Microsoft

Active Directory Service

 

 

Studienarbeit für die

Prüfung zum Diplom-Betriebswirt (BA)

im

Ausbildungsbereich Wirtschaft

an der

Berufsakademie Karlsruhe

 

Name:

Christian Gröger

Geburtsort:

Bruchsal

Fachrichtung:

Wirtschaftsinformatik

Kurs:

WWI97G1

Ausbildungsstätte:

SEW-EURODRIVE GmbH & Co.

Betreuender Dozent:

Frederic Toussaint

Abgabedatum:

9. November 1999

 

 

 

 

 

 

 

Inhaltsverzeichnis

Motivation

Verzeichnisdienste
    Einführung
    Definition
    Aktuelle Standards
        X.500
        Lightweight Directory Protocol (LDAP)
Microsoft Active Directory Service (ADS)
    Einführung
    Das Windows NT Domänenkonzept
        Einführung
        Aufbau und Struktur
        Vertrauensverhältnisse
        Synchronisation
        Begrenzungen einer NT Domäne
    Aufbau und Struktur des Active Directory
    Grundlagen
        Namensvergabe
        Vererbung
        Vertrauensverhältnisse
        Multimasterreplikation
        Technische Realisierung
    Werkzeuge
        Die Suchmaschine: Der Global Catalog
        Die Schnittstelle Active Directory Service Interface (ADSI)
        Anwendungsbeispiel
    Migration zu Active Directory
        Migration einer NT4-Domäne
Weitere Verzeichnisdienste
    Bayan Streettalk
    Novell Directory Service (NDS)
        ADS vs. NDS
    Sonstige Verzeichnisdienste
Zusammenfassung und Ausblick
Anhang
    Quellenangabe
    Abkürzungsverzeichnis
    Abbildungsverzeichnis

 

Motivation

Diese Studienarbeit widmet sich dem Verzeichnisdienst Active Directory, der Bestandteil des Microsoft Serverbetriebssystems Windows 2000 sein wird. Obwohl es Windows 2000 momentan nur als Release Candidate 2 auf dem Markt gibt, halte ich es jetzt schon für wichtig, sich mit dem Thema Verzeichnisdienste auseinanderzusetzen. Die Anzahl der vernetzten Rechnersysteme ist innerhalb der letzten Jahren stark angewachsen und mit ihr auch ihre Komplexibilität. Durch Verbindung der Rechner mit dem Internet sind weitere Softwarekomponenten wie Mail und Internetserver auf den Markt gekommen, die es zu administrieren gilt. Ausserdem hat die weltweite Vernetzung von Firmen über das Internet so große Fortschritte gemacht, dass aus einzelnen, einfach strukturierten LANs große komplexe Netzwerke entstanden sind. Um diese effizient und rational verwalten zu können sind neue Administrationswerkzeuge nötig. Ich erlebe es selber im Alltag, wie für die Administrationen oft eine unübersichtliche Anzahl von verschiedenen Werkzeugen benötigt wird und somit einiges an Konfigurationsarbeit und redundater Datenerfassung anfällt. Die Theorie von Microsofts Active Directory sieht vielversprechend aus: Sollte ein großer Teil in der Praxis genau so realisiert sein, wie Microsoft dies in seinen Whitepapers zu Windows 2000 darstellt, dann ist ein großer Schritt in Richtung "Single Point of Administration" gemacht worden. Voraussetzung hierfür ist natürlich, dass die Anwendungen auch das Active Directory unterstützen, d.h. die reine Installation des Active Directory bewirkt noch keine Erleichterung. Aufgrund Microsofts Marktstellung und der Zusage vieler bedeutenden Hersteller ist jedoch meiner Ansicht nach damit zu rechnen, dass einige Zeit nach dem Erscheinen von Windows 2000 der Trend zum Verzeichnisdienst immer mehr zunimmt. Ein Umstieg auf einen Verzeichnisdienst bedarf weitreichender Planung und Umstellung, deshalb ist es notwendig, dass sich große Unternehmen schon heute Gedanken zu diesem Thema machen. Microsoft bietet schon vor der offiziellen Auslieferung MCSE-Kurse zum Thema Planung und Einrichtung des Active Directory an.

Ich hoffe, dass ich mit dieser Studienarbeit einen einen verständlichen Einblick in das Zukunfstthema "Active Directory" geben kann.

zurück zum Inhaltsverzeichnis

 

Verzeichnisdienste

 

Einführung

Im Rahmen der zunehmenden Globalisierung und der weltweiten Vernetzung von Computersystemen wird eine einheitliche Verwaltung von Benutzerberechtigungen immer notwendiger. Dabei müssen alle Objekte der unterschiedlichen Netze, wie z.B. Anwendungen, Datenbanken , Speicherressourcen, Drucker, Gateways transparent, d.h. ohne mehrmaliges Eingeben von Benutzername und Passwort für den berechtigten Benutzer erreichbar sein.

zurück zum Inhaltsverzeichnis

 

Definition

Verzeichnisdienste stellen eine zentrale Anlauf- und Auskunftstelle für Netzwerkinformationen dar. Es haben sich im Gebiet der Verzeichnisdienste in den letzten Jahren zwei unterschiedliche Richtungen entwickelt:

Zum einen gibt es einfache Verzeichnisdienste, die meist in Netzwerk-betriebssystemen oder Datenbanken integriert sind. Diese Dienste speichern jedoch meist nur eine Liste von Benutzern mit einigen zugeordneten Zusatzangaben wie Berechtigung oder Passwort. Ein Beispiel für diese Art des Verzeichnisdienstes ist das Domain Name Service (DNS) Modell, bei dem ein Rechnername über diesen Service in eine IP-Adresse umgesetzt wird.

Zum anderen haben sich gerade im Bereich der Telekommunikation sehr komplexe Verzeichnisdienste, wie z.B. der X.500 Standard entwickelt, die wesentlich flexibler als die einfachen Dienste aufgebaut sind.

 

Solche Verzeichnisdienste verfügen zusätzlich noch über einige weitere Eigenschaften (Nie98, S. 53):

Aufgrund dieser Flexibilität setzten immer mehr Hersteller auf diesen zweiten, komplexeren Ansatz, um für die Zukunft gewappnet zu sein. Microsoft hat in Windows 2000 mit Active Directory diesen Ansatz realisiert.

zurück zum Inhaltsverzeichnis

 

Aktuelle Standards

 

X.500

X.500 ist der OSI-Standard (Open Systems Interconnection) eines weltweit verteilten Verzeichnisses von Netzwerkbenutzern, Netzwerk-Services etc.

Der X.500 Standard definiert die folgenden Komponenten:

 

Das Informationsmodell des X.500-Standard stellt eine hierarchische Baumstruktur zur Informationsverwaltung zur Verfügung. Jeder Knoten dieses Baumes besteht aus Attributen. Ein Attribut wiederum hat einen Typ und einen oder mehrere Werte. Der Typ legt die Art der Information fest, die in den Werten abgelegt werden kann.

So können z.B. zu Benutzern in Form von Attributen jeweils der Standort, die Funktion, die Telefon- und Fax-Nummer, sowie die E-Mail-Adresse hinterlegt werden. Andere Ressourcen wie Netzwerkdrucker werden über Attribute wie Standort, Etage, Druckertyp und Verantwortlichem inklusive Telefonnummer und E-Mail-Adresse beschrieben. In diesem Fall kann der Benutzer ohne lange zu suchen gezielt den für ihn geeigneten Drucker auswählen und kann im Bedarfsfall den dafür zuständigen Administrator direkt um Hilfe bitten.

zurück zum Inhaltsverzeichnis

 

Lightweight Directory Protocol (LDAP)

Das Lightweight Directory Access Protocol ist das Standardprotokoll im Internet, das den Zugriff auf die Verzeichnisdienste regelt. LDAP kann auch als Basis für Replikationsmechanismen verwendet werden.

Es entstand ursprünglich als eine vereinfachte Version der X.500 DAP Spezifikation (Directory Access Protocol) die den Zugang zu X.500-basierten Verzeichnisdiensten über TCP/IP ermöglichte. Der Vorteil gegenüber der X.500 Spezifikation ist, dass alle wesentlichen X.500 Elemente realisiert wurden. LDAP besitzt jedoch viel weniger Overhead und ist weitaus leistungsfähiger.

LDAP wird für verschiedene Verzeichnisdienste verwendet und stellt mittlerweile einen Standard bei den Vezeichnisdiensten dar, da viele wichtige Unternehmen wie Microsoft, Sun oder Cisco auf LDAP setzen.

zurück zum Inhaltsverzeichnis

 

Microsoft Active Directory Service (ADS)

Einführung

Das Active Directory stellt einen hierarchisch gegliederten Verzeichnisdienst dar, der sich in seiner Struktur grob am bestehenden X.500 Modell orientiert. Active Directory ist Bestandteil von Microsofts neuem Betriebssystem Windows 2000 Server, das momentan nur als Release Candidate, also in einer Vorabversion vorliegt, jedoch voraussichtlich im ersten Quartal 2000 ausgeliefert werden soll.

zurück zum Inhaltsverzeichnis

 

Das Windows NT Domänenkonzept

Einführung

Das Windows NT Domänenkonzept wird es in der bisherigen Form bei Windows 2000 mit Active Directory nicht mehr geben. Es sind aber für die Abwärtskompabilität und Upgrademöglichkeit einige Elemente aus diesem Konzept in die Struktur des Active Directory eingegangen. Aus diesem Grund wird im Folgenden das NT Domänenkonzept dargestellt.

zurück zum Inhaltsverzeichnis

 

Aufbau und Struktur

Windows NT arbeitet mit einer eindimensionalen Architektur bei der sich alle Objekte wie Server, Benutzer, Druckerwarteschlangen auf der selben Ebene Befinden. Dies hat zur Folge, dass die Netzwerkadministration auf jedem Server entsprechend die Benutzer einrichten muß. Aus diesem Grund hat Microsoft das zweidimensionale NT-Domänenmodell eingeführt. Es ermöglicht die Benutzer einmal in der Domäne anzulegen und mit entsprechenden Zugriffsrechten versehen, so das die Benutzer nicht redundant auf jedem einzelnen Server angelegt werden müssen.

Eine Domäne stellt eine logische Einheit im Netzwerk dar, die mindestens einen Domänencontroller enthält. Auf diesem werden die Benutzerdaten und Berechtigungen administriert.

Alle anderen Ressourcen beziehen ihre Informationen von diesem Controller. D.h. meldet sich ein Benutzer "Gates" an einer Arbeitsstaion in der Domäne "Microsoft" an, so wird auf dem Domänencontroller der Domäne "Microsoft" überprüft, ob ein Benutzer Gates existiert, ob sein Passwort korrekt ist und welches Anmeldescript ablaufen soll. Der Benutzer Gates kann jetzt ohne weitere Passwortabfrage auf alle für ihn freigegebenen Ressourcen im Netzwerk zugreifen.

zurück zum Inhaltsverzeichnis

 

Vertrauensverhältnisse

Es kann in einem Unternehmen durchaus sinnvoll sein, mehrere Domänen einzurichten. Zum einen kann man so bestimmte Bereiche wie etwa Produktion und Verwaltung logisch voneinander trennen, zum anderen bietet sich eine logische Trennung an, wenn das Unternehmen mehrere Standorte besitzt und man so Anmeldevorgänge über WAN-Strecken vermeiden möchte. Es kann jedoch vorkommen, dass Benutzer der einen Domäne Zugriff auf Ressourcen einer anderen benötigt. Möchte beispielsweise Hr. Maier aus Bruchsal in der Domäne "SEW" ein Dokument auf einem Farblaserdrucker im Werk Graben in der Domäne "PRODUKTION" ausdrucken, so muß er in der Domäne "PRODUKTION" bekannt sein und eine Berechtigung zum Druck auf diesem Drucker haben.

Um nun redundante Erfassung von Benutzer zu vermeiden, bietet das Domänenkonzept die Möglichkeit anderen Domänen zu "vertrauen". Somit würde im Beispiel der Domänencontroller "PRODUKTION" in der Benutzerdatenbank der Domäne "SEW" prüfen, ob einen Benutzer "Maier" existiert, und ob dieser die Legitimation zum Drucken auf dem Farblaserdrucker erhalten hat. Durch das Vertrauensverhältnis ist es also möglich, einem Benutzer Rechte in einer vertrauten Domäne zu vergeben. Dabei wird zwischen einseitigem und beidseitigem Vertrauen unterschieden. Beim einseitigen Vertrauen vertraut z.B. Domäne B der Domäne A, aber nicht umgekehrt. Beim beidseitigen Vertrauen, gilt das Vertrauen in beide Richtungen. Die Möglichkeit des einseitigen Vertrauens kann in der Praxis durchaus wichtig sein. Möchte beispielsweise die Domäne "Finanzen" Zugriff auf Ressourcen der Domäne "IT" bekommen, so bietet sich ein einseitiges Vertrauen der Domäne "IT" zu "Finanzen" an. Es ist dadurch nämlich ausgeschlossen, dass ein unbefugter Benutzer aus dem IT Bereich Zugriff auf sensible Finanzdaten erhalten kann.

zurück zum Inhaltsverzeichnis

 

Vertraunesverhältnisse - Abbildung1

Abbildung 1: Es gibt zwei Arten von Vertrauen: Einseitiges und Gegenseitiges (Nie98, S.205)

Synchronisation

Eine Domäne muß mindestens einen Domänencontroller besitzen. Dieser Server ist der Primäre Domänen Controller (PDC). Auf ihm ist die SAM gespeichert, in der alle Benutzer und Berechtigungen verwaltet werden. Zusätzlich können aber auch noch weitere Server zu Domänencontrollern definiert werden. Diese sind dann Backupdomaincontroller (BDC) . Backupdomaincontroller besitzen eine Kopie der SAM des PDC, die in definierten Abständen synchronisiert wird. Ein Benutzer, der sich an einer solchen Domäne anmeldet, legitimiert sich also nicht unbedingt am PDC, sondern durchaus auch an einem BDC. Die BDCs dienen also zum einen dazu, die Netzlast vom PDC zu nehmen, zum anderen haben sie als Hauptaufgabe, Backup des PDC zu sein. Sollte der PDC ausfallen, so können sich die Benutzer weiterhin an der Domäne anmelden. Nur administrative Operationen, also das Anlegen und Ändern von Benutzereigenschaften sind auf den BDC nicht möglich. Sie gestatten einen Nur-Lesezugriff. Sollte der PDC für längere Zeit ausfallen, so ist es dem Administrator möglich, einen der BDCs zum PDC zu erhöhen um somit wieder Schreibzugriff auf die SAM zu erhalten. Diese Maßnahme sollte jedoch nur in schwerwiegenden Fällen durchgeführt werden, da sich die spätere Reintegration des alten PDC in diese Domäne sehr schwierig gestaltet.Die Replikationen zwischen dem PDC und den BDCs einer Domäne wird nach dem Master-Slave Prinzip durchgeführt. Das bedeutet, der PDC (Master) repliziert immer direkt auf den BDC, der BDC kann diese Informationen nicht von einem anderen BDC erhalten. Dies stellt gerade bei Domänen, die sich über einen Standort hinweg ausdehnen, ein Problem dar. Hat eine entfernte Niederlassung mehr als ein BDC, wird nicht nur ein BDC, sondern jeder BDC über die WAN-Anbindung aktualisiert, was zu einer redundanten und hohen Netzlast auf der WAN-Strecke führt.

zurück zum Inhaltsverzeichnis

 

Begrenzungen einer NT Domäne

Eine NT Domäne ist in ihrer Flexibilität beschränkt. So gibt es keine Möglichkeit, die Anzahl oder den Inhalt der bestehenden Objekttypen zu erweitern. Auch eine Funktion zum Zusammenführen der Benutzerdatenbank mit Benutzerdatenbanken aus anderen Anwendungen oder Diensten ist nicht vorhanden.

Je nach dem, wie groß die Netzwerkumgebung ist, kann es enormen Aufwand kosten, die richtigen Vertrauensverhältnisse zwischen den Domänen zu definieren, damit die Funktionalität, aber auch die Sicherheit gewährleistet ist. (Mic95, S.670ff)

zurück zum Inhaltsverzeichnis

 

Aufbau und Struktur des Active Directory

Das Active Directory orientiert sich an grob am X.500 Modell und stellt einen hierarchisch gegliederten Verzeichnisdienst dar und löst so als dreidimensionales Modell das zweidimensionale Domänenkonzept ab. Dennoch wird der Domänenbegriff an sich im neuen Modell weiterverwendet. Nach Ansicht von Morten Nielsen läßt dies auf den Wunsch Microsofts zur Abwärtskompabilität schließen (MOR98, Seite 212).

Das Active Directory integriert die Standards LDAP und DNS. Beide Standards benötigen das TCP/IP Protokoll als Grundlage. Dies sollte bei den Planungen für einen Einsatz des Active Directorys unbedingt beachtet werden. Gerade Benutzer von Novells Netware sind von dieser Voraussetzung betroffen. Mit dem Active Directory wird eine Basis für eine Vielzahl von Anwendungen geschaffen, die es ermöglicht, das Netzwerk zentral zu verwalten.

ADS - zentraler Administrationspunkt -Abbildung2

Abbildung 2:
Active Directory dient als zentraler Administrationspunkt für alle Anwendungen (WP198, S.2)

zurück zum Inhaltsverzeichnis

 

Grundlagen

Jedes Active Directory enthält normalerweise mindestens einen Domänenbaum. Ein Domänenbaum bildet das Netzwerk in einer hierarchisch gegliederten Struktur ab. Dazu bedient es sich einiger Elemente die im folgenden erläutert werden (Wal99, S.268-271):

 

Objekt

Ein Objekt ist ein Datensatz von Attributen, die eine Netzwerkressource beschreiben. Der Datensatz eines Benutzers könnte beispielsweise die Attribute "Vorname", "Nachname", "Abteilung", "Telefonnummer" und "E-Mail-Adresse" enthalten.

zurück zum Inhaltsverzeichnis

 

Container

Manche Objekte können wiederum andere Objekte enthalten. Diese Objekte werden auch als Container bezeichnet. Eine Domäne ist ein Container, da sie weitere Objekte beinhaltet.

zurück zum Inhaltsverzeichnis

 

Organizational Units (OU)

Eine Organizational Unit (OU) ist ein Containerobjekt, das zur Strukturierung der Domäne genutzt wird. Eine OU kann z.B. die Benutzernamen enthalten, eine andere die Applikationen, Freigaben, usw.
Es gibt keine Beschränkungen, wie tief die OUs geschachtelt werden dürfen, es empfiehlt sich jedoch, die Schachtelung in einem sinnvollen Rahmen zu halten. Eine Feinstrukturierung der Computer auf Zimmerebene wäre beispielsweise in den meisten Fällen überflüssig und würde nur die Übersicht erschweren.
Die OU Hierarchie kann in jeder Domäne anders aussehen es gibt keine Vorschriften, wie sie genau aufgebaut sein muß. Vorteilhaft für die Netzwerkadministration ist, dass Benutzern Rechte für einzelne OUs delegiert werden können. So könnte beispielsweise der Abteilungsleiter für alle PCs in seiner Abteilung die lokalen Administratorenrechte delegiert bekommen. Diese Rechte gelten dann nur für die Rechner innerhalb der OU. In einer NT4 Domäne ist dies so nicht zu realisieren.

zurück zum Inhaltsverzeichnis

Hierarchische Verwaltung mit ADS - Abbildung3

Abbildung 3: Ressourcen können hierarchisch verwaltet werden. (Wal99, S.269)

Baum (Tree)

Ein Baum ist eine Gruppierung oder hierarchische Anordnung mehrerer Windows 2000 Domänen, die sich einen zusammenhängenden Namensraum teilen. Es gibt also eine Hauptdomäne, z.B. sew.com. Die untergeordneten Domänen enthalten immer den Namen der übergeordneten Domäne, also Beispielsweise germany.sew.com und france.sew.com.

Domänenmodell - Abbildung4

Abbildung 4: Domänenmodell mit zusammenhängendem Namensraum

zurück zum Inhaltsverzeichnis

 

Wald (Forest)

Ein Wald ist eine Gruppierung von mehreren Domänenbäumen, die keinen zusammenhängenden Namensraum besitzen. Dennoch haben die Domänen das gleiche Schema und teilen sich einen Global Catalog. Die Domänen arbeiten weiterhin unabhängig voneinander, aber der Wald ermöglicht Kommunikation und Suchanfragen über die Domänen hinweg.

zurück zum Inhaltsverzeichnis

 

Site

Microsoft führt mit dem Active Directory den Begriff der Site ein. Eine Site beschreibt ein oder mehrere IP Subnetze, welche über ein schnelles, meist lokales Netzwerk verbunden sind. Sites bilden die physikalische Struktur des Active Directory.

zurück zum Inhaltsverzeichnis

 

Schema

Das Schema enthält die formale Definition der Struktur und des Inhalts des Active Directorys, einschließlich aller Attribute, Objekten und Objektklassen. Hier wird also definiert welches Objekt welche Attribute enthält und welche Wertebereiche sie annehmen können. Auch Muß- und Kannfelder können hier definiert werden. Sobald das Active Directory auf dem ersten Domaincontroller in der Domäne installiert wird, wird ein Standardschema mit gebräuchlichen Objektklassen und Attributen erzeugt. Das Schema kann dann abgeändert und so individuell angepaßt werden. Dies ist über den Schema-Manager in der Microsoft Managementkonsole oder über programmierung der ADSI-Schnittstelle möglich.

zurück zum Inhaltsverzeichnis

 

Namensvergabe

Das Active Directory baut auf die DNS Namensauflösung auf. Das bedeutet, dass alle Domänennamen DNS kompatibel sind. DNS (Domain Name System) wandelt sprechende Rechnernamen oder Domänennamen in die von den Computern benötigten TCP/IP-Adressen um.
Die Domänennamen des Active Directory sind kompatibel zum bestehenden DNS System. Die Windows 2000 Domänencontroller können als DNS Server dienen. Es ist aber durchaus möglich, einen bestehenden DNS Server in das Active Directory zu integrieren.
Die Windows 2000 Server benutzen Dynamic DNS (DDNS). Im Unterschied zu DNS repliziert DDNS Änderungen an der DNS Datenbank, beispielsweie bei Dynamischer Vergabe von TCP/IP-Adressen automatisch und stellt somit eine Verbesserung des DNS Standards dar.

Active Directory unterstützt noch weitere, allgemein anerkannte Namensformate (Nie98, S.299):

z.B. /DE/SEW/Server1/Projekte/Studienarbeit/ChristianGroeger

zurück zum Inhaltsverzeichnis

 

Vererbung

Das Active Directory arbeitet mit einer hierarchischen Weitervererbung: Alle Änderungen des Verzeichnisschemas oder der Zugriffsberechtigungen gelten automatisch für die Ebene, in der verändert wurde, sowie für alle darunterliegenden Ebenen.
Die Vererbung des Active Directory läuft statisch ab, das bedeutet, dass die vererbten Änderungen an allen Objekten, die von der Vererbung betroffen sind, vorgenommen werden müssen. So kann eine Änderung je nach Größe der Struktur sehr große Replikationen verursachen. Ist die Änderung jedoch einmal durchgeführt so kann der Benutzer des Active Directory damit schneller arbeiten, als ein Benutzer eines Verzeichnisdienstes, das dynamisch vererbt. Domänen sollten sich aus diesem Grund nicht über WAN-Strecken ausbreiten, da sonst die sehr umfangreichen Replikationen schnell immense Netzlast und damit auch Kosten verursachen.

zurück zum Inhaltsverzeichnis

 

Vertrauensverhältnisse

Ähnlich wie bei den NT Domänen haben auch die Active Directory Domänen klare Sicherheitsregeln. Sollen beispielsweise zwei Active Directory Domänen zu einem Domänenbaum verbunden werden, so müssen sie sich gegenseitig vertrauen. Im Gegensatz zu dem bisherigen Domänenmodell werden die Vertrauensverhältnisse transitiv verwaltet. In der Praxis bedeutet dies folgendes: Wenn die Domäne B der Domäne A vertraut und die Domäne C der Domäne B, dann vertraut automatisch die Domäne C der Domäne A, auch wenn keine explizite Vertrauensregelung besteht, die die Domänen C und A miteinander verbindet.
Durch die Einführung des transitiven Vertrauens konnte die Anzahl der Vertrauensverhältnisse die notwendig sind, um innerhalb eines ganzen Domänenbaums volles Vertrauen unter den Domänen zu erreichen von D*(D-1) auf D-1 reduziert werden wobei für D die Anzahl der Domänen einzusetzen ist (Nie98, S.217). Das Active Directory sorgt ausserdem automatisch dafür, dass bei einer Neuanmeldung einer Domäne im Domänenbaum automatisch ein transitives Vertrauensverhältnis zu der nächsten darüberliegenden Domäne im Domänenbaum errichtet wird. Somit wird dem Administrator einiges an Verwaltungsaufwand abgenommen.

zurück zum Inhaltsverzeichnis

 

Multimasterreplikation

Die Multimasterreplikation ermöglicht Änderungen in der Domäne von jedem Windows 2000 Server aus, der als Domänencontroller fungiert, der also eine beschreibbare Kopie der Domänendatenbank gespeichert hat. Fällt ein Domänencontroller aus, so können die anderen die gesamte Arbeit übernehmen, einschließlich der Administration.Da alle Domänencontroller Änderungen an der Datenbank erlauben, hat Microsoft ein Synchronisationsverfahren entwickelt, das sich jedoch von der üblichen Synchronisation unterscheidet.
Die meisten Hersteller benutzen Zeitstempel als Basis für die Replikation. Voraussetzung ist es hier natürlich, das alle Server die gleiche Uhrzeit und das gleiche Datum benutzen. Microsoft setzt den Zählmechanismus USN (Update Sequence Number) ein, der für jedes Objektattribut einen eigenen Zähler erzeugt. Bei einer Änderung des Attributs wird der Zähler um eins erhöht.
Gleichen sich die Domänencontroller untereinander ab, so wird das Attribut mit dem höchsten Zählerstand repliziert. Sollten Änderungen am gleichen Attribut auf zwei unterschiedlichen Domänencontrollern vorgenommen worden sein, d.h. der Zählerstand wäre bei 2 Domänencontrollern gleich, so entscheidet auch hier der Zeitstempel. Der Vorteil dieser Kombination ist, dass sie sicherer arbeitet, als das Zeitstempelverfahren alleine. So kann auch bei einer falsch laufenden Serveruhr in einer Vielzahl der Fälle trotzdem korrekt repliziert werden.

zurück zum Inhaltsverzeichnis

 

Technische Realisierung

Obwohl das Active Directory einige revolutionären Änderungen mit sich bringt, so gibt es vergleichsweise wenige Änderungen in der grundlegenden Architektur von Windows NT.
Bei Windows NT werden die Domänendatenbanken in einer verschlüsselten Datei in Form des Security Account Manager SAM gespeichert. Jede Interaktion mit der Domäne wird über die SAM abgewickelt.

Domänenarchitektur - Abbildung5

Abbildung 5: Die Domänenarchitektur von NT aus technischer Sicht (Nie98, S.220)

Auch in der neuen Architektur wird es aus Kompabilitätsggründen noch die SAM geben. Microsoft weist jedoch darauf hin, dass die SAM nur bis zur vollständigen Implementierung des Active Directory im Unternehmen benutzt werden sollte. In der neuen Architektur werden die Daten in einer JET-Datenbank abgelegt. Microsoft setzt diese Datenbank schon in ihren Produkten Exchange ab Version 4.0 und Access ein. Die JET-Datenbank behebt das Manko der Registrierungsdatenbank, welche nur wenige Rechner- und Benutzerspezifische Daten in fest definierter Größe speichern kann, und außerdem nicht über wichtige Datenbankfunktionen wie z.B. Indizierung verfügt.

Mit der JET-Datenbank können einfach neue Objekttypen und Attribute definiert werden und auch die Anzahl der zu verwaltenden Objekte ist stark angestiegen. Während eine Windows NT Domäne maximal 70.000 - 80.000 Objekte verwalten kann, ist Active Directory in der Lage, mit mehreren Millionen Objekte umzugehen. (Kup98, S. 83)

ADS-Architektur - Abbildung 6

 

Abbildung 6: Die neue, auf Active Directory basierende Architektur aus technischer Sicht (Nie98, S.221)

zurück zum Inhaltsverzeichnis

 

Werkzeuge

Die Suchmaschine: Der Global Catalog

Ein Verzeichnisdienst sollte neben vielen anderen Kriterien auch die Möglichkeit bieten, seine Datenbestände durchsuchen zu lassen. So wie es mittlerweile möglich ist auf Telefonbuch-CD´s wie D-Info nach Namen und Nummern zu suchen, können auch Verzeichnisdienste nach bestimmten Attributen von Objekten durchsucht werden. Es können beispielsweise Namen und E-Mail-Adressen im Unternehmen gesucht werden. Aber auch Geräte innerhalb des Netzwerkes, die im Active Directory verwaltet werden, können abgerufen werden können. So ist es möglich eine Abfrage in der Form: "alle Farblaserdrucker in der zweiten Etage der Hauptverwaltung" zu starten.
Das Active Directory enthält für diese Suchfunktionalität einen speziellen Dienst: Den Global Catalog. Dieser Dienst stellt eine spezielle Datenbank für Suchanfragen dar. Er entspricht also einer Untermenge des Active Directory bei der nur wenige, für die Suchoperationen benötigte Eigenschaften von Objekten gespeichert sind. Somit ist es möglich, Suchanfragen des Benutzers sehr schnell abzuwickeln. Da alle Objekte aller Domänen im Domänenbaum im Global Catalog gespeichert sind, muß nicht erst eine zeitintensive und netzwerkbelastende Suche über alle Domänen durchgeführt werden, sondern es kann zentral an einer Stelle mit geringer Bandbreite zugegriffen werden. Benutzer einer Domäne können mit Hilfe des Global Catalog auch Informationen über Objekte anderer Domänen erhalten. Das netzwerkbelastende "Tree-Walking", also das Durchsuchen des kompletten Baums wird somit ausgeschlossen.
Der Benutzer erhält bei Suchanfragen nur Objekte angezeigt, für die er auch eine Berechtigung besitzt. Somit ist gewährleistet, dass nicht jedem die Komponenten des gesamten Domänenbaums offengelegt wird. Der Global Catalog-Dienst wird auf spezifischen Servern, die als Domänencontroller innerhalb der Netzwerkumgebung arbeiten, ausgeführt. Es sollte jedoch nicht jeder Domänencontroller zwangsweise auch den Global Catalog Dienst installiert haben, da sich ansonsten durch ständige Replikation die Bandbreite des Netzwerkes stark verringern würde. Es ist jedoch auf jeden Fall empfehlenswert, an jedem Standort des Unternehmens bzw. in bestimmten Sites einen Global Catalog führen zu lassen. Somit ist sichergestellt, das die Clients im lokalen Netzwerk auf den Suchdienst zugreifen können und nicht auf entfernte Server über teure und langsamere WAN-Strecken zugreifen zu müssen.

zurück zum Inhaltsverzeichnis

 

Die Schnittstelle Active Directory Service Interface (ADSI)

Microsoft bietet mit ADSI (Active Directory Service Interface) eine Schnittstellenspezifikation für das Active Directory an.
Das ADSI stellt eine einfach gehaltene und objektorientierte Schnittstelle zum Active Directory dar. Durch das ADSI können Programmierer mit Hilfe von gängigen Programmiersprachen wie C++, Visual Basic und Java ihrer Programme Active Directory tauglich machen. Administratoren können über Scriptsprachen wie Perl oder Java gezielte Zugriffe auf das Active Directory programmieren. ADSI ist jedoch nicht nur auf das Active Directory begrenzt, sondern stellt einen offenen Rahmen dar, in den auch weitere Typen von Verzeichnisdiensten aufgenommen werden können. Es setzt auf einem abstrakten Modell des jeweiligen Verzeichnisdienstes auf und präsentiert es in Form einer einheitlichen Schnittstelle. So können über eine einzige Schnittstelle Ressourcen angefordert, aufgezählt und in einem Verzeichnisdienst administriert werden, unabhängig davon, in welcher Netzwerkumgebung man sich befindet.
Für die Benutzer und Entwickler stellt dies einen großen Vorteil da: sie brauchen sich nicht mehr darum zu kümmern, welcher Verzeichnisdienst ihrer Applikation zugrunde liegt. Auch tiefgreifende Veränderungen (z.B. Umstieg auf einen neuen Dienst) ziehen keine Programmänderungen nach sich, solange es für den Verzeichnisdienst einen ADSI-Provider gibt.
ADSI wurde für den Einsatz von komplexen Verzeichnisdiensten entwickelt. Es ist aber durchaus möglich auch auf Netzwerkumgebungen zuzugreifen die nicht über einen eigentlichen Verzeichnisdienst verfügen, wie z.B. die NT-Domänen oder die Netware Bindery (Novell Netwareversionen kleiner Version 4.x)
ADSI teilt sich in 2 Teile: Zum einen das ADSI Programm und zum anderen der ADSI Seviceprovider. Beide können auf dem lokalen PC verarbeitet werden. Es ist somit nicht notwendig ADSI-Komponenten auf den Servern zu installieren. Meldet das ADSI einen Programmaufruf so läuft dieser immer über die eigene API des Servers, und das ADSI ist für den Server nicht transparent. Auch wenn Microsoft ADSI als primäre Schnittstelle für das Active Directory entwickelt hat, ist es durchaus möglich auch auf anderen Wegen auf das Active Directory zuzugreifen. So unterstützt ADS auch das LDAP C API (RFC1832) oder das MAPI-Protokoll.

zurück zum Inhaltsverzeichnis

 

Anwendungsbeispiel

Als Beispiel für die ADSI-Programmierung eignet sich die Benutzerverwaltung unter Windows NT. Während diese z.B. bei Unix über Skripts abläuft, muß man bei Windows NT bisher Anwendungen wie den Benutzermanager benutzen. In manchen Fällen, ist diese Software jedoch nicht flexibel genug. Gerade für Batchabläufe oder eigene, kleine Programme gab es bisher kaum Möglichkeiten auf die SAM zuzugreifen.

Mit Hilfe von ADSI können jetzt eigene, auf den Bedarfsfall zugeschnittene Lösungen programmiert werden. Das folgende Beispiel zeigt das Anlegen eines Benutzers mit Hilfe von Visual Basic:

Dim Container as IADsContainer
Dim NewUser as IADsUser
' Bindung zu bekanntem Container herstellen
' über die von ADSI Router und Support Komponente
' zur Verfügung gestellte Funktion GetObject
Set Container = GetObject("WinNT://Domäne")
' Erzeuge neue Benutzerhülle
Set NewUser = Container.Create("user", "Benutzer")
' Schreibe Information in den Directory Service NT
NewUser.SetInfo
' Wende Methode auf den Benutzer an: Setze Paßwort
NewUser.SetPaßword("Paßwort")

Quelle: (Beis97)

zurück zum Inhaltsverzeichnis

 

Migration zu Active Directory

 

Migration einer NT4-Domäne

Wie schon beschrieben enthält das Active Directory viele Elemente, die die Abwärtskompabilität zu Windows NT gewährleisten sollen. So ist Windows 2000 vollständig abwärtskompatibel zur der existierenden Anmeldevorgehensweise, dem Sicherheitskonzept und der Serverreplikation. Der Umstieg von einer NT Domäne auf das Active Directory kann fließend durchgeführt werden.

Ein Windows 2000 Server, der als Domänencontroller definiert ist, kann gleichzeitig als NT4 PDC oder BDC fungieren. In diesem Fall hält der Server zusätzlich zu den Active Directory Informationen noch die Benutzerdatenbank der NT Domäne bereit und verhält sich der Domäne gegenüber als NT4 Server. Die Funktionalität als Windows 2000 Domänencontroller ist nicht eingeschränkt. Allerdings empfiehlt Microsoft eine Installation eines solchen Doppelservers nur auf entsprechend großen Hardwareplattformen. Als Faustregel gilt: Hardwareanforderung des Windows2000 System + Hardwareanforderung des NT4 System = optimal.

Auch Vertrauensverhältnisse zwischen der Active Directory Domäne und dem NT4 Netzwerk sind realisierbar.

Vorteilhaft bei der Migration ist, dass man wirklich langsam migrieren kann und nicht ganze Domänen für die Zeit der Umstellung abhängen muß.

Entschließt man sich eine bestehende Domäne zum Active Directory zu migrieren, so sollte man jedoch einige Punkte beachten:

zurück zum Inhaltsverzeichnis

 

Weitere Verzeichnisdienste

 

Bayan Streettalk

Streettalk Directory Service ist ein Produkt der Firma Bayan Systems und Bestandteil des Netzwerkbetriebssystems Bayan Vines. Dieser Verzeichnisdienst läuft auch mit anderen Betriebssystemen und Plattformen wie Novell Netware, AIX, Solaris, SCO-Unix und Windows NT.

Streettalk gibt es schon seit ca. 10 Jahren und gilt als einer der ältesten Verzeichnisdienste (Nil98). Streettalk hat eine sehr gute Suchfunktion implementiert, benötigt jedoch eine hohe Netzwerkbandbreite und ist im Vergleich zu NDS oder ADS um einiges langsamer. Die größte Beschränkung von StreetTalk ist jedoch die Einschränkung, dass Objekte nur dreistufig geschachtelt werden können. Somit haben gerade große Unternehmen Probleme, ihre Infrastruktur auf dieses System zu übertragen. Auch die Unterstützung von namhaften Serverapplikationsherstellen fehlt Streettalk noch. Bayan bemüht sich zwar um Partnerschaften mit Oracle und SAP, es ist jedoch fraglich, ob diese Unternehmen Bayan bei der Etablierung auf dem Verzeichnisdienstmarkt unterstützen werden.

zurück zum Inhaltsverzeichnis

 

Novell Directory Service (NDS)

Novell hat in seinem Serverbetriebsystem Netware 4 den Verzeichnisdient NDS (Novell Directory Service) integriert. Dieser Verzeichnisdienst ist mittlerweile auch für verschiedene andere Betriebssystemplattformen erhältlich, wobei es immer mindestens einen Netware 4 Server im Netzwerk geben muß. Im Gegensatz zu Bayan wird dieser Verzeichnisdienst auch schon von einigen großen Herstellern wie HP, IBM, Intel, CA und Seagate unterstützt. Probleme hat der NDS Baum, wenn er Gruppen mit mehr als 500 Benutzern verwalten soll. So ist es mit NDS zwar möglich viele Tausend Benutzer zu verwalten, allerdings sollte die Struktur nicht zu flach gegliedert sein. Eine Ideale Form für das NDS stellt daher das Dreieck dar. (Nie98, S.89)
Probleme gibt es auch bei der Zusammenführung zweier NDS-Bäume. Wenn bei beiden Bäumen das Schema nicht gleich ist, können die Bäume nicht zusammengefügt werden. Die größte Schwachstelle von NDS liegt jedoch darin, dass NDS für den Benutzer kein integriertes Suchwerkzeug wie beispielsweise den Global Catalog anbietet.

zurück zum Inhaltsverzeichnis

 

ADS vs. NDS

Der momentane Gegenspieler von Microsofts Active Directory ist der Novell Directory Service (NDS), den Novell in ihrem Serversystem Novell Netware 4.x integriert hat.
Während Active Directory momentan nur in einer Betaversion vorliegt, ist NDS schon seit geraumer Zeit im Einsatz.

Die folgende Tabelle stellt die Unterschiede zwischen beiden Verzeichnisdiensten im direkten Vergleich dar:

 

Active Directory

Novell Directory Service

Vererbung

- Zentrale Vergabe der Be-rechtigungen im Verzeichnisbaum

Vererbung von Zugriffsrechten im Dateisystem

- Vererbung über den gesamten Baum

- Filter für die Vererbung können gesetzt werden

Catalog Service

Der global Catalog bietet Informationen über alle Domänen im Domänenbaum Bisher noch keine Implementierung

Replikation

- Multi-Master-Replikation innerhalb der Domäne bzw. des Baums

- Replikationen zu NT 4.0 Domänencontrollern

- Single-Master Replikation innerhalb einer Partition

- Komplexe Synchronisation über Zeitstempel und Zeitsynchronisation

Objekthandeling

- Das Verschieben von Objekten innerhalb einer Domäne und innerhalb eines Baumes ist möglich.

- Domänen können ebenfalls umbenannt bzw. verschoben werden

Verschieben und Umbenennen von Objekten innerhalb des NDS Baums
Mischen von Domänen Momentan nur mit Zusatzwerkzeugen von Drittherstellen Über das mitgelieferte Programm "DSMERGE" möglich

Plattformen

Windows 2000 Netware, Windows NT, Unix, OS/390

Clients

alle 32-Bit Windows Clients, weitere durch Emulation der NT 4-Funktionalität Windows 9x, NT, OS/2, MacOS, SCO Unix, HP-UX, AIX, Caldera Open Linux, SUN Solaris, Fujitsu DS(90 IBM OS7400, IBM MVS

Tabelle 1, Vergleich Microsoft ADS- NDS (Kup98, S.86)

zurück zum Inhaltsverzeichnis

 

Sonstige Verzeichnisdienste

Streettalk und NDS gelten bisher als die beiden einzigen Verzeichnisdienste, die auf dem Markt wirklich akzeptiert worden sind. Allerdings ist der Umsatz in diesem Marktsegment noch relativ schwach. Microsofts Active Directory wird hier in Zukunft wohl einiges verändern.

Einige weitere Hersteller von Verzeichnisdiensten, auf die im Rahmen dieser Studienarbeit nicht weiter eingegangen werden soll, da sie keine große Bedeutung auf dem Markt der Verzeichnisdienste haben, sind:

zurück zum Inhaltsverzeichnis

 

Zusammenfassung und Ausblick

Diese Studienarbeit stellt eine kurze Einführung in das Active Directory dar. Alle Angaben beziehen sich auf die Aussagen von Literatur, denen die Beta-Version des Active Directory zu Grunde lag. Aus diesem Grund könnten sich einige Details des Active Directory bei der Auslieferung von Windows 2000 von den hier beschriebenen unterscheiden. Die Grundstruktur und Grundgedanken, die ich aber mit dieser Praxisarbeit vermitteln wollte, werden jedoch auf jeden Fall identisch sein. So wird das Active Directory den Sinn und Zweck haben, eine zentrale Netzwerkadministration einzurichten und das physikalische Netzwerk in einer hierarchischen Struktur abzubilden, so dass administrative Aufgaben schneller und einfacher erledigt oder deligiert werden können.
Jedoch kann erst der richtige Praxiseinsatz von Active Directory in Unternehmen mit mehreren Domänenbäumen und tausenden von Benutzern und Objekten die Leistungsfähigkeit von Active Directory beweisen. Bis dahin kann man nur die bisher verwirklichten Funktionen der Betaversionen bewerten und die sehen sehr vielversprechend aus. Sicher ist, dass Microsoft auf jeden Fall Active Directory auf dem Markt als neuen Standard etablieren wird. Dafür sprechen einige Gründe: Zum einen kann Microsoft aufgrund seiner Marktposition sehr weit verbreiten. Zum anderen entwickelt Microsoft ja nicht nur Netzwerkbetriebssysteme, sondern kann als Hersteller der weitverbreiteten Office- und Backofficeprodukte ADS optimal unterstützen und wird so die Weiterverbreitung von ADS noch schneller voranbringen. Nachdem Cisco Systems als bedeutender Hersteller von Netzwerktechnik in ihre Netzwerkprodukte ADS Unterstützung integriert, ist davon auszugehen, dass auch andere Unternehmen nachziehen werden. Doch nicht nur marktpolitische Gründe werden zum Erfolg von ADS beitragen: das Konzept ist gut und durch die Integration von Standards wie TCP/IP, LDAP und DNS ist die Integration von bestehenden Sytemen und die Erstellung von neuer Software für ADS einfach und empfehlenswert. Die Zukunft von NDS hingegen ist nach der Einführung von ADS eher fraglich. In den letzten Jahren hat Novell einen großen Marktanteil auf dem Servermarkt verlohren. Wie es scheint, scheint auch bei den Verzeichnisdiensten Mircosoft zu gewinnen, da es besser Unterstützung der ADS durch seine Officeprodukte anbieten kann und daher ADS für den Anwender attraktiv macht. Denn was nützt dem Käufer das beste Verzeichnisdienstsystem, wenn es keine Anwendungen gibt, die auf ihm aufsetzten ?

zurück zum Inhaltsverzeichnis

 

 

Anhang

 

Quellenangabe

 

Bücher

Nie98 Morten Strunge Nielsen, "Ausblick auf Windows NT5", Sybex Verlag,
Auflage 1/98, ISBN: 3-8155-7280-0
Wal99 Rick Wallace, "Microsoft Windows 2000 Beta Trainigs Kit", Microsoft Press,
Auflage 1/99, ISBN: 0-7356-0644-7
Mic95 Microsoft Corporation "Die Technische Referenz Microsoft Windows NT",Microsoft Press,
Auflage 10/95, ISBN: 3-86063-214-0
Mic99 Microsoft Corporation "Microsoft Windows 2000 corporate Preview Guide",Microsoft Corporation, 1/99

 

Zeitschriften

Kup98 Martin Kuppinger "Aktiv-Dienst", Windows Guide Ausgabe 4/98
Beis97 Michael Beigel, Christian Segor "Unter einem Hut", iX Heft 8/97verfügbar auch im Internet http://www.heise.de/ix/artikel/1997/08/122/artikel.html

 

Whitepaper

WP198 Microsoft Whitepaper "Windows NT Active Directory", Quelle Technet September 1999

 

Webseiten

MS1WEB Active Directory, http://www.microsoft.com/switzerland/de/technet/active1.asp
CONWEB Connector Ausgabe Nr. 14, Zugriff über www.connector.de
FAQWEB http://www.microsoft.com/NTServer/nts/techdetails/overview/Directoryfaq.asp
NOVWEB Produktbeschreibung NDS http://www.novell.de/prodinfos/nds/collateral/nds8_pb.pdf
ALLWEB Weitere Informationsseiten im Internet

 

zurück zum Inhaltsverzeichnis

 

Abkürzungsverzeichnis

ADS Active Directory Service
ADSI Active Directory Service Interface
BDC Backup Domain Controller
DAP Directory Access Protocol
DDNS Dynamic Domain Name System
DNS Domain Name System
JET Joint Engine Technologie
LAN Local Area Network
LDAP Lightweight Directory Protocol
MCSE Microsoft Certified Software Engenierer
MMC Microsoft Management Console
NDS Novell Directory Service
NT New Technology
OSI Open Systems Interconnection
OU Orgnisazational units
PDC Primary Domain Controller
SAM Security Account Manager
TCP/IP Transmission Control Protocol/Internet Protocol
UNC Universal Naming Convention
WAN Wide Area Network

zurück zum Inhaltsverzeichnis

 

Abbildungsverzeichnis

Abbildung 1 Es gibt zwei Arten von Vertrauen: Einseitiges und Gegenseitiges  (Nie98, S.205)
Abbildung 2 Active Directory dient als zentraler Administrationspunkt für alle Anwendungen (WP198, S.2)
Abbildung 3 Ressourcen können hierarchisch verwaltet werden. (Wal99, S.269)
Abbildung 4 Domänenmodell mit zusammenhängendem Namensraum
Abbildung 5 Die Domänenarchitektur von NT aus technischer Sicht (Nie98, S.220)
Abbildung 6 Die neue, auf Active Directory basierende Architektur aus technischer Sicht (Nie98, S.221)

zurück zum Inhaltsverzeichnis