Schemaklassen- und Attributobjekte werden auch als Schemaobjekte oder Metadaten bezeichnet.
Theoretisch kann ein Domänenverzeichnis bis zu 10 Millionen Objekte enthalten, es sollten jedoch nicht mehr als 1 Million Objekte pro Domäne eingesetzt werden.
Der Domänenadministrator kann nur innerhalb seiner Domäne Richtlinien einstellen.
Standardmäßig erben in Active Directory alle untergeordneten Objekte (die OUs Auftrag und Verkauf) die Berechtigungen der übergeordneten Objekte (die OU US).
Alle Domänen einer Struktur stützen sich auf ein gemeinsames Schema, das eine formale Definition aller Objekttypen darstellt, die Sie in einer Active Directory-Bereitstellung speichem können.
Alle Domänen einer Struktur nutzen einen gemeinsamen globalen Katalog,
Eine Gesamtstruktur ist eine Gruppierung oder hierarchische Anordnung einer oder mehrerer Strukturen, die in einer Domänenstruktur separat und vollständig unabhängig voneinander voriiegen.
● Alle Strukturen einer Gesamtstruktur basieren auf einem gemeinsamen Schema.
● Alle Domänen einer Gesamtstruktur nutzen einen gemeinsamen globalen Katalog.
● Zwischen den Domänen und Domänenstrukturen liegen implizite, zweiseitige, transitive Vertrauensstellungen vor.
Wenn Sie in Ihrem Netzwerk Subnetze gruppieren, sollten Sie nur die Subnetze miteinander kombinieren, die schnelle, kostengünstige und zuverlässige Netzwerkverbindungen besitzen.
● Auf jedem Domänencontroller wird eine vollständige Kopie der Active Directory-Informationen für die jeweilige Domäne gespeichert.
● Domänencontroller steuern alle Aspekte der Interaktion zwischen Benutzem und Domäne, z. B. die Suche nach Active Directory-Objekten und das Validieren von Benutzeranmeldungen.
Im Allgemeinen sollte zu Authentifizierungszwecken ein Domänencontroller für jede Domäne eines Standortes vorhanden sein.
Der globale Katalog dient als zentraler Speicher von Informationen zu den Objekten in einer Struktur oder Gesamtstruktur.;
Der globale Katalogserver speichert für seine Hostdomäne ein vollständiges Replikat aller Objektattribute im Verzeichnis und ein Teilreplikat aller Objektattribute, die im Verzeichnis jeder Domäne der Gesamtstruktur enthalten sind.
Objektattribute, die in den globalen Katalog repliziert werden, erben die Berechtigungen der Quelldomänen, um die Sicherheit der Daten im globalen Katalog zu gewährleisten.
● Er ermöglicht die Netzwerkanmeldung, indern einem Domänencontroller bei Initialisierung eines Anmeldeprozesses Informationen zu Mitgliedschaften in universellen Gruppen zur Verfügung gestellt werden.
● Er ermöglicht das Auffinden von Informationen im Verzeichnis, unabhängig davon, welche Domäne in der Gesamtstruktur die Daten tatsächlich enthält.
Wenn ein Benutzer sich am Netzwerk anmeldet, stellt der globale Katalog dem Domänencontroller, der die Anmeldeinformationen verarbeitet, Informationen zu Mitgliedschaften in universellen Gruppen zum jeweiligen Konto zur Verfügung.
Ist kein globaler Katalogserver verfügbar, wenn ein Benutzer versucht, sich am Netzwerk anzumelden, ist nur eine Anmeldung am lokalen Computer möglich.
Wichtig: Wenn ein Benutzer Mitglied der Gruppe Domänen-Admins ist, kann er/sie sich auch dann am Netzwerk anmelden, wenn der globale Katalog nicht verfügbar ist.
Es wird empfohlen, jeden größeren Standort innerhalb eines Unternehmens mit mindestens einem globalen Katalogserver auszustatten.
Welche Informationen werden repliziert? Die im Verzeichnis gespeicherten Informationen werden in drei Kategorien unterteilt. Jede dieser Informationskategorien wird Verzeichnispartition genannt.
Die Schemainformationen definieren, welche Objekte im Verzeichnis erstellt werden können und welche Attribute die Objekte besitzen können. Diese Informationen gelten für alle Domänen in der Domänenstruktur oder Gesamt struktur.
Die Konfigurationsinformationen beschreiben die logische Struktur der Bereitstellung, einschließlich von Informationen wie z. B. Domänenstruktur oder Replikationstopologie. Diese Informationen gelten für alle Domänen in der Domänenstruktur oder Gesamtstruktur.
Die Domänendaten beschreiben alle Objekte in einer Domäne. Diese Daten sind domänenspezifisch und gelten nicht für andere Domänen.
Schema- und Konfigurationsinformationen werden auf allen Domänencontrollem in der Domänen- oder Gesamtstruktur repliziert. Die Domänendaten einer einzelnen Domäne werden auf jedem Domänencontroller in dieser Domäne repliziert. Sämtliche Objekte aller Domänen sowie ein Teilsatz der Attribute aller Objekte der Gesamtstruktur werden in den globalen Katalog repliziert.
● Die Schemainformationen für die Domänen- oder Gesamtstruktur
● Die Konfigurationsinformationen für alle Domänen einer Domänen- oder Gesamtstruktur
● Alle Verzeichnisobjekte und Eigenschaften der eigenen Domäne (diese Daten werden auf alle zusätzlichen Domänencontroller der Domäne repliziert; für die Informationssuche wird ein Teilsatz der Eigenschaften aller Domänenobjekte in den globalen Katalog repliziert)
● Die Schemainformationen einer Gesamtstruktur
● Die Konfigurationsinformationen aller Domänen einer Gesamtstruktur
● Einen Teilsatz der Attribute aller Verzeichnisobjekte in der Gesamtstruktur (wird nur zwischen globalen Katalogservern repliziert)
● Alle Verzeichnisobjekte und alle Eigenschaften der Domäne, in der sich der globale Katalogserver befindet
Innerhalb eines Standortes generiert der Windows 2000-Dienst KCC (Knowledge Consistency Checker, Konsistenzprüfung) eine Topologie für die Replikation zwischen den Domänencontrollem einer Domäne. Über die Konsistenzprüfung wird alle 15 Minuten die Replikationstopologie des Standortes analysiert, um deren Funktion und Effizienz sicherzustellen. Wenn Sie einem Netzwerk oder Standort einen Domänencontroller hinzufügen bzw. einen Domänencontroller entfernen, wird die Replikationstopologie über den KCCDienst entsprechend rekonfiguriert.
Zur SichersteIlung der Replikation zwischen den Standorten müssen diese durch das Erstellen von Standortverknüpfungen miteinander verbunden werden. Standortverknüpfungen repräsentieren Netzwerkverbindungen und machen eine Replikation möglich. Active Directory verwendet die Netzwerkverbindungsinformationen zum Erzeugen von Verbindungsobjekten, die eine effiziente Replikation und Fehlertoleranz gewährleisten (siehe Abbildung 1.9). Sie geben hierbei Informationen zum verwendeten Transportprotokoll für die Replikation, zu den Kosten einer Standortverknüpfung, zu den Zeiten sowie der Häufigkeit der Verbindungsnutzung an. Active Directory greift auf diese Informationen zurück, um zu bestimmen, welche Standortverknüpfung zum Replizieren von Informationen verwendet wird. Sie können die Replikation effektiver gestalten, indern Sie die Replikationspläne so anpassen, dass die Replikation zu Zeiten mit niedrigem Datenverkehr erfolgt.
Implizite, zweiseitige, transitive Vertrauensstellungen.
Diese Art der Vertrauensbeziehung wird zwischen übergeordneten und untergeordneten Domänen innerhalb einer Struktur und zwischen den Domänen erster Ebene in einer Gesamtstruktur etabliert.: Hierbei handelt es sich um die Standardeinstellung Vertrauensstellungen zwischen den Domänen einer Struktur werden automatisch erstellt und verwaltet.
Domänen, die der gleichen Struktur angehören, verfügen automatisch über eine transitive, zweiseitige Vertrauensstellung zur übergeordneten Domäne.
Explizite, einseitige, nicht transitive Vertrauenstellungen sind die einzige Möglichkeit, für folgende Komponenten eine Vertrauensbeziehung einzurichten:
● Eine Windows 2000-Domäne und eine Windows NT-Domäne.
● Eine Windows 2000-Domäne in einer Gesamtstruktur und eine Windows 2000-Domäne in einer anderen Gesamtstruktur.
● Eine Windows 2000-Domäne und ein MIT Kerberos v5-Bereich (Management Information Tree). Hierbei wird einem Client im Kerberos-Bereich die Authentifizierung an einer Active Directory-Domäne ermöglicht, damit dieser Zugriff auf die Netzwerkressourcen in dieser Domäne erhält.
Es gibt drei verschiedene DNS-Namensserver: primäre, sekundäre oder Masterserver.
Ein primärer Namensserver erhält Daten von der lokalen Zone und ist autorisiert für die Zone (der Server führt Verwaltungsaufgaben durch). Ein sekundärer Namensserver ist ein DNS-Sicherungsserver und erhält die Daten eines anderen Namensservers. Ein Masternamensserver ist ein primärer oder (!) ein sekundärer Namensserver einer Zone, der zur Bereitstellung aktualisierter DNS-Informationen für einen sekundären Server konfiguriert wurde.
Muss innerhalb der OU eindeutig sein
Muss im Verzeichnis eindeutig sein
In früheren Versionen von Windows NT wurden Domänenressourcen mit einer in der Domäne erstellten Sicherheitskennung (Security Identifier, SID) verknüpft. Dies bedeutete, dass die SID nur in der Domäne auf jeden Fall eindeutig war. Eine GUID ist in allen Domänen eindeutig, d. h., Sie können Objekte zwischen verschiedenen Domänen verschieben, ohne dass der eindeutige Bezeichner verloren geht.
● Designteam
● Geschäftliche und technische Analyse
● Testumgebung
Die ersten Kandidaten für das Designteam sind natürlich die System- und Netzwerkadministratoren. Da Ihr Infrastrukturdesign jedoch auch unternehmensweite Geschäftsanforderungen erfüllen muss, sollten dem Designteam auch Belegschafts- und Managementvertreter aller Abteilungen Ihrer Organisation angehören.
Grundsätzlich gibt es drei Gruppen:
● Infrastrukturdesigner
● Belegschaftsrepräsentanten
● Managementrepräsentanten
sollten in dieser Gruppe die Systernadministratoren, die Netzwerkadministratoren sowie die Mitglieder des IT-Managements vertreten sein.
Aufgabenbereich:
● Führen von Gesprächen mit Belegschafts- und Managementvertretern, um die Geschäftsabläufe und das Kundengeschäft kennen zu lernen
● Führen von Gesprächen mit Belegschafts- und Managementvertretern, um die Systernanforderungen zu ermitteln
● Auswerten der Systernanforderungen und Umsetzen dieser in Entscheidungen hinsichtlich des Infrastrukturdesigns
● Fördern abteilungsübergreifender Einscheidungen hinsichtlich des Infrastrukturdesigns
Nahezu 75% der Zeit, die das Entwickeln eines Infrastrukturdesigns erfordert, entfällt auf die Zusammenarbeit mit den Organisationsangestellten, um die geschäftlichen Anforderungen zu erarbeiten.
Die Gruppe der Belegschaftsrepräsentanten besteht aus Organisationsangestellten, die für täglich anfallende Aufgaben verantwortlich sind.
● Weitergabe von Informationen zu Geschäftsfunktionen und Kunden an die Infrastrukturdesigner
● Weitergabe von Informationen zu den Geschäftsanforderungen an die Infrastrukturdesigner
● Kommunikation und Zusammenarbeit mit den Belegschaftsrepräsentanten anderer Abteilungen der Organisation, um gemeinsame Entscheidungen bezüglich der Infrastruktur zu treffen
● Überprüfen der Designentscheidungen, die von den Infrastrukturdesignern getroffen werden
Hier sollten ausgewählte Abteilungsmanager mit weit reichenden Befugnissen vertreten sein. Ein Managementrepräsentant muss injeder Phase des Designprozesses über die Autorität und Fähigkeit zur Genehmigung und Unterstützung der von den Infrastrukturdesignern getroffenen Designentscheidungen verfügen.
Aufgaben:
● Weitergabe von Informationen zu Geschäftsfunktionen und Kunden an die Infrastrukturdesigner
● Weitergabe von Informationen zu den Geschäftsanforderungen an die Infrastrukturdesigner
● Kommunikation und Zusammenarbeit mit den Managementrepräsentanten anderer Abteilungen der Organisation, um gemeinsame Entscheidungen bezüglich der Infrastruktur zu treffen
● Überprüfen und Genehmigen der Designentscheidungen, die von den Infrastrukturdesignern getroffen werden
Sie als Infrastrukturdesigner müssen die Mitglieder des Designteams dazu mobilisieren, eine Dokumentation dieser Umgebungen zusammenzutragen.
Das Einrichten eines Windows 2000-Testlabors sowie die Planung und Durchführung von Tests wird im Rahmen dieses Trainings nicht behandelt. Ausführliche Informationen zu Testumgebung und
-verfahren finden Sie im Teilband Microsoft Windows 2000 Server - Die technische Referenz: Einsatzplanung.
1. Planen der Gesamtstruktur
2. Planen der Domänen
3. Planen der Organisationseinheiten
4. Planen der Standorttopologie
Während dieser Phase ermitteln Sie anhand der Dokumentationen zur geschäftlichen und technischen Analyse die für Ihre Organisation benötigte Gesamtstruktur. Geplante Änderungen müssen auch berücksichtigt werden. Darüber hinaus erstellen Sie in dieser Phase eine Richtlinie für die Schemaänderung.
Anhand der gesammelten Informationen definieren Sie die Domänen, die Stammdomäne für die Gesamtstruktur und eine Domänenhierarchie. Abschließend planen Sie die Verteilung der DNS-Server. Im Rahmen der Platzierung der DNS-Server planen Sie zusätzliche Zonen, ermitteln die derzeitige Verteilung der DNS-Dienste auf den DNS-Servern und legen die zu verwendende Zonenreplikationsmethode fest. Das Endergebnis der Domänenplanung umfasst ein Diagramm der Domänenhierarchie, in der die Domänennamen und die geplanten Zonen aufgeführt werden.
Von diesen Intformationen ausgehend definieren Sie die OU-Struktur und planen die Benutzerkonten und -gruppen. Das Endergebnis einer OU-Planung umfasst ein Diagramm der OU-Strukturen für jede Domäne, eine Liste der Benutzer in jeder OU sowie eine Liste der Gruppen in jeder Domäne.
Von diesen Informationen ausgehend entwerfen Sie eine logische Darstellung des physischen Organisationsnetzwerks. Im Rahmen der Erstellung eines Standorttopologieplans definieren Sie Standorte, platzieren Domänencontroller, definieren eine Replikationsstrategie und legen die globalen Katalogserver sowie die Betriebsmaster innerhalb der Gesamtstruktur fest. Das Endergebnis einer Standorttopologieplanung umfasst ein Diagramm mit den Domänencontrollern, den Betriebsmastem und Standortverknüpfungen sowie eine Standorttabelle, die Details zu den Standortverknüpfungskonfigurationen enthält.
● Erstellen Sie ein einfaches Design.
● Erstellen Sie ein Design, das mögliche Änderungen begünstigt.
● Streben Sie ein Idealdesign an.
● Ziehen Sie Alternativen in Betracht.
● Produkte und Kunden
● Geschäftsstrukturen
● Geschäftsprozesse
● Faktoren, die die Unternehmensstrategie beeinflussen
● IT-Management (Information Technology)
Sie erreichen eine umfassenden Analyse jeder dieser Komponenten über ausführliche Gespräche mit verschiedenen Mitgliedern des Designteams, in denen Sie die benötigten Informationen zusammentragen. Eine besonders geeignete Methode der Informationsbeschaffung stellt die Verwendung von Arbeitsblättern dar.
Die Kursmaterialien-CD vom orig. MS-Training der Prüfung 70-219 enthält Vorlagen für Arbeitsblätter (\chapt02\Worksheets).
● Analyse der aktuellen Geschäftsstruktur
● Geschäftsstruktur
● Verwaltungsstruktur
● Geografische Struktur
Ein Geschäftsprozess bezeichnet eine Reihe von Schritten, die unternommen werden müssen, um ein gewünschtes Ziel innerhalb der Organisation zu erreichen.:
● Informationsfluss
● Kommunikationsfluss
● Entscheidungsfindungsprozesse:
Es wird empfohlen, die Entscheidungsfindungsprozesse für die Infrastruktur festzulegen und alle Mitglieder des Designteams über die Festlegung zu informieren. Es ist wichtig, dass die Teammitglieder verstehen, ob Sie an den Entscheidungen in Bezug auf das Infrastrukturdesign direkt beteiligt sind oder nur Empfehlungen für die Entscheidungsfindung aussprechen.
Analyse des IT-Managements:
Innerhalb einer Organisation wird mit IT-Management die Instanz bezeichnet, die für die Verwaltung der Computerumgebung verantwortlich ist.'.
Zur Analyse Ihres aktuellen IT-Managements müssen Sie Informationen zu der verwendeten Verwaltungsstruktur zusammentragen. Das IT-Management kann zentral oder dezentral strukturiert sein oder diese Verwaltungsformen miteinander kombinieren. Bei der zentralen Verwaltungsstruktur werden Dienst- und Netzwerkverwaltung durch ein Team bereitgestellt. In der dezentralen Verwaltungsstruktur werden diese Dienste von verschiedenen Teams bereitgestellt.
Bei der Analyse der aktuellen technischen Umgebung Ihrer Organisation müssen Sie jede Komponente der technischen Umgebung untersuchen:
● Netzwerkarchitektur
● Hardware
● Software
● Technische Standards
● DNS-Umgebung (falls vorhanden)
● Windows NT-Domänenarchitektur (falls vorhanden)
Durch eine Analyse der Netzwerkarchitektur zeichnen Sie die physische Umgebung des Organisationsnetzwerks nach, das folgende Komponenten umfasst:
● Standorte im Netzwerk
● Anzahl der Benutzer an jedem Standort
● An jedem Standort verwendeter Netzwerktyp
● Standort, Verbindungsgeschwindigkeit und verfügbare Bandbreite in Prozent für Remotenetzwerkverbindungen
● TCP/IP-Subnetze an jedem Standort
● Geschwindigkeit der lokalen Netzwerkverbindungen
● Standort der Domänencontroller
● Liste der Server an jedem Standort und der darauf ausgeführten Dienste
● Standort von Firewalls im Netzwerk
Der erste Schritt bei der Analyse sollte darin bestehen, eine Inventurliste der installierten Hard- und Software zu erstellen. Im zweiten Schritt vergleichen Sie die Inventuriiste mit der Kompatibilitätsliste für Windows 2000 Server, auf der alle kompatiblen Hard- und Softwarekomponenten aufgeführt werden. Sie finden diese Liste unter http://www.microsoft.com/windows2000/upgrade/compat/default.asp
● Standardhardwarekonfigurationen für Desktops, Server und weitere Geräte
● Standardkonfigurationen für Benutzerdesktops
● Namenskonventionen für Benutzer, Gruppen, Geräte und Domänen
● Standards im Hinblick auf die Netzwerkleistung
● Sicherheitsstandards
Wenn in Ihrer DNS-Umgebung die BINDVersion 8.1.2 oder höher ausgeführt wird, werden Dienstressourceneinträge und die dynamische Aktualisierung umerstützt, d. h., die Kompatibilität mit Active Directory-DNS ist gegeben. Verwendet Ihre Organisation derzeit Windows NT 4.0-DNS, ist Ihr DNS-Dienst ebenfalls mitActive Directory kompatibel.
Unter Windows NT können Benutzer und Server zu Verwaltungszwecken in Domänen angeordnet werden. Unter Windows 2000 wurde zu Verwaltungszwecken das Konzept der Organisationseinheiten (Organizational Units, OUs) eingeführt.
Nachdem Sie und Ihr Designteam Informationen über die Organisation gesammelt haben, wird zum Erstellen einer Active Directory-Verzeichnisdienstinfrastruktur zunächst die Gesamtstruktur geplant. Das Planen der Gesamtstruktur beinhaltet das Erstellen eines Gesamtstrukturmodells sowie das Erarbeiten eines Plans zur Schemabearbeitung. Zum Erstellen eines Gesamtstrukturmodells ermitteln Sie die Strukturanforderungen einer Organisation und legen die Anzahl der benötigten Gesamtstrukturen fest. Zum Erstellen eines Plans zur Schemaänderung erarbeiten Sie eine Richtlinie für die Schemabearbeitung und bestimmen die Schemaanforderungen einer Organisation sowie die Erforderlichkeit einer Schemabearbeitung.
In Active Directory handelt es sich bei einer Gesamtstruktur um eine verteilte Datenbank. Die Datenbank ist eine Zusammenstellung einer oder mehrerer Microsoft Windows 2000-Domänen mit einem gemeinsamen Schema, einem gemeinsamen Konfigurationscontainer und einem globalen Katalog. Die Domänen sind durch implizite, zweiseitige, transitive Vertrauensstellungen miteinander verbunden. Gesamtstrukturen ermöglichen den Benutzem die Interaktion mit Active Directory und erleichtern Administratoren die Verwaltung mehrerer Domänen.
Im Konfigurationscontainer werden Konfigurationsobjekte gespeichert, die die Active Directory-Struktur widerspiegeln. Hierzu zählen beispielsweise Anzeigebezeichner, erweiterte Rechte, Partitionen, Standorte, Domänencontroller, Dienste, gebräuchliche Sicherheitsprincipals und weitere Konfigurationsobjekte.
Der globale Katalog ist die zentrale Speicherdatenbank für Informationen zu den Objekten in einer Struktur oder Gesamtstruktur.
Mit dem globalen Katalog können Benutzer undAdministratoren sowohl außerhalb der Domäne als auch innerhalb des gesamten Unternehmens Objekte schnell und effizient auffinden. Darüber hinaus brauchen die Benutzer zur Anmeldung nicht den vollständigen Domänenpfad anzugeben, sondern können einen verkürzten UPN (User Principal Name) verwenden. Wenn beispielsweise für die Benutzerin Sherri in sls.uk.microsoft.com ein Benutzerkonto eingerichtet wurde, so gibt sie bei der Anmeldung [email protected] ein. Durch die vom globalen Katalog vorgenommene Verkürzung des Domänennamens sls.uk.microsoft.com in der Domänenstruktur kann die Anmeldung über [email protected] erfolgen.
1. Ermitteln Sie die Strukturanforderungen der Organisation.
2. Legen Sie die Anzahl der benötigten Gesamtstrukturen fest.
Vor dem Erstellen eines Gesamtstrukturmodells müssen Sie zunächst die vom Designteam zusammengestellten Informationen zur Geschäftsumgebung und zu den technischen Voraussetzungen auswerten.
● Arbeitsblatt zu den Geschäftsstrukturen: Bestimmen Sie die aktuelle Verwaltungsstruktur Ihrer Organisation.
● Arbeitsblatt zum IT-Management der Organisation: Ermitteln Sie die aktuelle Verwaltungsstruktur sowie die Verwaltungsmethoden des IT-Managements Ihrer Organisation.
● Arbeitsblatt zu den technischen Standards: Bestimmen Sie die vorhandenen Verwaltungs- und Sicherheitsstandards.
Zusätzlich müssen Sie müssen Sie unbedingt etwaige sonstise derzeit seplante Änderungen hinsichtlich der Standorte oder der Platzierung der Domänencontroller berücksichtigen,
sollten Sie für ihre Organisation nur eine Gesamtstruktur festlegen. Im Idealfall sollten mehrere Gesamtstrukturen nur vorübergehend eingesetzt werden, z. B. bei der Fusion zweier Unternehmen, bei einer Übernahme oder bei Unternehmenszusammenschlüssen. Der Einsatz mehrerer Gesamtstrukturen innerhalb einer Organisation erfordert bereits bei der einfachen Verwendung des Verzeichnisses komplizierte Schritte von Seiten des Benutzers.
● Die Netzwerkverwaltung wird von mehreren autonomen Gruppen ausgeführt, die einander nicht vertrauen.
● Die Geschäftseinheiten sind aus Unternehmenspolitischen Gründen in autonome Gruppen unterteilt.
● Die Geschäftseinheiten müssen getrennt verwaltet werden.
● Das Schema, der Konfigurationscontainer oder der globale Katalog müssen separat voneinander verwaltet werden.
● Die Vertrauensstellungen zwischen Domänen oder Domänenstrukturen müssen begrenzt werden.
Sollten Sie beabsichtigen, Geschäftseinheiten zu trennen oder bestimmten Benutzem den Zugriff auf Ressourcen zu verweigern, und sollte Ihnen dies aufgrund Ihrer Domänen- oder OU-Struktur (Organiwtional Unit, OU) nicht möglich sein, so können Datenschutz und Sicherheit durch das Einrichten mehrerer Gesamtstrukturen gewährleistet werden.
Prüfen Sie zunächst, ob das angestrebte Modell eventuell auch durch eine Verwaltungsdelegierung mit Hilfe von Domänen oder Organisationseinheiten (Organizational Units, OUs) realisiert werden kann.
Das Hinzufügen einer Gesamtstruktur erhöht den Verwaltungs- und Kostenaufwand. Beachten Sie bei der Verwendung mehrerer Gesamtstrukturen die folgenden Verwaltungsaspekte:
● Schema
● Konfigurationscontainer. Jede Gesamtstruktur besitzt einen eigenen Konfigurationscontainer.
● Vertrauensstellungen. Zwischen den Domänen unterschiedlicher Gesamtstrukturen kann nur eine explizite, einseitige, nicht transitive Vertrauensstellung bestehen. Domänen mit strukturübergreifenden Vertrauensbeziehungen erfordern das manuelle Einrichten mehrerer einseitiger, nicht transitiver Vertrauensstellungen.
● Replikation. Die Replikation von Objekten zwischen einzelnen Gesamtstrukturen erfolgt manuell und erfordert neue Verwaltungsrichtlinien und -verfahren.
● Zusammenführen von Gesamtstrukturen oder Verschieben von Domänen. Gesamtstrukturen können nicht in einem Schritt zusammengeführt werden. Es ist erforderlich, Sicherheitsprincipals zu duplizieren, Objekte zu migrieren, Domänencontroller außer Betrieb zu nehmen, sie zu Mitgliedsservern herunterzustufen und der Gesamtstrukturdomäne jede einzelne der Gesamtstrukturen hinzuzufüger
● Verschieben von Objekten. Obwohl Objekte zwischen Gesamtstrukturen verschoben werden können, ist eine Duplizierung von Sicherheitsprincipals nur über das Tool ClonePrincipal oder das Befehlszeilenprogramm LDIF.EXE (LDAP Data Interchange Format) möglich.
● SmartCard-Anmeldung. Die SmartCard-Anmeldung an unterschiedlichen Gesamtstrukturen erfordert die Verwaltung standardmäßiger UPNs (User Principal Names).
● Zusätzliche Domänen. Jede Gesamtstruktur muss mindestens eine Domäne enthalten. Zusätzliche Domänen erhöhen die Kosten für Hardware und Verwaltung. - Benutzername. Meldet sich ein Benutzer an einem Computer außerhalb seiner Gesamtstruktur an, muss der Standard-UPN mit dem vollständigen Domänenpfad für das Benutzerkonto angegeben werden, die Verwendung des verkürzten UPNs (User Principal Name) ist nicht möglich. Der verkürzte UPN ist nur im globalen Katalog der Gesamtstruktur gespeichert, der der Benutzer angehört.
● Benutzerabfragen. Benutzer müssen geschult werden, um Abfragen in allen Gesamtstrukturen einer Organisation durchführen zu können. Unvollständige oder falsche Abfragen können sich negativ auf die Produktivität der Benutzer auswirken.
1. Entwerfen Sie eine Richtlinie für die Schemabearbeitung.
2. Ermitteln Sie die Schemaanforderungen der Organisation.
3. Bestimmen Sie die Erforderlichkeit einer Schemabearbeitung.
So erstellen Sie eine Richtlinie für die Schemabearbeitung
1. Bennen Sie die Einheit (Bereich, Abteilung), die die vordefinierte Gruppe der Schema-Admins überwacht.
2. Listen Sie die Mitglieder der vordefinierten universellen Gruppe der SchemaAdmins auf.
3. Ernennen Sie ein Komitee, das über die Genehmigung von Schemaänderungen entscheidet. Listen Sie dessen Mitglieder auf.
4. Führen Sie die Schritte auf, die zur Vorbereitung einer Schemabearbeitung erforderlich sind.
5. Führen Sie die Schritte auf, die zum Testen einer Schemabearbeitung notwendig sind.
6. Führen Sie die Schritte auf, die zur Implementierung einer Schemabearbeitung erforderlich sind.
Es kann jedoch vorkommen, dass eine Organisation Objektklassen oder Attribute benötigt, die im Standardschema nicht vorgesehen sind.
● Ein vorhandenes Schemaklassenobjekt entspricht Ihren Anforderungen erst durch Hinzufügen eines oder mehrerer Attribute. Das Hinzufügen von Attributen ist die einfachste Form der Schemabearbeitung.
● Für ein vorhandenes Schemaklassenobjekt wird ein neuer, eindeutiger Attributsatz benötigt.
● Keines der vorhandenen Schemaklassenobjekte entspricht Ihren Anforderungen. Das Erstellen einer neuen Klasse ist die komplexeste Form der Schemabearbeitung und fordert bei der Planung die viele Schritte.
● Vorhandene Objektinstanzen. Durch die Bearbeitung eines Schemas werden vorhandene Objektinstanzen möglicherweise ungültig.
● Replikation. Eine Schemabearbeitung kann zeitweise zu Inkonsistenzen im Schema führen. Diese wiederum können Fehler bei der Replikation hervorrufen, wenn vor der neuen Klasse zunächst die Instanz eines neu erstellten -- - auf einem Domänencontroller repliziert wird.
● Netzwerkverkehr. Wenn Sie eine Schemabearbeitung vomehmen und anschließend Attribute in den globalen Katalog replizieren. vermindern Sie die Netzwerkleistung bei der Replikation.
Sie sollten bei der Definition von Domänen für Ihre Organisation zwei Ziele im Auge behalten:
● Definieren Sie Domänen basierend auf der geografischen Struktur der Organisation
● Halten Sie die Anzahl der Domänen möglichst gering
Wenn Ihre Organisation beispielsweise bereits in eine DNS-Struktur investiert hat, sollte diese beibehalten werden. Oder wenn Ihre Organisation umfangreichen Gebrauch von Microsoft Exchange macht, sollten Sie die Domänenstruktur auf Grundlage des gleichen Modells erstellen. Bevor Sie vorhandene Infrastrukturen ändern, müssen die Kosten der Änderung und der potenzielle Nutzen gegeneinander abgewogen werden.
Ein Grundprinzip für das Design einer Active Directory-Infrastruktur ist ein möglichst einfaches Design und die Minimierung der Domänenanzahl. Sie sollten Ihr Infrastrukturdesign wenn möglich auf eine Domäne beschränken, die über Organisationseinheiten (OUs) verwaltet wird. Je mehr Domänen die Gesamtstruktur enthält, desto so höher sind die Verwaltungs- und Hardwarekosten!
Wenn Sie eine Aktualisierung von Windows NT vornehmen, müssen wahrscheinlich Domänen konsolidiert werden. Die folgenden Richtlinien für die Definition mehrerer Domänen in Windows NT sind in Windows 2000 nicht mehr gültig:
● Größenbeschränkung der Sicherheitskontenverwaltung (Security Accounts Manager, SAM). Unter Windows NT war die SAM-Datenbank auf etwa 40’000 Objekte pro Domäne beschränkt. Unter Windows 2000 kann die Domäne über eine Millionen Objekte enthalten.
● Verfügbarkeitsanforderungen des primären Domänencontrollers (PDC).
● Begrenzte Verwaltungsdelegierung innerhalb von Domänen. Unter Windows NT waren Domänen die kleinste Einheit für die Verwaltungsdelegierung. Unter Windows 2000 können Sie Domänen in Orgamsatif einheiten unterteilen, um die Verwaltung zu delegieren.
1. Ermitteln Sie den Domänenbedarf der Organisation.
2. Legen Sie die Anzahl der Domänen für Ihre Organisation fest.
Zur Definition der Domänen für Ihre Organisation müssen Sie zunächst die folgenden Dokumente analysieren, die zuvor von Ihrem Designteam zusammengestellt wurden:
● Arbeitsblatt zu den Geschäftsstrukturen. Bewerten Sie die aktuelle Verwaltungsstruktur und die geografische Struktur, um potenzielle Domänenstandorte festzulegen.
● Arbeitsblatt zur Netzwerkarchitektur. Analysieren Sie die aktuelle Netzwerkarchitektur, um potenzielle Domänenstandorte festzulegen.
● Arbeitsblatt zu den technischen Standards. Analysieren Sie die aktuellen Verwaltungs- und Sicherheitsstandards, um den Domänenbedarf zu ermitteln.
● Arbeitsblatt zu Hard- und Software. Ermitteln Sie die Hardwaregeräte und die Softwarekomponenten, die nicht mit Windows 2000 kompatibel sind.
● Arbeitsblatt zur Windows NT-Domänenarchitektur. Analysieren Sie die aktuelle Domänenstruktur, um Möglichkeiten zur Konsolidierung der Domänen festzulegen.
● Gesamtstrukturmodell: Bestimmen Sie die Anzahl der für die Organisation geplanten Gesamtstrukturen, um Domänenstandorte festzulegen.
● Erfüllung von Sicherheitsanforderungen
● Erfüllung von Verwaltungsanforderungen
● Optimierung des Replikationsverkehrs
● Beibehalten von Windows NT-Domänen
Die Einstellungen im Unterverzeichnis Kontorichtlinien des Knotens Sicherheitseinstellungen eines Gruppenrichtlinienobjekts können nur auf Domänenebene definiert werden. Wenn die Sicherheitsanforderungen im Unterverzeichnis Kontorichtlinien innerhalb Ihrer Organisation variieren, müssen separate Domänen für die unterschiedüchen Anforderungen definiert werden. Das Unterverzeichnis Kontorichtlinien enthält die folgenden Richtlinien:
● Kennwortrichtlinien.
● Kontosperrungsrichtlinien.
● Kerberos-Richtlinie. Enthält Kerberos-bezogene Einstellungen, z. B. Einschränkungen für Benutzeranmeldungen, die Gültigkeitsdauer von Dienstund Benutzertickets und die Erzwingung.
Manche Organisationen müssen Grenzen definieren, um bestimmte Verwaltungsanforderungen zu erfüllen, die nicht mit Hilfe von OUs und einer Domäne umgesetzt werden können.
In einem Szenario mit einer Domäne hätten Mitglieder der vordefinierten globalen Gruppe Domänen-Admins Zugriff auf alle Objekte in der Domäne, einschließlich vertraulicher Dateien. Durch die Erstellung einer neuen Domäne mit diesen Dateien ist die erste Gruppe Domänen-Admins nicht in der neuen Domäne und hat keinen Zugriff auf die Dateien.
Bei Organisationen mit einem oder mehreren Standorten müssen Sie überprüfen, ob Standortverbindungen den mit einer einzelnen Domäne verbundenen Replikationsverkehr verarbeiten können. In einer Gesamtstruktur mit einer Domäne werden alle Objekte der Struktur auf jeden einzelnen Domänencontroller in der Gesamtstruktur repliziert. Werden Objekte an Standorten repliziert, an denen sie nicht benötigt werden, wird unnötig Bandbreite belegt. Mit Hilfe der Definition mehrerer kleiner Domänen und der ausschließlichen Replikation der für einen Standort relevanten Objekte kann der Netzwerkverkehr reduziert und die Replikation optimiert werden. Sie müssen jedoch die Einsparungen durch eine Replikationsoptimierung und die Hardware- und Verwaltungskosten für die zusätzlichen Domänen gegeneinander abwägen.
Berücksichtigen Sie vor einer Domänendefinition zur Optimierung des Replikationsverkehrs folgende Punkte:
● Verbindungskapazität und Verfügbarkeit. Wenn die Kapazität einer Verbindung annähernd ausgeschöpft ist oder die Verbindung zu bestimmten Tageszeiten für den Replikationsverkehr nicht verfügbar ist, sollten Sie die Definition einer weiteren Domäne in Betracht ziehen. Befinden sich Verbindungen jedoch zu bestimmten Tageszeiten im Leerlauf, sollte die Replikation für diese Zeiten geplant werden; vorausgesetzt die erforderliche Bandbreite ist verfügbar.
● Konflikt des Replikationsverkehrs mit anderem Verkehr. Wenn eine Verbindung andere, wichtigere Daten verarbeitet und Sie diese Datenverarbeitung nicht durch den Replikationsverkehr stören möchten, sollten Sie die Definition einer zusätzlichen Domäne in Erwägung ziehen.
● Verbindungsgebühren auf Nutzungsebene. Wenn der Replikationsverkehr über eine Verbindung erfolgt, für die auf Nutzungsebene Gebühren anfallen, sollten Sie die Definition einer zusätzlichen Domäne in Betracht ziehen.
● Verbindung nur über SMTP. Wenn der Standort nur über Verbindung Verfügt. die ausschießlich SMTP verwenden können, muss der Standort über eine eigene Domäne verfügen. Die Mailbasierte Replikation kann nur zwischen Domänen erfolgen, eine Nutzung zwischen Domänencontrollem in der gleichen Domäne ist nicht möglich.
● Domänenadministratoren. Bei jedem Hinzufügen einer Domäne wird auch eine vordefinierte globale Gruppe Domänen-Admins hinzugefügt. Zur Überwachung der Mitglieder dieser Gruppe ist ein höherer Verwaltungsaufwand erforderlich.
● Sicherheitsprindpals. Durch das Hinzufügen von Domänen erhöht sich die Wahrscheinlichkeit, dass Sicherheitsprincipals zwischen den Domänen verschoben werden müssen. Das Verschieben von Sicherheitsprincipals zwischen OUs einer Domäne ist zwar relativ einfach, das Verschieben von Sicherheitsprincipals zwischen Domänen ist jedoch wesentlich komplexer und kann sich negativ auf die Endbenutzer auswirken.
● Gruppenrichtlinien- und Zugriffssteuerung. Die Gruppenrichtlinien- und Zugriffssteuerung erfolgt auf Domänenebene. Wenn Sie also innerhalb Ihrer Organisation verschiedene Gruppenrichtlinien verwenden bzw. starken Gebrauch von der Verwaltungsdelegierung machen, müssen die hierzu erforderlichen Arbeitsschritte fürjede Domäne einzeln durchgeführt werden.
● Domänencontrollerhardware und Sicherheitseinrichtungen. Pro Windows 2000-Domäne sind mindestens zwei Domänencontroller erforderlich, um Fehlertoleranz und Multimasteranforderungen zu unterstützen.
● Vertrauensstellungen. Wenn sich ein Benutzer einer Domäne an einer anderen Domäne anmelden muss. muss der Domänencontroller der zweiten Domäne in der Lage sein Originaldomäi kann der Domane Aus diesem Grund sind zusätzliche Vertrauensstellungen erforderlich, die wiederum eingep.'hre: und verwaltet werden müssen.
1. Ermitteln Sie den Domänenbedarf: Erfüllung von Sicherheits- und Verwaltungsanforderungen sowie zur Optimierung des Replikationsverkehrs und zur Beibehaltung von Windows NTDomänen definiert werden.
2. Besorgen Sie sich eine Kopie des Netzwerkarchitekturdiagramms des Designteams. Kennzeichnen Sie die zu definierenden Domänen im Netzwerkarchitekturdiagramm durch Dreiecke.
Als Stammdomäne der Gesamtstruktur wird die erste in einer Active Directory Gesamtstruktur erstellte Domäne bezeichnet. In der Active Directory-Bereitstellung für microsoft.com wurde beispielsweise die Domäne Microsoft zuerst erstellt. Sie ist somit die Stammdomäne der Gesamtstruktur in der Hierarchie. Die Stammdomäne der Gesamtstruktur muss von einer IT-Abteilung zentral verwaltet werden, die Entscheidungen zur Domänenhierarchie, -benennung und -richtlinie trifft. Die vordefinierten globalen Gruppen Organisations-Admins und Schema-Admins gibt es nur in dieser Domäne. Die Administratoren dieser Domäne haben den größten Einfluss auf das Netzwerkdesign.
1. Ermitteln Sie die für die Organisation und deren IT-Management definierten Domänen.
2. Wählen Sie eine Stammdomäne der Gesamtstruktur für Ihre Organisation aus.
Folgende Dokumente sind zu analysieren:
● Arbeitsblatt zu den Geschäftsstrukturen: Analysieren Sie die aktuelle Verwaltungsstruktur und stellen Sie fest, wie das IT-Management aufgebaut ist.
● Arbeitsblatt zur Netzwerkarchitektur: Bewerten Sie die aktuelle Netzwerkarchitektur und die bereits definierten Domänen.
● Arbeitsblatt zum IT-Management der Organisation: Untersuchen Sie die Struktur des aktuellen IT-Managements der Organisation, und analysieren Sie, wie das IT-Management Entscheidungen trifft und Änderungen handhabt, um den Standort des Gesamtstrukturstamms zu bestimmen.
Bei derAuswahl einer Stammdomäne für die Gesamtstruktur können Sie entweder eine vorhandene Domäne oder eine zusätzliche, dezidierte Domäne als Stammdomäne der Gesamtstruktur verwenden. Letztere Methode bietet einige Vorteile, die im späteren Verlauf des Kapitels erläutert werden. Die Stammdomäne der Gesamtstruktur muss von einer IT-Abteilung zentral verwaltet werden, die Entscheidungen zu Namenskonventionen und zu Richtlinien trifft.
Verwenden Sie eine vorhandene Domäne als Stammdomäne der Gesamtstruktur, wenn folgende Voraussetzungen erfüllt sind:
● Die Gesamtstruktur enthält nur eine Domäne.
● Die Gesamtstruktur enthält mehrere Domänen, aus denen Sie die für den Betriebsablauf Ihrer Organisation wichtigste Domäne auswählen können, Sie möchten jedoch folgende Aufgaben NICHT ausführen: s. nachfolgende Gründe fuer die Verwendung einer dedizierten Domäne.
● Die Gesamtstruktur enthält mehrere Domänen, aus denen Sie nicht die für den Betriebsablauf Ihrer Organisation wichtigste Domäne auswählen können. Die neue Domäne wird für Operationen des Organisationsmanagements reserviert und darf weder Benutzerkonten noch mehrere Computerkonten enthalten.
● Die Gesamtstruktur enthält mehrere Domänen, aus denen Sie die für den Betriebsablauf Ihrer Organisation wichtigste Domäne auswählen können, Sie möchten jedoch folgende Aufgaben ausführen
● Steuern der Mitgliedschaft in den vordefinierten globalen Gruppen Organisations-Admins und Schema-Admins in der Stammdomäne der Gesamtstruktur
● Erstellen einer kleinen Stammdomäne der Gesamtstruktur zur Vereinfachung der Replikation
● Verhindern der Veralterung des Stammdomänennamens
Die Verwendung einer dezidierten Domäne ist mit Mehrkosten für die zusätzliche Domäne verbunden, die in Lektion 1, ‑Definieren von Domänen", unter ‑Auswirkungen der Definition mehrerer Domänen- begründet werden. Sie bietet Ihrer Organisation jedoch die folgenden Vorteile:
● Die Domänenadministratoren in der Stammdomäne der Gesamtstruktur können die Mitgliedschaft in den vordefinierten globalen Gruppen Organisations-Admins und Schema-Admins steuern. Durch die Verwendung einer dezidierten Stammdomäne kann die Mitgliedschaft der organisationsweiten Administratorengruppen auf solche beschränkt werden, die organisationsweite Rechte benötigen. Diejenigen, die nur für bestimmte Aufgaben Administratorrechte benötigen, sind auf die Mitgliedschaft in Administratorgruppen auf Domänenebene beschränkt.
● Da dezidierte Stammdomänen der Gesamtstruktur klein sind, können Sie problemlos in der gesamten Organisation repliziert werden, um den Stamm vor einem Systernausfall zu schützen. Diese Möglichkeit ist von entscheidender Bedeutung, da bei einem Verlust aller Domänencontroller in der Stammdomäne der Gesamtstruktur aufgrund eines Systernausfalls auch die vordefinierten Gruppen Organisations-Admins und Schema-Admins verloren gehen und die Stammdomäne der Gesamtstruktur nicht wiederhergestellt werden kann.
● Da die Stammdomäne der Gesamtstruktur ausschließlich als Stamm dient, kann diese kaum obsolet werden. Verwenden Sie hingegen eine vorhandene Domäne als Stammdomäne der Gesamtstruktur (da diese die wichtigste Domäne in der Organisation ist), besteht die Gefahr, dass die Domäne aufgrund von Änderungen der Organisation an Bedeutung verliert und veraltet. Nachdem Sie die Stammdomäne benannt haben, kann der Name nicht mehr geändert werden, ohne die gesamte Active Directory-Struktur neu aufzubauen.
Überordnungs-Unterordnungs-Verrrauensstellungen (Parent-child trusts) sind implizite, zweiseitige. transitive Vertrauensstellungen, die beim Hinzufügen einer Domäne zu der Hierarchie automatisch erstellt werden
Die Organisation der Domänen in einer Hierarchie muss nicht zwingend auf der Grundlage der Verwaltungsstruktur der Organisation erfolgen.
Administratoren in einer übergeordneten Domäne können zwar Verwaltungsrechte für die untergeordnete Domäne haben, diese erhalten sie jedoch nicht automatisch.
Ebenso werden Gruppenrichtlinien in einer übergeordneten Domäne nicht automatisch auf untergeordnete Domänen in der Gesamtstruktur angewendet.
Sie sollten zudem berücksichtigen, dass nur die vordefinierte globale Gruppe Organisations-Admins standardmäßig über domänenübergreifende Verwaltungsrechte verfügt.
Ein Vertrauenspfad wird durch eine Reihe von Vertrauensstellungen zwischen Domänen definiert, über die Authentifizierungsanforderungen weitergeleitet werden.' Obwohl dem Benutzer über diesen Prozess zwar möglicherweise der Zugriff auf die angeforderte Ressource ermöglicht wird, erfordert dieser Vorgang viel Zeit und beeinträchtigt die Abfrageleistung. Zudem steigt bei jedem Verweis eines Clients an einen anderen Domänencontroller die Gefahr, dass ein Fehler auftritt oder eine langsame Verbindung besteht.
Die Abfrageleistung kann unter Windows 2000 durch die Verwendung von Cross-Link-Vertrauensstellungen verbessert werden. Eine Cross-Link-Vertrauensstellung (eine Querverbindung) ist eine zweiseitige, transitive Vertrauensstellung, die Sie zur Optimierung des domänenübergreifenden Authentifizierungsprozesses zwischen zwei Windows 2000-Domänen explizit erstellen, die in einer Gesamtstruktur oder Strukturhierarchie logisch voneinander entfernt sind. Cross-Link-Vertrauensstellungen werden auch als Shortcutvertrauensstellungen bezeichnet. Diese Art der Vertrauensstellung kann nur zwischen Windows 2000-Domänen derselben Gesamtstruktur erstellt werden. In Abbildung 4.9 wird eine Cross-Link-Vertrauensstellung dargestellt, die zur Verkürzung des Vertrauenspfads und zur Verbesserung der Abfrageleistung zwischen den zuvor beschriebenen Domänen M und P erstellt wurde.
Da Cross-Link-Vertrauensstellungen explizit eingerichtet werden müssen, sollten Sie ermitteln, ob der Authentifizierungsverkehr zwischen den entfernten Domänen ausreicht, um den Verwaltungsaufwand zu rechtfertigen.
1. Ermitteln Sie die Organisationsanforderungen an eine Domänenhierarchie.
Zur Definition der Domänenhierarchie für eine Organisation müssen Sie zunächst die folgenden Dokumente analysieren, die zuvor von Ihrem Designteam zusammengestellt wurden:
● Arbeitsblatt zum Informationsfluss. Analysieren Sie, welche Domänen Zugriff auf Ressourcen in anderen Domänen benötigen.
● Arbeitsblatt zur Netzwerkarchitektur. Bewerten Sie die aktuelle Netzwerkarchitektur, einschließlich der definierten Domänen und des Standortes der Stammdomäne der Gesamtstruktur.
● Arbeitsblatt zur DNS-Umgebung. Untersuchen Sie die aktuelle Domänenstruktur, um vorhandene DNS-Namen zu ermitteln, die ggf. separate Strukturen erfordern.
Zur Festlegung einer Domänenhierarchie müssen Informationen zur Organisation analysiert werden. Anschließend können Sie die Anzahl der Domänenstrukturen festlegen, Stammdomänen der Gesamtstruktur definieren, die Subdomänenhierarchie organisieren und Cross-Link-Vertrauensstellungen planen.
Eine Struktur ist eine Gruppierung bzw. hierarchische Anordnung einer oder mehrerer Windows 2000-Domänen mit zusammenhängenden Namen, die Sie erstellen, indern Sie einer vorhandenen Domäne mindestens eine untergeordnete Domäne hinzufügen. Eine Gesamtstruktur kann eine oder mehrere Strukturen umfassen. Eine Struktur pro Gesamtstruktur wird jedoch als ideal betrachtet, da dies weniger Verwaltungsaufwand erfordert. Obwohl der Einsatz von nur einer Struktur pro Gesamtstruktur empfohlen wird, kann es unter Umständen notwendig sein, mehrere Domänen zu definieren, beispielsweise dann, wenn Ihre Organisation über mehrere DNS-Namen verfügt.
Die Verwendung mehrerer Strukturen erhöht die Verwaltungskosten. Beachten Sie vor der Definition mehrerer Strukturen die folgenden Faktoren:
● DNS-Namen. Da jede Struktur einen separaten DNS-Namen erfordert, muss Ihre Organisation mehrere DNS-Namen verwalten.
● Ausschlussliste oder Konfigurationsdatei des Proxyclients (Proxy Autoconfiguration, PAC). Da jede Struktur einen separaten DNS-Namen erfordert, müssen Sie der Liste oder Datei diese Namen hinzufügen.
● Nicht-Microsoft-LDAP-Clients. Diese Clients sind möglicherweise nicht in der Lage, eine globale Katalogsuche durchzuführen, sondern verwenden eine LDAP-Suche des Unterstrukturbereichs, die alle Strukturen einzeln durchsucht.
● Zuweisen von Strukturstammdomänen:Die Strukturstammdomäne ist die Domäne höchster Ebene in der Struktur, unter der die untergeordneten Domänen zusammengefasst sind. Im Allgemeinen wird die für den Betrieb der Struktur wichtigste Domäne ausgewählt. Als Strukturstammdomäne kann auch die Stammdomäne der Gesamtstruktur verwendet werden (siehe Abbildung 4.10). 141
Nachdem Sie die Anzahl der Domänenstrukturen und die Stammdomäne für jede Struktur festgelegt haben, müssen zur Definition der Domänenhierarchie die verbleibenden Subdomänen in einer Hierarchie unter den Stammdomänen organisiert werden. Denken Sie daran, dass Domänen nicht auf Grundlage der Verwaltungsstruktur angeordnet werden müssen. Die Verwaltungsstruktur kann durch die Einrichtung von Organisationseinheiten und Gruppen widergespiegelt werden (siehe Kapitel 5, ‑Planen der Organisationseinheiten"). Strukturieren Sie durch die Einrichtung von Organisationseinheiten und Gruppen widergespiegelt werden (siehe Kapitel 5, ‑Planen der Organisationseinheiten"). Strukturieren Sie die Domänen stattdessen so, dass sie die impliziten, zweiseitigen, transitiven Vertrauensstellungen zwischen unter- und übergeordneten Domänen nutzen. Darüber hinaus sollte die Domänenhierarchie möglichst flach gehalten werden. Im Idealfall verfügt jede Struktur nur über eine Domänenebene. Aus Leistungsgründen sollte die Anzahl der Ebenen auf maximal drei bis vier beschränkt werden.
Der letzte Schritt bei der Definition einer Domänenhierarchie besteht darin, die Domänen zu ermitteln, die über Cross-Link-Vertrauensstellungen verknüpft werden müssen. Bestimmen Sie mit Hilfe des Arbeitsblattes zum Informationsfluss, welche Domänen Zugriff auf Ressourcen in anderen Domänen benötigen. Wenn sich diese Domänen in der Hierarchie nicht bereits nah beieinander platziert wurden, können Sie die Vertrauensbeziehungen durch Cross-Link-Vertrauensstellungen optimieren.
Pacific Musical Instruments nutzt derzeit nur einen registrierten DNS-Namen, pac-lOOtimes.com. Die Organisation geht davon aus, dass keine weiteren DNSNamen benötigt werden. Die Active Directory-Infrastruktur enthält somit nur eine Struktur. Aus diesem Grund fungiert die Stammdomäne der Gesamtstruktur ebenfalls als Strukturstammdomäne.
Darüber hinaus haben Sie gelernt, dass zwar nur eine Struktur pro Gesamtstruktur empfohlen wird, letztendlich jedoch die Anzahl der von Ihrer Organisation verwendeten DNS-Namen die Anzahl der Domänenstämme in der Domänenhierarchie bestimmt. Nachdem Sie die Anzahl der Strukturen und der Strukturstammdomänen festgelegt haben, sollten Sie die Domänen so strukturieren, dass die impliziten, zweiseitigen, transitiven Vertrauensstellungen zwischen unter- und übergeordneten Domänen genutzt werden. Zur Optimierung des domänenübergreifenden Authentifizierungsprozesses können Sie explizite CrossLink-Vertrauensstellungeneinrichten.
Verwenden Sie ausschließlich Internetstandardzeichen. Hierzu zählen die folgenden Zeichen: A-Z, a-z, 0-9 und Bindestrich (-).
Unterscheiden Sie interne und externe Namespaces. Da die meisten Organisationen im Internet präsent sind, sollten Sie für interne und externe Stammdomänen unterschiedliche Namen verwenden. Beispiel: Das Unternehmen Just Togs ist im Internet unter dem DNS-Namen j-lOOtimes.com vertreten. Für Active Directory-Stammdomänennamen der Gesamtstruktur sollte das Unternehmen daher einen anderen Namen verwenden, z. B. untern.j-100times.com.
● Legen Sie den internen DNS-Namen auf Grundlage des externen DNS-Namens fest.
● Verwenden Sie nie zweimal den gleichen Domänennamen. Just Togs sollte den Namen j-lOOtimes.com beispielsweise nicht für die Stammdomänen in Internet und Intranet verwenden.
● Verwenden Sie nur registrierte Domänennamen. Registrieren Sie alle Domänennamen zweiter Ebene bei InterNIC oder einer anderen zuständigen Namensstelle, egal ob es sich um interne oder externe Namespaces handelt. Just Togs sollte beispielsweise den Domänennamen zweiter Ebene, j-lOOtimes.com, registrieren. Der Name untern.j-100times.com muss nicht registriert werden, da dies kein Domänenname zweiter Ebene ist.
Achtung Stellen Sie sicher, dass Sie die Domänennamen registrieren und eine Bestätigung der Namen erhalten, bevor Sie den Active Directory-Domänennamespace erstellen.
● Verwenden Sie kurze, eindeutige und aussagekräftige Namen. Wählen Sie einfach zu verwendende Domänennamen,
● Verwenden Sie international überprüfte Namen. Überprüfen Sie Domänennamen, um sicherzustellen, dass sie in einer anderen Sprache nicht missverständlich oder beleidigend sind.
● Verwenden Sie statische Namen. Setzen Sie anstelle spezifischer Namen besser generische Namen ein.
● Verwenden Sie ISO-Standards (International Standards Organization) für Namen, die Länder oder US-Bundesstaaten enthalten.
DNS-Server verwenden für die Namensauflösung gespeicherte Zoneninformationen. Jeder DNS-Server kann Informationen zu keiner, zu einer oder zu mehreren Zonen speichern. Eine Zone ist ein zusammenhängender Teil des DNS-Namespace, der von einem DNS-Server separat verwaltet wird.
Der DNS Namespace repräsentiert den logischen Aufbau Ihrer Netzwerkressourcen, die DNS-Zonen stellen den physischen Speicherort für diese Ressourcen bereit. Zonen können eine einzelne Domäne oder eine Domäne und Subdomänen umfassen. Jede Zone beinhaltet eine Zonendatenbankdatei. Dies ist eine Textdatei mit Ressourceneinträgen für die Zone. Ressourceneinträge sind Datensätze mit Informationen für die Verarbeitung von Clientanforderungen. Es steht eine große Auswahl an Ressourceneintragstypen zur Verfügung. DNS fügt beim Erstellen einer Zone automatisch zwei Ressourceneinträge hinzu: Autoritätsursprung (Start of Authority, SOA) und Namensserver (NS). Tabelle 4.1 enthält Beschreibungen der gängigsten Ressourceneinträge.
Host(A)
Alias (CNAME)
Erstellt einen Alias (einen alternativen Namen) für den angegebenen Hostnamen. Sie können einen CNAME-Eintrag (Canonical Name) verwenden, um mit mehreren Namen auf eine einzige IP-Adresse zu verweisen.
Mail Exchanger (MX)
Kennzeichnet, mit welchem Mail-Exchanger für eine angegebene Domäne Kontakt aufgenommen werden soll, und in welcher Reihenfolge die Mailhosts zu verwenden sind.
Name Server (NS)
Listet die Namensserver auf, die einer bestimmten Domäne zugeordnet sind.
Pointer (PTR
In einer Reverse-Lookupzone enthält dieser Ressourceneintrag beispielsweise die Zuordnung von IP-Adressen zu Namen.
Service (SRV)
Wenn ein Client beispielsweise einen Server zur Validierung von Anmeldeanforderungen sucht, kann der Client beim DNS-Server eine Liste der Domänencontroller und der zugehörigen IP-Adressen anfordern.
Start ofAuthority (SOA)
Dieser Eintrag kennzeichnet, welcher Namensserver die autorisierte Informationsquelle für Daten innerhalb der Domäne darstellt. Beim SOA-Eintrag handelt es sich um den ersten Eintrag in einer Zonendatenbankdatei.
● Fehlertoleranz
● Verteilung der Abfragelast
● Verringerung des WAN-Verkehrs
DNS-Server können an Remotestandorten hinzugefügt werden, sodass Clients keine Abfragen über langsame Verbindungen senden müssen.
1. Bewerten Sie die aktuelle DNS-Serverumgebung der Organisation.
2. Legen Sie die Platzierung der DNS-Server fest.
Im Rahmen der Platzierung der DNS-Server müssen Sie zusätzliche Zonen planen, die derzeitige Verteilung der DNS-Dienste auf den DNS-Servern ermitteln und die zu verwendende Zonenreplikationsmethode festlegen.
Die folgenden Faktoren beeinflussen Ihre Entscheidung, ob der DNS-Namespace in Zonen unterteilt werden muss:
● Die Verwaltung eines Teils des DNS-Namespace muss an einen anderen Standort oder eine andere Abteilung innerhalb der Organisation verlagert werden.
● Große Zonen müssen in kleinere Zonen aufgeteilt werden, um die Datenlast zwischen den Servern zu verteilen, die Leistung der DNS-Namensauflösung zu verbessem oder eine DNS-Umgebung mit höherer Fehlertoleranz bereitzustellen.
● Der Namespace muss ausgeweitet werden, indern zahlreiche Subdomänen gleichzeitig hinzugefügt werden, beispielsweise als Reaktion auf die Eröffnung einer Zweigstelle oder eines neuen Standortes.
Wenn Sie den Windows 2000-DNS-Dienst verwenden, können Sie die Active Directory-integrierte Zonenreplikation einsetzen. In diesem Fall fungieren alle Domänencontroller als primäre DNS-Server. Wenn Sie DNS BIND 8.1.2 oder höher oder Windows NT 4.0 DNS verwenden, müssen Sie die Standardzonenreplikation einsetzen. In diesem Fall müssen Sie primäre und sekundäre DNS-Server und Zonen definieren.
OU-Strukturen werden zur Delegierung von Verwaltungsaufgaben, zum Verbergen von Objekten und zur Verwaltung von Gruppenrichtlinien definiert.
Es gibt drei Gründe für das Definieren einer Organisationseinheit:
● Delegierung von Verwaltungsaufgaben
● Verbergen von Objekten
● Verwalten von Gruppenrichtlinien
Die Hierarchie für die Verwaltungsdelegierung kann auf unterschiedlichen Organisationsmodellen basieren:
● Standort. Diese Struktur kann eingesetzt werden, wenn die Verwaltung einer Domäne sich nach den Standorten einer Organisation richtet, Die OUs der ersten Ebene - West, Central, East - entsprechen den Regionen, in denen die Organisation microsoft.com ansässig ist. Die OUs der zweiten Ebene repräsentieren die physischen Standorte der acht Unternehmensniederlassungen.
● Geschäftsfunktion. Bei dieser Struktur richtet sich die Verwaltung innerhalb einer Domäne nach derjeweiligen Geschäftsfunktion, wie die Organisationseinheiten erster Ebene - Admin, Devel und Sales - entsprechen den Geschäftsbereichen von microsoft.com. Die OUs zweiter Ebene repräsentieren die funktionalen Abteilungen innerhalb der Geschäftsbereiche.
● Objekttyp. Diese Struktur kann eingesetzt werden, wenn sich die Domänenverwaltung nach den zu verwaltenden Objekten richtet. Die OUs der ersten Ebene - Users, Computers und Resources entsprechen den bei microsoft.com verwendeten Objekten. Die OUs zweiter Ebene repräsentieren weitere Unterkategorien dieser Objekttypen.
● Kombination aus Standort, Geschäftsfunktion und Objekttyp.
Die Organisationseinheiten erster Ebene - North America und Europe - entsprechen den Kontinenten, in denen microsoft.com über Niederlassungen verfügt. Die OUs zweiter Ebene repräsentieren die funktionalen Abteilungen innerhalb des Unternehmens.
Sie können Objekte innerhalb einer Domäne verbergen, indern Sie eine OU für die Objekte anlegen und nur wenigen Benutzem die Berechtigung Inhalt auflisten für diese OU erteilen.
1. LokalesGPO
2. Standort-GPOs
3. Domänen-GPOs
4. OU-GPOs
● Erstellen Sie ein einfaches OU-Design. Sie sollten Ihre Planung am besten mit einer OU beginnen und dieser anschließend nur OUs hinzufügen, deren Erstellung gerechtfertigt ist. Notieren Sie die Gründe für die Erstellung jeder einzelnen OU in Ihrem OU-Plan.
● Gewähren Sie im Hinblick auf eine einfachere Verwaltung nicht einzelnen Benutzern, sondern Gruppen Verwaltungsberechtigungen Sie sollten darüber hinaus Verwaltungsaufgaben eher an lokale Gruppen als an globale oder universelle Gruppen delegieren. Lokale Gruppen eignen sich ideal für die Zuweisung von Ressourcenberechtigungen, da sie (im Gegensatz zu globalen Gruppen) Mitglieder beliebiger vertrauter Domänen enthalten können und (im Gegensatz zu universellen Gruppen) die Mitgliedschaften in lokalen Gruppen nicht in den globalen Katalog repliziert werden.
Bei der Definition der OU-Strukturen einer Organisation sollten Sie außerdern folgende Punkte berücksichtigen:
● Bei OUs handelt es sich nicht um Sicherheitspnncipals. Dies bedeutet, dass Sie Zugriffsberechtigungen nicht basierend auf der OU-Mitgliedschaft eines Benutzers zuweisen können. Die Zugriffssteuerung erfolgt über globale Gruppen, lokale Domänengruppen oder universelle Gruppen.
● Die Benutzer verwenden die OU-Struktur nicht zur Navigation. Obwohl die Benutzer die OU-Struktur einer Domäne anzeigen können, ist es effizienter, Active Directory-Ressourcen über den globalen Katalog zu suchen. Daher sollte die OU-Definition nicht nach Benutzem, sondern nach Verwaltungsaspekten erfolgen.
Definieren von OU-Strukturen zur Verwaltungsdelegierung
1. Ermitteln Sie die IT-Verwaltungsanforderungen Ihrer Organisation, um die zu delegierenden Verwaltungsaufgaben zu bestimmen.
2. Definieren Sie OUs für die Delegierung von Vollzugriffsrechten.
3. Definieren Sie OUs zur Delegierung der Objektklassenverwaltung.
Um festlegen zu können, welche Verwaltungsbereiche delegiert werden sollen, müssen Sie zunächst anhand des Arbeitsblattes zum IT-Management ermitteln, wie Verwaltungsaufgaben gehandhabt werden.
Es gibt bei der Delegierung der OU-Verwaltung zwei Möglichkeiten:
● Sie erteilen Vollzugriff
● Sie erteilen Zugriff auf die Objektklassen
Standardmäßig verfügen nur Domänenadministratoren über Vollzugriff auf alle Objekte einer Domäne.
Wenn zusätzliche OUs erforderlich sind, um nur einen begrenzten Zugriffsumfang zu ermöglichen, können Sie die Verwaltung bestimmter Objektklassen für eine OU delegieren. Obwohl das Schema sehr viele Objektklassen enthält, müssen nur die Objektklassen berücksichtigt werden, in denen Administratoren Objekte erstellen. Zu diesen Objektklassen gehören in der Regel Benutzerkontenobjekte, Computerkontenobjekte, Gruppenobjekte und OU-Objekte.
So definieren Sie OUs zum Delegieren von Vollzugriffsrechten oder der Verwaltung von Objektklassen
1. Planen Sie die gewünschte OU.
2. Planen Sie eine Sicherheitsgruppe und listen Sie die Administratoren auf, die Vollzugriff oder Zugriff auf bestimmte Objektklassen der Gruppe benötigen.
3. Platzieren Sie die Administratorengruppe in der OU, wenn die OU ihre Mitgliedschaft selbst festlegen kann. Andernfalls platzieren Sie die Administratorengruppe außerhalb der OU.
Definieren von OU-Strukturen zum Verbergen von Objekten
1. Bestimmen Sie anhand der IT-Verwaltungsanforderungen Ihrer Organisation, welche Objekte vor welchen Benutzem verborgen werden müssen.
2. Definieren Sie die OUs zum Verbergen von Objekten.
Abbildung 5.8 zeigt ein Beispiel für die Definition einer OU-Struktur zur Delegierung von Vollzugriffsrechten für eine OU. Die Gruppe der Seide-Administratoren kann die eigenen Mitgliedschaften festlegen und wurde in der OU Seide platziert. Die Gruppen der Tokyo- und Osaka-Administratoren können Ihre eigenen Mitgliedschaften nicht festlegen und werden in der OU Seide platziert, außerhalb ihrer jeweiligen OUs.
Abbildung 5.9 zeigt ein Beispiel für die Definition einer OU-Struktur zur Delegierung von Verwaltungsrechten für Objektklassen.
Gruppen wurden zur Verwaltung von Gruppen- und Benutzerobjekten erstellt, denen die benötigten Zugriffsrechte für die OUs Naturfasern und Synthetik erteilt wurden.
In dieser Lektion haben Sie erfahren, dass die Definition von OU-Strukturen ein dreistufiger Prozess ist, bei dem (1) OU-Strukturen zur Verwaltungsdelegierung, (2) OU-Strukturen zum Verbergen von Objekten und (3) OU-Strukturen zur Gruppenrichtlinienverwaltung definiert werden. Da es nur eine Möglichkeit gibt, Verwaltungsaufgaben zu delegieren, bei der Verwaltung der Gruppenrichtlinien jedoch verschiedene Optionen zur Verfügung stehen, müssen die OU-Strukturen zur Verwaltungsdelegierung als erste definiert werden. Nachdem Sie die OU-Struktur zur Handhabung der Verwaltungsdelegierung definiert haben, können Sie zusätzliche OUs erstellen, mit denen Objekte verborgen bzw. Gruppenrichtlinien verwaltet werden.
Sie haben gelernt, wie OU-Strukturen zur Verwaltungsdelegierung in einer Hierarchie angeordnet werden können, die das jeweilige Organisationsmodell widerspiegelt: ein Aufbau nach Standort, Geschäftsfunktion oder Objekttyp bzw. eine Kombination aus diesen Modellen. Sie haben ferner erfahren, dass Sie Objekte innerhalb einer Domäne verbergen können, indern Sie eine OU für die Objekte anlegen und nur wenigen Benutzem die Berechtigung Inhalt auflisten für diese OU erteilen. Abschließend wurde erläutert, wie Sie GPOs mit OUs verknüpfen, um Gruppenrichtlinieneinstellungen entweder auf Benutzer oder Computer innerhalb der OU anzuwenden.
In der vorangegangenen Lektion haben Sie gelernt, dass eine Organisationseinheit Objekte wie Benutzerkonten, Gruppen, Computer, Drucker, Anwendungen, Dateifreigaben sowie weitere Organisationseinheiten derselben Domäne enthalten kann. OUs werden vomehmlich zum Delegieren der Verwaltung ihrer Inhalte definiert. Gruppen enthalten ebenfalls Objekte wie Benutzerkonten, Kontakte, Computer sowie weitere Gruppen. Gruppen werden jedoch hauptsächlich dazu definiert, um Benutzem Zugriffsberechtigungen für verschiedene Objekte in der Domäne zu erteilen bzw. um ihren Zugriff auf Objekte zu beschränken.
Globale Sicherheitsgruppen werden häufig zur Gruppierung von Benutzem mit ähnlichen Anforderungen für den Netzwerkzugriff verwendet. Eine globale Gruppe weist folgende Merkmale auf:
● Eingeschränkte Mitgliedschaft. Sie können Mitglieder nur von der Domäne aus hinzufügen, in der die globale Gruppe erstellt wurde.
● Zugriff auf die Ressourcen beliebiger Domänen. Sie können über eine globale Gruppe Berechtigungen für den Zugriff auf Ressourcen erteilen, die sich ein einer beliebigen Domäne der Domänen- oder Gesamtstruktur befinden.
werden häufig dazu eingesetzt, Berechtigungen für Ressourcen zu erteilen. Eine lokale Domänengruppe weist folgende Merkmale auf:
● Offene Mitgliedschaft. Einer lokalen Domänegruppe können Mitglieder aus
beliebigen Domänen hinzugefügt werden.
● Zugriff auf die Ressourcen einer Domäne. Sie können mit einer lokalen Domänengruppe nur Berechtigungen für den Zugriff auf Ressourcen erteilen, die sich in derselben Domäne befinden, in der die lokale Domänengruppe erstellt wurde.
werden häufig zur Erteilung von Berechtigungen für bezogene Ressourcen in mehreren Domänen eingesetzt. Eine universelle Sicherheitsgruppe weist folgende Merkmale auf:
● Offene Mitgliedschaft. Einer universellen Sicherheitsgruppe können Mitglieder aus beliebigen Domänen hinzugefügt werden.
● Zugriff auf die Ressourcen beliebiger Domänen. Sie können über universelle Gruppen Berechtigungen zuweisen, mit denen der Benutzer Zugriff auf die Ressourcen beliebiger Domänen erhält.
● Nur im einheitlichen Modus verfügbar. Universelle Sicherheitsgruppen stehen im gemischten Modus nicht zur Verfügung.
Zur Platzierung der Benutzerkonten in den geeigneten OUs verwenden Sie das OU-Strukturdiagramm. Ermitteln Sie Folgendes:
● Die von jeder administrativen Gruppe verwalteten Benutzerkonten
● Die von den einzelnen GPOs beeinflussten Benutzerkonten
Durch das Etablieren einer Namenskonvention für Benutzerkonten können Sie die Identifizierung der Benutzer innerhalb der Domäne standardisieren. Eine konsistente Namenskonvention hilft Ihnen und den Benutzern, sich die Benutzemamen zu merken und sie in einer Liste leicht aufzufinden.
● Ermitteln Sie Benutzer mit allgemeinen Tätigkeitsbereichen und fügen Sie die entsprechenden Benutzerkonten einer globalen Gruppe hinzu. In der Abteilung für Rechnungswesen könnten beispielsweise die Benutzerkonten aller Buchhalter einer Gruppe namens Rechnungswesen hinzugefügt werden.
● Ermitteln Sie die gemeinsam verwendeten Ressourcen, z. B. Dateien oder Drucker, und fügen Sie diese Ressourcen einer lokalen Domänengruppe für diesen Ressourcentyp hinzu. Sie können beispielsweise alle innerhalb der Organisation vorhandenen Farbdrucker einer lokalen Domänengruppe namens Farbdrucker hinzufügen.
● Ermitteln Sie alle globalen Gruppen, die gleiche Zugriffsberechtigungen für Ressourcen benötigen und machen Sie diese Gruppen zu Mitgliedern von geeigneten lokalen Domänengruppen. So könnten Sie beispielsweise die globalen Gruppen Rechnungswesen, Verkauf und Management der lokalen Domänengruppe Farbdrucker hinzufügen.
● Weisen Sie der lokalen Domänengruppe die für eine Ressource erforderlichen Berechtigungen zu. Erteilen Sie beispielsweise der Gruppe Farbdrucker die erforderlichen Berechtigungen zur Verwendung der Farbdrucker. Die Benutzer der globalen Gruppen Rechnungswesen, Verkauf und Mangement erhalten die erforderlichen Berechtigungen automatisch, da sie Mitglieder der lokalen Domänengruppe Farbdrucker sind.
Zu Beginn dieser Lektion wurde daran erinnert, dass der Zweck bei der Definition von OUs darin besteht, Verwaltungsaufgaben zu delegieren, während der Zweck von Gruppen der ist, Benutzem den Zugang zu Ressourcen zu ermöglichen. Sie haben gelernt, dass die Planung von Benutzerkonten und Gruppen zwei Schritte umfasst: (1) das Benennen und Platzieren von Benutzerkonten (2) das Benennen und Definieren von Gruppen. Sie haben erfahren, dass eine konsistente Namenskonvention Ihnen und den Benutzem dabei hilft, sich die Benutzemamen zu merken und sie in einer Liste leicht aufzufinden. Zur Platzierung der Benutzerkonten in geeigneten OUs müssen Sie anhand des OU-Strukturdiagramms ermitteln, welche administrativen Gruppen für die Verwaltung der Benutzerkonten verantwortlich sind und welche GPOs auf die Benutzerkonten angewendet werden. Ferner haben Sie gelernt, dass eine konsistente Namenskonvention für Gruppen Ihnen und den Benutzem dabei hilft, sich die Gruppennamen zu merken und sie in einer Liste leicht aufzufinden. Zur Definition von geeigneten globalen Gruppen, lokalen Domänengruppen und universellen Gruppen ermitteln Sie zunächst die Benutzer, die globalen Gruppen hinzugefügt werden müssen. Anschließend bestimmen Sie die Ressourcen, die in lokalen Domänengruppen angeordnet werden. Abschließend ermitteln Sie Ressourcen, die in verschiedenen Domänen vorliegen und daher universellen Gruppen zugeordnet werden müssen.
Der Hauptzweck eines Standortes besteht in der physischen Gruppierung von Computem zur Optimierung des Netzwerkverkehrs. Standorte dienen dazu, Authentifizierung und Replikationsverkehr auf die zum Standort gehörenden Geräte zu begrenzen. Da verhindert wird, dass der Netzwerkverkehr unnötigerweise über langsame WAN-Verbindungen läuft, ist der Verkehr begrenzt. Die zwei wesentlichen Rollen von Standorten sind:
● Ermitteln des nächsten Domänencontrollers während der Arbeitsstationsanmeldung
● Optimieren der Datenreplikation zwischen Standorten
Um Standorte zu definieren, müssen Sie zuerst das von Ihrem Designteam zusammengestellte Arbeitsblatt zur Netzwerkarchitektur konsultieren. Bestimmen Sie mit Hilfe des Arbeitsblatts zur Netzwerkarchitektur folgende Punkte:
● Die Orte, an denen die Organisation über Büros verfügt
● Die Geschwindigkeit der LANs an jedem Ort und den prozentualen Anteil der durchschnittlichen verfügbaren Bandbreite für jede Verbindung während der üblichen Geschäftszeiten
● Die TCP/IP-Subnetze an jedem Ort
Definieren Sie einen Standort für folgende Einheiten:
● Alle LANs oder Gruppen von LANs, die über eine HochgeschwindigkeitsBackboneverbindung verbunden sind
● Jeden Standort, der nicht über die Fähigkeit zur direkten Verbindung mit dem übrigen Netzwerk verfügt und nur über SMTP-Mail erreichbar ist
Nicht im Verzeichnis definierte Subnetze werden nicht als Teil eines Standortes betrachtet. Die Subnetze sind möglicherweise nicht definiert, weil sie noch nicht zum Netzwerk hinzugefügt wurden. Clients in nicht definierten Subnetzen müssen dann nach dem Zufallsprinzip mit allen Domänencontrollem in einer Domäne kommunizieren, was zu Verzögerungen bei der Authentifizierung führen kann. Um diese Verzögerungen zu vermeiden, können Sie die Clients einem Standort zuordnen, indern Sie Standardsubnetze erstellen, die Sie anschließend einem Standort zuordnen.
Um Domänencontroller zu platzieren, müssen Sie den Bedarf der Organisation an Domänencontrollem ermitteln und anschließend die Position der Domänencontroller innerhalb der Organisation festlegen.
Wenn Sie die erste Domäne in einer Gesamtstruktur installieren, wird im Standortcontainer ein Objekt namens Standardname-des-ersten-Standortes erstellt. Der erste Domänencontroller wird automatisch an diesem Standort erstellt. Sie können den Namen des ersten Standortobjekts ändern. Wenn Sie weitere Domänencontroller hinzufügen, bestimmt der Assistent zum Installieren von Active Directory, an welchem Standort sie installiert werden. Der Assistent überprüft vorhandene Standorte auf das Subnetz des Domänencontrollers, den Sie installieren. Wird das Subnetz an einem vorhandenen Standort gefunden, dann wird der Domänencontroller an diesem Standort installiert. Falls das Subnetz nicht an einem vorhandenen Standort gefunden wird, installiert der Assistant den neuen Domänencontroller am Standort des ersten Domänencontrollers.
Um Domänencontroller zu platzieren, müssen Sie zunächst folgende Unterlagen zu Rate ziehen:
● Das zuvor von Ihrem Designteam zusammengestellte Standortdiagramm, um zu sehen, welche Standorte für Ihr Netzwerk definiert sind, und die möglichen Positionen für Domänencontroller festzulegen
● Das bereits vorher von Ihrem Designteam zusammengestellte Arbeitsblatt zur Netzwerkarchitektur, in dem definierte Domänen aufgeführt sind, um die Positionen von Domänen für die Organisation zu ermitteln
Um eine optimale Netzwerkantwortzeit und Anwendungsverfügbarkeit zu gewährleisten, sollten Sie mindestens folgende Domänencontroller platzieren:
● Einen Domänencontroller an jedem Standort.
● Zwei Domänencontroller in jeder Domäne.
Wenn ein einzelner Standort mehrere Domänen umfasst, können Sie nicht einen Domänencontroller am Standort platzieren und erwarten, dass er mehrere Domänen bedient.
Folgende Gründe sprechen dafür, zusätzliche Domänencontroller an einem Standort zu installieren:
● Der Standort verfügt über viele Benutzer, und die Verbindung zum Standort ist langsam bzw. ihre Kapazität nahezu ausgeschöpft.
● Die Verbindung zu dem Standort ist in der Vergangenheit häufig unzuverlässig gewesen oder ist nur zeitweise verfügbar.
In manchen Situationen ist es unter Umständen nicht effizient, einen Domänencontroller an einem Standort zu platzieren. Hierzu zählen folgende Situationen:
● Standorte mit kleiner Benutzerzahl.
● Kleine Standorte, die über Clientcomputer, aber keine Server verfügen. Standorte ohne Server benötigen keinen Domänencontroller. Wenn die Standortverknüpfung ausfällt, können die Benutzer sich immer noch mit Hilfe zwischengespeicherter Anmeldeinformationen anmelden. Da am Standort keine serverbasierten Ressourcen verfügbar sind, ist eine weitere Authentifizierung nicht erforderlich.
Um die Anzahl der erforderlichen Domänencontroller zu bestimmen, können Sie Active Directory Sizer verwenden, ein Tool zum Einschätzen der zum Bereitstellen von Active Directory erforderlichen Hardware unter Berücksichtigung des Organisationsprofils, der Domäneninformationen und der Standorttopologie. Veitere Informationen zu Active Directory Sizer finden Sie unter http://www.microsoft.com/windows2000/library/resources/reskit/tools/new/adsizer-o.asp.
1. Platzieren Sie im Standortdiagramm anjedem Standort einen Domänencontroller, mit Ausnahme der Standorte, die über eine geringe Benutzerzahl oder keine Server verfügen. Stellen Sie einen Domänencontroller mit Hilfe eines Rechtecks dar, das den Hostnamen des Domänencontrollers enthält.
2. Bestimmen Sie, ob Sie an einigen Standorten zusätzliche Domänencontroller platzieren müssen, und stellen Sie diese Domänencontroller in derselben Weise im Standortdiagramm dar.
3. Stellen Sie sicher, dass in jeder Domäne mindestens zwei Domänencontroller vorhanden sind, indern Sie zusätzliche, am entsprechenden Standort benötigte Domänencontroller platzieren.
Der dritte Schritt beim Erstellen eines Standorttopologieplans ist das Definieren einer Replikationsstrategie. Um eine Replikationsstrategie zu definieren, müssen Sie die physische Konnektivität des Netzwerks der Organisation ermitteln, für jede Netzwerkverbindung eine Standortverknüpfungskonfiguration planen, außerdern planen, ob die transitive Eigenschaft einer Standortverknüpfung deaktiviert werden soll (falls erforderlich), und bevorzugte Bridgeheadserver einplanen (falls erforderlich).
● Erstellen eines Objekts
● Bearbeiten eines Objekts
● Verschieben eines Objekts
● Löschen eines Objekts
● Schema-NC. (Naming Context, NC): Enthält Objekte, die im Verzeichnis erstellt werden können, und die Attribute, die diese Objekte besitzen können. Objekte im Schema-NC müssen auf allen Domänencontrollem in allen Domänen der Gesamtstruktur repliziert werden.
● Konfigurations-NC. Enthält Objekte, die die logische Struktur der Bereitstellung darstellen, inklusive der Domänenstruktur sowie der Replikationstopologie. Objekte im Konfigurations-NC müssen auf allen Domänencontrollern in allen Domänen der Gesamtstruktur repliziert werden.
● Domänen-NC. Enthält alle Objekte in einer Domäne. Objekte im DomänenNC können nur auf innerhalb der Domäne liegenden Domänencontrollern repliziert werden. Zum Auffinden von Informationen innerhalb einer Domälamtstruktur wird ein Teilsatz der Eigenschaften aller Objekte in allen Domänen im globalen Katalog gespeichert.
Um CPU-Zeit zu sparen, werden die Replikationsdaten nicht komprimiert.
Um die Replikationslatenz zu reduzieren, benachrichtigen Replikationspartner sich gegenseitig, wenn Änderungen repliziert werden müssen, und senden dann Informationen zur Verarbeitung an den oder die jeweiligen Push-Partner.
Replikationspartner fragen sich gegenseitig in regelmäßigen Abständen ab.
Transportprotokoll
Remoteprozeduraufruf (RPC)
Um WAN-Bandbreite zu sparen, werden Replikationsdaten, die größer sind als 50 KB, kompriniert.
Um WAN-Bandbreite zu sparen, benachrichtigen Replikationspartner sich nicht geseitig, wenn Änderungen repliziert werden müssen.
Replikationspartner fragen sich gegenseitig in festgelegten Intervallen ab, jedoch nur während eingeplanter Zeiträume. Falls Aktualisierungen erforderlich sind, werden Operationen zur Abfrage der Informationen zur Verarbeitung geplant.
Transportprotokolle
IP oder SMTP
Standortverknüpfungen
Standortverknüpfungen sind logische, transitive Verbindungen zwischen mindestens zwei Standorten, die die Netzwerkverbindungen widerspiegeln und eine Replikation erlauben. Nachdem Sie die Standortverknüpfungen erstellt haben, wird über die KCC automatisch eine Standorttopologie mit geeigneten Verbindungsobjekten erstellt. Es ist wichtig, den Unterschied zwischen einer Standortverknüpfung und einem Verbindungsobjekt zu verstehen. Standortverknüpfungen werden von der KCC zur Festlegung des Replikationspfads zwischen zwei Standorten verwendet und müssen manuell erstellt werden. Verbindungsobjekte werden dienen der tatsächlichen Verbindung der Domänencontroller und werden über die KCC erstellt. Falls erforderlich, können Verbindungsobjekte auch manuell erstellt werden.
Standardmäßig sind alle Standortverknüpfungen transitiv, d. h., wenn Standort A und Standort B sowie Standort B und Standort C miteinander verknüpft sind, sind Standort A und Standort C transitiv miteinander verknüpft. Die transitive Eigenschaft einer Standortverknüpfung kann aktiviert oder deaktiviert werden, indern das Kontrollkästchen Brücke zwischen allen Standortverknüpfungen herstellen im Eigenschaftendialogfeld für den standortübergreifenden IP- oder SMTP-Transport aktiviert bzw. deaktiviert wird. Standardmäßig ist die transitive Eigenschaft der Standortverknüpfungen für beide Transportprotokolle aktiviert.
Wenn Sie die transitive Eigenschaften der Standortverknüpfungen für ein Transportprotokoll deaktivieren, betrifft dies alle Standortverknüpfungen für dieses Transportprotokoll. Sie müssen in diesem Fall manuelle Standortverknüpfungsbrücken erstellen, um eine transitive Replikation zu ermöglichen. Nachfolgend werden die Gründe aufgeführt, aus denen die Deaktivierung der transitiven Eigenschaft von Standortverknüpfungen möglicherweise wünschenswert ist:
● Sie benötigen vollständige Kontrolle über das Replikationsmuster
● Sie möchten einen bestimmten Replikationspfad nicht verwenden, beispielsweise einen Pfad, der eine Firewall beinhaltet
● Ihr IP-Netzwerk ist nicht vollständig routingfähig
Sie sollten die Anforderungen Ihrer Organisation genau prüfen, bevor Sie die transitive Eigenschaft von Standortverknüpfungen deaktivieren.
Eine Standortverknüpfungsbrücke verbindet mindestens zwei Standortverknüpfungen in einem Transport, bei dem die transitive Eigenschaft deaktiviert wurde, um eine transitive und logische Verbindung zwischen zwei Standorten ohne explizite Standortverknüpfung zu erstellen. In Abbildung 6.7 beispielsweise verbindet die Standortverknüpfung Ber-Lu die Standorte Bern und Luzern. Die Standortverknüpfung Lu-Zür verbindet die Standorte Luzem und Zürich. Die Standortverknüpfungsbrücke Ber-Lu-Zür verbindet die Standortverknüpfungen Ber-Lu und Lu-Zür.
Da Standortverknüpfungen standardmäßig transitiv sind, ist die Erstellung von Standortverknüpfungsbrücken nur selten erforderlich. Anders gesagt, wenn die transitive Eigenschaft einer Standortverknüpfung aktiviert ist, ist das manuelle Erstellen einer Standortverknüpfungsbrücke unnötig und hat keineriei Auswirkungen. Wenn die transitive Eigenschaft einer Standortverknüpfungjedoch deaktiviert wurde, muss eine manuelle Standortverknüpfungsbrücke erstellt werden, wenn eine transitive Verknüpfung zur Umsetzung der Replikationsstrategie Ihrer Organisation erforderlich ist.
Nachdem Sie die Standortverknüpfungen konfiguriert haben, wird über die KCC für jeden Standort und jeden standortübergreifenden Transport automatisch ein Domänencontroller als Bridgeheadserver festgelegt
Sie können einen bevorzugten Bridgeheadserver angeben, wenn Sie über einen Computer mit geeigneter Bandbreite zum Übertragen und Empfangen von Informationen verfügen. Wenn Sie anstelle eines durch die KCC zugewiesenen Bridgeheadservers einen bevorzugten Bridgeheadserver angeben, können Sie die optimalen Bedingungen für die Verbindung zwischen den Standorten angeben. Zur Zuweisung eines bevorzugten Bridgeheadservers wählen Sie das gewünschte Protokoll für den standortübergreifenden Transport auf der Registerkarte Server im Eigenschaftendialogfeld des Domänencontrollers aus, der als Bridgeheadserver fungieren soll. Sie können mehrere bevorzugte Bridgeheadserver angeben, innerhalb eines Standortes kann es jedoch immer nur einen aktiven bevorzugten Bridgeheadserver geben.
Achtung
Durch Angabe eines bevorzugten Bridgeheadservers mindern Sie die Fähigkeit der KCC, Failoverfunktionen bereitzustellen, falls der zugewiesene bevorzugte Bridgeheadserver ausfällt. Ist ein aktiver bevorzugter Bridgeheadserver nicht verfügbar, wählt Active Directory einen anderen der als bevorzugt angegebenen Bridgeheadserver aus. Sind keine weiteren bevorzugten Bridgeheadserver vorhanden oder verfügbar, findet für diesen Standort keine Replikation statt.
Die standortübergreifende Replikation läuft nach dem folgenden Muster ab (siehe auch Abbildung 6.8):
Beachten Sie, dass bei der standortübergreifenden Replikation zwischen den Bridgeheadservern nicht Benachrichtigung und Pushreplikation, sondern Abfrage und Pullreplikation verwendet werden. Für die standortübergreifende Replikation ist die Pullmethode die effizienteste, da der Zieldomänencontroller weiß, welche Replikationsdaten angefordert werden müssen. Die Replikation per Benachrichtigung und Pushmethode eignet sich besser für die standortinterne Replikation, da die Domänencontroller über gute Verbindungen verfügen und keinen Zeitplänen für die Standortverknüpfungen unterliegen.
1. Bewerten Sie die physische Konnektivität des Organisationsnetzwerks.
2. Planen Sie die Standortverknüpfungskonfiguration fürjede Netzwerkverbindung.
3. Planen Sie die Deaktivierung der transitiven Eigenschaft von Standortverknüpfungen (optional)
4. Planen Sie die bevorzugten Bridgeheadserver (optional).
Sie müssen für jede Standortverknüpfung die folgenden Informationen angeben: Standortverknüpfungsname, Methode des Replikationstransports, Standortverknüpfungskosten, Replikationshäufigkeit und Replikationsverfügbarkeit.
Wichtig
Wenn Sie sich für den SMTP-Transport entscheiden, müssen Sie eine Zertifizierungsstelle installieren und konfigurieren. Es muss eine Organisations CA (Certificate Authonty, Zertifizierungsstelle) verfügbar sein, und SMTP muss auf allen Domänencontrollern installiert sein, die die Standortverknüpfung verwenden. Die CA signiert die zwischen Domänencontrollem ausgetauschten SMTP-Meldungen und stellt so die Authentizität der Verzeichnisaktualisierungen sicher.
Sie sollten die transitive Eigenschaft einer Standortverknüpfung nur deaktivieren, wenn es unbedingt erforderlich ist, dass Sie die vollständige Kontrolle über die Replikationsmuster benötigen. Wenn Sie die transitive Eigenschaft einer Standortverknüpfung deaktivieren, müssen Sie Standortverknüpfungsbrücken zwischen den Standorten erstellen, die über eine transitive Verknüpfung verfügen sollen.
Die transitive Eigenschaft der Standortverknüpfungen ist in Windows 2000 standardmäßig aktiviert und nur dann deaktiviert werden sollte, wenn Sie unbedingt die volle Kontrolle über die Replikationsmuster benötigen.
Wenn Sie die transitive Eigenschaft einer Standortverknüpfung deaktivieren, müssen Sie Standortverknüpfungsbrücken zwischen den Standorten erstellen, die über eine transitive Verknüpfung verfügen sollen.
Der letzte Schritt beim Erstellen einer Standorttopologie stellt die Platzierung der globalen Katalogserver und Betriebsmaster dar.
Wie Sie wissen, ist ein globaler Katalogserver ein Microsoft Windows 2000-Domänencontroller mit einer Kopie des globalen Katalogs für die Gesamtstruktur. Ein globaler Katalogserver muss verfügbar sein, damit ein Benutzer sich an einer im einheitlichen Modus ausgeführten Windows 2000-Domäne anmelden kann, oder damit sich ein Benutzer mit dem UPN (User Principal Name) anmelden kann, da ein Domänencontroller im einheitlichen Modus eine Anforderung an einen globalen Katalogserver senden muss, um die Mitgliedschaft des Benutzers in universellen Gruppen abzufragen.
Wenn also während der Benutzeranmeldung kein globaler Katalogserver zur Verfügung steht, verweigert der Domänencontroller die Anmeldeanforderung. Aus diesem Grund sollten Sie die Platzierung der globalen Katalogserver sorgfältig planen.
Da sich einige Änderungen jedoch nur schwer im Multimastermodus vomehmen lassen, können von einzelnen oder mehreren Domänencontrollern Einzelmasteroperationen bzw. Operationen ausgeführt werden, die nicht an mehreren Stellen im Netzwerk gleichzeitig ausgeführt werden dürfen.
In einer Active Directory-Gesamtstruktur müssen fünf Betriebsmasterfunktionen vergeben werden.
Einige der Funktionen müssen injeder Gesamtstruktur vergeben werden. Andere Funktionen müssen in jeder Domäne der Gesamtstruktur zugewiesen werden.
Gesamtstrukturweite Betriebsmasterfunktionen
Der Schemamaster-Domänencontroller steuert alle Aktualisierungen und Änderungen in Bezug auf das Schema. Zur Aktualisierung des Gesamtstrukturschemas benötigen Sie Zugriff auf den Schemamaster. Es darf immer nur ein Schemamaster in der Gesamtstruktur vorhanden sein.
Der Domänencontroller mit der Funktion des Domänennamenmasters steuert das Hinzufügen oder Entfernen von Domänen in der Gesamtstruktur. Es darf immer nur ein Domänennamenmaster in der Gesamtstruktur vorhanden sein.
Der RID-Master weistjedem der Domänencontroller in der zugehörigen Domäne relative Kennungen (Relative IDs, RIDs) zu. Sobald ein Domänencontroller ein Benutzer-, Gruppen- oder Computerobjekt erstellt, weist der Domänencontroller diesem Objekt eine eindeutige Sicherheitskennung zu. Die Sicherheitskennung (Security Identifier, SID) enthält eine Domänenkennung (die für sämtliche SIDs einer bestimmten Domäne verwendet wird) sowie einen relativen Bezeichner, der für jede in der Domäne erstellte SID eindeutig ist. In jeder Domäne einer Gesamtstruktur darf nur ein RID-Master vorhanden sein.
Wenn die Domäne Computer umfasst, auf denen keine Windows 2000-Clientsoftware ausgeführt wird, oder wenn die Domäne Windows NT-Sicherungsdomänencontroller (Backup Domain Controller, BDCs) enthält, fungiert der PDC-Emulator als Windows NT-PDC. Dieser verarbeitet Kennwortänderungen auf Clients und repliziert Aktualisierungen auf den BDCs. In einer Windows 2000-Domäne, die im einheitlichen Modus betrieben wird, empfängt der PDC-Emulator bevorzugt Replikationen von Kennwortänderungen, die von anderen Domänencontrollem in der Domäne durchgeführt wurden. Wird ein Kennwort geändert, vergeht etwas Zeit, bevor das Kennwort auf allen Domänencontrollem der Domäne repliziert wird. Schlägt in dieser Zeit eine Anmeldeauthentifizierung auf einem anderen Domänencontroller aufgrund eines falschen Kennwortes fehl, leitet der betreffende Domänencontroller die Authentifizierungsanforderung an den PDC-Emulator weiter, bevor die Anmeldung verweigert wird. In jeder Domäne einer Gesamtstruktur darf nur ein PCD-Emulator vorhanden sein.
Der Infrastrukturmaster ist für die Aktualisierung der Sicherheitskennungen und definierten Namen von domänenübergreifenden Objektverweisen zuständig, wenn sich der Name eines Objekts ändert. In jeder Domäne darf nur ein Domänencontroller als Infrastrukturmaster fungieren.
In Abbildung 6.10 wird dargestellt, wie die Betriebsmasterfunktionen standardmäßig in der Gesamtstruktur verteilt sind.
Domäne A wurde als erste Domäne in der Gesamtstruktur erstellt (als Stammdomäne der Gesamtstruktur). Diese enthält beide der gesamtstrukturweiten Betriebsmasterfunktionen. Der erste Domänencontroller in jeder weiteren Domäne erhält drei domänenspezifische Funktionen.
1. Ermitteln Sie die Domänencontroller.
2. Legen Sie die Position der globalen Katalogserver für die Organisation fest.
3. Legen Sie die Position der Betriebsmaster für die Organisation fest.
Zur Platzierung der globalen Katalogserver und Betriebsmaster müssen Sie zunächst das Standortdiagramm mit den Domänencontrollern und Standortverknüpfungen heranziehen, das zuvor von Ihrem Designteam erstellt wurde, um die für das Netzwerk definierten Netzwerkverbindungen, Standorte, Domänencontroller und Standortverknüpfungen anzuzeigen. Anhand dieses Diagramms können Sie festlegen, welche Domänencontroller als globale Katalogserver und Betriebsmaster eingesetzt werden sollen.
Für optimale Netzwerkantwortzeiten und Anwendungsverfügbarkeit sollte pro Standort mindestens ein Domänencontroller als globaler Katalogserver eingesetzt werden.
Falls Ihre Organisation Microsoft Exchange 2000 verwendet, sollten Sie versuchen, an jedem Standort einen globalen Katalogserver zu platzieren, an dem sich ein Exchange-Server befindet. Dies sollten Sie tun, da Exchange 2000 Active Directory als Verzeichnisdienst verwendet und alle Mailboxnamen durch Active Directory-Abfragen an den globalen Katalogserver aufgelöst werden. In einer umfangreichen Exchange-Umgebung müssen die globalen Katalogserver unter Umständen sehr viele Abfragen verarbeiten, daher wird durch einen globalen Katalogserver pro Standort mit Exchange-Server sichergestellt, dass alle Ab'ragen schnell verarbeitet werden.
Um die Anzahl der erforderlichen globalen Katalogserver zu bestimmen, können Sie Active Directory Sizer verwenden, ein Tool zum Einschätzen der zum Bereitstellen von Active Directory erforderlichen Hardware unter Berücksichtigung des Organisationsprofils, der Domäneninformationen und der Standorttopologie. Weitere Informationen zu Active Directory Sizer finden Sie unter http://www.microsoft.com/windowslOOO/library/resources/reskit/tools/new/adsizero.asp.
In einer kleinen Active Directory-Gesamtstruktur mit nur einer Domäne und einem Domänencontroller weisen Sie dem Domänencontroller alle Betriebsmasterfunktionen zu.
Die standardmäßige Verteilung der Betriebsmasterfunktionen funktioniert besonders gut in Gesamtstrukturen, die sich an einem einzigen Standort befinden und nur wenige Domänencontroller aufweisen. In einer Gesamtstruktur mit vielen Domänencontrollem oder in einer Gesamtstruktur, die sich über mehrere Standorte erstreckt, muss die standardmäßige Verteilung der Betriebsmasterfunktionen möglicherweise geändert und auf andere Domänencontroller in der Domäne oder Gesamtstruktur übertragen werden.
● Bei Domänen, die nur einen Domänencontroller besitzen, Übernimmt dieser alle domänenbezogenen Funktionen.
● Verfügt eine Domäne über mehr als einen Domänencontroller, gehen Sie folgendermaßen vor:
● Wählen Sie zwei Domänencontroller mit guter Verbindung, bei denen es sich um direkte Replikationspartner handelt. Machen Sie einen der Domänencontroller zum Betriebsmaster-DC. Der andere Domänencontroller wird als Standby-Betriebsmaster eingerichtet. Der StandbyBetriebsmaster wird eingesetzt, wenn der als Betriebsmaster fungierende Domänencontroller ausfallen sollte.
● In kleineren Domänen weisen Sie dem Betriebsmaster-DC sowohl die Funktion des RID-Masters als auch die Funktion des PDC-Emulators zu. In einer sehr großen Domäne können Sie die Datenlast für den PDCEmulator verringern, indern Sie RID-Master und PDC-Master auf getrennte Domänencontroller verteilen, die beide direkte Replikationspartner des Standby-Betriebsmaster-DCs sind. Da sich jedoch der Verwaltungsaufwand durch die Trennung dieser Funktionen erhöht, sollten Sie diese nur mf zwei Computer verteilen, wenn dies durch eine sehr große Datenlast für den Betriebsmaster-DC gerechtfertigt ist.
● Die Funktion des Infrastrukturmasters sollte nicht dem Domänencontroller zugewiesen werden, der den globalen Katalog speichert. Sie sollten die Infrastrukturmasterfunktion jedoch einem Domänencontroller zuweisen, der eine gute Verbindung zum globalen Katalog (einer beliebigen Domäne) am selben Standort hat.
Die Funktionen von Schemamaster und Domänennamenmaster sollten immer einem Domänencontroller zugewiesen werden, der als globaler Katalogserver eingesetzt wird. Auf diese Weise wird sichergestellt, dass bei der Erstellung eines neuen Domänenobjekts durch den Domänennamenmaster kein anderes Objekt über denselben Namen verfügt. Die Datenlast, die durch diese Betriebsmasterfunktionen entsteht, ist nur sehr gering, daher sollten diese Funktionen zur Vereinfachung der Verwaltung dem Betriebsmaster-DC einer der Domänen in der Gesamtstruktur zugewiesen werden.
Anmerkung
Nachdem Sie dem Standortdiagramm, in dem bereits alle Standorte, Domänencontroller und Standortverknüpfungen eingetragen sind, alle globalen Katalogserver und Betriebsmaster hinzugefügt haben, verfügen Sie über ein vollständiges Standorttopologiediagramm.
Verwenden Sie das Tool Active Directory Sizer mit Vorsicht. Da Active Directory Sizer nur die Anzahl der benötigten Domänencontroller für Anmeldung, Authentifizierung und Replikation der Organisation berechnet, kann mit diesem Tool nicht die beste Platzierung redundanter Domänencontroller fürjeden Standort ermittelt werden.
● Domänenaktualisierung
● Domänenumstrukturierung
Eine Domänenaktualisierung ist der Prozess, eine vorhandene Windows NTDomänenstruktur sowie ihre Benutzer und Gruppen intakt in einer Windows 2000 DNS-basierten Domänenhierarchie zu installieren. Wie dargestellt in Abbildung 7.1.
Eine Domänenaktualisierung ist die einfachste Form der Migration auf Windows 2000 Server und wird auch „ersetzende Aktualisierung“ (In-Place Upgrade) oder nur „Aktualisierung“ genannt.
Wenn Sie zur Migration einer vorhandenen Windows NT-Bereitstellung die Methode einer Domänenaktualisierung wählen, werden folgende Elemente beibehalten:
● Gruppen, Benutzerkonten und Kennwörter
● Der Zugriff auf Windows NT-Domänen mit Hilfe vorhandener Windows NT- Vertrauensbeziehungen
● Der Zugriff auf Windows NT-Server, Windows 95- und Windows 98-Clients
Eine Domänenumstrukturierung ist eine Umgestaltung der Windows NT Domänenstruktur führt. siehe Abbildung 7.2.
Eine Domänenumstrukturierung migriert die vorhandene Windows NT-Umgebung unter Verwendung einer unveränderten Kopie auf eine reine Windows 2000-Gesamtstruktur. Als reine Gesamtstruktur wird eine ideale Windows 2000-Gesamtstruktur bezeichnet, in der die Windows 2000-Produktionsumgebung isoliert ist und im einheitlichen Modus betrieben wird.
Eine Domänenumstrukturierung umfassst verschiedene Schritte:
1. Erstellen einer reinen Gesamtstruktur.
2. Einrichten von Vertrauensstellungen zwischen der Windows 2000-Zieldomäne und den vorhandenen Windows NT-Ressourcendomänen. Auf diese Weise wird sichergestellt, dass auch während der Umstrukturierung auf die Ressourcen in den Ressourcendomänen zugegriffen werden kann.
3. Klonen von globalen und gemeinsamen lokalen Windows NT-Gruppen in die reine Gesamtstruktur.
4. Klonen von Benutzerkonten in die reine Gesamtstruktur.
5. Verschieben von Computerkonten in die reine Gesamtstruktur.
6. Nach ausführlichen Tests und eventuellen Umgestaltungen kann die Windows NT-Domäne aufgegeben werden.
Das Active Directory-Migrationsprogramm (Active Directory Migration Tool, ADMT) dient der Migration vorhandener Windows NT 4.0- und früherer Domänen auf Windows 2000. Es kann auch zum Konsolidieren mehrerer Windows 2000-Domänen (aus derselben Gesamtstruktur oder verschiedenen Gesamtstrukturen) zu einer einzigen Domäne eingesetzt werden. ADMT ermöglicht Ihnen, die Migrationseinstellungen zu testen und die Wirkung der Migration durch vor und nach dem Migrationsprozess durchgeführte Analysen zu überprüfen.
Zur Unterstützung während des Migrationsprozesses stellt ADMT folgende Assistenten bereit:
● Mit dem Benutzermigrations-Assistenten können Sie Benutzerkonten ermitteln und migrieren sowie eine Migration servergespeicherter Profile durchführen
● Mit dem Gruppenmigrations-Assistenten können Sie globale und freigegebene lokale Gruppen ermitteln und migrieren
● Der Computermigrations-Assistent unterstützt Sie bei der Ermittlung und Migration von Arbeitsstationen und Mitgliedsservern
● Der Sicherheitskonvertierungs-Assistent wird zum Migrieren lokaler Profile und zum Aktualisieren von Benutzerrechten für Dienstkonten eingesetzt
● Mit dem Berichts-Assistenten können Sie Migrationsberichte erstellen
● Der Assistent zum Migrieren von Exchange-Verzeichnissen wird nach der Benutzermigration zur Aktualisierung von Exchange eingesetzt
● Mit dem Assistenten zum Rückgängigmachen der Migration können Sie den letzten Migrationsvorgang rückgängig machen
● Über den Assistenten zum Migrieren der Vertrauensstellung können Sie Vertrauensstellungen zwischen Domänen einrichten
● Der Assistent zum Zuordnungen und Zusammenführen von Gruppen unterstützt Sie bei der Zuordnung einer Gruppe in der Quelldomäne zu einer abweichenden Gruppe in der Zieldomäne
Das Active Directory-Migrationsprogramm wird zusammen mit der Umstrukturierungsmethode eingesetzt. Zur Verwendung von ADMT entwerfen und erstellen Sie zunächst eine separat von Ihrer vorhandenen Domänenstruktur vorliegende, reine Windows 2000-Gesamtstruktur. Anschließend migrieren Sie mit Hilfe des Active Directory-Migrationsprogramms in mehreren Schritten die Benutzerkonten, Gruppen und Computerkonten Ihrer Produktionsumgebung auf die neue Windows 2000-Gesamtstruktur.
Bei der Migration der Objekte von den Computern einer Quelldomäne auf eine Zieldomäne installiert ADMT Dienste, so genannte Agenten, auf den Quellcomputern. Diese Agenten werden von dem Computer bereitgestellt, auf dem ADMT ausgeführt wird, und unter Verwendung der Sicherheitsinformationen des Benutzerkontos zur Ausführung von ADMT auf weiteren Computem installiert. Nach der Installation werden die Agenten unter Verwendung der lokalen Systemsicherheitsinformationen als Dienste ausgeführt. Es ist nicht erforderlich, die Software vor der Migration auf den Quellcomputern zu laden.
Sie können das Active Directory-Migrationsprogramm von der MicrosoftWebsite herunterladen. Weitere Informationen zu ADMT finden Sie unter http://www.microsoft.com/wmdows2000/library/planning/activedirectory/admt.asp.
Weitere Informationen finden Sie in Microsoft Windows 2000 Server Die technische Referenz: Einsatzplanung.
1. Ermitteln Sie die Migrationsziele der Organisation.
2. Legen Sie die Migrationsmethode(n) fest.
3. Planen Sie die Migrationsschritte.
4. Planen Sie die Konsolidierung von Ressourcendomänen in OUs, falls anwendbar.
Zur Ermittlung der Migrationsziele einer Organisation ziehen Sie zunächst die folgenden von Ihrem Designteam zusammengestellten Dokumente heran:
● Arbeitsblatt zur Windows NT-Domänenarchitektur. Untersuchen Sie die vorhandenen Windows NT-Domänen und Vertrauensstellungen und legen Sie fest, welche dieser in die Active Directory-Gesamtstruktur aufgenommen werden sollten. Untersuchen Sie die vorhandenen Windows NT-Domänencontroller und legen Sie Anzahl und Standort der zu aktualisierenden Domänencontroller fest.
● Arbeitsblatt zur DNS-Umgebung. Untersuchen Sie den vorhandenen DNS-Namespace und entscheiden Sie, ob dieser in Active Directory eingeschlossen werden sollte.
Wählen Sie die Methode der Domänenaktualisierung, wenn beide der folgenden Aussagen zutreffen:
● Die aktuelle Windows NT-Domänenstruktur funktioniert gut.
● Die aktuelle Produktionsumgebung kann mögliche negative Auswirkungen des Migrationsprozesses auffangen.
Wählen Sie die Methode der Domänenumstrukturierung, wenn eine der folgenden Aussagen zutrifft:
● Die aktuelle Windows NT-Domänenstruktur funktioniert nicht optimal, auch einige einfache Änderungen würden keine Abhilfe schaffen.
● Die aktuelle Produktionsumgebung kann mögliche negative Auswirkungen des Migrationsprozesses nicht auffangen.
Wählen Sie die Methode der Domänenumstrukturierung, wenn beide der folgenden Aussagen zutreffen:
● Die aktuelle Windows NT-Domänenstruktur würde nach einigen einfachen Änderungen optimal funktionieren.
● Die aktuelle Produktionsumgebung kann mögliche negative Auswirkungen des Migrationsprozesses auffangen.
Je nach gewählter Migrationsmethode müssen Sie Folgendes planen:
● Die Domänenaktualisierung
● Die Domänenumstrukturierung
● Die Konsolidierung von Ressourcendomänen in OUs
Wichtig Vor der Planung einer Domänenaktualisierung müssen Sie das Design IhrerActive Directory-Infrastruktur abschließen, d. h., Sie müssen über einen Gesamtstrukturplan, einen Domänen● und OU-Plan sowie einen Plan der Standorttopologie erarbeitet haben, wie in den Kapiteln 3 bis 6 beschrieben.
Ein Plan für die Wiederherstellung verhindert unbeabsichtigte Datenverluste während des Aktualisierungsprozesses. Ein Wiederherstellungsplan beinhaltet folgende Schritte:
1. Stellen Sie sicher, dass jede Windows NT-Domäne über mindestens einen BDC (Backup Domain Controller, Sicherungsdomänencontroller) verfügt. Sollte die Aktualisierung des primären Domänencontrollers (PDC) fehlschlagen, kann der BDC heraufgestuft werden und anstelle des ursprünglichen PDC für die Domäne eingesetzt werden. Mit Hilfe eines Sicherungsdomänencontrollers können Sie außerdern sicherstellen, dass nach der Aktualisierung das ursprüngliche Windows NT-Domänensystem gegebenenfalls wiederhergestellt werden kann.
2. Erstellen Sie Sicherungen der Netzwerkdienste. Werden z. B. Datei- und Druckdienste wie DHCP oder WINS auf dem PDC oder den BDCs ausgeführt, erstellen Sie Sicherungen dieser Dienste und testen Sie die Sicherungen.
3. Richten Sie einen Ersatz-BDC ein. Richten Sie den Ersatz-BDC ein, synchronisieren Sie ihn mit dem PDC und nehmen Sie ihn während der Aktualisierung vom Netz!!! Auf diese Weise erhalten Sie ein Abbild (Image) der Windows NT-Domäneninformationen vor der PDC-Aktualisierung.
4. Synchronisieren Sie alle BDCs mit dem PDC. Erzwingen Sie eine Synchronisierung aller BDCs mit dem PDC. Dies gilt auch für den Ersatz-BDC. Vergewissern Sie sich, dass alle BDCs über aktuelle Domäneninformationen verfügen und dass alle Informationen repliziert wurden.
5. Nehmen Sie den Ersatz-BDC vom Netz und stellen Sie ihn einem gesicherten Bereich auf. Auf diese Weise wird gewährleistet, dass das Abbild der Windows-NT-Domäneninformationen an einem sicheren Ort gespeichert ist.
6. Führen Sie eine vollständige Sicherung durch. Sichern Sie die domänenbasierten Informationen unmittelbar vor der PDC-Aktualisierung.
Aktualisieren Sie die Domänen möglichst in der folgenden Reihenfolge:
1. Stammdomäne der Gesamtstruktur. Wenn eine Windows NT-Domäne zur Stammdomäne der Gesamtstruktur werden soll, sollte diese Domäne als erste aktualisiert werden.
Anmerkung: Bei der Stammdomäne der Gesamtstruktur muss es sich nicht um eine aktualisierte Windows NT-Domäne handeln. Die aktualisierten Windows NT-Domänen können auch einer vorhandenen Windows 2000Stammdomäne der Gesamtstruktur beitreten.
2. Kleine Kontendomänen. Durch das frühe Aktualisieren kleiner Kontendomänen können die Benutzer umgehend die Vorteile von Windows 2000 nutzen. Gleichzeitig können Sie anhand einer kleinen Benutzerzahl die Auswirkungen der Aktualisierung beobachten. Nach der Aktualisierung einer kleinen Kontendomäne können Sie die Auswirkungen der Aktualisierung auf die Benutzer einschätzen und eventuell den Aktualisierungsvorgang für die verbleibenden Domänen durch Korrekturmaßnahmen optimieren.
3. Größere Kontendomänen und übrige Kontendomänen. Durch eine Aktualisierung der größeren Kontendomänen nach denen kleinerer Domänen können die Benutzer die Funktionen von Windows 2000 bereits früh in vollem Umfang nutzen und Sie haben die Möglichkeit, die bei der Aktualisierung der kleineren Domänen gemachten Erfahrungen im weiteren Aktualisierungsprozess zu Ihrem Vorteil zu nutzen.
Anmerkung: Führen Sie die Schritte 4 und 5 aus, wenn Sie eine Aktualisierung der Ressourcendomänen vomehmen möchten. Wenn Sie die vorhandenen Ressourcendomänen in OUs konsolidieren möchten, finden Sie weitere Informationen im Abschnitt ‑Planen der Konsolidierung von Ressourcendomänen in OUs'
4. Ressourcendomänen, für die die Windows 2000-Plattform oder deren Funktionen erforderlich ist/sind. Durch das Aktualisieren der Ressourcendomänen können Sie die Vorteile neuer Anwendungen wie beispielsweise Microsoft IntelliMirror oder die Remoteinstallationsfunktion für Betriebssysterne nutzen.
5. Verbleibende Ressourcendomänen. Wenn die Ressourcendomänen konsolidiert werden sollen, aktualisieren Sie diejenigen Domänen, die Sie zuvor als Zieldomänen festgelegt haben. Zur Domänenkonsolidierung ist eine Zieldomäne erforderlich. Aktualisieren Sie anschließend die verbleibenden Ressourcendomänen, die in den Zieldomänen konsolidiert werden sollen.
Anmerkung: Es ist nicht erforderlich, vor der Aktualisierung der Ressourcendomänen alle Kontendomänen zu aktualisieren.
Aktualisieren Sie die Domänencontroller möglichst in der folgenden Reihenfolge:
1. Der PDC in der ersten zu aktualisierenden Domäne.
2. Die BDCs in der ersten zu aktualisierenden Domäne, ausgenommen der Reserve-BDC.
3. Der PDC in der zweiten zu aktualisierenden Domäne.
4. Die BDCs in der zweiten zu aktualisierenden Domäne, ausgenommen der Reserve-BDC.
5. Fahren Sie für alle weiteren zu aktualisierenden Domänen mit der Aktualisierung der PDCs und BDCs wie angegeben fort.
● Es stehen universelle Gruppen und lokale Domänengruppen zur Verfügung; eine Gruppenverschachtelung ist ebenfalls möglich.
● Zwischen allen Domänencontrollem wird die Active Directory-Multimasterreplikation aktiviert, d. h. es fungiert nicht länger nur der Domänencontroller als PDC-Emulator.
● Zur Erhaltung eines BDC in der Domäne. Einige Anwendungen können nur auf einem Windows NT-BDC ausgeführt werden, beispielsweise Anwendungen, die keine Durchsatzauthentifizierung unterstützen.
● Aufgrund der Multimaster-Verzeichnisaktualisierungsfähigkeit unter Windows 2000 ist für die Domänencontroller eine sichere physische Umgebung erforderlich. Die Singlemaster-Verzeichnisaktualisierung unter Windows NT erfordert keine besondere sichere physische Umgebung für BDCs (nur für die PDCs ist dies nötig).
Die Erhaltung mindestens eines Sicherungsdomänencontrollers in der Domäne und der Betrieb im gemischten Modus ermöglichen eine Rückkehr zu Windows NT.
Da bei einer Domänenumstrukturierung die vorhandene Windows NT-Umgebung unter Verwendung einer unveränderlichen Kopie auf eine reine Windows 2000-Gesamtstruktur migriert wird, liegen anschließend sowohl unter Windows NT als auch unter Windows 2000 Domänenkonten vor. Die Windows NT-Umgebung kann beibehalten werden, bis sie endgültig außer Betrieb genommen wird. Daher ist eine Rückkehr zum Windows NT-System jederzeit möglich, ein Plan zur Wiederherstellung ist nicht erforderlich.
Je nach Organisationsanforderungen können Sie eine Domänenumstrukturierung nach drei Mustern vomehmen:
● Nach einer Domänenaktualisierung.
Der beste Zeitpunkt für eine Domänenumstrukturierung ist nach einer Domänenaktualisierung.
● Anstelle einer Domänenaktualisierung.
Eine Umstrukturierung dieser Art erfordert den Entwurf einer reinen Gesamtstruktur und eine anschließende, nach und nach vorgenommen Migration der Benutzer, Gruppen und Ressourcen in die Gesamtstruktur, um den normalen Betriebsablauf einer Organisation nicht zu stören. Nach dem erfolgreichen Abschluss der Migration wird die umstrukturierte Umgebung zur neuen Produktionsumgebung.
● Nach einer Migration
In Situationen, in denen die aktuelle Windows 2000-Domänenstruktur nicht mehr geeignet ist,
beispielsweise nach Änderungen innerhalb der Organisation oder nach einer UnternehmensÜbernahme, ist möglicherweise eine Domänenumstrukturierung erforderlich. Derartige Situationen können Monate oder Jahre nach der eigentlichen Migration von Windows NT auftreten und erfordern möglicherweise eine Umstrukturierung der Domänen oder des kompletten Designs einer reinen Gesamtstruktur.
Für den Entwurf einer reinen Gesamtstruktur müssen Sie zunächst genauso vorgehen wie beim Entwurf einer Active Directory-Infrastruktur, d. h., Sie benötigen einen Gesamtstrukturplan, einen Domänen- und einen OU-Plan sowie einen Plan für die Standorttopologie, wie beschrieben in den Kapiteln 3 bis 6. Nach der Erstellung der reinen Gesamtstruktur wechseln Sie in den einheitlichen Domänenmodus.
Um sicherzustellen, dass die Benutzer während der Umstrukturierung weiterhin auf die Ressourcen in den Ressourcendomänen zugreifen können, müssen Sie ermitteln, welche expliziten, einseitigen, nicht transitiven Vertrauensstellungen zwischen den Windows NT-Ressourcendomänen und den Windows 2000-Domänen eingerichtet werden müssen, in die Sie die Benutzer verschieben. Diese Vertrauensstellungen sind auch für die Verwaltung der Windows NT-Quelldomäne von der Windows 2000-Domäne aus notwendig.
Um sicherzustellen, dass die Benutzer sich an der Windows 2000-Domäne anmelden und aufRessourcen in den Windows NT-Ressourcendomänen zugreifen können, müssen Sie unter Windows NT die zu verschiebenden globalen Gruppen und lokalen Domänengruppen ermitteln und deren neuen Standort in der reinen Gesamtstruktur festlegen. Da eine globale Gruppe nur Mitglieder der eigenen Domäne enthalten kann, werden beim Verschieben eines Benutzers aus der Windows NT-Domäne in die Windows 2000-Domäne auch die globalen Gruppen verschoben, in denen der Benutzer Mitglied ist. Genauso werden beim Verschieben einer globalen Gruppe von einer Windows NT-Domäne in die Windows 2000-Domäne auch die Mitglieder der globalen Gruppe verschoben.
Wie Sie wissen, können Sie für Windows NT-Domänen - basierend auf den Verwaltungsanforderungen - eines der vier Domänenmodelle wählen:
● Einzeldomänenmodell
● Einzelmasterdomänenmodell
● Multimasterdomänenmodell
● Vollständig vertrauendes Domänenmodell
Im EinzeldomänenmodeII sind alle Server, Benutzer und weitere Ressourcen in einer Domäne enthalten. Die Windows NT-Einzeldomäne wird mit Hilfe der Aktualisierungsmethode (In-Place Upgrade) migriert. Hierbei wird die Windows NT-Domäne in der neuen Windows 2000-Struktur einfach zur Stammdomäne der Gesamtstruktur umfunktioniert, wie dargestellt in Abbildung 7.3.
● Einen Plan für die Wiederherstellung
● Eine Strategie für die Aktualisierung der Domänencontroller
● Einen Plan für den Wechsel in den einheitlichen Modus
Beim Einzelmasterdomänenmodell werden alle Benutzerkonten und Gruppen zum Zweck einer zentralen Verwaltung in einer Masterdomäne platziert, der so genannten Kontendomäne. Alle Drucker und Server werden in weiteren Domänen platziert, den Ressourcendomänen. Benutzer mit Zugriffsrechten in der Kontendomäne (der vertrauten Domäne) können über einseitige, nicht transitive Vertrauensstellungen auf Ressourcen in den Ressourcendomänen (den vertrauenden Domänen) zugreifen.
Wenn die Domänen im Einzelmasterdomänenmodell mit Hilfe der Domänenaktualisierungsmethode migriert werden, wird die Masterkontendomäne in der neuen Windows 2000-Struktur zur Stammdomäne der Gesamtstruktur. Zu diesem Zeitpunkt wird die Stammdomäne der Gesamtstruktur im gemischten Windows 2000-Modus ausgeführt, die Ressourcendomänen werden weiterhin unter Windows NT betrieben, wie dargestellt in Abbildung 7.4. Funktionalität, Leistung und Sicherheit sind weiterhin gegeben:
● Die einseitigen, nicht transitiven Vertrauensstellungen zwischen der Masterdomäne und den Ressourcendomänen bleiben in Kraft.
● Die Clients im Netzwerk können sich unter Verwendung des Windows NTAnmeldedienstes weiterhin an der Masterdomäne anmelden.
● Zwischen dem neuen Domänencontroller und den Windows NT 4.0-BDCs in der Stammdomäne der Gesamtstruktur findet eine Einzelmasterreplikation statt.
● Der neue Domänencontroller wird von den Prä-Windows 2000-Clients als Windows NT 4.0-BDC erkannt.
Zur vollständigen Migration auf Windows 2000 können alle Ressourcendomänen mit Hilfe einer Aktualisierung migriert werden. Die Ressourcendomänen fungieren anschließend als untergeordnete Domänen der Stammdomäne der Gesamtstruktur, siehe Abbildung 7.5. Anschließend sollten die Ressourcendomänen in OUs konsolidiert werden, die dann dazu eingesetzt werden können, die Benutzer und Ressourcen innerhalb der Domänen zu organisieren.
● Einen Plan für die Wiederherstellung
● Eine Liste der zu aktualisierenden Domänen
● Eine Strategie für die Aktualisierung der Domänencontroller in jeder Domäne
● Eine Liste der Ressourcenstandorte unter Windows NT sowie eine Auflistung der OUs, in denen die Ressourcen konsolidiert werden sollen
● Eine Liste der Vertrauensstellungen an, die eingerichtet werden müssen, damit Benutzer außerhalb der Gesamtstruktur weiterhin auf die Ressourcen zugreifen können, wenn diese in den Ziel-OUs konsolidiert wurden
● Einen Plan für den Wechsel in den einheitlichen Modus
Das Multimasterdomänenmodell ähnelt dem Einzelmastermodell, nur dass hier die Benutzerkonten und Gruppen im Rahmen einer dezentralen Verwaltung in mehreren Masterkontendomänen angeordnet sind. Wie beim Einzelmastermodell können Benutzer mit Zugriffsrechten in den Kontendomänen über einseitige, nicht transitive Vertrauensstellungen auf die Ressourcen in den Ressourcendomänen zugreifen.
Wenn die Domänen im Multimasterdomänenmodell mit Hilfe der Aktualisierungsmethode migriert werden, kann eine der Masterkontendomänen oder eine neue, dedizierte Domäne zur Stammdomäne der Gesamtstruktur werden. Die verbleibenden Kontendomänen werden zu untergeordneten Domänen der Gesamtstruktur-Stammdomäne, die Ressourcendomänen werden zu Subdomänen der Kontendomänen. Anschließend sollten die Ressourcendomänen in OUs konsolidiert werden, um die Benutzer und Ressourcen innerhalb der Domänen zu organisieren. Abbildung 7.6 zeigt eine neue dedizierte Domäne als Stammdomäne der Gesamtstruktur, die Platzierung der Kontendomänen (sales.microsoft.com und development.microsoft.com) und die Platzierung der Ressourcendomänen (london.microsoft.com, chicago.microsoft.com und redmond.microsoft.com).
stimmt der Migrationsplan mit dem für das Einzelmasterdomänenmodell überein.
Das aus verschiedenen, unabhängig verwalteten, sich einander vertrauenden Domänen bestehende vollständig vertrauende Domänenmodell wird im Rahmen eines dezentralen Administrationsmodells eingesetzt und ist äußerst schwierig zu verwalten. Wenn die Domänen im vollständig vertrauenden Domänenmodell mit Hilfe der Aktualisierungsmethode migriert werden, kann eine der vorhandenen Domänen oder eine neue, dedizierte Domäne zur Stammdomäne der Gesamtstruktur werden. Die verbleibenden Domänen werden zu untergeordneten Domänen der Gesamtstruktur-Stammdomäne. Anschließend sollten die Domänen in OUs konsolidiert werden, um die Benutzer und Ressourcen innerhalb der Domänen zu organisieren. Abbildung 7.7 zeigt die Domäne, die zukünftig als Gesamtstruktur-Stammdomäne eingesetzt werden soll, sowie die Platzierung der verbleibenden Domänen.
stimmt der Migrationsplan mit dem für das Einzelmasterdomänenmodell überein.
Sie können eine Active Directory-Synchronisierung für die Verzeichnisdienste Microsoft Exchange Server 5.5, Novell NetWare Bindery oder Novell Directory Services (NDS) und weitere LDAP-fähige Verzeichnisdienste durchführen.
Wie Sie wissen, ist ein Verzeichnisdienst ein Netzwerkdienst, mit dem sämtliche Ressourcen in einem Netzwerk identifiziert und den Benutzem und Anwendungen zugänglich gemacht werden können. Es gibt viele Arten von Verzeichnisdiensten. Einige, z. B. Active Directory, wurden für den Netzwerkbetrieb entwickelt, andere werden zur Handhabung spezifischer Anwendungen eingesetzt, beispielsweise für E-Mail-Programme.
Als Verzeichnissynchronisierung wird die gemeinsame Nutzung von Daten durch zwei Verzeichnisdienste bezeichnet, sodass Änderungen, die in einem Verzeichnis an Objekten vorgenommen werden, automatisch an das andere Verzeichnis übermittelt werden. Wenn Daten zwischen Verzeichnisdiensten synchronisiert werden, ist die Systemverwaltung effizienter, weil es nicht mehr erforderlich ist, mehrere Verzeichnisse zu verwalten.
Active Directory kann derzeit mit folgenden Verzeichnisdiensten synchronisiert werden:
● Microsoft Exchange Server 5.5
● Novell NetWare Bindery oder NDS
● Andere LDAP-fähige Verzeichnisdienste
Anmerkung
Bei Exchange 2000 Server, der Nachfolgeversion von Exchange Server 5.5, wird der Exchange Server-Verzeichnisdienst nahtlos in Active Directory integriert, eine Synchronisierung ist nicht erforderlich.
Die Informationen werden ähnlich wie bei der Windows 2000-Replikation zwischen den Verzeichnisdiensten repliziert. Durch das Synchronisieren des Microsoft Exchange Server 5.5-Verzeichnisses mit Windows 2000 Server Active Directory können Sie Exchange Server zum anfänglichen Füllen eines neuen Active Directory-Verzeichnisses mit Benutzerattributen und Objekten verwenden.
Tool:
Zur Durchführung einer Synchronisierung zwischen Active Directory und Exchange Server 5.5 müssen Sie denActive Directory Connector (ADC) installieren. Die Installationsdateien für ADC befinden sich auf der Windows 2000 Server-CD im Ordner Valueadd\Msft\Mgmt\ADC. Nach der Installation von ADC können Sie mit dem Active Directory Connector so genannte Verbindmgsvereinbarungen definieren, über die festgelegt wird, wie die Synchronisierung verlaufen soll. Fürjede Verbindungsvereinbarung können Sie Folgendes festlegen:
● Die Richtung der Replikation: Wechselseitig, von Exchange nach Windows oder von Windows nach Exchange
● Die für die Replikation verwendete Authentifizierungsmethode
● Einen Zeitplan für die Replikation
● Die zu replizierenden Objekte
● Die Handhabung gelöschter Objekte bei der Replikation
Es wird empfohlen, nur eine primäre Verbindungsvereinbarung pro Synchronisierung zwischen Exchange Server und Active Directory einzurichten, um sicherzustellen, dass keine doppelten Objekte im Zielverzeichnis angelegt werden.
Für Organisationen, die Novell NetWare einsetzen, ist es unter Umständen bequemer und kosteneffektiver, bei der Einführung von Active Directory das vorhandene Novell-Verzeichnis weiterhin nutzen zu können. Wie bei der Synchronisierung mit Exchange Server werden auch bei der Synchronisierung von Novell NetWare Bindery oder einem NDS-Verzeichnis mit Active Directory beide Verzeichnisse in eigenen Informationsspeichem verwaltet, es findet keine Ersetzung des/der Verzeichnisse(s) statt. Die Informationen werden ähnlich wie bei der Windows 2000-Replikation zwischen den Verzeichnisdiensten repliziert.
Tool:
Damit Benutzer von Novell-Verzeichnisdiensten eine Synchronisierung durchführen können, hat Microsoft den MSDSS-Dienst (Microsoft Directory Synchronization Services) entwickelt, der zum Lieferumfang der Services for NetWare, Version 5 (SFNW5) gehört. MSDSS wird unter Verwendung eines MMC-Snap-Ins (Microsoft Management Console) verwendet und unterstützt die Active Directory-Synchronisierung mit folgenden Novell-Verzeichnisdiensten:
● NDS für Novell NetWare 4,4.1, 4.11,4.2, 5, 5 mit NDS 8 und 5.1
● Bindery für Novell NetWare 3.1, 3.11, 3.12 und 3.2 sowie NetWare 4.x, konfiguriert im Bindery-Emulationsmodus
Bei Verwendung von MSDSS können Sie zwischen einer einseitigen oder einer wechselseitigen Synchronisierung wählen, nachdem Sie eine Synchronisierungssitzung für ein Containerpaar eingerichtet haben. Die einseitige Synchronisierung steht für Bindery oder NDS zur Verfügung und ermöglicht Ihnen das Verwalten von Objekten in beiden Verzeichnissen vonActive Directory aus. Die wechselseitige Synchronisierung ist nur für NDS verfügbar und ermöglicht Ihnen das Verwalten freigegebener Daten, z. B. Benutzerkonteninformationen, von beiden Verzeichnissen aus.
Ausschließlich bei NDS ordnet der MSDSS-Dienst Novell-OUs und Strukturen Active Directory-OUs zu. Darüber hinaus bietet die MSDSS-Synchronisierung nur für NDS eine optionale benutzerdefinierte Objektzuordnung, mit denen Sie Objekte in sich nicht ähnlichen Verzeichnisstrukturen einander zugeordnet werden können.
Statt einer Synchronisierung mit Active Directory kann auch eine Migration der Novell Bindery oder NDS-Verzeichnisse aufActive Directory durchgeführt werden.
Tools:
MSDSS und das Microsoft-Dienstprogramm FMU (File Migration Utility, Dienstprogramm zur Dateimigration, ebenfalls im Lieferumfang von SFNW5 enthalten), ermöglichen eine Migration Ihrer Novell Bindery oder NDS-Verzeichnisse aufActive Directory sowie eine Migration des aktuellen Dateisystems auf das Windows 2000-NTFS 5-Dateisystem (NTFS5). Das Dienstprogramm FMU unterstützt die Migration der folgenden Novell-Verzeichnisdienste:
● NDS für Novell NetWare 4.2, 5 und 5.1
● Bindery für Novell NetWare 3.12
Anmerkung
Die Migration mit MSDSS ermöglicht Ihnen eine automatische Migration von Bindery- oder NDS-Verzeichnisobjekten, die große Mengen von Informationen speichern und die wichtigsten Informationen enthalten, z. B. Benutzerkonten, Gruppen, Verteilerlisten (sowohl für Bindery als auch für NDS) sowie OUs und Strukturen (nur NDS). Alle weiteren Objektklassen, beispielsweise Computerkonten, Druckerobjekte, Anwendungsobjekte und Objektsicherheitsberechtigungen, müssen manuell migriert werden.
Durch den gemeinsamen Einsatz von FMU (File Migration Utility) und MSDSS können Sie alle Bereiche der NetWare-Ordner und -Dateien auf einen oder mehrere Windows 2000-basierte Dateiserver migrieren. Die NetWare-Struktur sowie vorhandene Rechte und Berechtigungen werden im Windows 2000-Dateisystem, NTFS 5 (NTFS5), beibehalten.
Weitere Informationen Lesen Sie die Whitepapers ‑MSDSS Deployment: Sie finden diese Whitepapers auf der Kursmaterialien-CD (\chapt07\MSDSS und \chapt07\MSDSSimp).
In diesem Rahmen kann beispielsweise die Synchronisierung von mehr als zwei Verzeichnisdiensten, eine auf Geschäftsregeln basierte Verarbeitung oder die Integration von Namespaces zur Verwaltung von Objekten und Attributen über mehrere isolierte Datenspeicher hinweg erforderlich sein. Für diese Organisationen gibt es die Microsoft Metadirectory Services (MMS), die im Rahmen eines Servicevertrages von den Microsoft Consulting Services (MCS) bereitgestellt werden.
MMS ermöglicht die Integration von Personen- und Verzeichnisdaten aus mehreren Datenbanken mit Active Directory.
MMS ermöglicht die Informationsintegration für Plattformen wie Microsoft Windows 2000, Microsoft Active Directory, Microsoft Windows NT, Microsoft Exchange, Lotus Notes, Domino, cc: Mail, Novell NDS, Bindery, GroupWise, Netscape Directory und MetaDirectory Server, ISOCOR MetaConnect und X.500, verschiedene ODBC/SQL-Datenbanken und weitere Systerne.
Weitere Informationen Weitere Informationen zum Einsatz von MMS finden Sie im Whitepaper ‑Microsoft Metadirectory Services- auf der Kursmaterialien-CD (\chapt07\metadire)
1. Analysieren Sie die aktuelle Windows 2000-Domänenstruktur sowie die Exchange Server-Standorttopologie.
2. Ordnen Sie die Exchange Server-Container Active Directory-Domänen und OUs zu.
3. Definieren Sie die zu synchronisierenden Objekte.
4. Ordnen Sie die Exchange Server-Attribute Active Directory-Attributen zu.
5. Legen Sie die Active Directory Connector-Standorte fest.
6. Definieren Sie die Verbindungsvereinbarungen, die zur Synchronisierung der Verzeichnisse benötigt werden.
7. Konfigurieren Sie die Verbindungsvereinbamngen.
Zur Synchronisierung der Exchange Server 5.5-Verzeichnisdienste mit Windows 2000 ServerActive Directory müssen Sie sich zunächst mit den in Ihrer Organisation vorhandenen Exchange Server- und Windows 2000-Strukturen vertraut machen. Im Falle von Exchange Server müssen Sie die Anzahl der Standorte sowie die Verwaltungsform der Standorte ermitteln und entscheiden, ob derjeweilige Standort mitActive Directory synchronisiert werden soll. Für die zu synchronisierenden Exchange Server-Standorte müssen Sie außerdern die zu synchronisierenden Objekte sowie den Zielcontainer für die Synchronisierung festlegen.
Zuordnen von Exchange Server-Containern zu Active Directory-Domänen und OUs
Durch das Zuordnen der Exchange Server-Standorte und -Container zu Active Directory-Domänen und -OUs erstellen Sie einen logischen Pfad, über den die Objekte zwischen den Verzeichnissen „wandern“ können. Jede erstellte Verbindungsvereinbarung basiert auf diesen Pfaden. Ein Exchange-Container kann mehreren Active Directory-OUs, eine Active Directory-OU kann mehreren Exchange-Containem zugeordnet werden.
Definieren der zu synchronisierenden Verzeichnisobjekte
Zur Definition der zu synchronisierenden Objekte müssen Sie ermitteln, welche Objekte und Container für eine Synchronisierung in Frage kommen. Anschließend legen Sie fest, wie diese Objekte im Zielcontainer gespeichert werden sollen.
Zuordnen von Exchange Server-Attributen zu Active Directory-Attributen
Sie können Exchange Server-Attribute vorhandenen Active Directory-Attributen oder neuen, benutzerdefinierten Attributen zuordnen. Die Attributzuordnung wird durch Einstellungen für das ADC-Gruppenrichtlinienobjekt in Active Directory gesteuert. Folgende Objektattribute können nicht synchronisiert werden: die erweiterten Sicherheitseinstellungen in Exchange und den Zugriffssteuerungslisten (Access Control Lists, ACLs) von Exchange und Active Directory.
Festlegen der Active Directory Connector-Standorte
Für die Installation von ADC müssen mindestens ein Windows 2000-Server, eine Active Directory-Domäne sowie ein Exchange Server-Standort und ein Exchange Server 5.5 mit Service Pack 3 oder höher vorhanden sein.
Sie sollten außerdern einplanen, wie viele ADC-Server zur Datenreplikation erforderlich sind. Zur Vermeidung von ADC-Datenverkehr über das WAN sollte ein separater Active Directory Connector fürjeden Standort in allen Active Directory-Domänen konfiguriert werden, der die synchronisierten Mailboxobjekte verwaltet. Der ADC-Server erfordert direkte IP-Konnektivität, da bei Schreibvorgängen in das Exchange-Verzeichnis LDAP- und RPC-Anforderungen verwendet werden.
ADC kann für folgende Server eingerichtet werden:
● Active Directory-Domänencontroller
● Active Directory-Domänencontroller mit Exchange Server
● Globaler Active Directory-Katalogserver
● Globaler Active Directory-Katalogserver mit Exchange Server
● Active Directory-Mitgliedsserver
● Active Directory-Mitgliedsserver mit Exchange Server
● Active Directory-Mitgliedsserver mit Exchange Server auf einem ActiveDirectory-Domänencontroller
● Active Directory-Mitgliedsserver mit Exchange Server auf einem globalen Active Directory-Katalogserver
Definieren von Verbindungsvereinbarungen
Beachten Sie bei der Festlegung der Anzahl der Verbindungsvereinbarungen für Ihre Organisation folgende Punkte:
● Geschwindigkeit, Anzahl der CPUs und RAM-Menge für alle Windows 2000Server, Exchange-Server und ADC-Server. Wenn eine dieser Komponenten sich störend auf die Replikation auswirkt, sollten Sie die Einrichtung zusätzlicher Verbindungsvereinbarungen in Betracht ziehen.
● Netzwerkbandbreite. Wenn für die Replikation nicht genügend Netzwerkbandbreite zur Verfügung steht, sollten Sie die Einrichtung zusätzlicher Verbindungsvereinbamngen in Erwägung ziehen.
● Anzahl der Exchange Server-Mailboxen und Active Directory-Benutzer, Anzahl der Exchange Server-Mailempfänger und Active Directory-Kontakte, Anzahl der Exchange Server-Verteilerlisten, Active Directory-Gruppen und Active Directory-Server. Wenn mehr als 500 dieser Objekte vorhanden sind, sollten Sie diese auf mehrere Verbindungsvereinbarungen aufteilen.
Konfigurieren von Verbindungsvereinbarungen
Für jede Verbindungsvereinbarung müssen verschiedene Punkte festgelegt werden: Richtung der Replikation, Zeitplan für die Replikation, Authentifizierungsmethode, zu replizierende Attribute und Handhabung der gelöschten Objekte.
Der Verzeichnisdienst, der die Objektidentität verwaltet, wird durch die in einer Verbindungsvereinbarung festgelegte Richtung der Replikation bestimmt.
Es kann entweder keine Verschlüsselung oder eine SSL-Verschlüsselung gewählt werden. Für jede Verbindungsvereinbarung muss ein Konto eingerichtet werden, das über Leseberechtigungen für die Exchange Server- und Active Directory-Verzeichnisse sowie über Schreibberechtigungen für das Zielverzeichnis verfügt.
Darüber hinaus können Sie für jedes Verbindungsobjekt die Handhabung gelöschter Objekte festlegen.
● Exchange-Postfach löschen Wenn ein Benutzerkonto aus Active Directory entfernt wurde, werden die Exchange Server-Mailbox und der Benutzer von den Empfänger- und Verteilerlisten gelöscht.
● Gelöschte Exchange-Objekte behalten und Liste der Löschvorgänge in temporärer CSV-Datei speichern Die Liste der gelöschten Objekte wird m einer Protokolldatei mit Kommatrennung (CSV) gespeichert. Bei der Replikation werden weitere Informationen an die Datei angehängt. Die Protokolldatei wird unter %SystemRoot%\MSADC\Namejler_Verbindungsvereinbarung\ex55.csv gespeichert.
Wenn die Verbindungsvereinbarung für eine Replikation von Exchange Server nach Active Directory eingerichtet wurde, stehen für die Handhabung gelöschter Obiekte die folgenden Optionen zur Verfügung:
● Windows-Konto löschen Löscht alle Mailboxen aus Active Directory, die im Exchange Server-Verzeichnis gelöscht wurden.
● Gelöschte Windows-Objekte behalten und Liste der Löschvorgänge in temporärer LDF-Datei speichern Die Protokolldatei wird unter %SystemRoot%\MSADC\Namejler_Verbindungsvereinbarung\win2000.1df gespeichert.
1. Führen Sie eine Analyse des aktuellen Novell-Netzwerks durch.
2. Wählen Sie die einseitige oder die wechselseitige Synchronisierung.
3. Ermitteln Sie die zu synchronisierenden Objekte und planen Sie die Synchronisierungssitzungen.
4. Legen Sie die Verwaltungsverantwortlichkeiten fest.
5. Planen Sie die Testphase und führen Sie eine Benutzerschulung durch.
● Stellen Sie fest, welche Informationen im Novell-Netzwerk gespeichert werden und ermitteln Sie die zugehörigen Besitzer, Benutzer und Standorte. Stellen Sie fest, welche Arten von Informationen im NetWare-Netzwerk gespeichert werden, ermitteln Sie die Speicherorte der Informationen, die für die Daten verantwortlichen Personen, die Benutzer, die Zugriffsrechte für die Informationen besitzen sowie die für die Informationen geltenden Sicherheitsanforderungen.
● Ermitteln Sie alle Hard- und Softwarekomponenten im Novell-Netzwerk und halten Sie fest, welche Komponenten nur mit NDS ausgeführt werden können. Erstellen Sie ein Diagramm des Netzwerks mit all seinen Komponenten. Ermitteln Sie Datei-, Druck-, Internet-, Mail-, Datenbank- und alle weiteren Server. Prüfen Sie, ob die NDS-abhängige Software ersetzt werden kann.
● Prüfen Sie, welche Hard- und Software für eine Umstellung benötigt wird. Ermitteln Sie, welche Hard- und Softwarekomponenten Ihre Organisation für die angestrebte Funktionalität benötigt. Erwerben Sie die benötigte Serverhardware. Erwerben Sie Windows 2000 Server (enthält Client Service for NetWare) und Services for NetWare, Version 5 (enthält MSDSS). Erwerben Sie jegliche Active Directory-fähige Software, die Sie zur Ersetzung von NDS-abhängiger Software benötigen. Laden Sie die aktuellste Version von Novell Client Access von der Novell-Website herunter.
● Skizzieren Sie den aktuellen Novell-Namespace. Entscheiden Sie, ob der neue Active Directory-Namespace mit dem vorhandenen Novell-Namespace identisch sein sollte oder nicht.
● Bearbeiten Sie den aktuellen Novell- oder Active Directory-Namespace. Verwenden Sie, falls erforderlich, die NetWare-Verwaltungstools zum Aktualisieren der NDS-Container, und erstellen Sie mit Hilfe des Active DirectorySnap-Ins Active Directory-Benutzer und -ComputerActive Directory-OUs.
● Legen Sie die Objektzuordnung fest.
● Bestimmen Sie, ob eine direkte oder eine Remoteverwaltung eingesetzt werden soll. Legen Sie den Installationsort für MSDSS und Novell ClientAccess fest und entscheiden Sie, ob MSDSS-Sitzungen dezentral verwaltet werden sollen. Installieren Sie bei Auswahl der Remoteinstallation MSDSS und Novell ClientAccess aufeinem Computer (kein Domänencontrollerserver), auf dem Windows 2000 Server oder Windows 2000 Professional ausgeführt wird.
Gründe, die für eine einseitige Synchronisierung sprechen:
● Sie möchten die Verzeichnisverwaltung zentral von Active Directory aus abwickeln
● Ihr Netzwerk ist Windows-basiert oder Ihr Netzwerk ist derzeit NDSbasiert, aber Sie möchten die Anzahl der Verzeichnisse nach und nach verringem
● Sie möchten die NDS-Benutzerkontenkennwörter so verwalten und aktualisieren, dass Sie einen einzigen Satz Anmeldeinformationen erhalten, über den sich die Benutzer sowohl an einem Windows-basierten als auch an einem Novell-basierten Netzwerk anmelden können
● Sie bereiten eine Migration der NDS-basierten Verzeichnisumgebung auf Active Directory vor
Gründe, die für eine wechselseitige Synchronisierung sprechen:
● Active Directory und NDS werden durch unterschiedliche Netzwerkadministratoren verwaltet
● Ihre Netzwerkumgebung enthält NDS als primäres Verzeichnis, Sie möchten die Anzahl der Verzeichnisplattformen nicht reduzieren
● Sie möchten für längere Zeit beide Verzeichnisumgebungen erhalten und aktiv verwalten
● Legen Sie die zu synchronisierenden Objekte fest. Ermitteln Sie die Container, die synchronisiert werden sollen. Legen Sie fest, zwischen welche Active Directory- und NDS- oder Bindery-Server eine Synchronisierungsbeziehung eingerichtet werden soll.
● Legen Sie die Anzahl der Synchronisierungssitzungen fest. Berechnen Sie die Anzahl der Sitzungen, die zur Synchronisierung der gewünschten NDS- oder Bindery-Objekte erforderlich ist. Sie können nur einen NDS-Container oder Bindery-Server pro Sitzung angeben. Alle Objekte innerhalb dieser OU bzw. auf diesem Bindery-Server werden synchronisiert. Im Allgemeinen empfiehlt Microsoft seinen Kunden, Sitzungen für Container zu konfigurieren, die bis zu 10.000 Objekte (nicht mehr) enthalten. Sie können bis zu 50 parallele Sitzungen auf einem Domänencontroller ausführen. jede Sitzung kann auf eme andere NDS- oder Bindery-Serverquelle verweisen.
● Stellen Sie sicher, dass Sie über Administratorberechtigungen verfügen. Bei der einseitigen Synchronisierung muss gewährleistet sein, dass Sie die erforderlichen Berechtigungen zum Erweitem des Active Directory-Schemas besitzen. Obwohl dieser Arbeitsschritt von MSDSS automatisch ausgeführt wird, müssen Sie über Verwaltungsautorität zur Schemaerweiterung verfügen. Bei der wechselseitigen Synchronisierung muss sichergestellt sein, dass Sie die erforderlichen Berechtigungen zum Erweitern des NDS-Schemas besitzen.
● Delegieren Sie die Verwaltung. Bei der Installation von MSDSS wird eine spezielle Sicherheitsgruppe namens MSDSS Admins erstellt. Bei dieser Gruppe handelt es sich um eine lokale Domänensicherheitsgruppe, die für jede Domäne eindeutig ist. Mit dieser Gruppe können Sie die Verwaltung an spezifische Benutzer delegieren. Zur Verwaltungsdelegierung müssen Sie die Mitglieder der Gruppe der MSDSS-Admins festlegen und entscheiden, an wen MSDSS-Verwaltungsaufgaben delegiert werden sollen.
● Stellen Sie ein Testteam zusammen. Stellen Sie eine Gruppe von Benutzem zusammen die über technische Kenntnisse verfügen und bereit sind, eine Testsynchronisierung durchzuführen sowie andere Benutzer zu unterstützen. Schulen Sie die Teamnütglieder entsprechend ihren Aufgaben.
● Führen Sie Benutzerschulungen durch. Versorgen Sie die Organisationsmitarbeiter mit aktuellen Informationen. Stellen Sie sicher, dass jeder Benutzer weiß, welche Vorhaben geplant sind und führen Sie eventuell erforderliche Schulungen durch. Erläutem Sie die Anmeldevorgänge und die Handhabung der Kennwörter. Da die Kennwörter vorzugsweise nur von Active Directory aus verwaltet werden sollten, müssen Clientanmeldungen über Active Directory erfolgen. Die Kennwörter können sowohl für die einseitige als auch für die wechselseitige Synchronisierung von Active Directory aus verwaltet werden.