Active Directory : FACHINFORMATIKER SYSTEMINTEGRATION - CBNET ONLINE PORTAL DER INFORMATIONSTECHNOLOGIE

Der Verzeichnisdienst Active Directory

Active Directory ist ein Verzeichnisdienst, der in Windows-Domänen zum Einsatz kommt. Mit Hilfe dieses Dienstes lassen sich Ressourcen wie Computer, Drucker und Benutzer und Gruppen im LAN verwalten.

Über Active Directory lassen sich z.B. einheitliche Sicherheits-Regeln für die Geräte und User festlegen. Der Administrator erhält eine Übersicht über vorhandene Ressourcen und kann die Systeme übergreifend verwalten.

Das Active Directory ist seit dem Domänenmodell von Windows NT um einige Funktionalität erweitert worden. Objekte, Objektklassen und Attribut-Typen, können über Schema-Erweiterungen angepasst werden. Ähnlich wie bei Novell, wo es "Trustees" für einzelne Verzeichnisse gibt, kann jetzt auch im Active Directory jemand vom Administrator für z.B. eine bestimmte Organisationseinheit autorisiert werden und Admin-Aufgaben übernehmen. Zu solchen Aufgaben zählen z.B. die Erstellung neuer Objekte oder Kennwort-Resets.

Eine weitere Neuentwicklung ist die Anlehnung an das hierarchisch gegliederte Domain Name System (DNS). Damit entfällt die Begrenzung auf die max. 15-stelligen Netbios Namen. Auf diese Weise können so genannte Domain Forests gebildet werden. D.h. alle Active Directory Domänen werden in einer hierarchischen Gesamtstruktur zusammengefasst.
Alle Domänen eines Forest verfügen über bidirektionale, transitive Vertrauensstellungen. Die Obergrenze für die Anzahl an Objekten innerhalb eines Active Directories liegt bei mehreren Millionen. Unter Windows NT konnten maximal 40.000 Objekte existieren.

Active Directory und DNS verwenden zwar beide Domänennamen, verwenden jedoch unterschiedliche Namensräume. DNS speichert Zonen und Ressource Records, AD speichert Domänen und -objekte. Vorraussetzung für die Ausführung von Active Directory muss DNS installiert sein. Aus Gründen der Abwärtskompatibilität kann jedoch auch WINS zur Namensauflösung verwendet werden.
DNS kann im AD verwaltet werden, wodurch die Zonendateien repliziert werden und somit eine höhere Ausfallsicherheit erreicht wird.

Die Basis des Active Directory ist eine Datenbank, die ESE (Extensible Storage Engine). Die ESE ist eine Weiterentwicklung der Jet-Engine, die in Access und Exchange zum Einsatz kommt.

Das Schema definiert die Objekttypen der Datenbank, bestehend aus Klassen und Attributen, die zusammen auch als Schemaobjekte oder Metadaten bezeichnet werden. Attribute legen die Eigenschaften eines Objekts fest. Ein User Objekt enthält z.B. für das Attribut Vorname den Wert "Klaus". Ein Attribut kann nicht bloß einzelne Werte enthalten, sondern auch Arrays, wenn viele Werte enthalten sind, wie z.B. bei Gruppen.

Ein Attribut muss nur einmal im Schema definiert werden und kann dann in beliebig vielen Klassendefinitionen verwendet werden. Bei der Replikation werden nur Attribute repliziert, die auch einen Wert haben, im Gegensatz zu NT4, bei der das ganze Objekt mit allen (auch) leeren Attributen verteilt wird.

In einer Gesamtstruktur muss es wenigstens einen global catalog server (GC) geben. Ein GC ist ein normaler Domänen-Controller (DC) der das Verzeichnis seiner eigenen Domäne verwaltet. Zusätzlich verwaltet er bestimmte Attribute und Objekte aller Domänen des Forest. Solche Attribute sind i.d.R. häufige Attribute wie Name oder Vorname, sie können bei der Active Directory Konfiguration jedoch vom Administrator frei gewählt werden. Der globale Katalog Server führt so Domänen-übergreifende Suchvorgänge durch. Nur so kann eine Anmeldung am Netzwerk erst sinnvoll ermöglicht werden.

Es ist ratsam, das ein Unternehmen mit mehreren Standorten, an jedem einen GC einrichtet. Die Anmeldung am Netzwerk an einem zentralen GC für alle Standorte ist zu fehleranfällig und würde bei weitem zu viel Bandbreite beanspruchen. Darüber hinaus sollte jeder GC redundant ausgelegt, bzw. gespiegelt sein, um die Ausfallsicherheit zu erhöhen. Sollte kein GC zur Anmeldung zur Verfügung stehen, so können sich die User bei "Native-Mode-Domänen" nur lokal anmelden.

Der erste Domain-Controller der in der Forest-Root-Domain installiert wird, ist automatisch GC. Über das Snap-In ‚AD Standorte und - Dienste' können weitere GC hinzugefügt werden.

Mehrere GCs in einem Forest bieten zwar Ausfallsicherheit und Lastverteilung, erhöhen allerdings auch den Netzwerkverkehr durch die Replikationen.

In einer Windows-2000-Domäne sind alle Domänencontroller gleichberechtigt und funktionieren als Peers. Aufgrund der Multimasterreplikation kann eine Verzeichnisänderung einer Windows 2000 Domäne auf jedem DC vorgenommen werden. Diese Änderungen werden dann auf alle DCs der Domäne kopiert.

Allerdings gibt es auch DCs, die nur bestimmte Server-Rollen übernehmen und somit für ganz spezielle Änderungen zuständig sind. Solche besonderen DCs werden als Operation Master oder FISMO (Flexible Single Operation Master) bezeichnet.

Die Replikation der folgenden FISMOs untereinander erfolgt gesamtstrukturweit:

Schema Master
Der Schema Master ist für Veränderungen am Schema zuständig.

Domänennamen Master
Der Domänennamen Master entfernt Domänen aus der Gesamtstruktur und fügt neue hinzu.

Diese FISMOs replizieren sich innerhalb der Domäne:

RID Master
RIDs sind Relative IDs die vom DC bei der Erzeugung von Security Principals (User, Gruppen & Computer-Objekte) benötigt werden. Sie werden vom RID Master zur Verfügung gestellt. Gemeinsam mit der innerhalb der Domäne eindeutigen SID ergibt sich daraus die endgültige SID.

PDC Emulator
Übernimmt die Rolle des PDC in einem W2k-Netz, das auch andere nicht-W2k-Clients oder BDCs enthält. Überwacht Anmeldungen und Paßwortänderungen.

Infrastruktur-Master
Löst Inter-Domain-Referenzen auf. Werden zum Beispiel Gruppenmitglieder umbenannt, so sind sie vorerst aus der Gruppe verschwunden, und zwar solange bis der Infrastrukturmaster die neuen Namen in der Gruppe einträgt, wodurch sie wieder zu Gruppenmitgliedern werden.

Benennungskonventionen
Objekte müssen im Active Directory eindeutig benannt sein. Der Name besteht aus einem Pfad im Verzeichnis, wodurch ein Objekt sicher gefunden werden kann.

Security Principals
Security-Principal-Objekte (wichtige Sicherheitseinheiten) sind alle Objekte, denen vom Betriebssystem eine SID zugeordnet ist (User, Gruppen & Computer). SIDs sind eindeutig innerhalb der Domäne. Die SID erlaubt die Anmeldung an der Domäne und den Zugriff auf Ressourcen.

SIDs
Die SID identifiziert User, Gruppen und Computer.

LDAP-Namen
LDAP ist das Standard-Protokoll für den Verzeichniszugriff. Über einen LDAP-URL lässt sich ein Objekt im Active Directory eindeutig adressieren. Ein LDAP-URL könnte z.B. so aussehen:
LDAP://ldapserver/CN=Tester,DC=DEV,DC=MSFT,DC=DE
Der Aufbau eines LDAP-URLs ist der Pfadangabe der NDS bei Novell ähnlich. Die einzelnen Komponenten des Pfades haben folgende Bedeutungen:

Attribut	Bedeutung
OU	Organisation Unit: Dieses Attribut beschriebt die organisatorische Einheit um den Namespace auf Basis der organisatorischen Struktur zu gliedern.
CN	Common Name: Der gemeinsame Name bezeichnet das Objekt innerhalb des Verzeichnisdienstes.
DC	Domain Component: Domänenkomponenten entsprechen den durch Punkte getrennten Teilen eines Internet-Domänennamens. Ein DN, der DC-Attribute verwendet, enthält eine DC für jede Domänenebene unter dem Namensstamm. Der DNS-Name microsoft.de würde z.B. zu dem LDAP-Namen DC=MSFT, DC=DE werden.
O	Organisation: Diese Attribut identifiziert eine bestimmte Organisation, z.B. Microsoft Corporation.
C	Country: Land.

GUIDs
Die GUIDs sind mit den SIDs vergleichbar, nur dass sie weltweit eindeutig sind, während die SIDs nur für die Domäne eindeutig sein müssen. GUIDs identifizieren ein Objekt und sind 128 Bit breit.

Logon-Namen (UPNs und SAMs)
Ein User Principal Name (UPN) hat einfach die Form einer E-Mail-Adresse, z. B.: "Name@systemintegration-online.de". Ein SAM-Name ist einfach ein Anmeldename einer NT4-Domäne, also ein Benutzername.

Verteilte Daten
Die Benutzerkontendatenbank wird von den Domänencontrollern verwaltet. Da es aus Redundanzgründen mehrere Domänencontroller gibt, kann hier eine Inkonsistenz der Daten entstehen. Um dies zu vermeiden, replizieren sich die DCs untereinander. Die Replikation ist ein Vorgang, der die Datenbank auf die DCs der eigenen Domäne kopiert.

Multimaster-Replikation
In NT-4-Domänen übernimmt der PDC die Rolle des Master-Servers. Alle Änderungen am Verzeichnis (SAM) können nur auf dem PDC vorgenommen werden. Das Verzeichnis auf dem PDC ist also beschreibbar. Anders dagegen die Kopien, die der PDC auf den BDCs repliziert: Diese sind nur lesbar.
Windows 2000 macht keinen Unterschied mehr zwischen PDC und BDCs. Alle Domänencontroller sind gleichberechtigt (Multimaster). Findet eine Änderung des Verzeichnisses an einem Domänencontroller statt, so wird diese auf alle Domänencontroller der Domäne repliziert. Es gibt jedoch Unterschiede dabei, was repliziert wird.

Bei der Replikation des Active Directory werden drei verschiedene Datentypen (auch Verzeichnispartitionen genannt) unterschieden:

Domänendaten
Hier sind Informationen über alle Objekte in der Domäne enthalten, wie zum Beispiel Attribute von User- und Computer-Konten, E-Mail-Adressen und andere Informationen.

Konfigurationsdaten
Diese Daten beschreiben die Topologie des Verzeichnisses: Wieviele Forests, Trees, Domänen und globale Kataloge gibt es und wo befinden sich diese?

Schemadaten
Objekttypen und Attribute. Ausnahme: Wenn der Domänencontroller den globalen Katalog hostet, wird noch ein vierter Datentyp repliziert: Ein Teil der Domänendaten anderer Domänen des Forest.