Kapitel 10  Struktur des Active Directory

Wenn Sie wissen, was Active Directory ist und wie es gestartet wird, bedeutet das noch lange nicht, dass Sie im Entwickeln von Verzeichnisstrukturen gut sind. Um da gut zu werden, benötigen Sie die Kenntnisse, die Sie in Kapitel 5 gewonnen haben und einige der Informationen über Verzeichnisse aus Kapitel 9 sowie gesunden Menschenverstand. Das Ganze ist ein bisschen so wie das Entwerfen von Gebäuden. Nur weil Sie ein Programm zum Entwerfen von Häusern kaufen können, bedeutet das nicht, dass das von Ihnen entworfene Haus gebaut werden kann, ohne dass die Wände einstürzen. Architekten müssen nicht nur wissen, wie man ein Gebäude schön gestaltet, sie müssen dafür sorgen, dass das Gebäude den täglichen Belastungen standhalten kann.

Auch das Active Directory ist täglichen Belastungen ausgesetzt. LAN-Verkehr kann das Verzeichnis verlangsamen, WAN-Verkehr kann es vollkommen lahm legen und aufgrund von unlogischen Anordnungen von Objekten kann es dazu kommen, dass das Verzeichnis praktisch nutzlos wird. Um ein Verzeichnisarchitekt zu werden, müssen Sie wissen, wo eine Stützmauer, wo ein Sturz und wo eine Stahlbetondecke erforderlich ist. Oder anders ausgedrückt: Sie müssen wissen, wo das gesamte Verzeichnis zu unterteilen ist, wann es nicht zu unterteilen ist und wie Sie den Wünschen der politischen Kräfte entsprechen können.

Witzig, aber wahr: Lassen Sie Active Directory-Designs nicht an der Wand hängen. Vorgesetzte und Manager könnten diese als Organisationsdiagramme missverstehen und sich einmischen. Wie Sie gleich erfahren werden, kann ein Verzeichnis, das allein auf politischen Strukturen basiert, nicht verwaltet werden und reicht selten an IT-Zielsetzungen heran.

Aber nicht für jedes Verzeichnis ist ein »Architekt« erforderlich. Dieses Kapitel nützt vor allem denjenigen Administratoren, die Verzeichnisse mit mehr als einer Domäne oder zumindest mehreren Organisationseinheiten planen. Da bereits beschrieben wurde, wie ein Domänencontroller zu Beginn konfiguriert wird, wird dies hier nicht wiederholt werden. Stattdessen wird es hier um Verzeichnisse mit mehreren Domänencontrollern, um Organisationseinheiten, um Strukturen und Gesamtstrukturen gehen.

10.1 Standorte und Replikation

Die Replikation von Domäneninformationen über das Netzwerk ist der Hauptgrund dafür, dass Sie versuchen sollten, das Verzeichnis besser zu strukturieren. Damit sich Benutzer am Netzwerk anmelden und die Ressourcen sowie das Sicherheitssystem nutzen können, ist es erforderlich, dass die Domäneninformationen dort zur Verfügung stehen, wo die Benutzer sind. Wenn also Brigitte das Büro in Düsseldorf verlässt und in das Zweigbüro in München geht, muss sie immer noch in der Lage sein, sich anmelden und auf die Datenträger, die ihre Daten enthalten, zugreifen sowie die Verzeichnisressourcen nutzen zu können.

Domänencontroller in einer einzelnen Domäne replizieren Informationen zeitbasiert. Wenn am Kennwort von Brigitte in Düsseldorf eine Änderung vorgenommen wird, sollte der Domänencontroller in München die Aktualisierung der Informationen erhalten und die Änderung aufzeichnen. Wenn der Administrator in München Brigittes Kennwort zur gleichen Zeit ändert, werden die Änderungen aufgezeichnet und die zeitlich zuletzt vorgenommene Änderung ist die Änderung, die letztlich aufgezeichnet bleibt.

Um verstehen zu können, wie die Replikation funktioniert, müssen Sie zwei grundlegende Elemente des Netzwerks verstehen: Standorte und Domänen. Domänen wurden bereits ausführlich beschrieben. Das, was Sie wissen müssen, um Replikationen und Verzeichnisstrukturen zu verstehen, ist die Tatsache, dass eine Domäne eine logische Einheit ist. Oder anders ausgedrückt: Ein Benutzer könnte denselben physikalischen Rechner und dieselbe IP-Adresse wie ein anderer Benutzer verwenden und dennoch als ein in einer anderen Domäne befindlicher Benutzer betrachtet werden. Die beiden Benutzer befinden sich physikalisch im gleichen Bereich, logisch jedoch nicht.

10.1.1 Standorte

Standorte bringen eine andere Art der Trennung mit sich. Systeme am gleichen Standort sind Standorte, die im Grunde eine physikalische Struktur gemein haben. Man kann sich diese am einfachsten als System im gleichen LAN vorstellen, weil ein Standort eine Sammlung von Systemen ist, die einander über ein Netzwerk mit einer schnellen WAN-Verbindung mit mindestens 1,5 Mbit/s erreichen können sollten.

Standorte können zahlreiche Domänen enthalten, da es sich vielmehr um einen physikalischen bzw. Netzwerkstandort als um einen logischen Standort handelt. Umgekehrt kann sich eine Domäne über mehrere Standorte erstrecken. Die zentrale Frage bei der Planung ist die Netzwerkgeschwindigkeit zwischen den Mitgliedern des Standorts.

Standorte werden häufig basierend auf IP-Subnetzen erstellt, da sich IP-Subnetze häufig im gleichen LAN und damit in einem Netzwerk befinden, das Geschwindigkeiten über 2 Mbit/s erreicht. Daher befinden sich zwei Server, die in unterschiedlichen Subnetzen konfiguriert worden sind, häufig an unterschiedlichen Standorten.

Domänencontroller replizieren Verzeichnisänderungen zuerst an Domänencontroller am eigenen Standort. Replikationen außerhalb des Standorts erfolgen weniger häufig. Standardmäßig erfolgen Replikationen zwischen Standorten alle 180 Minuten.

Wenn ein Client eine Verbindung zum Netzwerk herstellt, gibt er an, an welchem Standort er sich befindet. Wenn ein Client von einer Domäne aus eine Anforderung versendet, leitet der Client diese Anforderungen an Domänencontroller an seinem Standort. Dadurch wird vermieden, dass über die gesamte WAN-Struktur hinweg willkürlich Verkehr entsteht. Damit verfügt der Client über eine Active Directory-Beziehung, die so effektiv wie möglich ist.

Standorte unterscheiden genau zwischen der Implementierung von Verzeichnisdiensten von Microsoft und von anderen Anbietern (wie z.B. Novell), da Standorte dafür sorgen, dass Domänen, Strukturen und Gesamtstrukturen von der Replikation unberührt bleiben. Replikation bedeutet somit etwas anderes.

10.1.2 Replikation

Domänencontroller verfolgen die Änderungen, die im Verzeichnis vorgenommen wurden, sowie die Zeiten, zu denen diese Änderungen erfolgt sind. Basierend auf einem Zeitplan prüfen die Domänencontroller, ob andere Controller im Verzeichnis Änderungen im Verzeichnis vorgenommen haben. Wenn Änderungen erkannt werden, fordert der Controller eine Aktualisierung der Elemente, die seit der letzten Aktualisierung geändert worden sind.

Damit dieselben Informationen nicht immer und immer wieder repliziert werden, unterstützen Domänencontroller die Eigenschaft für ursprüngliche Schreibvorgänge. Dabei wird verfolgt, welche Attribute in einer Aktualisierung geändert worden sind und wie häufig die Eigenschaft des Objekts für ursprüngliche Schreibvorgänge erhöht worden ist. Eine Änderung, durch die der Zähler »Eigenschaft für ursprüngliche Schreibvorgänge« erhöht wird, weist auf eine vom Client vorgenommene Objektänderung hin und nicht auf eine Änderung, die während der Replikation aktualisierter Verzeichnisinformationen von Active Directory vorgenommen wurde. Wenn der Domänencontroller in Denver die Mitteilung erhält, dass ein Objekt im Verzeichnis des Domänencontrollers in Indianapolis geändert wurde, überprüft dieser, ob die Eigenschaft für ursprüngliche Schreibvorgänge festgelegt wurde. Wenn dies nicht der Fall ist, erfolgt für das Verzeichnis in Denver keine Replikation.

Active Directory-Domänencontroller suchen automatisch die effizienteste Möglichkeit für die Replikation eines Standortes. Sie können Verbindungen manuell hinzufügen oder konfigurieren und die Replikation über eine bestimmte Verbindung erzwingen. Es ist jedoch besser, wenn die Replikation aufgrund der von den Active Directory-Standorten und -Diensten zur Verfügung gestellten Informationen automatisch optimiert wird.

Im Folgenden einige Funktionen zur Standortoptimierung:

  • gelegentliche Neubewertung der verwendeten Verbindungen und die anschließende Nutzung des effizientesten Pfades
  • Auswahl mehrerer Routen für die Replikation von Änderungen, und dadurch Gewährleisten von Fehlertoleranz
  • Replikation nur von geänderten Informationen

10.1.3 Erstellen von Standorten

Standorte sind bei der Optimierung des Verzeichnisverkehrs sehr hilfreich. Das bedeutet jedoch nicht, dass Standorte automatisch aufgrund von Verkehrsbedürfnissen eingerichtet werden. Standorte dienen dem Administrator zur Verbesserung der Leistung des Verzeichnisses und des Netzwerks. Standorte werden in der Konsole Active Directory-Standorte und -Dienste erstellt (siehe Abbildung 10.1). Ein erster Standort mit der Domäne und dem Verzeichnis wird automatisch erstellt. Jeder weitere Standort muss dann jedoch vom Administrator manuell erstellt und aufgefüllt werden.

Abbildung 10.1:  Erstellen eines Standorts

Um einen neuen Standort zu erstellen, gehen Sie wie folgt vor:

1. Klicken Sie mit der rechten Maustaste auf den Ordner Sites und klicken Sie dann auf Neuer Standort.
2. Geben Sie den Namen des neuen Standorts ein.
3. Klicken Sie auf ein Standortverknüpfungsobjekt und dann zweimal auf OK, um die Dialogfelder zu bestätigen.
4. Klicken Sie mit der rechten Maustaste auf den Ordner Subnets und wählen Sie die Option Neues Subnetz.
5. Geben Sie die Subnetzadresse und Subnetzmaske ein und klicken Sie dann auf den Standortnamen, der mit dem Subnetz verknüpft werden soll. Bestätigen Sie über OK (siehe Abbildung 10.2).
6. Verschieben Sie einen Domänencontroller von einem bestehenden Standort, indem Sie mit der rechten Maustaste auf den Server-Namen klicken, dann die Option Verschieben und anschließend den gewünschten Standort wählen. Klicken Sie auf OK.

Abbildung 10.2:  Erstellen eines Subnetzes

Bei der Erstellung einer Standortverknüpfung verwenden Sie ein so genanntes Standortverknüpfungsobjekt. Dieses Objekt fällt nicht einfach so vom Himmel. Es wird erstellt, wenn das Verzeichnis erstellt wird. DEFAULTIPSITELINK wird beim Einrichten der Domäne und des Verzeichnisses erstellt. Diese Verknüpfung ist für den Standort Standard-Name-des-ersten-Standorts verantwortlich (so heißt der als Erstes erstellte Standort wirklich). Damit die Standortverknüpfung überhaupt einen Zweck erfüllt, benötigen Sie natürlich mehr als nur einen Standort.

Den fabelhaften Namen des ersten Standortobjekts (Standard-Name-des-ersten-Standorts und DEFAULTIPSITELINK) können Sie übrigens ändern, indem Sie mit der rechten Maustaste auf das Objekt klicken und die Option Umbenennen wählen.

Wenn zwischen physikalischen Standorten mehrere Kommunikationsmethoden verwendet werden, sollten Sie mehrere Standortverknüpfungen erstellen, um Fehlertoleranz zu gewährleisten. In einem Szenario, in dem ein Unternehmen über zwei WAN-Verbindungen verfügt, sollte eine weitere Standortverknüpfung erstellt werden, für den Fall, dass eine ausfällt.

Um die Nutzung dieser Verknüpfungen zu steuern, können Sie für jede Standortverknüpfung die Einstellungen Kosten und Replizieren alle definieren. Damit können Sie die gewünschte Verknüpfung festlegen (siehe Abbildung 10.3). Je geringer die Kosten, desto häufiger wird die Verknüpfung verwendet. Die Einstellung Replizieren alle wird verwendet, um die Replikationsfrequenz festzulegen.

Abbildung 10.3:  Das Dialogfeld Eigenschaften der Verknüpfung

10.2 Strukturstandards

Die eigentliche Struktur der Verzeichnisobjekte ist in der Active Directory-Welt etwas offener. Die Entwicklung der Domänenstruktur erfordert dennoch ein ordentliches Maß an Planung.

Folgende Verzeichnisstrukturen stehen zur Verfügung:

  • Politische Struktur. Dabei erfolgt die Strukturierung anhand der Abteilungen und anhand politischer Strukturen im Unternehmen. In diesem Fall bilden die Abteilungen und Unternehmensbereiche eines Unternehmens die Domänen, die Domänenstrukturen und die Gesamtstrukturen (z.B. Marketing.Unternehmen.com, Operationen.Unternehmen.com und Finanzierung.Unternehmen.com).
  • Geografische Struktur. Dabei erfolgt die Strukturierung anhand der geografischen Standorte. In diesem Fall bilden Gebäude und Länder die Domänen, die Domänenstrukturen und die Gesamtstrukturen (z.B. Paris.Unternehmen.com, Asien.Unternehmen.com und Nordostamerika.Unternehmen.com).

Der Einsatz politischer oder geografischer Grenzen erfolgt beiderseitig nicht ausschließlich. Damit Sie die Gründe für die Verwendung der einen oder anderen Struktur nachvollziehen können, sollen hier die Vor- und Nachteile dieser Basisstrukturen erläutert werden. Dann können Sie selbst entscheiden, ob es sinnvoll ist, eine Struktur wie Vizepräsidenten.Marketing.Ost.Paris.Unternehmen.com zu haben.

10.2.1 Politische Struktur

Das politische Modell könnte als das »Abteilungs- oder Unternehmensbereichsmodell« bezeichnet werden, da es sich am besten für Unternehmen eignet, die rigoros nach Abteilungen oder Unternehmensbereichen gegliedert sind. Viele Unternehmen sind nicht so strikt nach Abteilungen oder Unternehmensbereichen gegliedert, sodass manche Angestellte nicht einmal wissen, dass bestimmte Unternehmensbereiche noch zum gleichen Unternehmen gehören. Die Strukturierung muss nicht so streng sein, um dieses Modell (oder Teile davon) zu realisieren, aber die Unternehmensbereiche müssen relativ stark sein.

Der Grund dafür ist der, dass sich dieses Modell an Unternehmensbereiche anlehnt, die ihre eigenen Systeme selbst verwalten müssen. Wenn der Server oder die Verteilung der Benutzer eines anderen Unternehmensbereichs nicht verwaltet wird, dann sollte dieses Modell angewendet werden.

Das Konzept ist relativ einfach. Domänen werden zunächst so erstellt, dass sie die organisatorische Struktur reflektieren. Dabei wird mit dem Namen des Unternehmens begonnen und nach und nach die darunter liegenden Unternehmensbereiche und danach die Abteilungen angeschlossen (siehe Abbildung 10.4).

Abbildung 10.4:  Ein politischer Plan

Aufgrund der Übereinstimmung mit den Unternehmensbereichen ist es sehr einfach, IT-Kosten und Verantwortung zu trennen. Es wird weniger über Router und Konnektivität als vielmehr darüber diskutiert, wer verantwortlich ist und wer wohin passt.

Bei diesem Modell ist es viel einfacher, die DNS-Namen zu erstellen und zu verwalten, weil die Benennung der internen Ressourcen dem Namensplan folgt, der verwendet wird, um die Unternehmensbereiche zu vermarkten. Es ist wirklich einfach zu sagen, was mit der Domäne schuhe.unternehmen.com gemeint ist.

Die Probleme, die bei diesem Plan entstehen können, ergeben sich aus dem Wachstum des Unternehmens, aus Firmenzusammenschlüssen und -aufteilungen. Wenn beispielsweise die Unternehmensbereiche »Kinderkleidung« und »Trikot« zusammengeschlossen und sämtliche Server, Benutzer, Drucker und möglichst alle Organisationseinheiten in den neu zusammengeschlossenen Unternehmensbereich verschoben werden, wird das Ganze schnell schwerfällig und schwierig zu verwalten.

Die Netzwerkeffizienz wird durch diesen Plan nicht verbessert. Wenn sämtliche Unternehmensbereiche eine gemeinsame Personalabteilung haben, die in einem Gebäude untergebracht ist, dann sollten Überlegungen bezüglich des WAN-Verkehrs angestellt werden. Dazu könnte das gesamte Unternehmen im gleichen Gebäude untergebracht werden, was zu einer lächerlichen Verwirrung für die Benutzer und Administratoren gleichermaßen führen würde.

10.2.2 Geografische Struktur

Das geografische Modell ist für Unternehmen gedacht, die sich tatsächlich über geografisch unterschiedliche Bereiche erstrecken. Anders ausgedrückt: Wenn Ihr Unternehmen heute aus mehr als einem Standort besteht oder in Zukunft expandieren und mehrere Standorte einrichten möchte, dann sollten Sie ein geografisches Modell in die Planung Ihrer AD-Struktur einbeziehen. Wenn Ihr Unternehmen immer im gleichen Gebäude sein wird, werden Sie sich wohl kaum ausführlich mit der Erstellung einer großen Verzeichnisstruktur befassen.

Das Konzept, ein Verzeichnis anhand eines geografischen Modells zu strukturieren, basiert auf dem Gedanken, ein Verzeichnis aufgrund von IT- und Netzwerkgrenzen zu gliedern. Wenn also das Netzwerk entlang einer WAN-Grenze geteilt oder in Sicherheitsabschnitte unterteilt werden muss, sollte ein neues Containerobjekt erstellt werden (siehe Abbildung 10.5).

Abbildung 10.5:  Geografisches Modell

Das geografische Modell macht es möglich, dass Benutzer und Systeme basierend auf den Standorten, an denen sie sich befinden, verwaltet werden. Dieses Modell eignet sich besser für das Paradigma, das von Netzwerkadministratoren bzw. IT-Abteilungen für die Verwaltung von Benutzern und Ressourcen verwendet wird. Wenn Bernd als Mitglied der Abteilung Buchhaltung für die Abteilung Schuhe verantwortlich ist und ihm dann die Verantwortung für die Abteilung Trikots übertragen wird, hat das keine Auswirkungen auf den Verzeichnisplan. Wenn die Abteilungen Schuhe und Trikots zusammengeschlossen werden, haben lediglich die Versetzungen und Entlassungen von Angestellten Auswirkungen auf das System.

Die Replikation der Verzeichnisstruktur und sämtliche Änderungen werden ebenfalls vereinfacht, da die Standortverknüpfungen im Wesentlichen den Domänen entsprechen.

Das Problem dabei ist natürlich die Politik. Wenn sich die beiden Abteilungen Kinderkleidung und Schuhe nicht vertragen, wird es für den Administrator schwierig sein, für die gemeinsame Nutzung von Ressourcen Zustimmung zu bekommen. Wenn die Domänen und Organisationseinheiten, die diese Gruppen enthalten, miteinander vermischt sind, wird es nahezu unmöglich, die Benutzer und Gruppen auseinander zu halten.

10.2.3 Gemischte Struktur

Das Designpotenzial und die Grenzen von Active Directory werden in der Regel zu einer »gemischten Struktur« führen. Die Erläuterung der geografischen und politischen Modelle bedeutet nicht, dass die Umgebung nicht basierend auf weniger strikten Grenzen unterteilt werden kann. Es kann sinnvoller oder auch besser verwaltbar sein, wenn bestimmte Elemente anhand von nicht geplanten Grenzen gegliedert werden.

Wenn in dem Beispiel von oben den einzelnen Unternehmensbereichen die Abteilung Personalwesen gemein ist, diese Abteilung jedoch in allen Gebäuden vertreten sein muss, dann wurde eine gebräuchliche Trennlinie gefunden. Bei einem rein geografischen Modell wäre bei dieser Unterteilung nach Unternehmensbereichen die getrennte Verwaltung dieser Gruppe nicht möglich. Aufgrund des einheitlichen Bedarfs an einer Personalabteilung kann es erforderlich sein, dass diese Strukturierung trotz des Masterplans vorgenommen wird.

Der Schlüssel zum Erfolg Ihres Modells und Ihrer nachfolgenden Implementierung des Active Directory wird die politischen und geografischen Bedürfnisse ausgleichen und einfach vernünftig sein. Lassen Sie die Active Directory-Struktur für sich arbeiten. Wenn Sie bei einer Struktur bleiben, haben Sie eine bessere Kontrolle über die Umgebung. Wenn es jedoch mehr Arbeit macht, bei der Struktur zu bleiben, dann sollte dies natürlich berücksichtigt werden.

10.3 Organisationseinheiten

Organisationseinheiten werden in erster Linie erstellt, um die Verantwortung und Verwaltung aufzuteilen. Dabei handelt es sich nicht um Gruppen, die nur für die Zuweisung von Berechtigungen verwendet werden. Mittels Organisationseinheiten werden vielmehr administrative Bereiche zugewiesen.

Wenn beispielsweise die Personalabteilung in ihrer eigenen Abteilung Benutzer erstellen und die Berechtigungen für die Informationen in diesen Benutzerobjekten verwalten muss, sollte die Organisationseinheit Personalwesen erstellt werden.

Wenn der Supervisor der Gruppe Auftragsannahme Druckaufträge stoppen und Konten von Benutzern in seiner Abteilung deaktivieren können muss, ist es mit Hilfe einer Organisationseinheit möglich, dass der Administrator diese Berechtigungen zuweist.

Um einer Organisationseinheit Berechtigungen zuzuweisen, gehen Sie wie folgt vor:

1. Öffnen Sie die Konsole Active Directory-Benutzer und -Computer.
2. Klicken Sie mit der rechten Maustaste auf die Organisationseinheit, der Sie Berechtigungen zuweisen möchten, und wählen Sie die Option Objektverwaltung zuweisen.
3. Klicken Sie auf Weiter, um den Assistenten zum Zuweisen der Objektverwaltung zu starten.
4. Klicken Sie auf Hinzufügen, um einen Benutzer oder eine Gruppe aus der Domäne auszuwählen (siehe Abbildung 10.6).
5. Klicken Sie auf den Benutzer, den Sie hinzufügen möchten, und klicken Sie dann auf die Schaltfläche Hinzufügen. Wiederholen Sie diesen Vorgang, bis Sie alle gewünschten Benutzer ausgewählt haben. Klicken Sie auf OK.
6. Klicken Sie auf Weiter und wählen Sie die Aufgaben, die Sie jeweils delegieren möchten. Klicken Sie schließlich auf Weiter und dann auf Fertig stellen.

Abbildung 10.6:  Zuweisen von Berechtigungen zu einer Organisationseinheit (in diesem Fall ein Benutzer)

10.4 Dynamisches DNS

Durch das dynamische DNS können DNS-Clients ihre eigenen A-Ressourceneinträge auf einem DNS-Server bei jeder Änderung registrieren und dynamisch aktualisieren. Dadurch verringert sich die Notwendigkeit der manuellen Verwaltung von Zoneneinträgen, insbesondere bei Clients, deren Standort häufig geändert wird und denen eine IP-Adresse anhand von DHCP zugewiesen wird.

Windows 2000 bietet Client- und Server-Unterstützung für die Verwendung von dynamischen Aktualisierungen, wie in RFC 2136 (http://www.ietf.org/rfc/rfc2136.txt) beschrieben. Bei DNS-Servern ermöglicht der DNS-Dienst das Aktivieren bzw. Deaktivieren der dynamischen Aktualisierung für jede Zone auf allen Servern, die zum Laden einer primären Standardzone oder einer Active Directory-integrierten Zone konfiguriert sind. In der Standardeinstellung aktualisieren Clients, die eine beliebige Version von Windows 2000 ausführen, ihre A-Ressourceneinträge in DNS dynamisch, wenn sie für TCP/IP konfiguriert sind.

Computer unter Windows 2000 versuchen standardmäßig, A-Einträge (Adresse) und PTR-Einträge (Zeiger) für die IP-Adressen dynamisch zu registrieren, die für den Computer konfiguriert sind und von diesem verwendet werden. Dabei registrieren die meisten Clients eine IP-Adresse, die auf dem vollständigen Computernamen beruht. Der vollständige Computername (vollqualifizierter Domänenname, FQDN) wird erstellt, indem der Computername an den wie unter Systemeigenschaften konfigurierten DNS-Domänennamen für den Computer angehängt wird.

Dynamische Aktualisierungen können aus folgenden Gründen oder bei folgenden Ereignissen gesendet werden:

  • In der Konfiguration der TCP/IP-Eigenschaften für eine der installierten Netzwerkverbindungen wurde eine IP-Adresse hinzugefügt, entfernt oder geändert.
  • Die Lease einer IP-Adresse ändert oder erneuert auf dem DHCP-Server eine der installierten Netzwerkverbindungen. Es wird z.B. der Computer gestartet oder der Befehl ipconfig /renew verwendet.
  • Der Befehl ipconfig /registerdns wird zum manuellen Aktualisieren der Registrierung des Client-Namens in DNS verwendet.

Wenn von einem dieser Ereignisse eine dynamische Aktualisierung ausgelöst wird, sendet der DHCP-Client-Dienst (nicht der DNS-Client-Dienst) Aktualisierungen. Dies gewährleistet, dass bei Änderungen der IP-Adressinformationen, die durch DHCP hervorgerufen wurden, entsprechende Aktualisierungen in DNS ausgeführt werden, um die Zuordnung der Namen zu Adressen für den Computer zu synchronisieren. Der DHCP-Client-Dienst führt dies für alle im System verwendeten Netzwerkverbindungen aus, einschließlich der Verbindungen, die nicht für die Verwendung von DHCP konfiguriert sind.

10.4.1 Funktionsweise der dynamischen Aktualisierung

Unter Windows 2000 werden dynamische Aktualisierungen im Allgemeinen abgefragt, wenn auf dem Computer der DNS-Name oder die IP-Adresse geändert werden. Nehmen wir einmal an, ein Client mit dem Namen »althost« wird zuerst in den Systemeigenschaften mit den folgenden Namen konfiguriert:

  • Computername: althost
  • DNS-Name: beispiel.microsoft.com
  • Vollständiger Computername: althost.beispiel.microsoft.com

In diesem Beispiel werden keine verbindungsspezifischen DNS-Domänennamen für den Computer konfiguriert. Später wird der Computer von »althost« in »neuhost« umbenannt, wodurch folgende Namen im System geändert werden:

  • Computername: neuhost
  • DNS-Name: beispiel.microsoft.com
  • Vollständiger Computername: neuhost.beispiel.microsoft.com

Wenn die Namensänderung in die Systemeigenschaften übernommen wurde, führt der DHCP-Client-Dienst die folgenden Schritte zum Aktualisieren von DNS aus:

  • Der Client sendet eine Abfrage nach dem Autoritätsursprung (SOA = State of Authority) unter Verwendung des DNS-Domänennamens des Computers.
  • Windows 2000 legt den Namen der zu aktualisierenden Zone (beispiel.microsoft.com) basierend auf dem DNS-Domänennamen des Computers fest. Dann wird eine Abfrage nach dem Autoritätsursprung unter Verwendung des Zonennamens gesendet.
  • Der Server antwortet auf die Abfrage nach dem Autoritätsursprung (SOA).

Bei primären Standardzonen ist der in der Antwort auf die Abfrage nach dem Autoritätsursprung gesendete primäre Server (Besitzer) festgelegt und statisch. Dieser stimmt immer mit dem DNS-Namen überein, der im Ressourceneintrag für den Autoritätsursprung angezeigt wird, der mit der Zone gespeichert wird. Wenn die aktualisierte Zone Active Directory-integriert ist, können alle die Zone ladenden DNS-Server antworten und dynamisch ihren Namen als primärer Server (Besitzer) der Zone in die Antwort auf die Abfrage nach dem Autoritätsursprung einfügen.

Wenn der Client versucht, eine Verbindung zum primären DNS-Server herzustellen, verwendet er den in der Antwort auf die Abfrage nach dem Autoritätsursprung gesendeten Namen des primären Servers, um diesen Namen der IP-Adresse für den primären Server noch einmal abzufragen, nachzuschlagen und aufzulösen. Dann versucht der Client, eine Verbindung zum primären Server herzustellen. Wenn der primäre Server nicht verfügbar ist, kann der DHCP-Client-Dienst prüfen, ob es sich bei der Zone, von der die Aktualisierung abgefragt wird, um eine Single-Master- oder um eine Multi-Master-Zone handelt, indem er prüft, ob die Zone in Active Directory integriert ist.

Wenn die Zone Active Directory-integriert ist, fragt der DHCP-Client nach dem Name-Server-Ressourceneintrag für die Zone beispiel.microsoft.com, um einen anderen autorisierten primären Server zu finden, der eine Aktualisierung bearbeiten kann.

Wenn ein primärer Server die Aktualisierung bearbeiten kann, sendet der Client die Abfrage für die Aktualisierung und der DNS-Server bearbeitet diese. Der Inhalt der Abfrage für die Aktualisierung enthält Anweisungen zum Hinzufügen eines A- (und wahrscheinlich eines PTR-) Ressourceneintrags für neuhost.beispiel.microsoft.com und zum Entfernen der gleichen Eintragstypen für althost.beispiel.microsoft.com, des vorher registrierten Namens.

Der Server überprüft auch, ob Aktualisierungen für die Client-Abfrage erlaubt sind. Bei primären Standardzonen sind dynamische Aktualisierungen nicht gesichert, sodass alle Versuche von Clients für das Aktualisieren erfolgreich sind. Bei Active Directory-integrierten Zonen sind die Aktualisierungen gesichert und werden mit den entsprechenden Sicherheitseinstellungen durchgeführt.

Dynamische Aktualisierungen werden regelmäßig gesendet und erneuert. In der Standardeinstellung sendet Windows 2000 alle 24 Stunden eine Aktualisierung. Wenn bei der Aktualisierung keine Zonendaten geändert werden, bleibt die aktuelle Version der Zone erhalten und es werden keine Änderungen vorgenommen. Bei Aktualisierungen wird die Zone nur dann geändert oder die Zonenübertragung erhöht, wenn Namen oder Adressen geändert wurden.

Beachten Sie, dass Namen nicht vor Ablauf des Aktualisierungsintervalls (24 Stunden) aus DNS-Zonen entfernt werden, wenn sie nicht mehr aktiv sind oder nicht aktualisiert werden. In DNS werden Namen weder freigegeben noch als veraltet gekennzeichnet, obwohl DNS-Clients versuchen, alte Namen zu löschen oder zu aktualisieren, wenn ein neuer Name oder eine neue Adresse übernommen wird.

Wenn der DHCP-Client-Dienst A- und PTR-Ressourceneinträge für einen Windows 2000-Computer registriert, ist dafür ein Standardwert für die Gültigkeitsdauer (TTL, Time-To-Live) im Cache von 15 Minuten festgelegt. Für diese Dauer wird der Eintrag auf anderen DNS-Servern und -Clients zwischengespeichert, wenn diese in die Antwort auf eine Abfrage eingeschlossen sind.

10.4.2 Sichere dynamische Aktualisierung

Bei Windows 2000 ist die DNS-Aktualisierungssicherheit nur in Zonen verfügbar, die in Active Directory integriert sind. Wenn Sie eine Zone in Active Directory integrieren, stehen Ihnen die Bearbeitungsfunktionen der Zugriffssteuerungsliste (ACL) in der DNS-Konsole zur Verfügung, sodass Sie einer bestimmten Zone oder einem bestimmten Ressourceneintrag Benutzer oder Gruppen aus der ACL hinzufügen oder daraus entfernen können.

In der Standardeinstellung versuchen Clients unter Windows 2000 zuerst, nicht gesicherte dynamische Aktualisierungen zu verwenden. Wenn eine nicht gesicherte Aktualisierung verweigert wird, verwenden die Clients die gesicherte Aktualisierung. Außerdem verwenden Clients eine Standardaktualisierungsrichtlinie, die das Überschreiben eines zuvor registrierten Ressourceneintrags ermöglicht, wenn der Client daran nicht durch die Aktualisierungssicherheit gehindert wird.


© Copyright Markt+Technik Verlag, ein Imprint der Pearson Education Deutschland GmbH
Elektronische Fassung des Titels: Windows 2000 Server Kompendium, ISBN: 3-8272-5611-9 Kapitel: Struktur des Active Directory