- und RID-Master niemals wieder herstellen
  • Die Systemfestplatte des ursprünglichen Masters vor einer Weiterverwendung formatieren

MS-Empfehlungen:

Movetree.exe

F:\>movetree /start /s thomas.hamburg.de /d raik.veddel.hamburg.de /sdn cn=egon,ou=verwaltung,ou=firma,ou=christoph,dc=hamburg,dc=de /ddn cn=egon,cn=users,dc=veddel,dc=hamburg,dc=de

Beispiel: (Voraussetzung: Mitgliedschaft in der Gruppe Organisations-Admin)
Movetree /start
/s andreas.kreuzberg.berlin.de :(QuellDC)
/d sofa.berlin.de :(ZielDC)
/sdn CN=benutzer,CN=users,DC=kreuzberg,DC=berlin,DC=de :(QuellDN)
/ddn CN=benutzer,CN=users,DC=berlin,DC=de :(ZielDN)

D:>movetree /?

THE SYNTAX OF THIS COMMAND IS:

MoveTree [/start | /continue | /check] [/s SrcDSA] [/d DstDSA] [/sdn SrcDN] [/ddn DstDN] [/u Domain] [/p Password] [/verbose]

/start : Start a move tree operation with /check option by default.
: Instead, you could be able to use /startnocheck to start a move
: tree operation without any check.
/continue : Continue a failed move tree operation.
/check : Check the whole tree before actually move any object.
/s <SrcDSA> : Source server's fully qualified primary DNS name. Required
/d <DstDSA> : Destination server's fully qualified primary DNS name. Required
/sdn <SrcDN> : Source sub-tree's root DN.
: Required in Start and Check case. Optional in Continue case
/ddn <DstDN> : Destination sub-tree's root DN. RDN plus Destinaton Parent DN.

Required
/u <Domain> : Domain Name and User Account Name. Optional
/p <Password> : Password. Optional
/verbose : Verbose Mode. Pipe anything onto screen. Optional

EXAMPLES:

movetree /check /s Server1.Dom1.Com /d Server2.Dom2.Com /sdn OU=foo,DC=Dom1,DC=Com /ddn OU=foo,DC=Dom2,DC=Com /u Dom1/p *

movetree /start /s Server1.Dom1.Com /d Server2.Dom2.Com /sdn OU=foo,DC=Dom1,DC=Com /ddn OU=foo,DC=Dom2,DC=Com /u Dom1/p MySecretPwd

movetree /startnocheck /s Server1.Dom1.Com /d Server2.Dom2.Com /sdn OU=foo,DC=Dom1,DC=Com /ddn OU=foo,DC=Dom2,DC=Com /u Dom1/p MySecretPwd

movetree /continue /s Server1.Dom1.Com /d Server2.Dom2.Com /ddn OU=foo,DC=Dom1,DC=Com /u Dom1/p * /verbose

AD-Datenbankverwaltung

AD Datenbanksystem:

Verwaltung über ESE System (extensible storage engine)

Dateien:

Edb.log

Transaktionsprotokolldatei

- protokolliert an der Datenbank vorzunehmende Änderungen

NTDS.dit (diretory information tree)

Datenbankdatei

- Änderungen werden in der Datenbank durchgeführt

Edb.chk

Übertragungsprotokollierungsdatei

- protokolliert welche Einträge aus der edb.log Datei bereits in die Datenbank eingearbeitet wurde

Res1.log
Res2.log
*.log ≈ 10MB Größe

Platzhalterdateien

- falls der Plattenplatz mal eng wird

Datenbankaufräumprozess: (online)

Sichern der AD-Datenbank

  1. ntbackup starten
  2. sichern des Systemstatus
    • Active Directory Datenbank
    • Sysvol-Ordner
    • Zertifikatsdatenbank
    • Registrierung alle Rechner
    • Startdateien
    • DCOM+
    DC
    DC
    CA
    alle Rechner
    alle Rechner
    alle Rechner
  3. Sicherung im laufenden Betrieb
  4. ntbackup kann den Systemstatus nur auf dem lokalen Rechner sichern und wiederherstellen
  5. Fremdsoftware (Veritas) kann auch über das Netz sichern

Wiederherstellen der AD-Datenbank auf dem DC

- nicht authorisierende Wiederherstellung

- authorisierende Wiederherstellung

→ ausgefallener DC, beschädigte Datenbank → Datenbank muss offline sein → Sicherung nicht älter als das Tombstone-Intervall

→ selektives Wiederherstellen von Objekten (USN wird für selektierte Objekte um 100.000 pro Tag seit der Sicherung erhöht => selektierte Objekte „wirken neuer“ => setzen sich bei der Replikation durch

Vorgehensweise:

  1. Neustart des Rechners
  2. F8 - Verzeichnisdienstwiederherstellungsmodus (AD ist Offline → nicht verfügbar)
  3. SAM-Konto für Verzeichnisdienstwiederherstellung
  4. wiederherstellen des Systems mit ntbackup
  5. Neustart des Rechners (normaler Modus)

Weitere Datenbankverwaltungsaufgaben

Vorgehensweise:

Alle

nicht authorisierte Wiederherstellung

authorisierte Wiederherstellung

verschieben

defragmentieren offline

Systemstatus sichern

       

Neu starten

       

F8 und Verzeichnisdienst-wiederherstellung

       

mit SAM (security account manager) Konto anmelden

       
 

Backup einspielen

Backup einspielen

   
   

CMD: ntdsutil.exe

  • authoritative restore
  • quit

CMD: ntdsutil.exe
  • files
  • move DB to „Pfad“
  • move logs to „Pfad“
  • quit

CMD: ntdsutil.exe

  • files
  • compact to „Pfad“
  • quit

       

neue NTDS.DIT über die Alte kopieren

Neu starten (normal)

       

MS-Empfehlungen:

 

Active Directory Service - Zusammenfassung

Begriffe

- Verzeichnisdienst
  • Zentrale Verwaltung von Netzwerkressourcen (wie Benutzer, Computer, Drucker, Dienste)
  • (Zentrale Bereitstellung von Ressourcen)
  • Benutzeranmeldung in der Domäne nur einmal notwendig für alle Ressourcen

 

- Active Directory Service
  • logische Komponenten: GS (forest), Struktur (tree), Domäne (domain), OU (ou), - Vertrauensstellungen, Aufgabendelegierung, Konfigurationseinstellungen (GPO)
  • physikalische Komponenten: Standorte, DC (Zugriffsoptimierung)
- Schema
  • Objektklassen, welchen Attribute (Atributwerte) zugeordnet sind
  • FSMO
- Namen
  • DN (distinguished name): entspricht dem LDAP-Pfad (cn=Bruno, ou=test, dc=ms, dc=com)
  • LDAP (leightweight directory access protocol): das Protokoll, mit dem man auf Verzeichnisse des Verzeichnisdienstes zugreift Portnr.: 389
  • UPN, user principal name: (bruno@ms.com), optionale Eingabe, GUID

Verzeichnisdienst:

 

Eindeutige (definierte) Namen: CN=Hugo, OU=Test, DC=MS, DC=COM
Relativ eindeutige Namen: CN=Hugo
UPN (User Pricipal Name): Hugo@MS.COM
GUID: 128Bit Kennung (eindeutig)

DNS - ADS:

DNS ist für ADS zwingend notwendig:

AD-Installation:

Benutzer und Gruppen:

Gruppen:

Gruppenstrategie:

Benutzer → globale Gruppe → (evtl. gl. Gruppe) →  (evtl. Un.-Gruppe) → lokale Dom.Gruppe ← Ressourcen

Veröffentlichen von Ressourcen in ADS:

Voraussetzung: Ressource ist freigegeben

Delegation von Verwaltungsaufgaben:

Abtreten von Teilaufgaben (z.B. Benutzerverwaltung, Kennwort zurücksetzen) an Benutzer (Hilfsadmin), typischerweise auf OU Ebene (OU Struktur wird u.a. nach Gesichtspunkten der Delegation aufgebaut)

Benutzer → Token {AD-Rechtesystem ähnlich wie NTFS aber nicht identisch: Vererbung, Verweigern, Gruppen → OU}
AD-Objekt → ACL

Gruppenrichtlinien: Anwendung

Abarbeitung ↓ [lokales GPO]

(keine Verknüpfung, lokal auf dem Rechner)

↓ Standort Alle auf einen Benutzer oder Computer zutreffenden
GPOs werden nacheinander angewandt. Bei Konflikten
setzt sich die zuletzt angewandte Richtlinie durch. (Computer gewinnt gegen Benutzer)
↓ Domäne
! OU

Sind mehrere GPOs auf einer OU angewandt so gilt die Prioritätsliste.

Rechte:

Um ein GPO zu bearbeiten, zu erstellen oder um sie zu verknüpfen, braucht man spezielle Rechte. Setzt man das Recht Schreiben in der ACL der GPO, kann man die jew. GPO bearbeiten. Zum Erstellen muss man Dom.-Admin, Richtlinien-Ersteller bzw. Besitzer sein. Um Verknüpfungen zu erstellen, muss in der ACL der OU das Recht GPLink und GPOption vergeben sein. Das kann aber auch mit einem Asisstenten zur Objektverwaltung gemacht werden.

Gruppenrichtlinien: Inhalte

Überwachungsrichtlinie: Objektzugriffe NTFS
  Kontenverwaltung AD-Benutzer
  AD-Zugriffe AD-Objekte
  Anmeldeereignisse  

Benutzer

 

Computer

 

Zuweisen

Windows Installer

Zuweisen

  • beim Anmelden Verknüpfung ins Startmenü
  • bei Aufruf Installation
  • Bereitstellen in System…
  • *.Verknüpfung → Installation

*.msi *.mst *.msp

  • beim Computer installiert
 

Veröffentlichen

   
  • Bereitstellen in System…
  • *.Verknüpfung → Installation

*.msi *.zap

 
Desktop  welche Symbole verfügbar sind
Startmenü  welche Features verfügbar sind
System  wie arbeiten GPOs
Netzwerk  wer darf was ändern
...  

Multi-Domänenumgebung:

 

Standorte und Replikation:

NTDS.DIT

Replikationstopologie: (Standort intern)

  1. DCs einer Domäne
  2. DCs der GS
    • → Ringstruktur (automatische Erstellung der Verbindungsobjekte durch den KCC)
  3. Alle Objekte der GS, aber nicht mit allen Attributen
    Standardintervall der Replikation 5min

Standorte: Standorte sind Bereiche, die über eine schnelle, zuverlässige und permanente Netzverbindung verfügen

  • Neuer Standort:
    • neuer Standort
    • Standortverbindungsobjekt „Standortverknüpfungen“
    • Zuordnung von einem oder mehreren IP-Teilnetzen zum Standort (Identifikation)

→ DC am Standort wird von Clients bevorzugt verwendet (DNS)

 

 

min. 1 DC pro Standort (+ 1 DNS) Replikation - Standort übergreifend:

Replikationsprotokolle

RPC

SMTP

inter

inter

intra  
 

asynchron

 

Zertifikate nötig

 

unzuverlässige Verbindungen

Betriebsmasterrollen (FSMO)

- bestimmte Aufgaben müssen im Singlemaster ausgeführt werden

- Schema-Master

1 x pro GS *
  • verwaltet Änderungen am Schema (Schema Admin)

- Domänennamens-Master

1 x pro GS *
  • verwaltet Änderungen an der Konfiguration der GS (±Domänen) (Organisations-Admin)
Empfehlung: Schema- + Domänennamensmaster sollten auf einem Rechner laufen

- PDC-Emulator

Bei Ausfall schnell ersetzen

1 x pro Domäne
  • Emuliert PDC für NT4.0 BDCs im gemischten Modus
  • Kennwortänderungen für Pre-W2k Clients
  • speichert alle Kennwortänderungen (Repl. Zeit)
  • Zeitsynchronisation
  • zentrale Verwaltung von GPOs

- RID-Master

1 x pro Domäne *
  • vergibt relative ID aus seinem zentralen ID-Pool an andere DC

- Infrastruktur-Master

1 x pro Domäne (Domänenübergreifend)
  • Konsistenz von Gruppenmitgliedschaften
Empfehlung: Sollte nicht auf einem Rechner mit dem GC laufen, aber in seiner Nähe sein

Masterrollen können an andere DCs vergeben werden

* Originalmaster dürfen nach „erzwingen“ nie mehr ins Netz

 

AD-Datenbankverwaltung:

EDB.LOG

Transaktionsprotokolldatei

Durchzuführende Änderung

EDB.CHK

Transferprotokolldatei

Überwachung des Datentransfer von edb.log nach ntds.dit

NTDS.DIT

Datenbankdatei

Endgültige Datenbank

 

Authorisierend

Nicht authorisierend

verschieben

komprimieren + defragmentieren

  • Neu starten

  • Verzeichnisdienst-wiederherstellungsmodus

  • SAM Konto anmelden

ja

ja

ja

ja

Sicherung einspielen

ja

ja

nein

nein

NTDSutil verwenden

Authoritative restore …

nein

Files: move DB to „Ziel“

Files: compact to “Ziel” → Kopieren über alte NTDS.dit

Normal starten

ja

ja

ja

ja