Active Directory.pdf - Gattner
Active Directory.pdf - Gattner
Active Directory.pdf - Gattner
Erfolgreiche ePaper selbst erstellen
Machen Sie aus Ihren PDF Publikationen ein blätterbares Flipbook mit unserer einzigartigen Google optimierten e-Paper Software.
Microsoft ®<br />
Windows Server 2008<br />
<strong>Active</strong> <strong>Directory</strong> –<br />
Die technische Referenz
Dieses Buch ist die deutsche Übersetzung von:<br />
Stan Reimer, Conan Kezema, Mike Mulcare, Byron Wright, Microsoft Windows® Server® 2008 <strong>Active</strong> <strong>Directory</strong>®<br />
Resource Kit<br />
Microsoft Press, Redmond, Washington 98052-6399<br />
Copyright 2008 by Microsoft Corporation<br />
Das in diesem Buch enthaltene Programmmaterial ist mit keiner Verpflichtung oder Garantie irgendeiner Art verbunden.<br />
Autoren, Übersetzer und der Verlag übernehmen folglich keine Verantwortung und werden keine daraus folgende<br />
oder sonstige Haftung übernehmen, die auf irgendeine Art aus der Benutzung dieses Programmmaterials oder Teilen<br />
davon entsteht.<br />
Das Werk einschließlich aller Teile ist urheberrechtlich geschützt. Jede Verwertung außerhalb der engen Grenzen des<br />
Urheberrechts ist ohne Zustimmung des Verlags unzulässig und strafbar. Das gilt insbesondere für Vervielfältigungen,<br />
Übersetzungen, Mikroverfilmungen und die Einspeicherung und Verarbeitung in elektronischen Systemen.<br />
Die in den Beispielen verwendeten Namen von Firmen, Organisationen, Produkten, Domänen, Personen, Orten, Ereignissen<br />
sowie E-Mail-Adressen und Logos sind frei erfunden, soweit nichts anderes angegeben ist. Jede Ähnlichkeit mit<br />
tatsächlichen Firmen, Organisationen, Produkten, Domänen, Personen, Orten, Ereignissen, E-Mail-Adressen und Logos<br />
ist rein zufällig.<br />
15 14 13 12 11 10 9 8 7 6 5 4 3 2 1<br />
10 09 08<br />
ISBN 978-3-86645-925-X<br />
© Microsoft Press Deutschland<br />
(ein Unternehmen der Microsoft Deutschland GmbH)<br />
Konrad-Zuse-Str. 1, D-85716 Unterschleißheim<br />
Alle Rechte vorbehalten<br />
Übersetzung & Grafik: Lemoine International GmbH, Köln<br />
(www.lemoine-international.com)<br />
Satz: Jan Carthaus Publishing, Radolfzell (www.carthaus.com)<br />
Umschlaggestaltung: Hommer Design GmbH, Haar (www.HommerDesign.com)<br />
Layout und Gesamtherstellung: Kösel, Krugzell (www.KoeselBuch.de)
Für die drei wunderbaren Frauen in meinem Leben: Rhonda, Angela und Amanda.<br />
Eure Liebe und Unterstützung spornen mich immer wieder an.<br />
Stan Reimer<br />
Dieses Buch ist der Liebe meines Lebens, Rhonda, und unseren beiden Söhnen,<br />
Brennan und Liam, gewidmet. Danke für eure ständige Unterstützung und dafür, dass Ihr allem,<br />
was ich tue, einen Sinn gebt. Außerdem widme ich dieses Buch meiner übrigen Familie,<br />
die sich noch immer fragt, womit ich eigentlich meinen Lebensunterhalt bestreite.<br />
Conan Kezema<br />
Für meine Familie: Nancy, James, Sean und Patrick.<br />
Ewigen Dank für eure Ermutigung und Unterstützung.<br />
Mike Mulcare<br />
Tracey, Samantha und Michelle, Ihr seid für mich der Grund, weiterzumachen.<br />
Darrin, danke, dass du die Stellung gehalten hast.<br />
Byron Wright
Inhaltsverzeichnis<br />
V<br />
Inhaltsverzeichnis . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . .<br />
Danksagung . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . .<br />
Einführung . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . XIX<br />
Über dieses Buch . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . XIX<br />
Teil I – Windows Server 2008 <strong>Active</strong> <strong>Directory</strong> – Überblick . . . . . . . . . . . . . . . . . . . . . XIX<br />
Teil II – Entwerfen und Implementieren von Windows Server 2008 <strong>Active</strong> <strong>Directory</strong> . XX<br />
Teil III – Verwalten von Windows Server 2008 <strong>Active</strong> <strong>Directory</strong> . . . . . . . . . . . . . . . . . XX<br />
Teil IV – Warten von Windows Server 2008 <strong>Active</strong> <strong>Directory</strong> . . . . . . . . . . . . . . . . . . . . XXI<br />
Teil V – Identitäts- und Zugriffsverwaltung mit <strong>Active</strong> <strong>Directory</strong> . . . . . . . . . . . . . . . . . XXI<br />
Konventionen in diesem Buch . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . XXII<br />
Hinweise für den Leser . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . XXII<br />
Abschnitte mit Zusatzinformationen . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . XXII<br />
Befehlszeilenbeispiele . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . XXIII<br />
Begleit-CD . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . XXIII<br />
Verwaltungsskripts . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . XXIII<br />
Verwenden der Skripts . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . XXIV<br />
Zusätzliche Onlineinhalte . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . XXIV<br />
Supporthinweise für die technische Referenz . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . XXV<br />
Teil I: Windows Server 2008 <strong>Active</strong> <strong>Directory</strong> – Überblick . . . . . . . . . . . . . . . . . . . . . 1<br />
Kapitel 1: Neuerungen in <strong>Active</strong> <strong>Directory</strong> für Windows Server 2008 . . . . . . . . . . . . . . . . . . 3<br />
Neuerungen in den <strong>Active</strong> <strong>Directory</strong>-Domänendiensten . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 3<br />
Schreibgeschützte Domänencontroller (Read-Only Domain Controllers, RODC) . . . . . 3<br />
AD DS-Überwachung . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 6<br />
Fein abgestimmte Kennwortrichtlinien . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 7<br />
Neustartmöglichkeit der <strong>Active</strong> <strong>Directory</strong>-Domänendienste . . . . . . . . . . . . . . . . . . . . . . 8<br />
Datenbankbereitstellungstool . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 9<br />
Verbesserungen der Benutzeroberfläche . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 9<br />
Zusätzliche <strong>Active</strong> <strong>Directory</strong>-Dienstrollen . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 11<br />
<strong>Active</strong> <strong>Directory</strong>-Zertifikatdienste . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 11<br />
<strong>Active</strong> <strong>Directory</strong>-Verbunddienste . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 13<br />
<strong>Active</strong> <strong>Directory</strong> Lightweight <strong>Directory</strong> Services . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 14<br />
<strong>Active</strong> <strong>Directory</strong>-Rechteverwaltungsdienste . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 15<br />
Zusammenfassung . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 17<br />
Kapitel 2: <strong>Active</strong> <strong>Directory</strong>-Domänendienstkomponenten . . . . . . . . . . . . . . . . . . . . . . . . . . . 19<br />
Physische Struktur der AD DS . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 19<br />
Verzeichnisdatenspeicher . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 20<br />
Domänencontroller . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 22<br />
Globale Katalogserver . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 22<br />
V<br />
XVII
VI<br />
Inhaltsverzeichnis<br />
Schreibgeschützte Domänencontroller . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 25<br />
Betriebsmaster . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 28<br />
Übertragen von Betriebsmasterrollen . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 31<br />
Schema . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 32<br />
Logische Struktur der AD DS . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 40<br />
AD DS-Partitionen . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 41<br />
Domänen . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 45<br />
Gesamtstrukturen . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 49<br />
Vertrauensstellungen . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 50<br />
Standorte . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 54<br />
Organisationseinheiten . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 56<br />
Zusammenfassung . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 59<br />
Zusätzliche Ressourcen . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 59<br />
Verwandte Tools . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 59<br />
Ressourcen auf der CD . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 60<br />
Verwandte Hilfethemen . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 60<br />
Kapitel 3: <strong>Active</strong> <strong>Directory</strong>-Domänendienste und DNS . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 61<br />
Integration von DNS in die AD DS . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 62<br />
SVR-Ressourceneinträge . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 62<br />
Von AD DS-Domänencontrollern registrierte SRV-Einträge . . . . . . . . . . . . . . . . . . . . . 63<br />
DNS-Locatordienst . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 66<br />
Automatische Standortabdeckung . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 69<br />
AD DS-integrierte Zonen . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 72<br />
Vorteile der Nutzung AD DS-integrierter Zonen . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 72<br />
Standardanwendungspartitionen für DNS . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 73<br />
Verwalten AD DS-integrierter Zonen . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 75<br />
Integrieren von DNS-Namespaces in AD DS-Domänen . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 78<br />
DNS-Delegierung . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 79<br />
Weiterleitungen und Stammhinweise . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 80<br />
Problembehandlung bei der DNS- und AD DS-Integration . . . . . . . . . . . . . . . . . . . . . . . 85<br />
Problembehandlung für DNS . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 86<br />
Problembehandlung bei der Registrierung von SRV-Einträgen . . . . . . . . . . . . . . . . . . . 88<br />
Zusammenfassung . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 89<br />
Empfohlene Vorgehensweisen . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 89<br />
Zusätzliche Ressourcen . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 89<br />
Verwandte Informationen . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 89<br />
Verwandte Tools . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 90<br />
Ressourcen auf der CD . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 91<br />
Verwandte Hilfethemen . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 91<br />
Kapitel 4: <strong>Active</strong> <strong>Directory</strong>-Domänendienstreplikation . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 93<br />
AD DS-Replikationsmodell . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 94<br />
Replikationsverfahren . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 95<br />
Aktualisierungstypen . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 95<br />
Replizieren von Änderungen . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 97<br />
Replizieren des Verzeichnisses SYSVOL . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 104
Inhaltsverzeichnis<br />
VII<br />
Standortinterne und standortübergreifende Replikation . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 104<br />
Standortinterne Replikation . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 105<br />
Standortübergreifende Replikation . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 106<br />
Replikationslatenz . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 107<br />
Dringende Replikation . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 108<br />
Erstellen der Replikationstopologie . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 109<br />
Konsistenzprüfung . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 110<br />
Verbindungsobjekte . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 110<br />
Standortinterne Replikationstopologie . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 112<br />
Replikation des globalen Katalogs . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 116<br />
Standortübergreifende Replikationstopologie . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 117<br />
RODCs und die Replikationstopologie . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 118<br />
Konfigurieren der standortübergreifenden Replikation . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 120<br />
Erstellen zusätzlicher Standorte . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 121<br />
Standortverknüpfungen . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 122<br />
Standortverknüpfungsbrücken . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 126<br />
Replikationstransportprotokolle . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 127<br />
Konfigurieren von Bridgeheadservern . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 128<br />
Problembehandlung bei der Replikation . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 131<br />
Verfahren für die Problembehandlung bei der AD DS-Replikation . . . . . . . . . . . . . . . . 131<br />
Tools für die Problembehandlung bei der AD DS-Replikation . . . . . . . . . . . . . . . . . . . . 133<br />
Zusammenfassung . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 136<br />
Empfohlene Vorgehensweisen . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 136<br />
Zusätzliche Ressourcen . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 136<br />
Verwandte Informationen . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 136<br />
Verwandte Tools . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 137<br />
Ressourcen auf der CD . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 138<br />
Verwandte Hilfethemen . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 138<br />
Teil II: Entwerfen und Implementieren von Windows Server 2008<br />
<strong>Active</strong> <strong>Directory</strong> . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 139<br />
Kapitel 5: Entwerfen der <strong>Active</strong> <strong>Directory</strong>-Domänendienstestruktur . . . . . . . . . . . . . . . . . . . 141<br />
Definieren der Verzeichnisdienstanforderungen . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 142<br />
Definieren von Geschäftsanforderungen und technischen Anforderungen . . . . . . . . . . . 143<br />
Dokumentieren der aktuellen Umgebung . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 148<br />
Entwerfen der Gesamtstruktur . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 154<br />
Gesamtstrukturen und der AD DS-Entwurf . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 154<br />
Einzelne oder mehrere Gesamtstrukturen . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 157<br />
Entwerfen von Gesamtstrukturen für die AD DS-Sicherheit . . . . . . . . . . . . . . . . . . . . . . 158<br />
Modelle für den Gesamtstrukturentwurf . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 161<br />
Definieren des Gesamtstrukturbesitzes . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 163<br />
Richtlinien zur Kontrolle von Gesamtstrukturänderungen . . . . . . . . . . . . . . . . . . . . . . . . 164<br />
Entwerfen der Integration mehrerer Gesamtstrukturen . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 164<br />
Entwerfen gesamtstrukturübergreifender Vertrauensstellungen . . . . . . . . . . . . . . . . . . . 165<br />
Entwerfen der Verzeichnisintegration zwischen Gesamtstrukturen . . . . . . . . . . . . . . . . . 169
VIII<br />
Inhaltsverzeichnis<br />
Entwerfen der Domänenstruktur . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 169<br />
Festlegen der Domänenanzahl . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 171<br />
Entwerfen der Gesamtstruktur-Stammdomäne . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 173<br />
Entwerfen von Domänenhierarchien . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 174<br />
Domänenstrukturen und -vertrauensstellungen . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 175<br />
Ändern der Domänenhierarchie nach der Bereitstellung . . . . . . . . . . . . . . . . . . . . . . . . . 177<br />
Definieren des Domänenbesitzes . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 177<br />
Entwerfen von Domänen- und Gesamtstrukturfunktionsebenen . . . . . . . . . . . . . . . . . . . . . . . 178<br />
Auf Domänenfunktionsebene aktivierte Funktionen . . . . . . . . . . . . . . . . . . . . . . . . . . . . 178<br />
Auf Gesamtstrukturfunktionsebene aktivierte Funktionen . . . . . . . . . . . . . . . . . . . . . . . 179<br />
Implementieren einer Domänen- und Gesamtstrukturfunktionsebene . . . . . . . . . . . . . . . 180<br />
Entwerfen der DNS-Infrastruktur . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 180<br />
Entwurf des Namespaces . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 180<br />
Entwerfen der Struktur von Organisationseinheiten . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 188<br />
Organisationseinheiten und der AD DS-Entwurf . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 188<br />
Entwerfen einer OU-Struktur . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 189<br />
Erstellen eines OU-Entwurfs . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 191<br />
Entwerfen der Standorttopologie . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 193<br />
Standorte und der AD DS-Entwurf . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 193<br />
Erstellen eines Standortentwurfs . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 194<br />
Erstellen eines Replikationsentwurfs . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 197<br />
Entwerfen von Serverstandorten . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 201<br />
Zusammenfassung . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 209<br />
Empfohlene Vorgehensweisen . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 209<br />
Zusätzliche Ressourcen . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 210<br />
Verwandte Informationen . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 210<br />
Ressourcen auf der CD . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 211<br />
Kapitel 6: Installieren der <strong>Active</strong> <strong>Directory</strong>-Domänendienste . . . . . . . . . . . . . . . . . . . . . . . . . 213<br />
Voraussetzungen für die AD DS-Installation . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 213<br />
Festplattenspeicheranforderungen . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 214<br />
Netzwerkkonnektivität . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 215<br />
DNS . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 216<br />
Administratorrechte . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 216<br />
Betriebssystemkompatibilität . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 216<br />
Grundlegendes zu den AD DS-Installationsoptionen . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 218<br />
Aufgaben der Erstkonfiguration und Assistent zum Hinzufügen von Rollen . . . . . . . . . 218<br />
Server-Manager . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 219<br />
Installieren von <strong>Active</strong> <strong>Directory</strong>-Domänendiensten . . . . . . . . . . . . . . . . . . . . . . . . . . . . 220<br />
Unbeaufsichtigte Installation . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 221<br />
Verwenden des Assistenten zum Installieren von <strong>Active</strong> <strong>Directory</strong>-Domänendiensten . . . . . 221<br />
Bereitstellungskonfiguration . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 222<br />
Benennen der Domäne . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 223<br />
Konfigurieren der Funktionsebenen von Windows Server 2008 . . . . . . . . . . . . . . . . . . . 224<br />
Weitere Domänencontrolleroptionen . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 227<br />
Dateispeicherorte . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 228
Inhaltsverzeichnis<br />
IX<br />
Abschließen der Installation . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 229<br />
Überprüfen der AD DS-Installation . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 230<br />
Durchführen einer unbeaufsichtigten Installation . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 231<br />
Installieren von Medium . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 232<br />
Bereitstellen schreibgeschützter Domänencontroller . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 234<br />
Server Core-Installation unter Windows Server 2008 . . . . . . . . . . . . . . . . . . . . . . . . . . . 234<br />
Bereitstellen von RODCs . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 235<br />
Entfernen der AD DS . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 235<br />
Entfernen von zusätzlichen Domänencontrollern . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 237<br />
Entfernen des letzten Domänencontrollers . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 237<br />
Unbeaufsichtigtes Entfernen der AD DS . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 238<br />
Erzwungenes Entfernen eines Windows Server 2008-Domänencontrollers . . . . . . . . . . 238<br />
Zusammenfassung . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 239<br />
Zusätzliche Ressourcen . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 240<br />
Verwandte Informationen . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 240<br />
Verwandte Tools . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 241<br />
Kapitel 7: Migrieren auf die <strong>Active</strong> <strong>Directory</strong>-Domänendienste . . . . . . . . . . . . . . . . . . . . . . . 243<br />
Migrationsoptionen . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 244<br />
Das Verfahren der Domänenaktualisierung . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 245<br />
Domänenumstrukturierung . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 246<br />
Festlegen der Migrationsoption . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 248<br />
Aktualisieren der Domäne . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 250<br />
Durchführen der Aktualisierung von Windows 2000 Server und<br />
Windows Server 2003 . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 251<br />
Umstrukturieren der Domäne . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 253<br />
Migration zwischen Gesamtstrukturen . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 254<br />
Migration innerhalb der Gesamtstruktur . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 261<br />
Konfigurieren von Vertrauensstellungen zwischen Gesamtstrukturen . . . . . . . . . . . . . . . . . . 262<br />
Zusammenfassung . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 264<br />
Empfohlene Vorgehensweisen . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 265<br />
Zusätzliche Ressourcen . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 265<br />
Verwandte Informationen . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 265<br />
Verwandte Tools . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 266<br />
Teil III: Verwalten von Windows Server 2008 <strong>Active</strong> <strong>Directory</strong> . . . . . . . . . . . . . . . . . 267<br />
Kapitel 8: <strong>Active</strong> <strong>Directory</strong>-Domänendienstsicherheit . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 269<br />
AD DS-Sicherheitsgrundlagen . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 270<br />
Sicherheitsprinzipale . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 270<br />
Zugriffssteuerungslisten (ACLs) . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 271<br />
Zugriffstoken . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 273<br />
Authentifizierung . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 274<br />
Autorisierung . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 275<br />
Kerberos-Sicherheit . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 276<br />
Einführung in Kerberos . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 277<br />
Kerberos-Authentifizierung . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 279<br />
Delegieren der Authentifizierung . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 286
X<br />
Inhaltsverzeichnis<br />
Konfigurieren von Kerberos unter Windows Server 2008 . . . . . . . . . . . . . . . . . . . . . . . . 289<br />
Integration in die Public Key-Infrastruktur . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 290<br />
Integration in Smartcards . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 293<br />
Interoperabilität mit anderen Kerberos-Systemen . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 294<br />
Problembehandlung für Kerberos . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 295<br />
NTLM-Authentifizierung . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 298<br />
Implementieren der Sicherheit für Domänencontroller . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 300<br />
Verringern der Angriffsfläche von Domänencontrollern . . . . . . . . . . . . . . . . . . . . . . . . . 301<br />
Konfigurieren der Standard-Domänencontrollerrichtlinie . . . . . . . . . . . . . . . . . . . . . . . . 304<br />
Konfigurieren von SYSKEY . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 312<br />
Entwerfen sicherer administrativer Vorgehensweisen . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 312<br />
Zusammenfassung . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 315<br />
Empfohlene Vorgehensweisen . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 315<br />
Zusätzliche Ressourcen . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 316<br />
Verwandte Informationen . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 316<br />
Verwandte Tools . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 317<br />
Ressourcen auf der CD . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 318<br />
Verwandte Hilfethemen . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 318<br />
Kapitel 9: Delegieren der <strong>Active</strong> <strong>Directory</strong>-Domänendiensteverwaltung . . . . . . . . . . . . . . . . 319<br />
<strong>Active</strong> <strong>Directory</strong>-Verwaltungsaufgaben . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 320<br />
Zugreifen auf <strong>Active</strong> <strong>Directory</strong>-Objekte . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 321<br />
Auswerten von Verweigern- und Zulassen-ACEs in einer DACL . . . . . . . . . . . . . . . . . 322<br />
<strong>Active</strong> <strong>Directory</strong>-Objektberechtigungen . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 323<br />
Standardberechtigungen . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 323<br />
Spezielle Berechtigungen . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 325<br />
Berechtigungsvererbung . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 330<br />
Effektive Berechtigungen . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 333<br />
Besitz von <strong>Active</strong> <strong>Directory</strong>-Objekten . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 336<br />
Delegieren von Verwaltungsaufgaben . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 338<br />
Überwachen der Verwendung von Administratorrechten . . . . . . . . . . . . . . . . . . . . . . . . . . . . 341<br />
Konfigurieren der Überwachungsrichtlinie für Domänencontroller . . . . . . . . . . . . . . . . 342<br />
Konfigurieren der Überwachung für <strong>Active</strong> <strong>Directory</strong>-Objekte . . . . . . . . . . . . . . . . . . . 344<br />
Tools für die delegierte Verwaltung . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 346<br />
Anpassen der Microsoft Management Console . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 347<br />
Planen der delegierten Verwaltung . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 348<br />
Zusammenfassung . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 349<br />
Zusätzliche Ressourcen . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 349<br />
Verwandte Informationen . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 349<br />
Kapitel 10: Verwalten von <strong>Active</strong> <strong>Directory</strong>-Objekten . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 351<br />
Verwalten von Benutzern . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 351<br />
Benutzerobjekte . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 352<br />
inetOrgPerson-Objekte . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 357<br />
Kontaktobjekte . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 358<br />
Dienstkonten . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 359
Inhaltsverzeichnis<br />
XI<br />
Verwalten von Gruppen . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 360<br />
Gruppentypen . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 360<br />
Gruppenbereich . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 361<br />
Standardgruppen in <strong>Active</strong> <strong>Directory</strong> . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 365<br />
Spezialidentitäten . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 367<br />
Erstellen eines Sicherheitsgruppenentwurfs . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 367<br />
Verwalten von Computern . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 370<br />
Verwalten von Druckerobjekten . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 373<br />
Veröffentlichen von Druckern in <strong>Active</strong> <strong>Directory</strong> . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 373<br />
Nachverfolgen des Druckerstandorts . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 376<br />
Verwalten von veröffentlichten freigegebenen Ordnern . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 377<br />
Automatisieren der <strong>Active</strong> <strong>Directory</strong>-Objektverwaltung . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 379<br />
Befehlszeilenprogramme für die Verwaltung von <strong>Active</strong> <strong>Directory</strong> . . . . . . . . . . . . . . . . 379<br />
Verwenden von LDIFDE und CSVDE . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 380<br />
Verwenden von VBScript für die Verwaltung von <strong>Active</strong> <strong>Directory</strong>-Objekten . . . . . . . 382<br />
Zusammenfassung . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 388<br />
Empfohlene Vorgehensweisen . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 388<br />
Zusätzliche Ressourcen . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 389<br />
Verwandte Informationen . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 389<br />
Verwandte Tools . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 390<br />
Ressourcen auf der CD . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 390<br />
Kapitel 11: Einführung in Gruppenrichtlinien . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 393<br />
Gruppenrichtlinien – Übersicht . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 394<br />
Funktionsweise von Gruppenrichtlinien . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 395<br />
Neuerungen in Windows Server 2008-Gruppenrichtlinien . . . . . . . . . . . . . . . . . . . . . . . 397<br />
Gruppenrichtlinienkomponenten . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 399<br />
Übersicht über den Gruppenrichtliniencontainer . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 399<br />
Komponenten der Gruppenrichtlinienvorlage . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 401<br />
Replikation der Gruppenrichtlinienobjekt-Komponenten . . . . . . . . . . . . . . . . . . . . . . . . 402<br />
Gruppenrichtlinienverarbeitung . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 403<br />
Verarbeitung von Gruppenrichtlinienobjekten auf Clients . . . . . . . . . . . . . . . . . . . . . . . 404<br />
Anfängliche Verarbeitung von Gruppenrichtlinienobjekten . . . . . . . . . . . . . . . . . . . . . . 406<br />
Aktualisierungen von Gruppenrichtlinienobjekten im Hintergrund . . . . . . . . . . . . . . . . . 408<br />
Beziehung zwischen dem Verlauf eines Gruppenrichtlinienobjekts und Gruppenrichtlinienaktualisierungen<br />
. . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 409<br />
Ausnahmen bei den standardmäßigen Zeitpunkten der Hintergrundverarbeitung . . . . . . 411<br />
Implementieren von Gruppenrichtlinien . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 416<br />
Übersicht über die Konsole Gruppenrichtlinienverwaltung . . . . . . . . . . . . . . . . . . . . . . 417<br />
Erstellen und Verknüpfen von Gruppenrichtlinienobjekten in der Konsole<br />
Gruppenrichtlinienverwaltung . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 418<br />
Ändern des Verarbeitungsbereichs von Gruppenrichtlinienobjekten . . . . . . . . . . . . . . . . 420<br />
Delegieren der Verwaltung von Gruppenrichtlinienobjekten . . . . . . . . . . . . . . . . . . . . . 429<br />
Implementieren von Gruppenrichtlinien zwischen Domänen und Gesamtstrukturen . . . 431<br />
Verwalten von Gruppenrichtlinienobjekten . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 432<br />
Sichern und Wiederherstellen von Gruppenrichtlinienobjekten . . . . . . . . . . . . . . . . . . . 432<br />
Kopieren von Gruppenrichtlinienobjekten . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 435
XII<br />
Inhaltsverzeichnis<br />
Importieren der Einstellungen von Gruppenrichtlinienobjekten . . . . . . . . . . . . . . . . . . . 435<br />
Modellieren von und Erstellen von Berichten zu Gruppenrichtlinienergebnissen . . . . . . 435<br />
Erstellen von Skripts für die Gruppenrichtlinienverwaltung . . . . . . . . . . . . . . . . . . . . . . . . . . 440<br />
Planen einer Gruppenrichtlinienimplementierung . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 443<br />
Fehlerbehebung bei Gruppenrichtlinien . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 444<br />
Zusammenfassung . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 446<br />
Zusätzliche Ressourcen . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 446<br />
Verwandte Informationen . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 446<br />
Kapitel 12: Einsetzen von Gruppenrichtlinien zum Verwalten von Benutzerdesktops . . . . 449<br />
Desktopverwaltung mithilfe von Gruppenrichtlinien . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 450<br />
Verwalten von Benutzerdaten und Profileinstellungen . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 452<br />
Verwalten von Benutzerprofilen . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 453<br />
Einsetzen von Gruppenrichtlinien zum Verwalten servergespeicherter Benutzerprofile 460<br />
Ordnerumleitung . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 462<br />
Administrative Vorlagen . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 471<br />
Grundlegendes zu administrativen Vorlagendateien . . . . . . . . . . . . . . . . . . . . . . . . . . . . 471<br />
Verwalten domänenbasierter Vorlagendateien . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 474<br />
Empfohlene Vorgehensweisen für die Verwaltung von ADMX-Vorlagendateien . . . . . 475<br />
Verwalten der Benutzerumgebung mithilfe von Skripts . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 477<br />
Bereitstellen von Software mithilfe von Gruppenrichtlinien . . . . . . . . . . . . . . . . . . . . . . . . . . 478<br />
Windows Installer-Technologie . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 478<br />
Bereitstellen von Anwendungen . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 479<br />
Verteilen von nicht mit Windows Installer installierten Anwendungen mithilfe von<br />
Gruppenrichtlinien . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 483<br />
Konfigurieren von Softwarepaketeigenschaften . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 484<br />
Konfigurieren von Windows Installer mithilfe von Gruppenrichtlinien . . . . . . . . . . . . . 491<br />
Planen der Gruppenrichtlinie für die Softwareinstallation . . . . . . . . . . . . . . . . . . . . . . . . 493<br />
Einschränkungen beim Einsatz von Gruppenrichtlinien zum Verwalten von Software . 494<br />
Übersicht über Gruppenrichtlinieneinstellungen . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 496<br />
Das Feature Gruppenrichtlinieneinstellungen im Vergleich zu<br />
Richtlinieneinstellungen . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 496<br />
Gruppenrichtlinieneinstellungen in Einstellungen . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 497<br />
Optionen für das Feature Gruppenrichtlinieneinstellungen . . . . . . . . . . . . . . . . . . . . . . . 500<br />
Zusammenfassung . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 503<br />
Zusätzliche Ressourcen . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 504<br />
Verwandte Informationen . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 504<br />
Auf der Begleit-CD . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 504<br />
Kapitel 13: Einsetzen von Gruppenrichtlinien zum Verwalten der Sicherheit . . . . . . . . . . . . 505<br />
Konfigurieren der Domänensicherheit mit Gruppenrichtlinien . . . . . . . . . . . . . . . . . . . . . . . . 505<br />
Übersicht über die Standarddomänenrichtlinie . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 506<br />
Übersicht über die Standardrichtlinie für Domänencontroller . . . . . . . . . . . . . . . . . . . . . 511<br />
Neuerstellen der Standard-GPOs für eine Domäne . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 516<br />
Fein abgestimmte Kennwortrichtlinien . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 517<br />
Verstärken der Serversicherheit mithilfe von Gruppenrichtlinien . . . . . . . . . . . . . . . . . . . . . . 522<br />
Richtlinien für Softwareeinschränkung . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 525
Inhaltsverzeichnis<br />
XIII<br />
Konfigurieren der Netzwerksicherheit mit Gruppenrichtlinien . . . . . . . . . . . . . . . . . . . . . . . . 528<br />
Konfigurieren der Sicherheit für verkabelte Netzwerke . . . . . . . . . . . . . . . . . . . . . . . . . 529<br />
Konfigurieren der Sicherheit für drahtlose Netzwerke . . . . . . . . . . . . . . . . . . . . . . . . . . 531<br />
Konfigurieren von Windows-Firewall und IPsec-Sicherheit . . . . . . . . . . . . . . . . . . . . . . 532<br />
Konfigurieren von Sicherheitseinstellungen anhand von Sicherheitsvorlagen . . . . . . . . . . . . 534<br />
Bereitstellen von Sicherheitsvorlagen . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 536<br />
Zusammenfassung . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 539<br />
Zusätzliche Ressourcen . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 539<br />
Verwandte Informationen . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 539<br />
Teil IV: Warten von Windows Server 2008 <strong>Active</strong> <strong>Directory</strong> . . . . . . . . . . . . . . . . . . . . 541<br />
Kapitel 14: Überwachen und Warten von <strong>Active</strong> <strong>Directory</strong> . . . . . . . . . . . . . . . . . . . . . . . . . . . 543<br />
Überwachen von <strong>Active</strong> <strong>Directory</strong> . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 543<br />
Gründe für die Überwachung von <strong>Active</strong> <strong>Directory</strong> . . . . . . . . . . . . . . . . . . . . . . . . . . . . 544<br />
Überwachen von Serverzuverlässigkeit und -leistung . . . . . . . . . . . . . . . . . . . . . . . . . . . 546<br />
Überwachen von <strong>Active</strong> <strong>Directory</strong> . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 554<br />
Zu überwachende Elemente . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 562<br />
Überwachen der Replikation . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 564<br />
Verwalten der <strong>Active</strong> <strong>Directory</strong>-Datenbank . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 566<br />
Sammeln veralteter Objekte . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 566<br />
Onlinedefragmentierung . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 567<br />
Offlinedefragmentierung der <strong>Active</strong> <strong>Directory</strong>-Datenbank . . . . . . . . . . . . . . . . . . . . . . . 569<br />
Verwalten der <strong>Active</strong> <strong>Directory</strong>-Datenbank mithilfe des Tools Ntdsutil . . . . . . . . . . . . . 570<br />
Zusammenfassung . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 572<br />
Zusätzliche Ressourcen . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 572<br />
Verwandte Informationen . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 572<br />
Kapitel 15: <strong>Active</strong> <strong>Directory</strong>-Notfallwiederherstellung . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 575<br />
Vorbereiten auf einen Ausfall . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 576<br />
<strong>Active</strong> <strong>Directory</strong>-Datenspeicher . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 577<br />
Sichern von <strong>Active</strong> <strong>Directory</strong> . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 579<br />
Notwendigkeit von Sicherungen . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 581<br />
Tombstone-Ablaufzeit . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 581<br />
Sicherungshäufigkeit . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 583<br />
Wiederherstellen von <strong>Active</strong> <strong>Directory</strong> . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 583<br />
Wiederherstellen von <strong>Active</strong> <strong>Directory</strong> durch Erstellen eines neuen<br />
Domänencontrollers . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 584<br />
Nicht autorisierende Wiederherstellung von <strong>Active</strong> <strong>Directory</strong> . . . . . . . . . . . . . . . . . . . . 587<br />
Autorisierendes Wiederherstellen von <strong>Active</strong> <strong>Directory</strong> . . . . . . . . . . . . . . . . . . . . . . . . . 591<br />
Wiederherstellen von Gruppenmitgliedschaften . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 594<br />
Wiederbeleben von Tombstone-Objekten . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 597<br />
Verwenden des <strong>Active</strong> <strong>Directory</strong>-Datenbankbereitstellungstools . . . . . . . . . . . . . . . . . . 599<br />
Wiederherstellen von SYSVOL-Informationen . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 602<br />
Wiederherstellen von Betriebsmaster- und globalen Katalogservern . . . . . . . . . . . . . . . 602<br />
Zusammenfassung . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 606<br />
Empfohlene Vorgehensweisen . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 606
XIV<br />
Inhaltsverzeichnis<br />
Zusätzliche Ressourcen . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 607<br />
Verwandte Informationen . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 607<br />
Verwandte Tools . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 607<br />
Teil V: Identitäts- und Zugriffsverwaltung mit <strong>Active</strong> <strong>Directory</strong> . . . . . . . . . . . . . . . . 609<br />
Kapitel 16: <strong>Active</strong> <strong>Directory</strong> Lightweight <strong>Directory</strong> Services . . . . . . . . . . . . . . . . . . . . . . . . . 611<br />
AD LDS – Übersicht . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 612<br />
AD LDS – Features . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 612<br />
AD LDS – Bereitstellungsszenarien . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 612<br />
AD LDS – Architektur und Komponenten . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 614<br />
AD LDS – Server . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 614<br />
AD LDS – Instanzen . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 615<br />
Verzeichnispartitionen . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 616<br />
AD LDS – Replikation . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 620<br />
AD LDS – Sicherheit . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 624<br />
Implementieren der AD LDS . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 630<br />
Konfigurieren von Instanzen und Anwendungspartitionen . . . . . . . . . . . . . . . . . . . . . . . 630<br />
AD LDS-Verwaltungstools . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 633<br />
Konfigurieren der Replikation . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 638<br />
Sichern und Wiederherstellen der AD LDS . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 640<br />
Konfigurieren der AD DS- und AD LDS-Synchronisierung . . . . . . . . . . . . . . . . . . . . . . . . . . 643<br />
Zusammenfassung . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 646<br />
Empfohlene Vorgehensweisen . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 646<br />
Zusätzliche Ressourcen . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 647<br />
Verwandte Tools . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 647<br />
Ressourcen auf der CD . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 648<br />
Verwandte Hilfethemen . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 648<br />
Kapitel 17: <strong>Active</strong> <strong>Directory</strong>-Zertifikatdienste . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 649<br />
<strong>Active</strong> <strong>Directory</strong>-Zertifikatdienste – Übersicht . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 649<br />
Komponenten der Public Key-Infrastruktur . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 650<br />
Zertifizierungsstellen . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 656<br />
Szenarien für die Bereitstellung der Zertifikatdienste . . . . . . . . . . . . . . . . . . . . . . . . . . . 658<br />
Implementieren der AD CS . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 658<br />
Installieren von AD CS-Stammzertifizierungsstellen . . . . . . . . . . . . . . . . . . . . . . . . . . . 659<br />
Installieren untergeordneter AD CS-Zertifizierungsstellen . . . . . . . . . . . . . . . . . . . . . . . 661<br />
Konfigurieren der Webregistrierung . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 661<br />
Konfigurieren der Zertifikatsperrung . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 662<br />
Verwalten der Schlüsselarchivierung und -wiederherstellung . . . . . . . . . . . . . . . . . . . . . 668<br />
Verwalten von Zertifikaten in den AC CS . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 672<br />
Konfigurieren von Zertifikatvorlagen . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 673<br />
Konfigurieren der automatischen Zertifikatregistrierung . . . . . . . . . . . . . . . . . . . . . . . . . 677<br />
Verwalten der Akzeptanz von Zertifikaten mithilfe von Gruppenrichtlinien . . . . . . . . . 679<br />
Konfigurieren der Serverspeicherung von Anmeldeinformationen . . . . . . . . . . . . . . . . . 680<br />
Entwerfen einer AD CS-Implementierung . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 681<br />
Entwerfen einer Zertifizierungsstellenhierarchie . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 681<br />
Entwerfen von Zertifikatvorlagen . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 685
Inhaltsverzeichnis<br />
XV<br />
Entwerfen der Zertifikatverteilung und -sperrung . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 687<br />
Zusammenfassung . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 687<br />
Empfohlene Vorgehensweisen . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 688<br />
Zusätzliche Ressourcen . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 688<br />
Verwandte Informationen . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 689<br />
Verwandte Tools . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 689<br />
Kapitel 18: <strong>Active</strong> <strong>Directory</strong>-Rechteverwaltungsdienste . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 691<br />
Überblick über die AD RMS . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 692<br />
AD RMS-Features . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 692<br />
AD RMS-Komponenten . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 694<br />
Funktionsweise der AD RMS . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 697<br />
AD RMS-Bereitstellungsszenarien . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 701<br />
Implementieren der AD RMS . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 702<br />
Vor der Installation der AD RMS zu berücksichtigende Aspekte . . . . . . . . . . . . . . . . . . 702<br />
Installieren von AD RMS-Clustern . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 703<br />
Konfigurieren des AD RMS-Dienstverbindungspunkts . . . . . . . . . . . . . . . . . . . . . . . . . . 707<br />
Arbeiten mit AD RMS-Clients . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 708<br />
Verwalten der AD RMS . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 713<br />
Verwalten von Vertrauensrichtlinien . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 713<br />
Verwalten von Vorlagen für Benutzerrechterichtlinien . . . . . . . . . . . . . . . . . . . . . . . . . . 720<br />
Konfigurieren von Ausschlussrichtlinien . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 725<br />
Konfigurieren von Sicherheitsrichtlinien . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 726<br />
Anzeigen von Berichten . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 728<br />
Zusammenfassung . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 729<br />
Zusätzliche Ressourcen . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 730<br />
Verwandte Informationen . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 730<br />
Kapitel 19: <strong>Active</strong> <strong>Directory</strong>-Verbunddienste . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 731<br />
Überblick über die AD FS . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 732<br />
Identitätsverbund . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 732<br />
Webdienste . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 733<br />
AD FS-Komponenten . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 735<br />
AD FS-Bereitstellungsentwürfe . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 738<br />
Implementieren der AD FS . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 744<br />
AD FS-Bereitstellungsanforderungen . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 745<br />
Implementieren der AD FS in einem Federated-Web-SSO-Entwurf . . . . . . . . . . . . . . . . 751<br />
Konfigurieren des Kontopartner-Verbunddienstes . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 758<br />
Konfigurieren von AD FS-Komponenten des Ressourcenpartners . . . . . . . . . . . . . . . . . 766<br />
Konfigurieren von AD FS für Windows NT-Token-basierte Anwendungen . . . . . . . . . 770<br />
Implementieren eines Web-SSO-Entwurfs . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 772<br />
Implementieren eines Federated-Web-SSO-Entwurfs mit<br />
Gesamtstrukturvertrauensstellung . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 773<br />
Zusammenfassung . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 775<br />
Empfohlene Vorgehensweisen . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 775
XVI<br />
Inhaltsverzeichnis<br />
Zusätzliche Ressourcen . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 775<br />
Ressourcen auf der CD . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 776<br />
Verwandte Hilfethemen . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 776<br />
Stichwortverzeichnis . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 777<br />
Über die Autoren . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 803<br />
Systemanforderungen . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 805
Danksagung<br />
XVII<br />
von Stan Reimer (für das Team):<br />
Zunächst möchte ich mich bei meinen Koautoren für ihre harte Arbeit an diesem Buch bedanken. Als<br />
ich gebeten wurde, dieses Projekt zu leiten, habe ich nach geeigneten Leuten gesucht, die mit mir<br />
zusammen dieses Buch schreiben sollten. Ich hätte kein besseres Team finden können.<br />
Außerdem möchte ich mich bei den Mitarbeitern von Microsoft Press bedanken. Zu diesem Team gehören<br />
Martin DelRe, der Programm-Manager, der uns unaufhörlich dazu gedrängt hat, dieses Projekt<br />
durchzuführen, bis wir letztendlich zugestimmt haben, Karen Szall, die Content-Development-Managerin,<br />
und Maureen Zimmerman, die Content-Projektmanagerin. Ich bin sicher, dass unsere Probleme,<br />
den Zeitplan einzuhalten, dieser Gruppe einige Kopfschmerzen bereitet haben. Dennoch waren sie stets<br />
erstaunlich hilfsbereit und ermutigend. Maureen hatte die unglaubliche Gabe, uns an Fälligkeitstermine<br />
zu erinnern, ohne uns auf die Nerven zu gehen.<br />
Unser Dank gilt auch Bob Dean, dem technischen Editor, für seine wertvollen Kommentare. Die Produktion<br />
dieses Buches wurde professionell von Custom Editorial Productions Inc. durchgeführt, mit<br />
Linda Allen als Projekt-Managerin, Cecilia Munzenmaier als Redakteurin und vielen anderen, die im<br />
Hintergrund mitgeschuftet haben. Während wir als Autoren wir den gesamten Spaß am Anfang des Projekts<br />
haben, müssen diese Leute noch lange daran weiter arbeiten, nachdem wir längst fertig sind.<br />
Eine technische Referenz entsteht nicht ohne die intensive Zusammenarbeit mit den Produktgruppen<br />
bei Microsoft und anderen technischen Experten wie <strong>Directory</strong> Services-MVPs. Alle Kapitel in diesem<br />
Buch wurden von diesen Experten überprüft, und viele von ihnen haben zu den Hinweisen unter<br />
„Direkt von der Quelle“, „Praxistipp“ und „So funktioniert es“ beigetragen, die Sie bei der Lektüre<br />
dieses Buches schätzen werden. Zu diesen Editoren und Mitwirkenden gehören:<br />
James McColl, Mike Stephens, Moon Majumdar, Judith Herman, Mark Gray, Linda Moore, Greg<br />
Robb, Barry Hartman, Christiane Soumahoro, Gautam Anand, Michael Hunter, Alain Lissoir, Yong<br />
Liang, David Hastie, Teoman Smith, Brian Lich, Matthew Rimer, David Fisher, Bob Drake, Rob<br />
Greene, Andrej Budja, Rob Lane, Gregoire Guetat, Donovan Follette, Pavan Kompelli, Sanjeev Balarajan,<br />
Fatih Colgar, Brian Desmond, Jose Luis Auricchio, Darol Timberlake, Peter Li, Elbio Abib, Ashish<br />
Sharma, Nick Pierson, Lu Zhao und Antonio Calomeni.<br />
von Conan Kezema:<br />
Besonderer Dank gilt meinen Koautoren für ihre harte Arbeit an diesem Buch. Außerdem möchte ich<br />
Stan für die vielen Chancen danken, die er mir im Laufe der Jahre geboten hat; er ist ein wunderbarer<br />
Freund und Mentor.
XIX<br />
Einführung<br />
Willkommen zu Windows Server 2008 <strong>Active</strong> <strong>Directory</strong> – Die technische Referenz, der umfassenden<br />
Informationsquelle für das Entwerfen und Implementieren von <strong>Active</strong> <strong>Directory</strong> in Windows Server<br />
2008.<br />
Das Buch Windows Server 2008 <strong>Active</strong> <strong>Directory</strong> – Die technische Referenz ist eine umfassende technische<br />
Ressource für Planung, Bereitstellung, Wartung und Problembehandlung einer <strong>Active</strong> <strong>Directory</strong>-Infrastruktur<br />
in Windows Server 2008. Die vorliegende technische Referenz richtet sich vornehmlich<br />
an erfahrene IT-Experten, die in mittelständischen und großen Organisationen tätig sind.<br />
Das vorliegende Buch stellt jedoch auch für alle anderen Benutzer eine wertvolle Informationsquelle<br />
dar, die mehr über die Implementierung und Verwaltung von <strong>Active</strong> <strong>Directory</strong> in Windows Server<br />
2008 erfahren möchten.<br />
Eine Neuerung in Windows Server 2008 <strong>Active</strong> <strong>Directory</strong> besteht darin, dass der Begriff <strong>Active</strong><br />
<strong>Directory</strong> nun weit mehr umfasst als in vorherigen Versionen dieses Verzeichnisdienstes. Der <strong>Active</strong><br />
<strong>Directory</strong>-Verzeichnisdienst von Windows 2000 und Windows Server 2003 erhält jetzt die Bezeichnung<br />
<strong>Active</strong> <strong>Directory</strong>-Domänendienste (<strong>Active</strong> <strong>Directory</strong> Domain Services, AD DS), und unter dem<br />
Oberbegriff <strong>Active</strong> <strong>Directory</strong> werden ab sofort verschiedene weitere Verzeichnisdienstkomponenten<br />
zusammengefasst. Hierzu zählen die <strong>Active</strong> <strong>Directory</strong> Lightweight <strong>Directory</strong> Services (AD LDS), die<br />
<strong>Active</strong> <strong>Directory</strong>-Zertifikatdienste (<strong>Active</strong> <strong>Directory</strong> Certificate Services, AD CS), die <strong>Active</strong> <strong>Directory</strong>-Rechteverwaltungsdienste<br />
(<strong>Active</strong> <strong>Directory</strong> Rights Management Services, AD RMS) sowie die<br />
<strong>Active</strong> <strong>Directory</strong>-Verbunddienste (<strong>Active</strong> <strong>Directory</strong> Federation Services, AD FS).<br />
In dieser technischen Referenz finden Sie umfangreiche technische Informationen zur Funktionsweise<br />
von <strong>Active</strong> <strong>Directory</strong> in Windows Server 2008. Zusätzlich werden detaillierte Informationen<br />
zur Implementierung und Wartung der <strong>Active</strong> <strong>Directory</strong>-Infrastruktur bereitgestellt. Darüber hinaus<br />
finden Sie in diesem Buch zahlreiche Hinweise von Mitgliedern des <strong>Active</strong> <strong>Directory</strong>-Produktteams,<br />
<strong>Active</strong> <strong>Directory</strong>-Experten von Microsoft und Verzeichnisdienst-MVPs. Diese Hinweise enthalten<br />
weiterführende Informationen zur Funktionsweise von <strong>Active</strong> <strong>Directory</strong>, Empfehlungen für das Entwerfen<br />
und Implementieren von <strong>Active</strong> <strong>Directory</strong> sowie nützliche Tipps zur Problembehandlung. Die<br />
Begleit-CD zu diesem Buch schließlich enthält Bereitstellungstools, Vorlagen und zahlreiche Beispielskripts,<br />
die Sie direkt verwenden oder anpassen können, um verschiedene Aufgaben bei der Verwaltung<br />
einer <strong>Active</strong> <strong>Directory</strong>-Unternehmensumgebung zu automatisieren.<br />
Über dieses Buch<br />
Das vorliegende Buch gliedert sich in fünf Teile mit den folgenden Kapiteln:<br />
Teil I – Windows Server 2008 <strong>Active</strong> <strong>Directory</strong> – Überblick<br />
• Kapitel 1 – Neuerungen in <strong>Active</strong> <strong>Directory</strong> für Windows Server 2008 Dieses Kapitel bietet einen<br />
Überblick über die neuen Features in Windows Server 2008. Wenn Sie bereits mit Windows Server<br />
2003 <strong>Active</strong> <strong>Directory</strong> vertraut sind, können Sie sich anhand dieses Kapitels einen schnellen<br />
Überblick über das neue Material verschaffen, das in diesem Buch abgedeckt wird.
XX<br />
Einführung<br />
• Kapitel 2 – <strong>Active</strong> <strong>Directory</strong>-Domänendienstkomponenten Dieses Kapitel bietet einen Überblick über<br />
die <strong>Active</strong> <strong>Directory</strong>-Domänendienste. Wenn Sie sich mit dem Thema <strong>Active</strong> <strong>Directory</strong> bisher<br />
noch nicht beschäftigt haben, können Sie sich anhand dieses Kapitels mit den Begriffen und Konzepten<br />
der <strong>Active</strong> <strong>Directory</strong>-Domänendienste vertraut machen.<br />
• Kapitel 3 – <strong>Active</strong> <strong>Directory</strong>-Domänendienste und DNS Eine der wichtigsten Komponenten zur effektiven<br />
Nutzung der <strong>Active</strong> <strong>Directory</strong>-Domänendienste ist eine sinnvoll implementierte DNS-Infrastruktur.<br />
In diesem Kapitel erfahren Sie, was Sie bei einer solchen Implementierung<br />
berücksichtigen müssen.<br />
• Kapitel 4 – <strong>Active</strong> <strong>Directory</strong>-Domänendienstreplikation Die Arbeit mit den <strong>Active</strong> <strong>Directory</strong>-Domänendiensten<br />
setzt das Verständnis der Replikation voraus. In diesem Kapitel werden sämtliche<br />
Details zur Funktionsweise der AD DS-Replikation und deren Konfiguration bereitgestellt.<br />
Teil II – Entwerfen und Implementieren von Windows Server 2008 <strong>Active</strong><br />
<strong>Directory</strong><br />
• Kapitel 5 – Entwerfen der <strong>Active</strong> <strong>Directory</strong>-Domänendienstestruktur Vor der Bereitstellung der <strong>Active</strong><br />
<strong>Directory</strong>-Domänendienste müssen Sie einen Entwurf erstellen, der den Anforderungen Ihrer<br />
Organisation gerecht wird. Dieses Kapitel bietet sämtliche Informationen, die Sie bei der Planung<br />
benötigen.<br />
• Kapitel 6 – Installieren der <strong>Active</strong> <strong>Directory</strong>-Domänendienste Die Installation der <strong>Active</strong> <strong>Directory</strong>-<br />
Domänendienste auf einem Windows Server 2008-Computer ist unkompliziert, bei der Installation<br />
gibt es jedoch verschiedene Auswahlmöglichkeiten. Dieses Kapitel beschreibt alle verfügbaren<br />
Optionen und die Gründe für deren Verwendung.<br />
• Kapitel 7 – Migrieren auf die <strong>Active</strong> <strong>Directory</strong>-Domänendienste Viele Organisationen verwenden<br />
bereits eine Vorgängerversion von <strong>Active</strong> <strong>Directory</strong>. Dieses Kapitel beschreibt, wie Windows Server<br />
2008-Domänencontroller in einer solchen Umgebung bereitgestellt werden und eine <strong>Active</strong><br />
<strong>Directory</strong>-Umgebung auf Windows Server 2008 migriert wird.<br />
Teil III – Verwalten von Windows Server 2008 <strong>Active</strong> <strong>Directory</strong><br />
• Kapitel 8 – <strong>Active</strong> <strong>Directory</strong>-Domänendienstsicherheit Die <strong>Active</strong> <strong>Directory</strong>-Domänendienste übernehmen<br />
in vielen Organisationen die grundlegenden Netzwerkauthentifizierungs- und Autorisierungsdienste.<br />
Dieses Kapitel beschreibt die Funktionsweise der AD DS-Sicherheit und das<br />
Vorgehen zum Schutz Ihrer AD DS-Umgebung.<br />
• Kapitel 9 – Delegieren der <strong>Active</strong> <strong>Directory</strong>-Domänendiensteverwaltung Eine der Optionen bei der AD<br />
DS-Implementierung besteht darin, verschiedene Verwaltungsaufgaben an andere Administratoren<br />
zu delegieren, ohne ihnen Berechtigungen auf Domänenebene zu gewähren. Dieses Kapitel<br />
beschreibt, wie AD DS-Berechtigungen funktionieren und wie sie delegiert werden können.<br />
• Kapitel 10 – Verwalten von <strong>Active</strong> <strong>Directory</strong>-Objekten Eine der Hauptaufgaben eines AD DS-Administrators<br />
besteht in der Verwaltung von AD DS-Objekten wie Benutzern, Gruppen und Organisationseinheiten<br />
(Organizational Units, OUs). Dieses Kapitel behandelt die Verwaltung einzelner<br />
Objekttypen, stellt jedoch zusätzlich auch Informationen dazu bereit, wie eine große Anzahl an<br />
Objekten mithilfe von Skripts verwaltet werden kann.
Über dieses Buch<br />
XXI<br />
• Kapitel 11 – Einführung in Gruppenrichtlinien Gruppenrichtlinien stellen eine zentrale Komponente<br />
in einem Windows Server 2008-Verwaltungssystem dar. Mithilfe von Gruppenrichtlinien können<br />
Sie zahlreiche Desktopeinstellungen und die Sicherheit konfigurieren. In diesem Kapitel wird<br />
neben dem Zweck von Gruppenrichtlinien erläutert, wie Sie Gruppenrichtlinienobjekte anwenden<br />
und filtern.<br />
• Kapitel 12 – Einsetzen von Gruppenrichtlinien zum Verwalten von Benutzerdesktops Eine der wichtigen<br />
Aufgaben, die mithilfe von Gruppenrichtlinien durchgeführt werden können, ist die Konfiguration<br />
von Benutzerdesktops. In Windows Server 2008 und Windows Vista stehen mehrere<br />
Tausend Gruppenrichtlinieneinstellungen zur Verfügung. Dieses Kapitel beschreibt nicht nur, wie<br />
Richtlinien angewendet werden, sondern stellt darüber hinaus auch die wichtigsten Richtlinien<br />
vor.<br />
• Kapitel 13 – Einsetzen von Gruppenrichtlinien zum Verwalten der Sicherheit Ein weiterer wichtiger<br />
Aspekt in Bezug auf Gruppenrichtlinien ist die Anwendung von Sicherheitseinstellungen. Hierzu<br />
zählen neben Einstellungen, die auf alle Benutzer und Computer in der Domäne angewendet werden,<br />
auch Einstellungen, die nur für einzelne Computer oder Benutzer konfiguriert werden. Dieses<br />
Kapitel bietet detaillierte Informationen dazu, wie Sie die Sicherheit mithilfe von Gruppenrichtlinien<br />
konfigurieren.<br />
Teil IV – Warten von Windows Server 2008 <strong>Active</strong> <strong>Directory</strong><br />
• Kapitel 14 – Überwachen und Warten von <strong>Active</strong> <strong>Directory</strong> Dieses Kapitel bereitet Sie auf die Wartung<br />
Ihrer <strong>Active</strong> <strong>Directory</strong>-Infrastruktur nach deren Bereitstellung vor. Sie erfahren, wie Sie Ihre<br />
AD DS-Umgebung überwachen und wie Sie eine AD DS-Domäne warten.<br />
• Kapitel 15 – <strong>Active</strong> <strong>Directory</strong>-Notfallwiederherstellung Aufgrund der zentralen Rolle, welche die<br />
<strong>Active</strong> <strong>Directory</strong>-Domänendienste in vielen Unternehmen innehat, ist es von grundlegender<br />
Bedeutung, sich auf die Wiederherstellung nach einem Systemausfall in Ihrer AD DS-Umgebung<br />
vorzubereiten. In diesem Kapitel erfahren Sie, welche Maßnahmen Sie ergreifen sollten.<br />
Teil V – Identitäts- und Zugriffsverwaltung mit <strong>Active</strong> <strong>Directory</strong><br />
• Kapitel 16 – <strong>Active</strong> <strong>Directory</strong> Lightweight <strong>Directory</strong> Services Die <strong>Active</strong> <strong>Directory</strong> Lightweight<br />
<strong>Directory</strong> Services (AD LDS) gehören zu den neuen Serverrollen, die in Windows Server 2008<br />
unter dem Oberbegriff <strong>Active</strong> <strong>Directory</strong> eingeschlossen sind. Die AD LDS sind als Anwendungsverzeichnis<br />
entworfen – in diesem Kapitel erfahren Sie, wie Sie Ihre AD LDS-Umgebung bereitstellen<br />
und verwalten.<br />
• Kapitel 17 – <strong>Active</strong> <strong>Directory</strong>-Zertifikatdienste Die <strong>Active</strong> <strong>Directory</strong>-Zertifikatdienste (<strong>Active</strong> <strong>Directory</strong><br />
Certificate Services, AD CS) können dazu eingesetzt werden, die Public Key-Infrastruktur<br />
(PKI) zur Bereitstellung von digitalen Zertifikaten zur Verfügung zu stellen, die für zahlreiche<br />
Netzwerksicherheitsimplementierungen von zentraler Bedeutung ist. Dieses Kapitel beschreibt,<br />
wie die <strong>Active</strong> <strong>Directory</strong>-Zertifikatdienste geplant und implementiert werden.<br />
• Kapitel 18 – <strong>Active</strong> <strong>Directory</strong>-Rechteverwaltungsdienste Die <strong>Active</strong> <strong>Directory</strong>-Rechteverwaltungsdienste<br />
(<strong>Active</strong> <strong>Directory</strong> Rights Management Services, AD RMS) bieten die Tools, die zur<br />
Anwendung persistenter Verwendungsrichtlinien auf Informationen benötigt werden, die selbst<br />
dann noch zusammen mit den Informationen gespeichert werden, wenn diese innerhalb oder<br />
außerhalb der Organisation verschoben werden. Dieses Kapitel beschreibt detailliert, wie Sie die<br />
<strong>Active</strong> <strong>Directory</strong>-Zertifikatdienste implementieren.
XXII<br />
Einführung<br />
• Kapitel 19 – <strong>Active</strong> <strong>Directory</strong>-Verbunddienste Mithilfe der <strong>Active</strong> <strong>Directory</strong>-Verbunddienste (<strong>Active</strong><br />
<strong>Directory</strong> Federation Services, AD FS) können Sie Benutzern den Zugriff auf verschiedene webbasierte<br />
Anwendungen innerhalb einer Organisation oder in anderen Organisationen ermöglichen,<br />
ohne dass sich die Benutzer mehrfach authentifizieren müssen. Dieses Kapitel beschreibt die AD<br />
FS-Bereitstellungsszenarien und die Implementierung der <strong>Active</strong> <strong>Directory</strong>-Verbunddienste.<br />
Konventionen in diesem Buch<br />
In diesem Buch werden die folgenden Konventionen verwendet, um besondere Features und Verwendungshinweise<br />
hervorzuheben:<br />
Hinweise für den Leser<br />
Die folgenden Hinweise für den Leser verweisen auf nützliche Detailinformationen:<br />
Element<br />
Hinweis<br />
Wichtig<br />
Achtung<br />
Auf der Begleit-CD<br />
Weitere Informationen<br />
Sicherheitswarnung<br />
Bedeutung<br />
Unterstreicht die Bedeutung eines bestimmten Konzepts oder weist auf Sonderfälle<br />
hin, die nicht für eine alltägliche Situation gelten.<br />
Lenkt die Aufmerksamkeit auf grundlegende Informationen, die berücksichtigt werden<br />
sollten.<br />
Warnt davor, dass eine bestimmte Vorgehensweise oder deren Unterlassung zu<br />
schweren Problemen für Benutzer, Systeme, Datenintegrität usw. führen kann.<br />
Weist auf bezogene Skripts, Tools, Vorlagen oder Aufgabeninformationen auf der<br />
Begleit-CD hin, die den Leser bei der Durchführung einer im Text beschriebenen<br />
Aufgabe unterstützen.<br />
Verweist auf Websites oder andere Materialien, die weiterführende Informationen<br />
zu einem im Text beschriebenen Thema enthalten.<br />
Betont Informationen oder Aufgaben, die für die Erhaltung einer sicheren Umgebung<br />
von grundlegender Bedeutung sind, oder verweist auf Ereignisse, die ein<br />
potenzielles Sicherheitsrisiko darstellen.<br />
Abschnitte mit Zusatzinformationen<br />
Die in diesem Buch verwendeten Abschnitte mit Zusatzinformationen stellen Hintergrundinformationen,<br />
Tipps und Tricks in Bezug auf Windows Server 2008 <strong>Active</strong> <strong>Directory</strong> bereit:<br />
Element<br />
Direkt von der Quelle<br />
Praxistipp<br />
Bedeutung<br />
Diese Abschnitte enthalten von Microsoft-Experten bereitgestellte Hintergrundinformationen<br />
zur Funktionsweise von <strong>Active</strong> <strong>Directory</strong> in Windows Server 2008, Empfehlungen für<br />
die Planung und Implementierung der <strong>Active</strong> <strong>Directory</strong>-Serverrollen und Tipps zur Problembehandlung.<br />
Diese Abschnitte enthalten von Verzeichnisdienst-MVPs bereitgestellte Praxisinformationen<br />
mit empfohlenen Vorgehensweisen für die Planung und Implementierung der <strong>Active</strong><br />
<strong>Directory</strong>-Serverrollen sowie Tipps zur Problembehandlung.
Begleit-CD<br />
XXIII<br />
Element<br />
So funktioniert es<br />
Bedeutung<br />
Diese Abschnitte bieten einen weiterführenden Einblick in Windows Server 2008 <strong>Active</strong><br />
<strong>Directory</strong>-Features und ihre Funktionsweise.<br />
Befehlszeilenbeispiele<br />
Für die in diesem Buch verwendeten Befehlszeilenbeispiele gelten die folgenden Konventionen:<br />
Formatierung<br />
Fettformatierung<br />
Kursivformatierung<br />
Nicht proportionale Schrift<br />
%SystemRoot%<br />
Bedeutung<br />
Wird zur Kennzeichnung von Benutzereingaben verwendet (Zeichen, die exakt wie dargestellt<br />
eingegeben werden)<br />
Wird zur Kennzeichnung von Variablen verwendet, für die ein spezifischer Wert eingegeben<br />
werden muss (beispielsweise verweist Dateiname auf einen beliebigen gültigen Dateinamen)<br />
Wird für Codebeispiele und Befehlszeilenausgaben verwendet<br />
Wird zur Kennzeichnung von Umgebungsvariablen verwendet<br />
Begleit-CD<br />
Die Begleit-CD gehört zum Lieferumfang dieses Buches. Viele der in den Buchkapiteln genannten<br />
Tools und Ressourcen befinden sich auf der Begleit-CD-ROM; darüber hinaus können Sie anhand der<br />
Verknüpfungen auf weitere Tools und Ressourcen der CD zugreifen.<br />
Eine Dokumentation der Inhalte und Struktur der Begleit-CD finden Sie in der Datei Readme.txt auf<br />
der CD.<br />
Verwaltungsskripts<br />
Die CD umfasst eine Reihe von Skripts zur Verwaltung von <strong>Active</strong> <strong>Directory</strong>. Darunter befinden sich<br />
Skripts für den Abruf von Informationen zu <strong>Active</strong> <strong>Directory</strong>-Objekten und Skripts zum Erstellen<br />
oder Ändern dieser Objekte. Für sämtliche Skripts ist Windows PowerShell erforderlich. Auf der<br />
Begleit-CD sind folgende Skripts enthalten:<br />
• AddUserToGroup.ps1 Fügt ein Benutzerkonto einer Gruppe innerhalb derselben OU hinzu<br />
• CreateAndEnableUserFromCSV.ps1 Erstellt ein aktiviertes Benutzerkonto durch Lesen einer .csv-<br />
Datei<br />
• CreateGroup.ps1 Erstellt eine Gruppe in <strong>Active</strong> <strong>Directory</strong> in der angegebenen OU und Domäne<br />
• CreateObjectInAD.ps1 Erstellt ein Objekt in <strong>Active</strong> <strong>Directory</strong><br />
• CreateOU.ps1 Erstellt eine Organisationseinheit (OU) in <strong>Active</strong> <strong>Directory</strong><br />
• CreateUser.ps1 Erstellt ein Benutzerkonto in <strong>Active</strong> <strong>Directory</strong><br />
• EnableDisableUserSetPassword.ps1 Aktiviert oder deaktiviert ein Benutzerkonto und legt das<br />
Kennwort fest<br />
• GetDomainPwdSettings.ps1 Ruft die Kennwortrichtlinieneinstellungen für eine Domäne ab<br />
• GetModifiedDateFromAD.ps1 Listet das Datum der letzten Änderung für einen spezifischen Benutzer<br />
einer lokalen Domäne oder Remotedomäne auf<br />
• ListUserLastLogon.ps1 Listet das Datum der letzten Anmeldung für einen spezifischen Benutzer<br />
an einer lokalen Domäne oder Remotedomäne auf
XXIV<br />
Einführung<br />
• LocateDisabledUsers.ps1 Ermittelt deaktivierte Benutzerkonten in einer lokalen Domäne oder<br />
Remotedomäne<br />
• LocateLockedOutUsers.ps1 Ermittelt gesperrte Benutzerkonten in einer lokalen Domäne oder<br />
Remotedomäne<br />
• LocateOldComputersNotLogon.ps1 Ermittelt Computerkonten in einer lokalen Domäne oder<br />
Remotedomäne, die sich für eine bestimmte Anzahl an Tagen nicht angemeldet haben<br />
• LocateOldUsersNotLogOn.ps1 Prüft eine lokale Domäne oder Remotedomäne auf Benutzerkonten,<br />
die sich für eine längere Zeit (angegeben in Tagen) nicht an einer Domäne angemeldet haben<br />
• ModifyUser.ps1 Ändert Benutzerattribute in <strong>Active</strong> <strong>Directory</strong><br />
• QueryAD.ps1 Fragt <strong>Active</strong> <strong>Directory</strong>-Objekte wie beispielsweise Benutzer, Gruppen, Computer<br />
usw. ab<br />
• UnlockLockedOutUsers.ps1 Entsperrt Benutzerkonten, die gesperrt wurden<br />
Zusätzlich zu diesen Skripts enthalten viele der Kapitel Verweise auf zusätzliche Skripts, mit denen<br />
die in einem Kapitel beschriebenen Verwaltungsaufgaben durchgeführt werden können.<br />
Eine vollständige Dokumentation der Inhalte und Struktur der Begleit-CD finden Sie in der Datei<br />
Readme.txt auf der CD.<br />
Verwenden der Skripts<br />
Die Begleit-CD enthält Skripts, die in VBScript (Dateierweiterung .vbs) und Windows PowerShell<br />
(Dateierweiterung .ps1) geschrieben wurden.<br />
Die VBScript-Skripts auf der Begleit-CD werden durch die Erweiterung .vbs gekennzeichnet. Zur<br />
Verwendung dieser Skripts doppelklicken Sie auf die Datei oder führen das Skript direkt von einer<br />
Befehlszeile aus.<br />
Die Windows PowerShell-Skripts erfordern, dass Windows PowerShell auf Ihrem Computer installiert<br />
wurde und Sie Windows PowerShell zur Ausführung nicht signierter Skripts konfiguriert haben.<br />
Sie können die Windows PowerShell-Skripts auf Windows XP SP2, Windows Server 2003 SP1, Windows<br />
Vista oder Windows Server 2008 ausführen. Damit die Skripts funktionieren, müssen alle Computer<br />
Mitglieder einer Windows Server 2008-Domäne sein.<br />
Hinweis Informationen zu den Systemanforderungen für die Ausführung der CD-Skripts finden Sie auf der<br />
Seite „Systemanforderungen“ am Ende des Buches.<br />
Zusätzliche Onlineinhalte<br />
Sobald neue oder aktualisierte Inhalte zur Vervollständigung des vorliegenden Buches zur Verfügung<br />
stehen, werden diese online auf der Microsoft Press Online Windows Server and Client-Website (in<br />
englischer Sprache) bereitgestellt. Basierend auf dem finalen Build von Windows Server 2008 finden<br />
Sie hier Aktualisierungen zum Buchinhalt, Artikel, Links zu Begleitinhalten, Errata, Beispielkapitel<br />
und weitere Informationen. Diese Website wird in Kürze unter http://www.microsoft.com/learning/<br />
books/online/serverclient zur Verfügung stehen und regelmäßig aktualisiert.
Supporthinweise für die technische Referenz<br />
XXV<br />
Digital Content for Digital Book Readers: If you bought a digital-only edition of this book, you can<br />
enjoy select content from the print edition’s companion CD.<br />
Visit http://go.microsoft.com/fwlink/?LinkId=109208 to get your downloadable content. This content<br />
is always up-to-date and available to all readers.<br />
Supporthinweise für die technische Referenz<br />
Microsoft Press bemüht sich um die Richtigkeit der in diesem Buch sowie der auf der Begleit-CD enthaltenen<br />
Informationen. Unter der folgenden Webadresse stellt Microsoft Press Korrekturen an diesem<br />
Buch zur Verfügung:<br />
http://www.microsoft.com/learning/support/search.asp.<br />
Wenn Sie Kommentare, Fragen oder Anregungen zu diesem Buch oder den Inhalten der Begleit-CD<br />
haben, oder wenn eine Frage nicht mithilfe der Knowledge Base beantwortet werden kann, wenden<br />
Sie sich bitte per E-Mail oder schriftlich an Microsoft Press:<br />
• Per E-Mail: rkinput@microsoft.com<br />
• Per Post:<br />
Microsoft Press<br />
Betrifft: Windows Server 2008 <strong>Active</strong> <strong>Directory</strong> – Die technische Referenz<br />
Konrad-Zuse-Straße 1<br />
85716 Unterschleißheim<br />
Beachten Sie, dass unter den oben aufgeführten Adressen kein technischer Support verfügbar ist.<br />
Informationen zum Produktsupport finden Sie auf der Supportwebsite von Microsoft Press unter folgender<br />
Adresse:<br />
http://support.microsoft.com
T E I L I<br />
Windows Server 2008 <strong>Active</strong> <strong>Directory</strong> –<br />
Überblick<br />
Inhalt dieses Teils:<br />
Kapitel 1: Neuerungen in <strong>Active</strong> <strong>Directory</strong> für Windows Server 2008 . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 3<br />
Kapitel 2: <strong>Active</strong> <strong>Directory</strong>-Domänendienstkomponenten . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 19<br />
Kapitel 3: <strong>Active</strong> <strong>Directory</strong>-Domänendienste und DNS . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 61<br />
Kapitel 4: <strong>Active</strong> <strong>Directory</strong>-Domänendienstreplikation . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 93
3<br />
K A P I T E L 1<br />
Neuerungen in <strong>Active</strong> <strong>Directory</strong> für Windows<br />
Server 2008<br />
Inhalt dieses Kapitels:<br />
Neuerungen in den <strong>Active</strong> <strong>Directory</strong>-Domänendiensten . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 3<br />
Zusätzliche <strong>Active</strong> <strong>Directory</strong>-Dienstrollen. . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 11<br />
Zusammenfassung. . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 17<br />
Neuerungen in den <strong>Active</strong> <strong>Directory</strong>-Domänendiensten<br />
Wenngleich vieles von dem, was Sie für die Verwaltung einer <strong>Active</strong> <strong>Directory</strong>-Domäne wissen müssen,<br />
im Vergleich zu vorherigen Versionen der Verzeichnisdienstimplementierung, z.B. unter Windows<br />
2000 und Windows Server 2003, unverändert geblieben ist, gibt es mehrere nützliche neue Features<br />
für Administratoren zur Verbesserung der Steuerung und Sicherheit der Domänenumgebung. In<br />
diesem Kapitel werden sechs Weiterentwicklungen in den <strong>Active</strong> <strong>Directory</strong>-Domänendiensten (AD<br />
DS) sowie vier neue Funktionen behandelt, die <strong>Active</strong> <strong>Directory</strong> in Ihrem Unternehmen ausfüllen<br />
kann und wird.<br />
Schreibgeschützte Domänencontroller (Read-Only Domain Controllers,<br />
RODC)<br />
Eines der neuen Features von Windows Server 2008 ist die Möglichkeit der Bereitstellung eines<br />
schreibgeschützten Domänencontrollers. Auf diesem neuen Domänencontrollertyp befinden sich, wie<br />
der Name schon sagt, schreibgeschützte Partitionen der <strong>Active</strong> <strong>Directory</strong>-Datenbank.<br />
Ein schreibgeschützter Domänencontroller ermöglicht Unternehmen die einfache Bereitstellung eines<br />
Domänencontrollers in Umgebungen, in denen die physische Sicherheit nicht gewährleistet ist, z.B.<br />
an Zweigstellenstandorten, oder in Szenarien, in denen die lokale Speicherung aller Domänenkennwörter<br />
als Hauptbedrohung der Sicherheit gilt, z.B. bei einer anwendungsbezogenen Rolle. Ein solcher<br />
Domänencontroller eignet sich auch für die gemeinsame Verwendung mit der Server Core-Installationsoption<br />
von Windows Server 2008.<br />
Unternehmen, welche die physische Sicherheit eines Zweigstellen-Domänencontrollers garantieren<br />
können, stellen ggf. aufgrund der reduzierten Verwaltungsanforderungen ebenfalls einen schreibgeschützten<br />
Domänencontroller bereit, die durch Features wie eine Trennung der Administratorrolle<br />
ermöglicht werden.<br />
Da die Verwaltung eines schreibgeschützten Domänencontrollers an eine Domänenbenutzer- oder<br />
Sicherheitsgruppe delegiert werden kann, ist ein schreibgeschützter Domänencontroller gut für Standorte<br />
geeignet, an denen es keine Mitglieder der Gruppe Domänen-Admins geben soll. Schreibgeschützte<br />
Domänencontroller besitzen folgende Eigenschaften:
4 Kapitel 1: Neuerungen in <strong>Active</strong> <strong>Directory</strong> für Windows Server 2008<br />
Schreibgeschützte AD DS-Datenbank<br />
Mit Ausnahme von Kontokennwörtern enthält ein schreibgeschützter Domänencontroller die meisten<br />
der <strong>Active</strong> <strong>Directory</strong>-Objekte und -Attribute, die sich auf einem beschreibbaren Domänencontroller<br />
befinden. Die Datenbank, die auf dem schreibgeschützten Domänencontroller gespeichert ist, kann<br />
allerdings nicht geändert werden. Änderungen müssen auf einem beschreibbaren Domänencontroller<br />
erfolgen und anschließend auf den schreibgeschützten Domänencontroller repliziert werden.<br />
Lokalen Anwendungen, die einen Lesezugriff auf das Verzeichnis benötigen, kann Zugriff gewährt<br />
werden. LDAP-Anwendungen (Lightweight <strong>Directory</strong> Application Protocol), die einen Schreibzugriff<br />
anfordern, erhalten eine LDAP-Weiterleitungsantwort, die sie zu einem beschreibbaren Domänencontroller<br />
leitet (in der Regel zu einem Hubstandort).<br />
Attributsatz mit RODC-Filter<br />
Nur bestimmte Attribute werden auf den schreibgeschützten Domänencontroller repliziert. Sie können<br />
einen Attributsatz, der Attributsatz mit RODC-Filter genannt wird, dynamisch so konfigurieren,<br />
dass dessen Attribute nicht auf einen schreibgeschützten Domänencontroller repliziert werden. Im<br />
Attributsatz mit RODC-Filter definierte Attribute werden nicht auf schreibgeschützte Domänencontroller<br />
in der Gesamtstruktur repliziert.<br />
Ein böswilliger Benutzer, der die Sicherheit eines schreibgeschützten Domänencontrollers gefährdet,<br />
kann versuchen, diesen so zu konfigurieren, das versucht wird, im Attributsatz mit RODC-Filter definierte<br />
Attribute zu replizieren. Wenn der schreibgeschützte Domänencontroller versucht, diese Attribute<br />
von einem Domänencontroller zu replizieren, auf dem Windows Server 2008 ausgeführt wird,<br />
wird die Replikationsanforderung verweigert. Deshalb sollten Sie als Sicherheitsmaßnahme die<br />
Funktionsebene der Gesamtstruktur auf Windows Server 2008 festlegen, wenn Sie den Attributsatz<br />
mit RODC-Filter konfigurieren möchten. Wenn die Funktionsebene der Gesamtstruktur Windows<br />
Server 2008 ist, kann ein schreibgeschützter Domänencontroller, dessen Sicherheit gefährdet ist, nicht<br />
auf diese Weise ausgenutzt werden, da Domänencontroller mit Windows Server 2003 in der Gesamtstruktur<br />
nicht zulässig sind.<br />
Unidirektionale Replikation<br />
Ebenso wie keine Änderungen direkt auf den schreibgeschützten Domänencontroller geschrieben<br />
werden, sorgt dieser auch für keine Änderungen. Dem entsprechend beziehen beschreibbare Domänencontroller,<br />
die Replikationspartner sind, keine Änderungen vom schreibgeschützten Domänencontroller.<br />
Dies bedeutet, dass Änderungen oder Manipulationen, die böswillige Benutzer an Zweigstellenstandorten<br />
vornehmen, nicht vom schreibgeschützten Domänencontroller in den Rest der<br />
Gesamtstruktur repliziert werden. Außerdem wird die Verarbeitungslast von Bridgeheadservern am<br />
Hub und der Aufwand zur Überwachung der Replikation reduziert.<br />
Die unidirektionale RODC-Replikation gilt sowohl für die AD DS- als auch die DFS-Replikation<br />
(Distributed File System, verteiltes Dateisystem). Der schreibgeschützte Domänencontroller führt für<br />
AD DS- und DFS-Replikationsänderungen eine normale eingehende Replikation durch.<br />
Zwischenspeichern von Anmeldeinformationen<br />
Das Zwischenspeichern von Anmeldeinformationen ist die Speicherung von Benutzer- und Computeranmeldeinformationen<br />
einschließlich des Benutzerkennworts in Form verschiedener Hashwerte.<br />
Auf einem schreibgeschützten Domänencontroller werden standardmäßig keine Benutzer- und Computeranmeldeinformationen<br />
gespeichert.
Neuerungen in den <strong>Active</strong> <strong>Directory</strong>-Domänendiensten 5<br />
Ausnahmen bilden das Computerkonto des schreibgeschützten Domänencontrollers und das besondere<br />
(und eindeutige) Konto krbtgt, über das jeder schreibgeschützte Domänencontroller verfügt.<br />
Sie können das Zwischenspeichern von Anmeldeinformationen auf dem schreibgeschützten Domänencontroller<br />
konfigurieren, indem Sie die Kennwortreplikationsrichtlinie des jeweiligen Domänencontrollers<br />
ändern. Beispiel: Wenn der schreibgeschützte Domänencontroller die Anmeldeinformationen<br />
aller Benutzer in der Zweigstelle zwischenspeichern soll, die sich regelmäßig an diesem<br />
Standort anmelden, können Sie alle Benutzerkonten für Benutzer in der Zweigstelle der Kennwortreplikationsrichtlinie<br />
hinzufügen. Auf diese Weise können sich Benutzer am Domänencontroller<br />
anmelden, selbst wenn die WAN-Verbindung zu einem beschreibbaren Domänencontroller nicht verfügbar<br />
ist. Außerdem können Sie alle Zweigstellen-Computerkonten hinzufügen, sodass sich diese<br />
Konten beim schreibgeschützten Domänencontroller authentifizieren können, auch wenn die WAN-<br />
Verbindung ausfällt. Bei diesen beiden Szenarien muss die WAN-Verbindung zu einem beschreibbaren<br />
Domänencontroller während der ersten Anmeldung verfügbar sein, damit die Anmeldeinformationen<br />
auf dem schreibgeschützten Domänencontroller zwischengespeichert werden können.<br />
Trennung der Administratorrolle<br />
Sie können lokale Administratorberechtigungen für einen schreibgeschützten Domänencontroller an<br />
beliebige Domänenbenutzer delegieren, ohne ihnen Benutzerrechte für die Domäne oder andere Domänencontroller<br />
erteilen zu müssen. Dadurch kann sich ein Benutzer in einer lokalen Zweigstelle für Wartungsarbeiten<br />
(z.B. zur Aktualisierung eines Treibers) an einem schreibgeschützten Domänencontroller<br />
anmelden. Er kann sich jedoch nicht an einem anderen Domänencontroller anmelden oder andere<br />
Verwaltungsaufgaben in der Domäne ausführen. Auf diese Weise kann die Fähigkeit zur effektiven<br />
Verwaltung des schreibgeschützten Domänencontrollers in einer Zweigstelle an einen Benutzer an<br />
diesem Standort delegiert werden, ohne die Sicherheit der restlichen Domäne zu gefährden.<br />
Schreibgeschütztes DNS<br />
Sie können den DNS-Serverdienst auf einem schreibgeschützten Domänencontroller installieren. Ein<br />
schreibgeschützter Domänencontroller kann alle vom DNS verwendeten Anwendungsverzeichnispartitionen<br />
replizieren, einschließlich ForestDNSZones und DomainDNSZones. Wenn der DNS-Server<br />
auf einem schreibgeschützten Domänencontroller installiert ist, können Clients diesen wie jeden<br />
anderen DNS-Server zur Auflösung von Namen abfragen.<br />
Der DNS-Server auf einem schreibgeschützten Domänencontroller unterstützt jedoch keine direkten<br />
Clientaktualisierungen. Demzufolge registriert der schreibgeschützte Domänencontroller keine<br />
Namenserver-Ressourceneinträge für <strong>Active</strong> <strong>Directory</strong>-integrierte Zonen, als dessen Host er dient.<br />
Wenn ein Client versucht, seine DNS-Einträge im Abgleich mit einem schreibgeschützten Domänencontroller<br />
zu aktualisieren, gibt der Server eine Weiterleitung zurück. Der Client kann anschließend<br />
versuchen, die Aktualisierung im Abgleich mit dem DNS-Server auszuführen, der in der Weiterleitung<br />
angegeben ist. Im Hintergrund versucht der DNS-Server auf dem schreibgeschützten Domänencontroller,<br />
den aktualisierten Eintrag vom DNS-Server zu replizieren, der die Aktualisierung durchgeführt<br />
hat. Diese Replikationsanforderung gilt nur für ein einzelnes Objekt (den DNS-Eintrag). Die<br />
gesamte Liste der geänderten Zonen- bzw. Domänendaten wird bei dieser besonderen Replikationsanforderung<br />
für ein einzelnes Objekt nicht repliziert. Zur Optimierung der Sicherheit muss der<br />
schreibgeschützte Domänencontroller der Zweigstelle seine Domänencontrollereinträge (z.B. Zeitserver,<br />
LDAP-Host, KDC-Host usw.) bei einem Windows Server 2008-Domänencontroller registrieren.<br />
Wenn anschließend die Sicherheit des schreibgeschützten Domänencontrollers gefährdet sein<br />
sollte, kann dieser keine DNS-Einträge ändern oder die Identität eines anderen Domänencontrollers<br />
annehmen bzw. sich nicht Clients außerhalb des eigenen Standorts ankündigen.
6 Kapitel 1: Neuerungen in <strong>Active</strong> <strong>Directory</strong> für Windows Server 2008<br />
AD DS-Überwachung<br />
Um die AD DS besser verwalten zu können, ist es nicht nur hilfreich, die Objekte zu kennen, die<br />
geändert wurden, sondern auch deren aktuelle und vorherige Werte. In bisherigen Versionen der AD<br />
DS gab es mit Verzeichnisdienstzugriff überwachen eine einzige Überwachungsrichtlinie. Windows<br />
Server 2008 bietet weitere Unterkategorien der Verzeichnisdienstüberwachung, die zusätzliche Protokollinformationen<br />
zu Erfolgs- und Misserfolgsereignissen in den AD DS bieten. Unter Windows<br />
Server 2008 wurde die Richtlinie Verzeichnisdienstzugriff überwachen in vier Unterkategorien unterteilt:<br />
• Verzeichnisdienstzugriff<br />
• Verzeichnisdienständerungen<br />
• Verzeichnisdienstreplikation<br />
• Detaillierte Verzeichnisdienstreplikation<br />
Diese globale Überwachungsrichtlinie ist unter Windows Server 2008 standardmäßig aktiviert. Die<br />
ebenfalls standardmäßig aktivierte Unterkategorie Verzeichnisdienständerungen ist so eingestellt, dass<br />
nur Erfolgsereignisse protokolliert werden. Sie können die zu überwachenden Vorgänge bestimmen,<br />
indem Sie die System-Zugriffssteuerungsliste für die entsprechenden Verzeichnisdienstobjekte<br />
ändern. Zum Überwachen von Verzeichnisdienständerungen stehen nun die folgenden Funktionen<br />
zur Verfügung:<br />
• Wenn ein erfolgreicher Änderungsvorgang auf ein Attribut eines Objekts angewendet wird, protokollieren<br />
die AD DS die bisherigen und aktuellen Werte des Attributs. Wenn das Attribut mehrere<br />
Werte hat, werden nur die Werte protokolliert, die sich als Ergebnis des Änderungsvorgangs<br />
ändern.<br />
• Wird ein neues Objekt erstellt, werden die Werte der Attribute protokolliert, die zum Zeitpunkt<br />
der Erstellung aufgefüllt werden. Wenn Attribute während des Erstellungsvorgangs hinzugefügt<br />
werden, erfolgt eine Protokollierung dieser neuen Attribute.<br />
• Wenn ein Objekt in einer Domäne verschoben wird, werden der bisherige und der neue Speicherort<br />
(in Form des definierten Namens) protokolliert. Beim Verschieben eines Objekts in eine<br />
andere Domäne wird ein Erstellungsereignis auf dem Domänencontroller in der Zieldomäne<br />
generiert.<br />
• Wird ein Objekt wiederhergestellt, wird der Speicherort protokolliert, an den das Objekt verschoben<br />
wird. Außerdem werden, falls Attribute bei einem Wiederherstellungsvorgang hinzugefügt,<br />
geändert oder gelöscht werden, die Werte dieser Attribute ebenfalls protokolliert.<br />
Hinweis Wenngleich die globale Überwachungsrichtlinie Verzeichnisdienstzugriff überwachen über die<br />
Konsole Gruppenrichtlinienverwaltung aktiviert wird, gibt es in Windows Server 2008 keine grafische Benutzeroberfläche,<br />
auf der die AD DS-Unterkategorien für diese Überwachungsrichtlinie angezeigt oder konfiguriert<br />
werden können. Zu diesem Zweck müssen Sie das Befehlszeilenprogramm Auditpol.exe verwenden.<br />
Weitere Informationen zum Verwenden von Auditpol.exe zum Aktivieren einzelner Unterkategorien finden<br />
Sie in Kapitel 8, „<strong>Active</strong> <strong>Directory</strong>-Domänendienstsicherheit“, sowie im „Windows Server 2008 Auditing AD<br />
DS Changes Step-by-Step Guide“ unter http://technet2.microsoft.com/windowsserver2008/de/library/<br />
9a5cba91-7153-4265-adda-c70df23219821031.mspx?mfr=true.
Fein abgestimmte Kennwortrichtlinien<br />
Neuerungen in den <strong>Active</strong> <strong>Directory</strong>-Domänendiensten 7<br />
Unter Windows Server 2000 und Windows Server 2003 werden sowohl Kennwortrichtlinien- als auch<br />
Kontosperreinstellungen für alle Benutzer in der Domäne von der Standarddomänenrichtlinie gesteuert.<br />
Um eine getrennte Kennwortrichtlinien- oder Kontosperreinstellung für bestimmte Benutzer in<br />
der Domäne einzurichten, mussten bislang zusätzliche Domänen oder Kennwortfilter erstellt werden.<br />
In den Windows Server 2008-AD DS stehen nun fein abgestimmte Kennwortrichtlinien zur Verfügung,<br />
um in einer einzelnen Domäne mehrere Kennwortrichtlinien anzugeben. Dadurch können Mitglieder<br />
der Gruppe Domänen-Admins getrennte Kennwortrichtlinien- und Kontosperreinstellungen für<br />
verschiedene Benutzertypen in der Domäne einrichten. Ein Domänenadministrator kann eine strengere<br />
Kennwortrichtlinie für eine Hauptbenutzergruppe mit höheren Berechtigungen und eine weniger<br />
strenge Kennwortrichtlinie für normale Benutzer wählen.<br />
Die fein abgestimmten Kennwortrichtlinien unter Windows Server 2008 können entweder Benutzerobjekten<br />
oder globalen Sicherheitsgruppen zugewiesen werden. Sie können eine fein abgestimmte<br />
Kennwortrichtlinie nicht direkt einer Organisationseinheit zuweisen. Um eine andere Kennwortrichtlinie<br />
für Mitglieder der Organisationseinheit zu erstellen, weisen Sie die Kennwortrichtlinie einer<br />
globalen Sicherheitsgruppe zu, die der Organisationseinheit logisch zugeordnet ist (einer sogenannten<br />
Schattengruppe). Wenn Sie einen Benutzer aus einer Organisationseinheit in eine andere verschieben,<br />
müssen Sie die Mitgliedschaft der Schattengruppe aktualisieren, wenn der Benutzer der Kennwortrichtlinie<br />
der neuen Organisationseinheit (d.h. nicht mehr der Richtlinie der alten Organisationseinheit)<br />
unterliegen soll.<br />
Speichern fein abgestimmter Kennwortrichtlinien<br />
Im AD DS-Schema werden zum Speichern fein abgestimmter Kennwortrichtlinien die beiden neuen<br />
Objektklassen Password Settings Container (PSC) und Password Settings erstellt. Password Settings-<br />
Objekte (PSOs) werden im PSC gespeichert. Der PSC wird standardmäßig im Container System der<br />
Domäne erstellt, der nicht verschoben, umbenannt oder gelöscht werden kann. Ein PSO hat Attribute<br />
für alle Einstellungen, die in der Standarddomänenrichtlinie festgelegt werden können (außer für Kerberos-Einstellungen).<br />
Dazu zählen Attribute für die folgenden Kennworteinstellungen:<br />
• Kennwortchronik erzwingen<br />
• Maximales Kennwortalter<br />
• Minimales Kennwortalter<br />
• Minimale Kennwortlänge<br />
• Kennwörter müssen den Komplexitätsanforderungen entsprechen<br />
• Kennwort mit umkehrbarer Verschlüsselung speichern<br />
Dazu zählen auch Attribute für die folgenden Kontosperreinstellungen:<br />
• Kontosperrdauer<br />
• Kontensperrungsschwelle<br />
• Kontosperrungszähler zurücksetzen nach<br />
Außerdem hat ein PSO die folgenden beiden neuen Attribute:<br />
• PSO-Link Ein mehrwertiges Attribut, das mit Benutzern und/oder Gruppenobjekten verknüpft ist.<br />
• Vorrang Ein Ganzzahlwert, der zum Lösen von Konflikten dient, wenn für ein Benutzer- oder<br />
Gruppenobjekt mehrere PSOs gelten.
8 Kapitel 1: Neuerungen in <strong>Active</strong> <strong>Directory</strong> für Windows Server 2008<br />
Hinweis Wenn ein Domänencontroller mit Windows Server 2008 einer vorhandenen <strong>Active</strong> <strong>Directory</strong>-<br />
Domäne hinzugefügt wird, müssen Sie Adprep ausführen, um das <strong>Active</strong> <strong>Directory</strong>-Schema um die beiden<br />
neuen Objektklassen zu erweitern, die für die fein abgestimmte Kennwortrichtlinie erforderlich sind. Das<br />
Befehlszeilenprogramm Adprep bereitet das Schema auf die Änderungen vor, die zur Unterstützung der AD<br />
DS unter Windows Server 2008 erforderlich sind. Weitere Informationen zum Verwenden von Adprep finden<br />
Sie in Kapitel 6, „Installieren der <strong>Active</strong> <strong>Directory</strong>-Domänendienste“, sowie in „Schrittweise Anleitung für die<br />
Konfiguration abgestimmter Kennwort- und Kontosperrungsrichtlinien“ unter http://technet2.microsoft.com/<br />
windowsserver2008/de/library/76521193-4f13-47d8-85ad-70c3cdbdb4061031.mspx?mfr=true.<br />
Richtlinienergebnissatz für fein abgestimmte Kennwortrichtlinie<br />
Fein abgestimmte Kennwortrichtlinieneinstellungen können sowohl Benutzerobjekten als auch globalen<br />
Sicherheitsgruppen zugewiesen werden. Der Richtlinienergebnissatz (Resultant Set of Policy,<br />
RSOP) kann nur für das Benutzerobjekt berechnet werden. Wenn mehrere PSOs mit einem Benutzer<br />
oder einer Gruppe verknüpft sind, wird der Richtlinienergebnissatz, der zugeordnet wird, wie folgt<br />
bestimmt:<br />
1. Ein PSO, das direkt mit einem Benutzerobjekt verknüpft ist, ist das resultierende PSO. Wenn<br />
mehrere PSOs direkt mit dem Benutzerobjekt verknüpft sind, wird im Ereignisprotokoll eine<br />
Warnmeldung protokolliert, und das PSO mit dem niedrigsten Vorrangwert ist das resultierende<br />
PSO.<br />
2. Wenn kein PSO mit dem Benutzerobjekt verknüpft ist, werden die Mitgliedschaften in globalen<br />
Sicherheitsgruppen des Benutzers und alle für den Benutzer geltenden PSOs basierend auf diesen<br />
globalen Gruppenmitgliedschaften verglichen. Das PSO mit dem niedrigsten Vorrangwert ist das<br />
resultierende PSO. (Wenn es mehrere niedrigste Vorrangwerte gibt, wird deren Anwendungsreihenfolge<br />
anhand der PSO-GUID bestimmt).<br />
3. Ergibt sich aus den Bedingungen (1) und (2) kein PSO, gilt die Standarddomänenrichtlinie.<br />
Es gibt drei direkt auf das Benutzerobjekt anwendbare Einstellungen, die stets die Einstellungen außer<br />
Kraft setzen, die aufgrund der fein abgestimmten Kennwortrichtlinie gelten. Sie können diese Bits im<br />
Attribut userAccountControl des Benutzerobjekts festlegen:<br />
• Umkehrbare Kennwortverschlüsselung erforderlich<br />
• Kennwort nicht erforderlich<br />
• Kennwort läuft nicht ab<br />
Diese Bits setzen die Einstellungen im resultierenden PSO außer Kraft, das dem Benutzerobjekt zugeordnet<br />
wird (ebenso wie diese Bits die Einstellungen in der Standarddomänenrichtlinie unter Windows<br />
2000 und Windows Server 2003 außer Kraft setzen).<br />
Neustartmöglichkeit der <strong>Active</strong> <strong>Directory</strong>-Domänendienste<br />
Die Neustartmöglichkeit der <strong>Active</strong> <strong>Directory</strong>-Domänendienste unter Windows Server 2008 ermöglicht<br />
dem Administrator das Ausführen von Aufgaben, die offline erfolgen, ohne den Domänencontroller<br />
neu starten zu müssen. In früheren Windows Server-Versionen war für Offlineaufgaben wie die<br />
Offlinedefragmentierung der Datenbank ein Neustart des Domänencontrollers im Verzeichnisdienst-<br />
Wiederherstellungsmodus erforderlich.
Neuerungen in den <strong>Active</strong> <strong>Directory</strong>-Domänendiensten 9<br />
Unter Windows Server 2008 können Sie die AD DS beenden und die erforderlichen Änderungen vornehmen,<br />
während andere Dienste auf dem Server (z.B. DHCP [Dynamic Host Configuration Protocol])<br />
davon nicht betroffen sind und Anforderungen der Benutzer weiter erfüllen können, während die<br />
AD DS deaktiviert sind. Beachten Sie, dass abhängige Dienste wie DNS und Schlüsselverteilungscenter<br />
ohne die AD DS nicht funktionieren. Abhängige Dienste werden bei Beenden der AD DS ebenfalls<br />
beendet.<br />
Ein Domänencontroller mit Windows Server 2008 kann einen von drei möglichen Status aufweisen:<br />
• AD DS gestartet In diesem Status sind die AD DS gestartet. Für Clients und andere auf dem Server<br />
ausgeführte Dienste entspricht ein Windows Server 2008-Domänencontroller in diesem Status<br />
einem Domänencontroller mit Windows 2000 Server oder Windows Server 2003.<br />
• AD DS beendet In diesem Status sind die AD DS beendet. Wenngleich dieser Modus besonders<br />
ist, weist der Server einige Merkmale von sowohl einem Domänencontroller im Verzeichnisdienst-Wiederherstellungsmodus<br />
als auch einem der Domäne beigetretenen Mitgliedsserver auf.<br />
• Verzeichnisdienst-Wiederherstellungsmodus Dieser Modus ist im Vergleich zu Windows Server<br />
2003 unverändert.<br />
Sie können die AD DS über die Komponente Dienste des MMC-Snap-Ins Computerverwaltung<br />
bequem starten und beenden oder den Dienst wie alle anderen Dienste beenden, die lokal auf dem<br />
Server ausgeführt werden.<br />
Datenbankbereitstellungstool<br />
Das Datenbankbereitstellungstool (Dsamain.exe) ermöglicht das Anzeigen von Snapshots und<br />
Sicherungen von AD DS-Daten, um zu bestimmen, welche Sicherung bzw. welcher Snapshot die<br />
gewünschten wiederherzustellenden Daten enthält. In früheren Versionen der AD DS unter den<br />
Betriebssystemen Windows 2000 und Windows Server 2003 mussten Administratoren mehrere<br />
Sicherungssätze wiederherstellen, um zu bestimmen, welcher Satz die wiederherzustellenden Daten<br />
enthielt. Dieser Prozess erforderte einen Neustart des Domänencontrollers im Verzeichnisdienst-Wiederherstellungsmodus<br />
und bot keine Möglichkeit des Vergleichs von Daten, die zu verschiedenen<br />
Zeitpunkten in Sicherungen gespeichert wurden. Wenngleich das Datenbankbereitstellungstool nicht<br />
zur Wiederherstellung der Daten in den AD DS dient, kann es zum Vereinfachen der Bestimmung<br />
geänderter Informationen und zum Auswählen der wiederherzustellenden Sicherung genutzt werden,<br />
ohne dass Ausfallzeiten anfallen.<br />
Mit dem Datenbankbereitstellungstool können Sie das Snapshotvolume (das mithilfe von Ntdsutil<br />
oder dem Volumeschattenkopie-Dienst erstellt wurde) als Datei AD.dit offen legen. Anschließend<br />
können Sie mit einem LDAP-Tool wie LDP.exe (im Funktionsumfang von Windows Server 2008) den<br />
Snapshot wie jeden anderen aktiven Domänencontroller durchsuchen.<br />
Verbesserungen der Benutzeroberfläche<br />
Windows Server 2008 weist mehrere Verbesserungen der AD DS-Benutzeroberfläche auf. Der<br />
Installations-Assistent für die <strong>Active</strong> <strong>Directory</strong>-Domänendienste bietet nun erweiterte Optionen zur<br />
besseren Unterstützung der Installation schreibgeschützter Domänencontroller. Der AD DS-Installationsprozess<br />
wurde optimiert und vereinfacht. Darüber hinaus bieten die Verwaltungstools (das<br />
MMC-Snap-In <strong>Active</strong> <strong>Directory</strong>-Standorte und -Dienste) Steuerelemente für neue AD DS-Features<br />
wie die Kennwortreplikationsrichtlinie für schreibgeschützte Domänencontroller.
10 Kapitel 1: Neuerungen in <strong>Active</strong> <strong>Directory</strong> für Windows Server 2008<br />
Verbesserungen am Installations-Assistenten für die <strong>Active</strong> <strong>Directory</strong>-Domänendienste<br />
Wenngleich Sie den neuen Assistenten zum Hinzufügen von Rollen zum Konfigurieren des Servers<br />
für die Rolle AD DS verwenden und zum Installieren der für den Start der AD DS-Installation<br />
benötigten Dateien verwenden können, müssen Sie weiterhin den Installations-Assistenten für die<br />
<strong>Active</strong> <strong>Directory</strong>-Domänendienste ausführen, indem Sie den Befehl Dcpromo.exe aufrufen. Neu in<br />
Windows Server 2008 ist auf der Begrüßungsseite des Installations-Assistenten für die <strong>Active</strong> <strong>Directory</strong>-Domänendienste<br />
die Option zum Ausführen des Assistenten im Modus Erweitert, sodass bei<br />
Eingabe des Befehls Dcpromo.exe im Dialogfeld Ausführen oder an der Befehlszeile nicht mehr der<br />
Parameter /adv angegeben werden muss.<br />
Es folgen die zusätzlichen Installationsoptionen im erweiterten Modus:<br />
• Erstellen einer neuen Domänenstruktur<br />
• Verwenden von Sicherungsmedien eines vorhandenen Domänencontrollers in derselben Domäne<br />
zum Reduzieren des Netzwerkdatenverkehrs bei der anfänglichen Replikation<br />
• Auswählen des Quelldomänencontrollers für die Installation, wodurch Sie den Domänencontroller<br />
bestimmen können, der Domänendaten anfänglich auf den neuen Domänencontroller repliziert<br />
• Definieren der Kennwortreplikationsrichtlinie eines schreibgeschützten Domänencontrollers<br />
Der neue Assistent zum Installieren von <strong>Active</strong> <strong>Directory</strong>-Domänendiensten bietet außerdem die folgenden<br />
Verbesserungen:<br />
• Standardmäßig verwendet der Assistent nun die Anmeldeinformationen des aktuell angemeldeten<br />
Benutzers. Sie werden aufgefordert, bei Bedarf weitere Anmeldeinformationen einzugeben.<br />
• Wenn Sie einen weiteren Domänencontroller in einer untergeordneten Domäne einrichten, erkennt<br />
der Assistent nun, ob die Rolle Infrastrukturmaster auf einem globalen Katalogserver in dieser<br />
Domäne ausgeführt wird. Er fordert Sie auf, die Rolle Infrastrukturmaster an den Domänencontroller,<br />
den Sie einrichten, zu übertragen, wenn dieser kein globaler Katalogserver sein soll.<br />
Dadurch wird eine falsche Zuordnung der Rolle Infrastrukturmaster verhindert.<br />
• Auf der Seite Zusammenfassung des Assistenten können Sie die Einstellungen, die Sie ausgewählt<br />
haben, in eine Antwortdatei exportieren, die Sie für nachfolgende Vorgänge (Installationen<br />
und Deinstallationen) verwenden können. Diese Vorgehensweise ist weniger fehleranfällig als das<br />
manuelle Erstellen einer Datei für die unbeaufsichtigte Installation.<br />
• Sie müssen nun nicht mehr das Administratorkennwort in der Antwortdatei angeben. Geben Sie<br />
stattdessen password=* in die Antwortdatei ein, um sicherzustellen, dass der Benutzer zur Eingabe<br />
von Kontoanmeldeinformationen aufgefordert wird.<br />
• Sie können den Assistenten durch Angabe verschiedener Parameter an der Befehlszeile vorab ausfüllen,<br />
um den Umfang der Benutzerinteraktion mit dem Assistenten zu verringern. Bei der Installation<br />
der AD DS unter Windows Server 2008 Server Core sind ebenfalls Befehlszeilenparameter<br />
erforderlich.<br />
• Sie können nun die Herabstufung eines Domänencontrollers erzwingen, der im Verzeichnisdienst-<br />
Wiederherstellungsmodus gestartet wurde.<br />
Verbesserungen an den AD DS-Verwaltungstools<br />
Das Snap-In <strong>Active</strong> <strong>Directory</strong>-Standorte und -Dienste wurde vielfach verbessert, um die Verwaltung<br />
der AD DS zu erleichtern. Zunächst wurde dem Eigenschaftenblatt von Domänencontrollern die<br />
Registerkarte Kennwortreplikationsrichtlinie hinzugefügt, auf der angezeigt werden kann, welche<br />
Kennwörter an einen schreibgeschützten Domänencontroller übermittelt wurden und welche Kenn-
Zusätzliche <strong>Active</strong> <strong>Directory</strong>-Dienstrollen 11<br />
wörter gegenwärtig auf dem schreibgeschützten Domänencontroller gespeichert sind. Diese Registerkarte<br />
zeigt ferner an, welche Konten auf dem schreibgeschützten Domänencontroller authentifiziert<br />
wurden, um zu bestimmen, ob die Kennwortreplikation zulässig ist. Darüber hinaus wurde der Befehl<br />
Suchen der Symbolleiste und dem Menü Aktion des Snap-Ins hinzugefügt. Administratoren können<br />
nun bestimmen, an welchem Standort sich ein Domänencontroller befindet, um Replikationsprobleme<br />
besser beheben zu können.<br />
Verschiedene Tools wie Ldp, Repadmin und Nltest, die zu den Supporttools von Windows Server 2003<br />
– Die technische Referenz gehörten, sind nun in der Standardinstallation von Windows Server 2008<br />
enthalten und stehen nach Installation der Domänencontrollerrollen zur Verfügung. Dieselben Tools<br />
können zum Verwalten von sowohl den AD DS als auch den AD LDS (zuvor <strong>Active</strong> <strong>Directory</strong> Application<br />
Mode [ADAM]) verwendet werden. Es gibt eine Option, bei der Installation nur diese Tools zu<br />
installieren.<br />
Zusätzliche <strong>Active</strong> <strong>Directory</strong>-Dienstrollen<br />
Zusätzlich zu den AD DS können Sie einen Computer mit dem Betriebssystem Windows Server 2008<br />
in den folgenden vier weiteren <strong>Active</strong> <strong>Directory</strong>-Dienstrollen bereitstellen:<br />
• <strong>Active</strong> <strong>Directory</strong>-Zertifikatdienste (AD CS)<br />
• <strong>Active</strong> <strong>Directory</strong>-Verbunddienste (AD FS)<br />
• <strong>Active</strong> <strong>Directory</strong> Lightweight Services (AD LS)<br />
• <strong>Active</strong> <strong>Directory</strong>-Rechteverwaltungsdienste (AD RMS)<br />
In diesem Abschnitt wird kurz die Funktionalität beschrieben, die bei Konfiguration des Servers mit<br />
diesen <strong>Active</strong> <strong>Directory</strong>-Dienstrollen zur Verfügung steht. In späteren Kapiteln werden die Auswirkungen<br />
der Installation mehrerer Dienstrollen auf einem einzelnen Computer mit dem Betriebssystem<br />
Windows Server 2008 sowie die detaillierten Funktionen der einzelnen Dienstrollen behandelt.<br />
Zur Bereitstellung dieser Dienstrollen auf einem Computer mit dem Betriebssystem Windows Server<br />
2008 wird die Konsole Server-Manager verwendet. Mehrere dieser Dienstrollen erfordern, dass der<br />
Server zuerst als Domänencontroller konfiguriert wird, während andere verlangen, dass er in einer<br />
vorhandenen <strong>Active</strong> <strong>Directory</strong>-Gesamtstruktur installiert wird.<br />
<strong>Active</strong> <strong>Directory</strong>-Zertifikatdienste<br />
Die Rolle <strong>Active</strong> <strong>Directory</strong>-Zertifikatdienste (AD CS) dient zum Erstellen, Verteilen und Verwalten<br />
von Zertifikaten für öffentliche Schlüssel, um Netzwerkressourcen abzusichern. Zertifikate für öffentliche<br />
Schlüssel können Benutzern, Geräten, Computern, Diensten und AD CS-Funktionen ausgestellt<br />
werden, um die Identität der Person, des Gerätes oder Dienstes an einen dazugehörigen privaten<br />
Schlüssel zu binden, der für das jeweilige Objekt eindeutig ist.<br />
Bei der Verwaltung und Sperrung von Zertifikaten in skalierbaren Umgebungen gibt es mehreren Verbesserungen<br />
bei den AD CS unter Windows Server 2008:<br />
• CNG (Cryptography Next Generation) CNG bietet verschiedene APIs zum Durchführen grundlegender<br />
kryptografischer Vorgänge, z.B. Erstellen von Hashwerten oder Ver- und Entschlüsseln<br />
von Daten. Außerdem dient CNG zum Erstellen, Speichern und Abrufen kryptografischer Schlüssel.
12 Kapitel 1: Neuerungen in <strong>Active</strong> <strong>Directory</strong> für Windows Server 2008<br />
• Webregistrierung Die Webregistrierung ermöglicht Benutzern das Verbinden mit einer Zertifizierungsstelle<br />
über einen Webbrowser, um Zertifikate anzufordern, Zertifikatsperrlisten abzurufen<br />
und die Zertifikatregistrierung für Smartcards durchzuführen.<br />
• Online-Responder-Dienst Der Online-Responder-Dienst ermöglicht Clients das Überprüfen des<br />
Sperrstatus eines digitalen Zertifikats mithilfe von OCSP (Online Certificate Status Protocol) und<br />
nicht von Zertifikatsperrlisten. Wenn ein Client einen Zertifikatsperrstatus vom Online-Responder-Dienst<br />
anfordert, überprüft der Server den Status des Zertifikats und sendet eine signierte Antwort<br />
zurück, die nur die angeforderten Zertifikatstatusinformationen enthält. Bei Verwenden einer<br />
Zertifikatsperrliste wird dagegen die gesamte Liste gesperrter Zertifikate auf den Client heruntergeladen.<br />
• Registrierungsdienst für Netzwerkgeräte Der Registrierungsdienst für Netzwerkgeräte ermöglicht<br />
Routern, Switches und anderen Netzwerkgeräten ohne Netzwerkkonten den Abruf von Zertifikaten.<br />
• Unternehmens-PKI (PKIView) PKIView ist ein MMC-Snap-In in den AD CS für Windows Server<br />
2008, das zum Überwachen und Beheben von Problemen aller Zertifizierungsstellen in einer<br />
Infrastruktur öffentlicher Schlüssel (Public Key Infrastructure, PKI) dient. Das Snap-In PKIView<br />
zeigt den Status aller Zertifizierungsstellen in der Umgebung grafisch an.<br />
• Eingeschränkter Registrierungs-Agent Der eingeschränkte Registrierungs-Agent ist eine neue<br />
Funktion unter Windows Server 2008, welche die Berechtigungen von Benutzern beschränkt, die<br />
als „Registrierungs-Agents“ für die Registrierung von Smartcardzertifikaten im Auftrag anderer<br />
Benutzer vorgesehen sind. Diese Funktion steht nur unter Windows Server 2008 Enterprise zur<br />
Verfügung.<br />
• Zertifikatbezogene Richtlinieneinstellungen In den AD CS gibt es neue zertifikatbezogene Gruppenrichtlinieneinstellungen,<br />
die über die Konsole Gruppenrichtlinienverwaltung verwaltet werden<br />
können: Diese Gruppenrichtlinieneinstellungen dienen folgenden Zwecken:<br />
Bereitstellen von Zertifikaten von Zwischenzertifizierungsstellen auf Clientcomputern<br />
Verhindern, dass Benutzer Anwendungen installieren, die mit einem nicht genehmigten<br />
Herausgeberzertifikat signiert wurden<br />
Konfigurieren von Netzwerkzeitlimits für große Zertifikatsperrlisten sowie eine Verlängerung<br />
der Ablaufzeiten von Zertifikatsperrlisten<br />
Wenn Sie in den AD CS eine Zertifizierungsstelle bereitstellen, können Sie zwischen einer Unternehmenszertifizierungsstelle<br />
und einer eigenständigen Zertifizierungsstelle wählen. Eine Unternehmenszertifizierungsstelle<br />
ist eng mit den AD DS integriert, weshalb Sie viele der Aufgaben für die<br />
Registrierung und Erneuerung von Zertifikaten automatisieren können. Wenn Sie eine Unternehmenszertifizierungsstelle<br />
bereitstellen, müssen Sie sie auf einem Computer mit Windows Server 2008<br />
bereitstellen, der Mitglied einer AD DS-Domäne ist.<br />
Die AD CS-Komponenten können auf einem Einzelserver bereitgestellt oder auf mehrere Server verteilt<br />
werden. In kleinen Unternehmen können Sie alle Rollen außer dem Online-Responder-Dienst auf<br />
einem Einzelcomputer bereitstellen, und der Online-Responder kann auf einem anderen Computer<br />
dediziert bereitgestellt werden. In Großunternehmen mit komplexen Anforderungen an digitale Zertifikate<br />
können Sie mehrere Zertifizierungsstellen, einschließlich untergeordneter Zertifizierungsstellen<br />
und Online-Responder, auf getrennten Computern bereitstellen. Die Anzahl der Server, die Sie in<br />
Ihrer Umgebung bereitstellen, hängt von der Anzahl der Variablen, einschließlich des Volumens der
Zusätzliche <strong>Active</strong> <strong>Directory</strong>-Dienstrollen 13<br />
Zertifikatanforderungen, der Anzahl und dem Standort von Zertifizierungsstellen und den Anwendungen<br />
ab, die Zertifikate im Unternehmen benötigen. Zu diesen Anwendungen zählen S/MIME<br />
(Secure/Multipurpose Internet Mail Extensions), sichere Drahtlosnetzwerke, VPN (virtuelle private<br />
Netzwerke), IPsec (Internet Protocol Security), EFS (Encrypting File System), SmartCard-Anmeldung,<br />
SSL/TLS (Secure Socket Layer/Transport Layer Security) und digitale Signaturen.<br />
Um die Flexibilität der PKI in Ihrem Unternehmen zu steigern, können einzelne oder mehrere Online-<br />
Responder bereitgestellt werden. Mehrere Online-Responder können zur Unterstützung einer oder<br />
mehrerer Zertifizierungsstellen bereitgestellt werden. Ein einzelner Online-Responder kann aber auch<br />
mehrere Zertifizierungsstellen unterstützen. Zur Erhöhung der Fehlertoleranz und zur Unterstützung<br />
von Remote-Zertifikatsperranforderungen (Zweigstellenszenarien) können Online-Responder als<br />
Array bereitgestellt werden. Ein Mitglied des Arrays muss als Arraycontroller definiert werden.<br />
Wenngleich jeder Online-Responder in einem Array unabhängig konfiguriert und verwaltet werden<br />
kann, setzen bei einem Konflikt die Konfigurationsinformationen des Arraycontrollers die für andere<br />
Arraymitglieder festgelegten Konfigurationsoptionen außer Kraft.<br />
<strong>Active</strong> <strong>Directory</strong>-Verbunddienste<br />
Die <strong>Active</strong> <strong>Directory</strong>-Verbunddienste (AD FS) sind eine Serverrolle im Betriebssystem Windows Server<br />
2008, die zum Ausdehnen der Kontoauthentifizierungsfunktionen der AD DS über die Grenzen<br />
einer AD FS-Gesamtstruktur hinaus auf mehreren Plattformen dient, einschließlich Windows- und<br />
Nicht-Windows-Umgebungen. Die AD FS eignen sich gut für Anwendungen mit Schnittstelle zum<br />
Internet oder beliebige Umgebungen, in denen ein einzelnes Benutzerkonto Zugriff auf Ressourcen<br />
in verschiedenen Netzwerken benötigt. In diesen Szenarien werden Benutzer ggf. zur Eingabe von<br />
Anmeldeinformationen aufgefordert, wenn sie versuchen, auf eine Anwendung zuzugreifen, die eine<br />
andere Authentifizierungsquelle verwendet (z.B. in einem anderen Unternehmen oder einer anderen<br />
Gesamtstruktur, z.B. einer Umkreisnetzwerk-Gesamtstruktur im selben Unternehmen).<br />
Bei Implementierung der AD FS können Sie eine Verbundvertrauensstellung zwischen zwei verschiedenen<br />
Unternehmen oder Gesamtstrukturen einrichten. Diese Verbundvertrauensstellung ermöglicht<br />
Benutzern das Verwenden der Sicherheitsberechtigungen in ihrer eigenen Gesamtstruktur für den<br />
Zugriff auf eine Anwendung in einer Umgebung außerhalb ihrer Gesamtstruktur. Die Verbundvertrauensstellung<br />
wird zwischen Ressourcenorganisationen (d.h. Organisationen, die Ressourcen und<br />
Anwendungen besitzen und verwalten, auf die über das Internet oder andere Netzwerke zugegriffen<br />
werden kann) und Kontoorganisationen eingerichtet (d.h. Organisationen, welche die Benutzerkonten<br />
besitzen und verwalten, denen Zugriff auf die Ressourcen in den Ressourcenorganisationen gewährt<br />
wird). In diesem Szenario bieten die AD FS einen Zugriff per einmaliger Anmeldung an Ressourcen<br />
in der Ressourcenorganisation für Benutzer, die in der Kontoorganisation authentifiziert wurden. Die<br />
einmalige Anmeldung ermöglicht Benutzern die Anmeldung am lokalen Netzwerk und den Empfang<br />
eines Sicherheitstokens, das einen Zugriff auf Ressourcen in verschiedenen Netzwerken gewährt, die<br />
so konfiguriert wurden, dass sie diesen Konten vertrauen. Selbst in einer einzelnen Organisation mit<br />
getrennten Netzwerken und Sicherheitsgrenzen können Benutzer in den Genuss der einmaligen<br />
Anmeldung für den Zugriff auf alle gewünschten Netzwerkressourcen kommen. Die AD FS eignen<br />
sich sowohl innerhalb großer Unternehmen mit getrennten Ressourcen- und Kontoorganisationen als<br />
auch außerhalb der Firewall. Die AD FS können in das Internet ausgedehnt werden, um Zugriffsanforderungen<br />
von Benutzern zu unterstützen, die über einen Webbrowser auf Ressourcen zugreifen.
14 Kapitel 1: Neuerungen in <strong>Active</strong> <strong>Directory</strong> für Windows Server 2008<br />
Die AD FS unter Windows Server 2008 bestehen aus verschiedenen Komponenten:<br />
• Verbunddienst Dieser Dienst umfasst einen oder mehrere Verbundserver, die über eine gemeinsame<br />
Vertrauensrichtlinie verfügen. Mithilfe von Verbundservern können Authentifizierungsanforderungen<br />
von Benutzerkonten in anderen Unternehmen oder von Clients irgendwo im Internet<br />
weitergeleitet werden.<br />
• Verbunddienstproxy Der Verbunddienstproxy ist ein Stellvertreter des Verbunddienstes im<br />
Umkreisnetzwerk (auch DMZ [Demilitarisierte Zone] oder überwachtes Subnetz genannt). Der<br />
Verbunddienstproxy nutzt WS-F PRP-Protokolle (WS-Federation Passive Requestor Profile) zum<br />
Erfassen von Benutzeranmeldeinformationen aus Browserclients und sendet diese im Auftrag der<br />
Benutzer an den Verbunddienst.<br />
• Ansprüche unterstützender Agent Sie verwenden den Ansprüche unterstützenden Agent auf einem<br />
Webserver, der als Host einer Ansprüche unterstützenden Anwendung fungiert, um Abfragen für<br />
Ansprüche von Sicherheitstoken an die AD FS zu ermöglichen. Eine Ansprüche unterstützende<br />
Anwendung ist eine Microsoft ASP.NET-Anwendung, die Ansprüche in einem AD FS-Sicherheitstoken<br />
verwendet, um Autorisierungsentscheidungen zu treffen und Anwendungen anzupassen.<br />
• Windows-Token-basierter Agent Sie verwenden den Windows-Token-basierten Agent in einem<br />
Webserver, der als Host einer Windows NT-Token-basierten Anwendung dient, um die Umwandlung<br />
eines AD FS-Sicherheitstoken in ein Windows NT-Zugriffstoken auf Identitätswechselebene<br />
zu ermöglichen. Eine Windows NT-Token-basierte Anwendung ist eine Anwendung, die Windows-basierte<br />
Autorisierungsmechanismen unterstützt.<br />
Eine der zahlreichen Verbesserungen der AD FS unter Windows Server 2008 zeigt sich beim Installationsprozess.<br />
Im Gegensatz zu den AD FS unter Windows Server 2003 R2, die über die Systemsteuerungsoption<br />
Software installiert werden mussten, werden die AD FS unter Windows Server 2008 wie<br />
die anderen Serverrollen über den Server-Manager installiert. Die AD FS benötigen einen Verzeichnisdienst<br />
und können entweder mit den AD DS oder den <strong>Active</strong> <strong>Directory</strong> Lightweight <strong>Directory</strong> Services<br />
(AD LDS) als Verzeichnis arbeiten. Weitere Verbesserungen bei den AD FS unter Windows<br />
Server 2008 ist die enge Integration zwischen den AD FS und Office SharePoint Server 2007 hinsichtlich<br />
Mitgliedschafts- und Rollenanbietern und mit den AD RMS für die gemeinsame Nutzung<br />
von durch Rechte geschützten Inhalten mit vertrauenswürdigen externen Partnern.<br />
Nach Installation der AD FS können Sie diesen Dienst mit der MMC (Microsoft Management Console)<br />
verwalten. Die Rollendienste Verbunddienst und Verbunddienstproxy werden über das Snap-In<br />
<strong>Active</strong> <strong>Directory</strong>-Verbunddienste verwaltet.<br />
<strong>Active</strong> <strong>Directory</strong> Lightweight <strong>Directory</strong> Services<br />
Die <strong>Active</strong> <strong>Directory</strong> Lightweight <strong>Directory</strong> Services (AD LDS) (zuvor <strong>Active</strong> <strong>Directory</strong> Application<br />
Mode [ADAM] genannt) sind ein LDAP-Verzeichnisdienst (Lightweight <strong>Directory</strong> Access Protocol),<br />
der die AD DS-Funktionalität in verschiedenen Szenarien ersetzen oder zusammen mit den AD DS<br />
bereitgestellt werden kann. Die AD LDS wurden speziell entwickelt, um verzeichnisfähigen Anwendungen<br />
Verzeichnisdienste ohne die Abhängigkeiten der AD DS bereitzustellen. Bei Verwenden der<br />
AD LDS können Sie einen „abgespeckten“ Verzeichnisdienst ohne Domänen oder Gesamtstrukturen<br />
(Anforderungen an die AD DS) bereitstellen und für jede bereitgestellte AD LDS-Instanz eigene<br />
Schemas unterstützen. Die AD DS sind in der ganzen Gesamtstruktur auf ein einzelnes Schema<br />
begrenzt.
Zusätzliche <strong>Active</strong> <strong>Directory</strong>-Dienstrollen 15<br />
Es gibt mehrere Szenarien, in denen Sie die AD LDS bereitstellen können:<br />
• Bereitstellen eines Unternehmensverzeichnisspeichers Die AD LDS dienen zum Speichern anwendungsspezifischer<br />
Daten, die nur für die Unternehmensanwendung relevant sind. Diese Informationen<br />
können auf demselben Server wie die Anwendung gespeichert und auf mehrere AD LDS-<br />
Server im gesamten Unternehmen repliziert werden. Die AD LDS können ausschließlich die<br />
Konfigurationsdaten für die Unternehmensanwendung speichern, während die AD DS zum Speichern<br />
der Sicherheitsprinzipaldaten verwendet werden können, wodurch sich die Anzahl der<br />
anwendungsspezifischen Benutzerkontodatenbanken im Netzwerk reduziert.<br />
• Bereitstellen eines Authentifizierungsspeichers im Extranet Die AD LDS können diesen Authentifizierungsspeicher<br />
bereitstellen, da Benutzerobjekte gespeichert werden können, die keine Windows-Sicherheitsprinzipale<br />
sind, jedoch mithilfe einfacher LDAP-Bindungen authentifiziert<br />
werden können. Webclients können über einen einfachen LDAP-Verzeichnisdienst auf portalbasierte<br />
Anwendungen zugreifen.<br />
• Bereitstellen eines Konfigurationsspeichers für verteilte Anwendungen In diesem Szenario wird die<br />
AD LDS-Instanz, die als Konfigurationsspeicher der Anwendung dient, mit einer verteilten<br />
Anwendung in einem Paket gebündelt. Auf diese Weise müssen Anwendungsentwickler vor der<br />
Installation der Anwendung nicht die Verfügbarkeit eines Verzeichnisdienstes berücksichtigen.<br />
Stattdessen werden die AD LDS in den Installationsprozess der Anwendung einbezogen, um<br />
sicherzustellen, dass die Anwendung unmittelbar im Anschluss an die Installation Zugriff auf<br />
einen Verzeichnisdienst hat. Die Anwendung konfiguriert und verwaltet anschließend die AD<br />
LDS vollkommen selbständig bzw. teilweise (abhängig davon, wie die Anwendung der AD LDS-<br />
Verwaltung unterliegt) und verwendet die AD LDS zum Erfüllen ihrer verschiedenen Datenanforderungen.<br />
Hinweis Die Serverfunktion Edge-Transport in Exchange Server 2007 ist ein gutes Beispiel einer<br />
Anwendung, die mit den AD LDS arbeitet. Bei Installation dieser Serverfunktion werden die AD LDS<br />
automatisch für deren Unterstützung installiert und konfiguriert.<br />
• Migrieren älterer verzeichnisfähiger Anwendungen Sie können die AD LDS bereitstellen, um Unterstützung<br />
für ältere Anwendungen zu bieten, die auf der Benennung im X.500-Format basieren,<br />
während die AD DS im Unternehmen dazu dienen können, eine gemeinsam genutzte Sicherheitsinfrastruktur<br />
bereitzustellen. Sie können ein Metaverzeichnis einsetzen oder die Synchronisierung<br />
zwischen den AD LDS und den AD DS konfigurieren, um zum Erzielen einer reibungslosen<br />
Migration die Daten in den AD DS und AD LDS zu synchronisieren.<br />
Nachdem Sie die Serverrolle AD LDS über den Server-Manager Ihrem Server hinzugefügt haben,<br />
erstellen Sie mit dem Setup-Assistenten für <strong>Active</strong> <strong>Directory</strong> Lightweight <strong>Directory</strong> Services AD<br />
LDS-Dienstinstanzen und -Anwendungspartitionen. Sie können mehrere Instanzen der AD LDS auf<br />
einem einzelnen Server installieren, die alle ein anderes Schema verwenden können. Innerhalb der<br />
einzelnen Instanzen können Sie mehrere Anwendungspartitionen konfigurieren. Nach Erstellen der<br />
Instanzen und Partitionen können Sie diese mit beliebigen Verwaltungstools verwalten, z.B. mit dem<br />
MMC-Snap-In ADSI Edit oder LDP.exe.<br />
<strong>Active</strong> <strong>Directory</strong>-Rechteverwaltungsdienste<br />
Die <strong>Active</strong> <strong>Directory</strong>-Rechteverwaltungsdienste (AD RMS) dienen zum Optimieren der vorhandenen<br />
Sicherheitslösung eines Unternehmens durch Bereitstellen einer objektbasierten dauerhaft geltenden<br />
Nutzungsrichtlinie.
16 Kapitel 1: Neuerungen in <strong>Active</strong> <strong>Directory</strong> für Windows Server 2008<br />
Die AD RMS erweitern die Sicherheitslösung dergestalt, dass dauerhaft geltende Nutzungsrichtlinien<br />
einbezogen werden, die dem Schutz vertraulicher Daten, z.B. Textverarbeitungsdateien, Kundendaten,<br />
E-Mail-Nachrichten und Finanzdaten, dienen. Die Sicherheitseinschränkungen für eine<br />
bestimmte Datei gelten für das jeweilige Dokument unabhängig von seinem Speicherort und werden<br />
nicht dem Container zugewiesen, in dem es gespeichert ist (im Gegensatz zu Zugriffssteuerungslisten).<br />
Mithilfe der AD RMS können Netzwerkbenutzer die Fähigkeit zum Kopieren, Drucken und Weiterleiten<br />
vertraulicher Daten einschränken. Dadurch können Sie persönliche E-Mail-Nachrichten so senden,<br />
dass der Empfänger die Nachricht öffnen und lesen, aber nicht ausschneiden, kopieren oder an<br />
andere Empfänger weiterleiten kann (einschließlich aller Anlagen in der Nachricht). Vertrauliche Firmenkommunikation<br />
bleibt dadurch vertraulich, dass E-Mail-Empfänger am Weiterleiten von durch<br />
Rechte geschützter Informationen gehindert werden. Die AD RMS können auch das Kopieren von<br />
Berechtigungen unterliegenden Daten und deren Einfügung in nicht eingeschränkte E-Mail-Nachrichten<br />
oder Dokumente verhindern.<br />
Die AD RMS unter Windows Server 2008 weisen verschiedene Verbesserungen gegenüber Windows<br />
Rights Management Services (RMS) auf, welche die Verwaltung des Dienstes optimieren und seinen<br />
Geltungsbereich über die Grenzen des Unternehmens ausdehnen. Die folgenden Features sind neu:<br />
• Verbesserte Installations- und Verwaltungsumgebung Die AD RMS gehören zum Funktionsumfang<br />
von Windows Server 2008 und werden als Serverrolle implementiert. Die früheren Versionen der<br />
RMS mussten aus dem Microsoft Download Center heruntergeladen und anschließend installiert<br />
werden. Außerdem erfolgt die Verwaltung der AD RMS nun über ein MMC-Snap-In, das wesentlich<br />
benutzerfreundlicher als die Weboberfläche der früheren RMS-Versionen ist. Ferner werden<br />
in der AD RMS-Konsole dank Definition der AD RMS-Verwaltungsrollen nur die Teile der Konsole<br />
angezeigt, auf die der Benutzer zugreifen darf. Ein Benutzer, der beispielsweise zur Verwaltungsrolle<br />
AD RMS-Vorlagenadministratoren gehört, ist auf Aufgaben beschränkt, die sich<br />
spezifisch auf Vorlagen beziehen. Alle anderen Verwaltungsaufgaben werden in der AD RMS-<br />
Konsole nicht angezeigt.<br />
• Selbstregistrierung des AD RMS-Clusters Der AD RMS-Cluster kann sich selbst registrieren, ohne<br />
eine Verbindung zum Microsoft-Registrierungsdienst herstellen zu müssen. Durch die Verwendung<br />
eines Selbstregistrierungszertifikats für den Server erfolgt der Registrierungsprozess ausschließlich<br />
auf dem lokalen Computer. Dieses neue Feature hebt die Funktionsabhängigkeit vom<br />
Registrierungsdienst auf und ermöglicht den AD RMS ferner, in einem Netzwerk ausgeführt zu<br />
werden, das gänzlich vom Internet isoliert ist.<br />
• Integration mit den <strong>Active</strong> <strong>Directory</strong>-Verbunddiensten (AD FS) Die AD RMS und AD FS wurden so<br />
integriert, dass Unternehmen nun vorhandene Verbundbeziehungen nutzen können, um mit externen<br />
Partnern zusammenzuarbeiten. In früheren Versionen der RMS waren die Optionen für die<br />
externe Zusammenarbeit an durch Rechte geschützten Inhalten auf Windows Live ID (früher<br />
Microsoft Passport) beschränkt. Dank der Integration der AD FS mit den AD RMS können Verbundidentitäten<br />
zwischen Unternehmen eingerichtet und durch Rechte geschützte Inhalte gemeinsam<br />
genutzt werden, ohne dass die AD RMS in beiden Unternehmen bereitgestellt sein müssen.<br />
• Neue AD RMS-Verwaltungsrollen Die Möglichkeit der Delegierung der AD RMS an verschiedene<br />
Administratoren wird in allen Unternehmensumgebungen benötigt und von den AD RMS in dieser<br />
Version geboten. Drei Verwaltungsrollen stehen zur Verfügung: AD RMS-Organisationsadministratoren,<br />
AD RMS-Vorlagenadministratoren und AD RMS-Prüfer. Die neuen AD RMS-<br />
Verwaltungsrollen ermöglichen das Delegieren von AD RMS-Aufgaben, ohne den Vollzugriff auf<br />
den gesamten AD RMS-Cluster gewähren zu müssen.
Zusammenfassung 17<br />
Der AD RMS-fähige Client benötigt AD RMS-fähige Browser oder Anwendungen, z.B. Microsoft<br />
Word, Outlook oder PowerPoint in Microsoft Office 2007. Um durch Rechte geschützte Inhalte zu<br />
erstellen, wird Microsoft Office 2007 Enterprise, Professional Plus oder Ultimate benötigt. Windows<br />
Vista enthält den AD RMS-Client standardmäßig. Bei anderen Clientbetriebssystemen muss der<br />
RMS-Client installiert werden. Der RMS-Client mit Service Pack 2 (SP2) kann aus dem Microsoft<br />
Download Center heruntergeladen werden und funktioniert mit Versionen des Clientsbetriebssystems<br />
vor Windows Vista und Windows Server 2008. Zur weiteren Steigerung der Sicherheit können die AD<br />
RMS mit anderen Lösungen wie Smartcards integriert werden.<br />
Hinweis Empfänger von mit Rechten geschützten Nachrichten, die keine E-Mail-Anwendung ausführen,<br />
die Nachrichten mit eingeschränkten Berechtigungen unterstützen, z.B. Microsoft Office 2003 oder Microsoft<br />
Office 2007, können diese Nachrichten anzeigen, indem Sie aus dem Microsoft Download Center unter<br />
http://www.microsoft.com/downloads/details.aspx?displaylang=de&FamilyID=b48f920b-5af0-46b4-994f-<br />
2f62582cc86f das Rights Management Add-On für Internet Explorer herunterladen. Dieser Download ist für<br />
Empfänger erforderlich, die beispielsweise mit Web-E-Mail-Anwendungen arbeiten.<br />
Die AD RMS werden auf Computern mit dem Betriebssystem Windows Server 2008 installiert. Nach<br />
der Installation der Serverrolle AD RMS werden die benötigten Dienste installiert. Internetinformationsdienste<br />
(ISS) ist beispielsweise ein benötigter Dienst. Die AD RMS benötigen ferner eine Datenbank,<br />
z.B. Microsoft SQL Server, die entweder auf demselben Server wie die AD RMS oder auf<br />
einem Remoteserver in derselben AD DS-Gesamtstruktur ausgeführt werden kann. Außerdem wurden<br />
die AD RMS und AD FS integriert, damit Unternehmen vorhandene Verbundbeziehungen nutzen<br />
können, um mit externen Partnern zusammenzuarbeiten und Informationen abzusichern.<br />
Zusammenfassung<br />
In diesem Kapitel wurden die neuen Features der AD DS sowie die Serverrollen unter Windows Server<br />
2008 vorgestellt. Nachdem sich Verzeichnisdienstadministratoren mit diesen neuen Features und<br />
Serverrollen vertraut gemacht haben, können sie die Migration zu Windows Server 2008 einschätzen<br />
und die neue Funktionalität einplanen, die Windows Server 2008 ihren Unternehmen zur Verfügung<br />
stellt.
19<br />
K A P I T E L 2<br />
<strong>Active</strong> <strong>Directory</strong>-Domänendienstkomponenten<br />
Inhalt dieses Kapitels:<br />
Physische Struktur der AD DS . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 19<br />
Logische Struktur der AD DS . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 40<br />
Zusammenfassung. . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 59<br />
Zusätzliche Ressourcen. . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 59<br />
Als AD DS-Administrator (<strong>Active</strong> <strong>Directory</strong> Domain Services, <strong>Active</strong> <strong>Directory</strong>-Domänendienste)<br />
verbringen Sie viel Zeit mit dem Konfigurieren von Benutzer- und Gruppenkonten, die sich in Organisationseinheiten<br />
oder Containerobjekten innerhalb einer Domäne befinden. Bei der Konfiguration<br />
dieser Objekte wird die auf der Festplatte des Domänencontrollers gespeicherte Datenbankdatei geändert.<br />
In den meisten Fällen findet keine direkte Interaktion mit der physischen AD DS-Datenbank<br />
statt; stattdessen verwenden Sie die AD DS-Verwaltungstools, um die in der Datenbank gespeicherten<br />
logischen Objekte zu ändern.<br />
Microsoft Windows Server 2008 AD DS umfasst sowohl eine physische Komponente als auch eine<br />
logische Struktur aus Objekten im Verzeichnis. Im Hinblick auf die physische Struktur bestehen die<br />
AD DS aus einer einzigen Datenbankdatei auf der Festplatte jedes Domänencontrollers, der zum Hosten<br />
des Dienstes eingesetzt wird. Die logische Struktur der AD DS umfasst die zum Speichern der<br />
Verzeichnisdienstobjekte (z.B. Verzeichnispartitionen, -domänen und -gesamtstrukturen) in einem<br />
Unternehmen verwendeten Container. In diesem Kapitel erfahren Sie zunächst, aus welchen physischen<br />
Komponenten die AD DS bestehen. Anschließend wird die logische Struktur einer AD DS-<br />
Implementierung untersucht. Fundierte Kenntnisse der physischen Struktur des Verzeichnisdiensts<br />
sind wichtig, für eine erfolgreiche Implementierung und Verwaltung der Verzeichnisdienstinfrastruktur<br />
ist jedoch das Verständnis der logischen Struktur entscheidend. Denn mit dieser logischen Struktur<br />
des Verzeichnisdiensts interagieren Sie täglich.<br />
Physische Struktur der AD DS<br />
AD DS-Daten werden in erster Linie als eine einzige Datenbankdatei gespeichert. Diese Datenbankdatei<br />
wird auf Domänencontrollern gespeichert, die Administratoren Zugriff auf die Datenbank sowie<br />
Verzeichnisdienstfunktionen (z.B. die Authentifizierung und Autorisierung für andere Benutzer und<br />
Computer) bieten. Bei der Implementierung der AD DS kann eine beliebige Anzahl an Domänencontrollern<br />
hinzugefügt werden, um die Verzeichnisdienstanforderungen einer Organisation zu erfüllen.
20 Kapitel 2: <strong>Active</strong> <strong>Directory</strong>-Domänendienstkomponenten<br />
Sämtliche Domänencontroller in einer Domäne bieten im Wesentlichen dieselben Dienste. Es gibt<br />
jedoch fünf spezifische Rollen, die sich zu einem Zeitpunkt auf einem einzigen Domänencontroller<br />
befinden können. Diese Rollen werden als FSMO-Rollen (Flexible Single-Master Operations)<br />
bezeichnet. Die AD DS ermöglichen ferner einzigartige Domänencontrollerrollen für globale Katalogserver<br />
und schreibgeschützte Domänencontroller. In diesem Abschnitt werden sowohl der AD DS-<br />
Datenspeicher als auch die zum Hosten dieses Speichers eingesetzten Domänencontroller untersucht.<br />
Verzeichnisdatenspeicher<br />
Sämtliche Daten in der AD DS-Datenbank werden in einer Datei Ntds.dit und in den Transaktionsprotokollen<br />
auf dem Domänencontroller gespeichert. Diese Datendateien werden standardmäßig im<br />
Ordner %SystemRoot%\NTDS auf dem Domänencontroller gespeichert. Sie enthalten alle Verzeichnisinformationen<br />
für die Domäne sowie Daten, die von sämtlichen Domänencontrollern in einer<br />
Organisation gemeinsam verwendet werden. Globale Katalogserver speichern in diesen Dateien<br />
zudem die Daten des globalen Katalogs.<br />
Hinweis Wenngleich Sie nur selten direkt mit den AD DS-Datendateien interagieren, müssen Sie verstehen,<br />
wie die Datenbank in den AD DS verwaltet wird. Möglicherweise müssen Sie während der Notfallwiederherstellung<br />
mit diesem Dateien arbeiten. Weitere Informationen zum Warten und Wiederherstellen der<br />
AD DS-Datenbank finden Sie in Kapitel 14, „Überwachen und Warten von <strong>Active</strong> <strong>Directory</strong>“, und Kapitel 15,<br />
„<strong>Active</strong> <strong>Directory</strong>-Notfallwiederherstellung“.<br />
Der AD DS-Datenspeicher wird auf jedem Domänencontroller in der Gesamtstruktur implementiert.<br />
Er umfasst verschiedene Komponenten, die in Abbildung 2.1 gezeigt sind.<br />
Schnittstellen – LDAP, REPL, MAPI, SAM<br />
Ntdsa.dll<br />
DSA<br />
Datenbanklayer<br />
ESE (Esent.dll)<br />
Abbildung 2.1<br />
Der AD DS-Datenspeicher umfasst verschiedene Komponenten<br />
Die Komponenten des Datenspeichers sind in Tabelle 2.1 beschrieben.
Physische Struktur der AD DS 21<br />
Tabelle 2.1<br />
Datenspeicherkomponenten<br />
Komponente<br />
Schnittstellen<br />
Verzeichnisdienst-Agent<br />
(<strong>Directory</strong> Service Agent,<br />
DSA) (Ntdsa.dll)<br />
Datenbankschicht<br />
Beschreibung<br />
Clientcomputer, Administratoren und andere Domänencontroller können nicht direkt mit der<br />
Datenbank kommunizieren. Der Datenspeicher unterstützt die folgenden Schnittstellen für Verzeichnisclients<br />
und andere Verzeichnisserver zur Kommunikation mit dem Datenspeicher:<br />
• Lightweight <strong>Directory</strong> Access Protocol (LDAP) LDAP v3 ist die von Verzeichnisclients<br />
am häufigsten verwendete Schnittstelle, um Informationen im Verzeichnisspeicher<br />
zu ermitteln. LDAP v3 ist abwärtskompatibel mit LDAP v2. Für den Zugriff auf die LDAP-<br />
Schnittstelle können Clients Port 389 (der standardmäßige LDAP-Port), Port 636 (über<br />
SSL gesichertes LDAP), Port 3268 (für Suchen im globalen Katalog) und Port 3269 (über<br />
SSL gesichertes LDAP, für Suchen im globalen Katalog) verwenden. Clients können auch<br />
UDP-Port 389 für LDAP und Netlogon verwenden (diese Schnittstelle wird zum Ermitteln<br />
von Domänencontrollern).<br />
• REPL-Verwaltungsschnittstelle zur Replikation zwischen Domänencontrollern Die<br />
REPL-Verwaltungsschnittstelle wird von AD DS-Verwaltungstools und während der Replikation<br />
zwischen Domänencontrollern verwendet. Diese Schnittstelle bietet Funktionen zum<br />
Ermitteln von Informationen zu Domänencontrollern, zum Konvertieren von Netzwerkobjektnamen<br />
mit unterschiedlichen Formaten und zum Bearbeiten von Dienstprinzipalnamen<br />
(Service Principal Name, SPN) und DSAs. Der Zugriff auf diese Schnittstelle erfolgt über<br />
Remoteprozeduraufrufe (Remote Procedure Call, RPCs) und über SMTP (nur bei der<br />
SMTP-basierten Replikation).<br />
• Messaging API (MAPI) MAPI wird von Messagingclients wie Outlook für den Zugriff auf<br />
die Microsoft Exchange Server-Daten im Datenspeicher verwendet. Exchange Server<br />
2000 und höher verwenden den AD DS-Datenspeicher zum Speichern aller Empfängerinformationen,<br />
und über die MAPI-Schnittstelle können Messagingclients auf das globale<br />
Adressbuch zugreifen. MAPI nutzt die RPC-Kommunikation.<br />
• Sicherheitskontenverwaltung (Security Accounts Manager, SAM) Bei SAM handelt<br />
es sich um eine Schnittstelle zum Verbinden des Verzeichnisdienst-Agents (<strong>Directory</strong> Service<br />
Agent, DSA) im Auftrag von Clients, die Windows NT 4.0 oder niedriger verwenden.<br />
Diese Clients verwenden die Windows NT 4.0-Netzwerk-APIs, um über SAM eine Verbindung<br />
mit dem DSA herzustellen. Für die SAM-Kommunikation wird ebenfalls die RPC-<br />
Kommunikation verwendet.<br />
Der DSA wird als Ntdsai.dll auf jedem Domänencontroller ausgeführt und bietet die Schnittstellen<br />
für den Datenspeicherzugriff. Ferner wird der DSA zum Erzwingen der Verzeichnissemantik,<br />
Verwalten des Schemas, Sicherstellen der Objektidentität sowie Anwenden von<br />
Datentypen auf Attribute eingesetzt.<br />
Wenn Clients oder andere Domänencontroller auf den Verzeichnisspeicher zugreifen müssen,<br />
verwenden Sie eine der unterstützten Schnittstellen, um eine Verbindung mit dem DSA<br />
herzustellen, und führen anschließend für AD DS-Objekte und ihre Attribute Such-, Lese- und<br />
Schreibvorgänge durch.<br />
Die Datenbankschicht befindet sich in der Datei Ntdsai.dll und bietet eine interne Schnittstelle<br />
zwischen dem DSA und der Verzeichnisdatenbank. Der DSA kann keine direkte Verbindung<br />
zur Datenbank herstellen; Anwendungen verbinden sich über die Datenbankschicht. Die Datenbankschicht<br />
bietet auch eine Objektansicht der Verzeichnisdatenbank, um dem Verzeichnisdienst-Agent<br />
den Zugriff auf Daten in Form hierarchischer Container zu ermöglichen.<br />
Über die Datenbankschicht werden ferner einzelne Datensätze (Objekte), Attribute in Datensätzen<br />
und Werte in Attributen erstellt, abgerufen und gelöscht.
22 Kapitel 2: <strong>Active</strong> <strong>Directory</strong>-Domänendienstkomponenten<br />
Tabelle 2.1<br />
Datenspeicherkomponenten (Fortsetzung)<br />
Komponente<br />
ESE (Esent.dll)<br />
Datenbankdateien<br />
Beschreibung<br />
Die Extensible Storage Engine (ESE) ist eine Windows-Komponente, die von den AD DS sowie<br />
verschiedenen anderen Windows-Komponenten als Schnittstelle zur Datenbank verwendet<br />
wird. Die ESE ist zuständig für die Indizierung der Daten in der Datenbankdatei und die<br />
Übertragung der Daten in die und aus der Datenbank. Ferner wird sie zur Verwaltung der Zeilen<br />
und Spalten der Datenbank eingesetzt. Mithilfe von ESE können Anwendungen Daten<br />
speichern und abrufen. Zudem implementiert diese Komponente den Transaktionsprozess<br />
zum Übernehmen von Änderungen in der Datenbank.<br />
Der Datenspeicher speichert Verzeichnisinformationen in einer einzigen Datenbankdatei. Zusätzlich<br />
verwendet der Datenspeicher Transaktionsprotokolldateien, in denen nicht übernommene<br />
Änderungen sowie übernommene Transaktionen vorübergehend gespeichert werden,<br />
bevor diese in die Datenbank übernommen werden.<br />
Hinweis Eine zweite Kopie der Datei Ntds.dit befindet sich auf jedem Domänencontroller im Verzeichnis<br />
%SystemRoot%\System32. Bei dieser Version der Datei handelt es sich um die Verteilungskopie (Standardkopie)<br />
der Verzeichnisdatenbank, die lediglich zum Installieren der AD DS verwendet wird. Diese Datei wird<br />
bei der Installation von Microsoft Windows Server 2008 auf den Server kopiert, sodass der Server zu einem<br />
Domänencontroller heraufgestuft werden kann, ohne auf das Installationsmedium zugreifen zu müssen. Bei<br />
der Ausführung des Assistenten zum Installieren von <strong>Active</strong> <strong>Directory</strong>-Domänendiensten (Dcpromo.exe) wird<br />
die Datei Ntds.dit aus dem Ordner System32 in den Ordner NTDS kopiert. Die im Ordner NTDS gespeicherte<br />
Kopie ist anschließend die aktive Kopie des Verzeichnisdatenspeichers. Wenn dies nicht der erste<br />
Domänencontroller in der Domäne ist, wird diese Datei über den Replikationsprozess von anderen Domänencontrollern<br />
in der Domäne aktualisiert.<br />
Domänencontroller<br />
Per Definition ist jeder Computer unter Windows Server 2008, auf dem eine Kopie der AD DS-<br />
Datenbank gespeichert ist, ein Domänencontroller. Domänencontroller bieten Authentifizierungsdienste<br />
für die Domäne sowie Verzeichnissuchdienste. Mit einigen Ausnahmen, die weiter unten in<br />
diesem Kapitel erläutert werden, werden sämtliche Domänencontroller identisch erstellt. Unter Verwendung<br />
der in Kapitel 4, „<strong>Active</strong> <strong>Directory</strong>-Domänendienstreplikation“, beschriebenen Multimasterreplikation<br />
wird auf jedem Domänencontroller in der Domäne eine aktuelle Kopie der Domänendatenbank<br />
gepflegt. Ferner kann jeder Domänencontroller Änderungen an der Datenbank vornehmen.<br />
Neben den Domänencontrollern zum Hosten der AD DS sind mehrere Domänencontroller mit besonderem<br />
Zweck vorhanden, welche die AD DS zum Ausführen bestimmter Funktionen benötigen.<br />
Dabei handelt es sich um die globalen Katalogserver und die Betriebsmaster. Zusätzlich unterstützt<br />
Windows Server 2008 schreibgeschützte Domänencontroller (Read-Only Domain Controllers,<br />
RODCs).<br />
Globale Katalogserver<br />
Der globale Katalog ist ein schreibgeschütztes Teilreplikat aller Domänenverzeichnispartitionen in der<br />
Gesamtstruktur. Die zusätzlichen Domänenverzeichnispartitionen sind nicht vollständig, da lediglich<br />
eine beschränkte Menge an Attributen für jedes Objekt enthalten ist. Da nur die am häufigsten für<br />
Suchvorgänge verwendeten Attribute enthalten sind, kann jedes Objekt in jeder Domäne innerhalb der<br />
Gesamtstruktur in der Datenbank eines einzigen globalen Katalogservers dargestellt werden.
Physische Struktur der AD DS 23<br />
Der globale Katalog bietet selbst bei einer Gesamtstruktur mit mehreren Domänen und Domänenstrukturstämmen<br />
die Möglichkeit zur effizienten Suche nach Objekten in einer beliebigen Domäne.<br />
Da für Suchvorgänge, die unter Verwendung des globalen Katalogs durchgeführt werden, nicht auf<br />
unterschiedliche Domänencontroller verweisen wird, sind diese Vorgänge schneller.<br />
Der globale Katalog wird auf Domänencontrollern gespeichert, die als globale Katalogserver vorgesehen<br />
sind, und über die Multimasterreplikation verteilt.<br />
Ob ein Attribut in den globalen Katalog repliziert wird, hängt vom Schema ab. Die Attribute, die in<br />
den globalen Katalog aufgenommen werden, sind im Schema als Teilattributsatz (Partial Attribute<br />
Set, PAS) gekennzeichnet. Der PAS ist durch das Attribut isMemberOfPartialAttributeSet gekennzeichnet:<br />
wenn dieses Attribut auf true gesetzt ist, wird es in den globalen Katalog aufgenommen.<br />
Administratoren können Attribute mithilfe des Snap-Ins für das <strong>Active</strong> <strong>Directory</strong>-Schema zum globalen<br />
Katalog hinzufügen. Beispielsweise wird das Attribut Department standardmäßig nicht zum globalen<br />
Katalog hinzugefügt. Wenn die Benutzer in der Lage sein sollen, in mehreren Domänen basierend<br />
auf der Abteilung nach einem anderen Benutzer suchen zu können, sollten Sie dieses Attribut<br />
gegebenenfalls zum globalen Katalog hinzufügen.<br />
Zum Hinzufügen eines Attributs zum globalen Katalog greifen Sie im <strong>Active</strong> <strong>Directory</strong>-Schema auf<br />
die Attributeigenschaften zu, und wählen Sie die Option Attribut in den globalen Katalog replizieren.<br />
Dadurch wird der Wert des Parameters isMemberOfPartialAttributeSet für das Attribut auf true<br />
gesetzt. Abbildung 2.2 zeigt die zur Konfiguration eines Attributs als Mitglied des PAS verwendete<br />
Oberfläche.<br />
Abbildung 2.2 Das Attribut Department kann über das MMC-Snap-In für das <strong>Active</strong> <strong>Directory</strong>-Schema zum<br />
globalen Katalog hinzugefügt werden
24 Kapitel 2: <strong>Active</strong> <strong>Directory</strong>-Domänendienstkomponenten<br />
Vorsicht Gehen Sie beim Hinzufügen von Attributen zum globalen Katalog mit Vorsicht vor. Wenn ein<br />
Attribut zum globalen Katalog hinzugefügt wird, muss der globale Katalog in allen Domänen innerhalb der<br />
Gesamtstruktur neu berechnet werden, und die aktualisierten Informationen müssen auf allen globalen<br />
Katalogservern repliziert werden. Dies ist insbesondere dann wichtig, wenn eine Umgebung über Domänencontroller<br />
unter Windows 2000 verfügt. Wenn ein neues Attribut zum globalen Katalog auf einem Domänencontroller<br />
unter Windows 2000 hinzugefügt oder von diesem entfernt wird, erstellt und repliziert der Domänencontroller<br />
den gesamten globalen Katalog neu. Domänencontroller unter Windows Server 2003 und<br />
höher replizieren lediglich das Delta (also das Attribut, das zum PAS hinzugefügt oder aus diesem entfernt<br />
wurde). In großen Organisationen mit mehreren Domänen kann dies eine erhebliche Prozessor- und Netzwerklast<br />
verursachen. In den meisten Fällen wird der PAS nur geändert, wenn dies für eine bestimmte<br />
Anwendung erforderlich ist. Bei der Installation von Exchange 2000 Server oder höher werden z.B. eine<br />
Vielzahl von neuen Attributen zum globalen Katalog hinzugefügt.<br />
Der erste in der Gesamtstruktur installierte Domänencontroller wird automatisch als globaler Katalogserver<br />
konfiguriert. Während der Installation der AD DS oder über die Option Globaler Katalog im<br />
Verwaltungstool <strong>Active</strong> <strong>Directory</strong>-Standorte und -Dienste können weitere Domänencontroller als globale<br />
Katalogserver bestimmt werden.<br />
Hinweis In den meisten Fällen sollte an jedem Bürostandort, der als AD DS-Standort konfiguriert ist, ein<br />
globaler Katalogserver konfiguriert werden. Dadurch wird der Anmeldeprozess für Benutzer in diesem Büro<br />
optimiert. In Kapitel 5, „Entwerfen der <strong>Active</strong> <strong>Directory</strong>-Domänendienstestruktur“ finden Sie Informationen zur<br />
erforderlichen Anzahl an globalen Katalogservern sowie zum geeigneten Standort dieser Komponenten.<br />
Globale Katalogserver sind aus verschiedenen Gründen wichtig. Ein Grund ist, dass diese Server die<br />
Effizienz von AD DS-Suchvorgängen erhöhen. Ohne einen globalen Katalog würden Suchanfragen, die<br />
von einem Domänencontroller für ein Objekt in einer anderen Domäne empfangen werden, dazu führen,<br />
dass dieser Domänencontroller die Abfrage an einen Domänencontroller in der Objektdomäne<br />
weitergibt. Diese Suche wäre nur möglich, wenn die Suchabfrage die Domäne enthält, in der sich das<br />
Objekt befindet. Da der globale Katalog eine vollständige Liste aller Objekte in der Gesamtstruktur<br />
enthält, kann der globale Katalogserver unter Verwendung eines Attributs, das in den globalen Katalog<br />
repliziert wurde, auf sämtliche Abfragen antworten, ohne dass auf einen anderen Domänencontroller<br />
verwiesen werden muss.<br />
Hinweis Globale Katalogabfragen sind mit normalen LDAP-Abfragen identisch, die an einen Domänencontroller<br />
unter Windows Server 2008 gesendet werden. Diese Abfragen unterscheiden sich lediglich<br />
dadurch, dass für die globale Katalogabfrage anstelle des TCP-Ports 389 (der LDAP-Standardport) der TCP-<br />
Port 3268 verwendet wird. Wenn ein Domänencontroller, der auch als globaler Katalogserver eingesetzt wird,<br />
eine Abfrage über Port 389 empfängt, wird der globale Katalog nicht nach Objekten in anderen Domänen<br />
durchsucht.<br />
Globale Katalogserver werden ferner bei der Verarbeitung von Benutzeranmeldungen verwendet.<br />
Bei jeder Benutzeranmeldung an einer Domäne wird ein globaler Katalogserver kontaktiert. Der<br />
Grund dafür ist, dass Domänencontroller, die nicht als globaler Katalogserver konfiguriert sind, keine<br />
Informationen zu universellen Gruppenmitgliedschaft enthalten. Universelle Gruppen können Benutzer-<br />
und Gruppenkonten aus einer beliebigen Domäne innerhalb einer bestimmten Gesamtstruktur<br />
umfassen. Da universelle Gruppenmitgliedschaften gesamtstrukturweit gelten, kann die Gruppenmitgliedschaft<br />
nur durch einen Domänencontroller aufgelöst werden, der über gesamtstrukturweite Verzeichnisinformationen<br />
verfügt – der globale Katalog.
Physische Struktur der AD DS 25<br />
Um ein geeignetes Sicherheitstoken für den Benutzer zu generieren, der die Authentifizierungsanforderung<br />
gesendet hat, muss zum Ermitteln der universellen Gruppenmitgliedschaft des Benutzers der<br />
globale Katalog kontaktiert werden.<br />
Hinweis Windows Server 2008 unterstützt das als Zwischenspeichern der universellen Gruppenmitgliedschaft<br />
bezeichnete Feature, über das die Anmeldung an einem Windows Server 2008-Netzwerk ohne Kontaktierung<br />
eines globalen Katalogs möglich ist. Nach der Benutzeranmeldung am Domänencontroller kann<br />
die universelle Gruppenmitgliedschaft auf nicht globalen Katalogdomänencontrollern zwischengespeichert<br />
werden. Nach dem Erhalt der Informationen von einem globalen Katalog werden diese auf unbestimmte Zeit<br />
auf dem Domänencontroller für den Standort zwischengespeichert und regelmäßig aktualisiert (standardmäßig<br />
alle 8 Stunden). Da die authentifizierenden Domänencontroller nicht auf einen globalen Katalog<br />
zugreifen müssen, führt das Aktivieren dieses Features zu kürzeren Anmeldezeiten für Benutzer an Remotestandorten.<br />
Die Planung und Konfiguration der Zwischenspeicherung von universellen Gruppenmitgliedschaften<br />
wird in Kapitel 5 näher erläutert.<br />
Globale Katalogserver sind ferner zum Verarbeiten von Benutzeranmeldungen erforderlich, wenn<br />
Benutzer für die Anmeldung einen Benutzerprinzipalnamen (User Principal Name, UPN) verwenden.<br />
Über UPNs können sich Benutzer unter Verwendung eines konsistenten Benutzernamens an Computern<br />
in einer beliebigen Domäne innerhalb einer Gesamtstruktur anmelden. Das UPN-Format lautet<br />
benutzername@domaenenname, der Domänenname muss jedoch nicht mit der Domäne übereinstimmen,<br />
in der sich das Benutzerkonto befindet. Um die Domäne des Benutzers zu ermitteln, muss der<br />
UPN im globalen Katalog aufgelöst werden.<br />
Schreibgeschützte Domänencontroller<br />
Schreibgeschützte Domänencontroller (Read-Only Domain Controllers, RODC) sind ein weiterer spezieller<br />
Typ von Domänencontroller, der in Windows Server 2008 AD DS verfügbar ist. RODCs werden<br />
zum Hosten von schreibgeschützten Versionen der AD DS-Datenbank eingesetzt und bieten sämtliche<br />
Authentifizierungs- und Autorisierungsdienste, die über andere Domänencontroller bereitgestellt<br />
werden.<br />
RODCs sind in erster Linie für die Bereitstellung in Zweigstellenszenarien konzipiert, in denen die<br />
physische Sicherheit des Domänencontrollers nicht sichergestellt werden kann, oder in Szenarien, in<br />
denen das lokale Speichern von Domänenkennwörtern als Sicherheitsrisiko eingestuft wird. Ferner<br />
können RODCs schreibgeschützte Versionen der in den AD DS integrierten DNS-Zonen enthalten<br />
und als globale Katalogserver konfiguriert werden.<br />
Hinweis Ziehen Sie für zusätzliche Sicherheit die Bereitstellung von RODCs mit der Server Core-Installationsoption<br />
von Windows Server 2008 in Betracht. Diese Installationsoption bietet keine grafischen Verwaltungstools.<br />
Da RODCs an Standorten bereitgestellt werden können, die nicht als sicher betrachtet werden,<br />
sollten zudem keine normalen Domänencontroller an diesen Standorten bereitgestellt werden.<br />
Zwischenspeichern von Anmeldeinformationen auf RODCs<br />
Eine der verfügbaren Konfigurationsoptionen auf einem RODC ist das Zwischenspeichern von<br />
Anmeldeinformationen. Beim Zwischenspeichern von Anmeldeinformationen wird das mit Sicherheitsprinzipalen<br />
verknüpfte Kennwort gespeichert. Alle beschreibbaren Domänencontroller haben<br />
Zugriff auf die Anmeldeinformationen sämtlicher Sicherheitsprinzipale. Um die Sicherheit eines<br />
RODC zu erhöhen, kann eingeschränkt werden, welche Anmeldeinformationen auf einem RODC<br />
zwischengespeichert werden.
26 Kapitel 2: <strong>Active</strong> <strong>Directory</strong>-Domänendienstkomponenten<br />
Standardmäßig werden lediglich die Anmeldeinformationen des RODC-Computerkontos und eines<br />
speziellen KRBTGT-Kontos auf dem RODC gespeichert. Dies bedeutet, dass der RODC bei der<br />
Authentifizierung eines Benutzers oder Computers gegenüber dem RODC über eine Verbindung zu<br />
einem beschreibbaren Domänencontroller verfügen muss. Bei Empfang der Authentifizierungsanforderung<br />
leitet der RODC diese an einen beschreibbaren Domänencontroller weiter.<br />
Die standardmäßige Konfiguration der Zwischenspeicherung von Anmeldeinformationen kann über<br />
die Kennwortreplikationsrichtlinie für RODCs geändert werden. Die Kennwortreplikationsrichtlinie<br />
sollte möglicherweise z.B. so konfiguriert werden, dass die Anmeldeinformationen aller Benutzer-,<br />
Computer- und Dienstkonten in der Zweigstelle auf dem RODC zwischengespeichert werden. Wenn<br />
die Kennwortreplikationsrichtlinie geändert wird, werden Kennwörter nach der nächsten erfolgreichen<br />
Anmeldung eines in der Richtlinie angegebenen Sicherheitsprinzipals auf dem RODC zwischengespeichert.<br />
Nach der erfolgreichen Authentifizierung eines Kontos versucht der RODC, einen<br />
beschreibbaren Domänencontroller am Nebenstandort zu kontaktieren, und fordert eine Kopie der<br />
geeigneten Anmeldeinformationen an. Der beschreibbare Domänencontroller erkennt, dass die Anforderung<br />
von einem RODC stammt, und überprüft die geltende Kennwortreplikationsrichtlinie für diesen<br />
RODC. Wenn die Kennwortreplikationsrichtlinie dies zulässt, repliziert der beschreibbare Domänencontroller<br />
die Anmeldeinformationen auf dem RODC, und diese Informationen werden auf dem<br />
RODC zwischengespeichert. Nach der Zwischenspeicherung der Anmeldeinformationen auf dem<br />
RODC kann der RODC die Anmeldeanforderungen des Benutzers direkt verarbeiten, bis die Anmeldeinformationen<br />
oder die Kennwortreplikationsrichtlinie geändert werden.<br />
Durch die Einschränkung der Zwischenspeicherung von Anmeldeinformationen auf dem RODC kann<br />
die potenzielle Offenlegung von Anmeldeinformationen bei Diebstahl des RODC beschränkt werden.<br />
Typischerweise sind lediglich die Anmeldeinformationen einer kleinen Untermenge an Domänenbenutzern<br />
auf einem RODC zwischengespeichert. Bei Diebstahl des RODC können folglich nur diese<br />
zwischengespeicherten Anmeldeinformationen zu missbräuchlichen Zwecken verwendet werden. In<br />
diesem Fall kann über <strong>Active</strong> <strong>Directory</strong>-Benutzer und -Computer problemlos ermittelt werden, welche<br />
Anmeldeinformationen auf dem Server zwischengespeichert werden. Anschließend können die<br />
Kennwörter für all diese Konten zurückgesetzt werden.<br />
Zur Unterstützung der RODC-Kennwortreplikationsrichtlinie umfasst Windows Server 2008 AD DS<br />
neue Attribute, die einem RODC zugewiesen werden. Dazu zählen die folgenden Attribute:<br />
• msDS-Reveal-OnDemandGroup Dieses Attribut kennzeichnet eine Gruppe, deren Mitglieder<br />
berechtigt sind, ihre Anmeldeinformationen auf dem RODC zwischenzuspeichern.<br />
• msDS-NeverRevealGroup Dieses Attribut kennzeichnet eine Gruppe, für die das Zwischenspeichern<br />
von Anmeldeinformationen auf dem RODC für sämtliche Gruppenmitglieder gesperrt ist.<br />
Dieses Attribut enthält per Voreinstellung sämtliche Administratorkonten. Es wirkt sich nicht auf<br />
die Möglichkeit dieser Sicherheitsprinzipale aus, über den RODC eine Authentifizierung durchzuführen.<br />
• msDS-RevealedList Dieses Attribut enthält eine Liste von Sicherheitsprinzipalen, deren Anmeldeinformationen<br />
auf dem RODC zwischengespeichert sind.<br />
• msDS-AuthenticatedToAccountList Dieses Attribut umfasst eine Liste von Sicherheitsprinzipalen<br />
in der lokalen Domäne, die gegenüber dem RODC authentifiziert wurden. Über die RODC-Eigenschaften<br />
in <strong>Active</strong> <strong>Directory</strong>-Benutzer und -Computer kann ermittelt werden, welche Computer<br />
und Benutzer den RODC zur Anmeldung verwenden. Auf diese Weise kann die Kennwortreplikationsrichtlinie<br />
für den RODC bearbeitet und präzise angepasst werden.
Physische Struktur der AD DS 27<br />
Delegieren von Administratorrechten für einen RODC<br />
Ein weiteres für schreibgeschützte Domänencontroller verfügbares Feature ist die Trennung von<br />
Administratorrollen, über die ein delegierter lokaler Administrator für den RODC konfiguriert werden<br />
kann, ohne Berechtigungen auf Domänenebene zuzuweisen. Der delegierte Administrator kann<br />
sich für Verwaltungs- und Wartungsarbeiten (z.B. zur Aktualisierung eines Treibers) an einem RODC<br />
anmelden. Er könnte sich jedoch nicht an einem anderen Domänencontroller anmelden oder andere<br />
Verwaltungsaufgaben in der Domäne ausführen. Die Delegierung von Administratorrechten für einen<br />
RODC sollte in Betracht gezogen werden, wenn sich der Domänencontroller an einem Zweigstellenstandort<br />
ohne Domänenadministratoren befindet.<br />
Sicherheitswarnung Für einen RODC delegierte lokale Administratoren verfügen über direkten Zugriff auf<br />
die Datenbankdateien der <strong>Active</strong> <strong>Directory</strong>-Domänendienste und könnten folglich auf sämtliche auf dem RODC<br />
gespeicherten Informationen zugreifen (einschließlich der zwischengespeicherten Anmeldeinformationen). Aus<br />
diesem Grund sollten nur äußerst vertrauenswürdige Personen als delegierte lokale Administratoren gewählt<br />
werden.<br />
Hinweis Der delegierte lokale Administrator kann während der Ausführung des Assistenten zum Installieren<br />
von <strong>Active</strong> <strong>Directory</strong>-Domänendiensten zum RODC hinzugefügt werden. Wenn Sie lokale Administratorrechte<br />
delegieren, wird das Benutzerkonto nicht zu einer zusätzlichen Sicherheitsgruppe hinzugefügt.<br />
Stattdessen wird der Benutzer- oder Gruppenname in einem Attribut für das RODC-Computerobjekt in<br />
den AD DS gespeichert, das beim Versuch des Benutzers, sich am RODC anzumelden, verwendet wird.<br />
Beachten Sie, dass die Anmeldeinformationen des delegierten lokalen Administrators per Voreinstellung<br />
nicht auf dem RODC zwischengespeichert werden. Dies bedeutet, dass sich der delegierte lokale Administrator<br />
nicht am RODC anmelden kann, wenn kein beschreibbarer Domänencontroller verfügbar ist. Ziehen<br />
Sie das Ändern dieser Einstellung in Betracht, wenn die lokale Verwaltung auf dem RODC beim Ausfall<br />
einer WAN-Verbindung erforderlich ist. Zum Hinzufügen von lokalen Administratoren zu den RODC-Administratorengruppen<br />
nach der Konfiguration der AD DS verwenden Sie das Befehlszeilentool Dsmgmt.exe.<br />
Umfassende Informationen zu diesem Thema finden Sie in Kapitel 6, „Installieren der <strong>Active</strong> <strong>Directory</strong>-<br />
Domänendienste“.<br />
Einschränkungen beim Einsatz von RODCs<br />
Einige für beschreibbare Domänencontroller verfügbare Domänencontrolleroptionen sind auf einem<br />
RODC nicht verfügbar. Ein RODC kann nicht als eine der folgenden Rollen konfiguriert werden:<br />
• Besitzer der Betriebsmasterrolle Besitzer der Betriebsmasterrolle müssen Informationen in die AD<br />
DS-Datenbank schreiben können. Der Schemamaster muss beispielsweise in der Lage sein, Definitionen<br />
für neue Objektklassen und Attribute zu schreiben. Der RID-Master muss Werte von<br />
RID-Pools schreiben können, die anderen Domänencontrollern zugewiesen sind. Da die AD DS-<br />
Datenbank auf einem RODC schreibgeschützt ist, kann er nicht als Besitzer einer Betriebsmasterrolle<br />
genutzt werden.<br />
• Bridgeheadserver Bridgeheadserver werden zum Replizieren von Änderungen zwischen verschiedenen<br />
Standorten eingesetzt. Da RODCs lediglich Änderungen per Replikation empfangen,<br />
jedoch keine Replikationsaktualisierungen senden können, können diese Domänencontroller nicht<br />
als Bridgeheadserver für einen Standort eingesetzt werden. Bei Bereitstellung eines RODC an<br />
einem Standort mit anderen Domänencontrollern in derselben Domäne oder Gesamtstruktur wird<br />
einer der anderen Domänencontroller als Bridgeheadserver für den Standort konfiguriert.
28 Kapitel 2: <strong>Active</strong> <strong>Directory</strong>-Domänendienstkomponenten<br />
Auf der DVD Über das auf der CD enthaltene Windows PowerShell-Skript ListDomainControllers.ps1 können<br />
sämtliche Domänencontroller in einer Domäne und globalen Katalogserver in einer Gesamtstruktur aufgelistet<br />
werden. Bei Ausführung von Windows PowerShell auf einem Computer unter Windows Server 2008<br />
muss die PowerShell-Skriptausführungsrichtlinie über den Befehl Set-ExecutionPolicy RemoteSigned zum<br />
Zulassen von nicht signierten Zertifikaten konfiguriert werden. Ferner muss bei der Ausführung eines Windows<br />
PowerShell-Skripts der vollständige Pfad angegeben werden.<br />
Beispiele für VMScript-Skripte (Visual Basic Scripting Edition) zum Abrufen von AD DS-Informationen finden<br />
Sie auf der Script Center Script Repository-Website unter http://www.microsoft.com/technet/scriptcenter/<br />
scripts/default.mspx?mfr=true.<br />
Betriebsmaster<br />
Die AD DS sind als Multimaster-Replikationssystem konzipiert. Dies erfordert, dass mit Ausnahme<br />
von RODCs sämtliche Domänencontroller über Schreibberechtigungen für die Verzeichnisdatenbank<br />
verfügen. Dieses System eignet sich für die meisten Verzeichnisvorgänge, für bestimmte Verzeichnisvorgänge<br />
wird jedoch ein einzelner autorisierender Server benötigt. Domänencontroller mit spezifischen<br />
Rollen werden als Betriebsmaster bezeichnet, und jeder von ihnen verfügt über eine FSMO-<br />
Rolle (Flexible Single-Master Operations). Domänencontroller mit Betriebsmasterrollen werden zum<br />
Ausführen bestimmter Aufgaben eingesetzt, um Konsistenz sicherzustellen und mögliche Konflikte<br />
bei Einträgen in der AD DS-Datenbank zu verhindern. In den AD DS gibt es die folgenden fünf<br />
Betriebsmasterrollen:<br />
• Schemamaster<br />
• Domänennamenmaster<br />
• RID-Master<br />
• PDC-Emulator<br />
• Infrastrukturmaster<br />
Die ersten beiden Rollen, Schemamaster und Domänennamenmaster gelten pro Gesamtstruktur. Dies<br />
bedeutet, dass es nur einen Schemamaster und nur einen Domänennamenmaster pro Gesamtstruktur<br />
gibt. Die anderen drei Rollen gelten pro Domäne, das heißt, dass für jede Domäne in der Gesamtstruktur<br />
eine dieser Betriebsmasterrollen vorhanden ist. Bei der Installation der AD DS und Erstellung<br />
des ersten Domänencontrollers in der Gesamtstruktur werden diesem Domänencontroller alle<br />
fünf Rollen zugewiesen. Ebenso werden beim Hinzufügen von Domänen zur Gesamtstruktur dem ersten<br />
Domänencontroller in jeder neuen Domäne die pro Domäne geltenden Betriebsmasterrollen zugewiesen.<br />
Beim Hinzufügen von Domänencontrollern zu einer Domäne können diese Rollen an andere<br />
Domänencontroller übertragen werden.<br />
Schemamaster<br />
Der Schemamaster ist der einzige Domänencontroller mit Schreibberechtigungen für das Verzeichnisschema.<br />
Zum Ändern des Schemas muss der Administrator (der Mitglied der Sicherheitsgruppe<br />
Schema-Admins sein muss) mit dem Schemamaster verbunden sein. Beim Versuch, Schemaänderungen<br />
auf einem Domänencontroller durchzuführen, bei dem es sich nicht um den Schemamaster<br />
handelt, schlägt dieser Vorgang fehl. Nach dem Durchführen einer Änderung werden Schemaaktualisierungen<br />
auf allen anderen Domänencontrollern in der Gesamtstruktur repliziert.
Physische Struktur der AD DS 29<br />
Der Schemamaster ist durch den Wert des Attributs fSMORoleOwner für das Stammobjekt der Schemapartition<br />
gekennzeichnet. Standardmäßig übernimmt der erste in einer Gesamtstruktur installierte<br />
Domänencontroller die Schmamasterrolle. Diese Rolle kann jederzeit über das Snap-In für das <strong>Active</strong><br />
<strong>Directory</strong>-Schema oder über das Befehlszeilenprogramm Ntdsutil übertragen werden.<br />
Domänennamenmaster<br />
Der Domänennamenmaster ist der zum Hinzufügen und Entfernen aller Verzeichnispartitionen innerhalb<br />
einer Gesamtstrukturhierarchie eingesetzte Domänencontroller. Der Domänencontroller mit der<br />
Rolle des Domänennamenmasters muss verfügbar sein, wenn Sie folgende Aufgaben ausführen:<br />
• Hinzufügen oder Entfernen von Domänen Beim Erstellen oder Entfernen einer untergeordneten<br />
Domäne oder neuen Domänenstruktur kontaktiert der Installations-Assistent den Domänennamenmaster<br />
und fordert das Hinzufügen oder Entfernen an. Der Domänennamenmaster stellt sicher,<br />
dass eindeutige Domänennamen vergeben werden. Wenn der Domänennamenmaster nicht verfügbar<br />
ist, können keine Domänen aus der Gesamtstruktur entfernt oder zu dieser hinzugefügt werden.<br />
• Hinzufügen oder Entfernen von Anwendungsverzeichnispartitionen Bei Anwendungsverzeichnispartitionen<br />
handelt es sich um spezielle Partitionen, die auf Domänencontrollern unter Windows<br />
Server 2003 oder Windows Server 2008 erstellt werden können, um Speicherplatz für dynamische<br />
Anwendungsdaten bereitzustellen. Wenn der Domänencontroller, der die Rolle des Domänennamenmasters<br />
hostet, nicht verfügbar ist, können keine Anwendungsverzeichnispartitionen zur<br />
Gesamtstruktur hinzugefügt oder aus dieser entfernt werden.<br />
• Hinzufügen oder Entfernen von Querverweisobjekten Beim Erstellen einer neuen Gesamtstruktur<br />
werden die Schema-, Konfigurations- und Domänenverzeichnispartitionen auf dem ersten Domänencontroller<br />
in der Gesamtstruktur erstellt. Auf der Konfigurationsverzeichnispartition wird für<br />
jede Verzeichnispartition im Container Partitions ein Querverweisobjekt erstellt (CN=partitions,<br />
CN=configuration, DC=forestRootDomain). Wenn neue Domänen oder Anwendungsverzeichnispartitionen<br />
erstellt werden, wird im Container Partitions ein verknüpftes Querverweisobjekt<br />
erstellt. Wenn der Domänennamenmaster nicht verfügbar ist, können keine Querverweisobjekte<br />
hinzugefügt oder entfernt werden.<br />
• Validieren von Domänenumbenennungsanweisungen Bei Verwendung des Domänenumbenennungstools<br />
Rendom.exe zum Umbenennen einer AD DS-Domäne muss das Tool auf den Domänennamenmaster<br />
zugreifen können. Wenn Sie das Tool ausführen, wird das XML-codierte Skript<br />
mit den Anweisungen zur Domänenumbenennung in das Attribut msDS-UpdateScript im Containerobjekt<br />
Partitions (CN=partitions,CN=configuration,DC=ForestRootDomain) auf der Konfigurationsverzeichnispartition<br />
geschrieben. Ferner wird der neue DNS-Name jeder umbenannten<br />
Domäne durch Rendom.exe in das Attribut msDS-DnsRootAlias für das Querverweisobjekt<br />
(Klasse crossRef) für diese Domäne geschrieben. Beide Objekte werden im Container Partitions<br />
gespeichert, und der Container kann ausschließlich auf dem Domänencontroller mit der Rolle des<br />
Domänennamenmasters für die Gesamtstruktur aktualisiert werden.<br />
Der Domänennamenmaster ist durch den Wert des Attributs fSMORoleOwner für das Containerobjekt<br />
Partitions gekennzeichnet. Standardmäßig übernimmt der erste in einer Gesamtstruktur installierte<br />
Domänencontroller die Rolle des Domänennamenmasters. Diese Rolle kann jederzeit über das<br />
Snap-In <strong>Active</strong> <strong>Directory</strong>-Domänen und -Vertrauensstellungen oder über das Befehlszeilenprogramm<br />
Ntdsutil übertragen werden.
30 Kapitel 2: <strong>Active</strong> <strong>Directory</strong>-Domänendienstkomponenten<br />
RID-Master<br />
Die Betriebsmasterrolle des RID-Masters gilt pro Domäne. Sie wird zum Verwalten des RID-Pools<br />
eingesetzt, um neue Sicherheitsprinzipale innerhalb der Domäne (z.B. Benutzer, Gruppen und Computer)<br />
zu erstellen. Für jeden Sicherheitsprinzipal wird eine eindeutige Sicherheitskennung (Security<br />
Identifier, SID) mit einer Domänenkennung ausgestellt, die für sämtliche SIDs in der Domäne identisch<br />
ist. Ferner wird für jeden Sicherheitsprinzipal ein eindeutiger relativer Bezeichner (Relative<br />
Identifier, RID) erstellt. Da Sicherheitsprinzipale auf einem beliebigen Domänencontroller mit einer<br />
beschreibbaren Kopie des Verzeichnisses erstellt werden können, wird der RID-Master verwendet um<br />
sicherzustellen, dass eine RID nicht von zwei Domänencontrollern gleichzeitig ausgestellt wird. Der<br />
RID-Master erstellt für jeden Domänencontroller innerhalb der Domäne einen Block aus RIDs, den<br />
sogenannten RID-Pool. Wenn die maximale Anzahl an verfügbaren RIDs im RID-Pool auf einem<br />
Domänencontroller beinah erreicht ist (bei fast 100), wird ein weiterer RID-Block vom RID-Master<br />
angefordert. In diesem Fall erstellt der RID-Master einen Pool mit ca. 500 weiteren RIDs für den<br />
Domänencontroller.<br />
Wenn der RID-Master für einen bestimmten Zeitraum nicht verfügbar ist, kann die Erstellung neuer<br />
Konten auf bestimmten Domänencontrollern unterbrochen werden. Der Mechanismus zum Anfordern<br />
eines neuen RID-Blocks ist so konzipiert, dass dieser Fall nicht eintritt: die Anforderung wird<br />
gesendet, bevor alle verfügbaren RIDs innerhalb des RID-Pools verwendet wurden. Wenn der RID-<br />
Master jedoch offline ist und der anfordernde Domänencontroller alle verbleibenden RIDs nutzt,<br />
schlägt die Kontoerstellung fehl. Um die Kontoerstellung erneut zu aktivieren, muss entweder der<br />
Besitzer der RID-Masterrolle erneut online geschaltet werden, oder die Rolle muss an einen anderen<br />
Domänencontroller innerhalb der Domäne übertragen werden.<br />
Der RID-Master ist durch den Wert des Attributs fSMORoleOwner für das Objekt in der Domänenpartition<br />
gekennzeichnet, dessen Klasse rIDManager lautet. Standardmäßig übernimmt der erste in einer<br />
neuen Domäne installierte Domänencontroller die Rolle des RID-Masters. Diese Rolle kann über das<br />
Snap-In Microsoft <strong>Active</strong> <strong>Directory</strong>-Benutzer und -Computer oder über das Befehlszeilenprogramm<br />
Ntdsutil übertragen werden.<br />
PDC-Emulator<br />
Der PDC-Emulator wird als primärer Domänencontroller (Primary Domain Controller, PDC) für<br />
Betriebssysteme vor Windows 2000 eingesetzt. Zum Verarbeiten von Kennwortänderungen müssen<br />
Mitgliedsserver und Clientcomputer unter Windows NT mit einem PDC kommunizieren können.<br />
Neben der Bereitstellung von Diensten für ältere Clients spielt der PDC-Emulator eine wichtige<br />
Rolle bei der Kennwortreplikation.<br />
Hinweis Bei Windows 2000 und Windows 2003 <strong>Active</strong> <strong>Directory</strong> hat der PDC-Emulator u.a. die wichtige<br />
Rolle, als PDC für Reservedomänencontroller (Backup Domain Controller, BDC) unter älteren Betriebssystemen<br />
(Microsoft Windows NT 3.51 oder Windows NT 4.0) zu agieren. Da Windows Server 2008 nicht gemeinsam<br />
mit Domänencontrollern unter Betriebssystemen vor Windows 2000 bereitgestellt werden kann, ist diese<br />
Funktion nicht mehr relevant.<br />
Selbst wenn keine Mitgliedsserver oder Clientcomputer unter Windows NT in der Domäne vorhanden<br />
sind, verwaltet der PDC-Emulator Kennwortaktualisierungen. Sämtliche Kennwortänderungen<br />
auf anderen Domänencontrollern innerhalb der Domäne werden mithilfe der dringenden Replikation<br />
an den PDC-Emulator gesendet. Beim Fehlschlagen der Benutzerauthentifizierung auf einem anderen<br />
Domänencontroller als dem PDC-Emulator, wird auf dem PDC-Emulator versucht, die Authentifizierung<br />
durchzuführen.
Physische Struktur der AD DS 31<br />
Wenn der PDC-Emulator eine kürzlich vorgenommene Kennwortänderung für das Konto akzeptiert<br />
hat, wird die Authentifizierung erfolgreich durchgeführt. Bei der erfolgreichen Benutzerauthentifizierung<br />
auf einem Domänencontroller, auf dem der vorherige Versuch fehlgeschlagen ist, benachrichtigt<br />
der Domänencontroller den PDC-Emulator über die erfolgreiche Authentifizierung. Dadurch wird der<br />
Sperrungszähler auf dem PDC-Emulator für den Fall zurückgesetzt, dass ein anderer Client versucht,<br />
dasselbe Konto unter Verwendung eines anderen Domänencontrollers zu validieren.<br />
Der PDC-Emulator ist durch den Wert des Attributs fSMORoleOwner für das Stammobjekt der Domänenpartition<br />
gekennzeichnet. Standardmäßig übernimmt der erste in einer neuen Domäne installierte<br />
Domänencontroller die Rolle des PDC-Emulators. Diese Rolle kann jederzeit über das Snap-In <strong>Active</strong><br />
<strong>Directory</strong>-Benutzer und -Computer oder über das Befehlszeilenprogramm Ntdsutil übertragen werden.<br />
Infrastrukturmaster<br />
Der Infrastrukturmaster wird zum Aktualisieren von domänenübergreifenden Verweisen zwischen<br />
Gruppen und Benutzern eingesetzt. Diese Betriebsmasterrolle stellt sicher, dass Änderungen an<br />
Objektnamen (Änderungen am cn-Attribut) in den Gruppenmitgliedschaftinformationen für Gruppen<br />
dargestellt werden, die sich in einer anderen Domäne befinden. Der Infrastrukturmaster verwaltet eine<br />
aktuelle Liste dieser Verweise und repliziert diese Informationen auf allen anderen Domänencontrollern<br />
in der Domäne. Wenn der Infrastrukturmaster nicht verfügbar ist, sind die domänenübergreifenden<br />
Verweise zwischen Gruppen und Benutzern nicht aktuell.<br />
Der Infrastrukturmaster ist durch den Wert des Attributs fSMORoleOwner für den Infrastrukturcontainer<br />
in der Domänenpartition (CN=Infrastructure, DC=domain). gekennzeichnet. Standardmäßig<br />
übernimmt der erste in einer neuen Domäne installierte Domänencontroller die Rolle des Infrastrukturmasters.<br />
Diese Rolle kann jederzeit über das Snap-In <strong>Active</strong> <strong>Directory</strong>-Benutzer und -Computer<br />
oder über das Befehlszeilenprogramm Ntdsutil übertragen werden.<br />
Auf der DVD Um anzuzeigen, welche Domänencontroller in einer Gesamtstruktur oder Domäne Besitzer<br />
der FSMO-Rollen sind, führen Sie das auf der CD enthaltene Windows PowerShell-Skript ListFSMOs.ps1 aus.<br />
Übertragen von Betriebsmasterrollen<br />
Zum Optimieren der Domänencontrollerleistung oder Ersetzen eines Domänencontrollers, wenn ein<br />
Rollenbesitzer nicht mehr verfügbar ist, können Betriebsmasterrollen zwischen Domänencontrollern<br />
verschoben werden. Die erforderlichen Schritte hängen von der Rolle ab, die übertragen wird.<br />
Tabelle 2.2 zeigt die zum Übertragen der fünf Betriebsmasterrollen eingesetzten Tools.<br />
Tabelle 2.2<br />
Tools zum Verwalten der Betriebsmasterrollen<br />
Betriebsmasterrolle<br />
Schemamaster<br />
Domänennamenmaster<br />
RID-Master, PDC-Emulator und Infrastrukturmaster<br />
Verwaltungstool<br />
<strong>Active</strong> <strong>Directory</strong>-Schema<br />
<strong>Active</strong> <strong>Directory</strong>-Domänen und -Vertrauensstellungen<br />
<strong>Active</strong> <strong>Directory</strong>-Benutzer und -Computer<br />
Zum Übertragen einer Betriebsmasterrolle muss Konnektivität mit dem aktuellen und dem vorgesehenen<br />
Domänencontroller bestehen, der Besitzer der Rolle ist bzw. werden soll. Bei einem Serverausfall<br />
ist der aktuelle Rollenbesitzer möglicherweise nicht verfügbar, um die Rollenübertragung abzuschließen.<br />
In diesem Fall kann die Rolle übernommen werden.
32 Kapitel 2: <strong>Active</strong> <strong>Directory</strong>-Domänendienstkomponenten<br />
Das Übernehmen von Betriebsmasterrollen ist keine bevorzugte Option und sollte nur angewendet werden,<br />
wenn dies unbedingt erforderlich ist. Übernehmen Sie eine Betriebsmasterrolle nur, wenn absehbar<br />
ist, dass der Domänencontroller, der diese Rolle hostet, für einen längeren Zeitraum nicht verfügbar<br />
sein wird. Weitere Informationen zum Übernehmen von Betriebsmasterrollen finden Sie in<br />
Kapitel 15.<br />
Schema<br />
Hinweis Die Betriebsmasterrollen können auf einen beliebigen anderen Domänencontroller innerhalb der<br />
Domäne verschoben werden. Die einzige Einschränkung im Hinblick auf die Betriebsmasterplatzierung ist,<br />
dass die Infrastrukturmasterrolle nicht auf einem Domänencontroller installiert werden sollte, bei dem es sich<br />
gleichzeitig um einen globalen Katalogserver handelt, wenn die Gesamtstruktur mehrere Domänen enthält.<br />
Dies gilt, sofern nicht jeder Domänencontroller in der Domäne gleichzeitig ein globaler Katalogserver ist.<br />
Der erste Domänencontroller in einer Gesamtstruktur ist standardmäßig sowohl ein globaler Katalogserver<br />
als auch Besitzer der Infrastrukturmasterrolle. Bei der Installation des zweiten Domänencontrollers in der<br />
Domäne, bei dem es sich nicht um einen globalen Katalogserver handelt, werden Sie im Assistenten zum<br />
Installieren von <strong>Active</strong> <strong>Directory</strong>-Domänendiensten aufgefordert, den Infrastrukturmaster während der<br />
AD DS-Installation auf den neuen Domänencontroller zu verschieben.<br />
Das Schema definiert sämtliche Klassen und Attribute, die in den AD DS gespeichert werden können.<br />
Jedes Objekt in den AD DS ist eine Instanz einer Klasse. Beispiele für Klassen sind user oder<br />
group. Um ein Objekt in den AD DS erstellen zu können, muss zunächst die Klasse dieses Objekts im<br />
Schema definiert werden. Über das Schema werden ferner verschiedene Regeln zur Erstellung von<br />
Objekten in der Datenbank erzwungen.<br />
Pro Gesamtstruktur ist ein Schema vorhanden. Allerdings wird eine Kopie des Schemas auf jedem<br />
Domänencontroller innerhalb der Gesamtstruktur repliziert. Auf diese Weise hat jeder Domänencontroller<br />
schnellen Zugriff auf sämtliche Klassen- oder Attributdefinitionen, die möglicherweise<br />
benötigt werden. Darüber hinaus verwendet jeder Domänencontroller beim Erstellen eines Objekts<br />
dieselbe Definition. Der Datenspeicher verwendet die vom Schema bereitgestellten Klassen- und<br />
Attributdefinitionen, um Datenintegrität zu erzwingen. Als Ergebnis werden alle Objekte einheitlich<br />
erstellt, und da sämtliche Domänencontroller dieselben Schemadefinitionen verwenden, spielt es<br />
keine Rolle, welcher Domänencontroller ein Objekt erstellt oder ändert.<br />
Schemakomponenten<br />
Das Schema umfasst classSchema-Objekte und attributeSchema-Objekte. Bei den classSchema-<br />
Objekten handelt es sich um Definitionen, die im Schema gespeichert und zum Definieren von Klassen<br />
verwendet werden. Klassen definieren Gruppen von Attributen, die gemeinsame Merkmale aufweisen.<br />
Ein Beispiel ist die Klasse User. Die Klasse User enthält verschiedene Attribute, u.a. den<br />
Anmeldenamen, den Vornamen, den Nachnamen und das Kennwort des Benutzers. Beim Erstellen<br />
eines neuen Benutzerkontos verwendet das Verzeichnis die Klasse User, um die Konfiguration des<br />
Objekts zu definieren. Über die Klasse User festgelegte Einstellungen umfassen die Attribute, über<br />
die das Objekt verfügen kann und muss, sowie die Klassen, denen dieses Objekt in der AD DS-Hierarchie<br />
untergeordnet sein kann. Diese Attribute werden von allen Benutzerobjekten verwendet, die<br />
erstellt werden.<br />
Das Schema definiert ferner die Attribute, die für die verschiedenen Klassen gespeichert werden können.<br />
Attribute werden in den AD DS global als attributeSchema-Objekte definiert, und jede Klasse kann<br />
mehrere global definierte Attribute verwenden.
Physische Struktur der AD DS 33<br />
Ein Benutzerkontoobjekt verfügt beispielsweise über eine Reihe von Attributen zum Speichern verschiedener<br />
mit einem Benutzerkonto verknüpfter Daten, wie z.B. einem Anmeldenamen- und einem<br />
Kennwortattribut. Jedes dieser Attribute ist durch Attributobjekte definiert, die wiederum über eine<br />
eigene Definition verfügen. Diese Definitionsinformationen umfassen z.B. den Datentyp, der in<br />
diesen Objekten gespeichert wird, sowie Mindest- und Maximalwerte für Länge oder Wert. Der<br />
Verzeichnisdienst verwendet attributeSchema-Objekte, um den Datentyp zu definieren, der in den<br />
Attributen für die verschiedenen Objekte einer Klasse gespeichert wird, und um die im attribute-<br />
Schema-Objekt definierten Einschränkungen (z.B. den Bereich für die zulässige Zeichenfolgenlänge)<br />
zu erzwingen.<br />
Das classSchema-Objekt legt die mit dem Objekt verknüpften Attribute fest. Diese Spezifikation<br />
enthält sämtliche Attribute, die mit dem Objekt verknüpft werden können. Diese lassen sich in vier<br />
Kategorien gliedern:<br />
• mustContain-Attribute mit erforderlichen Attributen, die für Objekte vorhanden sein müssen, die<br />
eine Instanz dieser Klasse darstellen<br />
• mayContain-Attribute mit optionalen Attributen, die für Objekte vorhanden sein können, die eine<br />
Instanz dieser Klasse darstellen<br />
• systemmayContain-Attribute, bei denen es sich um optionale Attribute handelt, die während der<br />
Objekterstellung konfiguriert werden und anschließend nicht mehr geändert werden können<br />
• systemmustContain-Attribute, bei denen es sich um erforderliche Attribute handelt, die während<br />
der Objekterstellung konfiguriert werden und anschließend nicht mehr geändert werden können<br />
Zusätzlich gibt das classSchema-Objekt Hierarchieregeln zum Festlegen der möglichen übergeordneten<br />
Elemente in der Verzeichnisstruktur eines Objekts an, das eine Instanz der Klasse ist. Beispielsweise<br />
kann ein Computerobjekt, wie in Abbildung 2.3 gezeigt, nur im container-, domainDNS- oder<br />
organizationUnit-Objekt erstellt werden.<br />
Abbildung 2.3<br />
Das Schema definiert, an welchen Stellen Objekte in den AD DS erstellt werden können
34 Kapitel 2: <strong>Active</strong> <strong>Directory</strong>-Domänendienstkomponenten<br />
Schließlich wird der Datentyp, der in den AD DS für die verschiedenen Attribute gespeichert werden<br />
kann, im Schema als die Syntax des Attributs definiert. Die Klasse User enthält ein Attribut display-<br />
Name, und die Syntax für dieses Attribut ist als Zeichenfolgenwert definiert, der ein beliebiges alphanumerisches<br />
Zeichen akzeptiert. Der Wert für die einzelnen Attribute, die in einer Instanz einer Klasse<br />
enthalten sind, müssen die Syntaxanforderungen für das Attribut erfüllen.<br />
Das AD DS-Schema unterstützt die Vererbung von Klassen. Alle Schemaobjekte sind hierarchisch<br />
organisiert. Aufgrund dieser hierarchischen Struktur kann jede Klasse sämtliche Merkmale der übergeordneten<br />
Klasse erben. Beispielsweise ist die Klasse Computer eigentlich eine Unterklasse der<br />
Klasse User, wie in Abbildung 2.3 gezeigt. Daher erbt die Klasse Computer sämtliche mit der Klasse<br />
User verknüpften Attribute. Die Klasse Computer wird so mit den für die Klasse User festgelegten<br />
Attributen verknüpft. Unter Verwendung des Snap-Ins für das <strong>Active</strong> <strong>Directory</strong>-Schema kann die<br />
organisatorische Struktur der Klassenvererbung sowie die Hierarchie der Objektklassen angezeigt<br />
werden. Dieses Vererbungssystem vereinfacht die Erstellung neuer Objektklassen für Administratoren<br />
erheblich, da nicht jedes Attribut definiert werden muss, das mit einer neuen Klasse verknüpft ist.<br />
Alle mit einer geeigneten übergeordneten Klasse verknüpften Attribute werden einfach an das neue<br />
Objekt vererbt.<br />
Ändern des Schemas<br />
Das AD DS-Schema enthält die am häufigsten verwendeten Klassen und Attribute, um eine Unternehmensverzeichnisdienste-Implementierung<br />
zu unterstützen. Um Anwendungen zu unterstützen, die<br />
Informationen in den AD DS speichern müssen, ist das Schema erweiterbar. Mit anderen Worten, das<br />
Schema kann geändert oder erweitert werden, um neue Klassen- und Attributobjekte zu umfassen, die<br />
in einer Organisation benötigt werden.<br />
Meist wird das Schema erweitert, um die Anforderungen einer <strong>Active</strong> <strong>Directory</strong>-fähigen Anwendung<br />
zu erfüllen. Ein gutes Beispiel ist Microsoft Exchange Server 2007. Hier werden über Tausend Schemaänderungen<br />
vorgenommen, damit die AD DS Unterstützung für Exchange Server bieten.<br />
Hinweis Vor der Installation von Exchange 2000, Exchange 2003 oder Exchange 2007 muss das Schema<br />
geändert werden. Die Exchange-Installationsdateien umfassen verschiedene .ldf-Dateien, die beim Import<br />
die erforderlichen Schemaänderungen durchführen. Wenn bei Bereitstellung einer anderen Anwendung<br />
Änderungen am Schema erforderlich sind, sollte das Schema ausschließlich mithilfe von sorgfältig getesteten<br />
.ldf-Dateien geändert werden. Dadurch lassen sich Fehler beim Ändern des Schemas vermeiden.<br />
So funktioniert es: Indizieren für optimierte Suchvorgänge<br />
Der Verzeichnisdatenspeicher kann für eine höhere Effizienz bei Suchvorgängen indiziert werden.<br />
Die Indizierung wird als Teil der Schemadefinition eines Attributs (z.B. Description oder given-<br />
Name) festgelegt. Bei der Indizierung eines Attributs sind sämtliche Stellen, an denen dieses<br />
Attribut vorkommt, im Index enthalten. Einige Attribute sind standardmäßig indiziert, und der Administrator<br />
kann zusätzliche Attribute für die Indizierung konfigurieren. Abhängig davon, wie das<br />
Attribut in Suchvorgängen verwendet wird, sind verschiedene Typen von Indizierung verfügbar:<br />
• Grundlegende Indizierung Der Wert bzw. die Werte des Attributs werden indiziert, sodass Abfragen<br />
zur Anforderung von Objekten mit einem bestimmten Wert für dieses Attributs schnell ausgeführt<br />
werden.
Physische Struktur der AD DS 35<br />
• Containerindizes Vergleichbar mit der grundlegenden Indizierung, die Objekte werden jedoch<br />
ebenfalls nach Container indiziert. Dies ermöglicht eine Abfrage zur schnellen Auswertung<br />
aller untergeordneten Objekte in einem Container, um zu ermitteln, ob diese mit dem angeforderten<br />
Attributwert übereinstimmen.<br />
• Tupelindex Dieser Typ von Index wird für Zeichenfolgenattribute verwendet, sodass Suchvorgänge<br />
für Teilzeichenfolgen unter Verwendung dieser Attribute schnell ausgeführt werden.<br />
Wenn z.B. ein Tupelindex auf das Attribut Description angewendet wird, können Abfragen<br />
wie „alle Objekte zurückgeben, deren Description-Attribut die Zeichenfolge 'Fabrikam' enthält“<br />
effizient ausgeführt werden. Da Tupelindizes sehr ressourcenintensiv sein können, sollten<br />
sie nur selten aktiviert werden.<br />
• Unterstrukturindizes Dieser Typ von Index ermöglicht die schnelle Ausführung einer speziellen<br />
Art von <strong>Active</strong> <strong>Directory</strong>-Suche, die als virtuelle Listenanzeige bezeichnet wird. Diese<br />
Indizes sind mit Containerindizes vergleichbar, enthalten jedoch nicht nur die untergeordneten<br />
Elemente des Containers auf der nächsten Ebene, sondern sämtliche untergeordneten Elemente<br />
auf den weiteren Ebenen. Wie Tupelindizes können auch Unterstrukturindizes kostenintensiv<br />
sein.<br />
Basierend auf den Anforderungen einer Organisation können Administratoren die Indizierung für<br />
Attribute aktivieren, die standardmäßig nicht indiziert sind. Grundlegende Indizes und Containerindizes<br />
können über das Snap-In für das <strong>Active</strong> <strong>Directory</strong>-Schema aktiviert werden. Für Tupel- und<br />
Unterstrukturindizes muss der Wert des Attributs searchFlags für die attributeSchema-Objekte,<br />
welche die zu indizierenden Attribute definieren, manuell gesetzt werden.<br />
Die Tupelindizierung und die erforderlichen Schritte zur Aktivierung sind unter http://msdn2.<br />
microsoft.com/en-us/library/ms676931.aspx beschrieben. Eine Beschreibung des searchFlags-<br />
Attributs, einschließlich der Werte, die für Tupel- und Unterstrukturindizes gesetzt werden müssen,<br />
finden Sie unter http://msdn2.microsoft.com/en-us/library/ms679765.aspx.<br />
Matthew Rimer<br />
Senior SDE, US-<strong>Directory</strong> and Service Business<br />
Neben der Verwendung von <strong>Active</strong> <strong>Directory</strong>-fähigen Anwendungen können Administratoren das<br />
Schema über verschiedene andere Methoden erweitern. Das Schema lässt sich im Batchmodus über<br />
Befehlszeilentools wie u.a. LDIFDE (LDAP Data Interchange Format <strong>Directory</strong> Exchange) und<br />
CSVDE (Comma Separated Value <strong>Directory</strong> Exchange) erweitern. Darüber hinaus kann das Schema<br />
über ADSI- (<strong>Active</strong> <strong>Directory</strong> Service Interfaces) und Microsoft Visual Basic-Skripts programmgesteuert<br />
erweitert werden.<br />
Und schließlich können Sie das Schema ebenfalls mithilfe des Snap-Ins für das <strong>Active</strong> <strong>Directory</strong>-<br />
Schema über die Windows Server 2008-Benutzeroberfläche ändern. Möglicherweise benötigt eine<br />
Organisation z.B. Datensätze zu den Eintrittsdaten der Mitarbeiter. Das Eintrittsdatum der Mitarbeiter<br />
könnte als Attribut des Benutzerobjekts in den AD DS verwaltet werden. Per Voreinstellung ist<br />
dieses Attribut nicht in den AD DS enthalten. Damit dieses Attribut beim Erstellen neuer Benutzerobjekte<br />
verfügbar ist, muss es zunächst im Schema definiert werden.<br />
Zur Verwendung des Snap-Ins <strong>Active</strong> <strong>Directory</strong>-Schema muss dieses zunächst über die Befehlszeile<br />
mit dem Befehl Regsvr32 Schmmgmt.dll registriert und anschließend zu einer MMC hinzugefügt werden.<br />
Um das Schema über diese Schnittstelle zu ändern, müssen Sie Mitglied der globalen Gruppe<br />
Schema-Admins sein.
36 Kapitel 2: <strong>Active</strong> <strong>Directory</strong>-Domänendienstkomponenten<br />
Achtung Wenngleich Schemaänderungen deaktiviert werden können, können neue Klassen oder Attribute,<br />
die im Schema erstellt werden, nicht mehr entfernt werden. Änderungen am Schema sollten nur nach<br />
sorgfältiger Planung und umfassenden Tests in einer Testgesamtstruktur durchgeführt werden. Stellen Sie<br />
sicher, dass Schemaänderungen mit den aktuellen und zukünftigen Anwendungen kompatibel sind, die<br />
Schemaänderungen erfordern.<br />
Erstellen von neuen Attributen<br />
Führen Sie die folgenden Schritte aus, um das Snap-In <strong>Active</strong> <strong>Directory</strong>-Schema zum Hinzufügen<br />
eines neuen Attributs zum Schema und Verknüpfen dieses Attributs mit dem Klassenobjekt User zu<br />
verwenden:<br />
1. Öffnen Sie das Snap-In für das <strong>Active</strong> <strong>Directory</strong>-Schema.<br />
2. Wählen Sie in der Sruktur den Ordner Attribute aus.<br />
3. Klicken Sie im Menü Aktion auf Attribut erstellen.<br />
4. Klicken Sie im Warnungsdialogfeld Erstellen des Schemaobjekts auf Weiter.<br />
5. Geben Sie im Dialogfeld Neues Attribut erstellen im Abschnitt Identifikation die folgenden Informationen<br />
an:<br />
Allgemeiner Name<br />
LDAP-Anzeigename<br />
Eindeutige X500-OID<br />
Beschreibung<br />
6. Geben Sie im Abschnitt Syntax und Bereich folgende Informationen an:<br />
Syntax<br />
Minimum<br />
Maximum<br />
Legen Sie fest, ob das neue Attribut mehrwertig ist.<br />
Hinweis Für weitere Informationen zu den Inhalten der einzelnen Felder wählen Sie das Textfeld aus<br />
und drücken dann die Funktionstaste F1.<br />
Abbildung 2.4 zeigt die Erstellung eines neuen Attributs über das Snap-In <strong>Active</strong> <strong>Directory</strong>-<br />
Schema.<br />
7. Nach der Erstellung muss das neue Attribut mit dem Klassenobjekt verknüpft werden. Wählen Sie<br />
dazu in der Struktur den Ordner Klassen aus.<br />
8. Wechseln Sie zum Klassenobjekt, zu dem das Attribut hinzugefügt werden soll, klicken Sie mit<br />
der rechten Maustaste auf das Objekt, und wählen Sie Eigenschaften.<br />
9. Klicken Sie auf der Registerkarte Attribute auf Hinzufügen, und fügen Sie das neu erstellte Attribut<br />
hinzu.
Physische Struktur der AD DS 37<br />
Hinweis Beim Hinzufügen eines neuen Attributs zum Schema kann nicht automatisch über die Verwaltungstools<br />
auf das Attribut zugegriffen werden. In den Verwaltungstools wie <strong>Active</strong> <strong>Directory</strong>-Benutzer und<br />
-Computer werden lediglich einige Attribute für jede Klasse angezeigt und keine durch den Benutzer hinzugefügten<br />
Attribute. Wenn die neuen Attribute in einem Verwaltungstool angezeigt werden sollen, muss<br />
entweder das vorhandene Tool geändert oder ein eigenes Tool erstellt werden. Informationen zum Ändern<br />
und Erstellen von Verwaltungstools finden Sie unter „Extending the User Interface for <strong>Directory</strong> Objects“ auf<br />
der Seite http://msdn2.microsoft.com/en-us/library/ms676902.aspx. Im ADSI-Editor werden die neuen Attribute<br />
angezeigt, da die Liste der verfügbaren Attribute für ein Objekt dynamisch aus dem Schema geladen<br />
wird.<br />
Abbildung 2.4<br />
Erstellen des Attributs MitarbeiterEintrittsdatum in den AD DS<br />
Direkt von der Quelle: Implementieren von Schemaaktualisierungen<br />
Nach dem Erstellen neuer Attribute sind diese nicht unbedingt unmittelbar im Schema verfügbar.<br />
Schemaattribute und Klassen legen die Struktur der Datenbank intern fest. Im Vergleich zu anderen<br />
Vorgängen hat die Erstellung neuer Klassen oder Attribute wesentlich größere Auswirkungen<br />
auf die Domänencontrollerleistung. Aufgrund der Bedeutung des Schemas für das System wird der<br />
gesamte Schemainhalt immer im Arbeitsspeicher zwischengespeichert. Nach dem Aktualisieren<br />
des Schemas muss auch die zwischengespeicherte Kopie des Schemas aktualisiert werden, bevor<br />
die neuen Attribute oder Klassen verfügbar sind. Standardmäßig aktualisieren die AD DS den Zwischenspeicher<br />
fünf Minuten nach der letzten Schemaänderung.<br />
Das gängigste Szenario für Schemaerweiterungen ist die Installation einer neuen verzeichnisfähigen<br />
Software (beispielsweise die Installation von Exchange Server oder das Ausführen von<br />
Adprep, um eine Windows 2000- oder 2003-Gesamtstruktur für Windows Server 2008 vorzubereiten).<br />
In diesen Szenarien werden innerhalb eines kurzen Zeitraums nacheinander mehrere Änderungen<br />
am Schema vorgenommen. In vielen Fällen weisen Schemaänderungen Abhängigkeiten<br />
auf. So kann durch eine Schemaänderung z.B. ein neues Attribut erstellt und dieses Attribut durch<br />
eine weitere Änderung mit einer Klasse verknüpft werden.
38 Kapitel 2: <strong>Active</strong> <strong>Directory</strong>-Domänendienstkomponenten<br />
Es wird empfohlen, dass der Entwickler der Schemaerweiterung beim Erstellen der .ldf-Dateien<br />
zum Aktualisieren des Schemas ein Signal für die AD DS einfügt, um den Schemacache vor der<br />
Verwendung von Verweisen auf soeben erstellte Attribute oder Klasse zu aktualisieren. Zu diesem<br />
Zweck kann das rootDSE-Attribut schemaUpdateNow auf 1 gesetzt werden. Über die meisten von<br />
Adprep verwendeten sch*.ldf-Dateien wird dieser Schritt ausgeführt. Die sch43.ldf-Datei aktualisiert<br />
den Schemacache z.B. nach der Erstellung von neuen Attributen und bevor von neuen Klassen<br />
auf diese verwiesen wird. Zum Aktualisieren des Schemacaches enthält die Datei die folgenden<br />
Zeilen:<br />
DN:<br />
changetype: modify<br />
add: schemaUpdateNow<br />
schemaUpdateNow: 1<br />
-<br />
Elbio Abib, SDE II<br />
X.500-Objekt-IDs<br />
Der Namespace X.500-OID ist eine hierarchische Namensstruktur mit einer eindeutigen Nummer<br />
für jedes classSchema- und attributeSchema-Element in einem Verzeichnisdienst. Unter Verwendung<br />
der X.500-OID (Object Identifier, Objektkennung) lässt sich jedes Objekt in jeder Verzeichnisdienstestruktur<br />
eindeutig identifizieren. Die Namespacedefinition X.500-OID umfasst andere<br />
Verzeichnisse als die AD DS, bei den AD DS handelt es sich jedoch um einen X.500-basierten<br />
Verzeichnisdienst.<br />
Dieser Namespace kann mit punktierter Dezimalschreibweise (numerisch) oder als Zeichenfolge<br />
dargestellt werden. Die Organisationsobjektklasse (mit LDAP-Anzeigename organization) ist<br />
beispielsweise durch die X.500-OID 2.5.6.4 gekennzeichnet. Die numerische Darstellung dieser<br />
Objektklasse identifiziert dieses Objekt innerhalb der X.500-Hierarchie eindeutig.<br />
Zum Anzeigen der X.500-OID kann das Snap-In <strong>Active</strong> <strong>Directory</strong>-Schema oder das Snap-In ADSI-<br />
Editor verwendet werden. Um die X.500-OID für das Objekt Organization classSchema anzuzeigen,<br />
verwenden Sie den ADSI-Editor, um den Schemacontainer zu öffnen und einen Bildlauf zum<br />
definierten Namen von classSchema durchzuführen: CN=Organization.<br />
Ein wichtiger Aspekt, der bei Schemaänderungen berücksichtigt werden muss, ist die Möglichkeit,<br />
dass zwei Anwendungen nicht kompatible Änderungen am Schema vornehmen, indem beide versuchen,<br />
ein Klassen- oder Attributobjekt mit demselben Namen oder derselben OID hinzuzufügen.<br />
Die OID dient zur eindeutigen Identifizierung von Objekten oder Attributen in den AD DS und<br />
zum Sicherstellen, dass kein anderes Schemaobjekt dieselbe OID verwendet.<br />
Um diese Identifizierung zu ermöglichen, sollten sich Organisationen, welche die Erstellung neuer<br />
OIDs planen, bei der International Standards Organization (ISO), beim American National Standards<br />
Institute (ANSI) oder bei Microsoft registrieren. Bei der Registrierung weist Ihnen die Standardisierungsorganisation<br />
oder Microsoft einen Teil des OID-Bereichs zu, den Sie gemäß Ihren<br />
Anforderungen erweitern können. Beispielsweise könnte Ihrem Unternehmen eine Nummer wie<br />
1.2.840.xxxx zugewiesen werden.
Physische Struktur der AD DS 39<br />
Diese Nummer ist hierarchisch aufgebaut und lässt sich wie folgt aufschlüsseln:<br />
1 – ISO<br />
2 – ANSI<br />
840 – USA<br />
xxxx – Eine eindeutige Nummer zur Identifizierung Ihres Unternehmens<br />
Nach dem Erhalt der Nummer können Sie den für Ihr Unternehmen zugewiesenen Teil der Hierarchie<br />
verwalten. Beispielsweise können Sie beim Erstellen eines neuen Attributs MitarbeiterEintrittsdatum<br />
eine Nummer wie 1.2.840.xxxx.12. zuweisen.<br />
Die AD DS sind mit den OID-Standards konform. Die OID für einen Kontakt in den AD DS lautet<br />
z.B. 1.2.840.113556.1.5.15. Die ersten drei Bereiche der Nummer wurden ISO, ANSI und den<br />
USA zugewiesen. ANSI wies 113556 anschließend Microsoft zu, und Microsoft wies 1 <strong>Active</strong><br />
<strong>Directory</strong>, 5 <strong>Active</strong> <strong>Directory</strong>-Klassen und 15 den Contact-Klassen zu.<br />
Wichtig Sie müssen sicherstellen, dass Änderungen am Schema über eine eindeutige OID verfügen,<br />
sodass Ihre Änderungen mit zukünftigen Änderungen kompatibel sind. Eine Möglichkeit zum Sicherstellen der<br />
Eindeutigkeit ist das Abrufen einer eindeutigen Kennung für Ihr Unternehmen. Ein weiteres Attribut, dass<br />
beim Ändern des Schemas eindeutig sein muss, ist das Attribut LdapDisplayName. Stellen Sie vor dem<br />
Ändern des Schemas sicher, dass Sie sämtliche Regeln für das Durchführen dieser Änderungen verstanden<br />
haben.<br />
Deaktivieren von Schemaobjekten<br />
Wenngleich das Erweitern des Schemas ein unkomplizierter Vorgang ist, sollten solche Änderungen<br />
sorgfältig geplant werden. Nachdem das Schema erweitert oder vorhandene Klassen oder Attribute<br />
geändert wurden, können diese Änderungen nicht rückgängig gemacht werden. Schemaojekte können<br />
nicht gelöscht werden. Wenn beim Erweitern des Schemas ein Fehler unterläuft, kann das Objekt<br />
deaktiviert werden. In Windows Server 2008 können deaktivierte Schemaobjekte bei Bedarf erneut<br />
verwendet werden, und neue Schemaobjekte können mit demselben LDAP-Anzeigenamen oder derselben<br />
OID wie das deaktivierte Objekt erstellt werden.<br />
Im Hinblick auf die Deaktivierung von Klassen- und Attributobjekten im Schema müssen verschiedene<br />
Aspekte berücksichtigt werden. Erstens können Category 1- oder base schema-Objekte nicht<br />
deaktiviert werden. Zweitens können keine Attribute deaktiviert werden, die Mitglied einer Klasse<br />
sind, die nicht ebenfalls deaktiviert wird. Durch diese Einschränkung werden Fehler beim Erstellen<br />
neuer Instanzen der nicht deaktivierten Klasse verhindert, wenn das deaktivierte Attribut ein erforderliches<br />
Attribut ist.<br />
Hinweis Wenn Ihre Gesamtstruktur auf Windows Server 2003-Funktionsebene festgelegt ist, kann ein<br />
neues Objekt erstellt werden, das dieselben Identifikationsattributwerte (also attributeID, governsID, lDAP-<br />
DisplayName, mAPIID oder schemaIDGUID) verwendet wie ein außer Kraft gesetztes Schemaobjekt (sofern<br />
der definierte Name des neuen Objekts eindeutig ist). Dadurch ist es möglich, ein Schemaobjekt zu deaktivieren<br />
und anschließend ein völlig neues Schemaobjekt so zu erstellen, als wäre das alte Objekt gelöscht<br />
worden.<br />
Zum Deaktivieren eines Klassen- oder Attributobjekts setzen Sie den booleschen Wert des Attributs<br />
isDefunct für das Schemaobjekt auf true. Dieser Schritt kann über ein Tool wie ADSI-Editor ausgeführt<br />
werden.
40 Kapitel 2: <strong>Active</strong> <strong>Directory</strong>-Domänendienstkomponenten<br />
Abbildung 2.5 zeigt, wie das im vorherigen Beispiel erstellte Attribut MitarbeiterEintrittsdatum deaktiviert<br />
wird. AD DS-Attribute lassen sich ebenfalls deaktivieren, indem Sie bei Anzeige der Attributeigenschaften<br />
im Snap-In für das <strong>Active</strong> <strong>Directory</strong>-Schema das Kontrollkästchen Attribut ist aktiv<br />
deaktivieren.<br />
Abbildung 2.5<br />
Deaktivieren eines Schemaattributs mithilfe von ADSIEdit.msc<br />
Nach dem Deaktivieren eines Schemaobjekts wird dieses Objekt behandelt, als sei es nicht vorhanden.<br />
Beim Versuch, eine neue Instanz von außer Kraft gesetzten Klassen oder Attributen zu erstellen,<br />
werden dieselben Fehlermeldungen angezeigt, die erscheinen, wenn diese Klassen oder Attribute<br />
nicht im Schema vorhanden sind. Die einzige Änderung, die an einem deaktivierten Schemaobjekt<br />
durchgeführt werden kann, ist die erneute Aktivierung. Zur erneuten Aktivierung eines außer Kraft<br />
gesetzten Schemaobjekts setzen Sie das Attribut isDefunct einfach auf false oder aktivieren das Kontrollkästchen<br />
Attribut ist aktiv. Nach der erneuten Aktivierung eines außer Kraft gesetzten Schemaobjekts<br />
kann dieses erneut zum Erstellen neuer Instanzen der Klasse bzw. des Attributs verwendet<br />
werden. Dieser Prozess zur Deaktivierung und erneuten Aktivierung hat keine nachteiligen Auswirkungen.<br />
Logische Struktur der AD DS<br />
Nachdem die AD DS in der Netzwerkumgebung installiert wurden und mit der Implementierung der<br />
geeigneten AD DS-Struktur für die jeweiligen Geschäftszwecke begonnen wurde, beginnt die Arbeit<br />
mit der logischen Struktur der AD DS. In der logischen Struktur wird die Konfiguration von Domänen,<br />
Organisationseinheiten und anderen AD DS-Objekten unabhängig von den physischen AD DS-<br />
Komponenten (z.B. die Domänencontroller oder der auf den verschiedenen Domänencontrollern<br />
gespeicherte AD DS-Datenspeicher) dargestellt. Die logische Struktur der AD DS umfasst die folgenden<br />
Komponenten:<br />
• Partitionen
Logische Struktur der AD DS 41<br />
• Domänen<br />
• Domänenstrukturen<br />
• Gesamtstrukturen<br />
• Standorte<br />
• Organisationseinheiten<br />
In diesem Abschnitt erhalten Sie eine Einführung in diese Komponenten. Ferner wird das Konzept der<br />
Vertrauensstellungen beschrieben, die für den Ressourcenzugriff durch Sicherheitsprinzipale in anderen<br />
Domänen verwendet werden. In Kapitel 5 erfahren Sie, wie und weshalb diese Strukturkomponenten<br />
verwendet werden, um bestimmte Unternehmensziele (z.B. der sichere Ressourcenzugriff) zu<br />
erreichen und die Netzwerkleistung zu optimieren.<br />
AD DS-Partitionen<br />
Wie bereits erläutert, ist die AD DS-Datenbank in einer Datenbankdatei auf der Festplatte jedes<br />
Domänencontrollers gespeichert. Die in der Verzeichnisdatenbank gespeicherten Informationen werden<br />
in mehrere logische Partitionen unterteilt, die jeweils unterschiedliche Informationstypen speichern.<br />
AD DS-Partitionen werden auch als Namenskontexte (Naming Contexts, NCs) bezeichnet. AD DS-Partitionen<br />
können über Tools wie Ldp.exe oder das Snap-In ADSI-Editor angezeigt werden, wie in<br />
Abbildung 2.6 gezeigt.<br />
Abbildung 2.6<br />
Mithilfe von ADSIEdit.msc angezeigte AD DS-Partitionen<br />
AD DS und LDAP<br />
LDAP (Lightweight <strong>Directory</strong> Access Protocol) ist in Windows Server 2008 AD DS sowohl ein<br />
Zugriffsprotokoll als auch ein Objektidentifikationsmodell. Als Objektidentifikationsmodell verwendet<br />
LDAP ein Hierarchieformat zur Identifizierung aller Objekte in den AD DS. Dieses Hierarchieformat<br />
beginnt auf Verzeichnispartitionsebene und umfasst sämtliche logischen Komponenten<br />
in der Hierarchie, um jedes Objekt eindeutig zu kennzeichnen. Dies wird als definierter Name<br />
bezeichnet. Ein Benutzerkonto kann beispielsweise anhand des folgenden definierten LDAP-<br />
Namens identifiziert werden:<br />
CN=Yvonne McKay,OU=Marketing,OU=Miami, DC=Adatum,DC=com
42 Kapitel 2: <strong>Active</strong> <strong>Directory</strong>-Domänendienstkomponenten<br />
Sämtliche Abschnitte des LDAP-Namens sind durch den Objekttyp gekennzeichnet. Diese<br />
Abschnitte werden als relative definierte Namen (Relative Distinguished Names, RDN), der<br />
Objekttyp wird als das RDN-Attribut bezeichnet. So bezieht sich cn beispielsweise auf den allgemeinen<br />
Namen (Common Name), ou auf die Organisationseinheit (Organizational Unit) und dc auf<br />
eine Domänencomponente (Domain Component). Unter Verwendung dieser Namenskonvention<br />
kann innerhalb eines LDAP-fähigen Verzeichnisdiensts wie den AD DS auf bestimmte Objekte<br />
verwiesen oder zugegriffen werden. Das LDAP-Protokoll und -Verzeichnismodell (nicht jedoch die<br />
Namenssyntax) ist durch RFC 2251 „Lightweight <strong>Directory</strong> Access Protocol (v3)“ definiert. Dieses<br />
Dokument steht unter http://www.ietf.org/rfc/rfc2251.txt zur Verfügung.<br />
LDAP ist zudem ein Zugriffsprotokoll und eine Anwendungsprogrammierschnittstelle (Application<br />
Programming Interface, API) für den Zugriff auf Informationen in den AD DS. Als API ist<br />
LDAP in Windows Server 2008 AD DS in der Datei Wldap32.dll implementiert. Unter Verwendung<br />
des LDAP-Pfades kann innerhalb einer Anwendung oder eines Skripts auf ein beliebiges<br />
Objekt in den AD DS zugegriffen werden. Um beispielsweise in einem Windows PowerShell-<br />
Skript auf eine bestimmte Organisationseinheit zu verweisen, verwenden Sie die folgende Syntax:<br />
$objADSI = [ADSI]"LDAP://OU=Marketing,OU=Miami,DC=Adatum,DC=com"<br />
Zum Verwalten der AD DS unter Verwendung von LDAP kann ein LDAP-fähiges Verwaltungstool<br />
wie Ldp.exe verwendet werden, das mit Windows Server 2008 installiert wird. Mithilfe von<br />
Ldp.exe kann über die TCP-Portnummer (Transmission Control Protocol) der AD DS eine Verbindung<br />
mit den Domänendiensten hergestellt und der LDAP-Anzeigename der einzelnen Attribute,<br />
Klassen und Objekte angezeigt werden. Zum Herstellen einer Verbindung mit den AD DS über<br />
Ldp.exe und Anzeigen der Attribute eines Benutzerobjekts verbinden Sie sich über TCP-Port 389<br />
mit dem AD DS-Domänencontroller, erweitern den Container oder die Organisationseinheit und<br />
doppelklicken auf den definierten Namen des Benutzers.<br />
Domänenverzeichnispartition<br />
Die Domänenverzeichnispartition enthält sämtliche Domäneninformationen, einschließlich Daten zu<br />
Benutzern, Gruppen, Computern und Kontakten. Im Wesentlichen sind alle Informationen, die über<br />
das Verwaltungstool <strong>Active</strong> <strong>Directory</strong>-Benutzer und -Computer angezeigt werden können, in der<br />
Domänenverzeichnispartition gespeichert.<br />
Die Domänenverzeichnispartition wird automatisch auf allen Domänencontrollern in der Domäne<br />
repliziert. Die Partition enthält die Informationen, die jeder Domänencontroller zur Authentifizierung<br />
von Benutzern benötigt.<br />
Konfigurationsverzeichnispartition<br />
Die Konfigurationsverzeichnispartition enthält die Informationen zur Konfiguration der gesamten<br />
Gesamtstruktur. Beispielsweise werden sämtliche Daten zu Standorten, Standortverknüpfungen und<br />
Replikationsverbindungen in der Konfigurationsverzeichnispartition gespeichert. Auch andere<br />
Anwendungen können Informationen in der Konfigurationspartition speichern. Exchange Server 2007<br />
speichert die eigenen Konfigurationsinformationen z.B. nicht im eigenen Verzeichnisdienst, sondern<br />
in der AD DS-Konfigurationsverzeichnispartition.<br />
Da die Konfigurationsverzeichnispartition Informationen zur gesamten Gesamtstruktur enthält, wird<br />
sie innerhalb der gesamten Gesamtstruktur repliziert.
Logische Struktur der AD DS 43<br />
Jeder Domänencontroller enthält eine beschreibbare Kopie der Konfigurationsverzeichnispartition,<br />
und auf jedem Domänencontroller in der Organisation können Änderungen an dieser Verzeichnispartition<br />
durchgeführt werden. Dies bedeutet, dass die Konfigurationsinformationen anschließend auf<br />
allen anderen Domänencontrollern repliziert werden. Nach der vollständigen Synchronisierung der<br />
Replikation verfügen sämtliche Domänencontroller in der Gesamtstruktur über dieselben Konfigurationsinformationen.<br />
Schemaverzeichnispartition<br />
Die Schemaverzeichnispartition enthält das Schema für die gesamte Gesamtstruktur. Wie bereits weiter<br />
oben in diesem Kapitel beschrieben, ist das Schema ein Satz aus Regeln zum Festlegen, welche<br />
Objekttypen in den AD DS erstellt werden können, sowie Regeln zu jedem Objekttyp.<br />
Die Schemaverzeichnispartition wird auf allen Domänencontrollern in der gesamten Gesamtstruktur<br />
repliziert. Es verfügt jedoch nur ein Domänencontroller, der Schemamaster, über eine beschreibbare<br />
Kopie der Schemaverzeichnispartition. Sämtliche Änderungen am Schema müssen auf dem Schemamaster<br />
durchgeführt werden; anschließend werden diese Änderungen auf sämtlichen Domänencontrollern<br />
repliziert.<br />
Partition des globalen Katalogs<br />
Die Partition des globalen Katalogs ist keine Partition im eigentlichen Sinne. Sie ist wie die anderen<br />
Partitionen in der Datenbank gespeichert, Administratoren können in dieser Partition jedoch keine<br />
Informationen direkt eingeben. Der globale Katalog ist eine schreibgeschützte Partition auf allen globalen<br />
Katalogservern und wird aus den Inhalten der Domänendatenbanken erstellt. Alle Attribute im<br />
Schema verfügen über einen booleschen Wert isMemberOfPartialAttributeSet. Wenn dieser Wert auf<br />
true gesetzt ist, wird das Attribut in den globalen Katalog repliziert.<br />
Anwendungsverzeichnispartitionen<br />
Der letzte Partitionstyp in Windows Server 2008 AD DS ist die Anwendungsverzeichnispartition oder<br />
NDNC (Non-Domain Naming Context, Nicht-Domänennamenskontext). Anwendungsverzeichnispartitionen<br />
werden zum Speichern von anwendungsspezifischen Informationen verwendet. Die Verwendung<br />
von Anwendungsverzeichnispartitionen bietet gegenüber einer der anderen AD DS-Partitionen<br />
den Vorteil, dass der Replikationsbereich für die Anwendungsverzeichnispartitionen gesteuert werden<br />
kann. Wenn die Partition zum Speichern von Verzeichnisinformationen verwendet wird, können<br />
die Informationen recht dynamisch sein. Durch die Festlegung, welche Domänencontroller ein<br />
Replikat der Anwendungsverzeichnispartition hosten, kann die Menge an Replikationsdatenverkehr<br />
im Netzwerk eingeschränkt werden. Die Domänencontroller, die ein Replikat der Anwendungsverzeichnispartition<br />
erhalten, können sich in einer beliebigen Domäne oder an einem beliebigen Standort<br />
innerhalb der Gesamtstruktur befinden.<br />
Mit Ausnahme von Sicherheitsprinzipalen können sämtliche Typen von AD DS-Objekten in einer<br />
Anwendungsverzeichnispartition gespeichert werden. Da Anwendungsverzeichnispartitionen erstellt<br />
werden um zu steuern, wo die Daten repliziert werden, können die Objekte in der Anwendungsverzeichnispartition<br />
zudem nicht auf der Partition des globalen Katalogs repliziert werden.<br />
Per Voreinstellung werden in den AD DS keine Anwendungsverzeichnispartitionen erstellt. Wenn Sie<br />
bei der Installation der AD DS jedoch auch die Installation von DNS auf dem ersten Domänencontroller<br />
in der Gesamtstruktur festlegen, werden zwei Anwendungsverzeichnispartitionen mit den Namen<br />
ForestDnsZones and DomainDnsZones für den DNS-Serverdienst (Domain Name System) erstellt.
44 Kapitel 2: <strong>Active</strong> <strong>Directory</strong>-Domänendienstkomponenten<br />
Anwendungsverzeichnispartitionen können nicht nur für DNS, sondern auch für andere Anwendungen<br />
erstellt werden.<br />
Weitere Informationen Weitere Informationen zu diesen DNS-Anwendungsverzeichnispartitionen finden<br />
Sie in Kapitel 3, „<strong>Active</strong> <strong>Directory</strong>-Domänendienste und DNS“.<br />
Das Benennungschema für Anwendungsverzeichnispartitionen ist mit dem Schema der anderen AD<br />
DS-Verzeichnispartitionen identisch. Der LDAP-Name für die Konfigurationsverzeichnispartition in<br />
der Gesamtstruktur Adatum.com lautet z.B. CN=Configuration,DC=Adatum,DC=com. Wenn Sie eine<br />
Anwendungsverzeichnispartition AnwPartition1 in der Domäne Adatum.com erstellen, lautet<br />
der DNS-Name dieser Partition DC=AnwPartition1,DC=Adatum,DC=com. Anwendungsverzeichnispartitionen<br />
sind im Hinblick auf den Erstellungsort bzw. genauer gesagt im Hinblick auf den Namenskontext<br />
für die Partition recht flexibel. Beispielsweise kann eine zusätzliche Anwendungsverzeichnispartition<br />
unterhalb der Partition AnwPartition1 erstellt werden, deren Name DC=AnwPartition2,<br />
DC=AnwPartition1,DC=Adatum,dc=com lauten würde. Es ist sogar möglich, eine Anwendungsverzeichnispartition<br />
mit einem DNS-Namen zu erstellen, der nicht mit einer Domäne innerhalb der<br />
Gesamtstruktur zusammenhängt. In der Domäne Adatum.com kann eine Anwendungsverzeichnispartition<br />
mit dem DNS-Namen DC=AnwPartition erstellt werden. Dadurch wird innerhalb der<br />
Gesamtstruktur eine neue Struktur erstellt.<br />
Hinweis Die Auswahl des DNS-Namens für den Anwendungsnamespace wirkt sich nicht auf die Funktionalität<br />
der Anwendungsverzeichnispartition aus. Der einzige Unterschied besteht ist der Konfiguration des<br />
LDAP-Clients, der auf die Partition zugreift. Da Anwendungsverzeichnispartitionen für den LDAP-Zugriff<br />
konzipiert sind, muss der Client für die Suche nach dem richtigen Namespace auf dem Server konfiguriert<br />
werden.<br />
Ein eher komplexer Aspekt bei der Erstellung einer Anwendungsverzeichnispartition ist die Verwaltung<br />
von Berechtigungen für die Objekte in der Partition. Bei den AD DS-Standardpartitionen werden die<br />
Berechtigungen automatisch zugewiesen. Wenn in der Domänenverzeichnispartition ein Objekt<br />
erstellt wird, wird automatisch die Gruppe Domänen-Admins mit vollen Berechtigungen für das<br />
Objekt zugewiesen. Beim Erstellen eines Objekts in der Konfigurationsverzeichnispartition oder<br />
Schemaverzeichnispartition werden den Benutzer- und Gruppenkonten in der Stammdomäne der<br />
Gesamtstruktur Berechtigungen zugewiesen. Da Anwendungsverzeichnispartitionen auf einer beliebigen<br />
Kombination von Domänen in der Gesamtstruktur repliziert werden können, wird diese Standardmethode<br />
zur Zuweisung von Berechtigungen nicht angewendet. Während das Zuweisen des Vollzugriffs<br />
auf die Objekte in der Partition zu einer Gruppe wie den Domänen-Admins kein Problem<br />
darstellt, ist nicht klar, welche Domäne die Standarddomäne ist. Um dieses Problem zu behandeln,<br />
werden Anwendungsverzeichnispartitionen immer mit einer Sicherheitsbeschreibungs-Referenzdomäne<br />
erstellt. Diese Domäne wird zur Standarddomäne, über die Berechtigungen für Objekte in der<br />
Anwendungsverzeichnispartition zugewiesen werden. Beim Erstellen einer Anwendungsverzeichnispartition<br />
unterhalb einer Domänenverzeichnispartition wird die übergeordnete Domäne als Sicherheitsbeschreibungs-Referenzdomäne<br />
verwendet, sodass eine Berechtigungsvererbung implementiert<br />
wird. Wenn durch die Anwendungsverzeichnispartition eine neue Struktur innerhalb der Gesamtstruktur<br />
erstellt wird, wird die Stammdomäne der Gesamtstruktur als Referenzdomäne verwendet.
Domänen<br />
Logische Struktur der AD DS 45<br />
Hinweis Anwendungsverzeichnispartitionen werden üblicherweise durch die Installation von Anwendungen<br />
erstellt, welche die Verwendung einer Anwendungsverzeichnispartition erfordern. Während der<br />
Installation der Anwendung sollten ferner zusätzliche Replikate auf anderen Domänencontrollern erstellt werden<br />
können. Wenngleich Anwendungsverzeichnispartitionen mithilfe von Ntdsutil erstellt werden können, ist<br />
dies in einer Produktionsumgebung nicht üblich. Die Vorgehensweisen zur Verwaltung von Anwendungsverzeichnispartitionen<br />
sind im Windows Server 2008-Hilfe und Supportcenter beschrieben. Detaillierte Informationen<br />
zu Anwendungsverzeichnispartitionen, u.a. zum programmgesteuerten Zugriff auf diese Partitionen,<br />
finden Sie unter „Application <strong>Directory</strong> Partitions“ auf der folgenden Seite: http://msdn2.microsoft.com/en-us/<br />
library/ms675020.aspx.<br />
Die Domäne ist die grundlegendste Komponente innerhalb des AD DS-Modells. Bei der Installation<br />
der AD DS auf dem ersten Computer unter Windows Server 2008 erstellen Sie eine Domäne. Eine<br />
Domäne dient als Verwaltungsgrenze und definiert gleichzeitig die Grenze für bestimmte Sicherheitsrichtlinien.<br />
Die Domänenstruktur sollte auf den Verwaltungsanforderungen einer Organisation basieren,<br />
wie z.B. der Delegierung von Administratorrechten, sowie auf Betriebsanforderungen wie der<br />
Notwendigkeit, die Replikation zu steuern. Beispielsweise verfügen alle Mitglieder der Gruppe<br />
Domänen-Admins in einer Domäne über vollen Administratorzugriff auf sämtliche Objekte innerhalb<br />
dieser Domäne, standardmäßig jedoch nicht über Administratorzugriff auf Objekte in anderen Domänen.<br />
Innerhalb der AD DS definieren Domänen Folgendes:<br />
• Replikationsgrenzen Domänengrenzen sind Replikationsgrenzen für die Domänenverzeichnispartition<br />
und für die Domäneninformationen im Ordner Sysvol auf sämtlichen Domänencontrollern.<br />
Während andere Verzeichnispartitionen wie die Schema- und Konfigurationspartition sowie die<br />
Partition des globalen Katalogs innerhalb der Gesamtstruktur repliziert werden, wird die Domänenverzeichnispartition<br />
nur innerhalb einer Domäne repliziert. Durch die Partitionierung von<br />
Daten in mehrere Domänen innerhalb derselben Gesamtstruktur kann der Replikationsdatenverkehr<br />
zwischen Domänencontrollern in sehr großen Organisationen verwaltet werden. Die in der<br />
Domänenpartition gespeicherten Informationen werden auf allen anderen Domänencontrollern<br />
innerhalb der Domäne, nicht jedoch auf Domänencontrollern in anderen Domänen repliziert.<br />
• Grenzen für Sicherheitsrichtlinien Einige Sicherheitsrichtlinien können ausschließlich auf Domänenebene<br />
festgelegt werden. Diese Richtlinien, wie Kennwort-, Kontosperrungs- und Kerberos-<br />
Ticketrichtlinien, gelten für alle Domänenkonten.<br />
Hinweis In Windows Server 2008 können fein abgestimmte Kennwortrichtlinien definiert werden,<br />
welche die standardmäßigen Domänenkontorichtlinien für bestimmte Benutzer außer Kraft setzen. Fein<br />
abgestimmte Kennwortrichtlinien lassen sich jedoch nicht auf Containerobjekte anwenden, sondern<br />
lediglich auf einzelne Benutzerkonten oder Sicherheitsgruppen.<br />
• Grenzen für den Ressourcenzugriff Domänengrenzen sind gleichzeitig Grenzen für Authentifizierungs-<br />
und Autorisierungsdienste. Eine Domäne bietet Authentifizierungsdienste für alle Konten<br />
innerhalb dieser Domäne, um Anmeldevorgänge und die SSO-Zugriffssteuerung (Single Sign-On)<br />
auf freigegebene Ressourcen innerhalb der Domänengrenzen zu vereinfachen. Standardmäßig<br />
können Benutzer einer Domäne nicht auf die Ressourcen in einer anderen Domäne zugreifen,<br />
sofern ihnen nicht explizit die erforderlichen Berechtigungen zugewiesen wurden.
46 Kapitel 2: <strong>Active</strong> <strong>Directory</strong>-Domänendienstkomponenten<br />
• Grenzen für Vertrauensstellungen Eine Domäne ist der kleinste Container innerhalb der AD DS,<br />
der in einer Vertrauensstellung verwendet werden kann. Vertrauensstellungen werden zur Aktivierung<br />
der Authentifizierungs- und Autorisierungsdienste verwendet, sodass die Benutzer in einer<br />
Domäne auf Ressourcen in einer anderen Domäne zugreifen können. Innerhalb einer Gesamtstruktur<br />
werden Vertrauensstellungen automatisch zwischen der Stammdomäne der Gesamtstruktur<br />
und einerseits den Stammdomänen einer Struktur sowie andererseits sämtlichen<br />
untergeordneten Domänen der Stammdomäne der Gesamtstruktur erstellt.<br />
Sicherheitswarnung Domänengrenzen sind keine Sicherheitsgrenzen – die von einem Administrator in<br />
einer Domäne durchgeführten Aktionen können sich auf alle anderen Domänen innerhalb der Gesamtstruktur<br />
auswirken. Zum Erstellen einer Sicherheitsgrenze müssen separate Gesamtstrukturen erstellt werden.<br />
Weitere Informationen finden Sie in Kapitel 5.<br />
Die AD DS-Domänen innerhalb einer Gesamtstruktur sind hierarchisch organisiert. Die erste Domäne<br />
innerhalb der Organisation wird als Gesamtstruktur-Stammdomäne bezeichnet und ist der Ausgangspunkt<br />
für einen AD DS-Namespace. Die erste Domäne in der Organisation Adatum ist beispielsweise<br />
Adatum.com. Bei dieser ersten Domäne kann es sich entweder um eine dedizierte oder<br />
um eine nicht dedizierte Stammdomäne handeln. Eine dedizierte Stammdomäne wird auch als leere<br />
Stammdomäne bezeichnet und als leerer Platzhalter zum Starten der AD DS verwendet. Die einzigen<br />
in der dedizierten Stammdomäne enthaltenen Konten sind der Standarddomänenbenutzer sowie Gruppenkonten<br />
wie das Administratorkonto und die globale Gruppe Domänen-Admins. Bei einer nicht<br />
dedizierten Stammdomäne handelt es sich um eine Domäne, in der die eigentlichen Benutzer- und<br />
Gruppenkonten erstellt werden. Die Gründe für die Auswahl einer dedizierten oder einer nicht dedizierten<br />
Gesamtstruktur-Stammdomäne sind in Kapitel 5 beschrieben.<br />
Alle anderen Domänen in der Gesamtstruktur sind entweder Peers der Stammdomäne oder untergeordnete<br />
Domänen. Untergeordnete Domänen verwenden denselben AD DS-Namespace wie die<br />
übergeordnete Domäne (die Stammdomäne). Beispiel: Wenn die erste Domäne in der Organisation<br />
Adatum den Namen Adatum.com trägt, könnte der Name einer untergeordneten Domäne in dieser<br />
Struktur NA.Adatum.com lauten. Die Domäne NA.Adatum.com würde erstellt, um alle Sicherheitsprinzipale<br />
für die Standorte von Adatum in den USA zu verwalten. Bei entsprechender Größe oder<br />
Komplexität der Organisation könnten weitere untergeordnete Domänen wie z.B. Vertrieb.NA.<br />
Adatum.com erforderlich sein. Abbildung 2.7 zeigt die Hierarchie der über- und untergeordneten<br />
Domänen für die Organisation Adatum.<br />
Bei einer Konfiguration aus über- und untergeordneten Domänen wird dieses Modell als Domänenstruktur<br />
bezeichnet. Eine Domänenstruktur besteht aus einer oder mehreren Domänen, die einen<br />
zusammenhängenden Namespace gemeinsam nutzen. In der Gesamtstruktur Adatum.com verwendet<br />
NA.Adatum.com den Namespace Adatum.com gemeinsam mit der Stammdomäne der Gesamtstruktur.<br />
Es lassen sich auch zusätzliche Domänenstrukturen innerhalb derselben Gesamtstruktur implementieren.<br />
Beim Erstellen einer neuen Domänenstruktur werden Domänen zur Gesamtstruktur hinzugefügt,<br />
die nicht denselben zusammenhängenden Namespace gemeinsam verwenden. Beispiel: Adatum verfügt<br />
über ein Tochterunternehmen Trey Research, das eine separate Domäne erfordert. Sie können die<br />
Domäne TreyResearch.com zur Gesamtstruktur Adatum.com hinzufügen und eine neue Domänenstruktur<br />
erstellen. In diesem Szenario ist die Domäne TreyResearch.com die Stammdomäne der<br />
Domänenstruktur.
Logische Struktur der AD DS 47<br />
Übergeordnete Domäne<br />
Adatum.com<br />
Untergeordnete Domäne<br />
Untergeordnete Domäne<br />
Übergeordnete Domäne<br />
EMEA.Adatum.com<br />
NA.Adatum.com<br />
Untergeordnete Domäne<br />
Vertrieb.NA.Adatum.com<br />
Abbildung 2.7<br />
Modell der über- und untergeordneten Domänen für die Organisation Adatum<br />
Wenn weitere Domänen für die Geschäftseinheit Trey Research benötigt werden, können diese als<br />
untergeordnete Domänen der TreyResearch-Domänenstruktur erstellt werden. Abbildung 2.8 zeigt die<br />
Organisation Adatum mit mehreren Domänenstrukturen.<br />
Stammdomäne der Gesamtstruktur<br />
Stammdomäne der Domäne<br />
Adatum.com<br />
TreyResearch.com<br />
NA.Adatum.com<br />
Europa.TreyResearch.com<br />
Vertrieb.NA.Adatum.com<br />
Vertrieb.Europa.TreyResearch.com<br />
Abbildung 2.8<br />
Adatum mit mehreren Domänenstrukturen
48 Kapitel 2: <strong>Active</strong> <strong>Directory</strong>-Domänendienstkomponenten<br />
Unabhängig davon, ob ein einziger Namespace (eine Domänenstruktur) oder mehrere Namespaces<br />
(mehrere Domänenstrukturen) verwendet werden, ist die Funktionsweise zusätzlicher Domänen in<br />
derselben Gesamtstruktur gleich. Alle Domänen sind weiterhin Teil derselben Gesamtstruktur, und<br />
sämtliche Domänen verfügen über eine transitive Vertrauensstellung mit allen anderen Domänen<br />
innerhalb der Gesamtstruktur. Die Erstellung zusätzlicher Domänenstrukturen erfordert lediglich Entscheidungen<br />
im Hinblick auf Organisation und Benennung, wirkt sich jedoch nicht auf die Funktionsweise<br />
aus. Die Verwendung mehrerer Strukturen anstelle von untergeordneten Domänen wirkt sich<br />
allerdings auf die DNS-Konfiguration aus (wie in Kapitel 3 beschrieben).<br />
Ermitteln von Objekten in anderen Domänen<br />
Da die Informationen in den verschiedenen Domänenpartitionen lediglich auf anderen Domänencontrollern<br />
innerhalb derselben Domäne repliziert werden, benötigen Domänencontroller eine<br />
Methode zum Ermitteln von Objekten in anderen Domänen. Beispiel: Wenn ein Benutzer in einer<br />
Domäne versucht, auf eine Ordnerfreigabe in einer anderen Domäne innerhalb der Gesamtstruktur<br />
zuzugreifen, muss der Domänencontroller in der Benutzerdomäne feststellen können, dass die<br />
andere Domäne vorhanden ist, und die Domänencontroller in dieser Domäne ermitteln können. Um<br />
zu gewährleisten, dass die Domänencontroller nicht nur die eigene Domäne, sondern sämtliche<br />
Domänen und Verzeichnispartitionen innerhalb der Gesamtstruktur erkennen, verwenden die AD<br />
DS Querverweise.<br />
Querverweise werden als Verzeichnisobjekte der Klasse crossRef gespeichert, die das Vorhandensein<br />
und den Speicherort aller Verzeichnispartitionen kennzeichnen. Zusätzlich enthalten diese<br />
Objekte Informationen, die von den AD DS zum Erstellen der Verzeichnisstrukturhierarchie<br />
verwendet werden. Die Klasse crossRef umfasst die folgenden Attribute:<br />
• nCName Der definierte Name der Verzeichnispartition, auf welche das Objekt crossRef verweist.<br />
(Das Präfix nC steht für Naming Context – Namenskontext –, einem Synonym für Verzeichnispartition.)<br />
Die Kombination aller nCName-Eigenschaften in der Gesamtstruktur<br />
definiert die vollständige Verzeichnisstruktur, einschließlich der unter- und übergeordneten<br />
Beziehungen zwischen Partitionen.<br />
• dNSRoot Der DNS-Name der Domäne, in der Server, auf denen die jeweilige Verzeichnispartition<br />
gespeichert ist, erreicht werden können.<br />
Für jede Verzeichnispartition in einer Gesamtstruktur wird ein internes Querverweisobjekt im Container<br />
Partitions gespeichert (CN=Partitions,CN=Configuration,DC=ForestRootDomain). Da sich<br />
Querverweisobjekte im Container Configuration befinden, werden sie auf jedem Domänencontroller<br />
in der Gesamtstruktur repliziert. So verfügen sämtliche Domänencontroller über Informationen<br />
zum Namen aller Partitionen innerhalb der Gesamtstruktur. Durch die Verwendung von Querverweisobjekten<br />
kann jeder Domänencontroller Verweise auf eine beliebige andere Domäne innerhalb<br />
der Gesamtstruktur generieren.
Gesamtstrukturen<br />
Logische Struktur der AD DS 49<br />
Eine Gesamtstruktur stellt die höchste Ebene der logischen AD DS-Struktur dar. Eine AD DS-<br />
Gesamtstruktur ist ein einziges eigenständiges Verzeichnis. Die Gesamtstruktur ist die Replikations- und<br />
Sicherheitsgrenze für das Unternehmen. Sämtliche Domänen und Domänenstrukturen sind innerhalb<br />
einer AD DS-Gesamtstruktur vorhanden.<br />
Eine AD DS-Gesamtstruktur lässt sich durch die Komponenten definieren, die von allen Domänencontrollern<br />
innerhalb der Gesamtstruktur gemeinsam verwendet werden. Zu den gemeinsam verwendeten<br />
Komponenten zählen die folgenden:<br />
• Ein gemeinsames Schema Alle Domänencontroller in der Gesamtstruktur verfügen über dasselbe<br />
Schema. Das Schema wird in der Schemaverzeichnispartition der AD DS gespeichert und auf<br />
allen Domänencontrollern innerhalb der Gesamtstruktur repliziert. Die einzige Möglichkeit zur<br />
Bereitstellung von zwei unterschiedlichen Schemata in einer Organisation besteht darin, zwei<br />
separate Gesamtstrukturen bereitzustellen.<br />
• Eine gemeinsame Konfigurationsverzeichnispartition Alle Domänencontroller in der Gesamtstruktur<br />
verwenden denselben Konfigurationscontainer. Die Konfigurationspartition enthält Informationen<br />
zur Topologie der Gesamtstruktur sowie zu anderen Gesamtstruktur-, Domänen- und<br />
Domänencontrollereinstellungen. Diese Konfigurationsdaten umfassen eine Liste aller Domänen,<br />
Strukturen und Gesamtstrukturen sowie die Standorte der Domänencontroller und globalen Kataloge.<br />
Die Konfigurationsverzeichnispartition wird zudem umfassend von <strong>Active</strong> <strong>Directory</strong>fähigen<br />
Anwendungen wie Exchange Server verwendet.<br />
• Ein gemeinsamer globaler Katalog Der globale Katalog enthält Informationen zu sämtlichen<br />
Objekten innerhalb der gesamten Gesamtstruktur. Dies ermöglicht eine effiziente Suche nach<br />
Objekten innerhalb der Gesamtstruktur sowie die Benutzeranmeldung an einer beliebigen<br />
Domäne in der Gesamtstruktur unter Verwendung des Benutzerprinzipalnamens.<br />
• Ein gemeinsamer Satz an gesamtstrukturweiten Betriebsmastern und Administratoren Der Domänennamenmaster<br />
und der Schemamaster werden auf Gesamtstrukturebene konfiguriert. In jeder<br />
Gesamtstruktur gibt es nur einen Schemamaster und einen Domänennamenmaster. Zusätzlich<br />
werden in der Stammdomäne für die Gesamtstruktur zwei Sicherheitsgruppen mit einzigartigen<br />
Berechtigungen erstellt. Die Gruppe Schema-Admins ist die einzige Gruppe, die zum Ändern des<br />
Schemas berechtigt ist. Die Gruppe Organisations-Admins ist als einzige Gruppe zum Durchführen<br />
von Aktionen auf Gesamtstrukturebene berechtigt (z.B. zum Hinzufügen oder Entfernen von<br />
Domänen zu bzw. aus der Gesamtstruktur). Die Gruppe Organisations-Admins wird ferner automatisch<br />
zu jeder lokalen Administratorengruppe auf den Domänencontrollern in jeder Domäne<br />
innerhalb der Gesamtstruktur hinzugefügt.<br />
• Eine gemeinsame Konfiguration von Vertrauensstellungen Für alle Domänen in der Gesamtstruktur<br />
wird automatisch eine Vertrauensstellung mit allen anderen Domänen innerhalb der Gesamtstruktur<br />
konfiguriert.<br />
Abbildung 2.9 zeigt die Gesamtstruktur von Adatum.
50 Kapitel 2: <strong>Active</strong> <strong>Directory</strong>-Domänendienstkomponenten<br />
Vertrauensstellung<br />
Adatum.com<br />
TreyResearch.com<br />
EMEA.Adatum.com<br />
NA.Adatum.com<br />
SA.TreyResearch.com<br />
Forschung.EMEA.Adatum.com<br />
Vertrieb.NA.Adatum.com<br />
TestDom.SA.TreyResearch.com<br />
Gesamtstruktur von Adatum<br />
Abbildung 2.9<br />
Eine Gesamtstruktur kann mehrere Domänen und Strukturen umfassen<br />
Auf der DVD Zum Anzeigen von Informationen zu Ihrer AD DS-Gesamtstruktur und den Domänen innerhalb<br />
dieser Gesamtstruktur führen Sie das auf der CD enthaltene Windows PowerShell-Skript ListADDS-<br />
Domains.ps1 aus.<br />
Vertrauensstellungen<br />
Wenn keine Vertrauensstellungen konfiguriert werden, ist die Domäne die Grenze für den Ressourcenzugriff<br />
in einer Organisation. Mit ausreichend Berechtigungen kann über jeden Sicherheitsprinzipal<br />
(z.B. ein Benutzer- oder Gruppenkonto) auf eine beliebige freigegebene Ressource innerhalb<br />
derselben Domäne zugegriffen werden. Für den Zugriff auf freigegebene Ressourcen außerhalb der<br />
Domäne werden AD DS-Vertrauensstellungen verwendet. Bei einer Vertrauensstellung handelt es sich<br />
um eine Authentifizierungsverbindung zwischen zwei Domänen, über die Sicherheitsprinzipale für<br />
den Zugriff auf Ressourcen in der anderen Domäne autorisiert werden.<br />
Wenn zwischen Domänen eine Vertrauensstellung konfiguriert ist, vertraut der Authentifizierungsmechanismus<br />
der einzelnen Domänen dem Authentifizierungsmechanismus aller anderen vertrauenswürdigen<br />
Domänen. Die Authentifizierung von Benutzern oder Anwendungen durch eine Domäne<br />
wird von allen anderen Domänen akzeptiert, die der authentifizierenden Domäne vertrauen. Die<br />
Benutzer in einer vertrauenswürdigen Domäne haben Zugriff auf Ressourcen in der vertrauenden<br />
Domäne, es gelten die Zugriffssteuerungen der vertrauenden Domäne.<br />
Hinweis Vertrauensstellungen werden automatisch zwischen allen Domänen innerhalb einer Gesamtstruktur<br />
konfiguriert. Diese Vertrauensstellungen können nicht entfernt werden.
Logische Struktur der AD DS 51<br />
Es gibt verschiedene Typen von Vertrauensstellungen, u.a. die folgenden:<br />
• Transitive bidirektionale Vertrauensstellungen<br />
• Shortcutvertrauensstellungen<br />
• Gesamtstrukturvertrauensstellungen<br />
• Externe Vertrauensstellungen<br />
• Bereichsvertrauensstellung<br />
Transitive bidirektionale Vertrauensstellungen<br />
Sämtliche Domänen in einer Gesamtstruktur verfügen über transitive, bidirektionale Vertrauensstellungen<br />
mit allen anderen Domänen innerhalb der Gesamtstruktur. Im oben genannten Beispiel<br />
wird bei Erstellung der Domäne NA.Adatum.com als untergeordnete Domäne der Stammdomäne<br />
Adatum.com eine automatische bidirektionale Vertrauensstellung zwischen den Domänen NA.<br />
Adatum.com und Adatum.com erstellt. Über diese Vertrauensstellung kann jeder Benutzer in der<br />
Domäne NA.Adatum.com auf sämtliche Ressourcen in der Domäne Adatum.com zugreifen, für deren<br />
Zugriff er berechtigt ist. Gleichermaßen können Sicherheitsprinzipalen in der Domäne Adatum.com<br />
Zugriffsberechtigungen für Ressourcen in der Domäne NA.Adatum.com erteilt werden.<br />
Die Vertrauensstellungen innerhalb einer Gesamtstruktur werden als Vertrauensstellung zwischen<br />
einer übergeordneten und einer untergeordneten Domäne oder als Strukturstamm-Vertrauensstellung<br />
eingerichtet. Ein Beispiel für eine Vertrauensstellung zwischen einer übergeordneten und einer untergeordneten<br />
Domäne ist die Vertrauensstellung zwischen der Domäne NA.Adatum.com und der Domäne<br />
Adatum.com. Eine Strukturstamm-Vertrauensstellung ist die Vertrauensstellung zwischen zwei<br />
Strukturen innerhalb der Gesamtstruktur, z.B. zwischen Adatum.com und TreyResearch.com.<br />
Sämtliche Vertrauensstellungen zwischen den Domänen in einer Gesamtstruktur sind jedoch auch<br />
transitiv. Dies bedeutet, dass sich alle Domänen in der Gesamtstruktur gegenseitig vertrauen. Wenn<br />
die Domäne Adatum.com der Domäne NA.Adatum.com vertraut und die Domäne EMEA.Adatum.com<br />
der Domäne Adatum.com vertraut, dann hat die Transitivität zur Folge, dass die Domäne EMEA.<br />
Adatum.com auch der Domäne NA.Adatum.com vertraut. So können Benutzer in der Domäne<br />
NA.Adatum.com auf Ressourcen in der Domäne EMEA.Adatum.com zugreifen und umgekehrt.<br />
Transitive Vertrauensstellungen gelten ebenso für Strukturstamm-Vertrauensstellungen. Die Domäne<br />
NA.Adatum.com vertraut der Domäne Adatum.com, und die Domäne Adatum.com vertraut der Domäne<br />
TreyResearch.com. Daher besteht auch zwischen der Domäne NA.Adatum.com und der Domäne<br />
TreyResearch.com eine transitive Vertrauensstellung.<br />
Shortcutvertrauensstellungen<br />
Zusätzlich zu den automatischen, bidirektionalen transitiven Vertrauensstellungen, die beim Erstellen<br />
einer neuen untergeordneten Domäne erstellt werden, können zwischen den Domänen in der Gesamtstruktur<br />
Shortcutvertrauensstellungen erstellt werden. Shortcutvertrauensstellungen werden zur Leistungsoptimierung<br />
beim Zugriff auf Ressourcen zwischen Domänen verwendet, die über transitive<br />
Vertrauensstellungen verbunden sind. Eine Shortcutvertrauensstellung sollte beim häufigen Ressourcenzugriff<br />
zwischen Domänen gewählt werden, die remote über die Domänenstruktur oder Gesamtstruktur<br />
verbunden sind. Die Vertrauensstellungen von Adatum könnten beispielsweise wie in<br />
Abbildung 2.10 dargestellt konfiguriert werden.
52 Kapitel 2: <strong>Active</strong> <strong>Directory</strong>-Domänendienstkomponenten<br />
Gesamtstrukturvertrauensstellung<br />
Vertrauensstellung zwischen einer<br />
übergeordneten und einer<br />
untergeordneten Domäne<br />
Adatum-Gesamtstruktur<br />
Adatum.com<br />
WoodgroveBank.com<br />
WoodgroveBank-<br />
Gesamtstruktur<br />
EMEA.Adatum.com<br />
NA.Adatum.com<br />
Vertrauensstellungsabkürzungen<br />
Abbildung 2.10<br />
Forschung.EMEA.Adatum.com<br />
Vertrauensstellungen in der Adatum-Gesamtstruktur<br />
Vertrieb.NA.Adatum.com<br />
Wenn eine Sicherheitsgruppe in der Domäne Forschung.EMEA.Adatum.com häufig auf eine freigegebene<br />
Ressource in der Domäne Vertrieb.NA.Adatum.com zugreifen muss und zwischen den<br />
Domänen lediglich transitive Vertrauensstellungen bestehen, müssen Benutzer in der Domäne Forschung.EMEA.Adatum.com<br />
an einen Domänencontroller in jeder Domäne innerhalb der Gesamtstruktur<br />
zwischen ihnen und der Domäne verwiesen werden, welche die Ressource enthält. Wenn ein häufiger<br />
Zugriff erforderlich ist, ist diese Methode nicht effizient. Eine Shortcutvertrauensstellung ist eine<br />
direkte Vertrauensstellung, über welche die Benutzer in der Domäne Vertrieb.EMEA.Adatum.com an<br />
einen Domänencontroller in der Domäne Forschung.NA.Adatum.com verwiesen werden können,<br />
ohne die gesamte Verzeichnisstruktur zu durchlaufen. Diese Shortcutvertrauensstellung ist in<br />
Abbildung 2.10 dargestellt. Shortcutvertrauensstellungen können als uni- oder bidirektionale Vertrauensstellungen<br />
konfiguriert werden. Sie sind nicht transitiv.<br />
Gesamtstrukturvertrauensstellungen<br />
Bei einer Gesamtstrukturvertrauensstellung handelt es sich um eine bidirektionale Vertrauensstellung<br />
zwischen zwei separaten Gesamtstrukturen. Bei einer Gesamtstrukturvertrauensstellung kann den<br />
Sicherheitsprinzipalen in einer Gesamtstruktur Zugriff auf die Ressourcen in einer beliebigen Domäne<br />
innerhalb einer anderen Gesamtstruktur gewährt werden. Ferner können Benutzer sich unter Verwendung<br />
desselben UPN an einer beliebigen Domäne in jeder der beiden Gesamtstrukturen anmelden.<br />
Abbildung 2.10 zeigt eine Gesamtstrukturvertrauensstellung zwischen der Gesamtstruktur<br />
Adatum.com und der Gesamtstruktur WoodgroveBank.com.<br />
Hinweis Zum Konfigurieren einer Gesamtstrukturvertrauensstellung müssen sich beide Gesamtstrukturen<br />
auf Windows Server 2003-Gesamtstrukturfunktionsebene oder einer höheren Ebene befinden.
Logische Struktur der AD DS 53<br />
Gesamtstrukturvertrauensstellungen können in einer Windows Server 2008-Umgebung äußerst nützlich<br />
sein. Wenn eine Organisation aus politischen oder technischen Gründen mehrere Gesamtstrukturen<br />
benötigt, kann Benutzern unter Verwendung einer Gesamtstrukturvertrauensstellung problemlos<br />
Zugriff auf sämtliche Ressourcen innerhalb aller Domänen erteilt werden. Dabei spielt es keine Rolle,<br />
in welcher Gesamtstruktur sich der Benutzer oder die Ressource befindet. Wenn zwei Unternehmen<br />
mit Windows Server 2008-Gesamtstrukturen fusionieren, können die beiden Gesamtstrukturen mithilfe<br />
der Vertrauensstellung logisch zusammengeführt werden.<br />
Wenngleich Gesamtstrukturvertrauensstellungen ausgezeichnete Funktionen bieten, gelten auch<br />
einige Einschränkungen:<br />
• Gesamtstrukturvertrauensstellungen sind gegenüber anderen Gesamtstrukturen nicht transitiv.<br />
Wenn zwischen Adatum.com und WoodgroveBank.com beispielsweise eine Gesamtstrukturvertrauensstellung<br />
besteht und WoodgroveBank.com über eine Gesamtstrukturvertrauensstellung mit<br />
Fabrikam.com verfügt, besteht zwischen Adatum.com und Fabrikam.com nicht automatisch eine<br />
Gesamtstrukturvertrauensstellung.<br />
• Gesamtstrukturvertrauensstellungen ermöglichen lediglich die Authentifizierung zwischen<br />
Gesamtstrukturen, bieten jedoch keine weiteren Funktionen. So verfügt z.B. jede Gesamtstruktur<br />
weiterhin über eine individuelle globale Katalog-, Schema- und Konfigurationsverzeichnispartition.<br />
Zwischen den beiden Gesamtstrukturen werden keine Informationen repliziert, die Gesamtstrukturvertrauensstellung<br />
ermöglicht lediglich das Zuweisen von Zugriffsberechtigungen für<br />
Ressourcen innerhalb von Gesamtstrukturen.<br />
• In einigen Fällen ist es nicht sinnvoll, dass sämtliche Domänen in einer Gesamtstruktur allen<br />
Domänen in einer anderen Gesamtstruktur vertrauen. Wenn dies zutrifft, können unidirektionale,<br />
nicht transitive externe Vertrauensstellungen zwischen einzelnen Domänen in zwei separaten<br />
Gesamtstrukturen eingerichtet werden. Alternativ kann für die Gesamtstrukturvertrauensstellung<br />
auch die ausgewählte Authentifizierung konfiguriert werden, sodass der Zugriff auf Ressourcen<br />
auf einem Server in der vertrauenden Domäne für die Benutzer einer vertrauenswürdigen Domäne<br />
explizit aktiviert werden muss.<br />
Weitere Informationen<br />
finden Sie in Kapitel 5.<br />
Weitere Informationen zur Planung von Gesamtstrukturvertrauensstellungen<br />
Externe Vertrauensstellungen<br />
Externe Vertrauensstellungen können zwischen AD DS-Domänen in unterschiedlichen Gesamtstrukturen<br />
oder zwischen einer AD DS-Domäne und einer Domäne unter Windows NT 4.0 oder niedriger<br />
erstellt werden. Diese Vertrauensstellungen können zum Bereitstellen von Zugriff auf Ressourcen in<br />
einer Domäne außerhalb der Gesamtstruktur verwendet werden, zu der keine Gesamtstrukturvertrauensstellung<br />
besteht, oder zum Erstellen einer direkten Vertrauensstellung zwischen zwei Domänen,<br />
für die bereits eine Gesamtstrukturvertrauensstellung konfiguriert wurde. Der Unterschied zwischen<br />
einer externen Vertrauensstellung und einer Gesamtstrukturvertrauensstellung besteht darin, dass die<br />
externe Vertrauensstellung nicht nur zwischen den Stammdomänen der Gesamtstruktur, sondern zwischen<br />
zwei beliebigen Domänen in einer der beiden Gesamtstrukturen konfiguriert wird. Ferner weisen<br />
externe Vertrauensstellungen die folgenden Merkmale auf:<br />
• Externe Vertrauensstellungen sind nicht transitiv. Die Vertrauensstellung besteht nur zwischen<br />
zwei Domänen.
54 Kapitel 2: <strong>Active</strong> <strong>Directory</strong>-Domänendienstkomponenten<br />
• Es müssen beide Seiten der Vertrauensstellung konfiguriert werden. Zum Konfigurieren einer<br />
bidirektionalen Vertrauensstellung muss eine Vertrauensstellung für jede Richtung konfiguriert<br />
werden.<br />
• In Windows Server 2008 erzwingen externe Vertrauensstellungen standardmäßig die SID-Filterung.<br />
Die SID-Filterung wird eingesetzt um zu verifizieren, dass eingehende Authentifizierungsanforderungen<br />
von Sicherheitsprinzipalen in der vertrauenswürdigen Domäne ausschließlich SIDs<br />
von Sicherheitsprinzipalen in der vertrauenswürdigen Domäne enthalten. Mithilfe der SID-Filterung<br />
wird sichergestellt, dass Administratoren in der vertrauenswürdigen Domäne das Attribut<br />
SIDHistory nicht verwenden können, um nicht autorisierten Zugriff auf Ressourcen in der vertrauenden<br />
Domäne zu erhalten.<br />
Bereichsvertrauensstellung<br />
Der letzte Typ von Vertrauensstellung ist eine Bereichsvertrauensstellung. Diese Vertrauensstellungen<br />
werden zwischen einer Windows Server 2008-Domäne oder -Gesamtstruktur und einer Nicht-<br />
Windows-Implementierung eines Kerberos v5-Bereichs konfiguriert. Die Kerberos-Sicherheit<br />
basiert auf einem offenen Standard, und es sind verschiedene andere Implementierungen von Kerberos-basierten<br />
Netzwerksicherheitssystemen verfügbar. Bereichsvertrauensstellungen können zwischen<br />
beliebigen Kerberos-Bereichen mit Unterstützung für den Kerberos v5-Standard erstellt<br />
werden. Sie können als unidirektionale oder als bidirektionale sowie als transitive oder als nicht<br />
transitive Vertrauensstellungen konfiguriert werden.<br />
Standorte<br />
Alle bisher beschriebenen logischen AD DS-Komponenten sind praktisch völlig unabhängig von der<br />
physischen Infrastruktur eines Netzwerks. Beim Entwerfen der Domänenstruktur für ein Unternehmen ist<br />
der Standort der Benutzer beispielsweise nicht die wichtigste Frage, die Sie sich stellen müssen. Sämtliche<br />
Benutzer in einer Domäne können sich sowohl in einem einzigen Bürogebäude oder an verschiedenen<br />
Standorten weltweit befinden. Diese Unabhängigkeit der logischen Komponenten von der Netzwerkinfrastruktur<br />
ist weitgehend auf die Verwendung von Standorten in den AD DS zurückzuführen.<br />
Standorte bieten die Verbindung zwischen den logischen AD DS-Komponenten und der physischen<br />
Netzwerkinfrastruktur. Ein Standort ist als ein Netzwerkbereich definiert, in dem sämtliche Domänencontroller<br />
über eine schnelle und zuverlässige Netzwerkverbindung verbunden sind. In den meisten<br />
Fällen enthält ein Standort mindestens ein IP-Subnetz (Internet Protocol) in einem LAN (Local Area<br />
Network) oder WAN (Wide Area Network) mit sehr hoher Geschwindigkeit. Die Verbindung mit den<br />
übrigen Netzwerkkomponenten erfolgt über langsamere WAN-Verbindungen.<br />
Auf der DVD Zum Anzeigen von Informationen zu den Standorten einer AD DS-Gesamtstruktur führen Sie<br />
das auf der CD enthaltene Windows PowerShell-Skript ListADDSSites.ps1 aus.<br />
Der Hauptgrund für die Erstellung von Standorten ist, Netzwerkdatenverkehr verwalten zu können,<br />
der langsame Netzwerkverbindungen verwenden muss. Standorte werden zur Steuerung des Netzwerkdatenverkehrs<br />
innerhalb des Windows Server 2008-Netzwerks auf drei unterschiedliche Arten<br />
eingesetzt:<br />
• Replikation Eine der wichtigsten Methoden für die Verwendung von Standorten zur Optimierung<br />
von Netzwerkdatenverkehr ist die Verwaltung des Replikationsdatenverkehrs zwischen Domänencontrollern.
Logische Struktur der AD DS 55<br />
Beispielsweise werden Änderungen am Verzeichnis innerhalb eines Standorts in nur wenigen<br />
Minuten repliziert. Der Replikationszeitplan zwischen Standorten kann so gesteuert werden, dass<br />
der Replikationsdatenverkehr seltener oder außerhalb der Arbeitszeiten erfolgt. Der Replikationsdatenverkehr<br />
zwischen Standorten wird zum Reduzieren der Bandbreiteanforderungen standardmäßig<br />
komprimiert, der Replikationsdatenverkehr innerhalb eines Standorts jedoch nicht. (Die<br />
Unterschiede zwischen der Replikation innerhalb eines Standorts und der Replikation zwischen<br />
Standorten wird in Kapitel 4 näher erläutert.)<br />
• Authentifizierung Bei der Benutzeranmeldung an einer Windows Server 2008-Domäne von<br />
einem Client unter Windows 2000, Windows XP Professional oder Windows Vista versucht der<br />
Clientcomputer stets, eine Verbindung zu einem Domänencontroller innerhalb desselben Standorts<br />
wie der Client herzustellen. Wie in Kapitel 3 erläutert, registriert jeder Domänencontroller<br />
standortspezifische SRV-Datensätze. Beim Versuch des Clientcomputers, einen Domänencontroller<br />
zu ermitteln, fragt er die DNS-Server stets nach diesen Standortdatensätzen ab. Dies bedeutet,<br />
dass der Clientanmeldeverkehr innerhalb des Standorts erfolgt.<br />
• Standortabhängige Netzwerkdienste Die dritte Möglichkeit, Standorte zum Reduzieren der Netzwerkbandbreiteanforderungen<br />
einzusetzen, besteht darin, Clientverbindungen auf standortabhängige<br />
Anwendungen und Dienste innerhalb des Standorts einzuschränken. Durch die Verwendung<br />
von DFS (Distributed File System, Verteiltes Dateisystem) können mehrere Replikate eines Ordners<br />
an unterschiedlichen Standorten des Netzwerks erstellt werden. Da DFS die Standortkonfiguration<br />
berücksichtigt, versuchen Clientcomputer stets, auf ein DFS-Replikat innerhalb des eigenen<br />
Standorts zuzugreifen, bevor über eine WAN-Verbindung auf Informationen in einem anderen<br />
Standort zugegriffen wird. Zudem verwendet Exchange Server 2007 die AD DS-Standortkonfiguration<br />
zum Definieren der Nachrichtenroutingtopologie innerhalb der Organisation. Nachrichten,<br />
die zwischen Exchange Server-Computern innerhalb desselben Standorts übertragen werden, werden<br />
stets direkt vom Exchange Server-Quellcomputer zum Exchange Server-Zielcomputer gesendet.<br />
Dies gilt auch dann, wenn eine Nachricht an mehrere Server innerhalb desselben Standorts<br />
gesendet werden muss. Zwischen Exchange Server-Computern an unterschiedlichen Standorten<br />
werden lediglich Einzelkopien der Nachrichten übertragen, selbst wenn die Nachrichten an Benutzer<br />
auf unterschiedlichen Exchange Server-Computern am Zielstandort gesendet wurden.<br />
Alle Computer innerhalb eines Windows Server 2008-Netzwerks werden einem Standort zugewiesen.<br />
Bei der Installation der AD DS in einer Windows Server 2008-Umgebung wird ein Standardstandort<br />
mit dem Namen Standardname-des-ersten-Standorts erstellt, und sofern keine zusätzlichen<br />
Standorte erstellt werden, werden sämtliche Computer innerhalb der Gesamtstruktur diesem Standort<br />
zugewiesen. Bei Erstellung von weiteren Standorten werden diese mit IP-Subnetzen verknüpft. Wenn<br />
ein Server unter Windows Server 2008 zu einem Domänencontroller heraufgestuft wird, wird der<br />
Domänencontroller automatisch einem Standort zugewiesen, welcher der IP-Adresse des Computers<br />
entspricht. Domänencontroller können bei Bedarf unter Verwendung des Verwaltungstools <strong>Active</strong><br />
<strong>Directory</strong>-Standorte und -Dienste zwischen Standorten verschoben werden.<br />
Clientcomputer ermitteln ihre Standorte, wenn sie erstmalig gestartet werden und sich an der Domäne<br />
anmelden. Da der Clientcomputer nicht weiß, zu welchem Standort er gehört, verbindet er sich mit<br />
einem beliebigen Domänencontroller innerhalb der Domäne. Als Teil dieses erstmaligen Anmeldevorgangs<br />
informiert der Domänencontroller den Client, zu welchem Standort der Client gehört, und der<br />
Client speichert diese Informationen für die nächste Anmeldung.
56 Kapitel 2: <strong>Active</strong> <strong>Directory</strong>-Domänendienstkomponenten<br />
Hinweis Wenn ein Domänencontroller oder Clientcomputer über eine IP-Adresse verfügt, die nicht mit<br />
einem bestimmten Standort verknüpft ist, wird dieser Computer dem Standort Standardname-des-ersten-<br />
Standorts zugewiesen. Sämtliche Computer innerhalb einer Windows Server 2008-Domäne müssen einem<br />
Standort zugewiesen werden.<br />
Wie bereits in diesem Kapitel erwähnt, gibt es keine direkte Verbindung zwischen Standorten und den<br />
anderen logischen Konzepten in den AD DS. Ein Standort kann mehrere Domänen enthalten, und eine<br />
Domäne kann mehrere Standorte umfassen. Wie in Abbildung 2.11 dargestellt, umfasst der Standort<br />
Seattle beispielsweise die Domäne Adatum.com und die Domäne NA.Adatum.com. Die Domäne Trey-<br />
Research.com umfasst mehrere Standorte.<br />
Adatum.com<br />
NA.Adatum.com<br />
Calgary-Standort<br />
Seattle-Standort<br />
Denver-Standort Vancouver-Standort<br />
TreyResearch.com<br />
Abbildung 2.11<br />
Standorte und Domänen innerhalb einer AD DS-Gesamtstruktur<br />
Hinweis Standorte sind Thema mehrerer weiterer Kapitel dieses Buches. In Kapitel 3 wird die Rolle von<br />
DNS und Standorten für die Clientanmeldung erläutert. In Kapitel 4 erfahren Sie, welche Rolle Standorte bei<br />
der Replikation spielen und wie Standorte erstellt und konfiguriert werden. Einzelheiten zum Entwerfen einer<br />
idealen Standortkonfiguration für eine AD DS-Gesamtstruktur finden Sie in Kapitel 5.<br />
Organisationseinheiten<br />
Durch die Implementierung von mehreren Domänen in einer Gesamtstruktur, entweder in einer einzelnen<br />
Struktur oder in mehreren Strukturen, ist Windows Server 2008 AD DS skalierbar, um Verzeichnisdienste<br />
für praktisch jede Netzwerkgröße bereitzustellen. Viele Komponenten der AD DS,<br />
wie beispielsweise der globale Katalog und automatische transitive Vertrauensstellungen, sind unabhängig<br />
von der Verzeichnisgröße für eine effiziente Verwendung und Verwaltung dieses Unternehmensverzeichnisses<br />
konzipiert.<br />
Der Zweck von Organisationseinheiten (Organizational Units, OUs) ist jedoch eine vereinfachte Verwaltung<br />
der AD DS in kleineren Strukturen. OUs werden für eine effizientere Verwaltung von einzelnen<br />
Domänen eingesetzt. Eine Domäne könnte Zehntausende (oder sogar Millionen) von Objekten<br />
enthalten. Die Verwaltung dieser großen Anzahl an Objekten ohne eine Möglichkeit zum Organisieren<br />
dieser Objekte in logischen Gruppen ist äußerst schwierig. OUs werden zum Erstellen einer hierarchischen<br />
Struktur innerhalb einer Domäne verwendet. Abbildung 2.12 zeigt ein Beispiel für eine mögliche<br />
OU-Struktur im Unternehmen Adatum.
Logische Struktur der AD DS 57<br />
Adatum.com<br />
OU Seattle OU Calgary OU Denver<br />
OU Produkt OU Vertrieb OU F&E<br />
OU Produkt<br />
OU Marketing<br />
OU Entwurf<br />
Abbildung 2.12<br />
OU Manu<br />
OU-Strukturen können eine Vielzahl von Ebenen umfassen<br />
Bei OUs handelt es sich um Containerobjekte, die verschiedene Typen von Verzeichnisdienstobjekten<br />
enthalten. Dazu zählen u.a. die folgenden:<br />
• Computer<br />
• Kontakte<br />
• Gruppen<br />
• inetOrgPerson<br />
• Drucker<br />
• Benutzer<br />
• Freigegebene Ordner<br />
• Organisationseinheiten<br />
Mithilfe von OUs werden Objekte zu Verwaltungszwecken gruppiert. Es gibt zwei Möglichkeiten, um<br />
OUs als Verwaltungseinheiten zu verwenden: zum Delegieren von Administratorrechten und zum<br />
Verwalten einer Gruppe aus Objekten als einzige Einheit.<br />
Verwenden von OUs zum Delegieren von Administratorrechten<br />
OUs können zum Delegieren von Administratorrechten verwendet werden. Ein Benutzer kann beispielsweise<br />
die Berechtigung zum Durchführen von Administratoraufgaben für eine bestimmte OU<br />
erhalten. Dabei kann es sich um umfassende Rechte handeln, sodass der Benutzer über Vollzugriff für<br />
die OU und sämtliche Objekte in der OU verfügt, oder es könnten äußerst eingeschränkte Berechtigungen<br />
zugewiesen werden (beispielsweise lediglich zum Zurücksetzen der Kennwörter für Benutzer<br />
in der OU).
58 Kapitel 2: <strong>Active</strong> <strong>Directory</strong>-Domänendienstkomponenten<br />
Der Benutzer, dem die Administratorrechte für eine OU erteilt werden, verfügt außerhalb der OU<br />
nicht standardmäßig über Administratorrechte.<br />
Die OU-Struktur ist im Hinblick auf das Zuweisen von Rechten (in vielen Windows-Dialogfeldern<br />
und -Eigenschaftenfenstern auch als Berechtigungen bezeichnet) für die Objekte innerhalb der OU<br />
äußerst flexibel. Die OU selbst verfügt über eine Zugriffssteuerungsliste (Access Control List, ACL),<br />
um Rechte für diese OU zuweisen zu können. Darüber hinaus verfügen sämtliche Objekte in einer<br />
OU und sogar alle Attribute für jedes Objekt über eine ACL. Dies bedeutet, dass sich die Administratorrechte<br />
der verschiedenen Benutzer für die OU äußerst präzise verwalten lassen. So kann einer<br />
Gruppe Helpdesk beispielsweise die Berechtigung zum Ändern der Kennwörter für die Benutzer in<br />
einer OU zugewiesen werden, während andere Eigenschaften für das Benutzerkonto jedoch nicht<br />
geändert werden dürfen. Oder Sie weisen der OU Personalabteilung Berechtigungen zum Ändern von<br />
persönlichen Informationen für sämtliche Benutzerkonten in allen OUs zu, erteilen den Mitgliedern<br />
dieser Abteilung jedoch keine weiteren Berechtigungen für die übrigen Attribute der Benutzerkonten<br />
oder Rechte für andere Objekte. Wenn für einige Objekte andere Berechtigungen festgelegt werden<br />
sollen als für andere Objekte innerhalb einer OU, können die Berechtigungen auch für einzelne<br />
Objekte zugewiesen werden.<br />
Verwenden von OUs zum Verwalten von Objektgruppen<br />
Ein weiterer Grund für die Verwendung von OUs ist das Gruppieren von Objekten, um diese identisch<br />
zu verwalten. Wenn beispielsweise alle Arbeitsstationen in einer Abteilung identisch verwaltet<br />
werden sollen (z.B. um einzuschränken, welche Benutzer sich an diesen Arbeitsstationen anmelden<br />
dürfen), können Sie sämtliche Arbeitsstationen in einer OU gruppieren und die Berechtigung Lokal<br />
anmelden auf OU-Ebene konfigurieren. Diese Berechtigung wird anschließend auf alle Arbeitsstationen<br />
in der OU angewendet. Wenn eine Gruppe von Benutzern dieselbe standardmäßige Desktopkonfiguration<br />
und dieselben Anwendungen benötigt, können die Benutzer in einer OU zusammengefasst<br />
werden, und mithilfe von Gruppenrichtlinien können Sie anschließend den Desktop konfigurieren und<br />
die Installation der Anwendungen verwalten.<br />
In vielen Fällen werden die Objekte in einer OU über Gruppenrichtlinien verwaltet. Mithilfe von<br />
Gruppenrichtlinien können Sie Benutzerdesktops sperren und einen standardisierten Desktop, Anund<br />
Abmeldeskripts sowie die Ordnerumleitung für diese Benutzer bereitstellen. Tabelle 2.3 enthält<br />
eine kurze Liste der für Gruppenrichtlinien verfügbaren Einstellungstypen.<br />
Tabelle 2.3<br />
Einstellungstypen für Gruppenrichtlinien<br />
Einstellungstypen<br />
Administrative Vorlagen<br />
Sicherheit<br />
Softwareinstallation<br />
Skripts<br />
Erläuterung<br />
Diese Vorlagen werden zur Verwaltung von registrierungsbasierten Parametern für die<br />
Konfiguration von Anwendungs- und Benutzerdesktopeinstellungen verwendet. Dies<br />
umfasst den Zugriff auf die Betriebssystemkomponenten, den Zugriff auf die Systemsteuerung<br />
sowie die Konfiguration von Offlinedateien.<br />
Diese Einstellungen werden zur Verwaltung von lokalen Computern, Domänen und Netzwerksicherheitseinstellungen<br />
verwendet. Dies umfasst das Steuern des Benutzerzugriffs<br />
auf das Netzwerk, das Konfigurieren von Kontorichtlinien sowie das Steuern von<br />
Benutzerrechten.<br />
Diese Einstellungen werden zum Zentralisieren der Verwaltung von Softwareinstallationen<br />
und -wartung verwendet.<br />
Diese Einstellungen werden zum Angeben von Skripts verwendet, die beim Starten<br />
oder Herunterfahren eines Computers bzw. beim An- oder Abmelden eines Benutzers<br />
ausgeführt werden können.
Zusammenfassung 59<br />
Tabelle 2.3<br />
Einstellungstypen für Gruppenrichtlinien (Fortsetzung)<br />
Einstellungstypen<br />
Ordnerumleitung<br />
Einstellungen<br />
Erläuterung<br />
Diese Einstellungen werden zum Speichern bestimmter Benutzerprofilordner auf einem<br />
Netzwerkserver verwendet. Diese Ordner, wie z.B. der Ordner Eigene Dateien scheinen<br />
lokal gespeichert zu werden, befinden sich jedoch eigentlich auf einem Server, sodass<br />
von jedem Computer im Netzwerk aus darauf zugegriffen werden kann.<br />
Über diese Einstellungen werden Optionen im Hinblick auf Windows-Einstellungen oder<br />
die Systemsteuerung verwaltet, u.a. Laufwerkzuordnungen, Umgebungsvariablen,<br />
Netzwerkfreigaben, lokale Benutzer und Gruppen, Dienste, Geräte usw.<br />
Gruppenrichtlinienobjekte werden meist auf OU-Ebene zugewiesen. Dies vereinfacht die Verwaltung<br />
der Benutzer in der OU, da der OU ein Gruppenrichtlinienobjekt – beispielsweise eine Richtlinie administrativer<br />
Vorlagen – zugewiesen werden kann, die anschließend für alle Benutzer oder Computer in<br />
der OU erzwungen wird.<br />
Hinweis OUs sind keine Sicherheitsprinzipale. Daher ist es nicht möglich, OUs zum Zuweisen von<br />
Berechtigungen zu einer Ressource zu verwenden und anschließend die Vererbung dieser Berechtigungen<br />
an sämtliche Benutzer in der OU festzulegen. OUs werden zu Verwaltungszwecken eingesetzt. Zum Erteilen<br />
von Ressourcenzugriff verwenden Sie Sicherheitsgruppen.<br />
Zusammenfassung<br />
In diesem Kapitel wurden die grundlegenden physischen und logischen Komponenten der AD DS in<br />
Windows Server 2008 beschrieben. Wenngleich das Verständnis der physischen Komponenten wichtig<br />
ist (insbesondere bei der Datenbankverwaltung, Platzierung von Domänencontrollern und der<br />
Schemaverwaltung), betreffen Ihre Aufgaben in den AD DS weitgehend die logischen Komponenten.<br />
Daher behandelt ein Großteil der übrigen Kapitel in diesem Buch die logische Struktur der AD DS.<br />
Zusätzliche Ressourcen<br />
• Kapitel 5, „Entwerfen der <strong>Active</strong> <strong>Directory</strong>-Domänendienstestruktur“ enthält Einzelheiten zum<br />
Entwerfen der logischen und physischen AD DS-Konfiguration.<br />
• Die technische Referenz zu Domänen- und Gesamtstrukturvertrauensstellungen unter<br />
http://technet2.microsoft.com/windowsserver/en/library/92b3b6cb-9eb3-4dd7-b5f6-<br />
3fa9be8080821033.mspx?mfr=true liefert Einzelheiten zu Vertrauensstellungen in einer <strong>Active</strong><br />
<strong>Directory</strong>-Umgebung (in englischer Sprache) Diese Quelle bezieht sich auf Windows<br />
Server 2003, die Implementierung von Vertrauensstellungen wurde in Windows Server 2008<br />
jedoch nicht wesentlich geändert.<br />
• Auf der <strong>Active</strong> <strong>Directory</strong>-Website unter http://www.microsoft.com/technet/scriptcenter/scripts/<br />
default.mspx?mfr=true sind verschiedene Skripts zum Auflisten und Ändern der AD DS-Objekte<br />
verfügbar.<br />
Verwandte Tools<br />
Windows Server 2008 bietet mehrere Tools, die zur Verwaltung der logischen und physischen<br />
AD DS-Komponenten eingesetzt werden können. In Tabelle 2.4 finden Sie einige dieser Tools und<br />
ihre Einsatzmöglichkeiten.
60 Kapitel 2: <strong>Active</strong> <strong>Directory</strong>-Domänendienstkomponenten<br />
Tabelle 2.4<br />
AD DS-Verwaltungstools<br />
Toolname<br />
<strong>Active</strong> <strong>Directory</strong>-Benutzer und<br />
-Computer<br />
<strong>Active</strong> <strong>Directory</strong>-Domänen und<br />
-Vertrauensstellungen<br />
<strong>Active</strong> <strong>Directory</strong>-Standorte und<br />
-Dienste<br />
Ntdsutil.exe oder Dsbutil.exe<br />
ADSI-Editor<br />
Beschreibung und Zweck<br />
Zur Konfiguration von AD DS-Domänen, einschließlich Konfiguration und Verwaltung<br />
von OUs und allen anderen Domänenobjekten.<br />
Zur Konfiguration von AD DS-Vertrauensstellungen.<br />
Zur Konfiguration von Standorten und Replikation.<br />
Zur Verwaltung der AD DS-Datenspeicherdateien und zum Übertragen von FSMO-<br />
Rollen zwischen Domänencontrollern.<br />
Zum Anzeigen und Ändern des Inhalts von AD DS-Partitionen.<br />
Ressourcen auf der CD<br />
• Bei ListDomainControllers.ps1 handelt es sich um ein Windows PowerShell-Skript zum Auflisten<br />
aller Domänencontroller in einer Domäne und globalen Katalogserver in einer Gesamtstruktur.<br />
• Das Windows PowerShell-Skript ListFSMOs.ps1 dient zum Auflisten aller Betriebsmasterserver<br />
in einer Gesamtstruktur und Domäne.<br />
• ListADDSDomains.ps1 ist ein Windows PowerShell-Skript zum Auflisten von Informationen zu<br />
sämtlichen Domänen in einer Gesamtstruktur.<br />
• ListADDSSites.ps1 ist ein Windows PowerShell-Skript zum Auflisten von Informationen zu sämtlichen<br />
Standorten in einer Gesamtstruktur.<br />
Verwandte Hilfethemen<br />
• „Verwalten von Vertrauensstellungen“ in der Hilfe zu <strong>Active</strong> <strong>Directory</strong>-Domänen und -Vertrauensstellungen.<br />
• „Verwalten von Gesamtstrukturvertrauensstellungen“ in der Hilfe zu <strong>Active</strong> <strong>Directory</strong>-Domänen<br />
und -Vertrauensstellungen.<br />
• „Grundlegendes zu Domänen“ in der Hilfe zu <strong>Active</strong> <strong>Directory</strong>-Benutzer und -Computer.
61<br />
K A P I T E L 3<br />
<strong>Active</strong> <strong>Directory</strong>-Domänendienste und DNS<br />
Inhalt dieses Kapitels:<br />
Integration von DNS in die AD DS . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 62<br />
AD DS-integrierte Zonen . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 72<br />
Integrieren von DNS-Namespaces in AD DS-Domänen . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 78<br />
Zusammenfassung. . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 89<br />
Empfohlene Vorgehensweisen. . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 89<br />
Zusätzliche Ressourcen. . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 89<br />
Die <strong>Active</strong> <strong>Directory</strong>-Domänendienste in Microsoft Windows Server 2008 erfordern für die Ermittlung<br />
von Ressourcen in einem Netzwerk das Domain Name System (DNS). Ohne eine zuverlässige<br />
DNS-Infrastruktur kann zwischen Domänencontrollern in Ihrem Netzwerk keine AD DS-Replikation<br />
durchgeführt werden, Ihre Microsoft Windows XP- und Windows Vista-Clients können sich nicht<br />
am Netzwerk anmelden und Server, die Microsoft Exchange Server 2007 ausführen, können keine<br />
E-Mails versenden. Grundsätzlich ist eine stabile und verfügbare DNS-Implementierung erforderlich,<br />
um die einwandfreie Funktionsfähigkeit des Windows Server 2008-Netzwerks zu gewährleisten.<br />
Daher benötigen Sie für die Verwaltung einer Windows Server 2008-AD DS-Umgebung umfassende<br />
Kenntnisse zu DNS-Konzepten und zur DNS-Implementierung für Windows Server 2008.<br />
Die AD DS sind mit DNS auf verschiedene Weise eng verbunden. Zunächst nutzen alle Computer, die<br />
Microsoft Windows 2000 oder höhere Betriebssystemversionen ausführen, DNS für die Ermittlung<br />
von Domänencontrollern in einer AD DS-Umgebung. Dies umfasst auch Clientcomputer, die versuchen,<br />
sich am Netzwerk anzumelden, Domänencontroller, die versuchen, eine Verbindung mit Replikationspartnern<br />
aufzubauen, oder Exchange-Server, die Informationen zu E-Mail-Empfängern in den<br />
AD DS ermitteln. Diese Computer versuchen erst nach einem fehlgeschlagenen DNS-Lookup, die<br />
NetBIOS-Namensauflösung mithilfe von Windows Internet Name Service (WINS), Broadcasts oder<br />
LMHosts-Dateien durchzuführen. Außerdem können Sie DNS-Zonendaten im AD DS-Datenspeicher<br />
speichern, der erweiterte Funktionen und eine erhöhte Sicherheit bietet. Und schließlich handelt es<br />
sich bei AD DS-Domänennamen um DNS-Namen. Umfasst Ihre AD DS-Gesamtstruktur mehrere<br />
Domänen in einer hierarchischen Konfiguration (d.h. über- und untergeordnete Domänen) oder in<br />
einer Peerkonfiguration (mehrere Domänenstrukturen), sollte Ihre DNS-Implementierung der AD DS-<br />
Domänenimplementierung entsprechen.<br />
Wichtig Da DNS für die AD DS von wesentlicher Bedeutung ist, ist es unbedingt erforderlich, dass Sie mit<br />
den DNS-Konzepten vertraut sind und wissen, wie DNS implementiert wird. Wenn Sie mit DNS nicht vertraut<br />
sind, sollten Sie auf die sehr empfehlenswerten Referenzen auf der Microsoft-Website zurückgreifen, wie beispielsweise<br />
die „DNS Technical Reference“, die unter http://technet2.microsoft.com/WindowsServer/en/<br />
Library/6e45e81e-fb44-4a20-a752-ebe740e2acc61033.mspx in englischer Sprache bereitgestellt wird.
62 Kapitel 3: <strong>Active</strong> <strong>Directory</strong>-Domänendienste und DNS<br />
Integration von DNS in die AD DS<br />
Die AD DS sind ohne eine zuverlässige DNS-Konfiguration nicht funktionsfähig. DNS ist in den<br />
AD DS besonders wichtig, da DNS die von den Computern in einem Netzwerk benötigten Informationen<br />
zum Ermitteln der AD DS-Domänencontroller bereitstellt. Dieser Abschnitt liefert einen<br />
umfassenden Überblick über die in DNS gespeicherten Informationen sowie die Prozesse, die ein<br />
Clientcomputer zum Ermitteln der Domänencontroller anwendet.<br />
Auf der DVD Aufgrund der Abhängigkeit der AD DS von DNS sollten Sie sicherstellen, dass die Dokumentation<br />
der von Ihrem Unternehmen verwalteten DNS-Zonen stets auf dem aktuellen Stand ist. Sie können das<br />
auf der Begleit-CD enthaltene Spreadsheet DNSConfig.xlsx für die Dokumentation der Konfiguration Ihrer<br />
DNS-Zone und DNS-Server nutzen.<br />
SVR-Ressourceneinträge<br />
Um die Ermittlung von Domänencontrollern zu vereinfachen, nutzen die AD DS sogenannte SRV-<br />
Ressourceneinträge (Service Location) bzw. Einträge zur Dienstidentifizierung. Ein SRV-Eintrag,<br />
beschrieben im RFC 2782, „A DNS RR for Specifying the Location of Services (DNS SRV)“ (in<br />
englischer Sprache), unter http://www.ietf.org/rfc/rfc2782.txt wird für die Ermittlung von Dienste<br />
bereitstellenden Computern verwendet, die sich in einem TCP/IP-Netzwerk (Transmission Control Protocol/Internet<br />
Protocol) befinden. In Windows Server 2008 zeichnen alle Domänencontroller SRV-Einträge<br />
in DNS auf, um Computer zu kennzeichnen, die AD DS-bezogene Dienste bereitstellen.<br />
Hinweis Alle Netzwerke benötigen eine Methode zur Ermittlung von Computern, die Domänendienste<br />
bereitstellen. In Windows NT basierte die Domänenanmeldung auf NetBIOS-Namen. Alle Domänencontroller<br />
registrierten den NetBIOS-Namen Domänenname mit als 16. Zeichen im Netzwerknamen und in<br />
WINS (Windows Internet Name Service). Bei der Anmeldung eines Clients am Netzwerk, versuchte der<br />
Client die Server zu ermitteln, die den Namen des Domänencontrollers registriert hatten. Konnten diese<br />
Server nicht durch den Client ermittelt werden, schlug die Anmeldung fehl. Seit Windows 2000 werden SRV-<br />
Einträge zum Ermitteln von Domänencontrollern verwendet. Ohne die SRV-Einträge könnten diese Clients<br />
keine Anmeldung an der Windows Server 2008-Domäne durchführen. Windows Server 2008-Domänencontroller<br />
registrieren noch immer den NetBIOS-Domänennamen im Netzwerk und in WINS, sofern ein WINS-<br />
Server konfiguriert wurde.<br />
Für jeden SRV-Eintrag wird ein Standardformat verwendet, wie in Tabelle 3.1 erläutert und im folgenden<br />
Beispiel eines der von den AD DS verwendeten Eintrags dargestellt wird:<br />
_ldap._tcp.Adatum.com. 600 IN SRV 0 100 389 SEA-DC1.Adatum.com<br />
Tabelle 3.1<br />
Die Komponenten eines SRV-Eintrags<br />
Komponente Beispiel Erläuterung<br />
Dienst _ldap Der Dienst, den dieser Eintrag kennzeichnet. Dieser Server wird durch den<br />
Dienst als einen Server identifiziert, der auf LDAP-Anforderungen antwortet.<br />
Protokoll _tcp Das für diesen Dienst verwendete Protokoll. Es kann sich entweder um<br />
TCP oder UDP (User Datagram Protocol) handeln.<br />
Name Adatum.com Der Domänenname, auf den dieser Eintrag verweist.<br />
TTL 600 Die Standardgültigkeitsdauer (Time To Live, TTL) für diesen Eintrag<br />
(in Sekunden).<br />
Klasse IN Die Standard-DNS-Internetklasse.
Integration von DNS in die AD DS 63<br />
Tabelle 3.1<br />
Die Komponenten eines SRV-Eintrags (Fortsetzung)<br />
Komponente Beispiel Erläuterung<br />
Ressourceneintrag SRV Kennzeichnet den Eintrag als SRV-Eintrag.<br />
Priorität 0 Kennzeichnet die Priorität dieses Eintrags für den Client. Wenn mehrere<br />
SRV-Einträge für den gleichen Dienst vorhanden sind, versuchen die<br />
Clients zuerst eine Verbindung mit dem Server herzustellen, der den<br />
geringsten Prioritätswert aufweist.<br />
Gewichtung 100 Ein Lastenausgleichsmechanismus. Wenn mehrere SRV-Einträge für einen<br />
Dienst die gleiche Priorität aufweisen, werden die Einträge mit der höheren<br />
Gewichtung häufiger von Clients verwendet.<br />
Port 389 Der von diesem Dienst verwendete Port.<br />
Ziel SEA-DC1.Adatum.com Der Host, der den durch diesen Eintrag gekennzeichneten Dienst bereitstellt.<br />
In Abbildung 3.1 wird dieser Eintrag in der DNS-Verwaltungskonsole dargestellt.<br />
Grundsätzlich wird über die in diesem Eintrag enthaltenen Informationen angegeben, dass ein Client<br />
für die Ermittlung eines LDAP-Servers (Lightweight <strong>Directory</strong> Access Protocol) in der Domäne<br />
Adatum.com eine Verbindung mit SEA-DC1.Adatum.com herstellen soll.<br />
Abbildung 3.1<br />
Beispiel eines SRV-Eintrags<br />
Von AD DS-Domänencontrollern registrierte SRV-Einträge<br />
Die Domänencontroller in einer Windows Server 2008-Domäne registrieren viele SRV-Einträge in<br />
DNS. In der folgenden Liste werden alle Einträge aufgeführt, die durch den ersten Server in einer<br />
Gesamtstruktur registriert werden:<br />
Adatum.com. 600 IN A 10.10.10.10<br />
Adatum.com. 600 IN AAAA 2001:4898:28:4:343e:eb57:e7d1:a87c
64 Kapitel 3: <strong>Active</strong> <strong>Directory</strong>-Domänendienste und DNS<br />
_ldap._tcp.Adatum.com. 600 IN SRV 0 100 389 SEA-DC1.Adatum.com.<br />
_ldap._tcp.Default-First-Site-Name._sites.Adatum.com. 600 IN SRV 0 100 389<br />
SEA-DC1.Adatum.com.<br />
_ldap._tcp.pdc._msdcs.Adatum.com. 600 IN SRV 0 100 389 SEA-DC1.Adatum.com.<br />
_ldap._tcp.gc._msdcs.Adatum.com. 600 IN SRV 0 100 3268 SEA-DC1.Adatum.com.<br />
_ldap._tcp.Default-First-Site-Name._sites.gc._msdcs.Adatum.com. 600 IN SRV 0<br />
100 3268 SEA-DC1.Adatum.com.<br />
_ldap._tcp.64c228cd-5f07-4606-b843-d4fd114264b7.domains._msdcs.Adatum.com.<br />
600 IN SRV 0 100 389 SEA-DC1.Adatum.com.<br />
gc._msdcs.Adatum.com. 600 IN A 10.10.10.10<br />
175170ad-0263-439f-bb4c-89eacc410ab1._msdcs.Adatum.com. 600 IN CNAME<br />
SEA-DC1.Adatum.com.<br />
gc._msdcs.Adatum.com. 600 IN AAAA 2001:4898:28:4:343e:eb57:e7d1:a87c<br />
_kerberos._tcp.dc._msdcs.Adatum.com. 600 IN SRV 0 100 88 SEA-DC1.Adatum.com.<br />
_kerberos._tcp.Default-First-Site-Name._sites.dc._msdcs.Adatum.com. 600 IN<br />
SRV 0 100 88 SEA-DC1.Adatum.com.<br />
_ldap._tcp.dc._msdcs.Adatum.com. 600 IN SRV 0 100 389 SEA-DC1.Adatum.com.<br />
_ldap._tcp.Default-First-Site-Name._sites.dc._msdcs.Adatum.com. 600 IN SRV 0<br />
100 389 SEA-DC1.Adatum.com.<br />
_kerberos._tcp.Adatum.com. 600 IN SRV 0 100 88 SEA-DC1.Adatum.com.<br />
_kerberos._tcp.Default-First-Site-Name._sites.Adatum.com. 600 IN SRV 0 100 88<br />
SEA-DC1.Adatum.com.<br />
_gc._tcp.Adatum.com. 600 IN SRV 0 100 3268 SEA-DC1.Adatum.com.<br />
_gc._tcp.Default-First-Site-Name._sites.Adatum.com. 600 IN SRV 0 100 3268<br />
SEA-DC1.Adatum.com.<br />
_kerberos._udp.Adatum.com. 600 IN SRV 0 100 88 SEA-DC1.Adatum.com.<br />
_kpasswd._tcp.Adatum.com. 600 IN SRV 0 100 464 SEA-DC1.Adatum.com.<br />
_kpasswd._udp.Adatum.com. 600 IN SRV 0 100 464 SEA-DC1.Adatum.com.<br />
DomainDnsZones.Adatum.com. 600 IN A 10.10.10.10<br />
DomainDnsZones.Adatum.com. 600 IN AAAA 2001:4898:28:4:343e:eb57:e7d1:a87c<br />
_ldap._tcp.DomainDnsZones.Adatum.com. 600 IN SRV 0 100 389 SEA-DC1.Adatum.com.<br />
_ldap._tcp.Default-First-Site-Name._sites.DomainDnsZones.Adatum.com. 600 IN<br />
SRV 0 100 389 SEA-DC1.Adatum.com.<br />
ForestDnsZones.Adatum.com. 600 IN A 10.10.10.10<br />
ForestDnsZones.Adatum.com. 600 IN AAAA 2001:4898:28:4:343e:eb57:e7d1:a87c<br />
_ldap._tcp.ForestDnsZones.Adatum.com. 600 IN SRV 0 100 389 SEA-DC1.Adatum.com.<br />
_ldap._tcp.Default-First-Site-Name._sites.ForestDnsZones.Adatum.com. 600 IN<br />
SRV 0 100 389 SEA-DC1.Adatum.com.<br />
Hinweis Wenn eine Heraufstufung eines Windows Server 2008-Servers zum Domänencontroller vorgenommen<br />
wird, werden alle diese Einträge in eine Datei mit dem Namen Netlogon.dns geschrieben, die<br />
sich im Ordner %systemroot%\System32\config befindet. Wenn Sie für die DNS-Server keine dynamischen<br />
Updates aktivieren möchten, können Sie diese Einträge in die DNS-Zone importieren.<br />
Durch den ersten Teil des SRV-Eintrags wird der Dienst gekennzeichnet, auf den der SRV-Eintrag<br />
verweist. Folgende Dienste stehen zur Auswahl:<br />
• _ldap Bei den AD DS handelt es sich um einen LDAP-kompatiblen Verzeichnisdienst, wobei<br />
die Domänencontroller die Funktion der LDAP-Server übernehmen. Die _ldap-SRV-Einträge<br />
kennzeichnen die im Netzwerk verfügbaren LDAP-Server. Bei diesen Servern kann es sich um<br />
Windows Server 2008-Domänencontroller, um Windows-Domänencontrollern, auf denen Vorgängerbetriebssysteme<br />
ausgeführt werden, oder um andere LDAP-Server handeln.<br />
• _kerberos Hierbei handelt es sich um das primäre Authentifizierungsprotokoll für alle Clients<br />
und Server ab Windows 2000. Die _kerberos-SRV-Einträge kennzeichnen alle Schlüsselverteilungscenter<br />
(Key Distribution Centers, KDCs) im Netzwerk.
Integration von DNS in die AD DS 65<br />
Bei diesen KDCs kann es sich um Windows Server 2008-Domänencontroller, um Windows-<br />
Domänencontroller, auf denen Vorgängerbetriebssysteme ausgeführt werden, oder um andere<br />
KDC-Server handeln.<br />
• _kpasswd Der _kpasswd-SRV-Eintrag kennzeichnet die Kerberos-Kennwortänderungsserver im<br />
Netzwerk (auch bei diesen Servern kann es sich um Windows Server 2008-Domänencontroller,<br />
um Windows-Domänencontrollern, auf denen Vorgängerbetriebssysteme ausgeführt werden, oder<br />
um weitere Kerberos-Kennwortänderungsserver handeln).<br />
• _gc Der _gc-SRV-Eintrag ist spezifisch für die globale Katalogfunktion in den AD DS. Dieser<br />
Eintrag wird nur von Windows-Domänencontrollern registriert, auf denen Windows Server 2008<br />
oder Vorgängerversionen ausgeführt werden, die als globale Katalogserver konfiguriert wurden.<br />
Viele SRV-Einträge enthalten zusätzlich zu den in Tabelle 3.1 aufgeführten Komponenten außerdem<br />
eine Standortkennzeichnung. Durch die Standortimplementierung kann sichergestellt werden, dass<br />
Netzwerkclients immer versuchen, eine Anmeldung an einem Domänencontroller durchzuführen, der<br />
sich am gleichen Standort wie der Client befindet. Ohne Standorteinträge können Computer keine<br />
Domänencontroller ermitteln, die sich am gleichen Standort wie der Client befinden. Das von einem<br />
Client zum Ermitteln der Standortinformationen angewendete Verfahren wird im nächsten Abschnitt<br />
erläutert.<br />
Bei dem in vielen Einträgen dargestellten Wert _msdcs handelt es sich um eine weitere wesentliche<br />
Komponente von SRV-Einträgen. Bei einigen der durch die SRV-Einträge bereitgestellten Dienste<br />
handelt es sich um nicht Microsoft-spezifische Dienste. Im Netzwerk könnten beispielsweise LDAPoder<br />
Kerberos-Serverimplementierungen von einem Drittanbieter vorhanden sein. Diese Server<br />
könnten ebenfalls einen SRV-Eintrag im DNS-Server registrieren. Windows Server 2008-Domänencontroller<br />
registrieren die allgemeinen Einträge (z.B. _ldap._tcp.Adatum.com), allerdings registrieren die<br />
Domänencontroller auch Einträge, die die Referenz _msdcs enthalten. Diese Einträge verweisen ausschließlich<br />
auf Microsoft-spezifische Rollen, d.h. Domänencontroller, die mit mit Betriebssystemversionen<br />
ab Windows 2000 ausgeführt werden. Durch diese Einträge wird die Hauptfunktion jedes Servers<br />
als gc (Global Catalog, globaler Katalog), dc (Domain Controller, Domänencontroller) oder pdc<br />
(Primary Domain Controller Emulator, primärer Domänencontrolleremulator) gekennzeichnet.<br />
Hinweis Ihnen ist vielleicht bereits aufgefallen, dass die Ressourceneinträge mit dem Wert _msdcs in<br />
einer anderen Zone dargestellt werden als die Ressourceneinträge in der DNS-Verwaltungskonsole. Der<br />
Zonenname wird mit _msdcs.Domänenname und nicht einfach nur mit Domänenname bezeichnet. Wenn<br />
Sie DNS auf einem Domänencontroller installieren und den Assistenten zum Installieren der <strong>Active</strong> <strong>Directory</strong>-Domänendienste<br />
auf dem ersten Domänencontroller in einer Domäne ausführen, werden die DNS-<br />
Zonen in Anwendungspartitionen im AD DS-Datenspeicher gespeichert. Die _msdcs-Zoneninformation werden<br />
in einer Anwendungspartition gespeichert, die in der gesamten AD DS-Gesamtstruktur repliziert wird,<br />
wohingegen die Domänenzone in einer Anwendungspartition gespeichert wird, die auf alle AD DS-Domänencontroller<br />
repliziert wird, die ebenfalls als DNS-Server fungieren. Dieses Thema wird in den folgenden<br />
beiden Abschnitten ausführlicher erläutert.<br />
Bei einem weiteren registrierten Eintrag handelt es sich um die global eindeutige Kennung (Globally<br />
Unique Identifier, GUID) der Domäne. Durch diesen Eintrag kann der Client einen Domänencontroller<br />
auf Grundlage seiner GUID ermitteln. Der GUID-Eintrag der Domäne wird für die Ermittlung von<br />
Domänencontrollern bei einer Domänenumbenennung verwendet.<br />
Windows Server 2008-Domänencontroller registrieren ferner die folgenden DNS-Hosteinträge (A/<br />
AAAA), um LDAP-Clients verwenden zu können, die keine DNS-SRV-Einträge unterstützen:
66 Kapitel 3: <strong>Active</strong> <strong>Directory</strong>-Domänendienste und DNS<br />
• DNSDomainname 600 IN A IPv4Address Mithilfe dieses Eintrags kann ein nicht SRV-fähiger Client<br />
jeden beliebigen Domänencontroller in der Domäne über die Suche nach einem A-Eintrag ermitteln.<br />
Ein Name dieser Form wird durch einen LDAP-Verweis an den LDAP-Client zurückgegeben.<br />
Diese Hosteinträge werden für den AD DS-Domänennamen sowie für die Domänennamen<br />
ForestDNSZones und DomainDNSZones registriert.<br />
• DNSDomainname 600 IN AAAA IPv6Address Mithilfe dieses Eintrags kann ein nicht SRV-fähiger<br />
Client jeden beliebigen Domänencontroller in einer Domäne über die Suche nach einem AAAA-<br />
Eintrag ermitteln. Domänencontroller, die IPv6-fähig sind, registrieren keine verbindungslokale<br />
IPv6-Adresse, sie registrieren jedoch statisch konfigurierte IPv6-Adressen. Diese Hosteinträge<br />
werden für den AD DS-Domänennamen sowie für die Domänennamen ForestDNSZones und<br />
DomainDNSZones registriert.<br />
• gc._msdcs.DnsForestName Mithilfe dieses Eintrags kann ein nicht SRV-fähiger Client jeden<br />
beliebigen globalen Katalogserver in der Gesamtstruktur über die Suche nach einem A-Eintrag<br />
ermitteln. Ein Name wird in dieser Form durch einen LDAP-Verweis an den LDAP-Client<br />
zurückgegeben.<br />
So funktioniert es: SRV-Einträge und RODCs<br />
Aus Sicherheitsgründen nehmen schreibgeschützte Domänencontroller (Read-Only Domain Controller,<br />
RODC) und schreibgeschützte globale Katalogserver (Read-Only Global Catalog, ROGC)<br />
standardmäßig keine Registrierung ihrer eigenen DNS-Einträge vor. Stattdessen sendet der RODC<br />
oder der ROGC eine DNS-Aktualisierungsanforderung an einen Windows Server 2008-Domänencontroller<br />
mit Schreibberechtigung, der dann die Überprüfung und Registrierung der Einträge im<br />
Auftrag des RODCs oder ROGCs vornimmt.<br />
Darüber hinaus registrieren RODCs ausschließlich standortspezifische LDAP-, Kerberos- und<br />
CName-Einträge in DNS. Standardmäßig können nur Benutzer am gleichen Standort wie die<br />
RODC-Standortbenutzer diese Einträge ermitteln und verwenden. Dies kann erreicht werden,<br />
indem nur standortspezifische Einträge registriert werden. ROGCs registrieren außerdem die standortspezifischen<br />
GC-Einträge. Da RODCs nicht zum Ändern von Kennwörtern verwendet werden<br />
können, registrieren diese Server keine Kpasswd-Einträge.<br />
Ashish Sharma<br />
SDE II, US-<strong>Directory</strong> and Service Business<br />
DNS-Locatordienst<br />
Die Domänencontroller, auf denen Windows Server 2008 ausgeführt wird, registrieren alle oder einen<br />
Teil der zuvor beschriebenen Einträge in DNS. Diese Einträge sind für Clients von elementarer<br />
Bedeutung, z.B. wenn ein Client, der eine Betriebssystemversion ab Windows 2000 ausführt, versucht,<br />
eine Domänenanmeldung vorzunehmen. In den folgenden Schritten wird das Verfahren<br />
beschrieben, das diese Clients für die Anmeldung an der Domäne verwenden:<br />
1. Wenn ein Benutzer eine Anmeldung vornimmt, sendet der Clientcomputer einen Remoteprozeduraufruf<br />
(Remote Procedure Call, RPC) an den lokalen Netzwerkanmeldedienst und initiiert eine<br />
Anmeldesitzung. Als Teil des RPCs übermittelt der Client Informationen wie z.B. den Computer-,<br />
Domänen- und Standortnamen an den Netzwerkanmeldedienst.<br />
2. Der Netzwerkanmeldedienst nutzt den Domänenlocatordienst, um die DsGetDcName()-API abzurufen<br />
und übergibt einen der Flagparameterwerte, die in Tabelle 3.2 aufgeführt sind.
Integration von DNS in die AD DS 67<br />
Tabelle 3.2<br />
Ein Teilsatz der DsGetDcName-Flagparameterwerte<br />
DsGetDcName-Flagwerte<br />
DS_PDC_REQUIRED<br />
DS_GC_SERVER_REQUIRED<br />
DS_PDC_REQUIRED<br />
DS_ONLY_LDAP_NEEDED<br />
Angeforderter DNS-Eintrag<br />
_ldap._tcp.pdc._msdcs.Domänenname<br />
_ldap._tcp.sitename._sites.gc._msdcs.Gesamtstruktur-Stammdomänenname<br />
_kdc._tcp.sitename._sites.dc._msdcs.Domänenname<br />
_ldap._tcp.Standortname._sites._msdcs.Domänenname<br />
Hinweis Die Funktion DsGetDcName umfasst fast immer auch den Parameter Standortname. Mit<br />
Ausnahme der DS_PDC_REQUIRED-Anforderung stellt der Client für alle Anforderungen mithilfe des<br />
Standortparameters eine Anfangsanforderung. Antwortet der DNS-Server nicht auf diese Anforderung,<br />
sendet der Client die gleiche Anforderung ohne den Standortparameter. Wenn beispielsweise die<br />
DS_KDC_REQUIRED-Anforderung nicht erfüllt wird, sendet der Client eine Anforderung für den Eintrag<br />
_kdc._tcp.dc._msdcs.Gesamtstruktur-Stammdomäne. Dies kann vorkommen, wenn der Clientstandort<br />
nicht konfiguriert oder nicht verfügbar ist.<br />
In Windows Server 2008 wird ein neues Flag mit dem Namen DS_TRY_NEXTCLOSEST_SITE eingeführt.<br />
Wenn dieses Flag festgelegt ist, versucht der Client, einen Domänencontroller zu ermitteln, der sich<br />
am gleichen Standort wie der Client befindet. Schlägt diese Ermittlung fehl, greift der Client auf die<br />
AD DS-Standortverknüpfungskonfiguration zurück, um einen Domänencontroller am nächstgelegenen<br />
Standort zu ermitteln.<br />
In Windows Server 2008 wird ein weiteres neues Flag eingeführt, das von der Funktion<br />
DSGetDCName verwendet werden kann. Dieses Flag mit dem Namen DS_IP_VERSION_AGONISTIC<br />
wird vom Client verwendet, um anzugeben, dass entweder eine IPv4- oder IPv6-Adresse benötigt wird.<br />
Wenn dieses Flag nicht gesetzt ist, gibt der Locator eine IPv4-Adresse zurück.<br />
Der Client übergibt unter Umständen auch den Parameter DomänenGUID anstelle des Domänennamens<br />
an DsGetDcName(). In diesem Fall fordert der Client den Eintrag _ldap._tcp.DomänenGUID.domains._<br />
msdcs.Gesamtstrukturname an. Dies ist jedoch nur der Fall, wenn die Domäne umbenannt wurde.<br />
3. Der DNS-Server gibt die angeforderte Serverliste zurück. Anschließend sortiert der Client die<br />
Liste anhand der Priorität. Die Liste der Server mit gleicher Priorität wird basierend auf der<br />
Gewichtung zufällig angeordnet. Der Client verarbeitet anschließend nacheinander die Server auf<br />
der Liste. Er erhält die Adresse jedes Servers und sendet eine LDAP-Abfrage über den UDP-<br />
Port 389 an jede der Adressen in der Reihenfolge, in der sie zurückgegeben wurden. Nachdem<br />
jedes Paket gesendet wurde, wartet der Client auf Antwort. Erhält er keine Antwort, sendet er das<br />
Paket an den nächsten Domänencontroller. Der Client fährt mit diesem Verfahren solange fort, bis er<br />
eine gültige Antwort erhält, in der die angeforderten Dienste (z.B. Zeitdienst, DC mit Schreibberechtigung)<br />
angegeben werden oder das Paket an jeden Domänencontroller gesendet wurde.<br />
4. Erhält der Client eine Antwort des Domänencontrollers, überprüft der Client die Antwort, um<br />
sicherzustellen, das sie die angeforderten Informationen enthält. Sind die Informationen enthalten,<br />
beginnt der Client den Anmeldeprozess an dem Domänencontroller.<br />
5. Der Client fügt die Domänencontrollerinformationen in den Zwischenspeicher ein, sodass beim<br />
nächsten erforderlichen AD DS-Zugriff nicht das gesamte Ermittlungsverfahren erneut durchlaufen<br />
werden muss.
68 Kapitel 3: <strong>Active</strong> <strong>Directory</strong>-Domänendienste und DNS<br />
Direkt von der Quelle: Ermitteln der Verfügbarkeit eines Domänencontrollers durch einen<br />
Client<br />
Wenn ein Client einen Domänencontroller ermitteln möchte, nachdem er die IP-Adresse von DNS<br />
erhalten hat, wartet er unterschiedlich lange auf Antwort, basierend auf der Anzahl an Domänencontrollern,<br />
für die er bereits ein Ping ausgeführt hat. Die Wartezeit beträgt für die ersten fünf Domänencontroller<br />
0,4 Sekunden, und für die nächsten fünf Domänencontroller beträgt die Wartezeit<br />
0,2 Sekunden. Nachdem für zehn Domänencontroller ein Ping ausgeführt wurde, beträgt die Wartezeit<br />
des Clients für die verbleibenden Anforderungen 0,1 Sekunden.<br />
Der Algorithmus wurde entworfen, um nach Möglichkeit den Netzwerkdatenverkehr zu verringern<br />
und um außerdem sicherzustellen, dass der Client in angemessener Zeit eine Antwort erhält, wenn<br />
alle Abfragen fehlschlagen. Die Logik besteht darin, dass die ersten zehn Domänencontroller im<br />
Rahmen der längeren Wartezeit in der Lage sein müssten zu antworten, für den Fall, dass alle<br />
Domänencontroller aufgrund von starker Auslastung langsam arbeiten. Erst danach erhöht der<br />
Client die Abfragefrequenz, und das führt zu einer Zunahme des Netzwerkdatenverkehrs.<br />
Ashish Sharma<br />
SDE II, US-<strong>Directory</strong> and Service Business<br />
Ermitteln der Standortzugehörigkeit durch den Client<br />
Die AD DS benötigen für den effektiven Betrieb standortspezifische Einträge, da ein erheblicher<br />
Anteil des ClientNetzwerkdatenverkehrs auf einen bestimmten Standort eingegrenzt werden kann.<br />
Beim Anmeldeverfahren des Clients wird beispielsweise immer versucht, eine Verbindung mit dem<br />
Domänencontroller am Standort des Clients herzustellen, bevor eine Verbindung mit anderen Standorten<br />
aufgebaut wird. Woher weiß jedoch der Client, an welchem Standort er sich befindet?<br />
Die Standortinformationen für die Gesamtstruktur werden in der Konfigurationsverzeichnispartition<br />
in den AD DS gespeichert, und diese Informationen werden auf alle Domänencontroller in der<br />
Gesamtstruktur repliziert. Die Konfigurationsinformationen umfassen auch eine Liste mit IP-Subnetzen,<br />
die mit einem bestimmten Standort verknüpft sind. Bei der ersten Clientanmeldung an den<br />
AD DS vergleicht der erste Domänencontroller, von dem eine Antwort erwartet wird, die IP-<br />
Adresse des Clients mit der IP-Adresse des Standorts. Die Antwort, die der Domänencontroller<br />
dem Client bereitstellt, umfasst unter anderem die Standortinformationen, die dann im Zwischenspeicher<br />
des Clients gespeichert werden. Alle zukünftigen Anmeldeversuche enthalten die Clientstandortinformationen.<br />
Wenn der Client zwischen Standorten verschoben wird (wenn z.B. ein tragbarer Computer mit<br />
einem Netzwerk in einer anderen Stadt verbunden wird), sendet der Client als Teil der Anmeldung<br />
noch immer die Standortinformationen. Der DNS-Server sendet als Antwort einen Eintrag eines<br />
Domänencontrollers, der sich am angeforderten Standort befindet. Ermittelt der Domänencontroller<br />
jedoch basierend auf der neuen IP-Adresse des Clients, dass sich der Client nicht am ursprünglichen<br />
Standort befindet, sendet er die neuen Standortinformationen an den Client. Der Client fügt<br />
diese Informationen dann in den Zwischenspeicher ein, und versucht, einen Domänencontroller am<br />
geeigneten Standort zu ermitteln.<br />
Befindet sich der Client nicht an einem in den AD DS definierten Standort, kann er keine standortspezifische<br />
Anforderung für Domänencontroller stellen.
Integration von DNS in die AD DS 69<br />
Direkt von der Quelle: IPv6-Adressierung und Standortbestimmung<br />
Windows Server 2008 bietet vollständige Unterstützung für IPv6. Das bedeutet, dass der Domänencontroller<br />
bei der Ermittlung des Clientstandorts jede beliebige IP-Adresse des Clients verwenden<br />
kann. Diese Adressen umfassen die IPv4-Adresse, die globale IPv6-Adresse sowie die verbindungslokale<br />
IPv6-Adresse.<br />
Ermittelt der Domänencontroller die IP-Adresse eines Clients, versucht er, den entsprechenden<br />
Standort in der Konfiguration zu ermitteln. Standardmäßig nutzt der Domänencontroller nur eine<br />
der IP-Adressen, auch wenn sowohl die IPv4- als auch die IPv6-Adresse verwendet wird. In Vorgängerversionen<br />
von Windows Server 2008 gab der Domänencontroller dem Client keine Standortzuordnung<br />
zurück, wenn die bereitgestellte IP-Adresse keinem Standort zugeordnet werden konnte.<br />
In Windows Server 2008 nutzt der Domänencontroller sowohl die IPv4- als auch die IPv6-Adresse<br />
des Clients und gibt den entsprechenden Standort für diese Adressen zurück, wenn eine Zuordnung<br />
durchgeführt wurde.<br />
Dies hat Auswirkungen auf die AD DS-Standortkonfiguration. In Vorgängerversionen der AD DS<br />
mussten einem Standort nur die entsprechenden IPv4-Subnetze zugewiesen werden. In Windows<br />
Server 2008 sollten Sie sowohl die IPv4- als auch die globale IPv6-Subnetzadresse für einen<br />
bestimmten Standort konfigurieren.<br />
Ashish Sharma<br />
SDE II, US-<strong>Directory</strong> and Service Business<br />
Nachdem ein Clientcomputer die Authentifizierung durchgeführt hat, speichert er standardmäßig für<br />
15 Minuten die Domänencontrollerinformationen im Zwischenspeicher. Wenn der Clientcomputer die<br />
Authentifizierung zu einem Zeitpunkt durchgeführt hat, zu dem kein Domänencontroller an seinem<br />
Standort verfügbar war, wurde die Authentifizierung durch einen Domänencontroller an einem anderen<br />
Standort durchgeführt. Dies bedeutet, dass der Clientcomputer während dieser 15 Minuten alle<br />
AD DS-Lookups über den Domänencontroller am anderen Standort durchführt. Um Änderungen an<br />
diesem Standardwert vorzunehmen, erstellen Sie einen REG_DWORD-Eintrag mit dem Namen Close-<br />
SiteTimeout im Schlüssel HKLM\SYSTEM\CurrentControlSet\Services\Netlogon\Parameters. Sie können<br />
für diesen Eintrag einen Wert zwischen 1 Minute und 49,7 Tagen festlegen. Gehen Sie beim<br />
Ändern des Werts für diesen Eintrag mit Vorsicht vor. Wenn Sie einen zu hohen Wert festlegen, nutzt<br />
der Client einen Domänencontroller an einem anderen Standort unter Umständen für einen zu langen<br />
Zeitraum. Legen Sie den Wert jedoch zu niedrig fest, führen die wiederholten Versuche zum Ermitteln<br />
eines Domänencontrollers zu übermäßigem Netzwerkdatenverkehr.<br />
Automatische Standortabdeckung<br />
In den AD DS können Standorte erstellt werden, ohne dass dafür die Installation eines Domänencontrollers<br />
am Standort erforderlich ist. Sie können auch einen Standort erstellen, der Domänencontroller<br />
für eine Domäne umfasst, und Clientcomputer von einer anderen Domäne in der Gesamtstruktur müssen<br />
sich an diesem Standort anmelden. Mit anderen Worten: Clientcomputer an dem Standort müssen<br />
die Authentifizierung an einem Domänencontroller an einem anderen Standort durchführen. Um<br />
sicherzustellen, dass diese Clients trotzdem den am besten verfügbaren Domänencontroller wählen,<br />
wurden die AD DS so entwickelt, dass die Domänencontroller automatisch berechnen, welche Domänencontroller<br />
die SVR-Einträge für Standorte registrieren, die nicht über Domänencontroller verfügen.<br />
Dieses Feature wird als automatische Standortabdeckung bezeichnet.
70 Kapitel 3: <strong>Active</strong> <strong>Directory</strong>-Domänendienste und DNS<br />
Hinweis Bei der automatischen Standortabdeckung handelt es sich um einen dynamischen Prozess. Ist<br />
ein Domänencontroller an einem bestimmten Standort nicht verfügbar, übernehmen andere Domänencontroller<br />
automatisch die Konfiguration der Standortabdeckungseinträge für den Standort.<br />
Die Domänencontroller nutzen die Standorte und die Standortverknüpfungsinformationen für die<br />
Ermittlung des Domänencontrollers, der die Abdeckung für einen Standort übernimmt, der nicht<br />
über Domänencontroller verfügt. Alle Domänencontroller kennen alle Standorte, Standortverknüpfungen<br />
und Domänencontroller, da diese Informationen in der Konfigurationspartition in den AD DS<br />
gespeichert sind. Alle Domänencontroller erstellen zunächst eine Liste mit Zielstandorten, d.h. der<br />
Standorte, die nicht über einen Domänencontroller in der Domäne des lokalen Domänencontrollers<br />
verfügen. Dann erstellen die Domänencontroller eine Liste mit Standorten, die die automatische<br />
Standortabdeckung bereitstellen könnten. Diese Liste umfasst alle Standorte, die über Domänencontroller<br />
in der angegebenen Domäne verfügen.<br />
Standardmäßig wird die Standortabdeckung von den Domänencontrollern übernommen, die sich am<br />
Standort mit den geringsten Standortverknüpfungskosten zum Zielstandort befinden. Sind über die<br />
kostengünstigsten Standortverknüpfungen mehrere Standorte verbunden, wird die Standortabdeckung<br />
über den Standort bereitgestellt, der über die größte Anzahl an Domänencontrollern verfügt. Wenn<br />
nach Anwendung dieser Kriterien immer noch mehrere Standorte für die Bereitstellung der Standortabdeckung<br />
verfügbar sind, wird die Standortauswahl in alphabetischer Reihenfolge vorgenommen.<br />
Die Domänencontroller am ausgewählten Standort registrieren dann die standortspezifischen SRV-<br />
Einträge für die Domänencontroller für diese Domäne am Zielstandort.<br />
Hinweis Wenn Sie einen RODC an einem eigenen Standort bereitstellen, übernehmen Windows Server<br />
2003-Domänencontroller die automatische Standortabdeckung für den Standort. Der Grund ist, dass Windows<br />
Server 2003-Domänencontroller RODCs nicht in ihre automatische Standortberechnung einbeziehen.<br />
In Kapitel 5, „Entwerfen der <strong>Active</strong> <strong>Directory</strong>-Domänendienstestruktur“, werden ausführliche Informationen<br />
bereitgestellt, wie Sie dieses Problem umgehen können.<br />
Verwalten der DNS-Registrierung mithilfe von Gruppenrichtlinien<br />
Sie können mithilfe von Gruppenrichtlinien festlegen, auf welche Weise AD DS-Domänencontroller<br />
SRV-Einträge in DNS registrieren. Um diese Einstellungen auf alle Domänencontroller anzuwenden,<br />
können Sie Änderungen am GPO Default Domain Controllers Policy vornehmen. Wenn<br />
Sie unterschiedliche Richtlinien auf Domänencontroller anwenden möchten, müssen Sie zunächst<br />
ein neues Gruppenrichtlinienobjekt erstellen und anschließend einen Filter zum Anwenden der<br />
Gruppenrichtlinie auf bestimmte Domänencontroller verwenden. In der folgenden Tabelle werden<br />
die verfügbaren Einstellungen aufgeführt. Diese Einstellungen sind im Ordner Domänencontrollerlocator-DNS-Einträge<br />
unter Administrative Vorlagen\System\Netzwerkanmeldung verfügbar.<br />
Gruppenrichtlinieneinstellung<br />
Zurückgegebener Domänencontroller-<br />
Adresstyp<br />
Dynamische Registrierung der Domänencontrollerlocator-DNS-Einträge<br />
Beschreibung<br />
Legt fest, ob der Domänencontrollerlocator nur IPv4-Adressen oder IPv4- und<br />
IPv6-Adressen zurückgibt. Standardmäßig werden beide Adresstypen zurückgegeben,<br />
wenn diese Einstellung deaktiviert wird, werden nur IPv4-Adressen<br />
zurückgegeben.<br />
Legt fest, ob die dynamische Registrierung der DNS-Ressourceneinträge aktiviert<br />
ist. Die dynamische Registrierung dieser DNS-Einträge wird durch den<br />
Netzwerkanmeldedienst übernommen.
Integration von DNS in die AD DS 71<br />
Gruppenrichtlinieneinstellung<br />
Domänencontrollerlocator-Einträge<br />
nicht durch Domänencontroller registrieren<br />
Aktualisierungsintervall der Domänencontrollerlocator-DNS-Einträge<br />
Gewichtung, die in DC-Locator-DNS-<br />
SRV-Einträgen festgelegt wird<br />
Priorität, die in DC-Locator-DNS-SRV-<br />
Einträgen festgelegt wird<br />
Festgelegte Gültigkeitsdauer in den<br />
Domänencontrollerlocator-DNS-<br />
Einträgen<br />
Automatisierte Standortabdeckung<br />
durch DC-Locator-DNS-SRV-Einträge<br />
Standorte, die durch DC-Locator-DNS-<br />
SRV-Einträge abgedeckt werden<br />
Standorte, die durch GC-Locator-DNS-<br />
SRV-Einträge abgedeckt werden<br />
Standorte, die durch Anwendungsver-<br />
zeichnis-Partitionslocator-DNS-SRV-<br />
Einträge abgedeckt werden<br />
Standort der Domänencontroller, auf<br />
denen sich eine Domäne mit einem<br />
DNS-Namen mit einer einzigen Bezeichnung<br />
befindet<br />
Neuermittlungsintervall erzwingen<br />
Eingehende Mailslotnachrichten nicht<br />
verarbeiten, die einen Domänencontrollerspeicherort<br />
verwendet werden,<br />
der auf NetBIOS-Domänennamen<br />
basiert<br />
Am nächstgelegenen Standort suchen<br />
Beschreibung<br />
Legt fest, welche Domänencontrollerlocator-DNS-Einträge nicht vom Netzwerkanmeldedienst<br />
registriert werden. Sie können für bestimmte Eintragstypen festlegen,<br />
dass diese nicht von Domänencontrollern registriert werden.<br />
Legt das Aktualisierungsintervall der DNS-Ressourceneinträge für Domänencontroller<br />
fest, auf die diese Einstellung angewendet wird.<br />
Legt das Feld Gewichtung in den SRV-Ressourceneinträgen fest, die von den<br />
Domänencontrollern registriert werden, auf die diese Einstellung angewendet<br />
wird.<br />
Legt das Feld Priorität in den SVR-Ressourceneinträgen fest, die von den Domänencontrollern<br />
registriert werden, auf die diese Einstellung angewendet wird.<br />
Legt den Wert für das Feld Gültigkeitsdauerfeld (TTL) in SRV-Ressourceneinträgen<br />
fest, die durch den Netzwerkanmeldedienst registriert wurden.<br />
Legt fest, ob Domänencontroller standortspezifische Domänencontrollerlocator-<br />
SRV-Einträge für die nächstgelegenen Standorte dynamisch registrieren, an<br />
denen kein Domänencontroller für dieselbe Domäne (oder kein globaler Katalog<br />
für dieselbe Gesamtstruktur) vorhanden ist.<br />
Legt die Standorte fest, für die die Domänencontroller die standortspezifischen<br />
SRV-Einträge registrieren, wenn keine Domänencontroller für die Domäne am<br />
Standort verfügbar sind.<br />
Legt die Standorte fest, für die die globalen Katalogserver die Registrierung<br />
durchführen sollen, wenn kein globaler Katalogserver für die Gesamtstruktur<br />
am Standort verfügbar ist.<br />
Legt die Standorte fest, für die die Domänencontroller, die das Anwendungspartitionsverzeichnis<br />
hosten, die Registrierung der standortspezifischen SRV-Einträge<br />
übernehmen.<br />
Legt fest, ob die Computer, auf die diese Einstellung angewendet wird, bei Einzelbezeichner-Domänennamen<br />
die Namensauflösung per DNS versuchen.<br />
Legt einen Zeitrahmen fest, nach dem Clients zur Neuermittlung von Domänencontrollern<br />
gezwungen werden. Diese Einstellung ist nützlich, wenn die Domänenconterollerkonfiguration<br />
in einem Netzwerk häufig geändert wird.<br />
Standardmäßig werden die Clients alle zwölf Stunden zur Neuermittlung von<br />
Domänencontrollern gezwungen.<br />
Legt fest, ob der Domänencontroller auf Mailslotantworten reagiert, um weitere<br />
Informationen zum Domänencontroller zu erhalten. Mailslotanforderungen werden<br />
nur von Windows NT- oder älteren Clients verwendet, die für die Ermittlung<br />
von und Anmeldung an Domänencontrollern NetBIOS-Namen verwenden.<br />
Legt fest, ob sich Clientcomputer automatisch an den nächstgelegenen<br />
Standort wenden, wenn ein Domänencontroller nicht verfügbar ist. Standardmäßig<br />
fordern Clients mithilfe des Domänencontrollerlocator-Aufrufs<br />
DS_TRY_NEXTCLOSEST_SITE einen Domänencontroller am nächstgelegenen<br />
Standort an.
72 Kapitel 3: <strong>Active</strong> <strong>Directory</strong>-Domänendienste und DNS<br />
AD DS-integrierte Zonen<br />
Neben der Verwendung von DNS für die Ermittlung von Domänencontrollern kann Windows Server<br />
2008 außerdem in DNS integriert werden, indem die DNS-Zoneninformationen im AD DS-Datenspeicher<br />
gespeichert werden.<br />
Vorteile der Nutzung AD DS-integrierter Zonen<br />
AD DS-integrierte Zonen bieten zahlreiche Vorteile:<br />
• Das Verfahren zum Übertragen von Zonen wird durch die AD DS-Replikation ersetzt. Da die Zoneninformationen<br />
in den AD DS gespeichert werden, werden die Daten über das normale AD DS-<br />
Replikationsverfahren repliziert. Das bedeutet, dass die Replikation auf Attributebene vorgenommen<br />
wird, sodass nur die Änderungen an den Zoneninformationen repliziert werden. Außerdem<br />
kann der Replikationsdatenverkehr zwischen Standorten stark komprimiert und so zusätzliche<br />
Bandbreite eingespart werden. Durch die Verwendung AD DS-integrierter Zonen können Sie<br />
außerdem Anwendungspartitionen für die feine Abstufung der Replikation von DNS-Informationen<br />
verwenden. Darüber hinaus werden beim Hinzufügen neuer Domänencontroller zur Domäne<br />
die DNS-Informationen ohne zusätzliche Konfiguration automatisch auf den Domänencontroller<br />
repliziert.<br />
• Integrierte Zonen ermöglichen eine Multimaster-DNS-Serverkonfiguration. Ohne die AD DS kann<br />
DNS nur einen primären Namenserver für jede DNS-Zone unterstützen. Das bedeutet, dass alle<br />
Änderungen an den Zoneninformationen auf dem primären Namenserver vorgenommen und<br />
anschließend auf den sekundären Namenserver übertragen werden müssen. Mit AD DS-integrierten<br />
Zonen verfügt jeder DNS-Server über eine beschreibbare Kopie der Domäneninformationen,<br />
sodass Änderungen an den Zoneninformationen an jeder beliebigen Stelle in der<br />
Organisation vorgenommen werden können. Die Informationen werden dann auf alle weiteren<br />
DNS-Server repliziert.<br />
• Integrierte Zonen ermöglichen sichere Updates. Wenn eine Zone als AD DS-integrierte Zone konfiguriert<br />
wird, können Sie für die Zone die ausschließliche Verwendung von sicheren Updates<br />
konfigurieren. Dadurch können Sie besser steuern, welche Benutzer und Computer die Ressourceneinträge<br />
in den AD DS aktualisieren können.<br />
• Integrierte Zonen bieten zusätzliche Sicherheit. Da die DNS-Zonendaten in den AD DS gespeichert<br />
werden, können Sie zum Schutz des dnsZone-Objektcontainers im Verzeichnis Zugriffsteuerungslisten<br />
(Access Control Lists, ACLs) verwenden. Dieses Feature ermöglicht Ihnen, den Zugriff auf<br />
die Zone oder einen bestimmten Ressourceneintrag in der Zone sehr präzise zu steuern.<br />
Einige Organisationen entscheiden sich nicht sofort für die Verwendung AD DS-integrierter Zonen,<br />
da dafür die Installation von DNS auf einem Windows Server 2008-Domänencontroller erforderlich<br />
ist. Dies kann eine zusätzliche Last für den Domänencontroller bedeuten. Wenn alle Clientcomputer<br />
in einer Organisation zur Registrierung ihrer Hosteinträge in DNS konfiguriert wurden, besteht ein<br />
weiteres Problem darin, dass die AD DS-Datenbank unter Umständen Tausende zusätzliche Einträge<br />
umfasst.
Standardanwendungspartitionen für DNS<br />
AD DS-integrierte Zonen 73<br />
Hinweis Sie können AD DS-integrierte Zonen mit sekundären Zonen kombinieren. Sie könnten beispielsweise<br />
über drei Domänencontroller an einem zentralen Speicherort sowie verschiedene Remotebüros verfügen,<br />
für die kein Domänencontroller zur Verfügung steht. Bei der Installation eines DNS-Servers in einem<br />
Remotebüro können Sie die DNS-Serverrolle auf einem Mitgliedsserver installieren, auf dem Windows<br />
Server 2008 ausgeführt wird, und anschließend auf dem DNS-Server eine sekundäre Zone konfigurieren.<br />
Der sekundäre Server akzeptiert dann Zonenübertragungen von der AD DS-integrierten Zone.<br />
Wenn Sie DNS beim Heraufstufen des ersten Servers in der Gesamtstruktur zum Domänencontroller<br />
installieren, werden in den AD DS zwei neue Anwendungsverzeichnispartitionen erstellt. Bei diesen<br />
beiden Partitionen handelt es sich um die Partition DomainDnsZones und ForestDnsZones. DNS-<br />
Zoneninformationen werden anschließend in diesen Verzeichnispartitionen und nicht in einer Textdatei<br />
auf der Festplatte des DNS-Servers gespeichert.<br />
Jede dieser Partitionen umfasst unterschiedliche Informationen und weist unterschiedliche Replikationskonfigurationen<br />
auf. Die Partition DomainDNSZones umfasst alle Domänencontrollereinträge,<br />
die für die Ermittlung von Domänencontrollerdiensten innerhalb der Domäne erforderlich sind. Alle<br />
zuvor beschriebenen Ressourceneinträge, mit Ausnahme der Ressourceneinträge, die den Wert<br />
_msdcs enthalten, werden in der Partition DomainDnsZones gespeichert. Die Partition DomainDns-<br />
Zones wird auf alle DNS-Server repliziert, die auf Domänencontrollern in einer Domäne ausgeführt<br />
werden.<br />
Die Partition ForestDnsZones wird auf alle DNS-Server repliziert, die auf Domänencontrollern in der<br />
Gesamtstruktur ausgeführt werden. Die Partition ForestDnsZones umfasst die Informationen, die von<br />
Domänencontrollern und Clients für die Ermittlung von Domänencontrollerdiensten in anderen<br />
Domänen in der Gesamtstruktur benötigt werden. Die Partition ForestDnsZones umfasst beispielsweise<br />
eine Domänenteilzone, in der alle GUIDs der Domäne und die Domänencontroller jeder Domäne<br />
aufgeführt werden. Außerdem werden in der Partition ForestDnsZones alle Domänencontroller in<br />
der Gesamtstruktur anhand ihrer GUID sowie alle globalen Katalogserver in der Gesamtstruktur aufgeführt.<br />
Die Subzone _msdcs wird in der Partition ForestDnsZones gespeichert.<br />
Hinweis Die DNS-Anwendungsverzeichnispartitionen werden nur erstellt, wenn Sie beim Heraufstufen<br />
des ersten Domänencontrollers in der Domäne oder Gesamtstruktur DNS installieren. Wenn Sie die Vorteile<br />
der DNS-Anwendungsverzeichnispartitionen nach dem Aktualisieren des Domänencontrollers nutzen möchten,<br />
müssen Sie die Partition manuell erstellen, bevor Sie sie nutzen können. Um die Partitionen zu erstellen,<br />
können Sie den DNS-Manager oder das Befehlszeilenprogramm DNSCmd verwenden. Wenn Sie das<br />
DNS-Verwaltungstool verwenden, klicken Sie mit der rechten Maustaste auf den DNS-Servernamen, und<br />
wählen Sie Standardanwendungs-Verzeichnispartitionen erstellen. Wenn Sie das Tool DNSCmd verwenden,<br />
öffnen Sie eine Befehlszeile, und geben Sie den Befehl dnscmd DNSServername /CreateBuiltin-<br />
<strong>Directory</strong>Partitions /forest ein. Dadurch wird die Partition ForestDnsZones erstellt. Um die Partition<br />
DomainDnsZones zu erstellen, verwenden Sie als letzten Parameter im Befehl "/domain" anstelle des Parameters<br />
"/forest". Sie können die Partition DomainDNSZones für alle Domänen in der Gesamtstruktur erstellen,<br />
indem Sie den Befehl mit dem Parameter /Alldomains ausführen. Da durch diesen Befehl eine Änderung<br />
an der Verzeichnispartitionskonfiguration in den AD DS vorgenommen wird, müssen Sie als Mitglied der<br />
Gruppe Organisations-Admins angemeldet sein.<br />
Die DNS-Anwendungspartitionen können mithilfe des DNS-Managers und mithilfe von Tools wie<br />
beispielsweise DNSCmd, ADSIEdit.msc oder Ldp.exe angezeigt werden.
74 Kapitel 3: <strong>Active</strong> <strong>Directory</strong>-Domänendienste und DNS<br />
Im DNS-Manager (dargestellt in Abbildung 3.2) werden die Informationen zur Partition ForestDns-<br />
Zones in der delegierten Zone _msdcs.Gesamtstrukturname aufgeführt. Die Partition DomainDns-<br />
Zones wird in der Teilzone DomainDnsZone der Zone Domänenname aufgeführt. In ADSIEdit.msc<br />
können die Anwendungspartitionen angezeigt werden, indem eine Verbindung mit der Partition<br />
dc=domaindnszones,dc=Domänenname oder der Partition dc=forestdnszones,dc=Gesamtstrukturname<br />
(dargestellt in Abbildung 3.3) hergestellt wird.<br />
Abbildung 3.2<br />
Die DNS-Anwendungsverzeichnispartitionen in der DNS-Verwaltungskonsole<br />
Abbildung 3.3<br />
Die DNS-Anwendungsverzeichnispartitionen in Adsiedit.msc
Verwalten AD DS-integrierter Zonen<br />
AD DS-integrierte Zonen 75<br />
Auf der DVD Sie können das Windows PowerShell-Skript ListAppPartitions.ps1 auf der Begleit-CD nutzen,<br />
um die in Ihrer Gesamtstruktur bereitgestellten Anwendungspartitionen aufzulisten und anzuzeigen, welche<br />
Domänencontroller über ein Replikat dieser Partitionen verfügen. Bei Ausführung von Windows PowerShell auf<br />
einem Computer unter Windows Server 2008 muss die PowerShell-Skriptausführungsrichtlinie konfiguriert<br />
werden, um durch die Ausführung des Befehls Set-ExecutionPolicy RemoteSigned unsignierte Skripts zuzulassen.<br />
Ferner muss bei der Ausführung eines Windows PowerShell-Skripts der vollständige Pfad angegeben<br />
werden.<br />
Bei der Implementierung von AD DS-integrierten Zonen müssen Sie unter Umständen zusätzliche<br />
DNS-Verwaltungsaufgaben durchführen, die bei der Verwendung der Standard-DNS-Zonen nicht<br />
erforderlich sind. Diese Aufgaben umfassen die Konfiguration der AD DS-Anwendungsverzeichnispartitionen,<br />
die die DNS-Zoneninformationen enthalten, die Verwaltung und Sicherung von dynamischen<br />
DNSs sowie die Konfiguration der Alterungseinstellungen von Einträgen und der Aufräumvorgänge<br />
von Einträgen.<br />
Konfigurieren von DNS-Anwendungspartitionen<br />
Wenn Sie DNS während der Konfiguration des ersten Domänencontrollers in einer Domäne installieren,<br />
werden die DNS-Zoneninformationen standardmäßig in den Anwendungspartitionen Domain-<br />
DnsZones und ForestDnsZones gespeichert. Sie können jedoch Änderungen an der Anwendungspartition<br />
vornehmen, die für diese Zonen verwendet wird, oder Sie können DNS-Zoneninformationen in<br />
den AD DS beim Erstellen neuer Zonen auf dem Domänencontroller erstellen. Sie können beim<br />
Erstellen einer neuen Zone den Speicherort der DNS-Informationen auswählen (siehe Abbildung 3.4),<br />
oder Sie verwenden dafür das Zoneneigenschaftendialogfeld des DNS-Verwaltungstools. Folgende<br />
vier Möglichkeiten bestehen zum Festlegen des Speicherorts für DNS-Informationen:<br />
Abbildung 3.4<br />
Konfigurieren des Replikationsbereichs für DNS-Zonen<br />
• Auf allen DNS-Servern in dieser Gesamtstruktur: Gesamtstrukturname Die Informationen werden in<br />
der Partition ForestDnsZones gespeichert, und von dort aus werden Sie auf alle DNS-Server repliziert,<br />
die auf Domänencontrollern in der Gesamtstruktur ausgeführt werden.
76 Kapitel 3: <strong>Active</strong> <strong>Directory</strong>-Domänendienste und DNS<br />
Verwenden Sie diese Zone nur, wenn Benutzer in mehreren Domänen in der Gesamtstruktur<br />
Zugriff auf diese Zoneninformationen benötigen.<br />
• Auf allen DNS-Servern in dieser Domäne: Domänenname Die Informationen werden in der Partition<br />
DomainDnsZones gespeichert, und von dort aus werden Sie auf alle DNS-Server repliziert, die<br />
auf Domänencontrollern in der Domäne ausgeführt werden. Verwenden Sie diese Zone, wenn nur<br />
Benutzer in einer bestimmten Zone Zugriff auf die Zoneninformationen benötigen, oder wenn Sie<br />
anderen DNS-Servern über Delegierung oder Weiterleitung die Ermittlung dieser Informationen<br />
ermöglichen möchten.<br />
• Auf allen Domänencontrollern in dieser Domäne (Windows 2000-Kompatibilität): Domänenname Die<br />
Informationen werden in der Domänenverzeichnispartition gespeichert, und von dort aus werden<br />
sie auf alle Domänencontroller in der Domäne repliziert. Der Unterschied zwischen dieser Option<br />
und dem Speichern der Informationen in der Partition DomainDnsZones besteht darin, dass alle<br />
Domänencontroller die Informationen erhalten, während die Partition DomainDnsZones ausschließlich<br />
auf Domänencontroller repliziert wird, bei denen es sich ebenfalls um DNS-Server<br />
handelt. Da Windows 2000 Server <strong>Active</strong> <strong>Directory</strong> keine Anwendungsverzeichnispartitionen<br />
unterstützt, müssen Sie diese Option verwenden, wenn Sie AD DS-integrierte Zonen mit Windows<br />
Server-Domänencontrollern verwenden möchten.<br />
• Auf allen Domänencontrollern, die im Bereich dieser Verzeichnispartition angegeben werden Diese<br />
Option ist nur verfügbar, wenn Sie eine zusätzliche Anwendungsverzeichnispartition mit einer<br />
eigenen Replikationskonfiguration erstellen. Die DNS-Informationen werden auf alle Domänencontroller<br />
repliziert, die über ein Replikat dieser Partition verfügen.<br />
In der Regel sollten Sie keine Änderungen an der Standardkonfiguration der AD DS-integrierten<br />
Zonen vornehmen. Wenn Sie über mehrere Domänencontroller in einer Domäne verfügen, es sich<br />
bei einigen davon allerdings um DNS-Server handelt, wird durch die Verwendung der Partition<br />
DomainDnsZones die Anzahl an Replikationen verringert, da Domänencontroller, die keine DNS-<br />
Server sind, keine Kopie der Zone erhalten. Die Partition ForestDnsZones wird in der gesamten<br />
Gesamtstruktur repliziert, sodass die für die Ermittlung der Domänencontroller in der Gesamtstruktur<br />
erforderlichen DNS-Informationen auf alle DNS-Server in der Gesamtstruktur repliziert werden.<br />
Verwalten von dynamischem DNS<br />
Bisher bestand ein Problem bei der Arbeit mit DNS darin, dass alle Zoneninformationen manuell auf<br />
dem DNS-Server eingegeben werden mussten. Wie jedoch im RFC 2136 beschrieben, können DNS-<br />
Server nun so konfiguriert werden, dass sie automatische Aktualisierungen der Ressourceneinträge in<br />
den Zonen akzeptieren. Diese Option wird als dynamisches DNS (DDNS) bezeichnet.<br />
Windows Server 2008-DNS-Server unterstützen dynamisches DNS. Standardmäßig führen alle<br />
Clients ab Windows 2000 eine automatische Aktualisierung ihrer Ressourceneinträge in DNS durch.<br />
Windows Server 2008-DNS-Server akzeptieren darüber hinaus auch die dynamische Eintragsregistrierung<br />
von DHCP-Servern (Dynamic Host Configuration Protocol). Der Windows Server 2008-<br />
DHCP-Server kann so konfiguriert werden, dass automatische Aktualisierungen der DNS-Einträge<br />
von allen Clients akzeptiert werden, einschließlich Microsoft Windows 95-, Microsoft Windows 98-,<br />
Microsoft Windows Me- oder Microsoft Windows NT-Clients.<br />
Für DDNS gelten jedoch Beschränkungen hinsichtlich der Sicherheit. Ohne die Steuerung der Personen,<br />
die Aktualisierungen der DNS-Ressourceneinträge vornehmen können, haben alle Zugriffsberechtigten<br />
in Ihrem Netzwerk die Möglichkeit einen Ressourceneintrag in Ihrer DNS-Zone zu erstellen<br />
und diese Einträge zur Umleitung des Netzwerkdatenverkehrs zu verwenden. Um dieses Problem<br />
zu umgehen, stellt das Windows Server 2008-DNS sichere Updates bereit.
AD DS-integrierte Zonen 77<br />
Sichere Updates sind nur in AD DS-integrierten Zonen verfügbar. Mit sicheren Updates können Sie<br />
steuern, wer zum Registrieren und Aktualisieren der DNS-Einträge berechtigt ist. Standardmäßig sind<br />
die Mitglieder der Gruppe Authentifizierte Benutzer zum Aktualisieren ihrer Einträge in DNS berechtigt.<br />
Das bedeutet, dass Computer, die Domänenmitglieder sind, zum Aktualisieren ihrer eigenen<br />
DNS-Einträge berechtigt sind. Sie können dies jedoch ändern, indem Sie die Zugriffssteuerungsliste<br />
für die DNS-Zone bearbeiten.<br />
Weitere Informationen Weitere Informationen zum Konfigurieren von dynamischem DNS finden Sie im<br />
Artikel „DNS Technical Reference“.<br />
Alterungseinstellungen und Aufräumvorgänge<br />
In großen Unternehmensumgebungen besteht ein Problem mit der Verwendung der AD DS-integrierten<br />
Zonen darin, Clientcomputern das Aktualisieren ihrer Ressourceneinträge in DNS zu ermöglichen.<br />
Werden diese Aktualisierungen vorgenommen, liegen in DNS unter Umständen Tausende<br />
Einträge vor, wodurch die Größe der Datenbankdatei stark ansteigt. Wenn Clientcomputer heruntergefahren<br />
werden, während weiterhin eine Verbindung mit dem Netzwerk besteht, geben die Clientcomputer<br />
ihre Ressourceneinträge in den AD DS frei. Wenn jedoch die Clientverbindung mit dem Netzwerk<br />
nicht ordnungsgemäß getrennt wird, werden die zugehörigen Hosteinträge (A) unter Umständen<br />
nicht gelöscht. Um diese Ressourceneinträge (Resource Records, RRs) in den AD DS-Zonen zu bereinigen,<br />
können Sie Alterungseinstellungen und Aufräumvorgänge konfigurieren.<br />
Mit DDNS erhält jede zu DNS hinzugefügte Ressource einen Zeitstempel basierend auf den Datumsund<br />
Uhrzeiteinstellungen des Servercomputers. Ressourceneinträge, die in DNS manuell hinzugefügt<br />
wurden, erhalten den Zeitstempelwert 0 um anzugeben, dass die Einträge nicht durch die Alterungseinstellungen<br />
und Aufräumvorgänge gelöscht werden sollen.<br />
Standardmäßig sind Alterungseinstellungen und Aufräumvorgänge für Windows Server 2008-DNS-<br />
Server und -Zonen nicht aktiviert. Nach dem Aktivieren der Alterungseinstellungen und Aufräumvorgänge<br />
überwacht der DNS-Server die Zeit aller Einträge seit der letzten Aktualisierung des Eintrags.<br />
Wenn die seit der letzten Aktualisierung vergangene Zeit die konfigurierte Altersgrenze überschreitet,<br />
wird der Eintrag über einen Aufräumvorgang aus DNS entfernt.<br />
Laden von Zonen im Hintergrund<br />
Wie bereits erwähnt besteht ein mögliches Problem bei der Verwendung AD DS-integrierter Zonen<br />
und der Aktivierung von dynamischem DNS darin, dass Sie unter Umständen über Tausende Clientcomputer<br />
verfügen, die ihre Hosteinträge in DNS registrieren. Beim Starten des AD DS-Domänencontrollers<br />
oder einem Neustart des DNS-Dienstes müssen alle DNS-Zoneninformationen aus dem<br />
AD DS-Datenspeicher gelesen werden. In besonders großen Organisationen kann das Laden des<br />
AD DS-Datenspeichers beim Neustart des DNS-Servers eine Stunde oder mehr Zeit in Anspruch nehmen.<br />
Das führt dazu, dass der DNS-Server während der gesamten, zum Laden der AD DS-basierten<br />
Zonen erforderlichen Zeit für Dienstclientanforderungen effektiv nicht zur Verfügung steht.<br />
In Windows Server 2008 wird ein neues Feature zum Laden von Zonen im Hintergrund bezeichnet,<br />
mit dem dieses Problem umgangen wird. Mit diesem Feature kann ein DNS-Server bereits mit der<br />
Verarbeitung von DNS-Clientanforderungen beginnen, während im Hintergrund die Zonendaten aus<br />
den AD DS geladen werden. Der DNS-Server führt beim Starten folgende Vorgänge aus:<br />
• Auflisten aller zu ladenden Zonen.<br />
• Laden der Stammhinweise aus Dateien oder dem AD DS-Datenspeicher.
78 Kapitel 3: <strong>Active</strong> <strong>Directory</strong>-Domänendienste und DNS<br />
• Laden aller Standard-DNS-Zonen, die nicht in den AD DS, sondern in Textdateien gespeichert<br />
sind.<br />
• Beginn der Verarbeitung von DNS-Abfragen und Remoteprozeduraufrufen (Remote Procedure<br />
Calls, RPCs). Wenn der Server eine Abfrage für eine noch nicht geladene Zone erhält, liest der<br />
DNS-Server die Daten aus dem Knoten der AD DS und antwortet auf die Clientabfrage.<br />
• Erstellen der Threads zum Laden der in den AD DS gespeicherten Zonen.<br />
DNS und schreibgeschützte Domänencontroller<br />
Wie bereits erwähnt, stellt Windows Server 2008 schreibgeschützte Domänencontroller (Read-Only<br />
Domain Controllers, RODCs) bereit. Zur Bereitstellung dieser RODCs unterstützt Windows Server<br />
2008 einen neuen DNS-Zonentyp – die schreibgeschützte primäre Zone. Beim Konfigurieren eines<br />
RODCs als DNS-Server repliziert der Domänencontroller eine vollständige schreibgeschützte Kopie<br />
aller von DNS verwendeten Anwendungsverzeichnispartitionen, die Domänenpartition sowie die Partitionen<br />
ForestDNSZones und DomainDNSZones eingeschlossen. Dadurch wird sichergestellt, dass<br />
der DNS-Server, der auf dem RODC ausgeführt wird, über eine schreibgeschützte Kopie aller in diesen<br />
Verzeichnispartitionen gespeicherten DNS-Zonen verfügt.<br />
Der RODC-DNS-Server antwortet auf Clientabfragen wie jeder andere DNS-Server. Da die AD DSintegrierten<br />
DNS-Zonen auf dem RODC jedoch schreibgeschützt sind, können keine Änderungen an<br />
den Zonen auf dem RODC vorgenommen werden. Der Administrator eines schreibgeschützten<br />
Domänencontrollers kann den Inhalt einer primären schreibgeschützten Zone anzeigen, er kann<br />
jedoch keine Änderungen an der lokalen Kopie der Zone vornehmen. Änderungen können nur auf<br />
einem Domänencontroller vorgenommen, der über eine beschreibbare AD DS-Kopie verfügt. Wenn<br />
Clientcomputer mithilfe von DDNS ihre Hosteinträge auf dem DNS-Server registrieren möchten,<br />
wird der Clientcomputer an einen DNS-Server umgeleitet, der über eine beschreibbare Kopie der<br />
DNS-Zone verfügt.<br />
Hinweis Wie alle anderen Domänencontroller können auch RODCs als DNS-Server konfiguriert werden.<br />
Wird ein RODC als DNS-Server konfiguriert, unterstützt er bei der Verwendung AD DS-integrierter Zonen<br />
nur primäre schreibgeschützte Zonen. Sie können den RODC als DNS-Server mit primären oder sekundären<br />
Standardzonen konfigurieren. Beim Implementieren einer primären Standardzone auf dem RODC ist<br />
diese nicht schreibgeschützt.<br />
Integrieren von DNS-Namespaces in AD DS-Domänen<br />
Bei allen AD DS-Domänennamen muss es sich um DNS-Namen handeln, und DNS ist für die ordnungsgemäße<br />
Funktionsfähigkeit der AD DS erforderlich. In einer Umgebung mit einer einzelnen<br />
Domäne ist die Integration der DNS-Namespaces in den AD DS-Namen sehr einfach, Sie benötigen<br />
lediglich einen DNS-Server, der für die DNS-Zone autorisierend ist, die dem AD DS-Domänennamen<br />
entspricht. In einer Organisation mit mehreren Domänen und unter Umständen mehreren Domänenstrukturen<br />
in der Gesamtstruktur ist die Integration der DNS-Namespaces in den AD DS-Domänennamen<br />
jedoch komplizierter.<br />
Wichtig Die ordnungsgemäße Integration des DNS-Namespaces in den AD DS-Entwurf ist ebenso wichtig<br />
wie die Registrierung aller SRV-Einträge der Domänencontroller in DNS. Domänencontroller in unterschiedlichen<br />
Domänen in der Gesamtstruktur müssen sich gegenseitig in DNS ermitteln können, um eine gegenseitige<br />
Replikationen durchführen zu können.
DNS-Delegierung<br />
Integrieren von DNS-Namespaces in AD DS-Domänen 79<br />
Hinweis In diesem Kapitel werden die Optionen zum Integrieren von DNS-Namespaces in AD DS-Domänen<br />
in einer einzelnen Gesamtstruktur beschrieben. Entwurfsprobleme, die bei der Integration der AD DS-<br />
Gesamtstruktur in DNS-Namespaces außerhalb der AD DS auftreten können, werden in Kapitel 5 erläutert.<br />
DNS nutzt einen hierarchischen Namespace und ein verteiltes Datenbankmodell. Dadurch können<br />
DNS-Clients jeden Namen im DNS-Namespace auflösen, ohne dass ein DNS-Server alle DNS-Zonen<br />
im Namespace hosten muss. Wenn beispielsweise ein Client eine Verbindung mit einem DNS-Server<br />
herstellt, der für die Domäne erster Ebene .com autorisierend ist, und einen Server in der Domäne<br />
Adatum.com anfordert, muss der autorisierende .com-Server eine Möglichkeit haben, die autorisierenden<br />
Namenserver für die Domäne Adatum.com zu ermitteln. Diese Ermittlung kann mithilfe<br />
von Delegierungseinträgen vorgenommen werden.<br />
Bei einem Delegierungseintrag handelt es sich um einen Zeiger auf eine untergeordnete Domäne,<br />
die den Namen des Servers für die untergeordnete Domäne kennzeichnet. Wie beispielsweise in<br />
Abbildung 3.5 dargestellt, handelt es sich bei DNS1.Adatum.com um den autorisierenden Namenserver<br />
der Domäne Adatum.com. Bei DNS2 und DNS3 handelt es sich um autorisierenden Namenserver<br />
der Domäne NA.Adatum.com. DNS1 wird als autorisierend für die Domäne NA.Adatum.com.com<br />
betrachtet, verfügt jedoch nicht über alle Ressourceneinträge für die untergeordnete Domäne. DNS1<br />
nutzt jedoch einen Delegierungseintragszeiger auf DNS2 und DNS3 als Namenserver für die untergeordnete<br />
Domäne. Wenn ein Client eine Verbindung mit DNS1 herstellt und Informationen zur<br />
Domäne NA.Adatum.com anfordert, verweist der Server den Client an die Namenserver der untergeordneten<br />
Domäne.<br />
Zonendelegierung<br />
DNS1.Adatum.com<br />
Adatum.com<br />
DNS2.NA.Adatum.com<br />
DNS3.NA.Adatum.com<br />
NA.Adatum.com<br />
Abbildung 3.5<br />
Delegierte Zonen verknüpfen Domänen höherer Ebene mit untergeordneten Domänen
80 Kapitel 3: <strong>Active</strong> <strong>Directory</strong>-Domänendienste und DNS<br />
Hinweis Wenn Sie den ersten Domänencontroller in einer Domäne installieren und ihn als DNS-Server<br />
konfigurieren, versucht der Installations-Assistent automatisch, einen Delegierungseintrag in der übergeordneten<br />
DNS-Zone zu erstellen. Wenn Sie beispielsweise eine neue AD DS-Domäne mit dem Namen<br />
Corp.Adatum.com erstellt haben, versucht der Assistent zum Installieren der <strong>Active</strong> <strong>Directory</strong>-Domänendienste<br />
eine Verbindung mit dem Namenserver herzustellen, der autorisierend für die Domäne Adatum.com<br />
ist, und anschließend versucht er einen Delegierungseintrag für die Domäne Corp.Adatum.com zu erstellen.<br />
Wenn der DNS-Server nicht verfügbar ist oder das zum Ausführen des Installations-Assistenten verwendete<br />
Konto nicht über die erforderlichen Berechtigungen zum Erstellen des Delegierungseintrags verfügt, erhalten<br />
Sie die in Abbildung 3.6 dargestellte Fehlermeldung. Sie können mit der Installation fortfahren und den<br />
Delegierungseintrag bei Bedarf manuell erstellen.<br />
Abbildung 3.6<br />
Warnmeldung, dass das Erstellen eines Delegierungseintrags fehlgeschlagen ist<br />
Sicherheitswarnung Wenn es sich bei der übergeordnete Domäne für Ihren Domänennamen um einen<br />
internetbasierten DNS-Server handelt (wenn Sie z.B. die Domäne Adatum.com erstellen, ist die übergeordnete<br />
Domäne die auf Internet-DNS-Servern gehostete Domäne .com), sollten Sie keinen Delegierungseintrag<br />
konfigurieren, der auf Ihre internen DNS-Server zeigt. Die internen DNS-Zonen Ihrer AD DS sollten nie im<br />
Internet offengelegt werden.<br />
Weiterleitungen und Stammhinweise<br />
Weiterleitungen und Stammhinweise bieten ebenfalls die Methode zum Verbinden der unterschiedlichen<br />
Ebenen der DNS-Hierarchie. In den meisten Fällen werden Weiterleitungen und Stammhinweise<br />
von den DNS-Servern verwendet, die sich in den unteren Ebenen des DNS-Namespaces befinden,<br />
um Informationen von übergeorndneten DNA-Servern abzurufen. Sowohl Weiterleitungen als<br />
auch Stammhinweise werden vom DNS-Server für die Ermittlung von Informationen verwendet, die<br />
sich nicht in seinen Zonendateien befinden. Ein DNS-Server kann beispielsweise nur für die Domäne<br />
Adatum.com autorisierend sein. Wenn dieser DNS-Server eine Abfrage von einem Client erhält, der<br />
eine Namensauflösung in der Domäne TreyResearch.com anfordert, muss der DNS-Server in der<br />
Domäne Adatum.com über eine Möglichkeit zum Ermitteln dieser Informationen verfügen.<br />
Weiterleitungen<br />
Eine Konfigurationsmöglichkeit besteht in Weiterleitungen. Bei einer Weiterleitung handelt es sich<br />
lediglich um einen weiteren DNS-Server, der auf einen anderen DNS-Server zurückgreift, wenn er<br />
eine Abfrage nicht auflösen kann. Der autorisierende Server der Domäne Adatum.com erhält beispielsweise<br />
eine rekursive Abfrage für die Domäne TreyResearch.com.
Integrieren von DNS-Namespaces in AD DS-Domänen 81<br />
Wurde der DNS-Server der Domäne Adatum.com mit einer Weiterleitung konfiguriert, wird eine<br />
rekursive Abfrage an die Weiterleitung gesendet, um diese Informationen anzufordern. Weiterleitungen<br />
werden häufig in internen Netzwerken von Organisationen verwendet. Eine Organisation kann<br />
über mehrere DNS-Server verfügen, deren primäre Aufgabe in der internen Namensauflösung besteht.<br />
Benutzer innerhalb der Organisation sollten jedoch auch Internet-IP-Adressen auflösen können. Eine<br />
Möglichkeit besteht darin, alle internen DNS-Server zur Auflösung von Internetadressen zu konfigurieren.<br />
Häufiger werden jedoch alle internen DNS-Server mit einer Weiterleitung konfiguriert, die<br />
auf einen DNS-Server zeigt, der für die Internetnamensauflösung verantwortlich ist. Diese zuletzt<br />
genannte Konfiguration wird in Abbildung 3.7 dargestellt. Die internen DNS-Server leiten alle<br />
Abfragen für eine nicht autorisierende Zone an den DNS-Server weiter, der dann versucht, die Internetadresse<br />
aufzulösen. Wenn ein DNS-Server mit mehreren Weiterleitungen konfiguriert wurde, versucht<br />
der DNS-Server alle Weiterleitungen nacheinander, bevor er auf anderem Wege versucht, die<br />
IP-Adresse aufzulösen.<br />
Internetstamm-<br />
DNS-Server<br />
DNS-Server<br />
Unternehmensniederlassung 1<br />
Weiterleitung<br />
Firewall<br />
Weiterleitung<br />
DNS-Server<br />
Unternehmensniederlassung 4<br />
DNS-Auflösung<br />
für das Internet<br />
DNS-Server<br />
Unternehmensniederlassung 2<br />
Weiterleitung<br />
DNS-Server<br />
Unternehmensniederlassung 3<br />
Abbildung 3.7<br />
Verwenden von Weiterleitungen für die Internetnamensauflösung<br />
Bedingte Weiterleitungen<br />
Windows Server 2008-DNS-Server unterstützen bedingte Weiterleitungen, um den Weiterleitungsprozess<br />
effizienter zu gestalten. Eines der Probleme mit Standardweiterleitungen besteht darin, dass der<br />
Weiterleitungsprozess keine Unterscheidungen basierend auf Domänennamen vornehmen kann. Stellt<br />
eine Clientauflösung eine Anforderung, die der Server nicht über seinen Zwischenspeicher oder seine<br />
Zonendateien beantworten kann, sendet der Server eine rekursive Abfrage an die Liste der konfigurierten<br />
Weiterleitungen, ohne unterschiedliche Weiterleitungen basierend auf den angeforderten Domänennamen<br />
auswählen zu können.<br />
Diese Funktion wird von bedingten Weiterleitungen bereitgestellt: Der DNS-Server kann nun die<br />
Domänenanforderung an unterschiedliche DNS-Server basierend auf Domänennamen weiterleiten.
82 Kapitel 3: <strong>Active</strong> <strong>Directory</strong>-Domänendienste und DNS<br />
Wenn einer der Server eine Namensauflösung in einer Zone benötigt, für die er nicht autorisierend ist,<br />
kann er einfach die für diese Zone konfigurierte Weiterleitung verwenden. Wenn beispielsweise ein<br />
Client der Domäne Adatum.com eine Ressource in der Domäne TreyResearch.com benötigt, richtet er<br />
eine Abfrage an den DNS-Server in der Domäne Adatum.com (siehe Abbildung 3.8). Der DNS-Server<br />
überprüft seine Zonendateien, um zu ermitteln, ob er für diese Domäne autorisierend ist, und führt<br />
anschließend eine Überprüfung seines Zwischenspeichers durch. Wenn er den Namen dieser Quellen<br />
nicht auflösen kann, überprüft er die Weiterleitungsliste. Ist eine der Weiterleitungen für die Domäne<br />
TreyResearch.com festgelegt, sendet der DNS-Server der Domäne Adatum.com nur an diesen Server<br />
eine rekursive Abfrage. Wenn der Clientcomputer eine Namensauflösung für einen Domänennamen<br />
anfordert, der nicht über eine bedingte Weiterleitung verfügt, nutzt der DNS-Server die Standardweiterleitung<br />
und versucht anschließend, die Zone mithilfe von Stammhinweisen zu ermitteln.<br />
Internetstamm-<br />
DNS-Server<br />
Firewall<br />
ISP DNS-Server<br />
DNS-Abfrage<br />
Weiterleitung<br />
DNS1.Adatum.com<br />
Bedingte<br />
Weiterleitung<br />
Client<br />
Abbildung 3.8<br />
DNS1.TreyResearch.com<br />
Konfigurieren bedingter Weiterleitungen<br />
Der DNS-Server versucht bei der bedingten Weiterleitung stets, den am besten geeigneten Domänennamen<br />
zu ermitteln.. Wenn Sie z.B. für die Domänen TreyResearch.com und Europa.TreyResearch.com<br />
eine bedingte Weiterleitung konfiguriert haben und der Client eine Anforderung für einen<br />
Server stellt, wie beispielsweise Web1.Europa.TreyResearch.com, leitet der DNS-Server die Anforderung<br />
an den DNS-Server für Europa.TreyResearch.com weiter.<br />
Hinweis Windows Server 2003 unterstützt ebenfalls die Verwendung bedingter Weiterleitungen. Eines der<br />
neuen Features in Windows Server 2008 ist die Option zum Speichern der bedingten Weiterleitungen in<br />
einer AD DS-integrierten Zone (siehe Abbildung 3.9). Dies bedeutet, dass Sie die Konfiguration einer<br />
Namensauflösung innerhalb einer Gesamtstruktur vereinfachen können, indem Sie die bedingte Weiterleitung<br />
für alle DNS-Server in der Domäne oder der Gesamtstruktur bereitstellen.
Integrieren von DNS-Namespaces in AD DS-Domänen 83<br />
Abbildung 3.9<br />
Speichern bedingter Weiterleitungen in der AD DS-Partition<br />
Stammhinweise<br />
Die zweite für einen DNS-Server verfügbare Methode zum Auflösen von Abfragen für Zonen, für die<br />
er nicht autorisierend ist, besteht in der Verwendung von Stammhinweisen. Beim Installieren eines<br />
Windows Server 2008-DNS-Servers mit Zugriff auf das Internet wird der Server automatisch mit<br />
einer Standardliste von Stammservern konfiguriert. Bei diesen Servern handelt es sich um Server, die<br />
für den Stamm des Internetnamespaces autorisierend sind. Erhält ein DNS-Server eine Abfrage für<br />
eine DNS-Zone, für die er nicht autorisierend ist, sendet der Server eine iterative Abfrage an einen der<br />
Stammserver und initiiert eine Reihe von iterativen Abfragen, bis der Name aufgelöst ist bzw. bis der<br />
Server bestätigt hat, dass eine Namensauflösung nicht möglich ist.<br />
Hinweis Die automatisch auf dem DNS-Server konfigurierten Stammserver werden aus der Datei<br />
Cache.dns kopiert, die in den Einrichtungsdateien des DNS-Servers enthalten ist.<br />
Sie können der Stammhinweisliste weitere DNS-Server hinzufügen, einschließlich der DNS-Server in<br />
Ihrem internen Netzwerk.<br />
Stubzonen<br />
Bei Stubzonen handelt es sich um eine weitere in Windows Server 2008 verfügbare Option, die für die<br />
Vereinfachung der Namensauflösungskonfiguration zwischen mehreren Namespaces verwendet werden<br />
kann. Eine Stubzone ist mit einer sekundären Zone vergleichbar. Beim Einrichten einer Stubzone<br />
müssen Sie die IP-Adresse eines primären Namenservers für die Zone angeben. Der Server, der die<br />
Stubzone umfasst, fordert dann eine Zonenübertragung von dem primären Namenserver an. Der<br />
Unterschied besteht jedoch darin, dass eine Stubzone nur die SOA-Einträge, die NS-Einträge sowie<br />
die Hosteinträge (A) für die Namenserver der Domäne umfasst, und nicht alle Einträge in der Zone.
84 Kapitel 3: <strong>Active</strong> <strong>Directory</strong>-Domänendienste und DNS<br />
Dadurch wird die Namensauflösung zwischen Namespaces verbessert, ohne dass dafür sekundäre<br />
Namenserver verwendet werden müssen. Wenn ein DNS-Server mit einer Stubzone konfiguriert<br />
wurde, ist er für die Domäne nicht autorisierend. Ein solcher DNS-Server kann den autorisierenden<br />
Namenserver für die angegebene Zone effizienter ermitteln. Mit Stubzonen kann der DNS-Server die<br />
autorisierenden Namenserver für eine Zone ermitteln, ohne dafür die Stammhinweisserver kontaktieren<br />
zu müssen.<br />
Eine weitere nützliche Funktion für Stubzonen besteht in der Verwaltung der Namenserverliste für<br />
delegierte Zonen. Beim Einrichten einer delegierten untergeordneten Domäne ist die Eingabe der<br />
IP-Adresse aller Namenserver in der delegierten Domäne erforderlich. Ändert sich diese Liste der<br />
Namenserver – wenn beispielsweise einer der Namenserver aus dem Netzwerk entfernt wird –, ist die<br />
manuelle Aktualisierung des Delegierungseintrags erforderlich. Sie können eine Stubzone verwenden,<br />
um den fortlaufenden Aktualisierungsprozess der Namenserverliste zu automatisieren. Um diese<br />
Automatisierung in der Domäne Adatum.com zu konfigurieren, würden Sie in der Domäne NA.<br />
Adatum.com auf den DNS-Server in der Domäne Adatum.com eine Stubzone konfigurieren. Sie<br />
würden außerdem einen Delegierungseintrag in der Zone Adatum.com konfigurieren, der auf die Stubzone<br />
zeigt. Wenn Änderungen an Namenservereinträgen in der untergeordneten Domäne vorgenommen<br />
werden, werden diese automatisch in der Stubzone aktualisiert. Wenn die DNS-Server der Domäne<br />
Adatum.com den Delegierungseintrag verwenden, werden sie an die Stubzone weitergeleitet, sodass<br />
sie immer Zugriff auf die aktualisierten Namenserverinformationen haben.<br />
Integration von DNS-Namespaces in AD DS-Domänen<br />
Windows Server 2008 bietet zahlreiche Optionen für die Integration der Ebenen im DNS-Namespace,<br />
doch wie wird diese Integration in einer AD DS-Gesamtstruktur vorgenommen? Standardmäßig<br />
verwendet Windows Server 2008 die Delegierung und Weiterleitung, um mehrere Domänen<br />
und Domänenstrukturen in die Gesamtstruktur mit den DNS-Namespaces zu integrieren.<br />
Stellen Sie sich beispielsweise eine Organisation vor, die mehrere Domänen und Domänenstrukturen<br />
in einer einzelnen Gesamtstruktur umfasst (Abbildung 3.10 zeigt eine beispielhafte Gesamtstruktur).<br />
Adatum.com<br />
TreyResearch.com<br />
Asien.Adatum.com<br />
Abbildung 3.10<br />
Ein Entwurf einer AD DS-Gesamtstruktur mit mehreren Strukturen<br />
Wenn Sie DNS auf jedem Domänencontroller in jeder Domäne installieren und die DNS-Server als<br />
autorisierende Server für die Domäne konfigurieren, verwendet Windows Server 2008 die Delegierung<br />
und Weiterleitung, um die DNS-Zone der untergeordneten Domäne in die DNS-Zone der<br />
übergeordneten Domäne zu integrieren.
Integrieren von DNS-Namespaces in AD DS-Domänen 85<br />
In diesem Beispiel erstellt der Assistent zum Installieren der <strong>Active</strong> <strong>Directory</strong>-Domänendienste<br />
einen Delegierungseintrag im DNS-Server der Domäne Adatum.com, der auf den DNS-Server in<br />
der Domäne Asien.Adatum.com zeigt. Der DNS-Server in der Domäne Asien.Adatum.com wird<br />
automatisch für die Verwendung der Domäne Adatum.com als Weiterleitung konfiguriert. Dies<br />
bedeutet, dass alle Namen zwischen diesen beiden Domänen aufgelöst werden können.<br />
Die DNS-Konfiguration für die neue Struktur in der Gesamtstruktur (TreyResearch.com) ist jedoch<br />
etwas komplizierter. Standardmäßig ist der DNS-Server in der Domäne TreyResearch.com für die<br />
Verwendung des DNS-Servers in der Domäne Adatum.com als Weiterleitung konfiguriert. Dies<br />
bedeutet, dass die Domänencontroller und Clients in der Domäne TreyResearch.com Namen in der<br />
Domäne Adatum.com auflösen können.<br />
DNS-Server in der Domäne Adatum.com können jedoch standardmäßig keine Namen in der<br />
Domäne TreyResearch.com auflösen. Die einfachste Möglichkeit zum Konfigurieren der<br />
Namensauflösung zwischen der Stammdomäne der Gesamtstruktur und der Stammdomäne der<br />
Domänenstruktur besteht darin, eine bedingte Weiterleitung auf den DNS-Servern des übergeordneten<br />
Stamms zu konfigurieren. In diesem Fall können Sie für die DNS-Server der Domäne<br />
Adatum.com eine bedingte Weiterleitung zur Domäne TreyResearch.com konfigurieren. Die DNS-<br />
Integration, die sich daraus ergibt, wird in Abbildung 3.11 dargestellt.<br />
Weiterleitung<br />
Weiterleitung<br />
DNS1.Adatum.com<br />
Adatum.com<br />
Bedingte<br />
Weiterleitung<br />
Delegierung<br />
DNS1.TreyResearch.com<br />
TreyResearch.com<br />
DNS1.Asien.Adatum.com<br />
Asien.Adatum.com<br />
Abbildung 3.11<br />
Integrieren des DNS-Namespaces in eine AD DS-Gesamtstruktur<br />
Problembehandlung bei der DNS- und AD DS-Integration<br />
Aufgrund der engen Verbindung zwischen DNS und den AD DS besteht der erste Schritt einer Problembehandlung<br />
für die AD DS häufig darin zu überprüfen, ob DNS ordnungsgemäß funktioniert.<br />
Wenn DNS nicht funktioniert oder nicht ordnungsgemäß konfiguriert wurde, sind die AD DS für<br />
Clients und Domänencontroller nicht verfügbar.<br />
Um Probleme bei der DNS/AD DS-Integration zu behandeln, sind umfassende Kenntnisse über die<br />
DNS- und AD DS-Bereitstellung in Ihrer Umgebung erforderlich. Dies umfasst die DNS-Serverkonfiguration,<br />
die DNS-Zonenkonfiguration (einschließlich einer Auflistung der in den AD DS-Anwendungsverzeichnispartitionen<br />
gespeicherten Zonen) sowie die Zonendelegierungs- und -weiterleitungskonfiguration.
86 Kapitel 3: <strong>Active</strong> <strong>Directory</strong>-Domänendienste und DNS<br />
Problembehandlung für DNS<br />
Die Behandlung von Fehlern bei der Integration von DNS in die AD DS beginnt häufig mit der Ausführung<br />
einiger allgemeiner Schritte. Gehen Sie folgendermaßen vor:<br />
1. Identifizieren Sie das Problem. Oftmals ist das von einem Benutzer beschriebene Problem nicht<br />
das tatsächliche Problem. Wenn ein Benutzer beispielsweise angibt, nicht auf das Internet zugreifen<br />
zu können, kann das tatsächliche Problem darin bestehen, dass er auf eine bestimmte Website<br />
nicht zugreifen kann oder dass der Clientcomputer vom Netzwerk getrennt wurde.<br />
2. Ermitteln Sie den Problemumfang. Besteht das Problem nur mit dem Clientcomputer oder nur mit<br />
einem Domänencontroller? Oder sind alle Benutzer in einem bestimmten Büro von dem Problem<br />
betroffen? Wenn nur ein Computer von dem Problem betroffen ist, können Sie sich bei der Problembehandlung<br />
schwerpunktmäßig mit diesem einen Computer befassen. Besteht das Problem<br />
für mehrere Clientcomputer oder Server, sollten Sie versuchen, gemeinsame Elemente aller Computer<br />
zu ermitteln, die von dem Problem betroffen sind. Befinden sich alle betroffenen Computer<br />
im gleichen Büro oder im gleichen Netzwerksegment, oder wurden sie für die Verwendung eines<br />
bestimmten DNS-Servers konfiguriert?<br />
3. Überprüfen Sie die TCP/IP-Einstellungen auf dem Clientcomputer oder Domänencontroller, um<br />
sicherzustellen, dass der DNS-Client für die Verwendung des entsprechenden DNS-Servers konfiguriert<br />
wurde. Am schnellsten können Sie die Einstellungen mithilfe des Befehls Ipconfig /all<br />
überprüfen.<br />
4. Überprüfen, ob in den Zonendateien des DNS-Servers die geeigneten Informationen enthalten<br />
sind. Sie können auf jedem Computer das Tool Nslookup.exe verwenden, um zu ermitteln, ob ein<br />
bestimmter Eintrag in der DNS-Zone vorhanden ist. Einzelheiten zur Verwendung des Befehls<br />
Nslookup finden Sie im Knowledge Base-Artikel „Verwendung von NSlookup.exe“ unter http://<br />
support.microsoft.com/kb/200525.<br />
5. Stellen Sie sicher, dass die DNS-Suffixe ordnungsgemäß konfiguriert wurden. DNS-Suffixe werden<br />
im Windows Server 2008-DNS auf unterschiedliche Weise verwendet. Zum einen werden<br />
DNS-Suffixe von Clients für die Auflösung von Hostnamen verwendet, wenn nicht der vollqualifizierte<br />
Domänenname angegeben wird. Wenn der Clientcomputer diesen Namen auflösen<br />
möchte, hängt er dem Namen alle im Clientcomputer konfigurierten DNS-Suffixe an, um den<br />
Hostnamen auflösen zu können. Ist das entsprechende DNS-Suffix nicht auf dem Computer konfiguriert,<br />
kann die Namensauflösung nicht durchgeführt werden.<br />
DNS-Suffixe werden auch von DDNS verwendet. Standardmäßig versucht der Clientcomputer,<br />
die Registrierung seines Hosteintrags in der durch das primäre DNS-Suffix gekennzeichneten<br />
Zone vorzunehmen. Bei dem primären DNS-Suffix handelt es sich um den DNS-Namen für die<br />
Domäne des Computers. Sie können zusätzliche DNS-Suffixe festlegen und den Computer so<br />
konfigurieren, dass er seine DNS-Einstellungen in jeder der durch das DNS-Suffix gekennzeichneten<br />
Zonen registriert.<br />
6. Stellen Sie sicher, dass der DHCP-Clientdienst aktiviert und zum automatischen Starten festgelegt<br />
ist. Der DHCP-Clientdienst ist erforderlich, damit dynamische Updates durchgeführt werden<br />
können, auch wenn der Computer für die Verwendung statischer IP-Adressen und nicht für die<br />
Verwendung eines DHCP-Servers konfiguriert wurde.<br />
7. Verwenden Sie den Netzwerkmonitor, um den Netzwerkdatenverkehr zwischen dem DNS-Client<br />
und dem DNS-Server zu erfassen. Wenn die DNS-Namensauflösung oder die dynamische<br />
Namensregistrierung fehlschlägt, erfassen Sie den durch die DNS-Anforderung auf beiden Clientcomputern<br />
und dem DNS-Server entstandenen Netzwerkdatenverkehr. Die Netzwerkerfassung
Integrieren von DNS-Namespaces in AD DS-Domänen 87<br />
kann auf ein Konfigurationsproblem (z.B. darauf, dass der DNS-Client versucht, eine Verbindung<br />
mit dem falschen DNS-Server herzustellen) oder auf ein Netzwerkproblem hinweisen (z.B. darauf,<br />
dass der Clientcomputer die DNS-Abfrage an den richtigen Server sendet, die Abfrage jedoch<br />
von einer Firewall oder einer anderen Netzwerkeinstellung blockiert wird).<br />
8. Aktivieren Sie die Option Debugprotokollierung. Sie können umfangreiche Informationen auf dem<br />
Windows Server 2008-DNS-Server sammeln, indem Sie die Debugprotokollierung auf dem Server<br />
aktivieren. Um die Debugprotokollierung zu aktivieren, rufen Sie die DNS-Servereigenschaften<br />
in der Konsole DNS auf und aktivieren das Kontrollkästchen Pakete zum Debuggen<br />
protokollieren. Das Dialogfeld wird in Abbildung 3.12 dargestellt.<br />
Abbildung 3.12<br />
Aktivieren der Debugprotokollierung auf einem DNS-Server<br />
Unter Umständen möchten Sie den durch die Protokollierung erfassten Datenverkehr begrenzen.<br />
Das Filtern von Paketen anhand der IP-Adresse kann besonders nützlich sein, wenn Sie nur den<br />
Datenverkehr zwischen dem Server und einem bestimmten DNS-Server protokollieren möchten.<br />
9. Wenn dynamische Updates fehlschlagen, überprüfen Sie, ob die DNS-Zone so konfiguriert wurde,<br />
dass dynamische Aktualisierungen durchgeführt werden können. Wenn entsprechend der vorgenommenen<br />
Konfiguration dynamische Updates vorgenommen werden und die Aktualisierungen<br />
fehlschlagen, ändern Sie die Zonenkonfiguration, um auch nicht sichere Updates zuzulassen. Auf<br />
diese Weise können Sie ermitteln, ob das Problem nur mit sicheren oder sowohl mit sicheren als<br />
auch mit nicht sicheren Updates besteht. Wenn keine der beiden Aktualisierungen vorgenommen<br />
werden kann, überprüfen Sie die TCP/IP-Konfiguration sowie die Verfügbarkeit des DNS-Servers<br />
im Netzwerk. Wenn nur sichere Updates fehlschlagen, führen Sie die folgenden Schritte aus:<br />
a. Überprüfen Sie, ob die Hosts Domänenmitglieder sind. Dynamische Aktualisierungen basieren<br />
auf der Kerberos-Authentifizierung, für die alle Clientcomputer Domänenmitglieder sein<br />
müssen.
88 Kapitel 3: <strong>Active</strong> <strong>Directory</strong>-Domänendienste und DNS<br />
b. Überprüfen Sie, ob ein Problem mit dem Computerkonto des Hosts besteht, der die Aktualisierung<br />
durchzuführen versucht. Wenn das Problem nur auf einem Host auftritt, entfernen Sie<br />
den Host aus der Domäne und fügen ihn erneut zur Domäne hinzu.<br />
c. Überprüfen Sie, ob bereits ein gleichnamiger Eintrag vorhanden ist. Standardmäßig können<br />
Einträge, die von einem Host erstellt wurden, nicht von einem anderen Host bearbeitet oder<br />
entfernt werden. Wenn bereits ein gleichnamiger Eintrag vorhanden ist, löschen Sie den vorhandenen<br />
Eintrag, und initiieren Sie einen erneuten Registrierungsversuch durch den Host.<br />
Problembehandlung bei der Registrierung von SRV-Einträgen<br />
Zusätzlich zu den allgemeinen Schritten zur DNS-Problembehandlung ist unter Umständen eine Problembehandlung<br />
bei der Registrierung der SRV-Einträge durch Domänencontroller erforderlich. Diese<br />
Einträge sind für die Ermittlung des Domänencontrollers im Netzwerk erforderlich. Wenn ein Domänencontroller<br />
keine SRV-Einträge in DNS registriert, beginnen Sie mit der Überprüfung der TCP/IP-<br />
Einstellungen und den DNS-Zoneneinstellungen (wie zuvor beschrieben). Ermitteln Sie außerdem, ob<br />
der Domänencontroller seine Host- und PTR-Einträge erfolgreich registrieren kann. Wenn Host- und<br />
PTR-Einträge ordnungsgemäß registriert werden und nur die SRV-Einträge betroffen sind, führen Sie<br />
die folgenden Schritte aus:<br />
1. Überprüfen Sie, ob der Domänencontroller versucht, die entsprechenden Einträge zu registrieren.<br />
Halten Sie hierfür den Netzwerkanmeldedienst auf dem Domänencontroller an, und löschen<br />
Sie die Dateien Netlogon.dnb und Netlogon.dns, die sich im Ordner %systemroot%\System32\<br />
config befinden. Starten Sie dann den Netzwerkanmeldedienst. Überprüfen Sie, ob die Datei<br />
Netlogon.dns die entsprechenden SRV-Einträge enthält, und überprüfen Sie, ob diese Einträge in<br />
DNS aktualisiert wurden.<br />
2. Wenn die Einträge nicht ordnungsgemäß aktualisiert wurden, überprüfen Sie das Systemereignisprotokoll<br />
auf Fehler. Überprüfen Sie das Protokoll insbesondere auf die Ereigniskennungen<br />
5774, 5775 und 5781. Jede dieser Ereigniskennungen weist auf ein Problem mit der Registrierung<br />
von SRV-Einträgen hin.<br />
Weitere Informationen Weitere Informationen zu diesem Thema finden Sie im Knowledge Base-<br />
Artikel 259277, „Problembehandlung bei Netlogon-Ereignissen 5774, 5775 und 5781“, unter<br />
http://support.microsoft.com/kb/259277.<br />
Häufig werden diese Fehler verursacht, wenn ein Domänencontroller in seinen TCP/IP-Eigenschaften<br />
auf sich als primären DNS-Server verweist. Wenn der Domänencontroller mit dieser<br />
Konfiguration gestartet wird, startet der Netzwerkanmeldedienst unter Umständen vor dem DNS-<br />
Dienst. Da der Netzwerkanmeldedienst Einträge in DNS registrieren muss und der DNS-Dienst<br />
noch nicht verfügbar ist, treten unter Umständen Fehler auf. In diesem Fall können Sie die auftretenden<br />
Fehler einfach ignorieren, da der Netzwerkanmeldedienst nach etwa fünf Minuten einen<br />
erneuten Registrierungsversuch unternimmt, der dann erfolgreich durchgeführt werden kann. Die<br />
einfachste Möglichkeit zur Korrektur dieses Problems besteht darin, Domänencontroller zur Verwendung<br />
eines anderen DNS-Servers für die Registrierung von SRV-Einträgen zu konfigurieren.
Zusammenfassung<br />
Zusammenfassung 89<br />
Bei DNS handelt es sich um einen besonders wichtigen Netzwerkdienst in Windows Server 2008-<br />
Netzwerken. Ohne eine stabile DNS-Infrastruktur schlagen nahezu alle Anmelde- und Ressourcenermittlungsversuche<br />
fehl. Als Netzwerkadministrator eines Windows Server 2008-Netzwerks müssen<br />
Sie ein DNS-Experte sein. In diesem Kapitel wurde insbesondere die Integration von DNS in die<br />
AD DS erläutert.<br />
Empfohlene Vorgehensweisen<br />
• DNS stellt die Grundlage der AD DS und weiterer AD DS-integrierter Anwendungen wie beispielsweise<br />
Microsoft Exchange Server dar. Wenn Benutzer über Probleme berichten, ist es empfehlenswert,<br />
während der Problembehandlung als Erstes die ordnungsgemäße Funktionsfähigkeit<br />
von DNS zu überprüfen.<br />
• Für die Unterstützung einer AD DS-Bereitstellung werden keine AD DS-integrierten Zonen in DNS<br />
benötigt. Aufgrund der engen Verbindung zwischen den AD DS und DNS wird die Verwendung<br />
AD DS-integrierter Zonen für die AD DS-Bereitstellung jedoch empfohlen – selbst dann, wenn Sie<br />
andere DNS-Server für die Namensauflösungsdienste verwenden.<br />
• Wenn Sie in der Gesamtstruktur Ihrer Organisation mehrere Domänen bereitstellen, insbesondere<br />
wenn Sie mehrere Domänenstrukturen bereitstellen, sollten Sie sicherstellen, dass alle Domänencontroller<br />
in sämtlichen Domänen die DNS-Namen für alle andere Domänencontroller in der<br />
Gesamtstruktur auflösen können. Als empfohlene Vorgehensweise sollten Sie Zonendelegierungen<br />
und bedingte Weiterleitungen verwenden, um die zahlreichen DNS-Namespaces miteinander<br />
zu verknüpfen.<br />
Zusätzliche Ressourcen<br />
Die folgenden Ressourcen enthalten zusätzliche Informationen im Zusammenhang mit diesem<br />
Kapitel.<br />
Verwandte Informationen<br />
• In Kapitel 4, „<strong>Active</strong> <strong>Directory</strong>-Domänendienstreplikation“, werden ausführliche Informationen<br />
zur Funktionsweise der AD DS-Replikation bereitgestellt. Bei der Implementierung AD DS-integrierter<br />
Zonen werden die DNS-Informationen auf die gleiche Weise zwischen Domänencontrollern<br />
repliziert wie alle weiteren AD DS-Informationen.<br />
• Kapitel 5, „Entwerfen der <strong>Active</strong> <strong>Directory</strong>-Domänendienstestruktur“, enthält Einzelheiten zum<br />
Entwerfen der DNS-Bereitstellung.<br />
• Das Dokument „DNS Technical Reference“ (in englischer Sprache) unter http://technet2.microsoft.com/WindowsServer/en/Library/6e45e81e-fb44-4a20-a752-ebe740e2acc61033.mspx<br />
stellt<br />
ausführliche Informationen zu DNS als Netzwerkdienst bereit. Diese technische Referenz umfasst<br />
weiterführende Informationen zu der in diesem Kapitel erläuterten AD DS-Integration.<br />
• Auf der Webseite „What’s New in DNS in Windows Server 2008“ (in englischer Sprache) unter<br />
http://technet2.microsoft.com/windowsserver2008/en/library/0b0bf633-5732-4b39-80<br />
d3-a2a4330acb141033.mspx?mfr=true werden ausführliche Informationen zu den neuen<br />
Features im Windows Server 2008-DNS aufgeführt.
90 Kapitel 3: <strong>Active</strong> <strong>Directory</strong>-Domänendienste und DNS<br />
• RFC 2782: „A DNS RR for Specifying the Location of Services (DNS SRV)“ (in englischer<br />
Sprache)<br />
• RFC 2136: „Dynamic Updates in the Domain Name System (DNS UPDATE)“ (in englischer<br />
Sprache)<br />
Verwandte Tools<br />
Windows Server 2008 bietet verschiedene Tools, die zur Verwaltung von DNS sowie zur Behebung<br />
von Problemen mit DNS verwendet werden können. In Tabelle 3.3 werden einige dieser Tools<br />
sowie deren Anwendungsfälle aufgeführt.<br />
Tabelle 3.3<br />
DNS-Tools<br />
Toolname<br />
Ipconfig.exe<br />
DNS-Konsole<br />
Dnscmd.exe<br />
Dnslint.exe<br />
Netzwerkmonitor<br />
Beschreibung und Zweck<br />
Dieses Tool kann auf allen Windows-Server- und -Clientbetriebssystemen ausgeführt werden.<br />
Ipconfig zeigt alle aktuellen TCP/IP-Netzwerkkonfigurationswerte an und aktualisiert die DHCP- (Dynamic<br />
Host Configuration Protocol) und DNS-Einstellungen.<br />
Verwenden Sie IPconfig, um sicherzustellen, dass die TCP/IP-Einstellungen des Clients ordnungsgemäß<br />
konfiguriert wurden. Sie können dieses Tool auch verwenden, wenn ein bestimmter Client keine<br />
DNS-Namen auflösen oder seine Ressourceneinträge nicht in DNS registrieren kann.<br />
Dieses Tool wird zusammen mit der DNS-Serverrolle installiert.<br />
Die DNS-Konsole wird zur Verwaltung der DNS-Serverrolle genutzt. Mithilfe dieser Konsole können Sie<br />
alle Aspekte des DNS-Serverdienstes bearbeiten. Dies umfasst das Erstellen und Löschen von Zonen<br />
und Ressourceneinträgen sowie das Erzwingen von Replikationsereignissen zwischen dem physischen<br />
Speicher des DNS-Servers und DNS-Datenbanken. Ferner kann die DNS-Konsole zur Aktivierung der<br />
Debugprotokollierung und zum Testen der Namensauflösung in einem Netzwerk verwendet werden.<br />
Dieses Tool wird zusammen mit der DNS-Serverrolle installiert.<br />
Bei Dnscmd handelt es sich um ein Befehlszeilenprogramm, das zum Anzeigen und Bearbeiten der<br />
Eigenschaften von DNS-Servern, -Zonen und Ressourceneinträgen verwendet werden kann. Darüber<br />
hinaus kann Dnscmd zum Entwickeln von Konfigurationsskripts für DNS-Server eingesetzt werden.<br />
Dieses Tool kann kostenlos von der Microsoft-Website heruntergeladen werden. (Unter http://support.microsoft.com/kb/321045<br />
erfahren Sie, wo Sie das Tool herunterladen können.)<br />
Sie können dieses Tool für die Problembehandlung häufig auftretender Probleme bei der DNS-Namensauflösung<br />
verwenden. Verwenden Sie Dnslint zur Überprüfung bestimmter DNS-Eintragssätze und<br />
stellen Sie mithilfe dieses Tools sicher, dass die Einträge innerhalb mehrerer DNS-Server konsistent<br />
sind. Ferner können Sie mit Dnslint die für die AD DS-Replikation relevanten DNS-Einträge auf Fehler<br />
überprüfen.<br />
Microsoft Network Monitor 3.1 kann im Microsoft Download Center heruntergeladen werden (unter http://<br />
www.microsoft.com/downloads/details.aspx?<br />
familyid=18b1d59d-f4d8-4213-8d17-2f6dde7d7aac&displaylang=en).<br />
Der Netzwerkmonitor erfasst Daten zu Paketen im Netzwerk und protokolliert diese für zusätzliche Analysen.<br />
Die Überwachungsdaten können auf unterschiedliche Weise gefiltert werden, unter anderem nach<br />
Protokollen, Ports sowie physischen und logischen Adressen. Da der Netzwerkmonitor die aktuell über<br />
DNS-Lookups oder DNS-Zonenübertragungen gesendeten Netzwerkpakete anzeigt, ist er in verschiedenen<br />
Situationen sehr hilfreich.
Zusätzliche Ressourcen 91<br />
Tabelle 3.3<br />
Toolname<br />
Nslookup.exe<br />
Nltest.exe<br />
DNS-Tools (Fortsetzung)<br />
Beschreibung und Zweck<br />
Dieses Tool ist in allen Microsoft Windows-Server- und -Clientbetriebssystemen enthalten.<br />
Mithilfe von Nslookup können Sie DNS-Serverabfragen ausführen und detaillierte Antwortinformationen<br />
abrufen. Anhand der von Nslookup gelieferten Informationen können Sie Namensauflösungsprobleme<br />
diagnostizieren und beheben, sicherstellen, dass Ressourceneinträge einer Zone ordnungsgemäß hinzugefügt<br />
bzw. darin aktualisiert wurden, sowie weitere serverbezogene Probleme beheben.<br />
Dieses Tool ist in allen Microsoft Windows-Server- und -Clientbetriebssystemen enthalten.<br />
Sie können mit diesem Tool eine Liste aller Domänencontroller abrufen sowie den Status der Vertrauensstellungen<br />
zwischen Domänencontrollern abfragen.<br />
Ressourcen auf der CD<br />
• Bei ListAppPartitions.ps1 handelt es sich um ein Windows PowerShell-Skript, mit dem Sie alle<br />
Anwendungsverzeichnispartitionen in Ihrer Gesamtstruktur auflisten können.<br />
• Das Microsoft Office Excel-Spreadsheet DNSConfig.xlsx kann dazu verwendet werden, die DNS-<br />
Zone und die DNS-Serverkonfiguration in Ihrer Organisation zu dokumentieren.<br />
Verwandte Hilfethemen<br />
• „Erstellen einer DNS-Anwendungsverzeichnispartition“ in der Hilfe der DNS-Verwaltungskonsole.<br />
• „Grundlegendes zur Serveralterung und zum Aufräumvorgang“ in der Hilfe der DNS-Verwaltungskonsole.<br />
• „Grundlegendes zu dynamischen Updates“ in der Hilfe der DNS-Verwaltungskonsole.<br />
• „Problembehandlung bei DNS“ in der Hilfe der DNS-Verwaltungskonsole.
93<br />
K A P I T E L 4<br />
<strong>Active</strong> <strong>Directory</strong>-Domänendienstreplikation<br />
Inhalt dieses Kapitels:<br />
AD DS-Replikationsmodell. . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 94<br />
Replikationsverfahren. . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 95<br />
Replizieren des Verzeichnisses SYSVOL . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 104<br />
Standortinterne und standortübergreifende Replikation. . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 104<br />
Erstellen der Replikationstopologie . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 109<br />
Konfigurieren der standortübergreifenden Replikation. . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 120<br />
Problembehandlung bei der Replikation . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 131<br />
Zusammenfassung. . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 136<br />
Empfohlene Vorgehensweisen. . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 136<br />
Zusätzliche Ressourcen. . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 136<br />
Es nahezu allen Fällen empfiehlt es sich, bei der Bereitstellung einer AD DS-Domäne (<strong>Active</strong> <strong>Directory</strong><br />
Domain Services) in Microsoft Windows Server 2008 mehrere Domänencontroller bereitzustellen.<br />
Die Bereitstellung mehrerer Domänencontroller in jeder Domäne ist die einfachste und effektivste<br />
Möglichkeit, um für die Domänencontrollerdienste eine hohe Verfügbarkeit sicherzustellen.<br />
Diese Domänencontroller können sich beispielsweise in einem Datacenter am Unternehmenshauptsitz<br />
befinden, wo sie über sehr schnelle Netzwerkverbindungen miteinander verbunden werden können.<br />
Sie können aber auch auf mehrere Orte auf der ganzen Welt verteilt sein, in diesem Fall werden<br />
sie über eine Vielzahl an WAN-Verbindungen (Wide Area Connections) in den Unternehmensniederlassungen<br />
verbunden.<br />
Unabhängig von der Anzahl der in einem Unternehmen bereitgestellten Domänencontroller oder dem<br />
Ort der Domänencontrollerbereitstellung müssen die Domänencontroller Informationen untereinander<br />
replizieren. Ist keine Informationsreplikation möglich, werden die Domänencontrollerverzeichnisse<br />
inkonsistent. Wenn ein Benutzer beispielsweise auf einem Domänencontroller erstellt wird und<br />
Informationen nicht auf alle übrigen Domänencontroller repliziert werden, kann sich der Benutzer nur<br />
an dem Domänencontroller authentifizieren, auf dem das Konto erstellt wurde.<br />
In diesem Kapitel wird das Replikationsverfahren in den AD DS beschrieben. Vorwiegend wird in<br />
diesem Kapitel die Funktionsweise der Replikation beschrieben, d.h. die Erstellung einer Replikationstopologie<br />
sowie die Funktionsweise der zwischen Domänencontrollern durchgeführten Replikation.<br />
Standardmäßig beginnen AD DS-Domänencontroller nach der Installation automatisch mit<br />
der gegenseitigen Replikation. Diese Standardreplikationstopologie ist für Ihre Organisation unter<br />
Umständen nicht die effektivste, und daher wird in diesem Kapitel beschrieben, auf welche Weise Sie<br />
Änderungen an der Replikationskonfiguration vornehmen können, um sie an die Anforderungen Ihres<br />
Unternehmens anzupassen. Darüber hinaus werden in diesem Kapitel die Möglichkeiten zur Problembehandlung<br />
bei der AD DS-Replikation erläutert.
94 Kapitel 4: <strong>Active</strong> <strong>Directory</strong>-Domänendienstreplikation<br />
AD DS-Replikationsmodell<br />
Wie bereits in Kapitel 2, „<strong>Active</strong> <strong>Directory</strong>-Domänendienstkomponenten“, beschrieben, setzen sich<br />
die AD DS aus mehreren logischen Partitionen zusammen. Die Replikation zwischen Domänencontrollern<br />
mit Replikaten jeder Partition wird für alle Partitionen auf genau die gleiche Weise durchgeführt.<br />
Änderungen an einem Attribut der Verzeichnispartitionskonfiguration werden mithilfe des<br />
gleichen Modells und der gleichen Verfahren durchgeführt wie Attributänderungen auf jeder beliebigen<br />
anderen Partition. Der einzige Unterschied besteht in der Liste mit Domänencontrollern, die<br />
eine Kopie der replizierten Änderung erhalten. Die Replikation zwischen Domänencontrollern am<br />
gleichen Standort wird nicht auf die gleiche Weise durchgeführt wie die Replikation zwischen Domänencontrollern<br />
an unterschiedlichen Standorten, wobei sich das grundlegende Modell nicht ändert. In<br />
diesem Abschnitt wird das von den AD DS verwendete Replikationsmodell beschrieben.<br />
Die AD DS verwenden ein Multimaster-Replikationsmodell. Das bedeutet, dass Änderungen am<br />
AD DS-Datenspeicher auf jedem beliebigen Domänencontroller vorgenommen werden können,<br />
mit Ausnahme speziell konfigurierter schreibgeschützter Domänencontroller (Read-Only Domain<br />
Controllers, RODCs). Abgesehen von den RODCs verfügt jeder Domänencontroller über eine<br />
beschreibbare Verzeichniskopie, und daher können Änderungen nicht nur auf einem Domänencontroller<br />
vorgenommen werden. Nachdem eine Änderung vorgenommen wurde, wird sie auf alle weiteren<br />
Domänencontroller repliziert. In diesem Multimaster-Replikationsmodell wird vielen wichtigen<br />
Aspekten in Bezug auf die Zuverlässigkeit und Skalierbarkeit Rechnung getragen. Da von allen<br />
Domänencontrollern die gleichen Dienste bereitgestellt werden, stellt keiner der Domänencontroller<br />
einen einzelnen Fehlerpunkt dar.<br />
Hinweis Wie in Kapitel 2 erläutert wurde, verfügen die AD DS über bestimmte Betriebsmasterrollen, die<br />
nur von einem Domänencontroller ausgeübt werden können. Diese Rollen stellen einen einzelnen Fehlerpunkt<br />
dar, sie können jedoch ebenfalls einfach auf einen anderen Domänencontroller verschoben werden<br />
bzw. der Domänencontroller kann diese einfach übernehmen.<br />
Das von den AD DS verwendete Replikationsmodell kann als ein Modell mit loser Konsistenz<br />
beschrieben werden, bei dem jedoch stets Konvergenz angestrebt wird. Als lose Konsistenz wird hierbei<br />
der Zustand beschrieben, dass nicht alle Domänencontroller mit einem Partitionsreplikat stets über<br />
identische Informationen verfügen. Wenn z.B. ein neuer Benutzer auf einem Domänencontroller<br />
erstellt wird, erhalten die verbleibenden Domänencontroller diese Information nicht vor dem nächsten<br />
Replikationszyklus. Bei der Replikation wird jedoch immer Konvergenz angestrebt. Bei einer fortlaufenden<br />
Systemverwaltung erreichen alle Domänencontroller den Zustand der Konvergenz, d.h. alle<br />
Domänencontroller verfügen über identische Informationen, wenn für eine gewisse Zeit keine Änderungen<br />
am Verzeichnis vorgenommen wurden.<br />
Bei diesem Replikationsmodell wird außerdem ein Replikationsverfahren verwendet, bei dem das<br />
Speichern und Weiterleiten von Informationen im Vordergrund steht. Das bedeutet, dass ein Domänencontroller<br />
eine Verzeichnisänderung empfangen und diese Änderung dann an andere Domänencontroller<br />
weiterleiten kann. Dies ist vor allem dann von Vorteil, wenn mehrere Domänencontroller in<br />
verschiedenen Unternehmensniederlassungen über langsame WAN-Verknüpfungen verbunden sind.<br />
Eine Verzeichnisänderung kann von einem Domänencontroller an einem Standort an einen einzelnen<br />
Domänencontroller an einem anderen Standort repliziert werden. Der Domänencontroller, der die<br />
Aktualisierung empfängt, kann diese Änderungen dann an weitere Domänencontroller an einem zweiten<br />
Standort weiterleiten.
Replikationsverfahren 95<br />
Die AD DS verwenden außerdem ein statusbasiertes Replikationsmodell. Das bedeutet, dass jeder<br />
Domänencontroller den Status von Replikationsaktualisierungen nachverfolgt. Wenn ein Domänencontroller<br />
neue Aktualisierungen empfängt (entweder am Domänencontroller vorgenommene Änderungen<br />
oder replizierte Änderungen von anderen Domänencontrollern), übernimmt der Domänencontroller<br />
die Aktualisierungen in sein Replikat des AD DS-Datenspeichers. Versucht ein weiterer<br />
Domänencontroller die Informationen zu replizieren, über die der Domänencontroller bereits verfügt,<br />
kann der empfangende Domänencontroller mithilfe des Status seines Datenspeichers festlegen, dass<br />
das Empfangen doppelter Informationen nicht erforderlich ist. Der aktuelle Status des Datenspeichers<br />
umfasst Metadaten, die zum Auflösen von Konflikten verwendet werden und verhindern, dass bei<br />
jedem Replikationszyklus eine vollständige Replikation gesendet wird.<br />
Replikationsverfahren<br />
Features wie beispielsweise die Multimaster-Replikation sowie die Replikation durch das Speichern<br />
und Weiterleiten von Informationen bieten die Möglichkeit, dass ein Domänencontroller AD DS-<br />
Aktualisierungen von mehreren Domänencontrollern empfangen kann, und dass der AD DS-Replikationsdatenverkehr<br />
zwischen Domänencontrollern über unterschiedliche Wege geleitet werden kann.<br />
Wenn z.B. eine Änderung an den AD DS des Domänencontrollers DC1 vorgenommen wird, kann<br />
diese Änderung direkt auf die Domänencontroller DC2 und DC3 repliziert werden. Aufgrund des<br />
Modells zum Speichern und Weiterleiten von Informationen versucht der Domänencontroller DC2<br />
unter Umständen, die gleiche Änderung auf Domänencontroller DC3 zu replizieren. Die AD DS-<br />
Replikation wurde entworfen, um ein effizientes Replikationsverfahren sicherzustellen, während<br />
gleichzeitig Redundanz bereitgestellt wird.<br />
Aktualisierungstypen<br />
An den AD DS-Informationen auf einem bestimmten Domänencontroller können zwei Arten von<br />
Änderungen vorgenommen werden. Bei dem einen Aktualisierungstyp handelt es sich um eine<br />
ursprüngliche Aktualisierung. Eine ursprüngliche Aktualisierung wird beim Hinzufügen, Bearbeiten<br />
oder Löschen eines Objekts auf einem Domänencontroller durchgeführt. Bei dem zweiten Aktualisierungstyp<br />
handelt es sich um eine replizierte Aktualisierung. Eine replizierte Aktualisierung wird<br />
durchgeführt, wenn eine an einem anderen Domänencontroller vorgenommene Änderung auf den<br />
lokalen Domänencontroller repliziert wird. Per Definition kann es für jede beliebige Änderung nur<br />
eine ursprüngliche Aktualisierung geben, und zwar auf dem Domänencontroller, auf dem die Änderung<br />
vorgenommen wird. Diese ursprüngliche Aktualisierung wird dann auf alle Domänencontroller<br />
repliziert, die über ein Replikat der entsprechenden AD DS-Partition verfügen.<br />
In allen folgenden Situationen finden in den AD DS ursprüngliche Aktualisierungen statt:<br />
• Hinzufügen eines neuen Objekts zu den AD DS Beim Hinzufügen eines neuen Objekts zu den<br />
AD DS wird ein Objekt mit einem eindeutigen AttributobjectGUID erstellt. Darüber hinaus wird<br />
allen Werten, denen die für das Objekt konfigurierten Attribute zugewiesen wurden, die Versionsnummer<br />
1 zugewiesen.<br />
• Löschen eines vorhandenen Objekts aus den AD DS Beim Löschen eines Objekts aus den AD DS<br />
wird das Objekt als gelöscht gekennzeichnet, es wird jedoch nicht unmittelbar aus dem AD DS-<br />
Datenspeicher entfernt. Das Objekt wird erst nach Ablauf der für das Objekt festgelegten Tombstone-Zeit<br />
endgültig gelöscht. Weitere Informationen zu diesem Thema werden im Abschnitt<br />
„Replizieren von Objektlöschungen“ in diesem Kapitel bereitgestellt.
96 Kapitel 4: <strong>Active</strong> <strong>Directory</strong>-Domänendienstreplikation<br />
• Bearbeiten der Attribute eines vorhandenen Objekts Eine solche Bearbeitung kann das Hinzufügen<br />
eines neuen Werts zu einem Attribut, das Löschen eines Attributwerts oder das Bearbeiten eines<br />
vorhandenen Werts umfassen. Wenn Sie Änderungen an einem Objekt vornehmen, wird bei der<br />
Bearbeitungsanforderung der neue Wert jedes Attributs mit dem vorhandenen Wert verglichen.<br />
Hat sich der Wert eines Attributs nicht geändert, wird das Attribut auch nicht aktualisiert. Hat sich<br />
der Wert geändert, wird das Attribut aktualisiert, und die Versionsnummer jedes aktualisierten<br />
Attributs wird um eins erhöht.<br />
• Verschieben eines Objekts in den AD DS in einen neuen übergeordneten Container Wenn ein übergeordneter<br />
Container umbenannt wird, wird jedes Objekt im Container ebenfalls in den umbenannten<br />
Container verschoben. Wird ein Objekt in einen anderen Container in den AD DS verschoben,<br />
ändert sich für das Objekt nur das Attribut name, wobei diese Attributänderung auf den neuen<br />
Speicherort in der LDAP-Hierarchie zurückzuführen ist.<br />
Bei allen ursprünglichen Aktualisierungen an den AD DS handelt es sich um unteilbare Operationen,<br />
d.h. dass bei einer ursprünglichen Aktualisierung der AD DS entweder die vollständige Transaktion<br />
durchgeführt und die Änderung in den Datenspeicher übernommen wird, oder dass kein Teil der<br />
Aktualisierung durchgeführt wird. Weitere Informationen zum Vornehmen von Änderungen am<br />
AD DS-Datenspeicher werden in Kapitel 14, „Überwachen und Warten von <strong>Active</strong> <strong>Directory</strong>“,<br />
bereitgestellt.<br />
Das Replikationsverfahren in Windows Server 2008<br />
In Windows Server 2003 wurden einige wichtige Änderungen am Replikationsverfahren vorgenommen,<br />
die auch in Windows Server 2008 verfügbar sind. Bei einer dieser Änderungen handelt es<br />
sich um die Replikation verknüpfter Werte. In Windows 2000 ist die kleinste Replikationseinheit<br />
ein Attribut. Dies bedeutet, dass in einigen Fällen das Ändern eines Werts in einem Mehrwertattribut<br />
zu einem erheblichen Replikationsdatenverkehr führen kann. Solche Änderungen werden am<br />
häufigsten an Mitgliedschaften in universellen Gruppen vorgenommen. Da sich die vollständige<br />
Mitgliedsliste für eine universelle Gruppen in einem Attribut befindet, führt das Hinzufügen eines<br />
einzelnen Benutzers zu der universellen Gruppe zu einer umfangreichen Replikation, vor allem<br />
dann, wenn die Gruppe bereits über Tausende Mitglieder verfügt. In Windows Server 2003 <strong>Active</strong><br />
<strong>Directory</strong> und den Windows Server 2008-AD DS können Mehrwertattribute wie z.B. die Gruppenmitgliedschaft<br />
aktualisiert werden, indem nur die Änderung des Attributs mithilfe der Replikation<br />
verknüpfter Werte repliziert wird.<br />
Die AD DS nutzen verknüpfte Attribute, um die Replikation verknüpfter Werte zu ermöglichen.<br />
Verknüpfte Attribute umfassen immer einen Forwardlink und einen Backwardlink, um eine Verknüpfung<br />
zwischen zwei AD DS-Objekten zu erstellen. Der Forwardlink ist mit einem Attribut des<br />
Quellobjekts verknüpft (z.B. das Attribut member des Gruppenobjekts), wohingegen der Backwardlink<br />
das mit dem Zielobjekt verknüpfte Attribut darstellt (z.B. das Attribut memberOf des<br />
Benutzerobjekts). Ein Backwardlinkwert umfasst die definierten Namen aller Objekte, in deren<br />
Forwardlink der definierte Name des Objekts festgelegt ist.<br />
Die Beziehungen zwischen verknüpften Attributen werden als Verknüpfungspaare in einer eigenen<br />
Tabelle in der Verzeichnisdatenbank gespeichert. Durch das übereinstimmende Paar der Verknüpfungskennungen<br />
werden die Attribute aneinander gebunden.
Replikationsverfahren 97<br />
Das Attribut member verfügt beispielsweise über eine Verknüpfungskennung mit dem Wert 2, und<br />
das Attribut memberOf verfügt über eine Verknüpfungskennung mit dem Wert 3. Da die Attribute<br />
member und memberOf in der Datenbank verknüpft und zu Suchzwecken indiziert sind, kann<br />
das Verzeichnis auf alle Einträge überprüft werden, in denen das Verknüpfungspaar member/<br />
memberOf lautet und das Attribut memberOf die Gruppe kennzeichnet.<br />
Die Beziehungen zwischen verknüpften Attributen werden als Verknüpfungspaare in einer eigenen<br />
Tabelle in der Verzeichnisdatenbank gespeichert. Durch das übereinstimmende Paar der Verknüpfungskennungen<br />
werden die Attribute aneinander gebunden. Das Attribut member verfügt beispielsweise<br />
über eine Verknüpfungskennung mit dem Wert 2, und das Attribut memberOf verfügt<br />
über eine Verknüpfungskennung mit dem Wert 3. Da die Attribute member und memberOf in der<br />
Datenbank verknüpft und zu Suchzwecken indiziert sind, kann das Verzeichnis auf alle Einträge<br />
überprüft werden, in denen das Verknüpfungspaar member/memberOf lautet und das Attribut<br />
memberOf die Gruppe kennzeichnet.<br />
Eine weitere wichtige Änderung in Windows Server 2003 <strong>Active</strong> <strong>Directory</strong> bestand in der Unterstützung<br />
für Gruppen mit mehr als 5000 Mitgliedern. In Windows 2000 konnten Gruppen aufgrund<br />
der Aktualisierung auf Attributebene und der Replikation nicht mehr als 5000 Mitglieder<br />
umfassen. Der Grenzwert zum Vornehmen von Änderungen an der Verzeichnisdatenbank während<br />
einer Transaktion liegt bei 5000. Dadurch wird auch die Höchstanzahl an Änderungen definiert, die<br />
während der Replikation einer Aktualisierung repliziert werden können. Daher ergibt sich die<br />
maximale Gruppengröße von 5000 Mitgliedern in Windows 2000. In den Windows Server 2008-<br />
AD DS besteht durch die Unterstützung von Änderungen an nur einem Wert eines verknüpften<br />
Mehrwertattributs diese Beschränkung nicht mehr.<br />
Replizieren von Änderungen<br />
Nachdem eine ursprüngliche Änderung an den AD DS vorgenommen wurde, muss die Änderung auf<br />
die weiteren Domänencontroller repliziert werden, die über ein Replikat dieser Partition verfügen.<br />
Innerhalb eines Standorts wartet der Domänencontroller, an dem die ursprüngliche Aktualisierung<br />
vorgenommen wurde, 15 Sekunden, bevor er die Änderungen auf seine direkten Replikationspartner<br />
repliziert. Die Wartezeit von 15 Sekunden ist erforderlich, um die gleichzeitige Replikation von mehreren<br />
an der Datenbank vorgenommenen Änderungen zu ermöglichen. Dies führt zu einer erhöhten<br />
Replikationseffizienz. Zwischen Standorten wird die ursprüngliche Aktualisierung basierend auf dem<br />
für die Standortverknüpfung konfigurierten Zeitplan auf die Replikationspartner repliziert.<br />
Beim Replizieren von Änderungen an Verzeichnisinformationen benötigen die Domänencontroller<br />
einen Mechanismus für die Verwaltung des Replikationsflusses. Zur Optimierung der AD DS-Replikation<br />
sollten bei der Replikation nur die zwischen zwei Domänencontrollern erforderlichen Änderungen<br />
gesendet werden. Dafür sollten die Domänencontroller ermitteln können, welche Änderungen<br />
(sofern vorhanden) bisher nicht repliziert wurden, und anschließend sollten sie nur diese erforderlichen<br />
Änderungen replizieren. Die AD DS verwenden für die Verzeichnisreplikationsverwaltung eine<br />
Kombination von USNs (Update Sequence Numbers), obere Grenzwerte (High Watermark), Aktualitätsvektoren<br />
(Up-To-Dateness Vectors, UTDV) und Änderungsstempel.
98 Kapitel 4: <strong>Active</strong> <strong>Directory</strong>-Domänendienstreplikation<br />
Update Sequence Numbers (USNs)<br />
Bei der Aktualisierung eines Objekts in der Datenbank wird der Aktualisierung eine Update Sequence<br />
Number (USN) zugewiesen. Die USN ist spezifisch für den Domänencontroller, auf dem die Aktualisierung<br />
vorgenommen wurde. Wenn beispielsweise der Aktualisierung der Telefonnummer eines<br />
Benutzers die USN 5555 zugewiesen wurde, würde die USN der nächsten Änderung am Domänencontroller<br />
unabhängig vom geänderten Objekt USN 5556 lauten. Jeder vorgenommenen Änderung<br />
wird eine USN zugewiesen. Werden während einer Aktualisierung mehrere Attribute geändert (z.B.<br />
die Adresse, Telefonnummer und die Niederlassung eines Benutzers), wird während der Aktualisierung<br />
nur eine USN zugewiesen.<br />
Beim Vornehmen einer Änderung gibt es drei Verwendungsmöglichkeiten für die USN. Die eine<br />
Möglichkeit besteht darin, dass der lokale USN-Wert mit dem aktualisierten Attribut gespeichert wird.<br />
Die USN des geänderten Attributs wird mit dem lokalen USN-Wert gekennzeichnet. Die zweite Möglichkeit<br />
besteht darin, die USN für das Attribut uSNChanged des Objekts zu verwenden. Dieses Attribut<br />
wird mit jedem Objekt gespeichert und kennzeichnet die höchste USN für jedes beliebige Attribut<br />
des Objekts. Angenommen, die Telefonnummer eines Benutzers wurde geändert, und die der<br />
Änderung zugewiesene USN lautete 5556. Sowohl für die lokale USN als auch für das Attribut<br />
uSNChanged wird der Wert 5556 festgelegt. Nehmen Sie weiter an, dass die nächste im Verzeichnis<br />
dieses Servers vorgenommene Aktualisierung in der Änderung der Adresse des gleichen Benutzers<br />
bestand. Sowohl für die lokale USN des Adressattributs als auch das Attribut uSNChanged des Benutzerobjekts<br />
würde der Wert 5557 festgelegt. Die lokale USN für das Telefonnummernattribut würde<br />
jedoch unverändert 5556 bleiben, da dies die USN der letzten Aktualisierung ist, durch die dieses<br />
bestimmte Attribut geändert wurde.<br />
Die lokale USN sowie das Attribut uSNChanged werden sowohl für ursprüngliche Aktualisierungen<br />
als auch für replizierte Aktualisierungen angewendet. Und schließlich kann die USN für das Attribut<br />
originating USN verwendet werden. Dieser Wert wird nur für ursprüngliche Aktualisierungen festgelegt<br />
und als Teil der Attributreplikation auf alle weiteren Domänencontroller repliziert. Beim<br />
Ändern der Telefonnummer eines Benutzers auf einem Server wird die USN der Änderung dem<br />
ursprünglichen USN-Wert zugewiesen. Bei der Replikation der geänderten Telefonnummer auf weitere<br />
Domänencontroller wird die ursprüngliche USN gemeinsam mit der Aktualisierung gesendet, und<br />
dieser Wert wird auf dem Zieldomänencontroller nicht bearbeitet. Die lokale USN und das Attribut<br />
uSNChanged werden auf dem Zieldomänencontroller bearbeitet (und sind spezifisch für diesen<br />
Domänencontroller), die ursprüngliche USN wird jedoch nicht geändert, bis das Attribut an sich<br />
erneut aktualisiert wird. Die ursprüngliche USN wird für die an späterer Stelle in diesem Kapitel<br />
beschriebenen Propagierungsdämpfung verwendet.<br />
Anzeigen von USN-Informationen<br />
Die USNs jedes beliebigen Objekts können mithilfe der unterschiedlichen, in Windows Server<br />
2008 integrierten Verwaltungstools angezeigt werden. Am einfachsten können Sie die aktuellen<br />
und ursprünglichen USN-Werte für ein Objekt im Verwaltungstool <strong>Active</strong> <strong>Directory</strong>-Computer und<br />
-Benutzer anzeigen. Um diese Informationen anzuzeigen, aktivieren Sie im Menü Ansicht die<br />
Option Erweiterte Features, und klicken Sie im anschließend angezeigten Eigenschaftendialogfeld<br />
auf die Registerkarte Objekt. Denken Sie daran, dass die USN Domänencontroller-spezifisch ist.<br />
Daher ist die USN für ein Objekt auf zwei unterschiedlichen Domänencontrollern nicht identisch.
Replikationsverfahren 99<br />
Sie können die lokale USN, den ursprünglichen Domänencontroller, die ursprüngliche USN und<br />
den Zeitstempel für jedes beliebige Attribut mithilfe des Befehlszeilenprogramms Repadmin anzeigen.<br />
Geben Sie in einer Eingabeaufforderung die Zeichenfolge repadmin /showobjmeta Domänencontrollername<br />
DefinierterObjektnamen ein. In Abbildung 4.1 wird ein Teil der Ausgabe für<br />
diesen Befehl dargestellt.<br />
Abbildung 4.1<br />
Anzeigen von Replikationsmetadaten mithilfe von Repadmin.<br />
In dieser Ausgabe können Sie sehen, dass der Benutzer auf dem Domänencontroller SEA-DC1<br />
erstellt wurde, die Attribute description und telephoneNumber wurden dann jedoch auf Domänencontroller<br />
SEA-DC2 geändert. Die ursprünglichen USNs für alle Attribute stammen, mit Ausnahme<br />
dieser beiden, vom Domänencontroller SEA-DC1, die ursprünglichen USNs für die Attribute<br />
description und telephoneNumber stammen jedoch vom Domänencontroller SEA-DC2. Die<br />
lokalen USNs hingegen stammen alle vom Domänencontroller SEA-DC1, d.h. dem Domänencontroller,<br />
von dem diese Informationen erfasst wurden. Die Versionsnummer der beiden Attribute<br />
beträgt 2. Das weist ebenfalls darauf hin, dass die ursprüngliche Version des Attributs geändert<br />
wurde.<br />
Sie können auf die gleichen Replikationsinformationen auch mithilfe des Tools Ldp zugreifen. Stellen<br />
Sie dafür mithilfe des Tools Ldp eine Verbindung bzw. Bindung mit einem Domänencontroller<br />
her, ermitteln Sie das Objekt, und klicken Sie anschließend mit der rechten Maustaste auf das<br />
Objekt, wählen Erweitert und klicken anschließend auf Replikationsmetadaten. Bei den Replikationsmetadaten<br />
handelt es sich um die gleichen Informationen, die mithilfe des Tools Repadmin<br />
angezeigt werden, es sei denn, dass die ursprünglichen DSA-Informationen mithilfe der Domänencontroller-GUID<br />
(Globally Unique Identifier, global eindeutige Kennung) und nicht mithilfe des<br />
Anzeigenamens angezeigt werden.
100 Kapitel 4: <strong>Active</strong> <strong>Directory</strong>-Domänendienstreplikation<br />
Obere Grenzwerte (High Watermark)<br />
Die oberen Grenzwerte (High Watermark-Werte) werden verwendet, um die zwischen Domänencontrollern<br />
zu replizierenden Informationen zu verwalten. Jeder Domänencontroller verwaltet seinen<br />
eigenen Satz an oberen Grenzwerten für jeden seiner direkten Replikationspartner. Bei dem oberen<br />
Grenzwert handelt es sich lediglich um den aktuellen Wert uSNChanged, den der Domänencontroller<br />
von einem bestimmten Replikationspartner erhalten hat. Wenn ein Domänencontroller eine Aktualisierung<br />
an einen Replikationspartner sendet, wird der Wert uSNChanged gemeinsam mit der Aktualisierung<br />
gesendet. Der Zieldomänencontroller betrachtet diesen Wert uSNChanged als den oberen<br />
Grenzwert für den Replikationspartner.<br />
Die oberen Grenzwerte finden bei der Replikation Anwendung. Wenn ein Domänencontroller<br />
Aktualisierungen von einem anderen Domänencontroller anfordert, sendet der Zieldomänencontroller<br />
seinen oberen Grenzwert, den der Quelldomänencontroller verwenden kann. Anhand des oberen<br />
Grenzwerts kann der Quelldomänencontroller ermitteln, welche Aktualisierungen der Zieldomänencontroller<br />
bereits erhalten hat. Der Quelldomänencontroller verwendet den oberen Grenzwert des<br />
Zieldomänencontrollers, um alle potenziellen Verzeichnisaktualisierungen zu filtern und nur die<br />
Änderungen mit einem höheren Wert uSNChanged zu senden.<br />
Hinweis Auf dem Domänencontroller wird ein eigener oberer Grenzwert für jede Verzeichnispartition und<br />
für jeden direkten Replikationspartner gespeichert.<br />
Aktualitätsvektoren und Propagierungsdämpfung<br />
Die Aktualitätsvektoren (Up-To-Dateness Vector, UDTV) werden ebenfalls zur Steuerung der zwischen<br />
Domänencontrollern zu replizierenden Informationen verwendet. Mithilfe der Aktualitätsvektoren<br />
können die ursprünglichen Aktualisierungen nachverfolgt werden, die ein Domänencontroller<br />
von einem beliebigen Domänencontroller erhalten hat. Angenommen, die Telefonnummer eines<br />
Benutzers wird auf Domänencontroller DC1 geändert, und dem Attribut wird die ursprüngliche<br />
USN 5556 zugewiesen. Bei der Replikation dieses Attributs auf Domänencontroller DC2 wird die<br />
ursprüngliche USN mit dem aktualisierten Attribut repliziert. Darüber hinaus wird die GUID von<br />
Domänencontroller DC1 mit dem neuen Attribut repliziert. Wenn der Domänencontroller DC2 diese<br />
Aktualisierung erhält, ändert er seinen Aktualitätsvektor, um anzugeben, dass der Wert der aktuellen<br />
ursprünglichen Aktualisierung, die er von Domänencontroller DC1 erhalten hat, nun 5556 lautet.<br />
Fordert ein Zieldomänencontroller Aktualisierungen von einem Quelldomänencontroller an, integriert<br />
er seine Aktualitätsvektoren in die Anforderung. Der Zieldomänencontroller nutzt dann seinerseits<br />
diese Informationen, um die Liste der möglichen Aktualisierungen zu filtern, die an den Zieldomänencontroller<br />
gesendet werden könnten. Diese Option ist wichtig, wenn mehr als zwei Domänencontroller<br />
für eine Verzeichnispartition vorhanden sind. Wenn beispielsweise der Domänencontroller<br />
DC3 dem im vorangegangenen Abschnitt erläuterten Beispiel hinzugefügt wird, wird die auf dem<br />
Domänencontroller DC1 geänderte Telefonnummer auf die beiden Domänencontroller DC2 und DC3<br />
repliziert. Nun verfügen die beiden Domänencontroller DC3 und DC2 über die aktualisierte Telefonnummer,<br />
und sie ändern ihren Aktualitätsvektor, um anzugeben, dass die ursprüngliche USN, die die<br />
beiden Domänencontroller von Domänencontroller DC1 erhalten haben, 5556 lautete. 15 Sekunden<br />
nach Erhalt dieser Aktualisierung benachrichtigt Domänencontroller DC2 Domänencontroller DC3<br />
über die aktualisierten Informationen. Wenn Domänencontroller DC3 die Verzeichnisaktualisierungen<br />
von Domänencontroller DC2 anfordert, integriert er seinen Aktualitätsvektor in die Anforderung.<br />
In diesem Fall kann Domänencontroller DC2 ermitteln, dass der Aktualitätsvektor von Domänencontroller<br />
DC3 für Domänencontroller DC1 bereits die aktuelle ursprüngliche USN ausweist.
Replikationsverfahren 101<br />
Wenn die Änderung der Telefonnummer während dieses Zeitraums die einzige am Verzeichnis vorgenommene<br />
Änderung darstellt, werden keine weiteren Informationen zwischen den Domänencontrollern<br />
DC2 und DC3 repliziert.<br />
Dieses Verfahren zum Verringern der während der Replikation gesendeten Aktualisierungen mithilfe<br />
des Aktualitätsvektors wird als Propagierungsdämpfung bezeichnet. Hierbei handelt es sich um ein<br />
wichtiges Feature, da die AD DS so entworfen sind, dass redundante Replikationsverbindungen zwischen<br />
Domänencontrollern aufgebaut werden. Eines der Probleme beim Erstellen redundanter Verknüpfungen<br />
besteht darin, dass einem Domänencontroller unter Umständen die gleiche Aktualisierung<br />
von mehreren Replikationspartnern gesendet wird. Dies kann zu einem erheblichen Anstieg des<br />
Replikationsdatenverkehrs und potenziell dazu führen, dass die gleiche Aktualisierung wiederholt an<br />
alle Domänencontroller gesendet würde – was zu einer Replikationsschleife führen könnte. Durch die<br />
mithilfe des Aktualitätsvektors vorgenommene Propagierungsdämpfung wird dies unterbunden.<br />
Der obere Grenzwert und der Aktualitätsvektor werden gemeinsam verwendet, um den Replikationsdatenverkehr<br />
einzuschränken. Mit dem oberen Grenzwert wird die letzte Änderung gekennzeichnet,<br />
die ein Domänencontroller von einem bestimmten Domänencontroller empfangen hat, daher muss der<br />
Quelldomänencontroller diese Änderung nicht erneut senden. Mit dem Aktualitätsvektor werden die<br />
aktuellen Änderungen gekennzeichnet, die von allen anderen Domänencontrollern empfangen wurden,<br />
die ein Replikat der Partition umfassen. Daher muss der Quelldomänencontroller keine Verzeichnisaktualisierungen<br />
senden, die der Zieldomänencontroller bereits von einem anderen Replikationspartner<br />
erhalten hat.<br />
Änderungsstempel und Konfliktlösung<br />
Bei der letzten zur Verwaltung der Replikation zwischen Domänencontrollern verwendeten Eigenschaft<br />
handelt es sich um den Änderungsstempel. Bei jeder Attributänderung wird die Änderung mit<br />
einem Änderungsstempel gekennzeichnet. Dieser Änderungsstempel wird dann bei der Replikation<br />
auf andere Domänencontroller gemeinsam mit der Aktualisierung gesendet. Anhand des Änderungsstempels<br />
kann im Falle eines Replikationskonflikts die anzuwendende Änderung ermittelt werden.<br />
Der Änderungsstempel umfasst drei Komponenten:<br />
• Versionsnummer Die Versionsnummer wird zur Nachverfolgung der Anzahl an Änderungen verwendet,<br />
die an einem Attribut oder einem Objekt vorgenommen wurden. Beim Erstellen eines<br />
Objekts wird für die Versionsnummer aller Attribute der Wert 0 festgelegt, sofern keine andere<br />
Festlegung für das Attribut vorgenommen wird. Wird einem bisher nicht festgelegten Attribut ein<br />
Wert zugewiesen, wird die Versionsnummer auf den Wert 1 erhöht. Bei jeder Aktualisierung des<br />
Attributs wird die Versionsnummer um den Wert 1 erhöht.<br />
• Letzter Schreibzugriff Der letzte Schreibzugriff wird für die Nachverfolgung des letzten Schreibzugriffs<br />
auf das Objekt verwendet. Der Zeitwert wird auf dem Server aufgezeichnet, auf dem das<br />
Attribut aktualisiert wird, und er wird mit dem Attribut auf andere Domänencontroller repliziert.<br />
• Ursprungsserver Hierbei handelt es sich um die GUID des Servers, auf den die letzte ursprüngliche<br />
Aktualisierung des Attributs angewendet wurde.<br />
Der Änderungsstempel für jede Änderung an einem Attribut setzt sich aus diesen drei Komponenten<br />
zusammen. Bei der Replikation des Attributs auf einen anderen Domänencontroller wird die Information<br />
des Änderungsstempels gemeinsam mit dem Attribut repliziert. Wenn ein Attribut auf einem<br />
Domänencontroller geändert wird und am gleichen Attribut auf einem anderen Domänencontroller<br />
ebenfalls eine Änderung vorgenommen wird, bevor die Aktualisierung auf den zweiten Domänencontroller<br />
repliziert wurde, wird anhand des Änderungsstempels das als endgültige Änderung anzuwendende<br />
Attribut ermittelt.
102 Kapitel 4: <strong>Active</strong> <strong>Directory</strong>-Domänendienstreplikation<br />
Beim Entstehen von Konflikten wird die Entscheidung über die endgültige Änderung in der folgenden<br />
Reihenfolge getroffen:<br />
1. Versionsnummer Die Änderung mit der höchsten Versionsnummer wird immer übernommen.<br />
Daher wird, für den Fall, dass die Änderung auf dem einen Domänencontroller die Versionsnummer<br />
3 und auf dem anderen Domänencontroller die Versionsnummer 4 aufweist, die Änderung mit<br />
der Versionsnummer 4 übernommen wird.<br />
2. Letzter Schreibzugriff Beim nächsten für die Ermittlung der anzuwendenden Änderung verwendeten<br />
Wert handelt es sich um den letzten Schreibzugriff. Bei identischen Versionsnummern wird die<br />
Änderung mit dem aktuellen Zeitstempel angewendet.<br />
3. Server-GUID Bei identischen Versionsnummern und Zeitstempeln wird die GUID der Serverdatenbank<br />
für die Ermittlung der anzuwendenden Änderung verwendet. Es wird die Änderung angewendet,<br />
die von dem Server mit der höheren GUID stammt. Diese GUIDs werden beim Hinzufügen eines<br />
Domänencontrollers zur Domäne zugewiesen, wobei die Zuweisung einer GUID willkürlich vorgenommen<br />
wird.<br />
Bei der AD DS-Replikation können Konflikte gelöst werden, die bei der gleichzeitigen Bearbeitung<br />
des gleichen Objektattributs auf zwei Domänencontrollern entstehen. Es gibt jedoch mindestens zwei<br />
weitere Konflikte, die entstehen können:<br />
• Ein Objekt wird auf einem Domänencontroller hinzugefügt oder bearbeitet, während zur gleichen<br />
Zeit das Containerobjekt des Objekts auf einem anderen Domänencontroller gelöscht wird: Auf<br />
einem Domänencontroller wird beispielsweise ein neuer Benutzer zur OU (Organizational Unit,<br />
Organisationseinheit) Buchhaltung hinzugefügt. Zur gleichen Zeit löscht ein anderer Administrator<br />
auf einem anderen Domänencontroller die OU Buchhaltung. In diesem Fall wird der Container<br />
über die Replikation auf allen Domänencontrollern gelöscht, und das dem gelöschten<br />
Container hinzugefügte Objekt wird in den AD DS in den Container LostAndFound verschoben.<br />
• Objekte werden mit dem gleichen relativ definierten Namen (Relative Distinguished Name, RDN)<br />
im gleichen Container hinzugefügt: Ein Administrator eines Domänencontrollers erstellt beispielsweise<br />
ein Benutzerobjekt mit dem relativen definierten Namen Bill in der OU Buchhaltung, während<br />
zur gleichen Zeit auf einem anderen Domänencontroller ein Benutzer mit dem gleichen<br />
relativen definierten Namen in die gleiche OU verschoben bzw. darin erstellt wird. In diesem<br />
Fall wird für die Konfliktlösung die der Verzeichnisaktualisierung zugewiesene GUID verwendet,<br />
um zu ermitteln, welches Objekt beibehalten und welches Objekt umbenannt wird. Das Objekt<br />
mit der höheren GUID wird beibehalten, und das Objekt mit der niedrigeren GUID wird in<br />
Bill*CNF:userGUID umbenannt, wobei es sich bei dem Nummernzeichen (*) um ein reserviertes<br />
Zeichen handelt. Wenn das zweite Benutzerobjekt benötigt wird, kann es umbenannt werden.<br />
Replizieren von Objektlöschungen<br />
Die Replikation von Objektlöschungen wird in den AD DS abweichend zu anderen Verzeichnisaktualisierungen<br />
gehandhabt. Wird ein Objekt wie beispielsweise ein Benutzerkonto gelöscht, so wird das<br />
Objekt nicht unmittelbar gelöscht. Es wird vielmehr ein Tombstone-Objekt erstellt. Bei dem Tombstone-<br />
Objekt handelt es sich um das ursprüngliche Objekt, für dessen Attribut isDeleted der Wert true festgelegt<br />
wurde, und bei dem ein Großteil der verbleibenden Objektattribute gelöscht wurde. Es werden nur<br />
wenige Attribute beibehalten, die für die Kennzeichnung des Objekts erforderlich sind, wie beispielsweise<br />
die GUID, die SID, SIDHistory und der definierte Name. Gelöschte Objekte werden im ausgeblendeten<br />
Container Gelöschte Objekte gespeichert. Jede Verzeichnispartition verfügt über den Container<br />
Gelöschte Objekte.
Replikationsverfahren 103<br />
Hinweis Um den Container Gelöschte Objekte in einer Verzeichnispartition anzuzeigen, verwenden Sie<br />
ein Tool wie beispielsweise Ldp. Nachdem Herstellen einer Verbindung bzw. Bindung mit der Verzeichnispartition<br />
rufen Sie im Menü Optionen die Option Steuerelemente auf. Fügen Sie im Dialogfeld Steuerelemente<br />
das Steuerelement Return deleted objects hinzu. Nach dem Hinzufügen des Steuerelements wird der Container<br />
CN=Deleted Items in der Verzeichnisstruktur angezeigt.<br />
Dieser Tombstone wird dann auf alle weiteren Domänencontroller in der Domäne repliziert. Wenn<br />
alle Domänencontroller die Aktualisierung empfangen, werden die am ursprünglichen Objekt vorgenommenen<br />
Änderungen auf alle Domänencontroller angewendet. Das Tombstone-Objekt verbleibt für<br />
einen festgelegten Zeitraum im der Domänendatenbank. Dieser Zeitraum wird als Tombstone-Ablaufzeit<br />
bezeichnet. Nach der standardmäßig auf 180 Tage festgelegten Tombstone-Ablaufzeit löscht jeder<br />
Domänencontroller den Tombstone aus seiner Datenbankkopie. Das Verfahren zum Entfernen von<br />
Tombstones aus der Datenbank wird als Sammlung veralteter Objekte bezeichnet. Standardmäßig ist<br />
für das Intervall der Sammlung veralteter Objekte in der Gesamtstruktur ein Wert von 12 Stunden festgelegt.<br />
Das bedeutet, dass die Sammlung veralteter Objekte alle zwölf Stunden durchgeführt wird und<br />
dabei alle Tombstones gelöscht werden, deren Tombstone-Ablaufzeit überschritten ist.<br />
Hinweis Die Tombstone-Ablaufzeit wurde in Windows Server 2008 <strong>Active</strong> <strong>Directory</strong> abweichend zu Vorgängerversionen<br />
festgelegt. In Windows 2000 und Windows 2003 <strong>Active</strong> <strong>Directory</strong> betrug die Tombstone-<br />
Ablaufzeit 60 Tage. In Windows 2003 SP1 wurde dieser Wert auf 180 Tage erhöht, dann wurde er jedoch<br />
in Windows Server 2003 R2 auf 60 Tage zurückgesetzt. Wenn Sie eine vorhandene Domäne mit einer<br />
Tombstone-Ablaufzeit von 60 Tagen auf Windows Server 2008 aktualisieren, wird dieser Zeitraum für die<br />
Ablaufzeit beibehalten. Sie können mithilfe des ADSI-Editors oder des Tools Ldp.exe Änderungen an der<br />
Tombstone-Ablaufzeit und dem Intervall zur Sammlung veralteter Objekte vornehmen. Diese Eigenschaften<br />
werden im Objekt CN=<strong>Directory</strong> Service,CN=Windows NT,CN=Services,CN=Configuration, DC=ForestRoot-<br />
Domain konfiguriert. Diese Einstellungen werden mithilfe der Attribute garbageCollPeriod und der<br />
tombstoneLifetime definiert. In den meisten Fällen ist es nicht erforderlich, Änderungen an diesen Werten<br />
vorzunehmen.<br />
Verknüpfte Attribute sind im Hinblick auf das Löschen von Objekten als Sonderfälle zu betrachten.<br />
Beim Löschen eines Objekts werden die folgenden Änderungen an den verknüpften Attributen vorgenommen:<br />
• Alle Forwardlinks für das gelöschte Objekt werden entfernt. Wenn beispielsweise ein Gruppenobjekt<br />
gelöscht wird, werden alle Mitgliedsverknüpfungen für das Gruppenobjekt entfernt. Das<br />
bedeutet, dass die Gruppe aus dem Attribut memberOf der rückwärtigen Verknüpfung jedes<br />
Benutzers entfernt wird, der Mitglied der Gruppe war.<br />
• Alle rückwärtigen Verknüpfungen werden für das gelöschte Objekt entfernt. Wenn z.B. ein Benutzer<br />
gelöscht wird, wird der Wert des definierten Namens des Benutzers von den Mitgliedsattributen<br />
jedes Gruppenobjekts entfernt, das das Attribut memberOf des Benutzers aufweist.<br />
Nachdem das verknüpfte Attribut auf einem Domänencontroller bearbeitet wurde, werden die Aktualisierungen<br />
(wie alle anderen Aktualisierungen auch), auf die weiteren Domänencontroller repliziert.<br />
Wichtig Aufgrund des Vorgehens beim Löschen verknüpfter Attribute unterscheidet sich der Vorgang zur<br />
autorisierenden Wiederherstellung dieser Objekte von der Wiederherstellung von Objekten, die keine verknüpften<br />
Attribute aufweisen. Weitere Informationen zu diesem Thema werden in Kapitel 15, „<strong>Active</strong> <strong>Directory</strong>-<br />
Notfallwiederherstellung“, bereitgestellt.
104 Kapitel 4: <strong>Active</strong> <strong>Directory</strong>-Domänendienstreplikation<br />
Replizieren des Verzeichnisses SYSVOL<br />
Änderungen am AD DS-Datenspeicher werden mithilfe des zuvor beschriebenen Verfahrens vorgenommen.<br />
Der Ordner SYSVOL auf jedem Domänencontroller enthält darüber hinaus jedoch Informationen,<br />
die für die fehlerfreie Funktionsfähigkeit der AD DS von zentraler Bedeutung sind. Der freigegebene<br />
Ordner SYSVOL umfasst die folgenden Dateien und Ordner, die verfügbar sein müssen und<br />
zwischen den Domänencontrollern in einer Domäne synchronisiert werden:<br />
• Gruppenrichtlinieneinstellungen Der Ordner SYSVOL enthält einen Ordner, der den Namen der<br />
Domäne trägt, in welcher der Domänencontroller Mitglied ist. Dieser Domänenordner umfasst<br />
einen Ordner mit dem Namen Policies, in dem Gruppenrichtlinienvorlagen und Skripts für Clients<br />
ab Windows 2000 enthalten sind.<br />
• Den freigegebenen Ordner NETLOGON In diesem Ordner sind Systemrichtlinien (die Dateien<br />
Config.pol oder Ntconfig.pol) sowie benutzerbasierte Anmelde- und Abmeldeskripts für Prä-Windows<br />
2000-Netzwerkclients enthalten, wie beispielsweise Clients, auf denen Windows 98 oder<br />
Windows NT 4.0 ausgeführt wird. Der freigegebene Ordner NETLOGON befindet sich im Ordner<br />
Scripts des Domänenordners.<br />
Der Inhalt des Ordners SYSVOL wird auf jeden Domänencontroller in einer Domäne repliziert. Wenn<br />
als Domänenfunktionsebene Windows Server 2003 oder eine niedrigere Funktionsebene festgelegt ist,<br />
ist der Dateireplikationsdienst (File Replication Service, FRS) für die Replikation des Inhalts des Ordners<br />
SYSVOL zwischen Domänencontrollern verantwortlich. Beim Heraufstufen der Domänenfunktionsebene<br />
auf Windows Server 2008 wird die Replikation des Inhalts des Ordners SYSVOL mithilfe<br />
der DFS-R (Distributed File System Replication) durchgeführt. In beiden Fällen werden die Verbindungsobjekttopologie<br />
sowie die von der Konsistenzprüfung (Knowledge Consistency Checker, KCC)<br />
für die <strong>Active</strong> <strong>Directory</strong>-Replikation erstellte Planung für die Replikationsverwaltung zwischen<br />
Domänencontrollern verwendet.<br />
Hinweis Bei der DFS-R handelt es sich um ein statusbasiertes Multimaster-Replikationsmodul, das in<br />
Windows Server 2003 R2 eingeführt wurde und die Replikationsplanung sowie die Bandbreiteneinschränkung<br />
unterstützt. Die DFS-R verwendet einen neuen Komprimierungsalgorithmus, der als Remotedifferenzialkomprimierung<br />
(Remote Differential Compression, RDC) bezeichnet wird. Mithilfe der RDC werden bei<br />
der DFS-R nur die Unterschiede (oder Änderungen) zwischen zwei Servern repliziert, wodurch für die Replikation<br />
weniger Bandbreite erforderlich ist. Weitere Informationen zur DFS-R finden Sie im Artikel „Overview<br />
of the Distributed File System Solution in Microsoft Windows Server 2003 R2“ (in englischer Sprache) unter<br />
http://technet2.microsoft.com/windowsserver/en/library/d3afe6ee-3083-4950-a093-<br />
8ab748651b761033.mspx?mfr=true.<br />
Standortinterne und standortübergreifende Replikation<br />
Die Beschreibungen zur Funktionsweise der AD DS-Replikation gilt sowohl für die standortinterne<br />
als auch die standortübergreifende Replikation. In beiden Fällen nutzen Domänencontroller die gleichen<br />
Verfahren für die Optimierung des Replikationsverfahrens. Die Verwaltung des Replikationsdatenverkehrs<br />
ist einer der Hauptgründe, die für das Erstellen zusätzlicher Standorte in den AD DS<br />
sprechen. Da für alle Domänencontroller innerhalb eines Standorts eine schnelle Verbindung<br />
zugrunde gelegt wird, ist die Replikation zwischen diesen Domänencontrollern für höchstmögliche<br />
Geschwindigkeit und verringerte Latenz optimiert. Wenn der Replikationsdatenverkehr jedoch über<br />
eine langsame Netzwerkverbindung übertragen werden muss, stellt die Aufrechterhaltung der Netzwerkbandbreite<br />
ein größeres Problem dar.
Standortinterne und standortübergreifende Replikation 105<br />
Die Aufrechterhaltung der Netzwerkbandbreite kann durch das Erstellen mehrerer Standorte erzielt<br />
werden, indem Features wie die Datenkomprimierung und die geplante AD DS-Replikation aktiviert<br />
werden.<br />
Standortinterne Replikation<br />
Das primäre Ziel einer standortinternen Replikation besteht in der Verringerung der Replikationslatenz,<br />
d.h. darin, die schnellstmögliche Aktualisierung aller Domänencontroller innerhalb eines<br />
Standorts sicherzustellen. Um dieses Ziel zu erreichen, weist die standortinterne Replikation folgende<br />
Merkmale auf:<br />
• Das Replikationsverfahren wird durch eine Benachrichtigung vom sendenden Domänencontroller<br />
initiiert. Wenn eine Änderung an der Datenbank vorgenommen wird, benachrichtigt der sendende<br />
Computer einen Zieldomänencontroller darüber, dass Änderungen verfügbar sind. Die Änderungen<br />
werden dann durch den Zieldomänencontroller über eine RPC-Verbindung (Remote Procedure<br />
Call, Remoteprozedurabruf) vom sendenden Domänencontroller abgerufen. Nachdem diese<br />
Replikation abgeschlossen ist, benachrichtigt der Domänencontroller einen weiteren Zieldomänencontroller,<br />
der dann die Änderungen abruft. Dieses Verfahren wird so lange fortgeführt, bis die<br />
Aktualisierung aller Replikationspartner abgeschlossen ist.<br />
• Die Replikation wird fast unmittelbar nach dem Ändern von AD DS-Informationen vorgenommen.<br />
Standardmäßig wartet ein Domänencontroller 15 Sekunden, nachdem eine Änderung vorgenommen<br />
wurde, und beginnt dann mit der Replikation der Änderungen auf Domänencontroller<br />
am gleichen Standort. Der Domänencontroller schließt die Replikation mit einem Partner ab, wartet<br />
für drei Sekunden, und initiiert anschließend die Replikation mit einem weiteren Partner. Der<br />
Domänencontroller wartet 15 Sekunden nach einer Änderung, um die Replikationseffizienz zu<br />
erhöhen, für den Fall, dass weitere Änderungen an den Partitionsinformationen vorgenommen<br />
werden.<br />
• Der Replikationsdatenverkehr wird nicht komprimiert. Da alle Computer innerhalb eines Standorts<br />
über schnelle Verbindungen verbunden sind, werden die Daten ohne Komprimierung versendet.<br />
Die Komprimierung von Replikationsdaten erzeugt eine zusätzliche Last auf dem<br />
Domänencontrollerserver. Durch den unkomprimierten Replikationsdatenverkehr wird die Serverleistung<br />
auf Kosten der Netzwerkauslastung beibehalten.<br />
• Während eines Replikationszyklus wird der Replikationsdatenverkehr an mehrere Replikationspartner<br />
gesendet. Bei jeder am Verzeichnis vorgenommenen Änderung repliziert der Domänencontroller<br />
die Informationen an alle direkten Replikationspartner, d.h. an einige oder alle<br />
Domänencontroller am Standort.<br />
Ändern der standortinternen Replikation<br />
In dem meisten Fällen ist keine Änderung an der Funktionsweise der standortinternen Replikation<br />
erforderlich. Es gibt jedoch einige Einstellungen, die in bestimmten Situationen angepasst werden<br />
können. Dazu gehören:<br />
• Wartezeit Wenn als Funktionsebene Ihrer AD DS-Gesamtstruktur Windows Server 2003 oder<br />
Windows Server 2008 festgelegt ist, können Sie den Zeitraum ändern, den der Domänencontroller<br />
vor der Benachrichtigung des ersten Replikationspartners und der Benachrichtigung nachfolgender<br />
Replikationspartner abwartet.
106 Kapitel 4: <strong>Active</strong> <strong>Directory</strong>-Domänendienstreplikation<br />
Öffnen Sie hierfür die Konfigurationspartition im ADSI-Editor, und wechseln Sie zum Ordner<br />
CN=Partitions,CN=Configuration,DC=Gesamtstrukturname. Klicken Sie im Ordner mit der<br />
rechten Maustaste auf die Partition, für die Sie die Replikationseinstellungen ändern möchten.<br />
Der Wert für die Zeitverzögerung zur Benachrichtigung des ersten Replikationspartners wird<br />
im Attribut msDS-Replication-Notify-First-DSA-Delay gespeichert. Der Standardwert wird<br />
nicht angezeigt, er ist jedoch auf 15 Sekunden festgelegt. Der Wert für die nachfolgenden<br />
Benachrichtigungen wird im Attribut msDS-Replication-Notify-Subsequent-DSA-Delay gespeichert.<br />
Für diesen Wert sind standardmäßig 3 Sekunden festgelegt. Wenn in Ihrer Organisation<br />
Windows 2000 Server-Domänencontroller ausgeführt werden, müssen Sie die auf 300 Sekunden<br />
festgelegte Standardeinstellung für die Benachrichtigung des ersten Replikationspartners<br />
und 30 Sekunden für nachfolgende Benachrichtigungen ändern. Sie können auch den Befehl<br />
repadmin Computername /notifyopt Namenskontext /first:Zeit_in_Sekunden /subs: Zeit_in_<br />
Sekunden verwenden, um die Replikationswartezeiten festzulegen. Um die Wartezeiten auf die<br />
Standardwerte zurückzusetzen, verwenden Sie den gleichen Befehl und legen keinen Wert für die<br />
Zeiteinstellungen fest.<br />
• Strikte Replikationskonsistenz Über die strikte Replikationskonsistenz wird festgelegt, auf welche<br />
Weise veraltete Objekte von erneut verbundenen Domänencontrollern repliziert werden, für<br />
die während eines längeren Zeitraums als der Tombstone-Ablaufzeit keine Replikation durchgeführt<br />
wurde. Wenn beispielsweise ein Domänencontroller beim Löschvorgang für ein Objekt<br />
offline ist oder während der gesamten Tombstone-Ablaufzeit offline bleibt, wird der Tombstone<br />
nicht auf den Server repliziert. Wird der Server erneut mit dem Netzwerk verbunden,<br />
versucht er, das Objekt auf andere Domänencontroller zu replizieren. Wenn auf dem Zieldomänencontroller<br />
die strikte Replikationskonsistenz aktiviert ist, akzeptiert er keine eingehende<br />
Replikation eines veralteten Objekts. Standardmäßig wird in Windows Server 2008 die strikte<br />
Replikationskonsistenz erzwungen. Sie können diese Einstellung ändern, indem Sie für den<br />
Schlüssel HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\NTDS\Parameters\<br />
Strict Replication Consistency den Wert 0 festlegen.<br />
• Datenmenge, die in jedem Replikationspaket repliziert wird Standardmäßig beträgt die Anzahl an<br />
Objekten, die von Windows Server 2008-Domänencontrollern in einem einzelnen Paket repliziert<br />
wird, 1/1.000.000 der Arbeitsspeichergröße, wobei mindestens 100 Objekte und höchstens<br />
1000 Objekte repliziert werden. Die maximale Größe replizierter Objekte beträgt 1/100 der<br />
Arbeitsspeichergröße, wobei mindestens 1 MB und höchstens 10 MB repliziert werden. Sie<br />
können diese Einstellungen ändern, indem Sie im Verzeichnis HKEY_LOCAL_MACHINE\SYS-<br />
TEM\CurrentControlSet\Services\NTDS\Parameters die Werte Replicator intrasite packet size<br />
(Objekte) und Replicator intrasite packet size (Bytes) erstellen.<br />
Achtung Bevor Sie Änderungen an den Standardeinstellungen für die standortinterne Replikation vornehmen,<br />
sollten Sie die geplanten Änderungen umfassend testen. In den meisten Fällen ist es nicht erforderlich,<br />
Änderungen an diesen Einstellungen vorzunehmen.<br />
Standortübergreifende Replikation<br />
Das primäre Ziel einer standortübergreifenden Replikation besteht in der Verringerung der für den<br />
Replikationsdatenverkehr genutzten Bandbreite. Das bedeutet, dass der Datenverkehr bei der standortübergreifenden<br />
Replikation folgende Merkmale aufweist:
Standortinterne und standortübergreifende Replikation 107<br />
• Die Replikation wird nach einem Zeitplan und nicht nach dem Vornehmen von Änderungen<br />
durchgeführt. Um die standortübergreifende Replikation zu verwalten, müssen Sie eine Standortverknüpfung<br />
erstellen, die zwei Standorte verbindet. Eine der Konfigurationsoptionen für die<br />
Standortverknüpfung ist die Planung des Replikationszeitpunkts. Eine weitere Option ist die Einstellung<br />
eines Replikationsintervalls zum Festlegen der Replikationshäufigkeit während des festgelegten<br />
Zeitraums. Wenn die Bandbreite zwischen Unternehmensstandorten eingeschränkt ist,<br />
kann festgelegt werden, dass die Replikation außerhalb der Arbeitszeiten durchgeführt wird.<br />
• Der Replikationsdatenverkehr wird bei der Komprimierung auf etwa 40 % der unkomprimierten<br />
Größe reduziert, wenn der Replikationsdatenverkehr eine Größe von 32 KB überschreitet. Um<br />
weniger Bandbreite der Netzwerkverbindung zu nutzen, komprimiert der Bridgeheadserver an<br />
jedem Standort den Datenverkehr auf Kosten zusätzlicher CPU-Auslastung.<br />
• Es werden keine Benachrichtigungen gesendet, um einen Domänencontroller an einem Standort<br />
über verfügbare Verzeichnisänderungen zu informieren. Stattdessen wird der Replikationszeitpunkt<br />
anhand des Zeitplans festgelegt.<br />
Hinweis Sie können die Komprimierung für die standortübergreifende Replikation deaktivieren und<br />
Benachrichtigungen aktivieren. Weitere Informationen zu diesem Thema werden im Abschnitt „Konfigurieren<br />
der standortübergreifenden Replikation“ in diesem Kapitel bereitgestellt.<br />
• Standortübergreifende Replikationsverbindungen können für den Transport entweder IP (Internet<br />
Protocol, Internetprotokoll) oder SMTP (Simple Mail Transfer Protocol) verwenden. Das SMTP<br />
kann nur als Transportprotokoll für die Konfigurations-, Schema- und Anwendungsverzeichnispartition,<br />
nicht jedoch für die Domänenpartition verwendet werden. Das von Ihnen verwendete<br />
Verbindungsprotokoll wird durch die verfügbare Bandbreite und die Zuverlässigkeit des Netzwerks<br />
vorgegeben, über das die Unternehmensstandorte verbunden sind.<br />
• Der Replikationsdatenverkehr wird über Bridgeheadserver und nicht über mehrere Replikationspartner<br />
geleitet. Wenn Änderungen am Verzeichnis an einem Standort vorgenommen werden, werden<br />
die Änderungen auf einen einzelnen Bridgeheadserver (pro Verzeichnispartition) am Standort<br />
repliziert, und anschließend werden die Änderungen auf einen Bridgeheadserver an einem anderen<br />
Standort repliziert. Die Änderungen werden von dem Bridgeheadserver am zweiten Standort<br />
auf alle Domänencontroller an diesem Standort repliziert.<br />
• Der Replikationsfluss zwischen Standorten kann einfach bearbeitet werden. Änderungen können<br />
an nahezu jeder Komponente der standortübergreifenden Replikation vorgenommen werden.<br />
Wichtig Eines der wichtigsten Elemente eines AD DS-Entwurfs ist der Standortentwurf. Der Standortentwurf<br />
umfasst die Planung der Anzahl und der physischen Platzierung von Standorten sowie die Konfiguration<br />
standortübergreifender Verbindungen, um die Auslastung der Netzwerkbandbreite zu optimieren, während<br />
gleichzeitig die Replikationslatenz so gering wie möglich sein sollte. Konfigurationsoptionen für standortübergreifende<br />
Verbindungen werden später in diesem Kapitel erläutert, und Probleme beim Standortentwurf werden<br />
in Kapitel 5, „Entwerfen der <strong>Active</strong> <strong>Directory</strong>-Domänendienstestruktur“, beschrieben.<br />
Replikationslatenz<br />
Aufgrund der Funktionsweise der Replikation in den Windows Server 2008-AD DS kann einige Zeit<br />
vergehen, bevor Änderungen, die auf einem Domänencontroller vorgenommen wurden, auf die verbleibenden<br />
Domänencontroller in einer Organisation repliziert werden. Diese Zeitverzögerung wird<br />
als Replikationslatenz bezeichnet. In den meisten Fällen kann die Replikationslatenz einfach berechnet<br />
werden, vor allem innerhalb eines Standorts.
108 Kapitel 4: <strong>Active</strong> <strong>Directory</strong>-Domänendienstreplikation<br />
Wie bereits erwähnt, wird jede Änderung, die am Datenspeicher eines Domänencontrollers vorgenommen<br />
wird, nach etwa 15 Sekunden auf die Replikationspartner des Domänencontrollers repliziert.<br />
Der Zieldomänencontroller behält diese Änderungen für 15 Sekunden und übergibt diese<br />
anschließend an seine Replikationspartner. Daher beträgt die Replikationslatenz innerhalb eines<br />
Standorts 15 Sekunden addiert mit der Anzahl an Abschnitten, die durchlaufen werden, bis alle<br />
Domänencontroller die Änderung erhalten haben. Wie im folgenden Abschnitt erläutert wird, umfasst<br />
die Replikationstopologie innerhalb eines Standorts nie mehr als drei Abschnitte, und daher beträgt<br />
die maximale Latenz bei der standortinternen Replikation in der Regel weniger als eine Minute.<br />
Das Ermitteln der standortübergreifenden Replikationslatenz ist etwas schwieriger. Als Erstes ist die<br />
Berechnung der Replikationslatenz innerhalb des Quellstandorts erforderlich. Die Replikationslatenz<br />
ist die Zeit, die benötigt wird, bis eine auf einem Domänencontroller an dem Standort vorgenommene<br />
Änderung auf den Bridgeheadserver des Quellstandorts repliziert wurde. Nachdem die Informationen<br />
am Bridgeheadserver des ursprünglichen Standorts angekommen sind, wird die zur Übertragung der<br />
Informationen an den Zielstandort benötigte Zeit durch den Zeitplan für die Standortverknüpfungen<br />
und das Replikationsintervall vorgegeben. Standardmäßig wird über Standortverknüpfungen alle drei<br />
Stunden eine Replikation durchgeführt. Wenn Sie keine Änderung an dieser Konfiguration vornehmen,<br />
werden der Replikationslatenz maximal drei Stunden hinzugefügt. Wenn die Informationen am<br />
Bridgeheadserver am Zielstandort angekommen sind, muss die standortinterne Replikationslatenz für<br />
den Zielstandort hinzugefügt werden. In einigen Fällen ist diese Replikationslatenz nicht akzeptabel.<br />
Um die Replikationslatenz zu verringern, können Sie das Replikationsintervall für die standortinterne<br />
Replikation auf bis zu 15 Minuten verkürzen.<br />
Bei der Verwaltung der Replikationslatenz muss ein Ausgleich zwischen dem erforderlichen kurzen<br />
Latenzzeitraum und den Bandbreiteneinschränkungen geschaffen werden. Wenn Sie die kürzestmögliche<br />
Latenzzeit erreichen möchten, sollten Sie alle Domänencontroller am gleichen Standort platzieren.<br />
In diesem Fall beträgt die Replikationslatenz für alle Domänencontroller etwa eine Minute. Wenn<br />
Ihre Unternehmensniederlassungen jedoch über WAN-Verbindungen mit eingeschränkter Bandbreite<br />
verbunden sind, benötigen Sie mehrere Standorte, um die Netzwerkauslastung für die AD DS-Replikation<br />
zu verwalten. Dadurch erhöht sich jedoch die Replikationslatenz.<br />
Dringende Replikation<br />
In einigen Fällen ist die im Abschnitt zuvor beschriebene Replikationslatenz zu lang. Dies ist insbesondere<br />
der Fall, wenn ein sicherheitsrelevantes Attribut im Verzeichnis geändert wurde. In diesen<br />
Fällen verwenden die AD DS die dringende Replikation, bei der ein Domänencontroller die Änderungen<br />
unmittelbar an seine Replikationspartner weiterleitet. Jeder Domänencontroller, der eine dringende<br />
Aktualisierung erhält, leitet diese ebenfalls unmittelbar weiter. Auf diese Weise werden alle<br />
Domänencontroller am Standort innerhalb von Sekunden aktualisiert. Die folgenden Änderungstypen<br />
lösen eine dringende Replikation aus:<br />
• Bearbeiten der Kontosperrrichtlinie für die Domäne<br />
• Bearbeiten der Kennwortrichtlinien<br />
• Verschieben des RID-Masters (Relative Identifier, relativer Bezeichner) auf einen neuen Domänencontroller<br />
• Ändern eines LSA-Schlüssels (Local Security Authority, lokale Sicherheitsautorität), wenn beispielsweise<br />
das Kennwort eines Domänencontrollers geändert wird<br />
• Sperren eines Benutzerkontos, wenn ein Benutzer zu viele Anmeldeversuche mit einem ungültigen<br />
Kennwort ausführt
Erstellen der Replikationstopologie 109<br />
Standardmäßig werden dringende Aktualisierungen nur während der standortinternen und nicht während<br />
der standortübergreifenden Replikation angewendet. Dieses Standardverfahren für dringende<br />
Aktualisierungen kann geändert werden, indem die Replikationsbenachrichtigung zwischen Standorten<br />
aktiviert wird.<br />
Benutzerkennwortänderungen werden nicht über die dringende Replikation repliziert. Stattdessen<br />
wird bei einer Benutzerkennwortänderung auf einem Domänencontroller diese Änderung direkt auf<br />
den PDC-Emulator für die Domäne repliziert. Diese Replikation wird über Standortgrenzen hinweg<br />
durchgeführt, und dabei wird nicht auf die Bridgeheadserver an jedem Standort zurückgegriffen. Der<br />
Domänencontroller, auf dem die Änderung vorgenommen wurde, nutzt stattdessen eine RPC-Verbindung<br />
mit dem PDC-Emulator, um das Kennwort zu aktualisieren. Der PDC-Emulator aktualisiert<br />
anschließend alle weiteren Domänencontroller über das normale Replikationsverfahren. Wenn der<br />
Benutzer einen Anmeldeversuch an einem Domänencontroller vornimmt, der das neue Kennwort<br />
noch nicht erhalten hat, führt der Domänencontroller eine Überprüfung des PDC-Emulators durch,<br />
um zu prüfen, ob Kennwortänderungen für den Benutzer vorgenommen wurden, dem zuvor die<br />
Anmeldung verweigert wurde.<br />
Erstellen der Replikationstopologie<br />
Um die AD DS-Replikation verstehen zu können, müssen Sie wissen, auf welche Weise die Replikationstopologie<br />
erstellt wird. Standardmäßig wird das Verfahren zum Erstellen der Replikationstopologie<br />
automatisch von den AD DS durchgeführt. Wenngleich eine manuelle Konfiguration der Replikationstopologie<br />
möglich ist, stellt die Standardkonfiguration des Systems in der Regel die beste Option<br />
dar.<br />
Um die Replikationstopologie erfolgreich erstellen zu können, werden die folgenden Komponenten<br />
benötigt:<br />
• Routingfähige IP-Infrastruktur Um eine standortinterne Replikation zu konfigurieren, ist die Konfiguration<br />
der AD DS-Standorte sowie die Zuordnung der Standorte zu IP-Subnetzadressbereichen<br />
erforderlich. Domänencontroller und Clientcomputer nutzen dieses IP-Subnetz beim Ermitteln<br />
von Domänencontrollern für die Standortzuordnung.<br />
• DNS Die AD DS-Replikationstopologie erfordert DNS, damit die Domänencontroller ihre Replikationspartner<br />
ermitteln können. DNS speichert ferner SRV-Ressourceneinträge, die Clients<br />
Standortaffinitätsinformationen für die Ermittlung von Domänencontrollern bereitstellen.<br />
• Netzwerkanmeldedienst Der Netzwerkanmeldedienst ist für DNS-Registrierungen erforderlich.<br />
Außerdem muss der Netzwerkanmeldedienst zur ordnungsgemäßen Funktion der AD DS ausgeführt<br />
werden.<br />
• RPC-Verbindung AD DS-Domänencontroller müssen mithilfe von RPCs eine Verbindung mit<br />
Domänencontrollern in der gleichen Domäne herstellen können. RPCs müssen zwischen Domänencontrollern<br />
am gleichen Standort sowie an unterschiedlichen Standorten verwendet werden,<br />
wenn sich die Domänencontroller in der gleichen Domäne befinden. Bei SMTP handelt es sich<br />
um ein alternatives Protokoll, das von Domänencontrollern in unterschiedlichen Domänen und<br />
Standorten verwendet werden kann.<br />
• Standortübergreifender Messagingdienst Der standortübergreifende Messagingdient wird für die<br />
standortübergreifende Replikation über SMTP sowie für Berechnungen zur Standortabdeckung<br />
benötigt. Wenn als Gesamtstrukturfunktionsebene Windows 2000 festgelegt ist, ist der standortübergreifende<br />
Messagingdienst auch für die standortübergreifende Topologieerstellung erforderlich.
110 Kapitel 4: <strong>Active</strong> <strong>Directory</strong>-Domänendienstreplikation<br />
Konsistenzprüfung<br />
Die Konsistenzprüfung (Knowledge Consistency Checker, KCC) ist das auf jedem Domänencontroller<br />
ausgeführte Verfahren zum Erstellen der standortinternen und der standortübergreifenden Replikationstopologie.<br />
Sobald ein Domänencontroller zu einer AD DS-Gesamtstruktur hinzugefügt wurde,<br />
beginnt die Konsistenzprüfung mit dem Erstellen einer effizienten und fehlertoleranten Replikationstopologie.<br />
Beim Hinzufügen weiterer Domänencontroller zu einem Standort oder beim Hinzufügen<br />
zusätzlicher Standorte nutzt die KCC die Informationen zu Servern, Standorten, Standortverknüpfungen<br />
und Zeitplänen, um die optimale Replikationstopologie zu erstellen.<br />
Die KCC wird auf jedem Domänencontroller ausgeführt. Sie nutzt die in der Konfigurationsverzeichnispartition<br />
auf jedem Domänencontroller gespeicherten Informationen, um eine Replikationstopologie<br />
zu erstellen. Da alle Domänencontroller die gleichen Konfigurationsinformationen und den<br />
gleichen Algorithmus zum Erstellen der Topologie verwenden, wird die Topologie ohne direkte Kommunikation<br />
zwischen KCC-Komponenten auf unterschiedlichen Domänencontrollern erstellt. Die<br />
KCC kommuniziert nur mit anderen KCCs, um über eine RPC-Anforderung Informationen zu Replikationsfehlern<br />
anzufordern.<br />
Die KCC behandelt darüber hinaus Änderungen oder Fehler innerhalb der Replikationstopologie<br />
dynamisch. Wenn ein Domänencontroller für einen gewissen Zeitraum offline ist, ändert die KCC die<br />
Replikationstopologie, um den nicht verfügbaren Domänencontroller zu umgehen. Standardmäßig<br />
nimmt die KCC auf jedem Domänencontroller alle 15 Minuten eine Neuberechnung der Replikationstopologie<br />
vor. Sie können jederzeit eine Neuberechnung der Replikationstopologie durch die KCC<br />
mithilfe des Verwaltungstools <strong>Active</strong> <strong>Directory</strong>-Standorte und -Dienste erzwingen, indem Sie den Server<br />
ermitteln, auf dem Sie die Replikationstopologie überprüfen möchten. Klicken Sie mit der rechten<br />
Maustaste im Container Servers auf den Container NDTS Settings, wählen Sie Alle Aufgaben, und<br />
klicken Sie anschließend auf Replikationstopologie überprüfen. Sie können die Neuberechnung der<br />
Replikationstopologie durch den Domänencontroller auch mithilfe des Befehls Repadmin /kcc Domänencontrollername<br />
überprüfen.<br />
Verbindungsobjekte<br />
Wenn die KCC eine Replikationstopologie erstellt, erstellt sie mehrere Verbindungsobjekte, die in der<br />
Konfigurationsverzeichnispartition der AD DS gespeichert werden. Bei den Verbindungsobjekten<br />
handelt es sich um direkte logische Verbindungen zwischen Domänencontrollern, die für die Replikation<br />
der Verzeichnisinformationen verwendet werden. Die KCC versucht eine Replikationstopologie<br />
zu erstellen, die sowohl effizient als auch fehlertolerant ist. Durch die KCC werden alle zum Erreichen<br />
dieser Ziele erforderlichen Verbindungsobjekte erstellt.<br />
Verbindungsobjekte werden immer als unidirektionale Pull-Verbindungen zwischen zwei Domänencontrollern<br />
erstellt. Der Grund hierfür ist, dass das normale Replikationsverfahren immer einen Pull-<br />
Vorgang darstellt, wobei der Zieldomänencontroller die Informationen von einem sendenden Domänencontroller<br />
anfordert. In den meisten Fällen baut die KCC zwei unidirektionale Verbindung zwischen<br />
Domänencontrollern auf, sodass die Informationen in beide Richtungen repliziert werden können.<br />
In der Regel sind die automatisch von der KCC erstellten Objekte optimiert, daher müssen daran<br />
keine Änderungen vorgenommen werden. Unter bestimmten Umständen kann es jedoch erforderlich<br />
sein, Änderungen an den Verbindungsobjekten vorzunehmen. Es kann beispielsweise im Rahmen der<br />
AD DS-Problembehandlung vorkommen, dass Änderungen an einem Verbindungsobjekt vorzunehmen<br />
sind.
Erstellen der Replikationstopologie 111<br />
Zum Bearbeiten der Standardverbindungsobjekte haben Sie zwei Möglichkeiten: Sie können Einstellungen<br />
eines durch die KCC erstellen Verbindungsobjekts ändern, oder Sie können neue Verbindungsobjekte<br />
hinzufügen.<br />
Bearbeiten eines durch die KCC erstellten Verbindungsobjekts<br />
Sie können den Zeitplan und den Quelldomänencontroller für ein Verbindungsobjekt innerhalb eines<br />
Standorts ändern, und Sie können darüber hinaus das Übertragungsprotokoll für Verbindungsobjekte<br />
zwischen Standorten bearbeiten. Das Verbindungsdialogfeld wird in Abbildung 4.2 dargestellt. Standardmäßig<br />
überprüfen Domänencontroller innerhalb eines Standorts sämtliche Replikationspartner<br />
alle 15 Minuten auf fehlende Aktualisierungen. Sie können dieses Intervall ändern, um diese Überprüfung<br />
nie, stündlich oder alle 30 Minuten durchzuführen. Wenn Sie ein Verbindungsobjekt bearbeiten,<br />
wird es von in die GUID des Objekts umbenannt. Sie können das Objekt<br />
nach dem Bearbeiten umbenennen.<br />
Abbildung 4.2<br />
Bearbeiten eines vorhandenen Verbindungsobjekts<br />
Erstellen eines neuen Verbindungsobjekts<br />
Sie können auch ein vollständig neues Verbindungsobjekt erstellen, um eine bestimmte Replikationstopologie<br />
zu erzwingen. Beim Erstellen eines Verbindungsobjekts haben Sie die Möglichkeit, den<br />
Domänencontroller auszuwählen, von dem die Änderungen abgerufen werden. Sie können außerdem<br />
alle weiteren Einstellungen der Verbindungsvereinbarung bearbeiten.<br />
Die KCC löscht keine manuell bearbeiteten oder erstellten Verbindungen. Sie verwendet manuelle<br />
Verbindungsobjekte wie jede andere Verbindung, unter Umständen nimmt die KCC jedoch eine<br />
erneute Konfiguration der Verbindungsobjekte am Standort vor, um die manuell erstellten Verbindungen<br />
auszugleichen.
112 Kapitel 4: <strong>Active</strong> <strong>Directory</strong>-Domänendienstreplikation<br />
Standortinterne Replikationstopologie<br />
Innerhalb eines einzelnen Standorts erstellt die KCC eine Replikationstopologie, die redundante Verknüpfungen<br />
umfasst. Das primäre Ziel bei einem AD DS-Replikationsentwurf ist die Verfügbarkeit<br />
sowie die Fehlertoleranz. Wenn ein einzelner Domänencontroller nicht verfügbar ist, sollte das nicht<br />
dazu führen, dass keine AD DS-Replikation durchgeführt werden kann. Der Nachteil der Verwendung<br />
redundanter Verknüpfungen besteht darin, dass ein Domänencontroller unter Umständen mehrfach<br />
die gleiche Aktualisierung erhält, da jeder Domänencontroller über mehrere Replikationspartner<br />
verfügt. Wie bereits zuvor beschrieben, wird bei der AD DS-Replikation die Propagierungsdämpfung<br />
verwendet, um mehrfache Aktualisierungen derselben Informationen zu vermeiden.<br />
Beim Hinzufügen von Domänencontrollern mit Replikaten bestimmter AD DS-Partitionen zur Organisation<br />
beginnt die KCC automatisch mit dem Erstellen der Replikationstopologie. Diese Topologie<br />
bildet einen Replikationsring. In Abbildung 4.3 wird ein Beispiel einer einfachen Netzwerkstruktur<br />
mit drei Domänencontrollern in der gleichen Domäne und einem einzelnen Standort angezeigt.<br />
DC1.Adatum.com<br />
DC3.Adatum.com<br />
DC2.Adatum.com<br />
Abbildung 4.3<br />
Ein einfacher Replikationsring<br />
Wie in Abbildung 4.3 dargestellt, erstellt die KCC einen Replikationsring, in dem jeder Domänencontroller<br />
mit zwei eingehenden Replikationsverbindungen konfiguriert wird. Ist eine der Verbindungen<br />
nicht verfügbar, können Aktualisierungen weiterhin über die andere Verbindung empfangen<br />
werden. Darüber hinaus wird jeder Domänencontroller als Quelldomänencontroller für die beiden<br />
anderen Domänencontroller konfiguriert. Dadurch wird ein redundanter Ring für jeden Domänencontroller<br />
erstellt. Beim Hinzufügen weiterer Domänencontroller mit einem Replikat einer bestimmten<br />
Partition ist ein zweiter Grundsatz für das Erstellen von Verbindungen wichtig. Die KCC erstellt<br />
immer eine Replikationstopologie, in der jeder Domänencontroller an einem Standort nur drei<br />
Abschnitte von jedem beliebigen weiteren Domänencontroller entfernt ist. Sobald mehr als sieben<br />
Domänencontroller mit der gleichen Verzeichnispartition an einem Standort vorhanden sind, werden<br />
zusätzliche Verbindungsobjekte erstellt, um die mögliche Anzahl an Abschnitten auf drei oder weniger<br />
zu reduzieren. Der in Abbildung 4.4 dargestellte Standort verfügt beispielsweise über neun Domänencontroller.<br />
Die Replikationstopologie dieses Standorts würde mindestens eine zusätzliche Verbindung<br />
umfassen.<br />
Replikationsringe basieren auf Verzeichnispartitionen. Das bedeutet, dass die KCC für jede Verzeichnispartition<br />
einen Replikationsring berechnet. Eine Organisation kann beispielsweise über mehrere<br />
Domänen an einem einzelnen Standort und über eine Verzeichnisdienstreplikation verfügen, die auf<br />
mehrere Domänencontroller am Standort repliziert wird. Die Konfiguration könnte wie in<br />
Abbildung 4.5 dargestellt eingerichtet werden.
Erstellen der Replikationstopologie 113<br />
DC2.Adatum.com<br />
DC3.Adatum.com<br />
DC4.Adatum.com<br />
DC1.Adatum.com<br />
DC5.Adatum.com<br />
DC6.Adatum.com<br />
DC9.Adatum.com DC8.Adatum.com DC7.Adatum.com<br />
Abbildung 4.4<br />
Ein Replikationsring mit mehr als sieben Domänencontrollern<br />
Adatum.com<br />
Replikationsring der<br />
Domänenpartition<br />
DC2.Adatum.com<br />
Domänenpartition<br />
Partition AnwPartition1<br />
DC3.Adatum.com<br />
Domänenpartition<br />
AnwPartition1<br />
Replikationsring<br />
der Partition<br />
DC1.Adatum.com<br />
Domänenpartition<br />
Partition des globalen Katalogs<br />
TreyResearch.com<br />
Replikationsring der<br />
Domänenpartition<br />
DC5.Adatum.com<br />
Domänenpartition<br />
Partition des globalen Katalogs<br />
DC6.TreyResearch.com<br />
Domänenpartition<br />
Partition des globalen Katalogs<br />
DC4.TreyResearch.com<br />
Domänenpartition<br />
Partition des globalen Katalogs<br />
Hinweis: Alle Domänencontroller umfassen auch ein Replikat der Konfigurations- und Schemapartition. Der Replikationsring<br />
für die Konfigurations- und Schemapartition würde alle Domänencontroller umfassen.<br />
Abbildung 4.5<br />
Replikationsringe werden für jede Verzeichnispartition erstellt.
114 Kapitel 4: <strong>Active</strong> <strong>Directory</strong>-Domänendienstreplikation<br />
In dem in Abbildung 4.5 dargestellten Szenario würden die in Tabelle 4.1 dargestellten Replikationsringe<br />
erstellt.<br />
Tabelle 4.1<br />
Replikationsringe in einem komplexen Standort<br />
Verzeichnispartition<br />
Konfigurationsverzeichnispartition, Schemaverzeichnispartition<br />
Verzeichnispartition der Domäne Adatum.com<br />
Verzeichnispartition der Domäne TreyResearch.com<br />
Partition des globalen Katalogs<br />
Anwendungsverzeichnispartition AnwPartition1<br />
Replikationspartner<br />
Alle Domänencontroller würden in den Replikationsring integriert,<br />
sowohl für die Konfigurationsverzeichnispartition als auch für die<br />
Schemaverzeichnispartition.<br />
DC1.Adatum.com, DC2.Adatum.com,<br />
DC3.Adatum.com, DC5.Adatum.com<br />
DC4.TreyResearch.com, DC6.TreyResearch.com<br />
DC1.Adatum.com, DC4.Adatum.com,<br />
DC4.TreyResearch.com<br />
DC2.Adatum.com, DC6.TreyResearch.com<br />
Hinweis Die DNS-Anwendungsverzeichnispartitionen (ForestDnsZones und DomainDnsZones) werden<br />
ebenfalls in die Replikationstopologie integriert. Um das in Abbildung 4.5 dargestellte Szenario einfacher zu<br />
gestalten, werden diese Partitionen weder in der Abbildung noch in der damit verbundenen Tabelle aufgeführt.<br />
Wie bereits in Kapitel 3, „<strong>Active</strong> <strong>Directory</strong>-Domänendienste und DNS“, erläutert, werden diese Partitionen<br />
genau wie alle anderen Domänenverzeichnispartitionen behandelt. Die Replikationstopologie des<br />
globalen Katalogs wird in Abbildung 4.5 ebenfalls nicht dargestellt. Das Verfahren zum Erstellen eines Replikationsrings<br />
für den globalen Katalog weist leichte Unterschiede zu den übrigen Partitionen auf und wird im<br />
folgenden Abschnitt beschrieben.<br />
Die Replikationsverbindungen und der Replikationsstatus können mithilfe des Befehlszeilenprogramms<br />
Repadmin mit dem Parameter /showrepl angezeigt werden. In Abbildung 4.6 wird ein Teil<br />
der Ausgabe angezeigt, wenn dieser Befehl auf einem Domänencontroller in einer Gesamtstruktur mit<br />
mehreren Domänen und Standorten ausgeführt wird.<br />
Bei dem Replikationsring handelt es sich um ein logisches Konzept. Bei der tatsächlich mit den Verbindungsobjekten<br />
implementierten Replikationstopologie werden keine doppelten Replikationsringe<br />
erstellt. Wenngleich ein eigener Replikationsring für jede Verzeichnispartition erstellt wird, erstellt die<br />
KCC keine zusätzlichen Verbindungsobjekte für jeden Replikationsring. Stattdessen verwendet die<br />
KCC Verbindungsobjekte mehrfach, um so wenig Verbindungsobjekte wie möglich verwenden zu<br />
müssen und gleichzeitig eine Replikationstopologie zu erstellen, die Redundanz für jede Partition<br />
bereitstellt. In dem in Abbildung 4.5 dargestellten Beispiel verfügt DC2.Adatum.com beispielsweise<br />
über ein Verbindungsobjekt mit DC6.TreyResearch.com. Dieses einzelne Verbindungsobjekt sollte für<br />
die Replikation der Schemapartition, der Konfigurationspartition sowie der Partition AnwPartition1<br />
und der DNS-Anwendungsverzeichnispartitionen verwendet werden. Sie können sehen, welche Verzeichnispartitionen<br />
über welches Verbindungsobjekt repliziert werden, indem Sie das Verbindungsobjekt<br />
mithilfe des Tools Repadmin bzw. über das Verwaltungstool <strong>Active</strong> <strong>Directory</strong>-Standorte und<br />
-Dienste anzeigen. Wie in Abbildung 4.6 dargestellt, können Sie die Einstellung Replizierte Namenskontexte<br />
für jedes Verbindungsobjekt anzeigen. Darüber hinaus können Sie mithilfe des Befehls<br />
Repadmin /showconn Servername die von jedem Verbindungsobjekt replizierten Partitionen anzeigen.<br />
In Abbildung 4.7 wird ein Teil der Ausgabe dieses Befehls dargestellt. In dieser Abbildung<br />
können Sie sehen, dass das Verbindungsobjekt mit SEA-DC2.Adatum.com für die Replikation der<br />
Partitionen DomainDnsZones, ForestDnsZones, Adatum.com sowie der Konfigurations- und Schemapartitionen<br />
verwendet wird.
Erstellen der Replikationstopologie 115<br />
Abbildung 4.6<br />
Verwenden des Befehls Repadmin zum Anzeigen von Replikationsverbindungen<br />
Abbildung 4.7<br />
Ein einzelnes Verbindungsobjekt, das für die Replikation mehrerer Verzeichnispartitionen verwendet wird
116 Kapitel 4: <strong>Active</strong> <strong>Directory</strong>-Domänendienstreplikation<br />
Replikation des globalen Katalogs<br />
Der globalen Katalog ist eine Partition, die sich von den übrigen Partitionen dahingehend unterscheidet,<br />
dass sie aus allen Domänendatenbanken in der Gesamtstruktur gebildet wird. Der globale Katalog<br />
selbst ist auf allen Domänencontrollern schreibgeschützt, und daher können die Informationen im<br />
globalen Katalog nicht direkt durch den Administrator bearbeitet werden. Bei dem globalen Katalog<br />
handelt es sich einfach um eine Liste aller Attribute, die in den globalen Katalog verschoben wurden,<br />
da für ihr Attribut isMemberOfPartialAttributeSet der Wert true festgelegt wurde.<br />
Dadurch, dass der globale Katalog aus den Domänendatenbanken erstellt wird, ergeben sich Auswirkungen<br />
auf den Replikationsring des globalen Katalogs. Jeder globale Katalogserver muss die<br />
Informationen des globalen Katalogs von den Domänencontrollern in allen Domänen erhalten.<br />
In Abbildung 4.8 wird als einfaches Beispiel ein Unternehmen mit zwei Domänen an einem Standort<br />
dargestellt, bei dem jede Domäne über einen Domänencontroller verfügt. Nur die Domäne<br />
DC1.Adatum.com ist als globaler Katalogserver konfiguriert. Der globale Katalogserver ist außerdem<br />
der einzige Domänencontroller der Domäne Adatum.com, daher extrahiert er die globalen Kataloginformationen<br />
für die Domäne Adatum.com aus seiner eigenen Domänendatenbank. Der Domänencontroller<br />
in der Domäne TreyResearch.com verfügt lediglich über eine Kopie der Domänenverzeichnispartition.<br />
Daher sammelt die Domäne DC1.Adatum.com die globalen Kataloginformationen für die<br />
Domäne TreyResearch.com von der Domäne DC2.TreyResearch.com. Um die Informationen von der<br />
Domäne TreyResearch.com zu extrahieren, wird ein Verbindungsobjekt von der Domäne DC2.Trey-<br />
Research.com zur Domäne DC1.Adatum.com erstellt, und diese Verbindung wird dann für die Replikation<br />
der Informationen des globalen Katalogs auf die Domäne DC1.Adatum.com verwendet.<br />
Verbindungsobjekt zum Replizieren<br />
der Informationen des globalen<br />
Katalogs von TreyResearch.com<br />
auf den globalen Katalogserver<br />
DC2.Adatum.com<br />
Globaler Katalog<br />
Abbildung 4.8<br />
DC2.TreyResearch.com<br />
Beispiel einer einfachen Replikation des globalen Katalogs<br />
In Abbildung 4.9 wird ein komplexeres Beispiel zum Erstellen und Replizieren des globalen Katalogs<br />
dargestellt. In diesem Szenario wird ein Verbindungsobjekt von einem Domänencontroller in<br />
jeder Domäne auf jedem globalen Katalogserver konfiguriert. Die Domäne DC1.Adatum.com verfügt<br />
beispielsweise über ein eingehendes Verbindungsobjekt von den Domänen DC2.Adatum.com,<br />
DC4.TreyResearch.com und DC6.Contoso.com. Dieses Verbindungsobjekt wird zum Erstellen des<br />
globalen Katalogs auf der Domäne DC1.Adatum.com verwendet. Für alle übrigen globalen Katalogserver<br />
wird ein vergleichbarer Satz an Verbindungsobjekten erstellt. Darüber hinaus wird ein eigener<br />
Replikationsring für die Partition des globale Katalogs mit allen globalen Katalogservern erstellt.
Erstellen der Replikationstopologie 117<br />
DC2.Adatum.com<br />
DC3.TreyResearch.com<br />
Globaler Katalog<br />
DC1.Adatum.com<br />
Globaler Katalog<br />
Globaler Katalog<br />
Quellreplikation<br />
Globaler Katalog<br />
Replikationsring<br />
DC4.TreyResearch.com<br />
DC6. Contoso.com<br />
DC5. Contoso.com<br />
Globaler Katalog<br />
Abbildung 4.9<br />
Beispiel einer komplexeren Replikation des globalen Katalogs<br />
Standortübergreifende Replikationstopologie<br />
Beim Hinzufügen zusätzlicher Standorte zu einer Gesamtstruktur wird die Replikationstopologie<br />
immer komplexer. In einem Szenario mit mehreren Standorten muss für jeden Standort eine Replikationstopologie<br />
erstellt werden, und auch zwischen Standorten ist eine Replikationstopologie erforderlich.<br />
Um diese komplexen Anforderungen zu umgehen, gibt es zum Erstellen von Verbindungsobjekten<br />
für die standortübergreifende Replikation ein eigenes Verfahren. Innerhalb eines Standorts ist<br />
die KCC auf jedem Domänencontroller für das Erstellen der Verbindungsobjekte verantwortlich, die<br />
benötigt werden, um die erforderliche Replikationsredundanz für alle Partitionen sicherzustellen.<br />
Anschließend werden die Informationen zu den Verbindungsobjekten auf die übrigen Domänencontroller<br />
repliziert. Der Domänencontroller erhält außerdem Informationen zu den Verbindungsobjekten,<br />
die von anderen Domänencontrollern erstellt wurden. Beim nächsten Ausführen der KCC werden<br />
basierend auf den Informationen, die der Domänencontroller über andere Verbindungsobjekte am<br />
Standort erhalten hat, eventuell Verbindungsobjekte hinzugefügt oder gelöscht. Abschließend legen<br />
die KCCs auf allen Domänencontrollern an einem Standort die optimale Replikationskonfiguration<br />
fest.<br />
Ein vergleichbarer Ansatz wird beim Festlegen der Replikationstopologie zwischen Standorten verwendet<br />
– mit der Ausnahme, dass ein Domänencontroller an jedem Standort für die Entwicklung der<br />
standortübergreifenden Topologie verantwortlich ist. Die KCC auf einem Domänencontroller am<br />
Standort wird als Generator für standortübergreifende Topologie (Inter-Site Topology Generator,<br />
ISTG) für den Standort bestimmt. Unabhängig von der Anzahl an Domänen oder weiteren Verzeichnispartitionen<br />
an einem Standort gibt es nur einen ISTG pro Standort. Der ISTG ist für die Berechnung<br />
der geeigneten Replikationstopologie für den gesamten Standort verantwortlich. Dieses Verfahren<br />
umfasst die folgenden zwei Vorgänge:
118 Kapitel 4: <strong>Active</strong> <strong>Directory</strong>-Domänendienstreplikation<br />
• Ermitteln des Bridgeheadservers für jede Verzeichnispartition am Standort. Die Replikation zwischen<br />
Standorten wird immer von einem Bridgeheadserver an einem Standort an einen Bridgeheadserver<br />
an einem anderen Standort gesendet. Das bedeutet, dass die Informationen nur einmal<br />
über die Netzwerkverbindung zwischen den Standorten repliziert werden.<br />
• Erstellen der Verbindungsobjekte zwischen den Bridgeheadservern, um die Informationsreplikation<br />
zwischen den Standorten sicherzustellen. Da die Replikation zwischen Bridgeheadservern<br />
konfiguriert wird, werden, im Gegensatz zur standortinternen Replikation, keine redundanten Verbindungsobjekte<br />
konfiguriert. Der ISTG erstellt jedoch Verbindungsobjekte mit Bridgeheadservern<br />
in mehreren Standorten, wenn die Standortverknüpfungen so konfiguriert wurden, dass sie<br />
die Verbindungen aktivieren.<br />
Beim Hinzufügen eines neuen Standorts zur Gesamtstruktur ermittelt der ISTG an jedem Standort,<br />
welche Verzeichnispartitionen am neuen Standort vorhanden sind. Anschließend berechnet der ISTG<br />
die neuen Verbindungsobjekte, die für die Replikation der erforderlichen Informationen vom neuen<br />
Standort benötigt werden. Darüber hinaus bestimmt der ISTG für jede Verzeichnispartition einen<br />
Domänencontroller zum Bridgeheadserver. Der ISTG erstellt die erforderlichen Verbindungsvereinbarungen<br />
in seinem Verzeichnis, und diese Informationen werden anschließend auf den Bridgeheadserver<br />
repliziert. Der Bridgeheadserver erstellt anschließend eine Replikationsverbindung, bei der sich<br />
der Bridgeheadserver im Remotestandort befindet, und die Replikation beginnt.<br />
In Abbildung 4.10 wird das Erstellen einer Replikationstopologie dargestellt. In diesem Beispiel setzt<br />
sich die Gesamtstruktur aus zwei Standorten und zwei Domänen mit Domänencontrollern für jede<br />
Domäne an jedem Standort zusammen. Darüber hinaus verfügt jeder Standort über mindestens einen<br />
globalen Katalogserver. Das bedeutet, dass jeder Standort eine Verzeichnispartition für jede der<br />
Domänen und eine Partition des globalen Katalogs sowie die Schemaverzeichnispartition und die<br />
Konfigurationsverzeichnispartition umfasst. Zwei Bridgeheadserver werden an jedem Standort<br />
bestimmt, da die Replikation jeder dieser Partitionen zwischen den Standorten erforderlich ist. Einer<br />
der Bridgeheadserver an jedem Standort fungiert als Domänencontroller in der Domäne Adatum.com.<br />
Ein weiterer Bridgeheadserver muss an jedem Standort als Domänencontroller der Domäne Trey-<br />
Research.com fungieren. In dem in Abbildung 4.10 dargestellten Beispiel handelt es sich bei den<br />
Domänen DC1.Adatum.com und DC6.TreyResearch.com außerdem um globale Katalogserver. Das<br />
bedeutet, dass sie für die standortübergreifende Replikation globaler Kataloginformationen als<br />
Bridgeheadserver eingesetzt werden. Da die Schemaverzeichnispartition und die Konfigurationsverzeichnispartition<br />
für alle Domänencontroller freigegeben sind, kann eines der vorhandenen Verbindungsobjekte<br />
für die Replikation dieser Informationen verwendet werden.<br />
Hinweis Diese Erläuterungen zur Replikationstopologie basieren auf dem Standardverhalten der AD DS-<br />
Domänencontroller. Administratoren können Änderungen an diesem Standardverhalten vornehmen, vor<br />
allem für die standortübergreifende Replikation. Diese Änderung sowie die sich daraus ergebenden Auswirkungen<br />
werden später in diesem Kapitel erläutert.<br />
RODCs und die Replikationstopologie<br />
RODCs sind ebenfalls Bestandteil einer normalen AD DS-Replikation, und Verbindungsobjekte müssen<br />
zwischen RODCs und anderen Domänencontrollern erstellt werden. Da RODCs jedoch über<br />
schreibgeschützte Kopien der AD DS-Datenbank verfügen, erstellt die KCC nur einzelne unidirektionale<br />
Verbindungsobjekte von einem Domänencontroller mit einer beschreibbaren Kopie der Datenbank<br />
zu einem RODC. Der RODC kann nur Änderungen von anderen Domänencontrollern abrufen,<br />
er kann nicht als Replikationsquelle für ein beliebiges Verbindungsobjekt konfiguriert werden.
Erstellen der Replikationstopologie 119<br />
Adatum-Standort1<br />
DC2.Adatum.com<br />
DC1. Adatum.com<br />
Globaler Katalog<br />
Verbindungsobjekt<br />
für die<br />
Adatum.com-<br />
Domänenpartition<br />
DC3. TreyResearch.com<br />
DC4. TreyResearch.com<br />
Verbindungsobjekt<br />
für die globale<br />
Katalogpartition<br />
Verbindungsobjekt<br />
für die<br />
TreyResearch.com-<br />
Domänenpartition<br />
DC5.Adatum.com<br />
Adatum-Standort2<br />
DC6. TreyResearch.com<br />
Globaler Katalog<br />
DC7. TreyResearch.com<br />
Abbildung 4.10<br />
Objekte der standortübergreifenden Verbindung<br />
Für die RODC-Replikation besteht außerdem eine Einschränkung im Hinblick auf die Domänencontroller,<br />
die direkte Replikationspartner des RODCs werden können. RODCs können alle AD DS-<br />
Partitionen replizieren, mit Ausnahme der Domänenpartition von Windows Server 2003-Domänencontrollern.<br />
Darüber hinaus können RODCs alle Partitionen von anderen Windows Sever 2008-<br />
Domänencontrollern replizieren, sie müssen jedoch die Domänenpartition von einem Domänencontroller<br />
replizieren, auf dem Windows Server 2008 ausgeführt wird. Das bedeutet, dass jeder RODC<br />
ein Verbindungsobjekt mit einem Windows Server 2008-Domänencontroller benötigt, der über eine<br />
beschreibbare Kopie der Datenbank der RODC-Domäne verfügt. Dies bedeutet außerdem, dass es<br />
sich bei dem ersten Windows Server 2008-Domänencontroller bei einer Domänenaktualisierung von<br />
Windows Server 2003 nicht um einen RODC handeln kann.<br />
Wenn der RODC an einem eigenen Standort bereitgestellt wird, sollte der Windows Server 2008-<br />
Domänencontroller am nächstgelegenen Standort in der Topologie platziert werden. In Abbildung<br />
4.11 wird ein Beispiel einer möglichen RODC-Bereitstellung und der konfigurierten Verbindungsobjekte<br />
dargestellt.
120 Kapitel 4: <strong>Active</strong> <strong>Directory</strong>-Domänendienstreplikation<br />
Adatum-Standort1<br />
Windows Server<br />
2008-Domänencontroller<br />
Windows Server<br />
2003-Domänencontroller<br />
DC2.Adatum.com<br />
DC1. Adatum.com<br />
Globaler Katalog<br />
Unidirektionales<br />
Verbindungsobjekt<br />
für die Adatum.com-<br />
Domänenpartition<br />
RODC in der<br />
Domäne<br />
Adatum.com<br />
Verbindungsobjekt für die<br />
Schema-, Konfigurations- und<br />
Anwendungspartition und die<br />
Partition des globalen Katalogs<br />
Adatum-Standort2<br />
Windows Server<br />
2003-Domänencontroller<br />
DC1.EMEA.Adatum.com<br />
Globaler Katalog<br />
RODC1.Adatum.com<br />
Globaler Katalog<br />
Unidirektionales<br />
Verbindungsobjekt für die<br />
Schema-, Konfigurationsund<br />
Anwendungspartition<br />
und die Partition des<br />
globalen Katalogs<br />
Abbildung 4.11<br />
Replikationsverbindungsobjekte mit RODCs<br />
Konfigurieren der standortübergreifenden Replikation<br />
In den AD DS werden mehrere Standorte erstellt, um den Replikationsdatenverkehr zwischen Unternehmensniederlassungen<br />
steuern zu können, vor allem zwischen den Niederlassungen, die über langsame<br />
WAN-Verbindungen verbunden sind. Wie bereits in Kapitel 2 beschrieben, handelt es sich bei<br />
einem AD DS-Standort um einen Netzwerkstandort, bei dem alle Domänencontroller über schnelle<br />
und zuverlässige Verbindungen miteinander verbunden sind. Eine der Aufgaben beim Einrichten<br />
eines AD DS-Netzwerks besteht darin, festzulegen, an welcher Stelle die Standortgrenzen zu ziehen<br />
und an welcher Stelle die Standorte miteinander zu verbinden sind.<br />
Hinweis Es ist nicht einfach, eindeutige Kriterien für das Erstellen eines neuen Standorts zu definieren, da<br />
in diese Entscheidung eine große Anzahl an Variablen einbezogen werden muss. In Kapitel 5 werden die<br />
beim Erstellen eines neuen Standorts zu berücksichtigenden Aspekte ausführlich erläutert. In diesem Kapitel<br />
werden ferner viele weitere Punkte angesprochen, die Sie beim Entwerfen der Standorttopologie bedenken<br />
müssen.
Erstellen zusätzlicher Standorte<br />
Konfigurieren der standortübergreifenden Replikation 121<br />
Beim Installieren der AD DS wird ein einzelner Standort mit dem Namen Standardname-des-ersten-<br />
Standorts erstellt (der Standort kann umbenannt werden). Da Standorte in der Regel basierend auf<br />
Unternehmensniederlassungen erstellt werden, können Sie diesen Standort umbenennen, um den geografischen<br />
Standort der Domänencontroller genauer anzugeben. Werden keine zusätzlichen Standorte<br />
erstellt, werden alle nachfolgenden Domänencontroller bei der Installation diesem Standort hinzugefügt.<br />
Wenn Ihr Unternehmen jedoch über mehrere Unternehmensniederlassungen mit eingeschränkten<br />
Bandbreiten zwischen den Niederlassungen verfügt, möchten Sie sicherlich weitere<br />
Standorte erstellen.<br />
Zusätzliche Standorte werden mithilfe des Verwaltungstools <strong>Active</strong> <strong>Directory</strong>-Standorte und -Dienste<br />
erstellt (siehe Abbildung 4.12). Um einen neuen Standort zu erstellen, klicken Sie mit der rechten<br />
Maustaste auf den Container Sites und klicken anschließend auf Neuer Standort.<br />
Abbildung 4.12<br />
Erstellen eines neuen Standorts in <strong>Active</strong> <strong>Directory</strong>-Standorte und -Dienste<br />
Beim Erstellen eines neuen Standorts müssen Sie den Standort mit einer vorhandenen Standortverknüpfung<br />
verbinden. Dadurch wird sichergestellt, dass der Standort automatisch in die Replikationstopologie<br />
integriert wird. Wählen Sie aus der Liste Verknüpfungsname die Standortverknüpfung aus,<br />
über die Sie diesen Standort mit anderen Standorten verbinden möchten.<br />
Jeder Standort wird mit mindestens einem IP-Subnetz in den AD DS verknüpft. Standardmäßig werden<br />
in den AD DS keine Subnetze erstellt, daher besteht Ihre erste Aufgabe in der Regel darin, alle<br />
mit dem Standort Standortname-des-ersten-Standorts verknüpften Subnetze zu erstellen.
122 Kapitel 4: <strong>Active</strong> <strong>Directory</strong>-Domänendienstreplikation<br />
Beim Erstellen zusätzlicher Standorte ist außerdem das Erstellen zusätzlicher Subnetze im Container<br />
Subnets in <strong>Active</strong> <strong>Directory</strong>-Standorte und -Dienste sowie die Verknüpfung der Subnetze mit dem<br />
neuen Standort erforderlich.<br />
Auf der DVD Stellen Sie beim Bearbeiten der Standortkonfiguration sicher, dass Sie alle vorgenommenen<br />
Änderungen dokumentieren. Sie können das auf der Begleit-CD bereitgestellte Spreadsheet ADDSSites.xlsx<br />
als Vorlage zum Dokumentieren der Standortkonfiguration verwenden. Zur Anzeige der Informationen zu allen<br />
Standorten in Ihrer Gesamtstruktur können Sie das auf der CD bereitgestellte Windows PowerShell-Skript<br />
ListADDSSites.ps1 nutzen. Denken Sie daran, dass Sie beim Ausführen eines Windows PowerShell-Skripts<br />
den vollständigen Pfad angeben müssen, und unter Umständen müssen Sie die Richtlinie zur Ausführung von<br />
PowerShell-Skripts ändern, um ein Skript ausführen zu können.<br />
Beispiele für VMScript-Skripts (Visual Basic Scripting Edition) zum Abrufen von Standortinformationen finden<br />
Sie auf der Script Center Script Repository-Website unter http://www.microsoft.com/technet/scriptcenter/<br />
scripts/default.mspx?mfr=true.<br />
Um einen vorhandenen Domänencontroller an den Standort zu verschieben, klicken Sie mit der rechten<br />
Maustaste auf das Domänencontrollerobjekt im aktuellen Container Servers und wählen Verschieben.<br />
Sie können anschließend den Standort auswählen, an den Sie den Domänencontroller verschieben<br />
möchten. Wenn Sie einen neuen Domänencontroller installieren und Ihre Gesamtstruktur mehrere<br />
Standorte umfasst, können Sie den Standort zum Installieren des neuen Domänencontrollers auswählen.<br />
Standardmäßig wird der Domänencontroller vom Assistenten zum Installieren der <strong>Active</strong> <strong>Directory</strong>-Domänendienste<br />
an dem Standort platziert, an dem das IP-Subnetz mit der IP-Adresse des<br />
Domänencontrollers übereinstimmt.<br />
Wichtig Wenn Sie einen Domänencontroller an einen neuen Standort verschieben, ist es erforderlich, die<br />
IP-Konfiguration entsprechend des neuen Standorts des Domänencontrollers zu ändern. Darüber hinaus müssen<br />
Sie den Hosteintrag in DNS mithilfe des Befehls IPConfig /refreshDNS sowie die SRV-Einträge aktualisieren,<br />
indem Sie den Netzwerkanmeldedienst anhalten und dann erneut starten. Überprüfen Sie, ob Sie für alle<br />
Domänencontroller in der Domäne anhand ihres vollqualifizierten Domänennamens ein Ping ausführen können,<br />
nachdem Sie die Domänencontroller verschoben haben.<br />
Standortverknüpfungen<br />
Die AD DS-Objekte, die Standorte verbinden, werden als Standortverknüpfungen bezeichnet. Beim<br />
Installieren der AD DS wird eine Standortverknüpfung mit dem Namen DEFAULTIPSITELINK<br />
erstellt. Wenn Sie vor dem Hinzufügen weiterer Standorte keine zusätzlichen Standortverknüpfungen<br />
erstellen, wird jeder Standort in diese standardmäßig erstelle Standortverknüpfung integriert. Wenn<br />
alle WAN-Verbindungen zwischen Ihren Unternehmensniederlassungen im Hinblick auf Bandbreite<br />
und Kosten gleichwertig sind, können Sie diese Standardkonfiguration übernehmen. Wenn sämtliche<br />
Standorte über eine Standortverknüpfung verbunden sind, weist der Replikationsdatenverkehr zwischen<br />
allen Standorten die gleichen Eigenschaften auf. Wenn Sie eine Änderung an dieser Standortverknüpfung<br />
vornehmen, wird die Replikationskonfiguration für alle Standorte geändert.<br />
Auf der DVD Die Standortverknüpfungskonfiguration sollte unbedingt Bestandteil der Dokumentation zur<br />
Standortkonfiguration sein. Als Vorlage für die Dokumentation können Sie das auf der Begleit-CD bereitgestellte<br />
Spreadsheet ADDSSites.xlsx verwenden. Mithilfe des auf der Begleit-CD verfügbaren Skripts<br />
ListADDSSites.ps1 können die mit jedem Standort verbundenen Standortverknüpfungen aufgelistet werden.
Konfigurieren der standortübergreifenden Replikation 123<br />
Unter bestimmten Umständen möchten Sie die Replikationskonfiguration möglicherweise nicht auf<br />
alle Standorte anwenden. Wenn die Unternehmensniederlassungen beispielsweise über unterschiedliche<br />
Netzwerkverbindungen verknüpft sind, sollten AD DS-Informationen über Netzwerkverbindungen<br />
mit eingeschränkter Bandbreite seltener repliziert werden als über Netzwerkverbindungen mit<br />
einer höheren Bandbreite. Wenn Sie zwischen Standorten unterschiedliche Replikationseinstellungen<br />
konfigurieren möchten, müssen Sie zusätzliche Standortverknüpfungen erstellen und diesen die geeigneten<br />
Standorte zuweisen.<br />
Hinweis Das Erstellen einer Standortverknüpfung ersetzt nicht die Arbeit des ISTGs, es ermöglicht vielmehr<br />
erst die Arbeit des ISTGs. Nachdem eine Standortverknüpfung erstellt wurde, verwendet der ISTG die<br />
Standortverknüpfung, um die erforderlichen Verbindungsobjekte für die Replikation aller AD DS-Partitionen<br />
zwischen allen Standorten zu erstellen.<br />
Im Folgenden werden die Konfigurationsoptionen für alle Standortverknüpfungen dargestellt. In<br />
Abbildung 4.13 wird das Dialogfeld für die Konfiguration von Standortverknüpfungen dargestellt:<br />
Abbildung 4.13<br />
Konfigurieren von Standortverknüpfungen<br />
• Kosten Bei den Kosten für eine Standortverknüpfung handelt es sich um einen durch den Administrator<br />
zugewiesenen Wert, der die relativen Kosten der Standortverknüpfung definiert. Die<br />
Kosten stellen in der Regel die Netzwerkverbindungsgeschwindigkeit sowie die mit der Nutzung<br />
der Verbindung verbundenen Aufwendungen dar. Diese Kosten sind besonders bei redundanten<br />
Standortverknüpfungen in der Organisation von großer Bedeutung, d.h. wenn die Replikation von<br />
einem Standort zu einem anderen über mehrere Pfade geleitet werden kann. Es wird immer der<br />
kostengünstigste Weg als Replikationspfad gewählt.
124 Kapitel 4: <strong>Active</strong> <strong>Directory</strong>-Domänendienstreplikation<br />
Wichtig Das Erstellen redundanter Standortverknüpfungen und das Konfigurieren von Kosten für die<br />
Standortverknüpfungen ist nur dann sinnvoll, wenn Sie über mehrere WAN-Verbindungen zwischen<br />
Standorten verfügen. Wenn Sie zwischen physischen Unternehmensstandorten nur eine Netzwerkverbindung<br />
betreiben, stellen zusätzliche Standortverknüpfungen keinen Nutzen dar.<br />
• Replikationszeitplan Anhand des Replikationszeitplans wird definiert, zu welchen Tageszeiten die<br />
Standortverknüpfung für die Replikation genutzt werden kann. Im Rahmen des Standardreplikationszeitplans<br />
kann die Replikation 24 Stunden täglich vorgenommen werden. Wenn jedoch die<br />
verfügbare Bandbreite an einem Standort sehr beschränkt ist, möchten Sie die Replikation unter<br />
Umständen außerhalb der Arbeitszeiten durchführen.<br />
• Replikationsintervall Mithilfe des Replikationsintervalls werden die Intervalle definiert, in denen<br />
die Bridgeheadserver die Bridgeheadserver an anderen Standorten auf verfügbare Verzeichnisaktualisierungen<br />
überprüfen. Standardmäßig ist als Replikationsintervall für Standortverknüpfungen<br />
ein Wert von 180 Minuten festgelegt. Das Replikationsintervall wird ausschließlich während des<br />
Replikationszeitplans angewendet. Wenn entsprechend des Replikationszeitplans die Replikation<br />
zwischen 22.00 und 5.00 Uhr möglich ist, führen Bridgeheadserver während dieser Zeit alle drei<br />
Stunden eine Überprüfung auf verfügbare Aktualisierungen durch.<br />
• Replikationstransport Die Standortverknüpfung kann als Replikationstransportprotokoll entweder<br />
RPC über IP oder SMTP verwenden. Weitere Informationen zu diesem Thema finden Sie im<br />
Abschnitt „Replikationstransportprotokolle“ dieses Kapitels.<br />
Diese Optionen bieten erhebliche Flexibilität im Hinblick auf die Konfiguration der standortübergreifenden<br />
Replikation. Es gilt jedoch, einige Fehler zu vermeiden. Um verstehen zu können, auf welche<br />
Weise diese Optionen zusammenarbeiten, stellen Sie sich ein Unternehmensnetzwerk wie das in<br />
Abbildung 4.14 dargestellte vor.<br />
Standortverknüpfung<br />
Kosten 100<br />
Zeitplan 22:00 - 4:00 Uhr<br />
Intervall 30 Min<br />
Standortverknüpfung<br />
Kosten 200<br />
Zeitplan 0:00 - 6:00 Uhr<br />
Intervall 6 Min<br />
Standort1 Standort2 Standort3<br />
Standortverknüpfung<br />
Kosten 500<br />
Zeitplan 22:00 - 4:00 Uhr<br />
Intervall 120 Min<br />
Standortverknüpfung<br />
Kosten 200<br />
Zeitplan 00:00 - 6:00 Uhr<br />
Intervall 60 Min<br />
Abbildung 4.14<br />
Standort4<br />
Standortverknüpfung<br />
Kosten 200<br />
Zeitplan 22:00 - 4:00 Uhr<br />
Intervall 60 Min<br />
Eine Standortverknüpfungskonfiguration<br />
Standort5<br />
In Windows Server 2008 AD DS werden alle Standortverknüpfungen standardmäßig als transitiv<br />
betrachtet. Dies bedeutet, dass Verbindungsobjekte zwischen Domänencontrollern erstellt werden<br />
können, die sich nicht an angrenzenden Standorten befinden. In Abbildung 4.14 verfügt Standort1<br />
beispielsweise über eine Standortverknüpfung mit Standort2, und Standort4 verfügt über eine Standortverknüpfung<br />
mit Standort2.
Konfigurieren der standortübergreifenden Replikation 125<br />
Dadurch, dass Standortverknüpfungen transitiv sind, können Domänencontroller an Standort1ebenfalls<br />
eine direkte Replikation mit Domänencontrollern an Standort3 und Standort5 durchführen.<br />
Der Pfad, über den der Replikationsdatenverkehr durch das Netzwerk geleitet wird, wird über die<br />
Standortverknüpfungskosten definiert. Wenn die KCC die Routingtopologie erstellt, wird das optimale<br />
Routing anhand der kumulierten Kosten für alle Standortverknüpfungen berechnet. In dem in<br />
Abbildung 4.14 dargestellten Beispiel gibt es zwei mögliche Routen zwischen Standort1 und<br />
Standort5: die erste Route führt über Standort2, die zweite Route führt über Standort4. Die Kosten der<br />
Route über Standort2 betragen 300 (100 + 200), die Kosten über Standort4 betragen 700 (500 + 200).<br />
Das bedeutet, dass der gesamte Replikationsdatenverkehr über Standort2 geleitet wird – es sein denn,<br />
die Verbindung ist nicht verfügbar.<br />
Wenn der Replikationsdatenverkehr über mehrere Standortverknüpfungen geleitet wird, werden<br />
anhand der Zeitpläne der Standortverknüpfungen und die Replikationsintervalle jedes Standorts der<br />
effektive Zeitrahmen und das Intervall für die Replikation bestimmt. Die effektive Replikation zwischen<br />
Standort1 und Standort3 findet beispielsweise zwischen 00.00 Uhr und 4.00 Uhr (die sich in den<br />
Zeitplänen überschneidende Zeit) alle 60 Minuten (das Replikationsintervall für die Standortverknüpfung<br />
zwischen Standort1 und Standort3) statt.<br />
Hinweis Wenn zwischen den Zeitplänen der Standortverknüpfungen keine zeitliche Überschneidung<br />
besteht, kann die Replikation zwischen mehreren Standorten trotzdem durchgeführt werden. Wenn beispielsweise<br />
die Standortverknüpfung zwischen Standort1 und Standort2 von 2.00 Uhr bis 6.00 Uhr und die<br />
Standortverknüpfung zwischen Standort2 und Standort3 zwischen 22.00 Uhr und 1.00 Uhr verfügbar ist,<br />
können die Verzeichnisänderungen zwischen Standort1 und Standort3 dennoch übertragen werden. Die<br />
Änderungen werden von Standort1 an Standort2 und anschließend von Standort2 an Standort3 gesendet.<br />
Die Replikationslatenz würde in diesem Fall jedoch fast einen Tag betragen, da die um 2.00 Uhr auf<br />
Standort2 replizierten Änderungen auf Standort3 nicht vor 22.00 Uhr repliziert würden.<br />
Zusätzliche Konfigurationsoptionen für Standortverknüpfungen<br />
Neben den im Verwaltungstool <strong>Active</strong> <strong>Directory</strong>-Standorte und -Dienste verfügbaren Konfigurationsoptionen<br />
für Standortverknüpfungen können Sie über den ADSI-Editor weitere Standortverknüpfungseinstellungen<br />
konfigurieren, oder Sie können zu diesem Zweck Änderungen an der<br />
Registrierung von Domänencontrollern vornehmen. Sie können beispielsweise die folgenden Einstellungen<br />
konfigurieren:<br />
• Deaktivieren der Komprimierung für die standortübergreifende Replikation Standardmäßig wird der<br />
gesamte standortübergreifende Replikationsdatenverkehr komprimiert. Die Komprimierung des<br />
Datenverkehrs stellt jedoch eine zusätzliche Belastung für den Prozessor des Domänencontrollers<br />
dar. Wenn Sie über eine ausreichende Bandbreite zwischen den AD DS-Standorten verfügen,<br />
können Sie in den Windows Server 2008-AD DS die Komprimierung deaktivieren.<br />
• Aktivieren der Benachrichtigung für die standortübergreifende Replikation Standardmäßig wird die<br />
Replikation zwischen Standorten basierend auf dem Zeitplan und der Replikationshäufigkeit<br />
durchgeführt, die in der Standortverknüpfung konfiguriert werden. Alternativ können Sie die<br />
Benachrichtigung für die standortübergreifende Replikation aktivieren. Wenn die Benachrichtigung<br />
aktiviert ist, benachrichtigt der Bridgeheadserver an einem Standort den Bridgeheadserver<br />
am Zielstandort über vorgenommen Änderungen, und die Änderungen werden dann über<br />
die Standortverknüpfung abgerufen. Dadurch kann der Replikationsdatenverkehr zwischen<br />
Standorten erheblich verringert werden, allerdings entsteht dadurch ein erhöhter Netzwerkdatenverkehr<br />
zwischen den Standorten.
126 Kapitel 4: <strong>Active</strong> <strong>Directory</strong>-Domänendienstreplikation<br />
Um die Komprimierung zu deaktivieren oder die Benachrichtigung für die standortübergreifende<br />
Replikation zu aktivieren, müssen Sie ein Tool wie den ADSI-Editor verwenden, um das<br />
Attribut Options für jedes Standortverknüpfungsobjekt oder Verbindungsobjekt zu bearbeiten.<br />
Um die Komprimierung zu deaktivieren, legen Sie für das Attribut Options den Wert 4 fest;<br />
zum Aktivieren der Benachrichtigung verwenden Sie den Wert 1.<br />
• Ändern der Replikationsdatenmenge Sie können die in einem Replikationspaket enthaltene<br />
Datenmenge ändern. Standardmäßig beträgt die Anzahl an Objekten die von Windows Server<br />
2008-Domänencontrollern in einem einzelnen Paket repliziert wird, 1/1.000.000 der Arbeitsspeichergröße,<br />
wobei mindestens 100 Objekte und höchstens 1000 Objekte repliziert werden.<br />
Die maximale Größe replizierter Objekte beträgt 1/100 der Arbeitsspeichergröße, wobei mindestens<br />
1 MB und höchstens 10 MB repliziert werden. Sie können diese Einstellung bearbeiten,<br />
indem Sie im Schlüssel HKEY_LOCAL_MACHINE\System\CurrentControlSet\Services\<br />
NTDS\Parameters die Werte Replicator inter site packet size (Objekte) und Replicator inter<br />
site packet size (Bytes) erstellen.<br />
Standortverknüpfungsbrücken<br />
In einigen Fällen kann es erforderlich sein, die Transitivität der Standortverknüpfungen zu deaktivieren,<br />
indem Sie die Standortverknüpfungsbrücke deaktivieren und Standortverknüpfungsbrücken<br />
manuell konfigurieren. Beim Konfigurieren von Standortverknüpfungsbrücken definieren Sie die<br />
transitiven und die nicht transitiven Standortverknüpfungen. Das Deaktivieren der Transitivität von<br />
Standortverknüpfungen kann sinnvoll sein, wenn Sie kein über kein vollständig geroutetes Netzwerk<br />
verfügen, d.h. wenn nicht alle Netzwerksegmente zu jeder Zeit verfügbar sind (z.B. wenn Sie über<br />
eine DFÜ-Verbindung oder eine Verbindung für einen Netzwerkspeicherort verfügen, die bei Bedarf<br />
aufgebaut wird). Standortverknüpfungsbrücken können außerdem für die Replikationskonfiguration<br />
verwendet werden, wenn ein Unternehmen über mehrere Standorte verfügt, die über ein Backbone<br />
mit mehreren kleinen Standorten verbunden sind, die wiederum über langsame Netzwerkverbindungen<br />
mit den größeren Standorten verbunden sind. In diesen Fällen können Standortverknüpfungsbrücken<br />
eingesetzt werden, um den Fluss des Replikationsdatenverkehrs effizienter zu verwalten.<br />
Weitere Informationen In Kapitel 5 werden ausführliche Informationen zur Verwendung von Standortverknüpfungsbrücken<br />
bereitgestellt.<br />
Beim Erstellen einer Standortverknüpfungsbrücke müssen Sie definieren, welche Standortverknüpfungen<br />
Teil der Brücke sein sollen. Alle der Standortverknüpfungsbrücke hinzugefügte Standortverknüpfungen<br />
werden als gegenseitig transitiv betrachtet, die nicht in die Standortverknüpfungsbrücke<br />
integrierten Standortverknüpfungen sind jedoch nicht transitiv. In dem zuvor beschriebenen Beispiel<br />
könnte eine Standortverknüpfungsbrücke für die Standortverknüpfungen erstellt werden, die Standort1,<br />
Standort2, Standort4 und Standort5 miteinander verbinden. All diese Standortverknüpfungen würden<br />
als transitiv betrachtet, d.h. ein Bridgeheadserver an Standort1 könnte eine direkte Replikation mit<br />
einem Bridgeheadserver an Standort5 durchführen. Da jedoch die Standortverknüpfung von Standort2<br />
und Standort3 nicht in die Standortverknüpfungsbrücke integriert ist, ist sie nicht transitiv. Das bedeutet,<br />
dass der gesamte Replikationsdatenverkehr von Standort3 nach Standort2 geleitet würde, und von<br />
dort an die verbleibenden Standorte.<br />
Um die transitiven Standortverknüpfungen zu deaktivieren, erweitern Sie im Verwaltungstool <strong>Active</strong><br />
<strong>Directory</strong>-Standorte und -Dienste den Container Inter-Site Transport, klicken Sie mit der rechten
Konfigurieren der standortübergreifenden Replikation 127<br />
Maustaste auf IP, wählen Sie Eigenschaften, und deaktivieren Sie anschließend im IP-Eigenschaftendialogfeld<br />
auf der Registerkarte Allgemein die Option Brücke zwischen allen Standortverknüpfungen<br />
herstellen.<br />
Achtung Die Einstellung der Standortverknüpfungsbrücke betrifft alle Standortverknüpfungen, die das<br />
Transportprotokoll verwenden, für das Sie die Standortverknüpfungsbrücke deaktivieren. Dies bedeutet,<br />
dass alle Standortverknüpfungsbrücken deaktiviert sind, und Sie müssen nun Standortverknüpfungsbrücken<br />
für alle Standortverknüpfungen konfigurieren, die Sie als transitive Standortverbindungen konfigurieren<br />
möchten.<br />
Replikationstransportprotokolle<br />
Die Windows Server 2008-AD DS können eines der drei folgenden Transportprotokolle für die Replikation<br />
verwenden:<br />
• RPC über IP, standortintern Alle standortinternen Replikationsverbindungen müssen eine RPCüber-IP-Verbindung<br />
verwenden. Hierbei handelt es sich um eine synchrone Verbindung, d.h. dass<br />
der Domänencontroller keine Replikation mit mehreren Replikationspartnern gleichzeitig durchführen<br />
kann. Bei der RPC-Verbindung wird die dynamische Portzuordnung verwendet. Die erste<br />
RPC-Verbindung wird auf dem RPC-Endpunktzuordnungsport (TCP-Port 135) hergestellt. Diese<br />
Verbindung wird verwendet, um zu ermitteln, welcher Port auf dem Zieldomänencontroller für die<br />
Replikation verwendet wird.<br />
Hinweis Wenn die Replikation von Verzeichnisinformationen über eine Firewall erfolgt oder Sie Router<br />
mit Portfilterung verwenden, können Sie die Portnummer angeben, die die Domänencontroller für die<br />
Replikation verwenden. Erstellen Sie dafür den folgenden Registrierungsschlüssel als Wert vom Typ<br />
DWORD, und geben Sie eine gültige Portnummer an: HKEY_LOCAL_MACHINE\SYSTEM\<br />
CurrentControlSet\Services\NTDS \Parameters\TCP/IP Port.<br />
• RPC über IP, standortübergreifend Standortübergreifende Replikationsverknüpfungen können<br />
ebenfalls RPC über IP verwenden. Diese RPC-Verbindung entspricht der standortinternen Verbindung,<br />
jedoch mit einer wichtigen Ausnahme: Standardmäßig wird der gesamte standortübergreifende<br />
Replikationsdatenverkehr komprimiert.<br />
Hinweis Wenn Sie sich im Verwaltungstool <strong>Active</strong> <strong>Directory</strong>-Standorte und -Dienste die beiden RPCüber-IP-Verbindungstypen<br />
ansehen, werden Sie feststellen, dass sie auf der Benutzeroberfläche unterschiedlich<br />
gekennzeichnet werden. Die standortinterne RPC-über-IP-Verbindung wird als RPC, die<br />
standortübergreifende RPC-über-IP-Verbindung wird als IP bezeichnet.<br />
• SMTP, standortübergreifend Replikationsverbindungen zwischen Standorten können für die standortübergreifende<br />
Informationsreplikation auch SMTP verwenden. SMTP empfiehlt sich als Replikationsprotokoll<br />
bei WAN-Verknüpfungen zwischen Unternehmensstandorten mit hoher Latenz.<br />
SMTP nutzt eine asynchrone Verbindung, d.h. der Domänencontroller kann eine Replikation mit<br />
mehreren Servern gleichzeitig durchführen.<br />
Konfigurieren der SMTP-Replikation<br />
Das Konfigurieren der SMTP-Replikation ist wesentlich komplizierter als die Konfiguration der<br />
standortübergreifenden RPC-über-IP-Replikation. Bei der RPC-über-IP-Replikation verwenden<br />
Domänencontroller integrierte Komponenten sowie die Kerberos-Authentifizierung, um die Replikation<br />
automatisch zu konfigurieren und zu schützen.
128 Kapitel 4: <strong>Active</strong> <strong>Directory</strong>-Domänendienstreplikation<br />
Führen Sie zur Konfiguration der SMTP-Replikation die folgenden Schritte aus:<br />
1. Installieren Sie das Feature SMTP-Server auf den Bridgeheadservern an beiden Standorten. Beim<br />
Installieren des Features SMTP-Server ist die Installation der erforderlichen Komponenten der<br />
Serverrolle Webserver (IIS) erforderlich.<br />
2. Installieren Sie die <strong>Active</strong> <strong>Directory</strong>-Zertifikatdienste, und konfigurieren Sie die Zertifizierungsstelle<br />
als Unternehmenszertifizierungsstelle. Die Zertifizierungsstelle wird für die Ausgabe von<br />
Zertifikaten für Domänencontroller verwendet, die für die Signatur und Verschlüsselung von zwischen<br />
Domänencontrollern ausgetauschten SMTP-Nachrichten verwendet werden. Bei Installieren<br />
einer Unternehmenszertifizierungsstelle werden von der Zertifizierungsstelle automatisch<br />
Domänencontrollerzertifikate für Domänencontroller ausgegeben, die sich in der gleichen Domäne<br />
wie die Unternehmenszertifizierungsstelle befinden. Diese Domänencontroller können die Zertifikate<br />
zum Schutz von SMTP-Daten verwenden. Für Domänencontroller in anderen Domänen in<br />
der Gesamtstruktur müssen Sie ein Domänencontrollerzertifikat oder ein Zertifikat für die Verzeichnis-E-Mail-Replikation<br />
manuell anfordern.<br />
Hinweis Sie können auch Zertifikate von öffentlichen Zertifizierungsstellen erwerben, die für die<br />
SMTP-Replikation verwendet werden können.<br />
3. Konfigurieren Sie SMTP-Standortverknüpfungen zwischen den beiden Standorten mit einem Kostenwert,<br />
der unter dem der eventuell vorhandenen RPC-über-IP-Standortverknüpfung liegt. Die<br />
beiden Standorte müssen nicht über Domänencontroller in der gleichen Domäne verfügen.<br />
4. Stellen Sie sicher, dass zwischen den beiden Domänencontrollern SMTP-E-Mail-Daten gesendet<br />
werden können. Wenn die Domänencontroller direkt über Port 25 kommunizieren können, ist<br />
keine weitere Konfiguration erforderlich. In einigen Fällen ist es jedoch erforderlich, dass Domänencontroller<br />
SMPT-Nachrichten an einen SMTP-Bridgheadserver und nicht direkt an den Zielbridgeheadserver<br />
weiterleiten.<br />
Konfigurieren von Bridgeheadservern<br />
Wie bereits erwähnt, wird die standortübergreifende Replikation über Bridgeheadserver vorgenommen.<br />
Standardmäßig ermittelt der ISTG den Bridgeheadserver automatisch, da er die standortübergreifende<br />
Replikationstopologie berechnet. Sie können mithilfe des Befehls Repadmin /bridgeheads<br />
anzeigen, welche Domänencontroller als Bridgeheadserver fungieren. In der Befehlsausgabe werden<br />
alle aktuellen Bridgeheadserver an allen Standorten aufgeführt, einschließlich der Verzeichnispartitionen,<br />
für die jeder Bridgeheadserver verantwortlich ist. Darüber hinaus wird in der Befehlsausgabe<br />
angezeigt, ob die letzte Replikation mit jeden Bridgeheadserver erfolgreich durchgeführt werden<br />
konnte.<br />
Wenn Sie den Befehl Repadmin /bridgeheads /v ausführen, wird in der Befehlsausgabe der letzte<br />
Replikationsversuch für jede Verzeichnispartition auf dem Bridgeheadserver sowie der Zeitpunkt der<br />
letzten erfolgreichen Replikation aufgeführt. In Abbildung 4.15 wird ein Teil der Ausgabe für diesen<br />
Befehl dargestellt.<br />
In bestimmten Situationen möchten Sie vielleicht festlegen, welche Domänencontroller als Bridgeheadserver<br />
fungieren. Für Bridgeheadserver sind unter Umständen zusätzliche Serverressourcen<br />
erforderlich, wenn an den Verzeichnisinformationen umfangreiche Änderungen vorgenommen wur-
Konfigurieren der standortübergreifenden Replikation 129<br />
den; wenn die Replikation den Einstellungen entsprechend sehr häufig vorgenommen wird, oder<br />
wenn die Organisation über Hunderte von Standorten verfügt. Um Server als Bridgeheadserver zu<br />
konfigurieren, müssen Sie im Verwaltungstool <strong>Active</strong> <strong>Directory</strong>-Standorte und -Dienste die Computerobjekte<br />
aufrufen, mit der rechten Maustaste auf den Servernamen klicken und Eigenschaften wählen.<br />
Das Eigenschaftendialogfeld wird in Abbildung 4.16 dargestellt. Sie können den Server als<br />
bevorzugten Bridgeheadserver entweder für IP- oder für SMTP-Transporte konfigurieren.<br />
Abbildung 4.15<br />
Anzeigen des Bridgeheadserverstatus mithilfe des Befehls Repadmin<br />
Auf der DVD Wenn Sie einen Bridgeheadserver konfigurieren und sich später dann nicht mehr daran erinnern<br />
können, dass Sie diesen Bridgeheadserver konfiguriert haben, müssen Sie beim Ausfall dieses Bridgeheadserver<br />
unter Umständen viel Zeit in die Problembehandlung der AD DS-Replikation investieren. Stellen<br />
Sie daher sicher, dass die bevorzugten Bridgeheadserver für beide Replikationstransporttypen dokumentieren.<br />
Als Vorlage für die Dokumentation können Sie das auf der Begleit-CD verfügbare Spreadsheet ADDS-<br />
Sites.xlsx verwenden.<br />
Der Vorteil einen bevorzugten Bridgeheadservers besteht darin, dass Sie sicherstellen können, dass<br />
die von Ihnen gewählten Domänencontroller als Bridgeheadserver ausgewählt werden. Wenn Sie die<br />
vollständige Kontrolle darüber haben möchten, welche Server als Bridgeheadserver verwendet werden,<br />
müssen Sie einen bevorzugten Bridgeheadserver für jede Partition konfigurieren, für die die<br />
Replikation auf einen Standort erforderlich ist. Wenn beispielsweise ein Standort Replikate der Verzeichnispartition<br />
der Domäne Adatum.com, der Verzeichnispartition der Domäne TreyResearch.com,<br />
der Partition des globalen Katalogs sowie der Anwendungsverzeichnispartition umfasst, müssen Sie<br />
mindestens einen Domänencontroller mit einem Replikat dieser Partitionen konfigurieren.
130 Kapitel 4: <strong>Active</strong> <strong>Directory</strong>-Domänendienstreplikation<br />
Wenn Sie keine Bridgeheadserver für all diese Partitionen konfigurieren, erhalten Sie eine Warnmeldung<br />
wie die in Abbildung 4.17 dargestellte, und der ISTG protokolliert ein Ereignis im Ereignisprotokoll<br />
und wählt anschließend einen bevorzugten Bridgeheadserver für die Partition. Sie können auch<br />
mehrere bevorzugte Bridgeheadserver konfigurieren. In diesem Fall wählt der ISTG einen der ermittelten<br />
Server als Bridgeheadserver.<br />
Abbildung 4.16<br />
Konfigurieren eines bevorzugten Bridgeheadservers<br />
Abbildung 4.17<br />
Warnmeldung bei der Konfiguration von Bridgeheadservern für jede Verzeichnispartition
Problembehandlung bei der Replikation 131<br />
Sie sollten bei der Konfiguration dieser Option mit Vorsicht vorgehen. Durch die Konfiguration<br />
bevorzugter Bridgeheadserver werden die Möglichkeiten des ISTGs zum Auswählen des Bridgeheadservers<br />
eingeschränkt – er wählt immer einen Server, der als bevorzugter Bridgeheadserver konfiguriert<br />
wurde. Wenn dieser Server ausfällt und keine weiteren Server für diese Verzeichnispartition als<br />
Bridgeheadserver konfiguriert wurden, wählt der ISTG keinen anderen Bridgeheadserver, und die<br />
Replikation wird so lange eingestellt, bis der Server wieder verfügbar ist oder eine Neukonfiguration<br />
der Optionen für den bevorzugten Bridgeheadserver vorgenommen wird. Wenn der bevorzugte Bridgeheadserver<br />
ausfällt, können Sie entweder den Server als bevorzugten Bridgeheadserver entfernen<br />
und dem ISTG das Ermitteln eines Bridgeheadservers überlassen, oder Sie wählen einen anderen<br />
bevorzugten Bridgeheadserver.<br />
Achtung Wenn der Bridgeheadserver ausfällt und Sie eine Neukonfiguration des bevorzugten Bridgeheadservers<br />
durchführen, sind die Konfigurationsänderungen an beiden Standorten vorzunehmen. Da Bridgeheadserver<br />
nicht verfügbar sind, werden so lange keine Informationen zwischen den Standorten repliziert,<br />
bis die Konfigurationsänderungen an beiden Standorten vorgenommen wurden. Um Änderungen an einem<br />
Remotestandort vorzunehmen, stellen Sie im Verwaltungstool <strong>Active</strong> <strong>Directory</strong>-Standorte und -Dienste eine<br />
Verbindung mit einem Domänencontroller am Standort her.<br />
Problembehandlung bei der Replikation<br />
Wenn die AD DS-Replikation fehlschlägt, können Domänencontroller nicht mit Änderungen aktualisiert<br />
werden, die an anderen Domänencontrollern vorgenommen wurden. Dies kann dazu führen, dass<br />
Benutzer und Administratoren nicht über die gleichen Informationen verfügen, abhängig davon, mit<br />
welchem Domänencontroller Sie sich verbinden. Wenn Kennwort- oder Konfigurationsänderungen<br />
für Benutzer nicht repliziert werden, können Benutzer unter Umständen keine Anmeldung am Netzwerk<br />
durchführen. Werden Gruppenrichtlinieneinstellungen oder der Ordner SYSVOL nicht repliziert,<br />
werden für verschiedene Benutzer unter Umständen unterschiedliche Gruppenrichtlinieneinstellungen<br />
angewendet. Da die AD DS-Replikation besonders wichtig ist, sollten Sie sich auf die Problembehandlung<br />
bei der AD DS-Replikation vorbereiten.<br />
Verfahren für die Problembehandlung bei der AD DS-Replikation<br />
Der erste Schritt der Problembehandlung bei der AD DS-Replikation besteht darin, den Grund für den<br />
Fehler zu ermitteln. In vielen Fällen ist es problematisch, direkt zu ermitteln, aus welchem Grund die<br />
AD DS-Replikation fehlschlägt. Daher besteht die Problembehandlung oftmals darin, ein Ausschlussverfahren<br />
möglicher Fehler durchzuführen. Führen Sie als allgemeine Richtlinie zunächst die folgenden<br />
Schritte aus:<br />
1. Überprüfen Sie die Netzwerkverbindung. Wie bei den meisten anderen Verfahren zur Problembehandlung<br />
sollten Sie als Erstes überprüfen, ob die Domänencontroller über das Netzwerk miteinander<br />
kommunizieren können. Die Netzwerkverbindung ist unter Umständen nicht verfügbar,<br />
oder Netzwerkeinstellungen wurden ggf. nicht ordnungsgemäß konfiguriert.<br />
2. Überprüfen Sie die Namensauflösung. Einer der häufigsten Gründe für Replikationsfehler ist ein<br />
Fehlschlagen der DNS-Namensauflösung. Wenn Sie Fehlermeldungen erhalten, die auf eine<br />
Nichtverfügbarkeit der RPC-Server hinweisen, oder Sie Fehlermeldungen vom Typ Zielkontoname<br />
ist ungültig erhalten, überprüfen Sie, ob die Domänencontroller den vollqualifizierten Domänennamen<br />
(Fully-Qualified Domain Name, FQDN) des Zielservers auflösen können.
132 Kapitel 4: <strong>Active</strong> <strong>Directory</strong>-Domänendienstreplikation<br />
3. Prüfen Sie auf Authentifizierungs- und Autorisierungsfehler. Wenn Sie während der Replikation<br />
Fehlermeldungen aufgrund einer Zugriffsverweigerung erhalten, besteht ein Problem mit der<br />
Authentifizierung oder der Autorisierung. Um die Ursache des Sicherheitsfehlers zu ermitteln,<br />
führen Sie den Befehl dcdiag /test:CheckSecurityError /s:Domänencontrollername aus, wobei<br />
Domänencontrollername für den Namen des Domänencontroller steht, den Sie überprüfen möchten.<br />
Um die Verbindung zwischen zwei Domänencontrollern auf Replikationssicherheitsfehler zu<br />
überprüfen, führen Sie den Befehl dcdiag /test:CheckSecurityError /ReplSource:Name_des_<br />
Quelldomänencontrollers aus. Mithilfe dieses Befehls wird die Verbindung zwischen dem Domänencontroller,<br />
auf dem Sie den Befehl ausführen, und dem Quelldomänencontroller (angegeben<br />
über Name_des_Quelldomänencontrollers) geprüft. In der Ausgabe dieser Befehle werden die<br />
Sicherheitsprobleme zwischen den Domänencontrollern ermittelt. Beheben Sie die Probleme, und<br />
führen Sie den Befehl erneut aus, um zu überprüfen, ob das Problem tatsächlich behoben ist.<br />
4. Überprüfen Sie die Ereignisanzeige der betroffenen Domänencontroller. Wenn die Replikation<br />
fehlschlägt, werden Ereignisse in die Ereignisanzeige geschrieben, in denen der Fehler näher<br />
beschrieben wird.<br />
5. Überprüfen Sie die Domänencontroller auf Leistungsprobleme. Wenn die Serverressourcen auf<br />
einem Domänencontroller nicht ausreichen, schlägt die Replikation unter Umständen fehl, oder<br />
die Replikationswarteschlange füllt sich mit Daten. Wenn der Domänencontroller beispielsweise<br />
auf dem Laufwerk, auf dem sich der AD DS-Datenspeicher befindet, nicht mehr über ausreichend<br />
Speicherplatz verfügt, wendet der Domänencontroller keine Replikationsänderungen an. In einigen<br />
Fällen kann eine verzögerte Replikation durch die Leistung des Domänencontrollers verursacht<br />
werden. Um Leistungsprobleme bei einem Domänencontroller zu beheben, führen Sie die<br />
folgenden Schritte aus:<br />
a. Verschieben Sie Anwendungen oder Dienste auf einen anderen Server. Wenn der Domänencontroller<br />
mehrere Rollen oder andere Anwendungen ausführt, sollten Sie unter Umständen<br />
die Rollen oder Anwendungen auf einen anderen Server im Netzwerk verschieben.<br />
b. Verteilen Sie die AD DS- und DNS-Rollen auf mehrere Server. Durch die AD DS-integrierten<br />
DNS-Zonen ergeben sich zwar Vorteile, wenn Sie jedoch die AD DS und die DNS-Dienste<br />
gemeinsam auf einem Server ausführen, können Leistungsprobleme entstehen. Durch die Verteilung<br />
der durch diese Dienste entstehenden Last können Sie die Auswirkungen auf die Serverleistung<br />
verringern.<br />
c. Stellen Sie Domänencontroller mit 64-Bit-Hardware bereit. Computer mit 64-Bit-Hardware<br />
bieten im Vergleich zu Domänencontrollern mit 32-Bit-Hardware erhebliche Leistungsverbesserungen.<br />
6. Überprüfen und bearbeiten Sie die Replikationstopologie. In größeren Organisationen mit Tausenden<br />
von Standorten kann die Berechnung der Replikationstopologie die gesamten Prozessorressourcen<br />
auf dem Domänencontroller verbrauchen, der die Rolle Standortübergreifende Topologie<br />
erstellen ausübt. Sie sollten in Betracht ziehen, die Anzahl der Standorte in der Organisation zu<br />
reduzieren oder bevorzugte Bridgheadserver zu konfigurieren. Vergewissern Sie sich außerdem,<br />
dass die AD DS-Standortverknüpfungskonfiguration der tatsächlichen WAN-Verbindungskonfiguration<br />
in Ihrem Netzwerk entspricht. Die AD DS-Replikation sollte – wann immer möglich – die<br />
WAN-Verbindungen mit der höchsten verfügbaren Bandbreite nutzen.
Problembehandlung bei der Replikation 133<br />
Weitere Informationen Zwei hervorragende Referenzen zur Problembehandlung bei speziellen AD DS-<br />
Replikationsfehlern finden Sie im Artikel „Troubleshooting <strong>Active</strong> <strong>Directory</strong> Replication Problems“ (in englischer<br />
Sprache) (http://technet2.microsoft.com/windowsserver/en/library/4f504103-1a16-41e1-853ac68b77bf3f7e1033.mspx?mfr=true)<br />
und im Artikel „So wird´s gemacht: Problembehandlung bei standortinternen<br />
Replikationsfehlern“ unter (http://support.microsoft.com/kb/249256).<br />
Tools für die Problembehandlung bei der AD DS-Replikation<br />
In Windows Server 2008 werden verschiedene Tools für die Problembehandlung bei der AD DS-<br />
Replikation bereitgestellt. Sämtliche dieser Tools werden auf Windows Server 2008 bei der Konfiguration<br />
des Servers als Domänencontroller installiert.<br />
<strong>Active</strong> <strong>Directory</strong>-Standorte und -Dienste<br />
Sie können das Verwaltungstool <strong>Active</strong> <strong>Directory</strong>-Standorte und -Dienste nicht nur für die Konfiguration<br />
von Standorten und der Replikation, sondern auch zum Durchführen von grundlegenden Problembehandlungsmaßnahmen<br />
verwenden. Zu diesen Aufgaben gehören:<br />
• Erzwingen der Neuberechnung der Replikationstopologie durch die KCC Erweitern Sie hierzu das<br />
Domänencontrollerobjekt im AD DS-Container mit den Standortservern, klicken Sie mit der rechten<br />
Maustaste auf NTDS Settings, wählen Sie Alle Aufgaben, und klicken Sie anschließend auf<br />
Replikationstopologie überprüfen. Dadurch wird die direkte Ausführung der KCC erzwungen und<br />
nicht auf die nächste geplante Aktualisierung gewartet.<br />
• Erzwingen des Abrufens von Replikationsänderungen durch einen Domänencontroller Ermitteln Sie<br />
den Domänencontroller, von dem Sie die Änderungen in dem Standortservercontainer abrufen<br />
möchten. Klicken Sie im Container NTDS Settings unterhalb des Domänencontrollers mit der<br />
rechten Maustaste auf das Verbindungsobjekt mit dem Domänencontroller, von dem Sie die Änderungen<br />
abrufen möchten, und klicken Sie auf Jetzt replizieren. Wenn beide Domänencontroller am<br />
gleichen Standort platziert sind, erhalten Sie entweder eine Fehlermeldung, oder Sie erhalten die<br />
Meldung, dass die Replikation erfolgreich durchgeführt wurde. Befinden sich die Domänencontroller<br />
an unterschiedlichen Standorten, werden Sie in einer Meldung darüber informiert, dass der<br />
Domänencontroller einen unmittelbaren Replikationsversuch unternimmt. Überprüfen Sie die<br />
Ereignisanzeige auf Replikationsfehler.<br />
• Erzwingen der Replikation der Konfigurationspartition von einem oder auf einen Domänencontroller<br />
Wenn Sie mit der rechten Maustaste auf das NTDS-Objekt unterhalb eines Domänencontrollers<br />
klicken, der zurzeit nicht im Tool <strong>Active</strong> <strong>Directory</strong>-Standorte und -Dienste ausgewählt ist, können<br />
Sie die Konfiguration von dem ausgewählten Domänencontroller oder auf den ausgewählten<br />
Domänencontroller replizieren. Einer der Vorteile dieser Befehle besteht darin, dass die Konfigurationsinformationen<br />
auch dann repliziert werden, wenn zwischen den Domänencontrollern kein<br />
Verbindungsobjekt vorhanden ist. Diese Option ist nützlich, wenn ein Replikationspartner von der<br />
Domäne entfernt wurde, während ein Domänencontroller offline war und der Domänencontroller<br />
andere Domänencontroller zum Erstellen neuer Verbindungsobjekte nicht ermitteln kann.<br />
Repadmin<br />
Das nützlichste Tool für die Überwachung und Problembehandlung bei der Replikation ist Repadmin.<br />
Mithilfe des Befehslzeilenprogramms Repadmin.exe können Sie die Replikationstopologie aus der<br />
Perspektive jedes Domänencontrollers anzeigen.
134 Kapitel 4: <strong>Active</strong> <strong>Directory</strong>-Domänendienstreplikation<br />
Sie können Repadmin.exe auch zum manuellen Erstellen der Replikationstopologie, zum Erzwingen<br />
von Replikationsereignissen zwischen Domänencontrollern und zum Anzeigen von Replikationsmetadaten<br />
und Aktualitätsvektoren (Up-To-Dateness Vector, UTDV) verwenden.<br />
Verwenden Sie für das Befehlszeilenprogramm Repadmin die folgende Syntax:<br />
repadmin Befehlsargumente [/u:[Domäne\]Benutzer /pw:{Kennwort|*}]<br />
Sie müssen die Benutzerkonteninformationen nur dann bereitstellen, wenn der derzeit angemeldete<br />
Benutzer kein Mitglied der Gruppe Domänen-Admins ist.<br />
In den folgenden Beispielen werden einige der für das Befehlszeilenprogramm Repadmin verfügbaren<br />
Befehlsargumente dargestellt:<br />
• Um Replikationsinformationen auf einem Domänencontroller in eine .csv-Datei zu importieren,<br />
verwenden Sie die folgende Syntax:<br />
Repadmin /showrepl DC1.Adatum.com /csv>Dateiname.csv<br />
Dieser Befehl ist nützlich, da Sie die .csv-Datei mithilfe einer Anwendung wie Microsoft Office<br />
Excel öffnen und durchsuchen können.<br />
• Um die Replikationspartner des Domänencontrollers DC1 anzuzeigen, verwenden Sie die folgende<br />
Syntax:<br />
repadmin /showreps DC1.Adatum.com<br />
• Um die höchste USN des Domänencontrollers DC2 anzuzeigen, verwenden Sie die folgende<br />
Syntax:<br />
repadmin /showvector dc=Adatum,dc=com DC2.Adatum.com<br />
• Um die Verbindungsobjekte des Domänencontrollers DC1 anzuzeigen, verwenden Sie die folgende<br />
Syntax:<br />
repadmin /showreps DC1.Adatum.com<br />
• Um ein Replikationsereignis zwischen zwei Replikationspartnern zu initiieren, verwenden Sie die<br />
folgende Syntax:<br />
repadmin /replicate DC2.Adatum.com DC1.Adatum.com dc=Adatum,dc=com<br />
• Um ein Replikationsereignis für eine bestimmte Verzeichnispartition mit sämtlichen Replikationspartnern<br />
zu initiieren, verwenden Sie die folgende Syntax:<br />
repadmin /syncall DC1.Adatum.com dc= Adatum,dc=com<br />
Wenn Sie diesen Befehl ausführen, fragt der Domänencontroller Aktualisierungen von allen<br />
direkten Replikationspartnern für alle Verzeichnispartitionen ab. Wenn Sie für den Domänencontroller<br />
die Replikation lokaler Änderungen erzwingen möchten, fügen Sie den Parameter /p am<br />
Ende des Befehls hinzu.<br />
Dcdiag<br />
Mit dem Tool Dcdiag.exe können Sie mehrere Tests durchführen, um die Domänencontroller auf Probleme<br />
zu überprüfen, die unter Umständen Auswirkungen auf die Replikation haben. Bei diesen Tests<br />
werden die Verbindung, Replikation, Topologieintegration sowie standortübergreifende Statustests<br />
durchgeführt.<br />
Verwenden Sie für das Befehlszeilenprogramm Dcdiag die folgende Syntax:<br />
dcdiag Befehlsargumente [/v /f:Protokolldatei /ferr:Fehlerprotokoll ]
Problembehandlung bei der Replikation 135<br />
Wenn Sie dem Befehl die Option /v hinzufügen, wird eine ausführliche Befehlsausgabe erstellt, durch<br />
die Option /f wird die Ausgabe in die Protokolldatei geleitet, und wenn Sie die Option /ferr hinzufügen,<br />
wird die Ausgabe für schwerwiegende Fehler in eine separate Protokolldatei geschrieben. Um<br />
sämtliche Dcdiag-Tests auf einem lokalen Computer auszuführen und die Ergebnisse im Fenster der<br />
Eingabeaufforderung anzuzeigen, geben Sie einfach DCdiag ein und drücken die EINGABETASTE.<br />
Um einen Remotedomänencontroller zu überprüfen, führen Sie den Befehl run DCDiag /s:Servername<br />
aus, wobei Servername für den Namen des Remotedomänencontrollers steht.<br />
Mit DCDiag können unter anderem die folgenden Tests ausgeführt werden:<br />
• Connectivity Bei diesem Test wird geprüft, ob Domänencontroller in DNS registriert sind, ob für<br />
sie ein Ping ausgeführt werden kann und ob sie über LDAP/RPC-Konnektivität verfügen.<br />
• Replications Bei diesem Test wird geprüft, ob die Replikation zeitgerecht ausgeführt wird und ob<br />
Fehler zwischen Domänencontrollern auftreten.<br />
• NetLogons Bei diesem Test wird geprüft, ob die für das Ausführen der Replikation erforderlichen<br />
Anmeldeberechtigungen vorhanden sind.<br />
• Intersite Prüft auf Fehler, welche die standortübergreifende Replikation verhindern oder vorübergehend<br />
anhalten würden, und es wird eine Prognose erstellt, welche Zeit die KCC für die Wiederherstellung<br />
benötigt. Die Ergebnisse dieses Tests liefern häufig keine gültige Aussage, vor allem<br />
in untypischen Standorten, bei untypischen KCC-Konfigurationen oder bei Verwendung der<br />
Gesamtstrukturfunktionsebene Windows Server 2008.<br />
• FSMOCheck Bei diesem Test wird überprüft, ob der Domänencontroller ein KDC, einen Zeitserver,<br />
einen bevorzugten Zeitserver, einen PDC und einen globalen Katalogserver kontaktieren<br />
kann. Bei diesem Test werden keine Betriebsmasterrollen von Servern getestet.<br />
• Services Bei diesem Test wird geprüft, ob die geeigneten Domänencontrollerdienste ausgeführt<br />
werden.<br />
• KccEvent Bei diesem Test wird geprüft, ob die KCC fehlerfrei ausgeführt werden kann.<br />
• Topology Bei diesem Test wird überprüft, ob die KCC eine vollständig verbundene Topologie für<br />
alle Domänencontroller erstellt hat.<br />
Hinweis Ausführliche Informationen zur Verwendung der Befehlszeilenprogramme Repadmin und DCDiag<br />
werden angezeigt, wenn Sie den Befehlsnamen gefolgt von /? eingeben.<br />
Zusätzliche Tools<br />
Für die Überwachung und Problembehandlung bei der Replikation gibt es zwei weitere nützliche<br />
Standardtools für die Serververwaltung. Bei dem ersten Tool handelt es sich um die Ereignisanzeige.<br />
Jeder Domänencontroller verfügt über ein Ereignisprotokoll namens Verzeichnisdienst. Ein Großteil<br />
der mit der Verzeichnisreplikation verbundenen Ereignisse werden in diesem Ereignisprotokoll<br />
erfasst, daher sollten Sie beim Fehlschlagen der Replikation zunächst dieses Protokoll überprüfen.<br />
Das Tool Zuverlässigkeits- und Leistungsüberwachung ist nützlich für die Überwachung der Replikationsaktivitäten<br />
auf dem Server. Wenn ein Server zu einem Domänencontroller heraufgestuft wird,<br />
werden der Liste der Leistungsindikatoren das Leistungsobjekt Verzeichnisdienste sowie verschiedene<br />
Leistungsobjekte in Bezug auf die Dateireplikation hinzugefügt. Anhand dieser Leistungsindikatoren<br />
können Sie die Menge des Replikationsdatenverkehrs sowie zahlreiche andere AD DS-bezogene<br />
Aktivitäten überwachen.
136 Kapitel 4: <strong>Active</strong> <strong>Directory</strong>-Domänendienstreplikation<br />
Zusammenfassung<br />
Das Verständnis der Funktionsweise der Replikation ist grundlegend für die Verwaltung der Windows<br />
Server 2008-AD DS. Eine stabile Replikationsumgebung ist für die Verwaltung einer aktuellen Kopie<br />
aller Verzeichnisinformationen auf allen Domänencontrollern in der Gesamtstruktur von entscheidender<br />
Bedeutung, und dies wiederum ist die Voraussetzung für eine konsistente Benutzeranmeldung<br />
und Verzeichnissuchleistung. Wenn Sie die Funktionsweise der standortinternen und der standortübergreifenden<br />
Replikation kennen, können Sie die optimale Replikationskonfiguration entwerfen und<br />
implementieren.<br />
Empfohlene Vorgehensweisen<br />
• Die standortinterne Replikation wird automatisch und zeitnah durchgeführt, und es treten nur selten<br />
Fehler auf. Wenn alle Domänencontroller in Ihrem Unternehmen über schnelle Netzwerkverbindungen<br />
verfügen, sollten Sie einen einzelnen Standort implementieren.<br />
• Wenn Ihr Unternehmen jedoch mehrere Niederlassungen umfasst, an denen Sie Domänencontroller<br />
installieren, können Sie den AD DS-bezogenen Datenverkehr über WAN-Verbindungen mit<br />
eingeschränkter Bandbreite am einfachsten verwalten, indem Sie zusätzliche Standorte erstellen.<br />
Zusätzliche Standorte führen nicht nur zu einer Verringerung des Replikationsdatenverkehrs, sondern<br />
sorgen außerdem dafür, dass der Authentifizierungsdatenverkehr für Clients lokal verarbeitet<br />
wird.<br />
• Führen Sie eine regelmäßige Überwachung der AD DS-Replikation durch. Zur Überwachung aller<br />
Domänencontroller an einem Standort können Tools wie beispielsweise das <strong>Active</strong> <strong>Directory</strong><br />
Management Pack mit dem System Center Operations Manager verwendet werden. Wenn Ihnen<br />
ein solches Tool nicht zur Verfügung steht, sollten Sie das Ereignisprotokoll Verzeichnisdienst und<br />
entweder das Ereignisprotokoll DFS-Replikation (bei Verwendung der Gesamtstrukturfunktionsebene<br />
Windows Server 2008) oder das Ereignisprotokoll Dateireplikationsdienst regelmäßig überwachen.<br />
• In den meisten Organisationen sind DNS-Lookupfehler der häufigste Grund für Fehler bei der<br />
AD DS-Replikation. Durch die Integration der DNS in die AD DS und das Nutzen der Vorteile<br />
von DNS-Verzeichnispartitionen können Sie das Auftreten von DNS-Fehlern verringern.<br />
Zusätzliche Ressourcen<br />
Die folgenden Ressourcen enthalten zusätzliche Informationen und Tools im Zusammenhang mit<br />
diesem Kapitel.<br />
Verwandte Informationen<br />
• Kapitel 14, „Überwachen und Warten von <strong>Active</strong> <strong>Directory</strong>“, enthält ausführliche Informationen<br />
zur Verwendung von Überwachungstools wie z.B. der Ereignisanzeige und der Zuverlässigkeitsund<br />
Leistungsüberwachung zur Überwachung von AD DS-Domänencontrollern und der Replikationsüberwachung.<br />
• Kapitel 5, „Entwerfen der <strong>Active</strong> <strong>Directory</strong>-Domänendienstestruktur“, stellt detaillierte Informationen<br />
zum Entwerfen der DNS-Bereitstellung bereit.
Zusätzliche Ressourcen 137<br />
• „Troubleshooting <strong>Active</strong> <strong>Directory</strong> Replication Problems” unter http://technet2.microsoft.com/<br />
windowsserver/en/library/4f504103-1a16-41e1-853a-c68b77bf3f7e1033.mspx?mfr=true. Auf dieser<br />
Webseite werden ausführliche Schrittanleitungen für die Problembehandlung bei der <strong>Active</strong><br />
<strong>Directory</strong>-Replikation sowie Verknüpfungen zu Knowledge Base-Artikeln aufgeführt, in denen<br />
bestimmte Ereignis-IDs erläutert werden.<br />
• Der Knowledge Base-Artikel „So wird´s gemacht: Problembehandlung bei standortinternen<br />
Replikationsfehlern“ unter http://support.microsoft.com/kb/249256 stellt ausführliche Informationen<br />
zur Problembehandlung bei der standortinternen Replikation bereit. Dieser Knowledge Base-<br />
Artikel sowie weitere Knowledge Base-Artikel beziehen sich auf Windows Server 2003. Viele der<br />
für die Problembehandlung bei der AD DS-Replikation erforderlichen Schritte haben sich in Windows<br />
Server 2008 jedoch nicht geändert.<br />
• Der Artikel „Troubleshooting <strong>Active</strong> <strong>Directory</strong> Replication“ unter http://blogs.technet.com/<br />
asksbs/archive/2008/03/28/troubleshooting-active-directory-replication.aspx stellt eine detaillierte<br />
Schrittanleitung für die Problembehandlung bei der <strong>Active</strong> <strong>Directory</strong>-Replikation bereit.<br />
• Der Artikel „Fixing Replication DNS Lookup Problems (Event IDs 1925, 2087, 2088)“ (in englischer<br />
Sprache) unter http://technet2.microsoft.com/windowsserver/en/library/43e6f617-fb49-<br />
4bb4-8561-53310219f9971033.mspx?mfr=true bietet ausführliche Informationen zur Behandlung<br />
von Replikationsproblemen, die in Verbindung mit DNS auftreten.<br />
• Der Artikel „Beheben von Fehlern bei der RPC-Endpunktzuordnung“ ( unterhttp://support.microsoft.com/kb/839880)<br />
stellt ausführliche Informationen zur Behandlung von Replikationsproblemen<br />
in Zusammenhang mit der RPC-Verbindung bereit.<br />
• Der Artikel „Dienste und Port-Anforderungen für das Microsoft Windows-Serversystem“ (unter<br />
http://support.microsoft.com/kb/832017) beschreibt die für die meisten Windows Server-Dienste,<br />
einschließlich der AD DS-Replikation, erforderlichen Ports. Diese Informationen sind insbesondere<br />
bei der Konfiguration von Firewalls zwischen Domänencontrollern nützlich.<br />
• Der Artikel „Replication Not Working Properly Between Domain Controllers After Deleting One<br />
from Sites and Services“ (in englischer Sprache) (unter http://support.microsoft.com/kb/262561)<br />
beschreibt die Verwendung des Tools Repadmin zum manuellen Erstellen von Verbindungsobjekten<br />
auf Domänencontrollern, die über das Tool <strong>Active</strong> <strong>Directory</strong>-Standorte und -Dienste entfernt<br />
wurden.<br />
• Der Artikel „<strong>Active</strong> <strong>Directory</strong> Replication Technologies“ (in englischer Sprache) unter<br />
http://technet2.microsoft.com/windowsserver/en/library/53998db6-a972-495e-a4e7-<br />
e3ca3f60b5841033.mspx enthält eine ausführliche Erläuterung zur Funktionsweise der AD DS-<br />
Replikation.<br />
• Der Artikel „The Script Repository: <strong>Active</strong> <strong>Directory</strong>“ (in englischer Sprache) unter<br />
http://www.microsoft.com/technet/scriptcenter/scripts/ad/default.mspx stellt verschiedene Skripts<br />
zum Auflisten und Bearbeiten der AD DS-Standort- und -Standortverknüpfungskonfigurationen<br />
bereit.<br />
Verwandte Tools<br />
Windows Server 2008 stellt verschiedene Tools bereit, die zur Verwaltung und Problembehandlung<br />
der Replikation eingesetzt werden können. In Tabelle 4.2 werden einige dieser Tools sowie deren<br />
Anwendungsfälle aufgeführt.
138 Kapitel 4: <strong>Active</strong> <strong>Directory</strong>-Domänendienstreplikation<br />
Tabelle 4.2<br />
AD DS-Replikationstools<br />
Toolname<br />
Dnslint.exe<br />
Nslookup.exe<br />
<strong>Active</strong> <strong>Directory</strong>-Standorte<br />
und -Dienste<br />
Repadmin.exe<br />
DCDiag.exe<br />
Beschreibung und Zweck<br />
Dieses Tool kann kostenlos von der Microsoft-Website heruntergeladen werden. (Unter http://support.microsoft.com/kb/321045<br />
erfahren Sie, wo Sie das Tool herunterladen können.) Sie können<br />
dieses Tool für die Problembehandlung häufig auftretender Probleme bei der DNS-Namensauflösung<br />
verwenden. Ferner können Sie mit Dnslint die für die AD DS-Replikation relevanten DNS-Einträge<br />
auf Fehler überprüfen.<br />
Dieses Tool ist in allen Microsoft Windows-Server- und -Clientbetriebssystemen enthalten. Mithilfe<br />
von Nslookup können Sie DNS-Serverabfragen ausführen und detaillierte Antwortinformationen abrufen.<br />
Anhand der von Nslookup gelieferten Informationen können Sie Namensauflösungsprobleme<br />
diagnostizieren und beheben, sicherstellen, dass Ressourceneinträge einer Zone ordnungsgemäß<br />
hinzugefügt bzw. darin aktualisiert wurden, sowie weitere serverbezogene Probleme beheben.<br />
Dieses Tool können Sie für die Konfiguration von Standorten und der Replikation sowie zum Durchführen<br />
einiger grundlegender Probembehandlungsmaßnahmen bei der AD DS-Replikation verwenden.<br />
Mithilfe des Befehslzeilenprogramms Repadmin.exe können Sie die Replikationstopologie aus der<br />
Perspektive jedes Domänencontrollers anzeigen. Sie können Repadmin.exe auch zum manuellen<br />
Erstellen der Replikationstopologie, zum Erzwingen von Replikationsereignissen zwischen Domänencontrollern<br />
und zum Anzeigen von Replikationsmetadaten und Aktualitätsvektoren (Up-To-<br />
Dateness Vector, UTDV) verwenden.<br />
Mithilfe von DCDiag können Sie Domänencontrollerprobleme ermitteln, die unter Umständen Auswirkungen<br />
auf die Replikation haben.<br />
Ressourcen auf der CD<br />
• Das Spreadsheet ADDSSite.xlsx ist eine Vorlage für die Dokumentation der AD DS-Standortinformationen.<br />
• Bei ListADDSSites.ps1 handelt es sich um ein Windows PowerShell-Skript zum Auflisten von<br />
Informationen zu sämtlichen Standorten in einer Gesamtstruktur.<br />
Verwandte Hilfethemen<br />
• „Prüfliste: Konfigurieren eines zusätzlichen Standorts“ in der Hilfe der Konsole <strong>Active</strong> <strong>Directory</strong>-<br />
Standorte und -Dienste.<br />
• „Prüfliste: Konfigurieren des Zeitplans für die standortübergreifende Replikation“ in der Hilfe der<br />
Konsole <strong>Active</strong> <strong>Directory</strong>-Standorte und -Dienste.<br />
• „Problembehandlung bei der <strong>Active</strong> <strong>Directory</strong>-Domänendienstereplikation“ in der Hilfe der Konsole<br />
<strong>Active</strong> <strong>Directory</strong>-Standorte und -Dienste.
T E I L I I<br />
Entwerfen und Implementieren von Windows<br />
Server 2008 <strong>Active</strong> <strong>Directory</strong><br />
Inhalt dieses Teils:<br />
Kapitel 5: Entwerfen der <strong>Active</strong> <strong>Directory</strong>-Domänendienstestruktur . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 141<br />
Kapitel 6: Installieren der <strong>Active</strong> <strong>Directory</strong>-Domänendienste . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 213<br />
Kapitel 7: Migrieren auf die <strong>Active</strong> <strong>Directory</strong>-Domänendienste . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 243
141<br />
K A P I T E L 5<br />
Entwerfen der <strong>Active</strong> <strong>Directory</strong>-Domänendienstestruktur<br />
Inhalt dieses Kapitels:<br />
Definieren der Verzeichnisdienstanforderungen . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 142<br />
Entwerfen der Gesamtstruktur . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 154<br />
Entwerfen der Integration mehrerer Gesamtstrukturen . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 164<br />
Entwerfen der Domänenstruktur . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 169<br />
Entwerfen von Domänen- und Gesamtstrukturfunktionsebenen . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 178<br />
Entwerfen der DNS-Infrastruktur . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 180<br />
Entwerfen der Struktur von Organisationseinheiten. . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 188<br />
Entwerfen der Standorttopologie . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 193<br />
Zusammenfassung. . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 209<br />
Empfohlene Vorgehensweisen. . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 209<br />
Zusätzliche Ressourcen. . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 210<br />
In vielen Unternehmen ist die <strong>Active</strong> <strong>Directory</strong>-Domänendienste-Infrastruktur (<strong>Active</strong> <strong>Directory</strong><br />
Domain Services, AD DS) die wichtigste Komponente der IT-Umgebung. In solchen Unternehmen bieten<br />
die AD DS zentrale Authentifizierungs- und Autorisierungsdienste, die den Zugriff mit einmaliger<br />
Anmeldung (Single Sign-On) auf viele weitere Netzwerkdienste des Unternehmens ermöglichen. Daher<br />
ist es wichtig, die AD DS-Infrastruktur so zu entwickeln, dass sie so viele Anforderungen des Unternehmens<br />
wie möglich abdeckt.<br />
Dieses Kapitel bietet eine Übersicht über den Planungsvorgang, den Sie vor dem Einsatz der<br />
Windows Server 2008 AD DS durchführen müssen. Zu weiten Teilen wird in diesem Kapitel davon<br />
ausgegangen, dass Sie in einem großen Unternehmen mit mehreren Geschäftseinheiten und Standorten<br />
arbeiten. Auch wenn Sie für ein kleineres Unternehmen tätig sind, werden viele der vorgestellten<br />
Konzepte für Sie relevant sein.<br />
Dieses Kapitel behandelt die größte Frage zuerst: Wie viele Gesamtstrukturen werden für Ihr Netzwerk<br />
benötigt? Hiervon ausgehend, behandelt das Kapitel die Aufteilung der Gesamtstrukturen in<br />
Domänen und die Planung des Domänennamespaces. Sobald Ihre Domänen eingerichtet sind, müssen<br />
Sie außerdem für jede Domäne eine Organisationseinheitenstruktur (Organizational Unit, OU)<br />
erstellen. Parallel zur Erstellung der logischen AD DS-Struktur müssen Sie auch die physischen AD<br />
DS-Komponenten planen. Dieses Kapitel behandelt daher auch den Entwurf von Standorten und Platzierungen<br />
der Domänencontroller.
142 Kapitel 5: Entwerfen der <strong>Active</strong> <strong>Directory</strong>-Domänendienstestruktur<br />
Hinweis Der Entwurf einer Windows Server 2008 AD DS-Infrastruktur unterscheidet sich nicht wesentlich<br />
von der Entwicklung einer <strong>Active</strong> <strong>Directory</strong>-Infrastruktur unter Microsoft Windows 2000 oder Windows<br />
Server 2003. Windows Server 2008 AD DS umfassen mehrere wichtige neue Funktionen, die sich auf das<br />
Design der AD DS auswirken. Viele der Hauptkonzepte von AD DS haben sich jedoch nicht verändert,<br />
ebenso wenig wie viele der Entwurfsentscheidungen. Wenn Sie <strong>Active</strong> <strong>Directory</strong> bereits einsetzen, können<br />
Sie anhand dieses Kapitels das aktuelle Design überprüfen und damit das Upgrade auf Windows Server<br />
2008 AD DS vorbereiten.<br />
Definieren der Verzeichnisdienstanforderungen<br />
Bevor Sie mit dem Entwurf des Verzeichnisdienstes für Ihr Unternehmen beginnen, müssen Sie<br />
zunächst wissen, warum Ihr Unternehmen den Einsatz des Verzeichnisdienstes plant. Außerdem müssen<br />
Sie den Zustand des aktuellen Verzeichnisdienstes kennen. Sehr wenige Unternehmen setzen eine<br />
neue Technologie nur deswegen ein, weil sie gerade neu und angesagt ist. Bevor in eine neue Technologie<br />
investiert wird, müssen Manager einen deutlichen Geschäftsvorteil erkennen. Das bedeutet, dass<br />
Sie verstehen und den Entscheidungsträgern des Unternehmens einleuchtend erklären müssen, wie<br />
eine neue Technologie wie Windows Server 2008 AD DS vorhandene und neue Geschäftsanforderungen<br />
abdecken wird.<br />
Abbildung 5.1 zeigt eine Prüfliste der Anforderungstypen, die Sie zu Beginn des AD DS-Entwurfs<br />
ermitteln müssen.<br />
Dokumentieren<br />
von Geschäftsanforderungen<br />
Dokumentieren<br />
von funktionellen<br />
Anforderungen<br />
Dokumentieren<br />
von Vereinbarungen<br />
zum Servicelevel<br />
Dokumentieren<br />
von rechtlichen<br />
Anforderungen<br />
Dokumentieren<br />
von Sicherheitsanforderungen<br />
Dokumentieren<br />
von Projekteinschränkungen<br />
Abbildung 5.1<br />
Informationen.<br />
Verwenden Sie die Anforderungsprüfliste für den AD DS-Entwurf zum Sammeln der benötigten
Definieren der Verzeichnisdienstanforderungen 143<br />
Einbeziehen des Unternehmens in den AD DS-Entwurf<br />
Wenn Sie AD DS für ein Unternehmen entwerfen, sollten Sie unbedingt das Management des Unternehmens<br />
in den Entwurfsvorgang einbeziehen. Die Benutzer im Unternehmen sind die Hauptkonsumenten<br />
der von der IT-Infrastruktur (Information Technology) bereitgestellten Dienste. Daher ist es<br />
wichtig, dass der Entwurf ihren Anforderungen entspricht und vom Management unterstützt wird.<br />
Inwieweit Sie Mitarbeiter des Unternehmens in den Entwurfsvorgang einbeziehen müssen, ist von<br />
Unternehmen zu Unternehmen sehr unterschiedlich. In fast jedem Unternehmen müssen jedoch<br />
zumindest die höheren Ziele des Entwurfsprojekts genehmigt werden. Bei diesen Zielen geht es<br />
beispielsweise um Aspekte wie die Zugänglichkeit von Informationen, Sicherheit, einfache Verwaltbarkeit<br />
und Verwendbarkeit. Die Geschäftsleitung wird normalerweise außerdem in höhere<br />
Entscheidungen mit deutlichen Auswirkungen einbezogen, die nach ihrer Umsetzung nicht einfach<br />
geändert werden können. Zu diesen Entscheidungen gehört, wie viele Gesamtstrukturen und<br />
Domänen im Netzwerk benötigt werden und wie viele Domänennamespaces eingesetzt werden<br />
sollen.<br />
Definieren von Geschäftsanforderungen und technischen Anforderungen<br />
Unternehmen investieren in Technologie, um geschäftliche Probleme zu lösen oder neue Möglichkeiten<br />
zu schaffen. Geschäftsanforderungen bestimmen normalerweise die Gründe, aus denen eine<br />
neue Technologie innerhalb des Unternehmens implementiert wird. Technische Anforderungen definieren<br />
häufig, wie die neue Technologie entworfen und eingesetzt wird, um die Geschäftsanforderungen<br />
zu erfüllen.<br />
Geschäftsanforderungen<br />
Geschäftsanforderungen können viele verschiedene Formen annehmen. Zum Beispiel muss ein Unternehmen<br />
möglicherweise folgende Aufgaben erfüllen:<br />
• Seine Effizienz steigern Die meisten Unternehmen müssen sich im Wettbewerb behaupten und<br />
versuchen, effizienter als ihre Mitbewerber zu arbeiten. Bei der Bewertung neuer Technologien<br />
investieren diese Unternehmen typischerweise in eine Technologie, wenn sie die Effizienz verbessert.<br />
• Externe Anforderungen erfüllen Kräfte außerhalb eines Unternehmens, beispielsweise die Regierung<br />
oder Geschäftspartner, erheben möglicherweise Ansprüche. Beispielsweise können Regierungsbestimmungen<br />
verlangen, dass Organisationen den Schutz aller Benutzer- und Kundendaten<br />
sicherstellen.<br />
• Störungen von Geschäftsvorgängen vermeiden Eine aktuelle Technologie entspricht vielleicht den<br />
meisten Geschäftsanforderungen. Wenn sie jedoch unzuverlässig ist, investiert ein Unternehmen wohl<br />
eher in eine neue Technologie, die die erforderliche Zuverlässigkeit und Verfügbarkeit gewährleistet.<br />
• Neue Geschäftsbereiche oder Lösungen erforschen Gelegentlich verwenden Unternehmen Technologien,<br />
um neue Geschäftsziele zu verfolgen. Der Einsatz webbasierter Tools zum Verkauf von<br />
Produkten und Leistungen hat beispielsweise die geschäftlichen Möglichkeiten vieler Unternehmen<br />
gesteigert.
144 Kapitel 5: Entwerfen der <strong>Active</strong> <strong>Directory</strong>-Domänendienstestruktur<br />
Es ist wahrscheinlicher, dass der Einsatz einer Technologie den Anforderungen eines Unternehmens<br />
entspricht, wenn die Geschäftsanforderungen knapp und präzise zu Beginn des Projekts definiert werden.<br />
Außerdem kann der Erfolg eines Projekts leichter eingeschätzt werden, wenn das Projektteam die<br />
Geschäftsprobleme kennt, die durch das Projekt gelöst werden sollen.<br />
Funktionsanforderungen<br />
Funktionsanforderungen definieren das erwartete Verhalten eines Systems. Sie leiten sich von den<br />
Geschäftsanforderungen ab. Geschäftsanforderungen definieren das zu lösende Problem, während<br />
Funktionsanforderungen definieren, wie die vorgeschlagene Technologie das Problem lösen soll.<br />
Ein Unternehmen könnte beispielsweise als Geschäftsanforderung definieren, dass alle Benutzer<br />
in einem Büro Zugriff auf freigegebene Ressourcen wie ein E-Mail-System oder Geschäftsanwendungen<br />
erhalten sollen. Die daraus folgende Funktionsanforderung könnte beispielsweise die Serverstandorte<br />
und -konfigurationen festlegen, die zum Erfüllen dieser Geschäftsanforderung erforderlich<br />
sind.<br />
Mithilfe der Funktionsanforderungen wird die Funktionsbeschreibung erstellt, welche die vorgeschlagene<br />
Lösung im Detail beschreibt und die Grundlage für Projektpläne und zeitliche Abläufe darstellt.<br />
Die Funktionsbeschreibung ist aus folgenden Gründen wichtig:<br />
• Sie stellt eine Vereinbarung zwischen dem Bereitstellungsteam und dem Technologiekonsumenten oder<br />
Kunden her Auf diese Weise kann das Team die richtige Lösung festlegen, die den Kundenerwartungen<br />
entspricht.<br />
• Sie stellt sehr detaillierte Einzelheiten zum Projekt bereit, damit das Team eine korrekte Umsetzung der<br />
Lösung gewährleisten kann Auf diese Weise wird die Lösung auch einfacher zu überprüfen und zu<br />
verifizieren.<br />
• Sie ermöglicht dem Team die Abschätzung von Budgets und Zeitplänen Die Anzahl der Mitarbeiter<br />
und die entsprechenden Fähigkeiten sind ohne die spezifischen Einzelheiten, die in einer Funktionsbeschreibung<br />
festgelegt sind, schwer zu bestimmen.<br />
Hinweis Zusätzlich zu den Funktionsanforderungen besitzt jeder Entwurf funktionsunabhängige Anforderungen.<br />
Funktionsunabhängige Beschreibungen definieren weniger die Systemtätigkeit selbst, sondern vielmehr<br />
die Art und Weise, in der das System arbeitet, und/oder die von ihm bereitgestellte Quality of Service<br />
(Dienstqualität). Zu den gängigen funktionsunabhängigen Anforderungen gehören die Verfügbarkeit, Wartbarkeit,<br />
Leistung, Zuverlässigkeit und Skalierbarkeit des Systems.<br />
Vereinbarungen zum Servicelevel (SLA)<br />
Vereinbarungen zum Servicelevel (Service Level Agreements, SLAs) sind Einverständniserklärungen<br />
zwischen einem Unternehmen und der Gruppe, welche die Informationssysteminfrastruktur verwaltet.<br />
In diesen Vereinbarungen werden die erwarteten Leistungen festgehalten. Ein SLA sollte unbedingt<br />
definiert werden, weil darin die Service-Erwartungen und -Anforderungen eines Unternehmens an<br />
die IT-Abteilung dokumentiert sind. In SLAs können mehrere Kategorien der erwarteten Leistung definiert<br />
sein. Hierzu gehören Folgende:<br />
• Verfügbarkeit Beispielsweise kann ein SLA fordern, dass alle Benutzer sich zu 99,99% der Zeit<br />
während der Geschäftszeiten und zu 99,9% der Zeit außerhalb der Geschäftszeiten am Netzwerk<br />
anmelden und auf kritische Anwendungen zugreifen können.<br />
• Leistung In einem SLA kann beispielsweise festgelegt sein, dass alle Benutzer innerhalb von<br />
15 Sekunden nach Eingabe ihrer Anmeldeinformationen an AD DS angemeldet sein müssen.
Definieren der Verzeichnisdienstanforderungen 145<br />
• Wiederherstellung Ein SLA kann zum Beispiel vorschreiben, dass bei Ausfall eines einzigen Servers<br />
die von diesem Server bereitgestellten Dienste innerhalb von vier Stunden nach dem Ausfall<br />
zu mindestens 75% der normalen Kapazität wiederhergestellt sein müssen.<br />
Hinweis Die von Unternehmen eingesetzten SLAs variieren zwischen eher informell und extrem durchstrukturiert.<br />
Informelle SLAs sind oft nicht dokumentiert, sondern eher allgemeine, bekannte Erwartungen an<br />
die Systemleistung. Ein Unternehmen kann beispielsweise eine interne, ungeschriebene Richtlinie befolgen,<br />
dass bestimmte Server während der Geschäftszeiten höchstens im Notfall heruntergefahren werden dürfen.<br />
Formelle SLAs werden in der Regel ausgiebig dokumentiert und enthalten ausführlich beschriebene Erwartungen,<br />
die sich aus Verhandlungen zwischen Dienstanbietern und Geschäftskunden ergeben. Solche SLAs<br />
definieren genaue Erwartungen für jede Systemkomponente des Systems und enthalten möglicherweise<br />
auch Vertragsstrafen für den Fall, dass die Erwartungen nicht erfüllt werden. Oft werden besonders formelle<br />
SLAs zwischen Geschäftskunden und externen IT-Anbietern verhandelt.<br />
SLAs haben erhebliche Auswirkungen auf den Umfang und das Budget eines Projekts. Es ist daher<br />
wichtig, sie zu Anfang des Projekts zu definieren. Die Geschäftsanforderungen zusammen mit den<br />
Funktionsbeschreibungen und den funktionsunabhängigen Beschreibungen bilden normalerweise die<br />
Grundlage für die ersten SLA-Verhandlungen. In den meisten Fällen handeln das Projektteam und die<br />
Auftraggeber die endgültigen Einzelheiten des SLA aus. In den ersten Anforderungen können sehr<br />
hohe Erwartungen gestellt werden. Die Erfüllung solcher Erwartungen kann jedoch teuer werden.<br />
Wenn ein SLA beispielsweise vorsieht, dass alle Benutzer in allen Büros sich jederzeit an AD DS<br />
anmelden können sollen, müssen Sie vollständig redundante Systeme oder WAN-Verbindungen im<br />
gesamten Unternehmen bereitstellen. Die Kosten hierfür wären wahrscheinlich nicht erschwinglich.<br />
Das Unternehmen wird daher wahrscheinlich einen akzeptableren Leistungsgrad zu angemesseneren<br />
Kosten verhandeln.<br />
Rechtliche Anforderungen<br />
Mit Informationssystemen ist das Sammeln, Speichern und Übertragen von Informationen sehr einfach.<br />
Viele Länder haben Vorschriften erlassen, in denen vorgeschrieben ist, wie Unternehmen die<br />
Vertraulichkeit von Daten gewährleisten müssen. Beispiele zeigen, wie die Rechtsprechung die Verwaltung<br />
von Daten in Unternehmen einschränkt:<br />
• Vereinigte Staaten:<br />
Sarbanes-Oxley Act von 2002 (SOX)<br />
Gramm-Leach-Bliley Act (Financial Modernization Act)<br />
Health Insurance Portability and Accountability Act von 1996 (HIPAA)<br />
Uniting and Strengthening America by Providing Appropriate Tools Required to Intercept and<br />
Obstruct Terrorism Act von 2001 (USA Patriot Act)<br />
• Kanada: Personal Information Protection and Electronic Documents Act<br />
• Australien: Federal Privacy Act<br />
• Europa: European Union Data Protection Directive (EUDPD)<br />
• Japan: Personal Information Protection Act<br />
Beim Entwurf der AD DS-Infrastruktur müssen Sie diese rechtlichen Anforderungen berücksichtigen.<br />
In einigen Fällen können Sie die Anforderungen durch den Entwurf technischer Lösungen<br />
erfüllen.
146 Kapitel 5: Entwerfen der <strong>Active</strong> <strong>Directory</strong>-Domänendienstestruktur<br />
Wenn beispielsweise Kundendaten grundsätzlich nur von wenigen bestimmten Benutzern eingesehen<br />
werden dürfen, könnten Sie die Kundendaten in einer separaten AD DS-Gesamtstruktur speichern<br />
oder eine Instanz der <strong>Active</strong> <strong>Directory</strong> Lightweight <strong>Directory</strong> Services (AD LDS) mit strengen Einschränkungen<br />
des Benutzerzugriffs einsetzen. Um zu verhindern, dass Benutzer vertrauliche Daten<br />
aus dem Unternehmen heraus senden, könnten Sie eine AD RMS-Lösung (<strong>Active</strong> <strong>Directory</strong> Rights<br />
Management Services) implementieren.<br />
Technische Lösungen können selten sämtliche Rechtsanforderungen erfüllen. Wenn Sie vertrauliche<br />
Daten beispielsweise über AD RMS schützen, kann ein Benutzer diese Daten noch immer mit einer<br />
Digitalkamera ablichten und die Daten aus dem Unternehmen schleusen. Benutzer mit Zugriff auf<br />
vertrauliche Kundendaten können diese Daten noch immer an unbefugte Benutzer weitergeben. Um<br />
diese Probleme zu lösen, müssen Unternehmen die technischen Lösungen durch auf Unternehmensrichtlinien<br />
basierende Lösungen ergänzen, in denen zulässige Aktionen und die bei unzulässigen<br />
Aktionen zu befürchtenden Konsequenzen deutlich festgelegt sind.<br />
Sicherheitsanforderungen<br />
Alle IT-Bereitstellungen haben außerdem Sicherheitsanforderungen. Die Anforderungen erlangen<br />
beim Einsatz von AD DS besondere Bedeutung, weil AD DS wahrscheinlich zum Sichern des<br />
Zugriffs auf die meisten Daten, Dienste und Anwendungen im Netzwerk verwendet wird.<br />
Stellen Sie sich die folgenden Fragen, um Ihre Sicherheitsanforderungen festzustellen:<br />
• Wo liegen die Sicherheitsrisiken für das Unternehmen? Auf diese Frage gibt es viele mögliche<br />
Antworten, zum Beispiel:<br />
Mobile Benutzer, die viel reisen und sich mit dem internen Netzwerk verbinden müssen, um<br />
auf ihre E-Mail, Anwendungen oder Daten zuzugreifen.<br />
Benutzer außerhalb des Unternehmens, die auf in einem Umkreisnetzwerk befindliche Websites<br />
zugreifen und sich über ihre internen AD DS-Benutzerkonten authentifizieren müssen.<br />
Büros, die physisch nicht abgesichert sind und in denen böswillige Benutzer Zugriff auf das<br />
Netzwerk erlangen können. Andere Büros besitzen möglicherweise keinen sicheren Standort<br />
für Domänencontroller oder andere Server.<br />
Eine Datenbank mit vertraulichen Kundendaten, die für Webanwendungen im Umkreisnetzwerk<br />
zugänglich sein muss.<br />
• Wie werden Sicherheitsanforderungen derzeit berücksichtigt? Fast alle Unternehmen berücksichtigen<br />
wenigstens einige Sicherheitsanforderungen. Beispielsweise haben praktisch alle Unternehmen<br />
Antiviruslösungen und Firewalls implementiert, um das interne Netzwerk vor Angriffen aus<br />
dem Internet zu schützen.<br />
• Welche Lücken bestehen zwischen Sicherheitsanforderungen und aktuellen Lösungen? Diese<br />
Lücken sind je nach Unternehmen unterschiedlich groß. Einige Unternehmen setzen beispielsweise<br />
Anwendungen ein, für die Benutzer sich über Anmeldeinformationen authentifizieren müssen,<br />
die im Netzwerk nicht sicher übertragen werden. Um diesen Vorgang für den Benutzer zu<br />
vereinfachen, weisen manche Unternehmen der Anwendung denselben Benutzernamen und dasselbe<br />
Kennwort zu, der bzw. das auch für die Anmeldung an AD DS verwendet wird. Wenn daher<br />
die Anmeldeinformationen für die Authentifizierung bei der Anwendung geknackt werden, sind<br />
somit auch die AD DS-Anmeldeinformationen offengelegt.<br />
• Welche allgemeinen Sicherheitsanforderungen oder -richtlinien muss das Projekt befolgen? Die<br />
meisten Unternehmen verfügen über allgemeine Sicherheitsanforderungen, die für alle Projekte gelten.<br />
Hierzu gehören beispielsweise folgende Anforderungen:
Definieren der Verzeichnisdienstanforderungen 147<br />
Alle Server müssen sich in einem sicheren Serverraum befinden, der nur befugten Benutzern<br />
zugänglich ist.<br />
Der gesamte Authentifizierungsdatenverkehr muss bei der Übertragung im Netzwerk abgesichert<br />
sein.<br />
Alle Benutzer, die über ein VPN (Virtual Private Network) auf das interne Netzwerk zugreifen,<br />
müssen eine zweistufige Authentifizierung verwenden.<br />
Sicherheitsanforderungen stehen manchmal in Widerspruch zu den Geschäftsanforderungen. Beispielsweise<br />
könnte eine Geschäftsanforderung besagen, dass alle Benutzer in einer bestimmten Abteilung<br />
über ein VPN auf das interne Netzwerk zugreifen müssen. In der Sicherheitsanforderung könnte festgelegt<br />
sein, dass alle VPN-Benutzer eine zweistufige Authentifizierung bereitstellen müssen. Wenn nicht<br />
alle Benutzer in der Abteilung mobile Computer verwenden, die die zweistufige Authentifizierung<br />
unterstützen, besteht ein Konflikt zwischen der Geschäftsanforderung und der Sicherheitsanforderung.<br />
Sicherheitsanforderungen schränken häufig die Leistungsfähigkeit eines Projekts ein. Eine technische<br />
Lösung kann Geschäftsanforderungen möglicherweise erfüllen oder sogar übertreffen; wenn jedoch<br />
derjenige, der für die Definition der Sicherheitsanforderungen zuständig ist, die Lösung als unsicher<br />
betrachtet, muss diese überarbeitet oder die Geschäftsanforderung aufgehoben werden. In vielen<br />
Unternehmen sind einige Sicherheitsanforderungen nicht verhandelbar, während andere Sicherheitsanforderungen<br />
zugunsten einer kritischen Geschäftsanforderung geändert werden können.<br />
Projekteinschränkungen<br />
Projekteinschränkungen definieren die Parameter des Projekts, indem sie die gegebenen Möglichkeiten<br />
beschränken. Wenn dem Projekt beispielsweise ein festes Budget zugrunde liegt, müssen Planer<br />
möglicherweise eher die Hardware verwenden, die sie sich leisten können, anstelle der Hardware,<br />
die sie als optimal geeignet betrachten.<br />
Es gibt drei allgemeine Kategorien von Projekteinschränkungen:<br />
• Ressourceneinschränkungen Das Budget eines Projekts ist eine typische Ressourceneinschränkung.<br />
Wenn das vorgeschlagene Budget den veranschlagten Personalkosten, Ausrüstungskosten<br />
und Softwarekosten nicht entspricht, kann das Projekt nicht fortgesetzt oder muss an die Einschränkungen<br />
angepasst werden. Außerdem können andere Ressourceneinschränkungen für ein<br />
Projekt vorliegen:<br />
Das geeignete Personal ist möglicherweise nicht verfügbar, oder seine Fertigkeiten reichen<br />
zum Abschließen des Projekts nicht aus.<br />
Computerressourcen oder Hardware ist möglicherweise nicht zugänglich.<br />
• Zeitplaneinschränkungen Auch der Projektzeitplan kann die Möglichkeiten eines Projekts einschränken.<br />
Beispielsweise erlauben viele Unternehmen zu bestimmten Zeiten keine Änderungen<br />
an der IT-Umgebung, beispielsweise am Ende des Geschäftsjahres oder bei Hochkonjunktur. Soll<br />
ein Projekt während eines dieser Zeiträume abgeschlossen werden, muss der Projektumfang möglicherweise<br />
geändert werden. Außerdem kann ein Projekt durch den Zeitplan anderer Projekte eingeschränkt<br />
werden.<br />
• Funktionseinschränkungen Funktionseinschränkungen können sich auf den Beginn oder den<br />
Umfang eines Projekts auswirken. Wenn ein Unternehmen beispielsweise ein neues Produkt<br />
basierend auf einer bestimmten Funktion bewertet und diese Funktion nicht verfügbar ist oder den<br />
Anforderungen des Unternehmens nicht entspricht, entscheidet sich das Unternehmen möglicherweise<br />
für den Abbruch des Projekts. Ist eine bestimmte Funktion besonders wichtig, kann der Projektumfang<br />
um die jeweilige Funktion erweitert werden.
148 Kapitel 5: Entwerfen der <strong>Active</strong> <strong>Directory</strong>-Domänendienstestruktur<br />
Das Projektteam und die Auftraggeber verhandeln häufig über Projekteinschränkungen sowie über<br />
Geschäftsanforderungen und SLAs. Das Budget mag vielleicht als feste Größe erscheinen; wenn eine<br />
Erhöhung des Budgets jedoch zur Einhaltung einer wichtigen Geschäftsanforderung oder eines<br />
bestimmten SLA-Levels dient, kann das Budget entsprechend angepasst werden.<br />
Dokumentieren der aktuellen Umgebung<br />
Sobald Sie die Verzeichnisdienstanforderungen zusammengestellt haben, besteht der nächste Schritt<br />
in der Analyse der aktuellen Netzwerk- und Verzeichnisumgebung. Durch die Analyse der aktuellen<br />
Umgebung können Sie leichter ermitteln, was beim Einsatz der neuen Infrastruktur geändert werden<br />
muss. Diese Informationen bieten einen Ausgangspunkt für die Festlegung eines geeigneten Aufbauund<br />
Implementierungsplans für die Windows Server 2008-Bereitstellung.<br />
Abbildung 5.2 zeigt eine Prüfliste der Datentypen, die Sie zu Beginn des AD DS-Entwurfs ermitteln<br />
müssen.<br />
Wichtig Während Sie Informationen über die aktuelle Netzwerkinfrastruktur oder eine andere Komponente<br />
in der aktuellen Umgebung sammeln, sollten Sie außerdem unbedingt auch Informationen zu geplanten Änderungen<br />
an der Umgebung zusammenstellen. Wenn beispielsweise die WAN-Verbindungen vor dem Einsatz<br />
der AD DS aufgerüstet werden sollen, nehmen Sie diese Information in Ihre Dokumentation auf. Diese Änderungen<br />
stehen möglicherweise aufgrund von Projektabhängigkeiten in Konflikt mit der AD DS-Bereitstellung<br />
oder führen zu Änderungen an Ihrem Entwurf.<br />
Dokumentieren<br />
des physischen<br />
Netzwerks<br />
Dokumentieren<br />
der Namensauflösungsinfrastruktur<br />
Dokumentieren der<br />
<strong>Active</strong> <strong>Directory</strong>-<br />
Infrastruktur<br />
Dokumentieren<br />
zusätzlicher<br />
Infrastrukturkomponenten<br />
Dokumentieren von<br />
Verwaltungsmodellen<br />
und -verfahren<br />
Abbildung 5.2<br />
Prüfliste zur aktuellen Umgebung für den AD DS-Entwurf<br />
Dokumentieren der Infrastruktur des physischen Netzwerks<br />
Berücksichtigen Sie beim Dokumentieren der Infrastruktur des physischen Netzwerks die folgenden<br />
Komponenten:
Definieren der Verzeichnisdienstanforderungen 149<br />
• Die Anzahl, geografische Lage und Verbindungsgeschwindigkeit sämtlicher Standorte, an denen Netzwerkdienste<br />
eingesetzt werden Führen Sie unbedingt sämtliche Standorte auf, aus denen die Netzwerkinfrastruktur<br />
besteht, also Gebäude, Betriebsgelände und Zweigniederlassungen. Außerdem<br />
müssen Sie die Verbindungstypen und die Netzwerkgeschwindigkeit für jeden Standort ermitteln.<br />
Berücksichtigen Sie auch die physische Sicherheit der verschiedenen Standorte. Besonders in<br />
Zweigniederlassungen ist die physische Sicherheit häufig gering, und dieser Umstand wirkt sich auf<br />
die Designauswahl aus, die Sie treffen müssen.<br />
• Eine Karte der Routingtopologie, in der die physischen Standorte und die dort verwendeten IP-Subnetze<br />
(Internet Protocol) dargestellt sind Diese Karte ist hilfreich bei der Planung oder Integration in den<br />
AD DS-Standortentwurf.<br />
• Bandbreite, Latenz und aktuelle Auslastung Die Bandbreite ist die Übertragungsgeschwindigkeit<br />
über eine Netzwerkverbindung in Kilobit pro Sekunde (KBit/s). Latenz bezieht sich auf den Zeitraum<br />
in Millisekunden, der für die Übertragung von Daten zwischen zwei Punkten erforderlich<br />
ist. Kombiniert legen beide Faktoren fest, wie viele Daten in einem bestimmten Zeitraum über das<br />
Netzwerk übertragen werden können. Diese Information sowie die Anwendungen, die derzeit das<br />
Netzwerk verwenden, und die Anzahl der Benutzer an verschiedenen Standorten sowie ihre Nutzungsmuster<br />
können genutzt werden, um einen Entwurf für Ihre AD DS-Implementierung zu<br />
erstellen, der ein zufriedenstellendes Benutzererlebnis gewährleistet.<br />
• Anforderungen an die Firewallkonfiguration Wenn Ihr Unternehmen Firewalls zwischen den Unternehmensstandorten<br />
einsetzt, dokumentieren Sie die Firewallstandorte und die Firewallregeln.<br />
Falsch konfigurierte Firewalls können die DNS-Namensauflösung, die AD DS-Replikation und<br />
die Authentifizierung stören.<br />
• Nicht technische Einschränkungen Hierzu gehören geografische, politische oder kostenbezogene<br />
Einschränkungen, die sich aus einer Änderung oder Aktualisierung der Netzwerkverbindungen<br />
zwischen Standorten ergeben.<br />
Auf der DVD Sie können die Datei CurrentNetworkEnviroment.xlsx auf der CD nutzen, um die aktuelle<br />
Netzwerkumgebung zu dokumentieren. Mehrere Registerkarten im Arbeitsblatt beziehen sich auf zugehörige<br />
Netzwerkdiagramme. Eines der besten Tools zur Erstellung von Netzwerkdiagrammen ist Microsoft Office<br />
Visio. Vier Visio-Vorlagen, die zum Erstellen von Diagrammen für LAN- und WAN-Konfigurationen eingesetzt<br />
werden können, sind auf der CD enthalten. Zusätzliche Visio-Vorlagen können außerdem von<br />
http://office.microsoft.com/en-us/templates/default.aspx heruntergeladen werden. Ein WAN-Beispieldiagramm<br />
(WANDiagram_Sample.vsd) befindet sich ebenfalls auf der CD.<br />
Dokumentieren der Infrastruktur zur Namensauflösung<br />
AD DS erfordern eine DNS-Infrastruktur (Domain Name System), damit Domänencontroller einander<br />
und Clientcomputer die Domänencontroller finden können. Berücksichtigen Sie beim Dokumentieren<br />
der DNS-Infrastruktur folgende Aspekte:<br />
• Welche Art von DNS-Software wird derzeit verwendet? Kann sie Dienstressourceneinträge (Service,<br />
SRV) verarbeiten?<br />
• Wer wartet und verwaltet die internen und externen DNS-Server und Zoneninformationen des<br />
Unternehmens? Wie lauten die IP-Adressen aller DNS-Server?<br />
• Wer weist DNS-Namen und -Domänen innerhalb des Unternehmens zu? Gibt es eine zentrale<br />
Stelle für die Planung und Steuerung von DNS-Namespaces?<br />
• Wo befinden sich interne DNS-Server im Netzwerk? Welche Zonen sind auf den einzelnen DNS-<br />
Servern gespeichert?
150 Kapitel 5: Entwerfen der <strong>Active</strong> <strong>Directory</strong>-Domänendienstestruktur<br />
• Wie ist die DNS-Namensauflösung über mehrere Namespaces konfiguriert? Wie werden Stammhinweise,<br />
Weiterleitungen (Forwarder), bedingte Weiterleitungen, Stubzonen und Delegierungen<br />
verwendet, um die Namensauflösung zu ermöglichen?<br />
• Sind die DNS-Zonen in AD DS integriert?<br />
Auf der DVD Sehen Sie auf den Registerkarten DNS Zone Configuration und DNS Server Configuration in<br />
den Aufgabeninformationen CurrentNetworkEnvironment auf der Begleit-CD nach, um die aktuelle DNS-Infrastruktur<br />
zu dokumentieren.<br />
Dokumentieren der <strong>Active</strong> <strong>Directory</strong>-Infrastruktur<br />
Die meisten Unternehmen, die AD DS neu einsetzen, führen bereits eine andere Version von <strong>Active</strong><br />
<strong>Directory</strong> aus. Bevor Sie mit dem Entwurf der AD DS beginnen, stellen Sie sicher, dass Ihnen die<br />
aktuelle Umgebung genau bekannt ist. Wenn Sie die aktuelle <strong>Active</strong> <strong>Directory</strong>-Bereitstellung dokumentieren,<br />
berücksichtigen Sie folgende Punkte:<br />
• <strong>Active</strong> <strong>Directory</strong>-Gesamtstruktur- und -Domänentopologie<br />
Besteht Ihr Unternehmen aus einer einzigen oder aus mehreren Gesamtstrukturen? Wenn in<br />
Ihrem Unternehmen mehrere Gesamtstrukturen verwendet werden, sollten Sie die Optionen<br />
zum Konsolidieren von Gesamtstrukturen erkunden.<br />
Wie viele Domänen sind in jeder Gesamtstruktur implementiert?<br />
Welchen Zweck erfüllen die einzelnen Domänen? Um festzustellen, ob Domänen konsolidiert<br />
werden können, müssen Sie verstehen, warum die einzelnen Domänen erstellt wurden.<br />
IWas hat das Unternehmen bewogen, mehrere Gesamtstrukturen einzusetzen und zu verwalten?<br />
Wenn der Grund für die Verwendung mehrerer Domänen noch immer gilt, müssen Sie<br />
möglicherweise weiterhin mehrere Gesamtstrukturen verwalten. Andernfalls können Sie<br />
erwägen, Gesamtstrukturen zu konsolidieren.<br />
• Konfiguration der <strong>Active</strong> <strong>Directory</strong>-Vertrauensstellungen<br />
Welche Vertrauensstellungen wurden zusätzlich zu den Standardvertrauensstellungen innerhalb<br />
einer AD DS-Gesamtstruktur konfiguriert? Ermitteln Sie bei der Dokumentation der Vertrauensstellungen<br />
die Gründe für jede einzelne Vertrauensstellung. Besitzen die Gründe noch<br />
immer Gültigkeit?<br />
Welche Vertrauensstellungen bestehen mit externen Domänen? Stellen Sie fest, ob diese Vertrauensstellungen<br />
noch immer erforderlich sind oder ob zusätzliche Vertrauensstellungen<br />
benötigt werden.<br />
• Welche Domänen- und Gesamtstrukturfunktionsebenen werden eingesetzt? Wenn Sie die Domänen-<br />
und die Gesamtstrukturfunktionsebene heraufstufen, erhalten Sie Zugriff auf neue Funktionen<br />
in <strong>Active</strong> <strong>Directory</strong>. Wenn die Domänen- und die Gesamtstrukturfunktionsebene nicht der<br />
höchsten Ebene entspricht, die von den Betriebssystemen auf den Domänencontrollern unterstützt<br />
wird, prüfen Sie, warum die Funktionsebene nicht heraufgestuft wurde.<br />
• <strong>Active</strong> <strong>Directory</strong>-Standortkonfiguration: Dokumentieren Sie die aktuelle <strong>Active</strong> <strong>Directory</strong>-Standorttopologie,<br />
und berücksichtigen Sie dabei folgende Aspekte:<br />
Anzahl konfigurierter Standorte<br />
Subnetzkonfigurationen und ihre Standortverknüpfung<br />
IP-Standortverknüpfungen und ihre Mitgliedsstandorte<br />
IP-Standortverknüpfungskosten und Replikationszeitpläne
Definieren der Verzeichnisdienstanforderungen 151<br />
• Konfiguration der Domänencontroller und globalen Katalogserver: Während Sie die einzelnen<br />
<strong>Active</strong> <strong>Directory</strong>-Standorte analysieren, dokumentieren Sie die Konfiguration und den physischen<br />
Standort jedes Domänencontrollers und jedes globalen Katalogservers. Stellen Sie im<br />
Zuge der Domänencontrollerdokumentation fest, welche Domänencontroller die Betriebsmasterrollen<br />
der Gesamtstruktur und Domänen hosten.<br />
• Inhaber der FSMO-Rolle: AD DS stellen eine Reihe von Betriebsmasterrollen zur Verfügung, und<br />
es ist wichtig zu wissen, welche Domänencontroller in der Domäne oder in der Gesamtstruktur<br />
diese Rollen ausführen.<br />
• Zeitdienstkonfiguration: Die Zeitsynchronisierung ist in einer AD DS-Umgebung von Bedeutung,<br />
daher sollten Sie prüfen, wie der Zeitdienst in Ihrer Gesamtstruktur konfiguriert ist.<br />
• Konfiguration der Organisationseinheiten (Organizational Units, OU): Dokumentieren Sie bei der<br />
Domänenanalyse die aktuelle OU-Struktur. Dokumentieren Sie für jede Organisationseinheit die<br />
Position in der Domänenhierarchie, den Zweck jeder Organisationseinheit sowie die delegierten<br />
Berechtigungen und verknüpften Gruppenrichtlinienobjekte (Group Policy Objects, GPOs).<br />
• Konfiguration der Gruppenrichtlinien: Viele Unternehmen verwenden die <strong>Active</strong> <strong>Directory</strong>-Gruppenrichtlinie,<br />
um eine zentrale Verwaltung und Sicherheit der Benutzer, Gruppen und Computer<br />
sowie weiterer Verzeichnisobjekte bereitzustellen. Dokumentieren Sie die GPOs, den Zweck jedes<br />
Gruppenrichtlinienobjekts, die Vererbungs- und Filtereinstellungen der einzelnen GPOs und die<br />
GPO-Einstellungen.<br />
• <strong>Active</strong> <strong>Directory</strong>-Gruppen: Dokumentieren Sie die Gruppenkonfiguration, einschließlich des<br />
Gruppenbereichs und -typs, der Gruppenbesitzer und der Mitgliedschaftsliste sowie der Verwendungsart<br />
der Gruppe. Dies ist vor allem für alle Gruppen mit Administratorrechten von Bedeutung.<br />
Auf der DVD Sie können die Datei Current<strong>Directory</strong>Enviroment.xlsx auf der CD nutzen, um die aktuelle<br />
<strong>Active</strong> <strong>Directory</strong>-Umgebung zu dokumentieren.<br />
Aktuelle <strong>Active</strong> <strong>Directory</strong>-Konfiguration und der AD DS-Entwurf<br />
Eine wichtige Anforderung beim AD DS-Entwurf besteht darin, den optimalen Entwurf für ein<br />
Netzwerk abzuwägen, in dem AD DS bereits eingesetzt werden. Berücksichtigen Sie bei der Vorbereitung<br />
des AD DS-Entwurfs den aktuellen <strong>Active</strong> <strong>Directory</strong>-Aufbau und die Auswirkungen<br />
einer Migration von dieser Infrastruktur auf einen anderen AD DS-Entwurf. Die aktuelle Domänenstruktur<br />
ist vielleicht nicht ideal. Es ist jedoch bedeutend einfacher (und preiswerter), die aktuellen<br />
Domänen nur zu aktualisieren, als die ideale AD DS-Struktur zu erstellen und anschließend<br />
sämtliche Domänenobjekte auf die neuen Domänen zu migrieren. Das heißt, dass Sie unter<br />
Umständen gezwungen sind, mit einer weniger idealen AD DS-Struktur zu arbeiten, weil Sie die<br />
aktuellen Domänen aktualisieren müssen. Natürlich könnten Sie auch zu dem Schluss kommen,<br />
dass die aktuelle Struktur so weit von einer idealen Struktur entfernt ist, dass sich der zusätzliche<br />
Aufwand und die Kosten für die Umstrukturierung sämtlicher Domänen lohnen. Im Normalfall ist<br />
die aktuelle Struktur wahrscheinlich nahezu akzeptabel, Sie würden jedoch einige Änderungen vornehmen<br />
wollen. In diesem Szenario könnten Sie eine oder mehrere Domänen aktualisieren und<br />
anschließend andere Domänen mit den aktualisierten Domänen zusammenführen.
152 Kapitel 5: Entwerfen der <strong>Active</strong> <strong>Directory</strong>-Domänendienstestruktur<br />
Erwägen Sie beim Vorbereiten Ihres AD DS-Entwurfs die Erstellung eines idealen AD DS-Entwurfs,<br />
und erstellen Sie anschließend einen anderen Entwurf, der auf dem optimalen Aktualisierungsszenario<br />
für die aktuelle Umgebung basiert. Höchstwahrscheinlich wird Ihr endgültiger Entwurf<br />
irgendwo zwischen dem idealen und dem optimalen Entwurf liegen.<br />
Dieses Zusammenspiel zwischen einem idealen Entwurf und dem, was realistischerweise möglich<br />
ist, zeigt einen weiteren wichtigen Aspekt des AD DS-Entwurfs: Es handelt sich fast immer um<br />
einen iterativen Vorgang. Zu Beginn haben Sie einen bestimmten Entwurf im Kopf, und während<br />
Sie zusätzliche Informationen sammeln, müssen Sie diesen Entwurf höchstwahrscheinlich verändern.<br />
Wenn Sie anfangen, die Implementierungs- oder Migrationsszenarios zu testen, werden Sie<br />
Ihren AD DS-Entwurf möglicherweise erneut überarbeiten.<br />
Es ist jedoch wichtig, dass einige Teile Ihres Entwurfs vor Beginn der Bereitstellung fertig gestellt<br />
sind. Entwurfsentscheidungen wie die Anzahl der Gesamtstrukturen und Domänen sowie der Entwurf<br />
des Domänennamespaces können nach Beginn der Bereitstellung nicht ohne weiteres geändert<br />
werden. Andere Aspekte, beispielsweise der endgültige OU-Entwurf und der Standortaufbau,<br />
können auch nach der Bereitstellung relativ einfach bearbeitet werden.<br />
Dokumentieren zusätzlicher Infrastrukturkomponenten<br />
Zusätzlich zu den Netzwerkinfrastruktur- und Verzeichniskomponenten müssen Sie möglicherweise<br />
Informationen zu weiteren Infrastrukturkomponenten sammeln. Hierzu gehören:<br />
• Exchange Server-Implementierung Wenn Ihr Unternehmen Exchange Server einsetzt, müssen Sie<br />
die Exchange Server-Infrastruktur dokumentieren. Exchange-Server und Messagingclients unterliegen<br />
einer starken Abhängigkeit von AD DS, die sich auf die Anzahl und die Platzierung der<br />
Domänencontroller und globalen Katalogserver auswirkt. Wenn Ihr Unternehmen außerdem<br />
Exchange Server 2007 einsetzt oder einzusetzen plant, müssen Sie die das Exchange-Nachrichtenrouting<br />
beim Entwurf der Standortkonfiguration berücksichtigen. Weitere Einzelheiten zum Einfluss<br />
von Exchange Server auf Ihren AD DS-Entwurf finden Sie im Abschnitt „Exchange Server<br />
2007 und der Standortentwurf“ weiter unten in diesem Kapitel.<br />
• Verzeichnisfähige Anwendungen Dokumentieren Sie außer Exchange Server auch alle weiteren<br />
verzeichnisfähigen Anwendungen, die im Unternehmen eingesetzt werden. Beschreiben Sie in<br />
Ihrer Dokumentation, ob die Anwendung derzeit <strong>Active</strong> <strong>Directory</strong> oder einen anderen Verzeichnisdienst<br />
nutzt, ob die Anwendung AD DS-Schemaänderungen erfordert und wo die Anwendung<br />
bereitgestellt wird.<br />
• Infrastruktur zur Sicherung und Notfallwiederherstellung In den meisten Fällen müssen die AD DS-<br />
Domänencontroller in die aktuelle Infrastruktur für die Sicherung und Notfallwiederherstellung<br />
integriert werden. Sammeln Sie Informationen zur Sicherungs- und Notfallwiederherstellungstechnologie<br />
und zu den Sicherungszeitplänen und -vorgängen.<br />
• Zusätzliche Anwendungen Erstellen Sie eine Inventarisierung der in Ihrer Umgebung verwendeten<br />
Produkte, einschließlich der Antiviruslösungen, Speicherverwaltungssoftware und Systemverwaltungs-<br />
und -überwachungstools.<br />
Dokumentieren von Verwaltungsmodellen und -prozessen<br />
Die Verwaltungsstruktur und -prozesse in Ihrem Unternehmen haben großen Einfluss auf den Entwurf<br />
der IT-Infrastruktur. Dies gilt vor allem für den AD DS-Entwurf aufgrund der Flexibilität, die<br />
AD DS für die Delegierung administrativer Aufgaben bereitstellen. Berücksichtigen Sie beim Dokumentieren<br />
des Verwaltungsmodells folgende Aspekte:
Definieren der Verzeichnisdienstanforderungen 153<br />
• Aktuelles Verwaltungsmodell des Unternehmens In manchen Unternehmen erfolgt die IT-Verwaltung<br />
möglicherweise zentral, während in anderen Unternehmen die Zuständigkeiten an regionale<br />
Bereiche oder einzelne Geschäftsabteilungen delegiert werden. Der übliche Ansatz ist eine Kombination<br />
aus beidem, wobei einige IT-Funktionen, beispielsweise die Netzwerkbereitstellung und<br />
-sicherheit, zentral gehandhabt werden, während andere Funktionen, wie die Verwaltung von<br />
Benutzerkonten oder Desktopcomputern, an geografische oder geschäftliche Unterabteilungen<br />
delegiert werden.<br />
• Verwaltungsmodell mit Benutzerkonten In einer zentralen Umgebung kann eine einzige Gruppe<br />
von Administratoren diese Aufgaben für sämtliche Benutzer im gesamten Unternehmen durchführen.<br />
In einer nicht zentral ausgerichteten Umgebung liegt diese Verantwortung möglicherweise bei<br />
einer Abteilung oder bei einem anderen Team, beispielsweise bei der Personalverwaltung oder der<br />
Abteilung für die Sicherheit des Unternehmens.<br />
• Struktur mit Geschäftsabteilungen Auf die Beziehungen zwischen den Geschäftsabteilungen oder<br />
Geschäftsbereichen muss hier nicht ausführlich eingegangen werden. Allerdings ist es hilfreich,<br />
einige Aspekte dieser Beziehungen zu untersuchen. Beispiel:<br />
Müssen zwischen separaten Geschäftsabteilungen oder -bereichen Sicherheitsgrenzen eingerichtet<br />
werden? In diesem Fall ist möglicherweise ein Entwurf mit mehreren Gesamtstrukturen<br />
erforderlich.<br />
Welche Anforderungen bestehen für die Kommunikation zwischen verschiedenen Geschäftsabteilungen?<br />
Ist beispielsweise ein einheitliches Verzeichnis oder eine Adressliste für das gesamte<br />
Unternehmen erforderlich?<br />
Wie wird die Kommunikation zwischen den Abteilungen gesteuert? Mit anderen Worten, welche<br />
Gruppe ist für das Feststellen und Lösen von Problemen mit der Authentifizierung, mit dem<br />
Netzwerk oder mit Protokollen zuständig, durch welche die Kommunikation zwischen Benutzern<br />
und Ressourcen in verschiedenen Abteilungen verhindert wird?<br />
• Problembehandlung Die meisten großen Unternehmen verfügen über einen umfassend definierten<br />
Problembehandlungsprozess, der möglicherweise mehrere Supportlevel umfasst. Die Informationen<br />
über den aktuellen Problembehandlungsprozess sind nützlich für die Erstellung des Bereitstellungsplans<br />
und stellen außerdem sicher, dass die richtigen Administratoren die erforderliche<br />
Schulung zur Problembehandlung für die AD DS-Bereitstellung erhalten.<br />
• Änderungskontrollprozess Der Prozess zur Änderungskontrolle unterscheidet sich stark von<br />
Unternehmen zu Unternehmen. Einige Unternehmen haben keinen offiziellen Änderungskontrollprozess<br />
implementiert, während andere strenge Prozesse zur Änderungsanforderung, Genehmigung<br />
und Benachrichtigung vorsehen. Folgende Fragen sind für Änderungskontrollprozesse<br />
besonders relevant:<br />
Wie implementiert das Unternehmen Änderungen an der IT? Sie müssen bestimmte Prozesse<br />
feststellen, die bei der Implementierung von Änderungen stattfinden.<br />
Wie werden Änderungen an der IT-Infrastruktur genehmigt? Bevor Änderungen durchgeführt<br />
werden, ist möglicherweise eine besondere Genehmigung durch IT-Manager, Unternehmensadministratoren<br />
oder Sicherheitspersonal erforderlich. Sie müssen dokumentieren, wer die<br />
Entscheidungsträger sind und wie sie den Prozess zur Änderungsgenehmigung beeinflussen.<br />
Wie werden Änderungsbenachrichtigungen gehandhabt? Bevor die Änderung durchgeführt<br />
wird, müssen alle betroffenen Benutzer über die Änderung und alle dadurch verursachten<br />
Auswirkungen informiert werden.
154 Kapitel 5: Entwerfen der <strong>Active</strong> <strong>Directory</strong>-Domänendienstestruktur<br />
<br />
<br />
<br />
Es ist wichtig, alle aktuellen Prozesse zur Änderungsbenachrichtigung und die Anforderungen<br />
zu dokumentieren, in denen festgelegt ist, wann Änderungsbenachrichtigungen erforderlich<br />
sind.<br />
Welche Prozesse werden im Notfall zur Eskalation eingesetzt? Wenn während der Implementierung<br />
der genehmigten Änderung Probleme auftreten, müssen Sie wissen, an wen Sie sich<br />
wenden können, um die erforderlichen Vorgehensweisen zur Problembehandlung und Wiederherstellung<br />
zu erfragen.<br />
Welche Zeitrahmen gelten für die Durchführung von Änderungen, die sich auf die Verfügbarkeit<br />
auswirken? Viele Unternehmen begrenzen die Zeiträume, in denen wichtige Netzwerkdienste<br />
geändert oder offline geschaltet werden dürfen.<br />
Welche Prozesse werden im Zusammenhang mit der Änderungsverwaltung zur Risikoverwaltung<br />
eingesetzt? Zu einem vollständigen Änderungskontrollprozess gehört eine Risikoanalyse<br />
und Prozesse zum Verringern von Risiken.<br />
Entwerfen der Gesamtstruktur<br />
Nachdem Sie die Geschäfts- und die technischen Anforderungen gesammelt und die aktuelle Umgebung<br />
dokumentiert haben, können Sie mit dem Entwurf der AD DS-Infrastruktur beginnen. Wahrscheinlich<br />
die wichtigste Entscheidung, die Sie früh im Entwurfsvorgang treffen müssen, ist, wie viele<br />
Gesamtstrukturen Sie erstellen möchten. Der Einsatz einer einzigen AD DS-Gesamtstruktur vereinfacht<br />
die Freigabe und den Zugriff auf Informationen innerhalb des Unternehmens. Außerdem ist auch<br />
die zentrale Verwaltung der gesamten Verzeichnisinfrastruktur einfacher. Die Nutzung einer einzigen<br />
Gesamtstruktur für ein großes Unternehmen verlangt jedoch ein erhebliches Maß an Zusammenarbeit<br />
und gegenseitiger Abhängigkeit zwischen möglicherweise verschiedenartigen und unzusammenhängenden<br />
Geschäftsabteilungen. Letztlich hängt die Anzahl an bereitgestellten Gesamtstrukturen davon<br />
ab, was in Ihrem Unternehmen wichtiger ist: die einfache Freigabe von Informationen über alle Domänen<br />
in der Gesamtstruktur hinweg oder die Möglichkeit, einen Teil der Verzeichnisstruktur vollkommen<br />
unabhängig zu kontrollieren.<br />
In Abbildung 5.3 wird der Prozess zum Erstellen eines Gesamtstrukturentwurfs dargestellt.<br />
Gesamtstrukturen und der AD DS-Entwurf<br />
Eine AD DS-Gesamtstruktur wird als abgeschlossene Einheit entworfen. Innerhalb der Gesamtstruktur<br />
ist es einfach, Informationen gemeinsam zu nutzen und mit anderen Benutzern in derselben Einheit<br />
zusammenzuarbeiten. Weil es sich bei der Gesamtstruktur jedoch um eine abgeschlossene Einheit<br />
handelt, können sich die Handlungen einer einzigen Person möglicherweise auf alle anderen in<br />
der Gesamtstruktur auswirken. Beim Entwerfen der höchsten Ebene der AD DS-Infrastruktur müssen<br />
Sie entscheiden, ob Sie eine oder mehrere Gesamtstrukturen einsetzen möchten. Jede Gesamtstruktur<br />
ist eine integrierte Einheit, weil sie über folgende Eigenschaften verfügt:<br />
• Globaler Katalog Die Gesamtstruktur kann viele globale Katalogserver enthalten, besitzt jedoch<br />
nur einen globalen Katalog. Mit dem globalen Katalog ist es einfach, Objekte in jeder Domäne in<br />
der Gesamtstruktur zu finden und sich an einer beliebigen Domäne in der Gesamtstruktur zu<br />
authentifizieren, unabhängig davon, welche Domäne Ihr Benutzerkonto hostet.
Entwerfen der Gesamtstruktur 155<br />
Prüfen von<br />
Auswirkungen der<br />
Auswahl einer oder<br />
mehrerer Gesamtstrukturen<br />
Ermitteln, ob mehrere<br />
Gesamtstrukturen<br />
benötigt werden<br />
Mehrere Gesamtstrukturen<br />
erforderlich<br />
Eine Gesamtstruktur<br />
erforderlich<br />
Festlegen der Anzahl<br />
an Gesamtstrukturen<br />
Festlegen des<br />
Gesamtstruktur-Entwurfsmodells<br />
Festlegen der<br />
Gesamtstrukturintegration<br />
Für jede Gesamtstruktur<br />
Festlegen des Entwurfs der<br />
Gesamtstrukturvertrauensstellungen<br />
Festlegen des<br />
Gesamtstrukturbesitzers<br />
Festlegen des Verfahrens zur<br />
Änderungssteuerung der Gesamtstruktur<br />
Abbildung 5.3<br />
Erstellen eines Gesamtstrukturentwurfs<br />
• Konfigurationsverzeichnispartition Alle Domänencontroller nutzen dieselbe Konfigurationsverzeichnispartition.<br />
Diese Konfigurationsinformationen werden zum Optimieren der Replikation<br />
von Informationen über die gesamte Gesamtstruktur, zum Speichern von Anwendungsinformationen<br />
für verzeichnisfähige Anwendungen und zum Freigeben von Informationen in Anwendungsverzeichnispartitionen<br />
verwendet.<br />
• Vertrauensstellungen Alle Domänen in der Gesamtstruktur sind über bidirektionale transitive Vertrauensstellungen<br />
verbunden. Es gibt keine Möglichkeit, dies zu ändern.
156 Kapitel 5: Entwerfen der <strong>Active</strong> <strong>Directory</strong>-Domänendienstestruktur<br />
Hinweis Am besten kann man die Art, wie eine einzige Gesamtstruktur die Zusammenarbeit vereinfacht,<br />
anhand von Microsoft Exchange 2000 Server und späteren Versionen nachvollziehen. Die Gesamtstrukturgrenze<br />
ist auch die Grenze für die Exchange Server-Organisation. Exchange Server speichert die meisten<br />
Konfigurationsdaten in der Konfigurationsverzeichnispartition, sodass das Nachrichtenrouting in einem großen<br />
Unternehmen einfach verwaltet werden kann. Die globale Adressliste (GAL) besteht aus allen E-Mail-<br />
Empfängern im globalen Katalog. Eine einzige Exchange Server-Organisation ist für die meisten Unternehmen<br />
ideal. Innerhalb eines Unternehmens sind Kalenderinformationen, öffentliche Ordner und Empfängerdaten<br />
für jedermann zugänglich, und viele Arten der Zusammenarbeit sind standardmäßig aktiviert. Sobald<br />
Sie mehrere Organisationen (und mehrere Gesamtstrukturen) bereitstellen, sind diese Vorteile wesentlich<br />
schwieriger umzusetzen.<br />
Auch wenn die Freigabe von Informationen durch AD DS vereinfacht wird, werden auch eine Reihe<br />
von Einschränkungen durchgesetzt, welche die Zusammenarbeit verschiedener Abteilungen des<br />
Unternehmens in mehrerlei Hinsicht erfordern. Zu diesen Einschränkungen gehören Folgende:<br />
• Ein Schema Alle Domänen in der Gesamtstruktur nutzen ein einziges Schema. Dies klingt zwar<br />
lapidar, kann jedoch der wichtigste Grund für ein Unternehmen sein, mehrere Gesamtstrukturen<br />
einzusetzen. Wenn eine Geschäftseinheit beschließt, eine Anwendung einzusetzen, die das<br />
Schema verändert, sind hiervon alle Geschäftseinheiten betroffen. Wenn sich gleich 20 Geschäftseinheiten<br />
für den Einsatz von schemaverändernden Anwendungen entschließen, kann dies unkontrollierbare<br />
Auswirkungen haben. Jede Schemaänderung muss getestet werden, um sicherzustellen,<br />
dass kein Konflikt mit anderen Schemaänderungen entsteht.<br />
• Richtlinien zur Änderungskontrolle Weil Änderungen an der Gesamtstruktur sich auf jede Domäne<br />
auswirken können und weil die meisten größeren Änderungen nur zentral vorgenommen werden<br />
sollten, muss eine gut definierte Richtlinie zur Änderungskontrolle eingesetzt werden.<br />
• Zentrale Verwaltung Die Entscheidung für den Einsatz einer einzigen Gesamtstruktur bedeutet,<br />
dass einige Komponenten der Netzwerkadministration zentral verwaltet werden müssen. Beispielsweise<br />
besitzt nur die Gruppe Schema-Admins das Recht zum Ändern des Schemas. Die einzige<br />
Gruppe zum Hinzufügen und Entfernen von Domänen aus der Gesamtstruktur ist die Gruppe<br />
Organisations-Admins. Beide Gruppen sind in der Gesamtstruktur-Stammdomäne enthalten, und<br />
die Handlungen dieser Administratoren betreffen die gesamte Gesamtstruktur. Die Gruppe Organisations-Admins<br />
wird der domänenlokalen Gruppe Administratoren automatisch auf jedem<br />
Domänencontroller in der Gesamtstruktur hinzugefügt. Für einige Unternehmen ist diese Art der<br />
zentralen Verwaltung nicht akzeptabel.<br />
• Vertrauenswürdige Administratoren Der Einsatz einer einzigen Gesamtstruktur erfordert ein<br />
gewisses Maß an Vertrauen von allen Administratoren in allen Domänen. Jeder Administrator mit<br />
den Rechten zum Verwalten eines Domänencontrollers kann Änderungen vornehmen, die sich auf<br />
die ganze Gesamtstruktur auswirken. Das heißt, dass alle Domänenadministratoren sehr vertrauenswürdig<br />
sein müssen. Sie können das Risiko, dass Administratoren für die ganze Gesamtstruktur<br />
gültige Änderungen vornehmen, verringern, indem Sie an Standorten, an denen keine<br />
besonders vertrauenswürdigen Administratoren beschäftigt sind, RODCs einsetzen.<br />
Während Sie sich mit der Frage beschäftigen, wie viele Gesamtstrukturen eingesetzt werden sollen,<br />
müssen Sie die Vorteile einer einzelnen Gesamtstruktur gegen die Art und Weise abwägen, in der eine<br />
einzelne Gesamtstruktur ein hohes Maß an Integration zwischen Domänen, OUs und den von diesen<br />
Objekten dargestellten Geschäftseinheiten verlangt.
Einzelne oder mehrere Gesamtstrukturen<br />
Entwerfen der Gesamtstruktur 157<br />
Wie zuvor erwähnt, ist die wichtigste Frage bei der Erstellung Ihres Gesamtstrukturentwurfs die nach<br />
der Anzahl an Gesamtstrukturen. Diese Entscheidung sollte vor der Bereitstellung getroffen werden,<br />
weil sie nach der Bereitstellung nur schwer geändert werden kann. Es gibt keinen einzelnen Schritt<br />
zum Zusammenführen von Gesamtstrukturen; stattdessen müssen Sie alle Objekte, die Sie in die neue<br />
Gesamtstruktur aufnehmen möchten, aus der alten Gesamtstruktur verschieben. Außerdem kann eine<br />
einzelne Gesamtstruktur nicht einfach in zwei Gesamtstrukturen aufgeteilt werden. Sie müssen<br />
zunächst eine separate Gesamtstruktur erstellen und anschließend Objekte von einer in die andere<br />
verschieben.<br />
Die übliche Bereitstellung einer AD DS-Gesamtstruktur ist eine einzige Gesamtstruktur. Für die meisten<br />
Unternehmen überwiegen die Vorteile eines gemeinsam genutzten globalen Katalogs, vorgegebener<br />
Vertrauensstellungen und einer gemeinsamen Konfigurationsverzeichnispartition gegenüber der<br />
Verwaltung einer völligen Trennung sämtlicher administrativer Rollen. Wenn Sie am Entwurf der AD<br />
DS arbeiten, sollte Ihre erste Wahl immer der Einsatz einer einzigen Gesamtstruktur sein. Gehen Sie<br />
zunächst von einer einzigen Gesamtstruktur aus, und seien Sie darauf vorbereitet, sich vielleicht von<br />
einer anderen Lösung überzeugen zu lassen.<br />
Andererseits gibt es klare Situationen, in denen mehrere Gesamtstrukturen die beste Option darstellen:<br />
• Einige Unternehmen setzen separate AD DS-Gesamtstrukturen in Umkreisnetzwerken (oder<br />
entmilitarisierten Zonen) ein. Die meisten Unternehmen verwenden Server, die direkt über das<br />
Internet in einem Umkreisnetzwerk zugänglich sein müssen, um eine zusätzliche Sicherheitsstufe<br />
für das interne Netzwerk zu gewährleisten. Diese Server können als eigenständige Server<br />
eingesetzt werden; durch Bereitstellung einer separaten AD DS-Gesamtstruktur im Umkreisnetzwerk<br />
können Sie jedoch von den AD DS-Funktionen zur Computer- und Benutzerverwaltung<br />
profitieren und gleichzeitig die Isolation von der internen AD DS-Gesamtstruktur sicherstellen.<br />
• Einige Unternehmen stellen keine hohen Anforderungen an die Zusammenarbeit zwischen den<br />
internen Abteilungen. In manchen Unternehmen arbeiten Geschäftseinheiten relativ unabhängig<br />
voneinander, und es werden abgesehen von E-Mails nur wenige Informationen ausgetauscht. Diesen<br />
Unternehmen gehen durch den Einsatz mehrerer Gesamtstrukturen keine Vorteile verloren.<br />
• Manche Unternehmen benötigen eine völlige Trennung von Netzwerkinformationen. Aus Sicherheits-<br />
oder rechtlichen Gründen kann ein Unternehmen gezwungen sein sicherzustellen, dass<br />
einige Netzwerkdaten niemandem außerhalb der Geschäftseinheit zugänglich sind. Standardmäßig<br />
sind die Informationen in einer Gesamtstruktur in keiner anderen Gesamtstruktur sichtbar.<br />
• Einige Unternehmen benötigen nicht kompatible Schemakonfigurationen. Wenn zwei Teile des<br />
Unternehmens ein jeweils eigenes Schema verlangen, weil sie Anwendungen einsetzen, die nicht<br />
kompatible Änderungen am Schema vornehmen, müssen separate Gesamtstrukturen erstellt werden.<br />
• Manche Unternehmen können sich nicht auf eine zentrale Verwaltung einigen. Wenn Geschäftseinheiten<br />
sich nicht auf Richtlinien zur Änderungskontrolle für Gesamtstruktur oder Schema oder<br />
auf eine zentrale Verwaltung einigen können, müssen Sie separate Gesamtstrukturen bereitstellen.<br />
• Einige Unternehmen müssen das Ausmaß an Vertrauensstellungen begrenzen. Innerhalb einer<br />
Gesamtstruktur teilen alle Domänen eine transitive Vertrauensstellung, die nicht aufgehoben werden<br />
kann. Wenn Ihre Netzwerkumgebung eine Vertrauensstellungskonfiguration verlangt, bei der<br />
es keine bidirektionalen transitiven Vertrauensstellungen zwischen allen Domänen geben darf,<br />
müssen mehrere Gesamtstrukturen eingerichtet werden.
158 Kapitel 5: Entwerfen der <strong>Active</strong> <strong>Directory</strong>-Domänendienstestruktur<br />
Für einige Unternehmen mag die Verwendung mehrerer Gesamtstrukturen attraktiv erscheinen. Die<br />
Netzwerkinfrastruktur wird jedoch hierdurch wesentlich komplexer. Folgende Aspekte sind unter<br />
anderem zu berücksichtigen:<br />
• Erhöhter Administrationsaufwand für die Netzwerkverwaltung. Mindestens eine Domäne sowie<br />
die Konfiguration auf Gesamtstrukturebene müssen in jeder Gesamtstruktur verwaltet werden.<br />
• Weniger Möglichkeiten zur Zusammenarbeit zwischen Benutzern. Ein Beispiel hierfür ist das<br />
Durchsuchen des Netzwerks nach Ressourcen. Benutzer können nicht länger den globalen Katalog<br />
nach Ressourcen in der anderen Gesamtstruktur durchsuchen. Benutzer müssen geschult werden,<br />
um nach Ressourcen außerhalb des globalen Katalogs suchen zu können.<br />
• Zusätzlicher Verwaltungsaufwand für den Zugriff von Benutzern auf Ressourcen in anderen<br />
Gesamtstrukturen. Administratoren müssen die Vertrauensstellungen konfigurieren, statt die vorgegebenen<br />
Vertrauensstellungen zu nutzen. Wenn zwischen den Gesamtstrukturen Informationen<br />
synchronisiert werden müssen, so muss auch dies zunächst konfiguriert werden.<br />
Einbeziehen des Unternehmens in den Gesamtstrukturentwurf<br />
Wenige Unternehmen besitzen rein technische Gründe für den Einsatz mehrerer Gesamtstrukturen.<br />
Eine Gesamtstruktur kann mehrere Domänen enthalten, wobei jede Domäne Hunderte oder Tausende<br />
von Objekten umfassen kann. Die Domänen können mit mehreren Namespaces und je<br />
Domäne mit einer unterschiedlichen Verwaltung bereitgestellt werden.<br />
Wenn Sie den Entscheidungsträgern Ihres Unternehmens jedoch die Liste der Anforderungen einer<br />
Gesamtstruktur vorlegen, also zentrale Steuerung, ein gemeinsames Schema oder vertrauenswürdige<br />
Administratoren, stoßen Sie mit Sicherheit auf Widerstand. Die üblichen Gründe, aus denen Unternehmen<br />
mehrere Gesamtstrukturen einsetzen, liegen in der Unternehmenspolitik oder darin, dass verschiedene<br />
Abteilungen oder Geschäftseinheiten sich nicht auf die zentralen Komponenten zur Verwaltung<br />
einer einzigen Gesamtstruktur einigen können. In manchen Fällen kann das Unternehmen<br />
sich nicht auf einen Prozess zur Gesamtstruktur- oder Schemaänderung einigen. In anderen Fällen<br />
macht die Tatsache, dass ein Domänenadministrator in einer Domäne sämtliche anderen Domänen in<br />
der Gesamtstruktur schädigen kann, eine Gesamtstruktur mit einer einzigen Domäne inakzeptabel. Dies<br />
gilt vor allem für das gängige Szenario, in dem eine Reihe von zuvor unabhängigen Unternehmen<br />
aufgrund von Firmenübernahmen oder Fusionen jetzt zusammen arbeiten müssen.<br />
Separate Gesamtstrukturen sind möglicherweise die Lösung für einige dieser Unternehmen; Sie<br />
müssen jedoch die Entscheidungsträger darauf hinweisen, was ihnen entgeht, wenn sie auf mehreren<br />
Gesamtstrukturen bestehen. Die Implementierung mehrerer Gesamtstrukturen ermöglicht eine<br />
Autonomie zwischen den Geschäftseinheiten, bedeutet jedoch auch, dass die gemeinsame Nutzung<br />
von Informationen viel schwieriger und die Verwaltung der Umgebung wesentlich kostspieliger<br />
wird.<br />
Entwerfen von Gesamtstrukturen für die AD DS-Sicherheit<br />
Für manche Unternehmen begründet sich die Entscheidung für mehrere Gesamtstrukturen letztlich<br />
darauf, dass das Unternehmen administrative Autonomie oder eine administrative Abgrenzung zwischen<br />
den Geschäftseinheiten erfordert. In AD DS gibt es viele Arten administrativer Tätigkeiten.<br />
Hierzu gehören sowohl die Konfiguration der Verzeichnisdienste (Gesamtstrukturkonfiguration,<br />
Domänencontrollerplatzierung, DNS-Konfiguration) als auch die Verwaltung der Daten im Verzeichnisdienst<br />
(Verwalten von Benutzer- und Gruppenobjekten, Gruppenrichtlinienobjekten etc.).
Entwerfen der Gesamtstruktur 159<br />
Besitzer und Administratoren von Diensten und Daten<br />
In großen Unternehmen sind die administrativen AD DS-Rollen oft in verschiedene Kategorien<br />
unterteilt. Eine Möglichkeit, die verschiedenen Kategorien zu beschreiben, besteht in der<br />
Unterscheidung zwischen Dienstbesitzern und -administratoren sowie Datenbesitzern und<br />
-administratoren:<br />
• Dienstbesitzer und -administratoren sind für AD DS als Dienst verantwortlich. Das heißt, sie<br />
sind für den Entwurf und die Verwaltung der AD DS-Infrastruktur zuständig. Die Dienstbesitzer<br />
treffen die Entscheidungen, wie viele Gesamtstrukturen, Domänen und Standorte erforderlich<br />
sind, damit der AD DS-Dienst den Anforderungen des Unternehmens entspricht. Die<br />
Dienstadministratoren besitzen die erforderlichen Rechte und Berechtigungen, um diese AD<br />
DS-Objekte zu erstellen und zu verwalten.<br />
• Datenbesitzer und -administratoren sind für die in AD DS gespeicherten Daten verantwortlich.<br />
Die Datenbesitzer legen Richtlinien und Prozesse für die Datenverwaltung fest, und die Datenadministratoren<br />
besitzen die Rechte und Berechtigungen zum Erstellen der AD DS-Objekte<br />
innerhalb der von den Dienstbesitzern und -administratoren definierten Struktur.<br />
Grundsätzlich empfiehlt es sich, nur sehr wenige Dienstadministratoren in einem Unternehmen zu<br />
beschäftigen. Demnach sollten nur sehr wenige Konten die erforderlichen Berechtigungen zum<br />
Ändern der AD DS-Struktur besitzen. Standardmäßig besitzen die Gruppen Domänen-Admins in<br />
der Gesamtstruktur-Stammdomäne, Organisations-Admins und Schema-Admins die Berechtigungen<br />
von Dienstbesitzern. Da Berechtigungen für Datenadministratoren jedoch auf bestimmte<br />
Container innerhalb einer OU begrenzt werden können, kann ein Unternehmen wesentlich mehr<br />
Datenadministratoren einsetzen. Um die Konten von Datenadministratoren zu konfigurieren, sollten<br />
Sie die erforderlichen Gruppen und Konten erstellen demjenigen Container und spezifische<br />
Berechtigungen zuweisen, auf den der Datenadministrator zugreifen muss.<br />
Beim Entwerfen einer administrativen Trennung oder Autonomie müssen Sie sowohl Dienstadministratoren<br />
als auch Datenadministratoren berücksichtigen. Auch wenn ein Dienstadministrator höhere<br />
Berechtigungen besitzt, kann auch ein Datenadministrator noch Änderungen an AD DS vornehmen,<br />
die sich auf die ganze Gesamtstruktur auswirken. Wenn ein Datenadministrator beispielsweise<br />
ein neues Benutzerkonto erstellt, wird der globale Katalog für das gesamte Unternehmen<br />
geändert.<br />
Eine detailliertere Diskussion zur Rolle von Dienst- und Datenbesitzern und -administratoren finden<br />
Sie unter „Creating a Forest Design“ unter http://technet2.microsoft.com/windowsserver/en/<br />
library/ff92f142-66ea-498b-ad0f-a379c411eb6e1033.mspx?mfr=true. Dieser Leitfaden basiert auf<br />
dem Einsatz von Windows Server 2003-Gesamtstrukturen. Viele der Grundsätze gelten auch für<br />
Windows Server 2008. Sie sollten außerdem im TechCenter für Windows Server 2008 nach einer<br />
aktualisierten Version dieses Leitfadens suchen.<br />
Administrative Autonomie heißt, dass Sie vollständige administrative Kontrolle über einige Komponenten<br />
der Gesamtstruktur besitzen. Sie können über administrative Autonomie auf Gesamtstrukturebene,<br />
Domänenebene oder OU-Ebene verfügen. Administrative Autonomie heißt jedoch nicht, dass<br />
Sie endgültige oder exklusive Kontrolle besitzen. Beispielsweise können Sie Ihre Domäne vollständig<br />
verwalten, die Gruppe Organisations-Admins der Gesamtstruktur-Stammdomäne besitzt jedoch<br />
ebenfalls administrative Berechtigungen für Ihre Domäne.
160 Kapitel 5: Entwerfen der <strong>Active</strong> <strong>Directory</strong>-Domänendienstestruktur<br />
Administrative Isolation hingegen heißt, dass Sie die exklusive Kontrolle für eine Komponente des<br />
Verzeichnisses besitzen. Im Falle administrativer Isolierung besitzt niemand sonst die Kontrolle über<br />
Ihren Teil der Gesamtstruktur, und niemand sonst kann die Verzeichnisdienstkonfiguration oder die<br />
Daten in Ihrem Teil der Gesamtstruktur ändern.<br />
AD DS stellen viele Möglichkeiten zum Erreichen administrativer Autonomie bereit. Domänenadministratoren<br />
haben in einer Domäne freie Hand. OU-Administratoren können vollständige Rechte zum<br />
Erstellen und Administrieren jeder Art von Objekten in einer OU erhalten. Eine einzige Gesamtstruktur<br />
in AD DS ist auf administrative Delegierung und Autonomie ausgelegt.<br />
Wenn Sie jedoch administrative Isolation benötigen, kann dies nur durch Erstellung separater Gesamtstrukturen<br />
erreicht werden. Dies liegt zum Teil am Aufbau der AD DS. Die Gruppe Organisations-<br />
Admins wird automatisch jeder domänenlokalen Gruppe Administratoren hinzugefügt. Die Gruppe<br />
Domänen-Admins besitzt die vollständige Kontrolle über jedes Objekt in der Domäne und wird automatisch<br />
der Gruppe Administratoren auf jedem Computer in der Domäne hinzugefügt. Auch wenn die<br />
Standardkonfiguration geändert werden kann und die Gruppen aus den administrativen Gruppen niedrigerer<br />
Ebene entfernt werden können, können Administratoren einer höheren Ebene jederzeit die<br />
Kontrolle über Objekte auf niedrigerer Ebene zurückerlangen. Das heißt, dass kein Teil der Gesamtstruktur<br />
in administrativer Hinsicht isoliert ist.<br />
Ein weiterer Grund dafür, dass eine separate Gesamtstruktur zur administrativen Isolation benötigt<br />
wird, ist die Möglichkeit böswilliger Aktionen vonseiten der Administratoren in der Domäne. Jeder,<br />
der Administratorzugriff auf einen Domänencontroller besitzt, kann die administrative Isolation einer<br />
beliebigen anderen Partition in der Gesamtstruktur verletzen. Ein Administrator kann auf dem Domänencontroller<br />
in einer Domäne Software installieren, welche die Verzeichnisinformationen für jede<br />
Domäne in der Gesamtstruktur verändert. Der Administrator kann die eigene Sicherheitskennung<br />
(Security Identifier, SID) so verändern, dass er scheinbar ein Mitglied der Gruppe Organisations-<br />
Admins ist, und diesen Zugriff anschließend nutzen, um Änderungen an der ganzen Gesamtstruktur<br />
vorzunehmen.<br />
Alle Domänencontroller und Partitionen in der Gesamtstruktur sind eng integriert, und jede Änderung<br />
an einem beschreibbaren Domänencontroller wird auf alle übrigen Domänencontroller repliziert.<br />
Es gibt keine Sicherheitsprüfung für die Gültigkeit replizierter Informationen; es gibt nur eine<br />
Sicherheitsprüfung beim Vornehmen von Änderungen an den Verzeichnisdaten. Wenn daher ein böswilliger<br />
Administrator es schafft, Änderungen an den Verzeichnisdaten vorzunehmen, werden die<br />
replizierten Änderungen von allen übrigen Domänencontrollern blind übernommen. Aus diesen Gründen<br />
müssen Sie separate Gesamtstrukturen erstellen, wenn Sie administrative Isolation benötigen. In<br />
manchen Fällen müssen Sie eine vollständige Isolation einer Verzeichnispartition sicherstellen. In diesem<br />
Fall müssen Sie den zusätzlichen administrativen Aufwand und den Verlust der Zusammenarbeit<br />
in Kauf nehmen, den der Einsatz mehrerer Gesamtstrukturen mit sich bringt.<br />
Viele Unternehmen fordern jedoch administrative Autonomie zusammen mit einer angemessenen<br />
Zusicherung, dass Administratoren aus anderen Partitionen in der Gesamtstruktur nicht böswillig<br />
handeln werden. Diese angemessene Zusicherung kann in den meisten Unternehmen folgendermaßen<br />
erzielt werden:<br />
• Nehmen Sie nur extrem vertrauenswürdige Administratoren in Gruppen auf, die administrative<br />
Kontrolle über Domänencontroller besitzen. Zu diesen Gruppen gehören die Gruppe Domänen-<br />
Admins sowie die domänenlokalen Gruppen Administratoren, Server-Operatoren und Sicherungs-<br />
Operatoren. Administrative Aufgaben, die keinen Zugriff auf die Domänencontroller erfordern,<br />
sollten an andere Gruppen delegiert werden.
Entwerfen der Gesamtstruktur 161<br />
• Sichern Sie die Domänencontroller physisch, und ermöglichen Sie nur besonders vertrauenswürdigen<br />
Administratoren Zugriff auf die Server.<br />
• Überprüfen Sie alle von Administratoren höherer Ebene durchgeführten Aktionen.<br />
Administratoren höherer Ebene sollten sich nur bei Bedarf mit dem Administratorkonto anmelden.<br />
Diese Administratoren sollten außerdem normale Benutzerkonten für die tägliche Arbeit besitzen.<br />
Modelle für den Gesamtstrukturentwurf<br />
Auf einer höheren Ebene gibt es drei gängige Modelle für den Gesamtstrukturentwurf. Die meisten<br />
Unternehmen benötigen eines dieser Gesamtstrukturentwurfsmodelle; in manchen Unternehmen müssen<br />
Sie möglicherweise eine Kombination von Entwürfen verwenden.<br />
Organisatorisches Gesamtstrukturmodell<br />
Im organisatorischen Gesamtstrukturmodell werden die Gesamtstrukturen anhand einiger organisatorischer<br />
Kriterien entworfen. Beispielsweise wird sich ein Unternehmen mit mehreren Geschäftseinheiten<br />
oder geografischen Standorten bzw. ein Unternehmen, das sich durch Übernahmen oder<br />
Fusionen gebildet hat, möglicherweise für ein organisatorisches Gesamtstrukturmodell entscheiden.<br />
Um den Zugriff auf Ressourcen zwischen den organisatorischen Entitäten zu ermöglichen, können Sie<br />
Gesamtstrukturvertrauensstellungen oder externe Vertrauensstellungen zwischen bestimmten Domänen<br />
in jeder Gesamtstruktur konfigurieren. Eine Darstellung des organisatorischen Gesamtstrukturmodells<br />
finden Sie in Abbildung 5.4.<br />
Optionale<br />
Gesamtstrukturvertrauensstellung<br />
Benutzer<br />
Benutzer<br />
Server Gruppe<br />
Freigegebene Ressourcen<br />
Adatum.com<br />
Server Gruppe<br />
Freigegebene Ressourcen<br />
Fabrikam.com<br />
Benutzer<br />
Optionale<br />
externe Vertrauensstellung<br />
Server<br />
Gruppe<br />
Freigegebene Ressourcen<br />
NA.Adatum.com<br />
Abbildung 5.4<br />
Ein organisatorisches Gesamtstrukturmodell
162 Kapitel 5: Entwerfen der <strong>Active</strong> <strong>Directory</strong>-Domänendienstestruktur<br />
Hinweis Wenn ein Unternehmen nur eine einzige Gesamtstruktur einsetzt, verwendet es das organisatorische<br />
Gesamtstrukturmodell.<br />
In diesem Modell werden alle Benutzerkonten und freigegebenen Ressourcen, die den einzelnen organisatorischen<br />
Entitäten zugehören, innerhalb der relevanten Gesamtstruktur gespeichert. Durch Erstellen<br />
separater Gesamtstrukturen können Sie administrative Autonomie und Isolation zwischen den<br />
Geschäftseinheiten sicherstellen.<br />
Ressourcengesamtstrukturmodell<br />
Im Ressourcengesamtstrukturmodell erfolgt die Verwaltung von Benutzer- und Gruppenkonten von<br />
der Ressourcenverwaltung getrennt, indem für jede Funktion eine separate Gesamtstruktur erstellt<br />
wird. Alle Benutzer- und Gruppenkonten sind in einer oder in mehreren Kontengesamtstrukturen<br />
gespeichert, und alle freigegebenen Ressourcen sind auf Servern in einer oder in mehreren Ressourcengesamtstrukturen<br />
konfiguriert. Die Ressourcengesamtstrukturen enthalten keine Benutzerkonten<br />
außer den Administratorkonten und den Dienstkonten, die für Anwendungen erforderlich sind.<br />
Im Ressourcengesamtstrukturmodell müssen Sie Vertrauensstellungen zwischen den beiden Gesamtstrukturen<br />
konfigurieren. In den meisten Fällen handelt es sich hierbei um eine unidirektionale<br />
Gesamtstrukturvertrauensstellung, die so konfiguriert ist, dass Benutzer in der Kontengesamtstruktur<br />
auf die Ressourcen in der Ressourcengesamtstruktur zugreifen können. In diesem Modell können Sie<br />
bidirektionale Vertrauensstellungen, externe Vertrauensstellungen oder Gesamtstrukturvertrauensstellungen<br />
mit ausgewählter Authentifizierung aktivieren. Abbildung 5.5 zeigt eine Darstellung des Ressourcengesamtstrukturmodells.<br />
Unidirektionale<br />
Gesamtstrukturvertrauensstellung<br />
Domänencontroller<br />
Abbildung 5.5<br />
Benutzer<br />
Gruppe<br />
Adatum.com<br />
Ein Ressourcengesamtstrukturmodell<br />
Freigegebene<br />
Domänen-<br />
Ressourcen<br />
controller<br />
AdatumResources.com<br />
Das Ressourcengesamtstrukturmodell ermöglicht administrative Autonomie und Isolation sowohl für<br />
die Konten- als auch für die Ressourcengesamtstrukturen.<br />
Gesamtstrukturmodell mit eingeschränktem Zugriff<br />
Das Gesamtstrukturmodell mit eingeschränktem Zugriff ist eine Variation des organisatorischen<br />
Gesamtstrukturmodells. In einem Gesamtstrukturmodell mit eingeschränktem Zugriff wird eine separate<br />
Gesamtstruktur mit Benutzerkonten und freigegebenen Ressourcen erstellt, die vom Rest des<br />
Unternehmens isoliert werden müssen.<br />
Server
Entwerfen der Gesamtstruktur 163<br />
Die Gesamtstruktur mit eingeschränktem Zugriff unterschiedet sich von der organisatorischen<br />
Gesamtstruktur dadurch, dass zwischen den beiden Domänen keine Vertrauensstellungen konfiguriert<br />
werden.<br />
Die Gesamtstruktur mit eingschränktem Zugriff ist darauf ausgelegt, administrative Isolation sicherzustellen.<br />
Das bedeutet, dass kein Benutzerkonto in einer Gesamtstruktur außerhalb der Gesamtstruktur<br />
mit eingeschränktem Zugriff Berechtigungen für Daten oder Zugriff auf Daten in der Gesamtstruktur<br />
besitzt. Wenn Benutzer in der organisatorischen Gesamtstruktur Zugriff auf die Gesamtstruktur<br />
mit eingeschränktem Zugriff benötigen, müssen sie über ein separates Benutzerkonto in dieser<br />
Gesamtstruktur verfügen und zwei Clientcomputer besitzen, die jeweils einer anderen Gesamtstruktur<br />
angehören. Abbildung 5.6 zeigt eine Darstellung des Gesamtstrukturmodells mit eingeschränktem<br />
Zugriff.<br />
Benutzer müssen in<br />
beiden Gesamtstrukturen<br />
über Konten und<br />
Clientcomputer verfügen<br />
Server<br />
Benutzer<br />
Gruppe<br />
Zwischen Gesamtstrukturen<br />
ist keine Vertrauensstellung<br />
konfiguriert<br />
Server<br />
Benutzer<br />
Gruppe<br />
Freigegebene Ressourcen<br />
Adatum.com<br />
Freigegebene Ressourcen<br />
AdatumRestricted.com<br />
Abbildung 5.6<br />
Ein Gesamtstrukturmodell mit eingeschränktem Zugriff<br />
Definieren des Gesamtstrukturbesitzes<br />
Unabhängig von der Anzahl der eingesetzten Gesamtstrukturen müssen Sie die Besitzer der einzelnen<br />
Gesamtstrukturen festlegen. Technisch ist es einfach, die Besitzer der Gesamtstrukturen zu definieren.<br />
Die Gruppe Schema-Admins, die Gruppe Organisations-Admins und die Gruppe Domänen-<br />
Admins in der Stammdomäne können als Gesamtstrukturbesitzer betrachtet werden, weil sie steuern,<br />
welche Änderungen an der Gesamtstruktur vorgenommen werden können. Diese Rollen sind jedoch<br />
rein technischer Natur, und die Personen in diesen Gruppen sind fast nie die letzte Instanz, die<br />
entscheidet, ob Änderungen an der Gesamtstruktur tatsächlich durchgeführt werden. Die Gruppe<br />
Schema-Admins kann zum Beispiel das Schema ändern, aber ein Mitglied der Gruppe Schema-Admins<br />
besitzt normalerweise nicht die Befugnis zu entscheiden, ob die Anforderung einer Schemaänderung<br />
genehmigt wird.<br />
Gesamtstrukturbesitzer sollten eine Kombination aus technischem Fachwissen und Geschäftssinn besitzen.<br />
Es sollte sich um Personen handeln, die die allgemeinen Geschäftsanforderungen eines Unternehmens<br />
kennen, jedoch auch die technischen Auswirkungen der Erfüllung all dieser Anforderungen<br />
verstehen. Gesamtstrukturbesitzer können entscheiden, dass eine schemaverändernde Anwendung eingesetzt<br />
wird, weil sie dem Unternehmen erhebliche geschäftliche Vorteile bringt. Der Schemaadministrator<br />
erhält anschließend die Aufgabe, das Schema entsprechend zu bearbeiten.<br />
In einem Unternehmen mit mehreren Geschäftseinheiten sollte die Gruppe der Gesamtstrukturbesitzer<br />
aus Vertretern sämtlicher Geschäftseinheiten bestehen. Auch wenn es wichtig ist, dass alle<br />
Geschäftseinheiten repräsentiert werden, muss diese Gruppe jedoch auch in der Lage sein, effizient<br />
zu handeln.
164 Kapitel 5: Entwerfen der <strong>Active</strong> <strong>Directory</strong>-Domänendienstestruktur<br />
Es muss daher ein Prozess eingesetzt werden, der der Gruppe ermöglicht, effizient zu entscheiden, ob<br />
eine Änderung auf Gesamtstrukturebene implementiert wird oder nicht. Wenn die Implementierung<br />
einer globalen Änderung unverhältnismäßig lange dauert, könnten einzelne Geschäftseinheiten möglicherweise<br />
bereuen, dass sie der Einrichtung einer einzigen Gesamtstruktur jemals zugestimmt haben.<br />
Richtlinien zur Kontrolle von Gesamtstrukturänderungen<br />
Die erste Aufgabe für Gesamtstrukturbesitzer besteht darin, eine Richtlinie zur Kontrolle von Gesamtstrukturänderungen<br />
zu definieren. Diese Richtlinie definiert, welche Änderungen an der Konfiguration<br />
auf Gesamtstrukturebene unter welchen Umständen vorgenommen werden können. Im Wesentlichen<br />
gibt es zwei Typen von Gesamtstrukturänderungen: Schemaänderungen und Änderungen an<br />
der Konfigurationsverzeichnispartition (beispielsweise das Hinzufügen oder Entfernen von Domänen<br />
oder Anwendungsverzeichnispartitionen oder das Ändern der Standortkonfiguration).<br />
Die Richtlinie zur Kontrolle von Gesamtstrukturänderungen definiert außerdem die Vorgehensweisen<br />
zum Testen, Genehmigen und Implementieren aller Änderungen an der Gesamtstruktur. Dies ist vor<br />
allem für Schemaänderungen relevant, weil Schemaänderungen nicht einfach rückgängig gemacht<br />
werden können und weil jede Schemaänderung mit allen übrigen Schemaänderungen kompatibel sein<br />
muss. Die Richtlinie zur Kontrolle von Gesamtstrukturänderungen sollte den Testvorgang für Schemaänderungen<br />
definieren, und die Gesamtstrukturbesitzer sollten eine Testumgebung zum Prüfen dieser<br />
Änderungen bereitstellen. Die Richtlinie zur Kontrolle von Gesamtstrukturänderungen sollte einen<br />
gründlichen Test sämtlicher Änderungen auf Gesamtstrukturebene erfordern, jedoch auch sicherstellen,<br />
dass der Testvorgang schnell abgewickelt werden kann. Wenn die Verarbeitung jeder Änderungsanforderung<br />
einen langen Zeitraum beansprucht, wird sich der Frustrationsgrad der Benutzer stetig<br />
erhöhen.<br />
Die Richtlinie zur Kontrolle von Gesamtstrukturänderungen sollte vor dem Einsatz von AD DS<br />
bereitstehen. In Unternehmen mit unterschiedlichen und separaten Geschäftseinheiten kann die Entwicklung<br />
dieser Richtlinie schwierig und zeitaufwändig sein, sie wird jedoch nach der Bereitstellung<br />
von AD DS nicht einfacher. Wenn sich Geschäftseinheiten vor der Bereitstellung nicht auf eine Richtlinie<br />
zur Kontrolle von Gesamtstrukturänderungen einigen können, müssen Sie sich möglicherweise<br />
für den Einsatz mehrerer Gesamtstrukturen entscheiden.<br />
Auf der DVD Verwenden Sie die Registerkarte Forest Design Decisions in der Excel-Arbeitsmappe<br />
ADDS_DesignDocument.xlsx auf der CD, um Ihre Entscheidungen zum Gesamtstrukturentwurf zu dokumentieren.<br />
Entwerfen der Integration mehrerer Gesamtstrukturen<br />
Unternehmen, die mehrere Gesamtstrukturen benötigen, brauchen möglicherweise dennoch ein<br />
gewisses Maß an Integration zwischen den Gesamtstrukturen. Im organisatorischen oder im Ressourcengesamtstrukturmodell<br />
benötigen Benutzer in einer Gesamtstruktur beispielsweise Zugriff auf Ressourcen<br />
in einer anderen Gesamtstruktur. Unternehmen, die separate Gesamtstrukturen verwenden,<br />
jedoch dennoch einige der mit Exchange Server verfügbaren Funktionen zur Zusammenarbeit nutzen<br />
möchten, müssen ebenso einige Integrationsmöglichkeiten zwischen mehreren Gesamtstrukturen entwerfen.<br />
Für die Integration von Gesamtstrukturen gibt es auf hoher Ebene zwei Optionen. Wenn Unternehmen<br />
nur den Zugriff auf Ressourcen zwischen den Gesamtstrukturen bereitstellen müssen, können sie<br />
gesamtstrukturübergreifende Vertrauensstellungen konfigurieren.
Entwerfen der Integration mehrerer Gesamtstrukturen 165<br />
Wenn Unternehmen eine fortgeschrittenere Integration zwischen den Gesamtstrukturen ermöglichen<br />
müssen, können sie die Optionen zum Implementieren einer Art von Verzeichnissynchronisierung<br />
zwischen den Gesamtstrukturen erkunden.<br />
Hinweis <strong>Active</strong> <strong>Directory</strong>-Verbunddienste bieten eine weitere Alternative für die Bereitstellung des Zugriffs<br />
auf Anwendungen in einer Gesamtstruktur für Benutzer in einer anderen Gesamtstruktur. Weitere Einzelheiten<br />
hierzu finden Sie in Kapitel 19, „<strong>Active</strong> <strong>Directory</strong>-Verbunddienste“.<br />
Entwerfen gesamtstrukturübergreifender Vertrauensstellungen<br />
Die einfachste Möglichkeit, den Zugriff auf freigegebene Ressourcen zwischen Gesamtstrukturen zu<br />
ermöglichen, besteht darin, Vertrauensstellungen zwischen den Gesamtstrukturen oder zwischen<br />
Domänen in den jeweiligen Gesamtstrukturen zu konfigurieren. Wenn Sie Vertrauensstellungen zwischen<br />
Gesamtstrukturen konfigurieren, können Sie entweder Gesamtstrukturvertrauensstellungen,<br />
also transitive Vertrauensstellungen zwischen den Gesamtstruktur-Stammdomänen, oder externe Vertrauensstellungen<br />
zwischen zwei beliebigen Domänen in beiden Gesamtstrukturen konfigurieren.<br />
Hinweis Bevor Sie Vertrauensstellungen zwischen AD DS-Gesamtstrukturen konfigurieren, müssen Sie<br />
sicherstellen, dass Domänencontroller in beiden Gesamtstrukturen die DNS-Adressen für Domänencontroller<br />
in der anderen Gesamtstruktur auflösen können. Die einfachste Möglichkeit, die Namensauflösung<br />
zwischen Gesamtstrukturen zu ermöglichen, ist die Konfiguration bedingter Weiterleitungen in jeder Gesamtstruktur.<br />
Zudem müssen beide Gesamtstrukturen in einer Gesamtstrukturvertrauensstellung zumindest für<br />
die Funktionsebene Windows Server 2003 (oder höher) konfiguriert sein.<br />
Entwerfen von Gesamtstrukturvertrauensstellungen<br />
Beim Erstellen einer Gesamtstrukturvertrauensstellung richten Sie eine Vertrauensstellung zwischen<br />
den Gesamtstruktur-Stammdomänen der beiden Gesamtstrukturen ein. Für das Entwerfen der Konfiguration<br />
der Gesamtstrukturvertrauensstellung gelten folgende Anforderungen:<br />
• Entwerfen der Richtung der Gesamtstrukturvertrauensstellung<br />
• Entwerfen der ausgewählten Authentifizierung<br />
• Entwerfen der SID-Filterung<br />
• Entwerfen des UPN-Suffixrouting<br />
Entwerfen der Richtung der Gesamtstrukturvertrauensstellung Beim Konfigurieren einer Gesamtstrukturvertrauensstellung<br />
können Sie die Richtung der Vertrauensstellung auswählen. Wenn Sie<br />
den Entwurf für die Gesamtstrukturvertrauensstellung erstellen, planen Sie immer die geringste<br />
Zugriffsebene ein, die den Geschäftsanforderungen entspricht. In einem Szenario mit Ressourcengesamtstruktur<br />
sollten Sie beispielsweise eine unidirektionale Vertrauensstellung von der Kontengesamtstruktur<br />
zur Ressourcengesamtstruktur konfigurieren. Ermöglichen Sie bidirektionale Vertrauensstellungen<br />
nur dann, wenn Benutzer in beiden Gesamtstrukturen auf Ressourcen in der jeweils anderen<br />
Gesamtstruktur zugreifen müssen.<br />
Entwerfen der ausgewählten Authentifizierung Die zweite Option, die Sie beim Erstellen einer Gesamtstrukturvertrauensstellung<br />
konfigurieren können, ist die ausgewählte Authentifizierung. Durch Aktivieren<br />
der ausgewählten Authentifizierung besitzen Sie mehr Kontrolle darüber, welche Benutzergruppen<br />
in einer vertrauten Gesamtstruktur auf welche freigegebene Ressourcen in einer vertrauenden<br />
Gesamtstruktur zugreifen können.
166 Kapitel 5: Entwerfen der <strong>Active</strong> <strong>Directory</strong>-Domänendienstestruktur<br />
Ist die gesamtstrukturweite Authentifizierung aktiviert, erhalten Benutzer, die über eine gesamtstrukturübergreifende<br />
Vertrauensstellung authentifiziert sind, automatisch die SID authentifizierter Benutzer<br />
der vertrauenden Gesamtstruktur. Die SID authentifizierter Benutzer gewährt Benutzern in einer<br />
Gesamtstruktur viele Standardrechte. Nachdem Sie eine gesamtstrukturübergreifende Vertrauensstellung<br />
eingerichtet haben, erhalten daher Benutzer aus der vertrauten Gesamtstruktur einige Standardrechte<br />
für alle Ressourcen in der vertrauenden Gesamtstruktur, die für die Gruppe Authentifizierte<br />
Benutzer zugänglich sind.<br />
So funktioniert es: Ausgewählte Authentifizierung in Windows-Vertrauensstellungen<br />
Die ausgewählte Authentifizierung begrenzt die Möglichkeit von Benutzern in vertrauten Gesamtstrukturen,<br />
auf Ressourcen in der vertrauenden Gesamtstruktur zuzugreifen. Im Wesentlichen müssen<br />
die Benutzer eine zusätzliche, detailliertere Sicherheitsprüfung bestehen. Diese Funktion steht<br />
nur in Gesamtstrukturen zur Verfügung, die für die Funktionsebene Windows 2003 oder höher konfiguriert<br />
sind.<br />
Ohne die ausgewählte Authentifizierung sind Benutzer in einer vertrauten Gesamtstruktur praktisch<br />
wie Mitglieder der vertrauenden Gesamtstruktur, weil sie der Gruppe Authentifizierte Benutzer<br />
in dieser Gesamtstruktur hinzugefügt werden. Hierdurch erhalten sie Zugriff auf alle Ressourcen<br />
in der vertrauenden Gesamtstruktur, sofern die Zugriffssteuerungsliste (Access Control List,<br />
ACL) so konfiguriert ist, dass der Gruppe Authentifizierte Benutzer der Zugriff gewährt wird.<br />
Die ausgewählte Authentifizierung wird für den ausgehenden Teil einer gesamtstrukturübergreifenden<br />
Vertrauensstellung konfiguriert. Wenn Benutzer in der vertrauten Gesamtstruktur anschließend<br />
auf eine Ressource in der vertrauenden Gesamtstruktur zuzugreifen versuchen, erhalten Sie die<br />
Meldung „Anmeldefehler: Der Computer, an dem Sie sich anmelden, ist durch eine Authentifizierungsfirewall<br />
geschützt. Das angegebene Konto darf sich nicht an diesem Computer anmelden.“<br />
Um Benutzern oder Gruppen in der vertrauten Gesamtstruktur den Zugriff auf die entsprechenden<br />
Ressourcen zu gewähren, müssen Sie dem Benutzer die Berechtigung Authentifizierung zulassen<br />
auf dem Computer erteilen, auf den er zugreifen muss. Wenn der Benutzer anschließend auf die<br />
Ressource zugreift, enthält das Zugriffstoken ein Sicherheitsprinzipal namens Andere Organisation,<br />
und der Zugriff wird ihm gewährt.<br />
Darol Timberlake<br />
Senior Premier Field Engineer, Microsoft<br />
Sicherheitswarnung Wenn Sie die gesamtstrukturweite Authentifizierung für eine Gesamtstrukturvertrauensstellung<br />
aktivieren, sollten Sie unbedingt sicherstellen, dass die Gruppe Authentifizierte Benutzer aus allen<br />
vertraulichen Ressourcen in der vertrauten Domäne entfernt wird.<br />
Wenn Sie die ausgewählte Authentifizierung aktivieren, können Sie einschränken, welche Benutzergruppen<br />
über die Vertrauensstellung auf Ressourcen zugreifen können. Ferner können Sie einschränken,<br />
welche Computer in der vertrauenden Domäne über diese Vertrauensstellung zugänglich sind.<br />
Zum Implementieren der ausgewählten Authentifizierung müssen Sie die Gesamtstrukturvertrauensstellung<br />
so konfigurieren, dass die ausgewählte Authentifizierung anstelle der gesamtstrukturweiten<br />
Authentifizierung verwendet wird. Diese Option kann beim Erstellen der Vertrauensstellung oder<br />
danach aktiviert werden. Nach der Konfiguration der Vertrauensstellung müssen Sie auf die Computerkontoeigenschaften<br />
in AD DS zugreifen und den Gruppen oder Benutzern aus der vertrauten<br />
Domäne die Berechtigung Authentifizierung zulassen für das Computerobjekt erteilen.
Entwerfen der Integration mehrerer Gesamtstrukturen 167<br />
Hinweis Um die ausgewählte Authentifizierung für Gesamtstrukturvertrauensstellungen zu aktivieren,<br />
muss die Gesamtstrukturfunktionsebene der vertrauenden Gesamtstruktur, in der sich freigegebene Ressourcen<br />
befinden, auf Windows Server 2003 oder höher eingestellt sein. Zum Aktivieren der ausgewählten<br />
Authentifizierung für externe Vertrauensstellungen muss die Domänenfunktionsebene der vertrauenden<br />
Domäne, in der sich freigegebene Ressourcen befinden, auf Windows Server 2000 einheitlich oder höher<br />
eingestellt sein.<br />
Diese Art der Authentifizierungssteuerung bietet freigegebenen Ressourcen einen zusätzlichen<br />
Schutz, da sie nicht jedem authentifizierten Benutzer aus einem anderen Unternehmen frei zugänglich<br />
sind. Wenn Sie die ausgewählte Authentifizierung aktivieren, werden alle über eine Vertrauensstellung<br />
an die vertrauende Gesamtstruktur gestellten Authentifizierungsanforderungen von Domänencontrollern<br />
in der vertrauenden Gesamtstruktur verifiziert. Wenn dem Benutzerkonto auf dem<br />
Server, auf den der Benutzer zuzugreifen versucht, nicht die Berechtigung Authentifizierung zulassen<br />
zugewiesen ist, stellt der Domänencontroller nicht das Dienstticket aus, das für den Zugriff auf die<br />
Gesamtstruktur erforderlich ist.<br />
Zur Sicherheit empfiehlt es sich, die ausgewählte Authentifizierung für alle Gesamtstruktur- und<br />
externen Vertrauensstellungen zu aktivieren. Wenn jedoch viele Benutzer in beiden Gesamtstrukturen<br />
Zugriff auf viele Ressourcen in der jeweils anderen Gesamtstruktur benötigen, kann die Verwaltung<br />
der ausgewählten Authentifizierung zu umständlich werden.<br />
Entwerfen der SID-Filterung Die SID-Filterung wird verwendet, um Benutzer an der Verwendung der<br />
im Attribut SIDHistory gespeicherten SIDs zu hindern, wenn sie auf Ressourcen in einer separaten<br />
Gesamtstruktur zugreifen. Das Attribut SIDHistory wird normalerweise bei der Migration von Benutzer-<br />
und Gruppenkonten von einer Domäne auf eine andere verwendet. Während der Migration können<br />
die dem Benutzer oder der Gruppe in der Quelldomäne zugewiesenen SIDs auf das Benutzeroder<br />
Gruppenkonto in der Zieldomäne migriert und im Attribut SIDHistory gespeichert werden.<br />
Durch die Beibehaltung der SIDs kann das Benutzerkonto während der Migration von Ressourcen auf<br />
die neue Domäne auf Ressourcen in der Quelldomäne zugreifen. Ist die SID-Filterung nicht aktiviert,<br />
können die SIDs im Attribut SIDHistory für den Zugriff auf Ressourcen in jeder beliebigen vertrauten<br />
Gesamtstruktur verwendet werden.<br />
Weitere Informationen Weitere Einzelheiten zur Benutzer- und Gruppenmigration und zur Verwendung von<br />
SIDHistory finden Sie in Kapitel 7, „Migrieren auf die <strong>Active</strong> <strong>Directory</strong>-Domänendienste“.<br />
Die Deaktivierung der SID-Filterung stellt ein Sicherheitsrisiko dar, weil das Attribut SIDHistory zum<br />
Ausnutzen der ungeschützten Vertrauensstellung eingesetzt werden kann. Ein böswilliger Benutzer<br />
mit Administratoranmeldeinformationen kann Administrator-SIDs von Administratorkonten in der<br />
vertrauenden Gesamtstruktur dem Attribut SIDHistory eines Sicherheitsprinzipals in der vertrauten<br />
Gesamtstruktur hinzufügen. Das Konto kann anschließend verwendet werden, um Administratorzugriff<br />
auf die vertraute Gesamtstruktur zu erhalten.<br />
Mithilfe der SID-Filterung können Sie die Verwendung des Attributs SIDHistory in der gesamten<br />
Gesamtstrukturvertrauensstellung blockieren. Ist die SID-Filtering aktiviert, vergleichen die Domänencontroller<br />
in der vertrauten Domäne die SID des anfordernden Sicherheitsprinzipals mit der<br />
Domänen-SID der vertrauten Domäne. Alle SIDs aus anderen Domänen als der vertrauten Domäne<br />
werden entfernt bzw. gefiltert. Das heißt, auch wenn das Attribut SIDHistory die SIDs von höchst vertrauten<br />
Administratorkonten in der vertrautenden Domäne enthält, werden die SIDs dennoch nicht<br />
über die Vertrauensstellung akzeptiert.
168 Kapitel 5: Entwerfen der <strong>Active</strong> <strong>Directory</strong>-Domänendienstestruktur<br />
Die SID-Filterung ist standardmäßig für alle Vertrauensstellungen auf Windows Server 2008-Computern<br />
aktiviert und sollte nur nach sorgfältiger Abwägung deaktiviert werden. Wenn Sie Benutzer- und<br />
Gruppenkonten aus einer Gesamtstruktur auf eine andere migrieren, könnten Sie die SID-Filterung<br />
nur für die Zeit des Migrationsvorgangs deaktivieren. Nach Abschluss der Migration sollten Sie die<br />
SID-Filterung wieder aktivieren.<br />
Entwerfen des UPN-Suffixrouting Ein UPN (User Principal Name) ist ein Anmeldename, der das<br />
Präfix und das Suffix des Benutzerprinzipalnamens enthält. Standardmäßig ist das UPN-Präfix der<br />
Anmeldename des Benutzers und das Suffix der Name der Domäne, in der das Benutzerkonto erstellt<br />
wurde. Sie können die anderen Domänen im Netzwerk oder zusätzlich erstellte Suffixe verwenden,<br />
um weitere Suffixe für Benutzer zu konfigurieren. Beispielsweise könnten Sie ein Suffix konfigurieren,<br />
um Benutzeranmeldenamen zu erstellen, die den E-Mail-Adressen der Benutzer entsprechen.<br />
UPNs können in einer Umgebung mit mehreren Domänen oder mehreren Gesamtstrukturen verwendet<br />
werden, um die Benutzeranmeldung zu vereinfachen. Wenn Benutzer beispielsweise häufig zwischen<br />
Unternehmensstandorten reisen und sich an Computern in mehreren verschiedenen Domänen<br />
anmelden, können sie hierfür einfach ihren UPN verwenden. Der UPN muss in der Gesamtstruktur<br />
eindeutig sein, damit der Benutzer sich jederzeit anmelden kann – unabhängig von der Domäne, in<br />
der er sich befindet. Wenn der UPN mit der E-Mail-Adresse des Benutzers übereinstimmt, muss sich<br />
der Benutzer nur einen einzigen Benutzernamen merken, um sowohl auf das Netzwerk als auch auf<br />
seine E-Mails zuzugreifen.<br />
Beim Entwurf von Gesamtstrukturvertrauensstellungen müssen Sie berücksichtigen, wie das<br />
Namensuffixrouting zwischen Gesamtstrukturen funktioniert. Das Namensuffixrouting ist ein Mechanismus,<br />
der die Namensauflösung in den Gesamtstrukturen basierend auf den folgenden Kriterien<br />
ermöglicht:<br />
• Wenn sich zwei Windows Server 2008-Gesamtstrukturen über eine Gesamtstrukturvertrauensstellung<br />
verbinden, wird das Namensuffixrouting automatisch aktiviert. Wenn beispielsweise<br />
eine Vertrauensstellung zwischen der Gesamtstruktur Adatum.com und der Gesamtstruktur<br />
Contoso.com konfiguriert wird, kann sich ein Benutzer mit einem Konto in der Gesamtstruktur<br />
Adatum.com anhand seines UPN an einem Computer in der Gesamtstruktur Contoso.com anmelden.<br />
Die Authentifizierungsanforderung wird automatisch an den entsprechenden Domänencontroller<br />
in der Gesamtstruktur Adatum.com geleitet.<br />
• Wenn beide Gesamtstrukturen dasselbe UPN-Suffix besitzen, können Benutzer nicht den UPN-<br />
Namen mit diesem Suffix für die Anmeldung an einem Computer in einer anderen Gesamtstruktur<br />
verwenden. Wenn beispielsweise sowohl das Unternehmen Adatum.com als auch das Unternehmen<br />
Contoso.com das UPN-Suffix TreyResearch.com verwenden würden, könnten Benutzer<br />
sich nicht mithilfe dieses Suffixes an der jeweils anderen Gesamtstruktur anmelden.<br />
Fehler beim UPN-Namensuffixrouting werden festgestellt, wenn Sie Gesamtstrukturvertrauensstellungen<br />
konfigurieren. Wenn die Gesamtstrukturen dasselbe UPN-Suffix verwenden, erkennt der<br />
Assistent für neue Vertrauensstellungen den Konflikt zwischen den beiden UPN-Suffixen und zeigt<br />
diesen an, wenn Sie die Vertrauensstellung einzurichten versuchen. Wenn Sie einer Domäne mit einer<br />
vorhandenen Gesamtstrukturvertrauensstellung ein UPN-Suffix hinzufügen, das einen Konflikt verursacht,<br />
wird dem UPN-Suffix die Authentifizierung in der vertrauenden Domäne nicht gestattet.
Entwerfen der Domänenstruktur 169<br />
Entwerfen der Verzeichnisintegration zwischen Gesamtstrukturen<br />
In manchen Unternehmen bietet die reine Erstellung von Vertrauensstellungen zwischen Gesamtstrukturen<br />
nicht die erforderliche Funktionalität. In diesen Unternehmen ist es vielleicht nicht erforderlich,<br />
den Ressourcenzugriff zwischen verschiedenen Gesamtstrukturen zu ermöglichen. Stattdessen müssen<br />
möglicherweise die Verzeichnisdaten zwischen den Gesamtstrukturen synchronisiert werden. In<br />
vielen Unternehmen, die mehrere Gesamtstrukturen und mehrere Exchange Server-Organisationen<br />
einsetzen, müssen Benutzer in den separaten Organisationen dazu in der Lage sein, sich gegenseitig<br />
E-Mails zu senden. Hierzu müssen die Benutzerkonten in beiden Gesamtstrukturen mit der jeweils<br />
anderen Gesamtstruktur synchronisiert werden, um als Nachrichtenempfänger innerhalb der Messagingclients<br />
zur Verfügung zu stehen.<br />
Weitere Informationen Zusätzlich zur Verzeichnissynchronisierung müssen viele andere Aspekte, wie die<br />
Kalenderverfügbarkeit, die Replikation öffentlicher Ordner und das Nachrichtenrouting, beim Entwerfen von<br />
Exchange Server-Bereitstellungen in komplexen Unternehmen berücksichtigt werden. Weitere Informationen<br />
hierzu finden Sie unter „Planung für eine komplexe Exchange-Organisation“ unter http://technet.microsoft.com/de-de/library/aa996010.aspx.<br />
Die einfachste Möglichkeit, die Verzeichnissynchronisierung zwischen mehreren Gesamtstrukturen zu<br />
ermöglichen, besteht darin, ein Tool wie Microsoft Identity Lifecycle Manager (ILM) 2007 zu verwenden.<br />
Eine der ILM-Komponenten ist Microsoft Identity Integration Server 2003 (MIIS). Mithilfe<br />
von MIIS oder mithilfe des Identity Integration Feature Pack für Microsoft Windows Server <strong>Active</strong><br />
<strong>Directory</strong> (IIFP) können Sie den Vorgang zur Synchronisierung von Verzeichnisinformationen zwischen<br />
mehreren Gesamtstrukturen automatisieren. Bei MIIS handelt es sich um eine mit leistungsstarke<br />
Lösung zur Identitätsverwaltung, die zum Synchronisieren vieler verschiedener Verzeichnistypen<br />
verwendet werden kann. IIFP ist hingegen eine eingeschränktere Version von MIIS, die zum<br />
Synchronisieren von Identitätsinformationen zwischen Microsoft-Verzeichnissen einsetzbar ist.<br />
Wenn Sie die Verzeichnissynchronisierung über MIIS oder IIFP konfigurieren, werden Benutzerkonten<br />
und E-Mail-fähige Gruppen in einer Quellgesamtstruktur in der Regel als E-Mail-fähige Kontakte<br />
in der Zielgesamtstruktur dargestellt. Das heißt, dass die Empfänger in der globalen Adressliste angezeigt<br />
werden.<br />
Weitere Informationen Der Entwurf der Integration mehrerer Gesamtstrukturen ist kompliziert und hängt<br />
von dem Integrationsgrad ab, der zwischen den Gesamtstrukturen erforderlich ist. Eine detaillierte Erörterung<br />
der verfügbaren Integrationsoptionen und eine Anleitung zum Implementieren der Optionen finden Sie im englischsprachigen<br />
Whitepaper „Windows 2000/2003: Multiple Forests Considerations“ unter http://www.microsoft.com/downloads/details.aspx?familyid=b717bfcd-6c1c-4af6-8b2c-b604e60067ba&displaylang=en.<br />
Entwerfen der Domänenstruktur<br />
Nachdem die Frage, wie viele Gesamtstrukturen verwendet werden sollen, geklärt ist, besteht der<br />
nächste Schritt darin, die Domänenstruktur innerhalb der Gesamtstrukturen zu definieren. Anhand<br />
von Domänen wird eine große Gesamtstruktur, hauptsächlich zu Verwaltungs- oder Replikationszwecken,<br />
in kleinere Komponenten unterteilt. Die folgenden Domäneneigenschaften sind für den AD DS-<br />
Entwurf relevant:<br />
• Replikationsgrenzen Domänengrenzen sind Replikationsgrenzen für die Domänenverzeichnispartition<br />
und für die Domäneninformationen im Ordner SYSVOL auf sämtlichen Domänencontrollern.
170 Kapitel 5: Entwerfen der <strong>Active</strong> <strong>Directory</strong>-Domänendienstestruktur<br />
Während andere Verzeichnispartitionen wie Schema, Konfiguration und globaler Katalog innerhalb<br />
der Gesamtstruktur repliziert werden, wird die Domänenverzeichnispartition nur innerhalb<br />
einer Domäne repliziert.<br />
• Grenze für den Ressourcenzugriff Domänengrenzen sind auch Grenzen für den Ressourcenzugriff.<br />
Standardmäßig können Benutzer einer Domäne nicht auf die Ressourcen in einer anderen Domäne<br />
zugreifen, sofern keine Vertrauensstellung eingerichtet ist und ihnen nicht explizit die erforderlichen<br />
Berechtigungen zugewiesen wurden.<br />
• Grenzen für Sicherheitsrichtlinien Einige Sicherheitsrichtlinien gelten für alle Benutzerkonten in<br />
der Domäne, wenn sie auf Domänenebene angewendet werden. Zu diesen Richtlinien gehören<br />
Kennwortrichtlinien, Kontosperrungsrichtlinien und Kerberos-Ticketrichtlinien.<br />
In Abbildung 5.7 wird der Prozess zum Erstellen eines Domänenentwurfs dargestellt.<br />
Prüfen von<br />
Auswirkungen<br />
der Auswahl einer<br />
oder mehrerer Domänen<br />
Festlegen, ob mehrere<br />
Domänen erforderlich sind<br />
Mehrere Domänen<br />
erforderlich<br />
Eine Domäne<br />
erforderlich<br />
Festlegen der<br />
Domänenanzahl<br />
Festlegen der Stammdomäne<br />
der Gesamtstruktur<br />
Festlegen des<br />
Domänenentwurfsmodells<br />
Für jede Domäne<br />
Festlegen des Entwurfs<br />
der Domänenvertrauensstellungen<br />
Festlegen des<br />
Domänenbesitzers<br />
Abbildung 5.7<br />
Erstellen eines Domänenentwurfs<br />
Wichtig Wie im vorherigen Abschnitt zum Entwerfen einer Gesamtstruktur bereits erläutert wurde, stellen<br />
Domänengrenzen keine Sicherheitsgrenzen dar.
Entwerfen der Domänenstruktur 171<br />
Festlegen der Domänenanzahl<br />
Auch wenn die meisten Unternehmen eine einzige Gesamtstruktur verwenden, richten die meisten großen<br />
Unternehmen mehrere Domänen innerhalb dieser Gesamtstruktur ein. Im Idealfall ist eine einzige<br />
Domäne am einfachsten zu verwalten und bietet den Benutzern die unkomplizierteste Umgebung. Es<br />
gibt jedoch auch mehrere Gründe, warum Unternehmen sich für den Einsatz mehrerer Domänen entscheiden.<br />
Verwenden einer einzigen Domäne<br />
Die meisten kleinen bis mittelgroßen Unternehmen sollten die Implementierung einer einzigen Domäne<br />
aus folgenden Gründen in Betracht ziehen:<br />
• Der AD DS-Datenspeicher kann leicht über eine Million Objekte enthalten. Das bedeutet, dass die<br />
Gesamtzahl an Objekten in AD DS selten ein Grund für die Erstellung mehrerer Domänen ist.<br />
• Wenn ein Unternehmen administrative Autonomie zwischen verschiedenen Geschäftseinheiten<br />
benötigt, können Sie Organisationseinheiten verwenden und administrative Aufgaben auf OU-<br />
Ebene delegieren. Wenn das Unternehmen administrative Isolation erfordert, müssen Sie mehrere<br />
Gesamtstrukturen verwenden, da Domänen keine Grenze für administrative Sicherheit darstellen.<br />
• Wenn Ihr Unternehmen häufig umstrukturiert wird oder wenn Benutzer zwischen den Geschäftseinheiten<br />
wechseln, können Benutzer recht einfach zwischen OUs in einer Domäne verschoben<br />
werden. Es ist viel schwieriger, Benutzer zwischen Domänen zu verschieben.<br />
• Einzelne Domänen sind insofern einfacher zu verwalten, als Sie sich nur um eine einzige Gruppe<br />
von Administratoren auf Domänenebene und um einen einzigen Satz an Richtlinien auf Domänenebene<br />
kümmern müssen. Außerdem müssen Sie nur eine Gruppe von Domänencontrollern<br />
verwalten.<br />
• Das einfachste Szenario für die Verwaltung von Gruppenrichtlinien ist das einer Umgebung mit<br />
einer einzigen Domäne. Einige Gruppenrichtlinienobjekte sind im Ordner SYSVOL auf jedem<br />
Domänencontroller in einer Domäne gespeichert. Wenn Sie nur eine Domäne verwenden, werden<br />
die Gruppenrichtlinienobjekte automatisch auf alle Domänencontroller repliziert.<br />
• Eine einzige Domäne bietet die einfachste Umgebung für den Entwurf der Authentifzierung und<br />
des Ressourcenzugriffs. Mit einer einzigen Domäne müssen Sie sich nicht um Vertrauensstellungen<br />
oder das Erteilen des Ressourcenzugriffs an Benutzer in anderen Domänen kümmern. Innerhalb<br />
einer einzigen Domäne ist es außerdem zweckmäßig, nur eine einzige Gruppe für das<br />
Zuweisen des Ressourcenzugriffs zu verwenden, statt sowohl Konto- als auch Ressourcengruppen<br />
zu konfigurieren.<br />
• In einer einzigen Domäne können alle Domänencontroller als globale Katalogserver verwendet<br />
werden, weil die Einschränkungen des Infrastrukturmasters nicht gelten. Das heißt, dass Sie die<br />
Platzierung des globalen Katalogs nicht planen müssen.<br />
Verwenden mehrerer Domänen<br />
Auch wenn eine einzige Domäne für einige Unternehmen die ideale Konfiguration darstellt, setzen<br />
die meisten großen Unternehmen mehrere Domänen ein. Separate Domänen sind in folgenden Fällen<br />
ratsam:<br />
• Der Replikationsdatenverkehr muss eingeschränkt werden. Die Domänenverzeichnispartition, die<br />
größte und am meisten geänderte Verzeichnispartition, wird auf alle Domänencontroller in einer<br />
Domäne repliziert.
172 Kapitel 5: Entwerfen der <strong>Active</strong> <strong>Directory</strong>-Domänendienstestruktur<br />
Außerdem wird der Ordner SYSVOL auf alle Domänencontroller in derselben Domäne repliziert.<br />
In einigen Fällen führt dies zu übermäßigem Replikationsdatenverkehr zwischen den physischen<br />
Unternehmensstandorten (selbst wenn mehrere logische Standorte konfiguriert werden). Dies<br />
kann der Fall sein, wenn zwischen den Unternehmensstandorten langsame Netzwerkverbindungen<br />
bestehen oder wenn sich in mehreren Unternehmensstandorten eine große Anzahl von<br />
Benutzern befindet. Die einzige Möglichkeit, den Replikationsdatenverkehr einzuschränken,<br />
besteht in der Erstellung zusätzlicher Domänen.<br />
• Einige Standorte verwenden SMTP-Konnektivität (Simple Mail Transfer Protocol). Alle Unternehmensstandorte,<br />
die nur SMTP-Konnektivität besitzen, müssen als separate Domänen konfiguriert<br />
werden. Die Domänenpartition kann nicht über Standortverknüpfungen repliziert werden, die<br />
SMTP verwenden.<br />
• Es sind verschiedene Kennwortrichtlinien erforderlich. Die einzige Möglichkeit zum Einsetzen<br />
verschiedener Kennwortrichtlinien, Kontosperrungsrichtlinien und Kerberos-Ticketrichtlinien<br />
besteht darin, separate Domänen einzurichten. Auch wenn Sie sehr detaillierte Kennwortrichtlinien<br />
einsetzen können, um die Kennwortrichtlinien für einige Benutzer in einer einzigen Domäne<br />
zu ändern, erfordert die Verwaltung verschiedener Kennwortrichtlinien für mehrere Personengruppen<br />
in derselben Domäne einen zusätzlichen Verwaltungsaufwand.<br />
• Der Zugriff muss eingeschränkt werden. Wenn Sie den Zugriff auf Ressourcen und administrative<br />
Berechtigungen einschränken müssen, empfiehlt sich der Einsatz zusätzlicher Domänen. Für<br />
einige Unternehmen gibt es möglicherweise rechtliche Gründe für die Erstellung separater Verwaltungseinheiten.<br />
• Für verschiedene Geschäftseinheiten sind verschiedene Namespaces erforderlich. Wenn Unternehmen<br />
zusammengelegt werden, kann es für alle Geschäftseinheiten wichtig sein, eine eigenständige<br />
Identität zu bewahren. Durch den Einsatz mehrerer Domänen in verschiedenen Strukturen<br />
können Sie für jede Domäne einen eigenständigen Namespace verwalten.<br />
• Der beste Migrationspfad für das Unternehmen ist, mehrere der aktuellen Domänen zu aktualisieren.<br />
Es gibt viele gute Gründe für die Erstellung zusätzlicher Domänen. Jede Domäne kann einem Unternehmen<br />
jedoch erhebliche administrative und finanzielle Kosten verursachen. Bevor Sie sich zur<br />
Erstellung weiterer Domänen entschließen, erwägen Sie folgende Aspekte:<br />
• Jede zusätzliche Domäne erfordert zusätzliche Hardware und zusätzliche Administratoren. Wenn<br />
Sie konsistente Verwaltungsprozesse und Überwachungsvorgänge für alle Domänen konfigurieren<br />
möchten, müssen Sie die entsprechenden Einstellungen in jeder Domäne festlegen.<br />
• Die Verwaltung konsistenter Gruppenrichtlinieneinstellungen in allen Domänen ist schwierig. Sie<br />
müssen die GPOs in jeder einzelnen Domäne konfigurieren und Dateien wie Skripts und Vorlagen<br />
auf Domänencontroller in den einzelnen Domänen kopieren.<br />
• In einer Umgebung mit mehreren Domänen greifen Benutzer über Vertrauensstellungen auf Ressourcen<br />
zu, was zu mehr Komplexität und möglicherweise zu zusätzlichen Fehlerquellen führt.<br />
• Benutzer, die zwischen Standorten mit verschiedenen Domänen wechseln, müssen sich an einem<br />
Domänencontroller in ihrer Basisdomäne authentifizieren. Steht keine Netzwerkverbindung mit<br />
der Basisdomäne zur Verfügung, kann der Benutzer sich nicht an der Domäne authentifizieren.<br />
Aufgrund dieser zusätzlichen Kosten sollte die Gesamtzahl der Domänen so niedrig wie möglich<br />
gehalten werden.
Entwerfen der Gesamtstruktur-Stammdomäne<br />
Entwerfen der Domänenstruktur 173<br />
Eine weitere wichtige Entscheidung, die Sie beim Entwerfen einer AD DS-Lösung mit mehreren<br />
Domänen treffen müssen, ist, ob eine dedizierte Stammdomäne (auch als leere Stammdomäne<br />
bezeichnet) eingerichtet werden sollte. Eine dedizierte Stammdomäne ist eine Domäne, die ausschließlich<br />
die Rolle als Gesamtstruktur-Stammdomäne ausübt. Das heißt, diese Domäne enthält nur<br />
diejenigen Benutzerkonten oder Ressourcen, die zum Verwalten der Gesamtstruktur erforderlich sind.<br />
Eine Gesamtstruktur mit einer dedizierten Stammdomäne wird in Abbildung 5.8 dargestellt.<br />
Eine dedizierte Stammdomäne,<br />
die ausschließlich<br />
Standardobjekte enthält:<br />
Gesamtstruktur-Betriebsmaster<br />
und Administratorengruppen<br />
der Gesamtstruktur<br />
Adatum.com<br />
TreyResearch.com<br />
Unternehmensdomänen,<br />
die alle Administratorengruppen<br />
und weitere Domänenobjekte<br />
enthalten<br />
NA.Adatum.com<br />
Asien.Adatum.com<br />
Abbildung 5.8<br />
Eine Gesamtstruktur mit dedizierter Stammdomäne<br />
Für die meisten Unternehmen mit mehreren Domänen wird eine dedizierte Stammdomäne dringend<br />
empfohlen. Die Stammdomäne ist eine wichtige Domäne in der AD DS-Struktur. Der Einsatz einer<br />
dedizierten Stammdomäne bietet folgende Vorteile:<br />
• Die Stammdomäne enthält die administrativen Gruppen auf Gesamtstrukturebene (die Gruppen<br />
Organisations-Admins und Schema-Admins) sowie die Betriebsmasterdomänencontroller auf<br />
Gesamtstrukturebene (den Domänennamenmaster und den Schemamaster). Die Verwendung einer<br />
dedizierten Stammdomäne vereinfacht außerdem die Einschränkung der Mitgliedschaft der administrativen<br />
Gruppen auf Gesamtstrukturebene. Selbst wenn Sie die Anzahl der Administratoren in<br />
den Gruppen Schema-Admins und Organisations-Admins rigoros einschränken, kann jedes Mitglied<br />
der Gruppe Domänen-Admins in der Gesamtstruktur-Stammdomäne die Mitgliederliste für<br />
diese Gruppen ändern.<br />
• Eine dedizierte Stammdomäne kann leicht auf andere Standorte repliziert werden. Die Gesamtstruktur-Stammdomäne<br />
muss immer verfügbar sein, wenn Benutzer sich an anderen Domänen als<br />
ihrer Basisdomäne anmelden oder wenn Benutzer auf Ressourcen in anderen Domänen zugreifen.<br />
Weil Sie nur selten Änderungen am Datenspeicher der dedizierten Gesamtstrukturdomäne vornehmen<br />
müssen, gibt es kaum Replikationsdatenverkehr zwischen den Stammdomänencontrollern.<br />
Sie können daher Domänencontroller an mehreren Unternehmensstandorten aufstellen, um<br />
Redundanz zu gewährleisten.
174 Kapitel 5: Entwerfen der <strong>Active</strong> <strong>Directory</strong>-Domänendienstestruktur<br />
Daher ist es außerdem leicht, die Stammdomäne im Fall einer Notfallwiederherstellung an einen<br />
anderen physischen Standort zu verschieben.<br />
• Eine dedizierte Stammdomäne ist einfacher zu verwalten als eine Stammdomäne, die viele<br />
Objekte enthält. Da die Verzeichnisdatenbank klein ist, können die Stammdomänencontroller<br />
leicht gesichert und wiederhergestellt werden. Die Stammdomäne kann nicht ersetzt werden;<br />
wenn die Stammdomäne zerstört ist und nicht wiederhergestellt werden kann, müssen Sie die<br />
ganze Gesamtstruktur neu aufbauen.<br />
• Eine dedizierte Stammdomäne veraltet außerdem nie, vor allem dann nicht, wenn die Domäne<br />
einen generischen Namen erhält.<br />
Aus diesen Gründen sollten die meisten Unternehmen, die sich für die Verwendung mehrerer Domänen<br />
entschließen, ernsthaft die Verwendung einer dedizierten Stammdomäne in Betracht ziehen.<br />
Selbst einige Unternehmen, die nur eine Domäne einzusetzen planen, sollten die Vorteile einer<br />
dedizierten Stammdomäne abwägen.<br />
Die dedizierte Stammdomäne erfordert eine bestimmte Konfiguration, die für die anderen Domänen in<br />
der Gesamtstruktur nicht relevant ist. Zunächst einmal müssen die Domänencontroller der Stammdomäne<br />
so gut wie möglich abgesichert werden, weil die Stammdomäne die Gesamtstrukturbetriebsmaster<br />
enthält. Die Gesamtstrukturdomäne umfasst außerdem die Gruppen, die die Gesamtstruktur und das<br />
Schema verändern können. Noch mehr als in allen anderen Domänen müssen die Mitglieder der<br />
Administratorengruppen in der Stammdomäne extrem vertrauenswürdig sein. Sie werden wahrscheinlich<br />
die Option Eingeschränkte Gruppen in der Domänensicherheitsrichtlinie verwenden, um die Mitgliedschaft<br />
in diesen Gruppen zu verwalten. Die DNS-Konfiguration der Stammdomäne sollte ebenfalls<br />
so sicher wie möglich sein. Da zusätzliche Computer wahrscheinlich nicht in der Stammdomäne<br />
installiert werden, sollten Sie während der Installation der Domänencontroller sichere dynamische<br />
Aktualisierungen für die DNS-Zone der Stammdomäne aktivieren und anschließend dynamische<br />
Aktualisierungen für diese Zone deaktivieren.<br />
Entwerfen von Domänenhierarchien<br />
Nachdem der Stammdomänenentwurf abgeschlossen ist, müssen Sie im nächsten Schritt festlegen,<br />
wie viele zusätzliche Domänen Sie einrichten müssen und wie die übrigen Domänen in den DNS-<br />
Namespace für die Gesamtstruktur passen.<br />
Es gibt grundsätzlich drei Modelle zum Erstellen zusätzlicher Domänen in einer AD DS-Gesamtstruktur:<br />
• Erstellen von Domänen basierend auf der geografischen Lage, also regionale Domänen Regionale<br />
Domänen werden hauptsächlich zum Verringern des Replikationsdatenverkehrs über langsame<br />
oder teure WAN-Verknüpfungen verwendet. Regionale Domänen sind die bevorzugte Option für<br />
Unternehmen mit einer großen Anzahl an Benutzern, die geografisch verstreut sind. Beispielsweise<br />
Unternehmen mit Niederlassungen auf mehreren Kontinenten können sich zur Implementierung<br />
regionaler Domänen entschließen, um den Replikationsdatenverkehr zwischen Kontinenten<br />
einzuschränken. Regionale Domänen sind auch die bevorzugte Option, wenn die geografisch verteilten<br />
Bereiche des Unternehmens sich fest etabliert haben und wahrscheinlich nicht geändert<br />
werden. Die Domänenkonfiguration ist nach der Bereitstellung schwierig zu ändern.
Entwerfen der Domänenstruktur 175<br />
Wichtig Die verfügbare Bandbreite zwischen Unternehmensstandorten ist möglicherweise das wichtigste<br />
Kriterium für die Erstellung zusätzlicher Domänen in Unternehmen mit mehr als 10.000 Benutzern<br />
und mit sehr begrenzter Bandbreite in WAN-Verknüpfungen zwischen Unternehmensstandorten. Da in<br />
einer einzelnen Domäne alle Änderungen in AD DS auf alle Domänencontroller repliziert werden, kann<br />
der AD DS-Replikationsdatenverkehr die gesamte verfügbare Bandbreite beanspruchen. Durch Erstellen<br />
separater Domänen auf beiden Seiten einer langsamen WAN-Verknüpfung können Sie die für die Replikation<br />
genutzte Netzwerkbandbreite erheblich reduzieren. Eine detaillierte Analyse der für die Replikation<br />
erforderliche Bandbreite finden Sie unter „Determining Your <strong>Active</strong> <strong>Directory</strong> Design and Deployment<br />
Strategy“ unter http://technet2.microsoft.com/windowsserver/en/library/ff92f142-66ea-498b-ad0fa379c411eb6e1033.mspx?mfr=true.<br />
Dieser Leitfaden basiert auf dem Einsatz von Windows Server 2003-<br />
Gesamtstrukturen. Viele der Grundsätze gelten auch für Windows Server 2008. Sie sollten außerdem im<br />
TechCenter für Windows Server 2008 nach einer aktualisierten Version dieses Leitfadens suchen.<br />
• Erstellen von Domänen basierend auf Geschäftseinheiten Einige Unternehmen erstellen zusätzliche<br />
Domänen basierend auf Geschäftseinheiten. Dieser Entwurf ist die bevorzugte Option, wenn die<br />
Geschäftseinheiten relativ eigenständig arbeiten oder wenn eine Geschäftsanforderung vorliegt,<br />
dass für jede Geschäftseinheit ein separater Namespace verwaltet werden soll. Die Erstellung von<br />
Domänen für Geschäftseinheiten ist relativ üblich in Unternehmen, die mehrere Fusionen und<br />
Übernahmen erlebt haben.<br />
• Erstellen von Konto- und Ressourcendomänen Einige Unternehmen erstellen zusätzliche Domänen,<br />
um Konto- und Ressourcendomänen zu trennen. Dies ermöglicht Domänenadministratoren in<br />
der Ressourcendomäne, sämtliche Aspekte der Ressourcenverwaltung vollständig zu kontrollieren,<br />
ohne auf die Kontenverwaltung zuzugreifen. Die Trennung von Kontodomänen und Ressourcendomänen<br />
war üblich in Unternehmen, die Windows NT 4.0 eingesetzt haben, und einige dieser<br />
Unternehmen haben gerade die Windows NT-Domänen auf <strong>Active</strong> <strong>Directory</strong> migriert. Weil Sie in<br />
AD DS den Administratorzugriff auf OU-Ebene delegieren können und weil AD DS Millionen<br />
von Objekten enthalten können, ist es unter Windows Server 2008 AD DS wesentlich unwahrscheinlicher,<br />
dass Konto- und Ressourcendomänen eingesetzt werden müssen.<br />
Domänenstrukturen und -vertrauensstellungen<br />
Wenn Sie der Gesamtstruktur weitere Domänen hinzufügen, kann dies entweder in einer Konfiguration<br />
mit einer einzigen Struktur oder in einer Konfiguration mit mehreren Strukturen geschehen.<br />
Wenn Sie alle Domänen in einer einzigen Struktur hinzufügen, besitzen alle Domänen einen zusammenhängenden<br />
Namespace. (Sie fallen also unter den Namespace der Stammdomäne.) Dies ist häufig<br />
der beste Entwurf für ein zentrales Unternehmen, in dem alle Geschäftseinheiten unter einem Namen<br />
bekannt sind. Wenn das Unternehmen jedoch verschiedene Geschäftseinheiten mit unterschiedlichen<br />
Identitäten besitzt, gibt es wahrscheinlich erheblichen Widerstand gegen die Verwendung des Namespaces<br />
einer anderen Geschäftseinheit. In diesem Fall fügen Sie Domänen in verschiedenen Strukturen<br />
hinzu und erstellen auf diese Weise mehrere Namespaces.<br />
Standardkonfiguration von Vertrauensstellungen<br />
Aus funktioneller Sicht gibt es fast keinen Unterschied zwischen einer einzigen und mehreren Strukturen.<br />
In beiden Fällen nutzen alle Domänen eine transitive Vertrauensstellung mit allen übrigen<br />
Domänen und teilen sich außerdem den globalen Katalog und den Container Konfiguration. Der Faktor,<br />
der mehrere Strukturen komplizierter werden lässt, ist der Entwurf des DNS-Namespaces und die<br />
Konfiguration der DNS-Server.
176 Kapitel 5: Entwerfen der <strong>Active</strong> <strong>Directory</strong>-Domänendienstestruktur<br />
Die Standardkonfiguration von Vertrauensstellungen zwischen Domänen in einer AD DS-Gesamtstruktur<br />
ist entweder eine Vertrauensstellung zwischen übergeordnetem und untergeordnetem Element<br />
oder eine Strukturstammvertrauensstellung. Jedes Paar aus übergeordnetem und untergeordnetem<br />
Element nutzt eine bidirektionale Vertrauensstellung, und die Stämme jeder Struktur nutzen<br />
eine bidirektionale Vertrauensstellung. Da die Vertrauensstellungen transitiv sind, vertrauen sich alle<br />
Domänen in der Gesamtstruktur gegenseitig. Wenn sich jedoch ein Benutzer an einer anderen als<br />
seiner Basisdomäne anmeldet, muss der Anmeldevorgang möglicherweise den gesamten Vertrauenspfad<br />
durchlaufen. Ein Unternehmen verfügt beispielsweise über eine Domänenstruktur, die der in<br />
Abbildung 5.9 gezeigten entspricht. Wenn ein Benutzer mit einem Konto in der Domäne Asien.<br />
Fabrikam.com sich an der Domäne Kanada.NA.Adatum.com anmeldet, geht die anfängliche Anmeldeanforderung<br />
zunächst an einen Domänencontroller in der Domäne Kanada. Die Anmeldeanforderung<br />
wird anschließend den Vertrauenspfad entlang an die Domäne NA geleitet, dann an die Domäne<br />
Adatum, anschließend an die Domäne Fabrikam und schließlich an die Domäne Asien.<br />
Vertrauensstellungsabkürzungen<br />
Standardvertrauensstellungen<br />
Adatum.com<br />
Fabrikam.com<br />
NA.Adatum.com SA.Adatum.com Asien.Fabrikam.com<br />
US.NA.Adatum.com<br />
Kanada.NA.Adatum.com<br />
Abbildung 5.9 Eine Shortcutvertrauensstellung kann zum Optimieren des Ressourcenzugriffs zwischen Domänen<br />
eingesetzt werden.<br />
Shortcutvertrauensstellungen<br />
Wenn Sie mehrere Domänen einsetzen und Benutzer häufig auf Ressourcen in anderen Domänen<br />
zugreifen oder sich an anderen Domänen als ihren Basisdomänen anmelden, sollten Sie vielleicht<br />
Shortcutvertrauensstellungen in Ihrem Domänenentwurf vorsehen. Shortcutvertrauensstellungen werden<br />
verwendet, um die Leistung für den Ressourcenzugriff oder die Anmeldung zwischen Domänen<br />
zu verbessern. Wenn eine Shortcutvertrauensstellung beispielsweise zwischen der Domäne Kanada<br />
und der Domäne Asien eingerichtet wird, könnte die Anmeldeanforderung direkt an einen Domänencontroller<br />
in der Domäne Asien geleitet werden. Die Shortcutvertrauensstellung optimiert darüber hinaus<br />
den Zugriff auf Ressourcen zwischen den Domänen.
Ändern der Domänenhierarchie nach der Bereitstellung<br />
Entwerfen der Domänenstruktur 177<br />
Hinweis Da Shortcutvertrauensstellungen zusätzlichen Verwaltungsaufwand bedeuten, sollten sie nur bei<br />
Bedarf implementiert werden. Sie sind nur dann nötig, wenn der Vertrauenspfad mehr als vier oder fünf<br />
Domänen umfasst und wenn Benutzer sich häufig an anderen Domänen als der eigenen anmelden oder auf<br />
darin befindliche Ressourcen zugreifen.<br />
Ihr Domänenplan sollte vor Beginn der Bereitstellung abgeschlossen sein, weil die Domänenkonfiguration<br />
nach der Bereitstellung nur noch schwer geändert werden kann. Bei Windows Server 2003 oder<br />
höher können Sie Domänen in einer Gesamtstruktur umbenennen, die auf der Funktionsebene Windows<br />
Server 2003 oder Windows Server 2008 ausgeführt wird. Wenn Sie Domänen umbenennen, können<br />
Sie eine Domäne aus einer Struktur in eine andere Innerhalb der Gesamtstruktur verschieben,<br />
haben jedoch nicht die Möglichkeit, die Gesamtstruktur-Stammdomäne zu ersetzen. Es ist außerdem<br />
nicht möglich, Domänen über das Domänenumbenennungstool der Gesamtstruktur hinzuzufügen oder<br />
daraus zu entfernen.<br />
Der Vorgang zur Domänenumbenennung ist komplex und seine Planung und Ausführung erfordert ein<br />
hohes Maß an Umsicht. Außerdem verhält sich der für eine vollständige Domänenumbenennung<br />
erforderliche Zeitraum direkt proportional zur Größe einer <strong>Active</strong> <strong>Directory</strong>-Gesamtstruktur in Bezug<br />
auf die Anzahl der Domänen, Domänencontroller und Mitgliedscomputer.<br />
Weitere Informationen Einzelheiten zum Umbenennen von Domänen finden Sie unter „Domain Rename<br />
Technical Reference“ unter http://technet2.microsoft.com/windowsserver/en/library/35e63f1e-f097-4c9ca788-efc840d781931033.mspx?mfr=true.<br />
Definieren des Domänenbesitzes<br />
Jeder der im AD DS-Entwurf enthaltenen Domänen müssen Sie einen Domänenbesitzer zuweisen. In<br />
den meisten Fällen sind die Domänenbesitzer Administratoren der Geschäftseinheit oder die Administratoren<br />
in der geografischen Region, in der die Domäne definiert wurde.<br />
Hinweis Wenn Sie eine dedizierte Stammdomäne einsetzen, sind die Domänenbesitzer der Domäne<br />
gleichzeitig die Gesamtstrukturbesitzer. Die einzigen echten Funktionen, die in einer dedizierten Stammdomäne<br />
durchgeführt werden, sind Gesamtstrukturfunktionen; es ist daher sinnvoll, dass die Gesamtstrukturbesitzer<br />
auch die Stammdomäne besitzen.<br />
Die Rolle des Domänenbesitzers ist die Verwaltung der einzelnen Domäne. Zu seinen Aufgaben zählen<br />
Folgende:<br />
• Erstellen von Sicherheitsrichtlinien auf Domänenebene Hierzu gehören Kennwortrichtlinien, Kontosperrungsrichtlinien<br />
und Kerberos-Ticketrichtlinien.<br />
• Entwerfen der Gruppenrichtlinienkonfiguration auf Domänenebene Der Domänenbesitzer kann die<br />
GPOs (Gruppenrichtlinienobjekte) für die gesamte Domäne entwerfen und das Recht zum Verknüpfen<br />
von GPOs und OUs an Administratoren auf OU-Ebene delegieren.<br />
• Erstellen der obersten OU-Struktur in der Domäne Nach der Erstellung der obersten OU-Struktur<br />
kann die Aufgabe zum Erstellen untergeordneter OUs den Administratoren auf OU-Ebene übertragen<br />
werden.<br />
• Delegieren administrativer Rechte innerhalb der Domäne Der Domänenbesitzer sollte die administrativen<br />
Richtlinien für die Domänenebene festlegen (inkl. Richtlinien zur Benennung von Schemata,<br />
Gruppenaufbau etc.) und anschließend Rechte an Administratoren auf OU-Ebene delegieren.
178 Kapitel 5: Entwerfen der <strong>Active</strong> <strong>Directory</strong>-Domänendienstestruktur<br />
• Verwalten der administrativen Gruppen auf Domänenebene Wie bereits erwähnt, müssen die Administratoren<br />
in jeder Domäne extrem vertrauenswürdig sein, da ihre Aktionen sich auf die ganze<br />
Gesamtstruktur auswirken können. Die Rolle des Domänenbesitzers besteht darin, die Mitgliedschaft<br />
der administrativen Gruppen auf Domänenebene einzuschränken und nach Möglichkeit<br />
administrative Rechte auf niedrigerer Ebene zu delegieren.<br />
Entwerfen von Domänen- und Gesamtstrukturfunktionsebenen<br />
Beim Entwerfen von AD DS müssen Sie außerdem entscheiden, welche Domänen- und Gesamtstrukturfunktionsebene<br />
implementiert werden soll.<br />
Auf Domänenfunktionsebene aktivierte Funktionen<br />
Tabelle 5.1 zeigt, welche Funktionen auf welcher Domänenfunktionsebene aktiviert sind. Außerdem<br />
werden die Betriebssysteme für Domänencontroller aufgeführt, die auf der jeweiligen Funktionsebene<br />
unterstützt werden.<br />
Tabelle 5.1<br />
Domänenfunktionsebenen<br />
Domänenfunktionsebene<br />
Windows 2000<br />
einheitlich<br />
Windows<br />
Server 2003<br />
Aktivierte Funktionen<br />
Alle <strong>Active</strong> <strong>Directory</strong>-Standardfunktionen und folgende Funktionen:<br />
• Universelle Gruppen aktiviert sowohl für Verteilergruppen als auch<br />
für Sicherheitsgruppen<br />
• Gruppenverschachtelung<br />
• Gruppenkonvertierung aktiviert<br />
• SID-Verlauf (Sicherheitskennung)<br />
Alle <strong>Active</strong> <strong>Directory</strong>-Standardfunktionen, alle Funktionen aus der Domänenfunktionsebene<br />
Windows 2000 einheitlich und folgende Funktionen:<br />
• Domänenumbenennung<br />
• Aktualisierung des Anmeldezeitstempels: Das lastLogonTimestamp-<br />
Attribut wird mit der letzten Anmeldezeit des Benutzers oder Computers<br />
aktualisiert<br />
• Die Möglichkeit, das Attribut userPassword als effektives Kennwort<br />
für inetOrgPerson- und User-Objekte festzulegen<br />
• Die Möglichkeit zum Umleiten der Container Users und Computers<br />
• Die Möglichkeit zum Speichern von Richtlinien des Autorisierungs-<br />
Managers in AD DS<br />
• Eingeschränkte Delegierung, sodass Anwendungen die sichere<br />
Delegierung von Benutzeranmeldeinformationen durch das Kerberos-Authentifizierungsprotokoll<br />
nutzen können<br />
• Ausgewählte Authentifizierung, mit deren Hilfe die Benutzer und<br />
Gruppen aus einer vertrauten Gesamtstruktur festgelegt werden können,<br />
die sich an Ressourcenservern in einer vertrauenden Gesamtstruktur<br />
authentifizieren dürfen<br />
Unterstützte Betriebssysteme<br />
für Domänencontroller<br />
Windows 2000<br />
Windows Server 2003<br />
Windows Server 2008<br />
Windows Server 2003<br />
Windows Server 2008
Entwerfen von Domänen- und Gesamtstrukturfunktionsebenen 179<br />
Tabelle 5.1<br />
Domänenfunktionsebenen (Fortsetzung)<br />
Domänenfunktionsebene<br />
Windows<br />
Server 2008<br />
Aktivierte Funktionen<br />
Alle <strong>Active</strong> <strong>Directory</strong>-Standardfunktionen, alle Funktionen aus der Domänenfunktionsebene<br />
Windows Server 2003 und folgende Funktionen:<br />
• Unterstützung der DFS-Replikation (Distributed File System) für<br />
SYSVOL<br />
• Unterstützung von AES 128 und 256 (Advanced Encryption Services)<br />
für das Kerberos-Protokoll<br />
• Informationen zur letzten interaktiven Anmeldung: die Uhrzeit der<br />
letzten erfolgreichen interaktiven Anmeldung eines Benutzers, die<br />
Arbeitsstation, an der er sich angemeldet hat, und die Anzahl fehlgeschlagener<br />
Anmeldeversuche seit der letzten Anmeldung<br />
• Detaillierte Kennwortrichtlinien, die eine Angabe von Kennwort- und<br />
Kontosperrungsrichtlinien für Benutzer und globale Sicherheitsgruppen<br />
in einer Domäne ermöglichen<br />
Unterstützte Betriebssysteme<br />
für Domänencontroller<br />
Windows Server 2008<br />
Auf Gesamtstrukturfunktionsebene aktivierte Funktionen<br />
Tabelle 5.2 zeigt, welche Funktionen auf welcher Gesamtstrukturfunktionsebene aktiviert sind.<br />
Außerdem werden die Betriebssysteme für Domänencontroller aufgeführt, die auf der jeweiligen<br />
Funktionsebene unterstützt werden.<br />
Tabelle 5.2<br />
Gesamtstrukturfunktionsebenen<br />
Gesamtstrukturfunktionsebene<br />
Aktivierte Funktionen<br />
Unterstützte Domänencontroller<br />
Windows 2000 Alle <strong>Active</strong> <strong>Directory</strong>-Standardfunktionen Windows Server 2008<br />
Windows Server 2003<br />
Windows 2000<br />
Windows<br />
Server 2003<br />
Alle <strong>Active</strong> <strong>Directory</strong>-Standardfunktionen und folgende Funktionen:<br />
• Vertrauensstellung mit einer anderen Gesamtstruktur<br />
• Domänenumbenennung<br />
• Replikation verknüpfter Werte (Änderungen an der Gruppenmitgliedschaft<br />
zum Speichern und Replizieren von Werten für einzelne Mitglieder<br />
statt Replikation der gesamten Mitgliedschaft als<br />
abgeschlossene Einheit)<br />
• Die Möglichkeit zur Bereitstellung eines schreibgeschützten Domänencontrollers<br />
(RODC) unter Windows Server 2008<br />
• Verbesserte KCC-Algorithmen (Knowledge Consistency Checker)<br />
und Skalierbarkeit<br />
• Die Möglichkeit zum Erstellen von Instanzen der dynamischen Erweiterungsklasse<br />
namens dynamicObject in einer Domänenverzeichnispartition<br />
• Die Möglichkeit zum Konvertieren einer inetOrgPerson-Objektinstanz<br />
in eine User-Objektinstanz und umgekehrt<br />
• Deaktivieren und Umdefinieren von Attributen und Klassen im<br />
Schema<br />
Windows Server 2003<br />
Windows Server 2008
180 Kapitel 5: Entwerfen der <strong>Active</strong> <strong>Directory</strong>-Domänendienstestruktur<br />
Tabelle 5.2<br />
Gesamtstrukturfunktionsebenen (Fortsetzung)<br />
Gesamtstrukturfunktionsebene<br />
Windows<br />
Server 2008<br />
Aktivierte Funktionen<br />
Bietet alle Funktionen, die auf der Gesamtstrukturebene<br />
Windows Server 2003 bereitstehen, jedoch keine zusätzlichen Funktionen;<br />
alle Domänen, die der Gesamtstruktur nachträglich hinzugefügt<br />
werden, werden jedoch standardmäßig auf der Domänenfunktionsebene<br />
Windows Server 2008 ausgeführt<br />
Unterstützte Domänencontroller<br />
Windows Server 2008<br />
Implementieren einer Domänen- und Gesamtstrukturfunktionsebene<br />
In den meisten Fällen sollten Sie, basierend auf den Betriebssystemen der Domänencontroller, die eingesetzt<br />
werden oder noch eingesetzt werden sollen, die höchstmögliche Domänen- und Gesamtstrukturfunktionsebene<br />
implementieren. Wenn Sie eine neue Windows Server 2008-Gesamtstruktur einsetzen<br />
und nicht planen, Windows Server 2003-Domänencontroller in die Gesamtstruktur aufzunehmen,<br />
sollten Sie die Domänen- und Gesamtstrukturfunktionsebene auf Windows Server 2008 einstellen.<br />
Wenn Sie eine vorhandene Domäne aktualisieren, sollten Sie die Domänenfunktionsebene heraufstufen,<br />
nachdem Sie die letzten Domänencontroller unter Windows 2000 oder Windows Server 2003 entfernt<br />
haben. Sobald alle Domänen auf die Funktionsebene Windows Server 2008 heraufgestuft wurden,<br />
sollten Sie die Gesamtstrukturfunktionsebene auf dieselbe Ebene heraufstufen.<br />
Auf der DVD Mithilfe der Registerkarte Domain Design Decisions im Arbeitsblatt<br />
ADDS_DesignDocument.xlsx auf der CD können Sie Ihre Entscheidungen zum Domänenentwurf und mithilfe<br />
der Registerkarte AD Domain Design die Entwürfe zu Gesamtstruktur und Domänen dokumentieren.<br />
Entwerfen der DNS-Infrastruktur<br />
Nachdem Sie entschieden haben, wie viele Domänen Sie bereitstellen müssen, und die Domänenhierarchie<br />
festgelegt haben, müssen Sie im nächsten Schritt die DNS-Infrastruktur für Ihr Netzwerk entwerfen.<br />
AD DS unter Windows Server 2008 erfordern DNS, da jeder Domänenname ein Teil des<br />
DNS-Namespaces ist. Als wichtige Entwurfsentscheidung muss festgelegt werden, wo AD DS-<br />
Domänen innerhalb dieses Namespaces platziert werden. Zusätzlich zum Namespace müssen Sie<br />
auch die DNS-Serverkonfiguration entwerfen. Wenn das Unternehmen bereits eine DNS-Infrastruktur<br />
verwendet, müssen Sie möglicherweise Ihren Namespace an den aktuellen Namespace anpassen<br />
und auch die Windows Server 2008-DNS-Server für die Zusammenarbeit mit den vorhandenen DNS-<br />
Servern konfigurieren.<br />
Auf der DVD Der erste Schritt zum Entwerfen der DNS-Infrastruktur besteht darin, die aktuelle DNS-Infrastruktur<br />
zu untersuchen. Sie können die Arbeitsblätter DNS Zone Configuration und DNS Server Configuration<br />
in CurrentNetworkEnvironment.xslx zum Dokumentieren der DNS-Zonenkonfiguration verwenden.<br />
Entwurf des Namespaces<br />
Nachdem Sie die Informationen zur aktuellen DNS-Infrastruktur gesammelt haben, können Sie mit<br />
dem Entwurf des AD DS-Namespaces beginnen.
Entwerfen der DNS-Infrastruktur 181<br />
Interne und externe DNS-Namespaces<br />
Eine der ersten Fragen, die Sie zu Beginn des Namespace-Entwurfs klären müssen, ist, ob derselbe<br />
DNS-Namespace intern und extern verwendet werden soll.<br />
Verwenden desselben Namespaces intern und extern Einige Unternehmen entscheiden sich dafür,<br />
denselben DNS-Namen intern wie auch extern einzusetzen. In diesem Fall hat ein Unternehmen nur<br />
einen DNS-Namen im Internet registriert. Wie in Abbildung 5.10 gezeigt, könnte Adatum beschließen,<br />
Adatum.com sowohl intern als auch extern zu verwenden.<br />
Interner Namespace<br />
Adatum.com<br />
Externer Namespace<br />
Adatum.com<br />
DNS-Server<br />
Adatum.com-Zonendatei<br />
Interne Hosteinträge<br />
Firewall<br />
DNS-Server<br />
Adatum.com-Zonendatei<br />
Externe Hosteinträge<br />
Adatum.com<br />
Abbildung 5.10<br />
Verwenden eines einzigen DNS-Namespaces<br />
Sicherheitswarnung Unabhängig davon, ob Sie intern wie extern dieselben oder unterschiedliche Namespaces<br />
verwenden, sollte Ihr interner DNS-Server niemals für externe Clients zugänglich sein. Der interne<br />
DNS-Server hostet alle Domänencontrollereinträger sowie möglicherweise die Einträge für alle Computer in<br />
Ihrem Netzwerk (wenn dynamisches DNS aktiviert ist). Die einzigen Einträge, die vom Internet aus zugänglich<br />
sein sollten, sind die Einträge für Ressourcen, die vom Internet aus zugänglich sein müssen. Für die meisten<br />
Unternehmen besteht die Liste extern verfügbarer Ressourcen aus den Adressen für die SMTP-Server, Webserver<br />
und möglicherweise einige andere Server. Die Verwendung desselben Namespaces bedeutet nicht,<br />
dass Sie nur einen DNS-Server oder eine Zonendatei intern und extern einsetzen sollten.<br />
Der Hauptvorteil der Verwendung desselben Namespaces intern wie extern liegt darin, dass dem Endbenutzer<br />
eine konsistente Benutzerumgebung bereitgestellt wird. Der Benutzer verwendet immer<br />
denselben Domänennamen für jede Verbindung mit dem Unternehmensnetzwerk. Die SMTP-Adresse<br />
des Benutzers und der UPN (User Principal Name) verwenden denselben Domänennamen wie die<br />
öffentliche Website. Wenn der Benutzer auf webbasierte Ressourcen zugreifen muss, kann er denselben<br />
Namen sowohl intern als auch extern verwenden (auch wenn er nicht auf denselben Server<br />
zugreift). Ein weiterer Vorteil der Nutzung desselben Namespaces liegt darin, dass nur ein DNS-<br />
Name registriert werden muss.<br />
Die Hauptnachteile der Verwendung desselben Namespaces hängen mit den Themen Sicherheit und<br />
Verwaltungsaufwand zusammen. Viele Unternehmen möchten ihren internen DNS-Namen nicht im<br />
Internet preisgeben und betrachten dies als potenzielles Sicherheitsrisiko. Die Verwendung desselben<br />
Namespaces intern wie extern kann die DNS-Verwaltung verkomplizieren, da DNS-Administratoren<br />
jetzt zwei verschiedene Zonen mit demselben Domänennamen verwalten müssen. Die Verwendung<br />
desselben Namens kann auch einige Clientkonfigurationen komplizierter gestalten.
182 Kapitel 5: Entwerfen der <strong>Active</strong> <strong>Directory</strong>-Domänendienstestruktur<br />
Beispielsweise können die meisten Webproxyclients so konfiguriert werden, dass sie angegebene<br />
Domänennamen als intern interpretieren, sodass der Client sich direkt mit ihnen verbindet, ohne über<br />
den Proxyserver zu gehen. Die Verwendung desselben Namens kann bei dieser Konfiguration zu Verwicklungen<br />
führen.<br />
Verwenden eines unterschiedlichen internen und externen Namespaces Die meisten Unternehmen<br />
verwenden intern und extern unterschiedliche Namespaces. Beispielsweise kann ein Unternehmen<br />
beschließen, Adatum.com als externen Namespace und einen Namen wie Adatum.net oder<br />
AD.Adatum.com als internen Namespace zu verwenden. (Siehe Abbildung 5.11.)<br />
Hinweis Jeder Unterschied in den Domänennamen heißt, dass Sie intern einen anderen Namespace<br />
verwenden. Wenn Sie beispielsweise Adatum.com als externen Namespace einsetzen, sind Adatum.net,<br />
ADAdatum.com und AD.Adatum.com alles unterschiedliche Namespaces. AD.Adatum.com erfordert eine<br />
andere DNS-Konfiguration als die anderen beiden, alle drei sind jedoch eigenständig.<br />
Interner Namespace<br />
Adatum.net<br />
Externer Namespace<br />
Adatum.com<br />
DNS-Server<br />
Adatum.net-Zonendatei<br />
Interne Hosteinträge<br />
Firewall<br />
DNS-Server<br />
Adatum.com-Zonendatei<br />
Externe Hosteinträge<br />
Abbildung 5.11<br />
Adatum.net<br />
Verwenden separater Namespaces intern und extern<br />
Oft wird der eigenständige interne Namespace aus Sicherheitsgründen ausgewählt, um zu verhindern,<br />
dass der interne Namespace im Internet preisgegeben wird. Auch sind die DNS- und Proxykonfigurationen<br />
mit dem eigenständigen Namespace leichter zu verwalten. Der Hauptnachteil der Verwendung<br />
eines eigenständigen Namespaces besteht darin, dass das Unternehmen möglicherweise zusätzliche<br />
DNS-Namen bei den Vergabestellen für Internetnamen registrieren muss. Auch wenn die Registrierung<br />
des internen DNS-Namen bei den Vergabestellen für Internetnamen nicht zwingend erforderlich<br />
ist, wird sie dennoch empfohlen. Wenn Sie den Namen nicht registrieren und ein anderes Unternehmen<br />
kommt Ihnen zuvor, können Ihre Benutzer keine Internetressourcen mit dem Domänennamen des<br />
internen Namespaces mehr finden.<br />
Optionen für den Namespace-Entwurf<br />
Die Namen, die Sie letztlich für Ihren DNS-Namespace wählen, sind flexibel und werden größtenteils<br />
durch die aktuelle DNS-Infrastruktur festgelegt. Wenn noch keine DNS-Infrastruktur vorliegt<br />
und Sie einen oder mehrere Domänennamen zweiter Ebene bereits für Ihr Unternehmen registriert<br />
haben, ist der Entwurf des DNS-Namespaces ziemlich einfach. In diesem Fall können Sie den registrierten<br />
Domänennamen zweiter Ebene als Stammdomänennamen wählen und anschließend untergeordnete<br />
Domänennamen für zusätzliche Domänen in derselben Struktur oder zusätzliche Domänennamen<br />
zweiter Ebene für zusätzliche Strukturen in der Gesamtstruktur delegieren. In Abbildung 5.12<br />
wird ein Beispiel dargestellt.
Entwerfen der DNS-Infrastruktur 183<br />
Firewall<br />
INTERNET<br />
Internet-DNS-Server<br />
Autorisierender<br />
DNS-Server für<br />
Adatum.com<br />
Autorisierender<br />
DNS-Server für<br />
Fabrikam.com<br />
Adatum.com<br />
Fabrikam.com<br />
Autorisierender<br />
DNS-Server für<br />
NA.Adatum.com<br />
Autorisierender<br />
DNS-Server für<br />
EMEA.Adatum.com<br />
NA.Adatum.com<br />
EMEA.Adatum.com<br />
Bedingte Weiterleitungen<br />
Weiterleitungen<br />
Delegierung<br />
Abbildung 5.12<br />
Entwurf des DNS-Namespaces ohne vorhandene DNS-Infrastruktur<br />
Abbildung 5.12 zeigt außerdem, wie die DNS-Server in diesem Szenario konfiguriert würden. Der<br />
DNS-Server von Adatum.com ist für seine Domäne autorisierend und enthält Delegierungseinträge an<br />
NA.Adatum.com und EMEA.Adatum.com sowie bedingte Weiterleitungen oder Stubzonen für die<br />
Domäne Fabrikam.com. Der DNS-Server von Fabrikam.com ist für seine Zone autorisierend und enthält<br />
bedingte Weiterleitungen oder Stubzonen für Adatum.com. Zur Auflösung von Internetadressen<br />
könnten die Strukturstammserver mit einer Weiterleitung konfiguriert werden, die auf einen Server im<br />
Internet verweist. Alternativ dazu könnten sie mit Internetstammhinweisen konfiguriert werden.<br />
Interne und externe Namespaces<br />
Das Problem der Verwendung eines internen Namespaces, der sich vom externen, öffentlichen<br />
Namespace unterscheidet, kann innerhalb des Unternehmens zu zahlreichen Diskussionen führen.<br />
In manchen Fällen besteht die technisch beste Lösung darin, intern und extern verschiedene<br />
Namespaces zu verwenden; möglicherweise setzen Entscheidungsträger des Unternehmens jedoch<br />
allem, was sich vom Internetnamespace unterscheidet, erheblichen Widerstand entgegen. Oft ist<br />
Markenpolitik der Grund hierfür: Einige Unternehmen haben viele Jahre und Millionen Dollar in die<br />
Erstellung eines Markennamens gesteckt, den Kunden sofort wiedererkennen. Die Websites des<br />
Unternehmens und die SMTP-Adressen aller Benutzer spiegeln diesen Namespace wider.
184 Kapitel 5: Entwerfen der <strong>Active</strong> <strong>Directory</strong>-Domänendienstestruktur<br />
Einige Unternehmen verfügen vielleicht sogar über mehrere öffentliche Identitäten mit mehreren<br />
Geschäftseinheiten innerhalb des Unternehmens, die alle einen eigenen Markennamen besitzen.<br />
Die meiste Zeit über möchten die Benutzer des Unternehmens der Welt keinen anderen Namen als<br />
ihren bekannten Unternehmensnamen präsentieren.<br />
Die gute Nachricht lautet, dass Sie intern und extern verschiedene Namespaces verwenden und<br />
dennoch extern nur einen Namespace anzeigen können. Beispielsweise könnte Adatum sich entschließen,<br />
Adatum.net als internen Namespace und Adatum.com als öffentlichen Namespace zu<br />
verwenden. Der interne Namespace kann beinahe vollständig vor jedem außer den Netzwerkadministratoren<br />
verborgen werden. Die SMTP-Adressen für alle Benutzer können dennoch alias@Adatum.com<br />
lauten, und alle Webserver können das Websuffix Adatum.com verwenden. Falls erforderlich<br />
kann der UPN für alle Benutzer sogar als alias@Adatum.com konfiguriert werden, selbst wenn<br />
ein anderer interner Namespace verwendet wird.<br />
Der DNS-Entwurf kann etwas komplizierter ausfallen, wenn bereits eine interne DNS-Infrastruktur<br />
vorhanden ist. In diesem Fall stehen mindestens drei Optionen für die Integration in die aktuelle Infrastruktur<br />
zur Verfügung. Die erste Option besteht darin, nur die aktuelle DNS-Infrastruktur einschließlich<br />
des Domänennamens für AD DS zu verwenden. Beispielsweise könnte Adatum ADatum.net als<br />
internen Namespace verwenden und BIND-DNS-Server zum Bereitstellen des DNS-Dienstes einsetzen.<br />
Das Unternehmen könnte beschließen, Adatum.net als AD DS-Domänennamen zu nutzen und<br />
weiterhin die aktuellen DNS-Server zu verwenden (vorausgesetzt, sie unterstützen SRV-Einträge<br />
(Service Locator)). Alternativ dazu könnte das Unternehmen sich für denselben Domänennamen entscheiden,<br />
den DNS-Dienst jedoch auf einen DNS-Server unter Windows Server 2008 verschieben.<br />
In beiden Fällen ist nur ein geringer Aufwand an Neukonfiguration der DNS-Server erforderlich.<br />
Die DNS-Server können weiterhin dieselben Weiterleitungen oder Stammhinweise für die Internetnamensauflösung<br />
verwenden.<br />
Hinweis Bei der Konfiguration der DNS-Server für die Internetnamensauflösung stehen zwei Optionen zur<br />
Verfügung: Sie können Weiterleitungen verwenden oder die DNS-Server mit Stammhinweisen konfigurieren.<br />
Die Verwendung von Weiterleitungen ist im Allgemeinen sicherer, weil Sie den internen DNS-Server für<br />
die Weiterleitung an einen oder zwei externe DNS-Server konfigurieren können. Auf diese Weise können Sie<br />
die Firewallkonfiguration vereinfachen. Der Einsatz von Stammhinweisen führt eventuell zu verbesserter<br />
Redundanz, weil Sie damit eine einzelne Fehlerstelle vermeiden. Wenn ein Stammhinweisserver nicht<br />
reagiert, wendet der DNS-Server sich einfach an einen anderen.<br />
Die zweite Option für eine bereits vorhandene DNS-Infrastruktur besteht darin, einen anderen DNS-<br />
Namen für AD DS-Domänen zu wählen. Beispielsweise könnte Adatum den Namen Adatum.net als<br />
aktuellen internen DNS-Namespace verwenden und sich für die Verwendung von AD DS-Domänen<br />
mit dem Domänennamen ADAdatum.net entscheiden. (Siehe Abbildung 5.13.)<br />
In diesem Fall kann ein DNS-Server als primärer Namenserver für ADAdatum.net mit Delegierungseinträgen<br />
für NA.ADAdatum.net und EMEA.ADAdatum.com eingesetzt werden. Bei diesem DNS-Server<br />
kann es sich um den autorisierenden Server für Adatum.net oder auch um einen zusätzlichen<br />
DNS-Server handeln. Wenn Sie für die AD DS-Domäne einen zusätzlichen DNS-Server bereitstellen,<br />
müssen Sie die Weiterleitungen und Stammhinweise für diesen DNS-Server konfigurieren.
Entwerfen der DNS-Infrastruktur 185<br />
Firewall<br />
INTERNET<br />
Internet-DNS-Server<br />
Windows Server 2008-<br />
DNS-Server,<br />
autorisierend für<br />
ADAdatum.net<br />
BIND-DNS-Server,<br />
autorisierend für<br />
Adatum.net<br />
ADAdatum.net<br />
Autorisierender<br />
DNS-Server für<br />
NA.ADAdatum.net<br />
Autorisierender<br />
DNS-Server für<br />
EMEA.ADAdatum.net<br />
NA.ADAdatum.net<br />
EMEA.ADAdatum.net<br />
Bedingte Weiterleitungen<br />
Weiterleitungen<br />
Delegierung<br />
Abbildung 5.13<br />
Konfigurieren von DNS für die Verwendung eines anderen internen Namespaces<br />
Bei einem dritten DNS-Entwurf, den Sie mit einer vorhandenen DNS-Infrastruktur nutzen können,<br />
sind die AD DS-Domänen untergeordnete Domäne des vorhandenen internen Namespace. Adatum<br />
könnte beispielsweise beschließen, eine Unterdomäne AD.Adatum.net als AD DS-Domäne zu erstellen.<br />
(Siehe Abbildung 5.14.) In diesem Fall wird der DNS-Server für Adatum.net mit einem Delegierungseintrag<br />
für die Domäne AD.Adatum.net konfiguriert. Der DNS-Server von AD.Adatum.net wird<br />
dann mit einem Weiterleitungseintrag konfiguriert, der auf den DNS-Server von Adatum.net verweist.<br />
Integration in die aktuelle DNS-Infrastruktur<br />
Fast alle großen Unternehmen haben bereits eine DNS-Infrastruktur eingerichtet. Wenn das Unternehmen<br />
<strong>Active</strong> <strong>Directory</strong> bereits verwendet, ist eine DNS-Infrastruktur eingerichtet, um <strong>Active</strong><br />
<strong>Directory</strong> zu unterstützen. Zusätzlich verwenden die meisten großen Unternehmen DNS für die<br />
Namensauflösung für UNIX-Server oder zum Bereitstellen der DNS-Dienste, die Benutzer für den<br />
Internetzugriff benötigen. In vielen Fällen werden die DNS-Dienste von BIND-DNS-Servern bereitgestellt,<br />
die auf UNIX-Servern ausgeführt werden. Die meisten Unternehmen mit einer vorhandenen<br />
BIND-DNS-Infrastruktur werden die aktuelle Infrastruktur wahrscheinlich nicht einfach entfernen<br />
und alles auf Windows Server 2008 verschieben. Das bedeutet, dass die DNS-Anforderungen für AD<br />
DS mit der aktuellen DNS-Infrastruktur zusammen funktionieren müssen.
186 Kapitel 5: Entwerfen der <strong>Active</strong> <strong>Directory</strong>-Domänendienstestruktur<br />
INTERNET<br />
Firewall<br />
Internet-DNS-Server<br />
Windows Server 2008-<br />
DNS-Server,<br />
autorisierend für<br />
AD.Adatum.net<br />
BIND-DNS-Server,<br />
autorisierend für<br />
Adatum.net<br />
ADAdatum.net<br />
Autorisierender<br />
DNS-Server für<br />
NA.AD.Adatum.net<br />
Autorisierender<br />
DNS-Server für<br />
EMEA.AD.Adatum.net<br />
NA.AD.Adatum.net<br />
EMEA.AD.Adatum.net<br />
Bedingte Weiterleitungen<br />
Weiterleitungen<br />
Delegierung<br />
Abbildung 5.14 Konfigurieren von DNS durch Hinzufügen einer untergeordneten Domäne zum vorhandenen<br />
internen Namespace<br />
Für die Integration gibt es zwei Optionen, wenn die aktuelle BIND-DNS-Infrastruktur beibehalten<br />
werden soll. Die erste Option besteht darin, Nicht-Microsoft-DNS-Server zu verwenden und die<br />
erforderlichen DNS-Zoneninformationen für AD DS auf diesen Servern zu hosten. Dies ist sicher eine<br />
Möglichkeit. Die einzige absolute Anforderung an die Integration von DNS und AD DS ist, dass der<br />
Server SRV-Einträge unterstützen muss. Außerdem werden Sie wahrscheinlich sicherstellen wollen,<br />
dass die DNS-Server auch dynamische Aktualisierungen (besonders, wenn Sie eine Registrierung<br />
aller Client-IP-Adressen in DNS planen) und inkrementelle Zonenübertragungen unterstützen. Wenn<br />
in der aktuellen Infrastruktur BIND-DNS-Server eingesetzt werden, unterstützen BIND 8.1.2-Server<br />
SRV-Einträge und dynamische Aktualisierungen. Zusätzlich zu der von BIND 8.1.2 bereitgestellten<br />
Unterstützung unterstützt BIND 8.2.1 auch inkrementelle Zonenübertragugnen. Solange Sie eine dieser<br />
neueren BIND-Versionen verwenden, können Sie weiterhin BIND-DNS-Server einsetzen.<br />
Auswählen des zu verwendenden DNS-Servers<br />
Die Frage, ob DNS-Server unter Windows Server oder Nicht-Microsoft-DNS-Server verwendet<br />
werden sollen, kann zu erhitzten Diskussionen ohne zufriedenstellende Lösung führen.
Entwerfen der DNS-Infrastruktur 187<br />
Große Unternehmen haben viele Jahre lang BIND-DNS-Server verwendet; ihre DNS-Administratoren<br />
sind oft sehr sachkundig und erfahren und geben die DNS-Dienste nur unwillig an eine<br />
Microsoft-Plattform ab. Oft haben diese Administratoren Bedenken in Bezug auf die Stabilität,<br />
Zuverlässigkeit und Sicherheit von DNS auf Microsoft-Servern.<br />
Eine Möglichkeit, in dieser Diskussion Position zu beziehen, ist, dass es eigentlich keine Rolle<br />
spielt, wie der DNS-Dienst bereitgestellt wird. Solange die DNS-Server SRV-Einträge unterstützen,<br />
können Windows Server 2008 AD DS mit einem beliebigen DNS-Server zusammenarbeiten.<br />
Absolut entscheidend ist jedoch, dass der DNS-Dienst immer verfügbar sein muss. Wenn der DNS-<br />
Dienst je während der Geschäftszeiten heruntergefahren wird, können Clients oder Server keine<br />
AD DS-Domänencontroller mehr finden. Die Schlüsselfrage lautet also, welcher DNS-Server die<br />
Zuverlässigkeit bietet, die für AD DS erforderlich ist.<br />
Sowohl UNIX- als auch Windows-Server können sehr zuverlässig sein, sofern sie richtig konfiguriert<br />
werden. Selbst die Diskussion über die Zuverlässigkeit verschiedener Server scheint jedoch<br />
den Kern der Sache nicht zu treffen. Kein einzelner Server kann zu hundert Prozent zuverlässig<br />
sein. Eine Frage, die man sich daher stellen sollte, ist, welcher DNS-Server die besten Optionen<br />
zum Beseitigen einer Einzelfehlerquelle und zum Verteilen der Dienstverfügbarkeit über mehrere<br />
Server bietet. Windows Server 2008 stellt hervorragende Optionen für die Bereitstellung dieser<br />
Zuverlässigkeit über mehrere Server bereit, vor allem dann, wenn AD DS-integrierte Zonen verwendet<br />
werden. Mit AD DS-integrierten Zonen kann jeder Domänencontroller, der gleichzeitig als<br />
DNS-Server eingesetzt wird, eine beschreibbare Kopie der DNS-Informationen verwalten. AD DSintegrierte<br />
Zonen gehen auch gegen die Sicherheitsbedenken an, indem sie sichere Aktualisierungen<br />
implementieren.<br />
Viele Unternehmen haben sich dafür entschieden, den BIND-DNS-Servern treu zu bleiben, und<br />
diese Server haben die erforderliche Funktionalität ohne Probleme bereitgestellt. Einige Unternehmen<br />
haben beschlossen, den primären DNS-Dienst auf Microsoft DNS-Server zu verschieben und<br />
die BIND-DNS-Server als sekundäre Namenserver zu behalten. Fast jede Konfiguration funktioniert,<br />
und solange die DNS-Server immer verfügbar sind, spielt es wirklich keine Rolle, für welche<br />
Option ein Unternehmen sich entscheidet.<br />
Die zweite Option zur Integration von Windows Server 2008 DNS in BIND besteht darin, beide Arten<br />
von DNS einzusetzen. Viele Unternehmen nutzen die BIND-DNS-Server als primäre Namenserver<br />
für den internen Namespace. Beispielsweise könnte Adatum BIND zur Namensauflösung für<br />
Adatum.com verwenden. Wenn Adatum beschließt, AD DS einzusetzen und DNS-Server unter<br />
Windows Server 2008 zu verwenden, stehen dem Unternehmen eine Reihe von Optionen zur Verfügung.<br />
Wenn Adatum Adatum.com als AD DS-DNS-Namen nutzen möchte, kann das Unternehmen<br />
die primäre Zone auf den DNS-Server unter Windows Server 2008 verschieben und den BIND-DNS-<br />
Server als sekundären Namenserver beibehalten. Der DNS-Server unter Windows Server 2008 könnte<br />
jedoch auch der sekundäre Namenserver für den BIND-DNS-Server sein.<br />
Hinweis Sie können BIND-DNS-Server und DNS-Server unter Windows Server 2008 für denselben<br />
Namespace verwenden. Beide DNS-Server können entweder als primärer oder als sekundärer Namenserver<br />
für die Zoneninformationen des jeweils anderen fungieren. Wenn Sie jedoch AD DS-integrierte Zonen<br />
verwenden möchten, muss die BIND DNS-Zone als sekundäre Zone konfiguriert werden. Eine AD DS-integrierte<br />
Zone kann keine sekundäre Zone sein.
188 Kapitel 5: Entwerfen der <strong>Active</strong> <strong>Directory</strong>-Domänendienstestruktur<br />
Adatum kann auch beschließen, AD DS mit einem anderen Domänennamen als dem, der derzeit auf<br />
den BIND-DNS-Servern verwendet wird, bereitzustellen. Beispielsweise kann das Unternehmen sich<br />
entscheiden, Adatum.net als AD DS-DNS-Namen zu nutzen. In diesem Fall können die DNS-Server<br />
unter Windows Server 2008 als autorisierende Server für Adatum.net und die BIND-Server als autorisierend<br />
für Adatum.com konfiguriert werden. Der DNS-Server unter Windows Server 2008 kann<br />
anschließend mit einer bedingten Weiterleitung an den BIND-DNS-Server für Adatum.com konfiguriert<br />
werden.<br />
Hinweis Der Abschnitt zum Planen des DNS-Namespaces weiter oben in diesem Kapitel hat eine Reihe<br />
von möglichen Szenarios für die Bereitstellung von DNS-Namespaces aufgezeigt. Die im Abschnitt zur<br />
Namespaceplanung erörterten DNS-Server sind im Wesentlichen austauschbar: Alle DNS-Server könnten<br />
BIND-Server oder DNS-Server unter Windows Server sein. Theoretisch könnten Sie Windows Server 2008<br />
DNS sogar zum Hosten des externen DNS-Namens verwenden und BIND DNS für AD DS-Domänen einsetzen.<br />
Entwerfen der Struktur von Organisationseinheiten<br />
Nach dem Abschluss des Entwurfs auf Domänenebene besteht der nächste Schritt darin, einen OU-<br />
Entwurf für jede Domäne zu erstellen. Wie in Kapitel 2, „<strong>Active</strong> <strong>Directory</strong>-Domänendienstkomponenten“,<br />
bereits beschrieben wurde, werden OUs zum Erstellen einer hierarchischen Struktur innerhalb<br />
einer Domäne verwendet. Mithilfe dieser Hierarchie können administrative Aufgaben delegiert<br />
oder eine Reihe von Gruppenrichtlinieneinstellungen auf eine Sammlung von Objekten angewendet<br />
werden.<br />
Organisationseinheiten und der AD DS-Entwurf<br />
Beim Entwerfen der OU-Struktur stellen Sie eine Sammlung von Objekten zusammen, um diese<br />
Objekte auf dieselbe Weise zu verwalten. Beispielsweise soll ein gemeinsamer Satz an Desktopeinstellungen<br />
für alle Benutzer in einer bestimmten Abteilung konfiguriert werden. Indem Sie alle<br />
Benutzer in einer OU gruppieren, können Sie eine Gruppenrichtlinie auf diese OU anwenden, die den<br />
Benutzerdesktop automatisch konfiguriert. Außerdem können Sie Objekte gruppieren, um dieser<br />
Objektgruppe einen Administrator zuzuweisen. Wenn Sie beispielsweise eine Außenstelle mit einem<br />
lokalen Administrator besitzen, können Sie eine OU erstellen, alle Benutzer- und Computerobjekte in<br />
der Außenstelle in diese OU platzieren und anschließend die Verwaltung dieser OU an den lokalen<br />
Administrator delegieren.<br />
OUs verfügen über mehrere Eigenschaften:<br />
• Der OU-Entwurf wirkt sich nicht auf den Entwurf des DNS-Namespaces aus. OUs erhalten<br />
Verzeichnisnamen innerhalb eines DNS-Namespaces. Beispielsweise kann eine OU den definierten<br />
Namen OU=Manager,DC=Adatum,DC=com besitzen. In diesem Fall lautet der DNS-<br />
Name Adatum.com, und die OU-Namen sind LDAP-Namen innerhalb des DNS-Namespaces.<br />
• OUs können innerhalb anderer OUs erstellt werden. Standardmäßig werden administrative Rechte<br />
und Gruppenrichtlinieneinstellungen, die für OUs höherer Ebenen eingestellt werden, von untergeordneten<br />
OUs übernommen. Dieses Standardverhalten kann geändert werden.<br />
• OUs sind für Endbenutzer transparent. Wenn ein Benutzer AD DS nach einem beliebigen Objekt<br />
durchsucht, fragt die Benutzeranwendung die Information vom globalen Katalog ab. Der Benutzer<br />
muss die OU-Struktur nicht kennen, um sich anzumelden oder Objekte in AD DS zu finden.
Entwerfen der Struktur von Organisationseinheiten 189<br />
• Im Gegensatz zu den anderen AD DS-Komponenten wie Domänen und Gesamtstrukturen kann<br />
die OU-Struktur nach der Bereitstellung leicht geändert werden. Auch ist zum Verschieben von<br />
Objekten zwischen OUs nur ein Rechtsklick auf das Objekt und die Auswahl der Option Verschieben<br />
aus dem Kontextmenü erforderlich.<br />
Achtung Auch wenn es einfach ist, Objekte zwischen OUs zu verschieben und die OU-Struktur zu verändern,<br />
müssen Sie dennoch die Auswirkungen solcher Änderungen beachten. Wenn Sie einen Benutzer von<br />
einer OU in eine andere verschieben, ändern sich die auf OU-Ebene angewandten Gruppenrichtlinienobjekte.<br />
Wenn Sie OUs innerhalb der Domäne verschieben, müssen Sie berücksichtigen, wie übernommene<br />
Administratorberechtigungen und Gruppenrichtlinienobjekte auf die verschobene OU angewendet<br />
werden.<br />
Entwerfen einer OU-Struktur<br />
In den meisten Unternehmen besitzen Sie ein erhebliches Maß an Flexibilität beim Erstellen des OU-<br />
Entwurfs. Beim Entwerfen der OUs für die einzelnen Domänen sind jedoch eine Reihe von Faktoren<br />
zu berücksichtigen.<br />
Unternehmensstrukturen und der OU-Entwurf<br />
Die erste Tendenz beim Erstellen einer OU-Struktur könnte sein, das Organisationsschema des<br />
Unternehmens nachzubilden. In manchen Unternehmen kann dies funktionieren, in anderen Unternehmen<br />
führt dieser Ansatz jedoch zu einer ineffektiven OU-Struktur. Beispielsweise beruht das<br />
Organisationsschema eines Unternehmens in der Regel auf Geschäftseinheiten und berücksichtigt<br />
nicht, wo die Benutzer tatsächlich arbeiten. Vielleicht sind die Mitglieder derselben Geschäftseinheit<br />
über mehrere Standorte rund um den Globus verteilt. Die Gruppierung dieser Benutzer in derselben<br />
OU könnte ziemlich ineffizient sein.<br />
Oft ist die Analyse der Unternehmensstruktur und des Organisationsschemas jedoch ein guter<br />
Ansatzpunkt für den OU-Entwurf. Wenn das Unternehmen beispielsweise sehr zentralisiert und<br />
hierarchisch aufgebaut ist, wird die OU-Struktur dieses Modell wahrscheinlich widerspiegeln.<br />
Wenn die Unternehmensstruktur den Geschäftseinheiten oder geografischen Standorten einen<br />
hohes Maß an Autonomie einräumt, sollte der OU-Entwurf diesen Ansatz ebenfalls reflektieren.<br />
Untersuchen Sie bei der Analyse der Unternehmensstruktur auch die IT-Verwaltungsstruktur. In<br />
manchen Unternehmen sind separate Geschäftseinheiten weitestgehend eigenständig in der Verwaltung<br />
ihrer Geschäfte, die IT-Verwaltung kann jedoch dennoch stark zentralisiert sein. In diesem Fall<br />
entwerfen Sie die OU-Struktur basierend auf der IT-Verwaltungsstruktur, nicht basierend auf der<br />
Geschäftsverwaltungsstruktur.<br />
Auf der Verwaltungsdelegierung basierender OU-Entwurf<br />
Einer der Gründe für das Erstellen einer OU-Struktur besteht darin, Verwaltungsaufgaben delegieren<br />
zu können. Viele Unternehmen mit separaten Geschäftseinheiten setzen eine einzige AD DS-Domäne<br />
ein, möchten jedoch dennoch die administrativen Aufgaben basierend auf Ressourcen oder Geschäftseinheiten<br />
delegieren. Einige Unternehmen mit mehreren Standorten und lokalen Administratoren an<br />
jedem Standort möchten möglicherweise die Verwaltung der einzelnen Standorte delegieren. Andere<br />
Unternehmen möchten eine bestimmte administrative Aufgabe delegieren können. Beispielsweise sollen<br />
ein oder zwei Personen in jeder Abteilung das Recht erhalten, Benutzerkennwörter in der Abteilung<br />
zurückzusetzen und Benutzerinformationen für alle Benutzer in der Abteilung zu ändern.
190 Kapitel 5: Entwerfen der <strong>Active</strong> <strong>Directory</strong>-Domänendienstestruktur<br />
All diese Optionen und viele mehr werden durch das Erstellen einer OU-Struktur in AD DS und das<br />
anschließende Delegieren des Administratorzugriffs ermöglicht. Sie können beinahe jeden Level an<br />
Administratorzugriff auf OU-Ebene erteilen. Wenn Sie zum Beispiel eine OU für eine Außenstelle<br />
erstellen, können Sie dem Administrator in dieser Außenstelle die vollständige Steuerung aller<br />
Objekte in diesem Büro übertragen. Dieser Administrator kann anschließend jede administrative Aufgabein<br />
dieser OU durchführen, auch die Erstellung untergeordneter OUs und die Delegierung von<br />
Berechtigungen an andere Administratoren. Wenn Sie eine OU für jede Abteilung erstellen, können<br />
Sie einigen Benutzern in der Abteilung sehr spezielle Rechte, beispielsweise das Recht zum Zurücksetzen<br />
von Kennwörtern, erteilen. Sie können administrative Rechte sogar basierend auf den Objekttypen<br />
in einer OU gewähren: Die Abteilungsadministratoren können beispielsweise Benutzerkonten,<br />
jedoch keine Gruppen- oder Computerobjekte ändern. In Kapitel 9, „Delegieren der <strong>Active</strong> <strong>Directory</strong>-<br />
Domänendiensteverwaltung“, wird die Delegierung der Verwaltung detaillierter ausgeführt.<br />
Für die meisten Unternehmen beruht der Entwurf der obersten OUs auf der Anforderung zur Verwaltungsdelegierung.<br />
Die oberste OU basiert wahrscheinlich auf dem geografischen Standort oder auf<br />
Geschäftsabteilungen. Oft sind diese OU-Grenzen auch Verwaltungsgrenzen.<br />
Auf dem Gruppenrichtlinienentwurf basierender OU-Entwurf<br />
Der zweite Grund für die Erstellung von OUs liegt in der Verwaltung der Zuweisung von Gruppenrichtlinienobjekten.<br />
Gruppenrichtlinieneinstellungen werden für die Änderungs- und Konfigurationsverwaltung<br />
von Desktops verwendet. Mit Gruppenrichtlinieneinstellungen können Sie Benutzern eine<br />
Standarddesktopkonfiguration, einschließlich der automatischen Installation einer Reihe von Anwendungen,<br />
bereitstellen. Anhand von Gruppenrichtlinieneinstellungen können Sie außerdem steuern,<br />
welche Änderungen Benutzer an ihren Computern vornehmen können, und viele Sicherheitseinstellungen<br />
konfigurieren. Fast alle Gruppenrichtlinieneinstellungen in AD DS werden auf OU-Ebene<br />
zugewiesen. Die Bereitstellung von Gruppenrichtlinieneinstellungen spielt daher für den OU-Entwurf<br />
eine wichtige Rolle. Gruppieren Sie beim Planen der OU-Struktur Objekte zusammen, die dieselben<br />
Gruppenrichtlinieneinstellungen verlangen. Wenn beispielsweise alle Benutzer in einer Abteilung dieselben<br />
Anwendungen benötigen, können diese mithilfe eines Gruppenrichtlinienobjekts installiert<br />
werden. Die Benutze benötigen vielleicht außerdem einen Standardsatz an Laufwerkzuordnungen.<br />
Die Anmeldeskripts für die Benutzer können über ein Gruppenrichtlinienobjekt zugewiesen werden.<br />
Vielleicht möchten Sie auf alle Dateiservern in Ihrem Unternehmen eine Sicherheitsvorlage anwenden.<br />
Gruppieren Sie zu diesem Zweck alle Dateiserver in einer OU und weisen Sie die Sicherheitsvorlage<br />
über ein Gruppenrichtlinienobjekt zu.<br />
In den meisten Unternehmen werden die unteren Ebenen des OU-Entwurfs vorrangig durch den<br />
Bedarf an Gruppenrichtlinienobjekten bestimmt. Standardmäßig werden alle Gruppenrichtlinieneinstellungen<br />
von übergeordneten OUs übernommen. Das heißt, dass Sie ein Gruppenrichtlinienobjekt<br />
auf viele Abteilungen anwenden können, die in der OU-Struktur weit oben angesiedelt sind, und<br />
anschließend spezifischere Gruppenrichtlinienobjekte auf niedrigerer Ebene zuweisen können. Wenn<br />
Sie die Standardvererbung von Gruppenrichtlinieneinstellungen ändern möchten, können Sie eine OU<br />
erstellen und die Richtlinienvererbung für diese OU-Ebene deaktivieren. Diese starke Abhängigkeit<br />
des OU-Entwurfs von Gruppenrichtlinien bedeutet, dass Sie die Funktionalität der Gruppenrichtlinien<br />
und die Anforderungen für Ihr Unternehmen genau kennen müssen. In Kapitel 11, „Einführung<br />
in Gruppenrichtlinien“, Kapitel 12, „Einsetzen von Gruppenrichtlinien zum Verwalten von Benutzerdesktops“,<br />
und Kapitel 13, „Einsetzen von Gruppenrichtlinien zum Verwalten der Sicherheit“, wird<br />
detailliert beschrieben, wie Gruppenrichtlinien verwendet werden können.
Erstellen eines OU-Entwurfs<br />
Entwerfen der Struktur von Organisationseinheiten 191<br />
Wenn Sie mit dem OU-Entwurf beginnen, sollten Sie zunächst die oberen OUs festlegen. Obere OUs<br />
sind aufgrund aller ihnen untergeordneten OUs nach der Bereitstellung schwieriger zu ändern. Das<br />
bedeutet auch, dass die oberen OUs auf einer statischen Einheit im Unternehmen beruhen sollten.<br />
Normalerweise basieren diese OUs auf geografischen Bereichen oder Geschäftseinheiten.<br />
Ein auf geografischen Standorten beruhender OU-Entwurf ist wahrscheinlich der beständigste. Einige<br />
Unternehmen scheinen oft umzustrukturieren, ändern jedoch selten die geografische Konstellation.<br />
Eine auf geografischen Standorten basierende OU-Struktur funktioniert auch dann gut, wenn das<br />
Unternehmen ein dezentrales Verwaltungsmodell verwendet – vor allem, wenn die Verwaltung geografisch<br />
eingeteilt ist. Wenn jeder geografische Standort (entweder eine einzelne Niederlassung oder<br />
eine zentrale Niederlassung mit mehreren damit verbundenen Zweigniederlassungen) seine eigenen<br />
Netzwerkadministratoren besitzt, können die geografischen OUs zum Delegieren administrativer Aufgaben<br />
an diese Administratoren verwendet werden. Eine auf den geografischen Standorten basierende<br />
OU-Struktur ist möglicherweise nicht die beste Wahl, wenn sich an jedem Standort mehrere<br />
Geschäftseinheiten befinden. Wenn beispielsweise jede Abteilung in jeder Niederlassung des Unternehmens<br />
repräsentiert ist, kann es effektiver sein, eine auf Geschäftseinheiten basierende OU-Struktur<br />
auf der obersten Ebene zu verwenden.<br />
Die zweite gängige oberste OU-Struktur basiert auf Geschäftseinheiten. In diesem Modell wird auf<br />
oberster Ebene eine OU für jede Geschäftseinheit innerhalb des Unternehmens erstellt. Dieser Konfigurationstyp<br />
ist besonders geeignet, wenn ein Unternehmen nur einen Standort besitzt oder wenn<br />
viele administrative Aufgaben auf der Ebene der Geschäftseinheit delegiert werden. Eines der Probleme<br />
mit einer auf Geschäftseinheiten basierenden OU-Struktur besteht darin, dass die obersten OUs<br />
im Falle einer Umstrukturierung möglicherweise geändert werden müssen.<br />
Die meisten großen Unternehmen verwenden tatsächlich eine Kombination aus OUs, die auf geografischen<br />
Standorten basieren, und OUs, die auf Geschäftseinheiten beruhen. Eine der gängigsten<br />
Konfigurationen ist eine oberste OU, die auf den geografischen Regionen basiert, und auf der Ebene<br />
darunter liegende OUs innerhalb jeder Region, die auf Geschäftseinheiten basieren. Einige Unternehmen<br />
wählen eine oberste OU basierend auf den Geschäftseinheiten und erstellen anschließend eine<br />
auf Regionen basierende OU-Struktur unterhalb dieser obersten OUs.<br />
Abbildung 5.15 zeigt, wie ein OU-Entwurf in einer Domäne für ein großes Unternehmen aussehen<br />
könnte.<br />
In diesem Beispiel gehören zu den obersten OUs die OU Domain Controllers (in dieser OU befinden<br />
sich sämtliche Domänencontroller) und eine OU für die Administratoren auf Domänenebene. Weiterhin<br />
zählt zu den obersten OUs eventuell auch eine OU Service Account für alle Dienstkonten, die in<br />
der Domäne verwendet werden. Durch Erstellung einer OU oberster Ebene für besondere Benutzerkonten<br />
wie Dienstkonten wird die Verwaltung dieser Konten vereinfacht. Die obersten OUs können<br />
auch eine OU Servers umfassen, falls alle Server zentral verwaltet werden. Zusätzlich zu diesen Verwaltungs-OUs<br />
können weitere OUs der höchsten Ebene auf geografischen Standorten des Unternehmens<br />
basieren. Die geografischen OUs können hauptsächlich zum Delegieren administrativer Aufgaben<br />
eingesetzt werden.
192 Kapitel 5: Entwerfen der <strong>Active</strong> <strong>Directory</strong>-Domänendienstestruktur<br />
NA.Adatum.com<br />
OU Domänencontroller<br />
OU Domänenadministratoren<br />
OU Dienstkonto<br />
OU Region<br />
Osten<br />
OU Region<br />
Westen<br />
OU Vertrieb OU Fertigung OU Transportwesen<br />
OU Konten<br />
Abbildung 5.15<br />
OU Arbeitsstation<br />
OU Ressourcen<br />
Beispiel für eine OU-Struktur<br />
OU Projekte<br />
Die OUs der zweiten Ebene in jeder geografischen Region basieren auf den Geschäftseinheiten der<br />
einzelnen Regionen. Die OUs der Geschäftseinheiten können zum Delegieren der Verwaltung, jedoch<br />
auch zum Zuweisen von Gruppenrichtlinienobjekten verwendet werden. Unter den OUs der<br />
Geschäftseinheiten befinden sich OUs, die auf den Abteilungen innerhalb der Geschäftseinheiten<br />
basieren. Auf dieser Ebene dienen die OUs hauptsächlich zum Zuweisen von Gruppenrichtlinienobjekten<br />
oder zum Zuweisen bestimmter administrativer Aufgaben wie das Recht zum Zurücksetzen<br />
von Kennwörtern. Die Abteilungs-OUs können mehrere andere OUs enthalten:<br />
• OU Accounts Diese OU enthält die Benutzer- und Gruppenkonten für die Abteilung. In manchen<br />
Fällen können die Konten-OUs weiter unterteilt werden in OUs, die Gruppen, Benutzerkonten oder<br />
Remotebenutzer enthalten.<br />
• OU Workstations Diese OU enthält alle Benutzerarbeitsstationen und kann separate OUs für<br />
Windows NT-Arbeitsstationen, Windows 2000-Arbeitsstationen, Microsoft Windows XP<br />
Professional-Arbeitsstationen und tragbare Computer enthalten.<br />
• OU Resources Diese OU enthält die mit der OU verknüpften Ressourcen. Hierzu können Objekte<br />
wie domänenlokale Gruppen, Server, Drucker und freigegebene Ordner gehören.<br />
• Anwendungs- oder projektbasierte OUs Wenn eine Gruppe von Personen und Ressourcen an einem<br />
bestimmten Projekt oder mit einer Anwendung arbeiten, das bzw. die eine einheitliche Verwaltung<br />
verlangt, können Sie für diese Benutzer eine OU-Struktur erstellen und dann die für das Projekt<br />
erforderlichen Benutzer, Ressourcen und Computer in dieser OU gruppieren.
Entwerfen der Standorttopologie 193<br />
Hinweis Theoretisch gibt es keine Begrenzung für die Anzahl der Ebenen in Ihrer OU-Struktur. Im Allgemeinen<br />
empfiehlt es sich jedoch, nicht mehr als zehn Ebenen zu verwenden. Für die meisten Unternehmen<br />
wird eine OU-Struktur aus vier oder fünf Ebenen völlig ausreichen.<br />
Stellen Sie beim Erstellen des OU-Entwurfs sicher, dass Sie den Entwurf sorgfältig dokumentieren.<br />
Dieser Entwurf umfasst ein Diagramm der OU-Struktur, eine Liste aller OUs und den Zweck jeder<br />
einzelnen OU. Wenn Sie die OU außerdem zum Delegieren administrativer Aufgaben nutzen,<br />
dokumentieren Sie die Rechte, die auf jeder OU-Ebene delegiert werden. Wenn Sie mit den einzelnen<br />
OUs verknüpfte Gruppenrichtlinien bereitstellen, dokumentieren Sie die Konfiguration der Gruppenrichtlinien.<br />
Auf der DVD Sie können die Registerkarte AD Organizational Unit Design im Arbeitsblatt<br />
ADDS_DesignDocument.xlsx auf der CD zum Dokumentieren des OU-Entwurfs verwenden.<br />
Entwerfen der Standorttopologie<br />
Alle bislang behandelten Entwurfsthemen haben sich hauptsächlich mit den logischen Aspekten des<br />
AD DS-Entwurfs beschäftigt und die eigentliche Netzwerktopologie des Unternehmens weitgehend<br />
außer Acht gelassen. Bevor Sie einen AD DS-Entwurf anwenden können, müssen Sie sich mit dem<br />
Aspekt des Standortentwurfs beschäftigen, der direkt durch die Netzwerktopologie beeinflusst wird.<br />
In Abbildung 5.16 wird der Prozess zum Erstellen eines Standortentwurfs dargestellt.<br />
Ermitteln der<br />
Gründe zum Erstellen<br />
von Standorten<br />
Ermitteln, welche<br />
geografischen Standorte einen<br />
Domänencontroller benötigen<br />
Erstellen des<br />
Standortentwurfs<br />
Erstellen des<br />
Replikationsentwurfs<br />
Planen der<br />
Serverplatzierung<br />
Abbildung 5.16<br />
Erstellen eines Standortentwurfs<br />
Standorte und der AD DS-Entwurf<br />
In AD DS sind Standorte spezielle Organisationseinheiten, die zum Verwalten des Netzwerkdatenverkehrs<br />
verwendet werden. Dies geschieht hauptsächlich auf drei Arten:
194 Kapitel 5: Entwerfen der <strong>Active</strong> <strong>Directory</strong>-Domänendienstestruktur<br />
• Die Replikation zwischen Standorten wird komprimiert, sodass die Replikation zwischen Standorten<br />
weniger Bandbreite als die Replikation innerhalb eines Standorts nutzt. Außerdem kann die<br />
Replikation zeitlich geplant werden, um sicherzustellen, dass sie stattfindet, wenn das Netzwerk<br />
durch wenige andere Anforderungen beansprucht wird.<br />
• Der Datenverkehr zur Clientanmeldung verbleibt innerhalb des Standorts, wenn der lokale Domänencontroller<br />
verfügbar ist.<br />
• AD DS-fähige Anwendungen wie DFS (Distributed File System) und Exchange Server 2007 können<br />
mithilfe von Standorten den Datenverkehr des Clientzugriffs begrenzen oder das Messagerouting<br />
basierend auf der Standortkonfiguration verwalten.<br />
Erstellen eines Standortentwurfs<br />
Da der Standortentwurf stark von der Netzwerkinfrastruktur abhängt, besteht der erste Schritt zum<br />
Erstellen eines Standortentwurfs in der Dokumentation dieser Infrastruktur. Nachdem Sie Informationen<br />
über Ihr Unternehmensnetzwerk gesammelt haben, können Sie mit dem Erstellen der Standorte<br />
beginnen. Untersuchen Sie zunächst jeden physischen Standort, an dem die Computer über eine<br />
schnelle Netzwerkverbindung verbunden sind. Wie viele Benutzer befinden sich an diesem Standort?<br />
Gibt es so viele Benutzer an dem Standort, dass dort ein Domänencontroller erforderlich ist? Welche<br />
Netzwerkverbindungen bestehen von diesem Standort zu anderen Standorten des Unternehmens?<br />
Hinweis Die Definition einer schnellen Netzwerkverbindung variiert abhängig von Faktoren wie der Anzahl<br />
von Benutzern am jeweiligen Standort, der Gesamtzahl an Objekten in der Domäne und der Anzahl an<br />
Domänen in der Gesamtstruktur. Außerdem müssen Sie feststellen, wie viel von der gesamten Bandbreite<br />
für die Replikation zur Verfügung steht. In den meisten Fällen sollten die Netzwerkverbindungen innerhalb<br />
eines Standorts mindestens 512 KBit/s Bandbreite zur Verfügung haben; in einem großen Unternehmen sollten<br />
Sie mindestens 10 MBit/s als Mindestnetzwerkverbindung innerhalb eines Standorts in Erwägung ziehen.<br />
Wenn der Grund für die Erstellung eines Standorts darin besteht, Benutzern die Anmeldung an AD<br />
DS zu ermöglichen, sollte jeder Standort einen Domänencontroller und die meisten Standorte auch<br />
einen globalen Katalogserver besitzen. Wenn Sie daher entscheiden möchten, ob ein logischer Standort<br />
für einen Unternehmensstandort mit einer kleinen Benutzeranzahl und einer langsamen Netzwerkverbindung<br />
mit anderen Unternehmensstandorten erstellt werden soll, lautet die Frage eigentlich, ob<br />
Sie an diesem Standort einen Domänencontroller vorsehen sollen. Eine Möglichkeit, diese Frage zu<br />
beantworten, liegt darin festzustellen, welche Option den geringsten Netzwerkdatenverkehr über die<br />
Netzwerkverknüpfung verursacht. Wodurch wird mehr Datenverkehr erzeugt: durch Clients, die sich<br />
an einem Domänencontroller an einem anderen Unternehmensstandort anmelden, oder durch den<br />
Replikationsdatenverkehr zwischen den Domänencontrollern?<br />
Außer, dass Sie ermitteln müssen, welche Option mehr Netzwerkdatenverkehr verursacht, müssen Sie<br />
auch andere Faktoren in Betracht ziehen. Wenn Sie keinen Domänencontroller am Standort aufstellen,<br />
müssen Sie die Arbeitsunterbrechung für die Benutzer berücksichtigen, falls die Netzwerkverbindung<br />
ausfällt und sie sich nicht an der Domäne anmelden können. Außerdem sollten Sie abwägen, ob<br />
ein Server aus anderen Gründen am Standort notwendig ist. Wenn Sie ohnehin einen Server unter<br />
Windows Server 2008 am Standort einsetzen, könnte er auch als Domänencontroller für den Standort<br />
dienen?
Entwerfen der Standorttopologie 195<br />
Einer der wichtigsten Faktoren für die Entscheidung, ob ein Domänencontroller an einem Unternehmensstandort<br />
aufgestellt wird, ist die physische Sicherheit des Domänencontrollers. Wenn die physische<br />
Sicherheit des Domänencontrollers nicht gewährleistet werden kann, sollten Sie keinen<br />
beschreibbaren Domänencontroller am Standort aufstellen. Der Einsatz eines RODC kann einige dieser<br />
Sicherheitsbedenken verringern, Sie sollten jedoch dennoch alles daran setzen, dass auch RODCs<br />
physisch abgesichert sind.<br />
Hinweis Beim Erstellen eines AD DS-Entwurfs für ein Unternehmen gilt die allgemeine Regel, alles so einfach<br />
wie möglich zu halten, für alles – nur nicht für Standorte. Bei der Planung der Gesamtstruktur, Domäne<br />
oder OU-Struktur sollte Einfachheit eines Ihrer obersten Gebote sein. Die Erstellung zusätzlicher Standorte<br />
für alle Unternehmensstandorte, die über langsame Netzwerkverbindungen miteinander verbunden sind,<br />
bietet jedoch erhebliche Vorteile, ohne den Verwaltungsaufwand wesentlich zu erhöhen. Dies ist wohl der<br />
einzige Punkt im AD DS-Entwurfsvorgang, an dem die einfachste Lösung nicht die beste Lösung ist.<br />
Nachdem Sie festgelegt haben, wie viele AD DS-Standorte benötigt werden, erstellen Sie im nächsten<br />
Schritt den Entwurf für die einzelnen Standorte. Jeder Standort in AD DS ist mit einem oder mehreren<br />
IP-Subnetzen verknüpft. Während Sie den Entwurf für die einzelnen Standorte erstellen, sollten<br />
Sie daher festlegen, welche Subnetze in jeden Standort einbezogen werden. Wenn Sie entscheiden,<br />
dass an einem Unternehmensstandort kein Domänencontroller eingesetzt wird, müssen Sie festlegen,<br />
zu welchem logischen Standort dieser Unternehmensstandort gehört, und dieses IP-Subnetz dem entsprechenden<br />
Standort hinzufügen. Auf diese Weise wird sichergestellt, dass die Clients am Remotestandort<br />
sich mit den nächstgelegenen Domänencontrollern verbinden.<br />
Praxistipp: Subnetzdefinitionen in <strong>Active</strong> <strong>Directory</strong><br />
Subnetze werden in <strong>Active</strong> <strong>Directory</strong> ausschließlich zum Definieren der Standorte in <strong>Active</strong> <strong>Directory</strong><br />
verwendet, denen eine Reihe von Computern angehört. Die Subnetzdefinitionen entsprechen<br />
nicht dem tatsächlichen Layer-3-Routing innerhalb des Unternehmens. Hierbei handelt es sich um ein<br />
häufiges Missverständnis – der Aufbau des Layer-3-Routings muss nicht mit den Subnetz-/Standortdefinitionen<br />
in <strong>Active</strong> <strong>Directory</strong> übereinstimmen. Zweitens wählt <strong>Active</strong> <strong>Directory</strong> das spezifischere<br />
Subnetz. Das heißt, wenn Sie zwei Subnetzobjekte in <strong>Active</strong> <strong>Directory</strong> definiert haben –<br />
10.1.0.0/16 und 10.1.2.0/24 – und einen Client mit der IP-Adresse 10.1.2.5, so wird das zweite<br />
Subnetzobjekt verwendet.<br />
Eines der gängigen Ereignisse, die das Ereignisprotokoll auf Domänencontrollern in großen Unternehmen<br />
füllen, ist die NetLogon-Warnung Nr. 5807. Diese tritt in einigen Szenarios auf. In einem<br />
Szenario haben die <strong>Active</strong> <strong>Directory</strong>-Administratoren einfach keine Subnetze für ihre Standortobjekte<br />
definiert. Im zweiten Beispiel – das gängigere Szenario – kommuniziert das Team, das <strong>Active</strong><br />
<strong>Directory</strong> ausführt, nicht gut genug mit den Netzwerkadministratoren, die Subnetze im Netzwerk<br />
bereitstellen. In großen Unternehmen ändert sich die Subnetzkonfiguration möglicherweise häufig,<br />
und die <strong>Active</strong> <strong>Directory</strong>-Standortspezifikationen werden eventuell nicht beibehalten. Die Lösung,<br />
die ich verwende und empfehle, besteht darin, sehr weit reichende Übernetzwerke an den Hubstandorten<br />
zu definieren. Beispielsweise würde ich in einem Hub-and-Spokes-Netzwerkentwurf mit<br />
einem Hub, der private IP-Adressen im Bereich 10.0.0.0/8 verwendet, den Wert 10.0.0.0/8 mit dem<br />
Hubstandort verknüpfen. Auf diese Weise ist garantiert, dass jeder Client, der von einer beliebigen<br />
10.0.0.0-IP-Adresse kommt, dem Subnetz in <strong>Active</strong> <strong>Directory</strong> entspricht.<br />
Sie können dieses Prinzip auch auf Unternehmen mit mehreren Hubstandorten anwenden. In<br />
Abbildung 5.17 wird ein Beispiel dargestellt.
196 Kapitel 5: Entwerfen der <strong>Active</strong> <strong>Directory</strong>-Domänendienstestruktur<br />
Montevideo<br />
10.3.3.0/24<br />
Rio de Janiero<br />
10.3.4.0/24<br />
Chicago<br />
10.1.2.0/24<br />
Milwaukee<br />
10.1.3.0/24<br />
Sao Paolo<br />
10.3.2.0/24<br />
Springfield<br />
10.1.4.0/24<br />
Manchester<br />
10.2.3.0/24<br />
London<br />
10.2.2.0/24<br />
Birmingham<br />
10.2.4.0/24<br />
Abbildung 5.17 Sie können den Hubstandorten und den Spokestandorten Subnetzoptionen mit anderen<br />
Subnetzmasken zuweisen.<br />
In diesem Szenario ist es einfach, die 10.x.x.0-Subnetze mit den Spokestandorten zu verknüpfen<br />
und die 10.x.x.0/16-Subnetze anschließend mit den Hubstandorten zu verknüpfen. Beispielsweise<br />
würde ich in <strong>Active</strong> <strong>Directory</strong>-Standorte und -Dienste ein Subnetz für das Subnetz 10.3.0.0/16<br />
erstellen und es São Paolo zuweisen. Anschließend würde ich separate Subnetzobjekte für Montevideo<br />
und Rio de Janeiro anhand der Subnetze 10.3.x.0/24 konfigurieren. Der Vorteil dieses<br />
Ansatzes liegt darin, dass die Clients im Standort den nächsten Hubstandort zum Auffinden eines<br />
Domänencontrollers verwenden, wenn die IP-Adresssubnetze in Montevideo oder Rio de Janeiro<br />
geändert werden oder wenn eine zusätzliche Niederlassung erstellt und mit dem Hubstandort verknüpft<br />
wird.<br />
Eine weitere interessante Option, die bei der Konfiguration von Subnetzen in <strong>Active</strong> <strong>Directory</strong><br />
angewendet werden kann, besteht darin, definierte Hostsubnetze zu verwenden, indem Sie Subnetze<br />
anhand von /32- oder 255.255.255.255-Subnetzmasken konfigurieren. Mithilfe dieser Option<br />
können Sie einen Standort innerhalb eines Standorts aufbauen. Zum Beispiel möchte ein Unternehmen<br />
einen dedizierten Standort für seine Exchange-Umgebung erstellen, jedoch kein dediziertes<br />
Subnetz für die Exchange-Server und verknüpften Domänencontroller bereitstellen. Durch Erstellen<br />
von Hostsubnetzen und Gruppieren der Subnetze in einem einzigen Standort können Sie die<br />
Server mit einem gemeinsamen Standort verknüpfen.<br />
Brian Desmond<br />
Microsoft MVP, <strong>Directory</strong> Services<br />
www.briandesmond.com
Entwerfen der Standorttopologie 197<br />
Erstellen eines Replikationsentwurfs<br />
Nachdem Sie die Standorte erstellt haben, besteht der nächste Schritt darin, die Replikationstopologie<br />
für die Standorte zu erstellen. Entwerfen Sie hierzu Standortverknüpfungen zwischen Unternehmensstandorten.<br />
Planen Sie für jede Standortverknüpfung den Zeitplan und das Replikationsintervall sowie<br />
die Standortverknüpfungskosten. Wenn Sie für jeden Standort Bridgeheadserver für die Replikation<br />
festlegen möchten, geben Sie alle AD DS-Partitionen an, die im Standort enthalten sein werden, und<br />
definieren Sie für jede Partition einen Bridgeheadserver.<br />
Die Berechnung der Kosten für die einzelnen Standortverknüpfungen kann kompliziert werden, vor<br />
allem dann, wenn zwischen den Unternehmensstandorten mehrere Routen möglich sind. Gibt es mehrere<br />
Routen, müssen Sie die Kosten für die Standortverknüpfungen so zuweisen, dass die optimale<br />
Route für die AD DS-Replikation verwendet wird. Eine Möglichkeit festzustellen, welche Kosten den<br />
einzelnen Standortverknüpfungen zuzuweisen sind, besteht darin, eine Tabelle zu erstellen, in der die<br />
Netzwerkbandbreite mit den Standortverknüpfungskosten verbunden wird. Ein Beispiel wird in<br />
Tabelle 5.3 dargestellt.<br />
Tabelle 5.3<br />
Verknüpfen der Netzwerkbandbreite mit den Standortverknüpfungskosten<br />
Verfügbare Bandbreite<br />
Standortverknüpfungskosten<br />
Größer oder gleich 10 MBit/s 10<br />
10 MBit/s bis 1,544 MBit/s 100<br />
1,544 MBit/s bis 512 KBit/s 200<br />
512 KBit/s bis 128 KBit/s 400<br />
128 KBit/s bis 56 KBit/s 800<br />
Weniger als 56 KBit/s 2000<br />
Anhand der in dieser Tabelle enthaltenen Informationen können Sie jeder Standortverknüpfung entsprechende<br />
Kosten zuweisen. Berechnen Sie anschließend, über welche Route der Replikationsdatenverkehr<br />
im Netzwerk verläuft, wenn alle Verknüpfungen verfügbar sind. Berechnen Sie außerdem die<br />
Auswirkungen eines Ausfalls einer Netzwerkverknüpfung. Wenn es innerhalb des Netzwerks redundante<br />
Pfade gibt, stellen Sie sicher, dass die Standortverknüpfungskosten so konfiguriert sind, dass<br />
der optimale Sicherungspfad im Falle eines Verknüpfungsausfalls gewählt wird.<br />
Praxistipp: Festlegen von <strong>Active</strong> <strong>Directory</strong>-Standortverknüpfungskosten<br />
Es gibt wenige Dinge, die Sie beim Einrichten der Standortverknüpfungen wirklich beachten müssen.<br />
Von diesen können die Kosten, die Sie den Standortverknüpfungen zuweisen, am wichtigsten<br />
sein – oder auch völlig irrelevant. Die Kosten der Verknüpfung werden beim Berechnen der einbezogenen<br />
Struktur genutzt, bei der mehrere Netzwerkverbindungen mit einem Standort bestehen.<br />
Wenn von einem Hub eine Reihe von Spokes ausgehen, die jeweils nur eine einzige Verknüpfung<br />
wieder zurück zum Hub besitzen, spielen die Kosten beim Errechnen der Routingtopologie überhaupt<br />
keine Rolle. Wenn jedoch von einem Standort zum anderen mehrere Pfade verlaufen, werden<br />
die Kosten von der Konsistenzprüfung (KCC) zum Erstellen der Routingtopologie verwendet.<br />
Um einer Standortverknüpfung Kosten zuzuweisen, verwende ich gerne eine Formel, welche der<br />
Geschwindigkeit des zugrunde liegenden Transports einem numerischen Wert zuordnet, der<br />
anschließend den Standortverknüpfungskosten zugewiesen werden kann.
198 Kapitel 5: Entwerfen der <strong>Active</strong> <strong>Directory</strong>-Domänendienstestruktur<br />
Diese Formel lautet folgendermaßen:<br />
Referenzbandbreite<br />
Verknüpfungsbandbreite<br />
Die Referenzbandbreite ist die maximale Bandbreite mit einem Kostenwert von 1, und die Verknüpfungsbandbreite<br />
ist die Geschwindigkeit des zugrunde liegenden Transports. Wenn Sie beispielsweise<br />
eine OC768-Verbindung mit ganzen 38,4 GBit/s verwenden, erhält diese einen Kostenwert<br />
von 1. Wenn ein anderer Standort Ihres Unternehmens über eine T1-Verbindung (1536 KBit/s)<br />
verbunden ist, sollte der Standortverknüpfung zu diesem Standort Kosten von 158 zugewiesen werden.<br />
Die Zuweisung von Kosten zu den Standortverknüpfungen zwischen den verbundenen Standorten<br />
basierend auf dem zugrunde liegenden Transport erfordert, dass Sie eng mit Ihrer WAN-Gruppe<br />
zusammenarbeiten, um über alle Verbindungen informiert zu sein und benachrichtigt zu werden,<br />
wenn eine Verbindung geändert wird. Außerdem müssen Sie die für die Verbindung verfügbare<br />
Bandbreite beim Zuweisen der Standortverknüpfungskosten berücksichtigen. Beispielsweise haben<br />
Sie eine WAN-Verbindung mit hoher Bandbreite, die über einen Großteil des Tages völlig ausgelastet<br />
ist, und eine andere, langsamere, WAN-Verbindung, die nicht viel genutzt wird. Um sicherzustellen,<br />
dass der Replikationsdatenverkehr über die weniger ausgelastete WAN-Verbindung gesendet<br />
wird, müssen Sie möglicherweise die Kosten für die überlastete Verknüpfung erhöhen.<br />
Außerdem müssen Sie vielleicht die Kosten der Standortverknüpfungen ändern, wenn WAN-Verknüpfungen<br />
verwendet werden, die je nach Anzahl der übertragenen Bytes Geld kosten.<br />
Brian Desmond<br />
Microsoft MVP – <strong>Directory</strong> Services<br />
www.briandesmond.com<br />
Eine weitere Option zum Verwalten der AD DS-Replikation ist das Deaktivieren von Standortverknüpfungsbrücken.<br />
Standardmäßig sind Standortverknüpfungsbrücken aktiviert, was zur Folge hat,<br />
dass alle Standortverknüpfungen transitiv sind. Das heißt: Wenn Standort A eine Standortverknüpfung<br />
mit Standort B besitzt und Standort B eine Standortverknüpfung mit Standort C, dann kann<br />
Standort A direkt auf Standort C replizieren. In den meisten Fällen ist dieses Verhalten erwünscht. Es<br />
gibt jedoch Ausnahmefälle, in denen Sie die Standortverknüpfungsbrücken deaktivieren sollten. Zum<br />
Beispiel besitzt ein Unternehmen mehrere Hubstandorte auf der ganzen Welt und mehrere kleinere<br />
Niederlassungen, die sich über langsame oder mittelschnelle Netzwerkverbindungen mit den Hubstandorten<br />
verbinden. (Siehe Abbildung 5.18.) Wenn die Hubstandorte über schnelle Netzwerkverbindungen<br />
verbunden sind, sind automatische Standortverknüpfungsbrücken akzeptabel. Wenn die Netzwerkverbindungen<br />
zwischen den Hubstandorten jedoch relativ langsam sind oder der Großteil der<br />
Bandbreite für andere Anwendungen beansprucht wird, sind transitive Verbindungen möglicherweise<br />
nicht erstrebenswert.<br />
In Abbildung 5.18 besitzt die Netzwerkverbindung zwischen Hub A und Hub B möglicherweise eine<br />
begrenzt verfügbare Bandbreite. Wenn die standardmäßig eingestellten Standortverknüpfungsbrücken<br />
nicht geändert werden, repliziert der Bridgeheadserver in Hub A mit dem Bridgeheadserver in Hub B,<br />
jedoch auch mit den Bridgeheadservern in anderen mit Hub B verbundenen Standorten. Das heißt,<br />
dass derselbe Replikationsdatenverkehr die Netzwerkverbindung möglicherweise fünfmal durchläuft.
Entwerfen der Standorttopologie 199<br />
Um dies zu ändern, können Sie Standortverknüpfungsbrücken deaktivieren und anschließend manuelle<br />
Standortverknüpfungsbrücken für alle Standortverknüpfungen zwischen den Hubstandorten und<br />
den kleineren Standorten erstellen, die sich mit den Hubstandorten verbinden. Nachdem Sie diese<br />
Konfiguration vorgenommen haben, verläuft die gesamte Replikation von Hub A nach Hub B und<br />
wird anschließend an alle mit Hub B verbundenen Standorte verteilt.<br />
Standort B2<br />
Standort B3<br />
Standort B1<br />
Standort B4<br />
Standort A1<br />
Hub B<br />
Standort A2<br />
Hub A<br />
Standort A3<br />
Hub C<br />
Standort C2<br />
Standort C1<br />
Abbildung 5.18<br />
Konfigurieren von Standortverknüpfungsbrücken<br />
Auf der DVD Auf der Registerkarte Site Design Decisions im Arbeitsblatt ADDS_DesignDocument.xlsx auf<br />
der CD können Sie Ihre Entscheidungen zum Standortentwurf, und auf den Registerkarten AD Site Design<br />
und AD Site Link Design Ihren endgültigen Standortentwurf dokumentieren.<br />
Exchange Server 2007 und der Standortentwurf<br />
Einer der Faktoren, die Sie beim Erstellen des Standortentwurfs berücksichtigen müssen, ist, ob Ihr<br />
Unternehmen Exchange Server einsetzt und insbesondere, ob Ihr Unternehmen Exchange Server<br />
2007 verwendet oder einzusetzen plant.<br />
Exchange 2000 oder höher und Messagingclients wie Outlook XP oder höher sind von der AD DS-<br />
Standortkonfiguration und vom Domänencontroller und den globalen Katalogservern abhängig, die<br />
in den Standorten bereitgestellt werden. Wenn Exchange Server-Dienste gestartet werden, verwendet<br />
der Server DNS, um einen Domänencontroller im Exchange Server-Standort zu finden und die<br />
Exchange Server-Konfiguration aus AD DS auszulesen. Wenn der Exchange-Server Nachrichten<br />
zwischen Empfängern routet, fragt er die Empfängereigenschaften vom globalen Katalog ab und<br />
fordert Informationen über das Routen von Nachrichten an die Empfänger von einem Domänencontroller<br />
an. Wenn ein Outlook-Client auf die globale Adressliste zugreift, wird er vom Exchange-<br />
Server an einen globalen Katalogserver umgeleitet, um eine Liste aller E-Mail-Benutzer im Unternehmen<br />
abzurufen. Damit Exchange-Server und Messageclients schnell reagieren, ist eine schnelle<br />
Netzwerkverbindung mit Domänencontrollern und globalen Katalogservern erforderlich.
200 Kapitel 5: Entwerfen der <strong>Active</strong> <strong>Directory</strong>-Domänendienstestruktur<br />
Exchange Server 2007 führt mehrere neue Abhängigkeiten von AD DS-Standorten ein. In<br />
Exchange Server 2007 müssen alle Nachrichten über einen Exchange-Server geleitet werden, der<br />
die Hubtransport-Serverrolle ausübt. Wird eine Nachricht an den Server übermittelt, fragt der Server<br />
Informationen über die Lieferadresse der Nachricht von <strong>Active</strong> <strong>Directory</strong> ab. Wenn sich das<br />
Postfach des Empfängers auf einem Postfachserver in demselben AD DS-Standort befindet, in dem<br />
auch der Hubtransportserver zu finden ist, wird die Nachricht direkt an das entsprechende Postfach<br />
geliefert. Befindet sich das Postfach des Empfängers auf einem Postfachserver in einem anderen<br />
AD DS-Standort, wird die Nachricht an einen Hubtransportserver im jeweiligen Standort weitergeleitet,<br />
der sie anschließend an den Postfachserver ausliefert. Wenn die Nachricht für einen Empfänger<br />
außerhalb des Unternehmens bestimmt ist, wird sie an einen Exchange-Server in einem AD<br />
DS-Standort mit Internetverbindung geleitet. Wenn zwischen den AD DS-Standorten mehrere Routen<br />
verfügbar sind, ermittelt der Hubtransportserver anhand der Standortverknüpfungskosten die<br />
effizienteste Route zwischen den Standorten. Mit anderen Worten, das Messagerouting in<br />
Exchange Server 2007 ist abhängig vom AD DS-Standortentwurf.<br />
Der Zugriff der Clients auf die Postfächer hängt ebenfalls vom Standortentwurf ab. Wenn Benutzer<br />
anstelle von Outlook einen anderen Messagingclient als MAPI-Client (Messaging API) für das Herstellen<br />
einer Verbindung mit dem Postfach konfiguriert haben, müssen sie sich mit einem Exchange-<br />
Server verbinden, der die Serverrolle ClientAccess ausführt. Die Serverrolle ClientAccess verwendet<br />
AD DS-Standortinformationen, um einen effizienten Zugriff auf Benutzerpostfächer bereitzustellen.<br />
Erhält die Serverrolle ClientAccess eine Benutzerverbindungsanforderung, werden die AD DS<br />
abgefragt, um festzustellen, welcher Postfachserver das Postfach des Benutzers und die Standortmitgliedschaft<br />
des Servers hostet. Wenn der ClientAccess-Server, der die anfängliche Benutzerverbindung<br />
erhalten hat, sich nicht in demselben Standort befindet wie der Postfachserver des Benutzers,<br />
wird die Verbindung direkt oder über einen Proxy an einen ClientAccess-Server im Standort<br />
des Postfachservers umgeleitet.<br />
Aufgrund dieser engen Integration zwischen Exchange Server 2007 und den AD DS-Standorten<br />
sollten Sie den Exchange Server-Entwurf und den AD DS-Standortentwurf gleichzeitig ausarbeiten.<br />
Berücksichtigen Sie beim Entwerfen der AD DS-Standorte für die Unterstützung von<br />
Exchange Server 2007 folgende Aspekte:<br />
• Wenn Sie Exchange Server 2007 an einem beliebigen Unternehmensstandort verwenden, stellen<br />
Sie immer einen Domänencontroller und einen globalen Katalogserver im selben Standort<br />
bereit. Ziehen Sie außerdem bei der Planung der Hardwareanforderungen für den Domänencontroller<br />
und den globalen Katalogserver die zusätzliche Belastung in Betracht, der der Server<br />
durch die Exchange-Server und Messagingclients ausgesetzt ist.<br />
• Erwägen Sie eine Bereitstellung aller Exchange-Server in einem zentralen Standort. Sie müssen<br />
nicht in jedem AD DS-Standort Exchange-Server bereitstellen. Wenn alle Standorte Ihres<br />
Unternehmens über zuverlässige Netzwerkverbindungen mit hoher Bandbreite verbunden sind,<br />
unabhängig von der Entfernung zwischen den Niederlassungen, sollten Sie die Implementierung<br />
eines zentralen Messagingsystems in Betracht ziehen, in dem alle Exchange-Server an<br />
einem zentralen Standort aufgestellt sind. Da alle Exchange-Server und andere erforderlichen<br />
Dienste wie Domänencontroller und DNS-Server sich in demselben schnellen Netzwerk befinden,<br />
erzielen Sie mit diesem Entwurf die beste Exchange Server-Leistung. Wenn die Anforderungen<br />
an die Erfahrung der Benutzer und an die Verfügbarkeit jedoch durch die Verbindung<br />
mit einem zentralen Standort nicht erfüllt werden können, haben Sie keine andere Wahl, als die<br />
Server in den Remotestandorten zu platzieren.
Entwerfen der Standorttopologie 201<br />
• Erwägen Sie die Erstellung eines dedizierten AD DS-Standorts für Exchange-Server. Wenn Sie<br />
für Ihre Exchange-Server einen zentralen Entwurf verwenden oder mehrere Exchange-Server in<br />
einem Datacenter bereitstellen, ziehen Sie die Erstellung eines dedizierten AD DS-Standorts in<br />
Betracht. Dieser enthält alle Exchange-Server im Unternehmenstandort sowie Domänencontroller<br />
und globale Katalogserver, die dediziert für die Bereitstellung von Verzeichnisdiensten für<br />
die Exchange-Server eingesetzt werden. Dieser Entwurf ermöglicht eine vorhersehbarere<br />
Exchange Server-Leistung, da die Domänencontroller nicht von anderen Clients zur Authentifizierung<br />
oder für Verzeichnissuchen verwendet werden.<br />
Zusätzliche Informationen zu AD DS-Entwürfen, die den Anforderungen von Exchange Server<br />
2007 entsprechen, finden Sie unter „Guidance on <strong>Active</strong> <strong>Directory</strong> Design for Exchange Server<br />
2007“ unter der Adresse http://msexchangeteam.com/archive/2007/03/28/437313.aspx, unter<br />
„Dedicated <strong>Active</strong> <strong>Directory</strong> Sites for Exchange“ unter der Adresse http://msexchangeteam.com/<br />
archive/2006/08/28/428776.aspx und unter „Planen von <strong>Active</strong> <strong>Directory</strong>“ unter der Adresse http://<br />
technet.microsoft.com/de-de/library/bb123715.aspx.<br />
Entwerfen von Serverstandorten<br />
Im Zuge des Standortentwurfs müssen Sie außerdem festlegen, wo DNS-Server, Domänencontroller,<br />
globale Katalogserver, RODCs und Betriebsmaster aufgestellt werden. In den meisten Fällen ist die<br />
Platzierung der Server nicht weiter kompliziert, nachdem Sie den Standortentwurf abgeschlossen<br />
haben.<br />
Lokalisieren von DNS-Servern<br />
Sie wissen bereits, dass DNS in Windows Server 2008 AD DS ein wichtiger Dienst ist. Ohne DNS<br />
können Clients keine AD DS-Domänencontroller finden, und Domänencontroller können sich gegenseitig<br />
ebenfalls nicht zur Replikation zusammenfinden. Das bedeutet, dass DNS an jedem Standort<br />
Ihres Unternehmens bereitgestellt werden sollte, vielleicht mit Ausnahme sehr kleiner Niederlassungen<br />
mit nur wenigen Benutzern.<br />
Generell sollten Sie mindestens einen DNS-Server in jedem Standort mit Domänencontroller bereitstellen.<br />
Es wird dringend empfohlen, AD DS-integrierte Zonen zu verwenden und DNS auf dem<br />
Domänencontroller bereitzustellen. Für kleine Niederlassungen, in denen Sie einen Domänencontroller<br />
aufstellen möchten, sollten Sie die Bereitstellung eines RODC mit installiertem DNS in Betracht<br />
ziehen.<br />
Standortentwurf für Zweigniederlassungen<br />
Ein besonderer Fall für den Standortentwurf liegt vor, wenn ein Unternehmen Hunderte kleiner<br />
Standorte mit Domänencontrollern an jedem Standort besitzt. Dieses Szenario verkompliziert AD<br />
DS-Entwurf und -Bereitstellung in mehrerlei Hinsicht. Ein Beispiel ist der Zeitraum, den die Konsistenzprüfung<br />
(Knowledge Consistency Checker, KCC) zum Berechnen der Replikationstopologie<br />
benötigt. Mit jedem zusätzlichen Standort dauert die Berechnung der Routingtopologie länger.<br />
Während die KCC auf einem Domänencontroller ausgeführt wird, kann sie die CPU-Zeit auf dem<br />
Server zu 100 Prozent beanspruchen. Bei einer großen Anzahl an Standorten kann der Domänencontroller<br />
in der zentralen Niederlassung den ISTG (Inter-Site Topology Generator) dauerhaft mit<br />
hundertprozentiger CPU-Auslastung ausführen und dennoch nicht in der Lage sein, die Berechnung<br />
abzuschließen.
202 Kapitel 5: Entwerfen der <strong>Active</strong> <strong>Directory</strong>-Domänendienstestruktur<br />
Ein weiterer komplizierter Aspekt steht im Zusammenhang mit dem Replikationsfenster. Wenn der<br />
Standortconnector mit einem Zeitplan konfiguriert wurde, der die Replikation für nur sechs Stunden<br />
jede Nacht vorsieht, werden Sie vielleicht feststellen, dass Sie mehrere Bridgeheadserver<br />
bereitstellen müssen, damit die Replikation auf sämtliche Remotestandorte jede Nacht abgeschlossen<br />
wird. Selbst das Einrichten von Domänencontrollern für jeden Standort ist in diesem Szenario<br />
kompliziert. Wenn die Netzwerkverbindung sehr langsam ist und Sie einfach einen Domänencontroller<br />
im Standort installieren und das Verzeichnis anschließend durch Replikation füllen, kann die<br />
erste Replikation für ein großes Verzeichnis mehrere Stunden dauern.<br />
Windows Server 2003 und Windows Server 2008 bieten mehrere erhebliche Verbesserungen, die<br />
die Bereitstellung von AD DS in diesem Szenario einfacher gestalten, als dies in Windows 2000<br />
der Fall war. Verbesserungen an dem vom ISTG-Prozess verwendeten Berechnungsalgorithmus<br />
verringern den Zeitraum für die Berechnung der standortübergreifenden Replikationstopologie<br />
beträchtlich. Die Option zum Erstellen eines Domänencontrollers und zum Befüllen von AD DS<br />
über Sicherungsmedien hat zur Folge, dass die Erstellung eines Domänencontrollers in einer<br />
Remoteniederlassung nicht so viel Replikationsdatenverkehr erzeugt.<br />
Trotz dieser Verbesserungen sind der Entwurf und die Bereitstellung von AD DS-Standorten in<br />
Unternehmen mit Hunderten von Standorten noch immer ein Sonderfall. Wenn Sie sich mit dieser<br />
Art von Umgebung beschäftigen, ist die beste verfügbare Referenz der Windows Server 2003<br />
<strong>Active</strong> <strong>Directory</strong> Branch Office Guide, der zum Download unter http://www.microsoft.com/downloads/details.aspx?FamilyId=9353A4F6-A8A8-40BB-9FA7-3A95C9540112&displaylang=en<br />
verfügbar<br />
ist. Auch wenn dieses Handbuch für die Windows Server 2003-Umgebung verfasst wurde,<br />
gelten viele der vorgestellten Konzepte auch für Windows Server 2008.<br />
So funktioniert es: KCC-Verbesserungen unter Windows Server 2008<br />
Windows Server 2008 enthält Verbesserungen an der Konsistenzprüfung (Knowledge Consistency<br />
Checker, KCC) für RODCs. Diese unterstützen Sie beim automatischen Ausgleich der Replikationsarbeitslast<br />
auf Domänencontrollern in einem Datacenter, mit dessen Standort mehrere RODC-<br />
Standorte verbunden sind.<br />
Ein typisches Bereitstellungsszenario für RODCs ist die Zweigstellenniederlassung. Die in diesem<br />
Szenario am häufigsten bereitgestellte <strong>Active</strong> <strong>Directory</strong>-Replikationstopologie basiert auf einem<br />
Hub-and-Spokes-Entwurf, in dem Zweigniederlassungsdomänencontroller in mehreren Standorten<br />
mit einer kleinen Anzahl an Bridgeheadservern in einem Hubstandort replizieren.<br />
Eine durch die Hub-and-Spokes-Topologie in vorherigen Windows Server-Betriebssystemen<br />
herausgestellte administrative Herausforderung besteht darin, dass es nach dem Hinzufügen eines<br />
neuen Bridgeheaddomänencontrollers im Hub keinen automatischen Mechanismus zum Neuverteilen<br />
der Replikationsverbindungen zwischen den Zweigniederlassungsdomänencontrollern und den<br />
Hubdomänencontrollern gibt, um den neuen Hubdomänencontroller zu nutzen.<br />
Unter Windows Server 2008 stellt die normale Konsistenzprüfung (Knowledge Consistency<br />
Checker, KCC) ein gewisses Maß an Neuverteilung. Wenn die KCC auf einem RODC einen neuen<br />
Kandidaten für einen Bridgeheadserver erkennt, der für die Replikation verwendet werden kann,<br />
legt sie fest, ob sie diesen neuen Bridgehead als Replikationspartner verwendet. Die Entscheidung<br />
basiert auf einem Algorithmus, der einen Lastenausgleich nach dem Wahrscheinlichkeitsprinzip<br />
bereitstellt.
Entwerfen der Standorttopologie 203<br />
Beispielsweise kann ein Hubstandort vier Bridgeheadserver und 100 RODCs enthalten, die eine<br />
eingehende Replikation von den vier Bridgeheadservern durchführen – ein Verhältnis von 25:1.<br />
Wenn dem Hubstandort ein weiterer Bridgehead hinzugefügt wird, erkennt jeder RODC den neuen<br />
Bridgeheadserver, wenn er die Konfigurationspartition von einem Bridgeheadserver repliziert.<br />
Beim nächsten Ausführen der KCC legt der RODC fest, ob die Replikationsverbindung auf den<br />
neuen Bridgeheadserver umgelegt werden soll. In diesem Beispiel gibt es eine Chance von 1:5<br />
(eine Wahrscheinlichkeit von 20 Prozent), dass ein RODC seine Replikationsverbindung ändert.<br />
Nachdem alle 100 RODCs diesen Vorgang abgeschlossen haben, werden etwa 20 von ihnen die<br />
Replikation vom neuen Bridgeheadserver durchführen.<br />
Diese neue Funktionalität ist standardmäßig aktiviert. Sie können sie deaktivieren, indem Sie auf<br />
dem RODC die folgende Registrierungsschlüsseleinstellung hinzufügen:<br />
HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\NTDS\Parameters<br />
“Random BH Loadbalancing Allowed”<br />
1 = Enabled (default), 0 = Disabled<br />
Rob Lane<br />
Microsoft Escalation Engineer IV<br />
Platzieren von Domänencontrollern<br />
In den meisten Fällen sollte ein Domänencontroller sich an Unternehmensstandorten mit einer großen<br />
Anzahl an Benutzern befinden. Es gibt mindestens zwei Gründe dafür, einen Domänencontroller an<br />
einem bestimmten geografischen Standort aufzustellen. Erstens können sich die Benutzer nach wie<br />
vor am Netzwerk anmelden, wenn das Netzwerk ausfällt. Zweitens stellt die Platzierung eines Domänencontrollers<br />
in einer Niederlassung sicher, dass der Datenverkehr für die Clientanmeldung nicht die<br />
WAN-Verbindung zu einem anderen Standort durchläuft. Wenn Ihre Geschäftsanforderungen besagen,<br />
dass Benutzer sich auch im Fall eines Netzwerk- oder Serverausfalls anmelden können müssen,<br />
sollten Sie an jedem Standort zwei Domänencontroller aufstellen. In einer kleinen Zweigniederlassung<br />
können Sie einen einzigen Domänencontroller verwenden, um die Gesamtzahl an Domänencontrollern<br />
zu begrenzen. Wenn Sie an einem Unternehmensstandort einen Domänencontroller bereitstellen,<br />
sollten Sie auch einen logischen Standort für den geografischen Standort erstellen, sodass der<br />
gesamte Anmeldedatenverkehr innerhalb des Standorts verbleibt.<br />
Es gibt zwei Gründe, warum Sie sich gegen das Aufstellen eines Domänencontrollers in einem einzelnen<br />
Standort entscheiden könnten. Wenn der Replikationsdatenverkehr zum Domänencontroller am<br />
Standort höher wäre als der Datenverkehr für die Clientanmeldung, könnten Sie den Domänencontrollerstandort<br />
einfach so einrichten, dass die Clients versuchen können, einen Domänencontroller in<br />
einem angrenzenden Standort für die Anmeldung zu verwenden. Auch wenn die Server physisch nicht<br />
abgesichert werden können, sollten Sie am Standort keinen beschreibbaren Domänencontroller aufstellen.<br />
Wenn Sie sich tatsächlich entschließen, in einem Standort keinen Domänencontroller bereitzustellen,<br />
können Sie dennoch steuern, an welchen Domänencontrollern sich die Clients anmelden. Eine Option<br />
besteht darin, einen logischen Standort für den Zweigniederlassungsstandort zu konfigurieren und alle<br />
IP-Subnetze für die Niederlassung in den Standort aufzunehmen. Anschließend können Sie eine<br />
Standortverknüpfung zu einem oder mehreren vorhandenen Standorten konfigurieren.
204 Kapitel 5: Entwerfen der <strong>Active</strong> <strong>Directory</strong>-Domänendienstestruktur<br />
Durch die automatische Standortabdeckung wählen die AD DS die Domänencontroller in dem Standort<br />
aus, der über die günstigste Standortverknüpfung verbunden ist, um den Standort ohne Domänencontroller<br />
abzudecken. Eine zweite Methode zum Festlegen des Domänencontrollers, der für die<br />
Authentifizierung der Benutzer verwendet wird, besteht darin, IP-Subnetzobjekte für die Niederlassung<br />
ohne Domänencontroller zu erstellen und das IP-Subnetzobjekt anschließend einem vorhandenen<br />
Standort hinzuzufügen.<br />
Ein weiterer Aspekt, den Sie bei Bereitstellung mehrerer Domänen einplanen müssen, sind die Standorte<br />
der Gesamtstruktur-Stammdomänencontroller. Diese Domänencontroller sind erforderlich, wenn<br />
ein Benutzer auf eine Ressource in einer anderen Domänenstruktur zugreift oder wenn ein Benutzer<br />
sich an einer Domäne in einer anderen als der eigenen Domänenstruktur anmeldet. Aus diesem Grund<br />
sollten Sie Gesamtstruktur-Stammdomänencontroller in allen Niederlassungen aufstellen, in denen<br />
eine große Anzahl von Benutzern arbeitet oder in denen eine erhebliche Menge an Datenverkehr an<br />
die Stammdomänencontroller geleitet wird. Wenn in der Netzwerktopologie Ihres Unternehmens<br />
regionale Hubniederlassungen enthalten sind, sollten Sie die Bereitstellung eines Stammdomänencontrollers<br />
in jeder der Hubniederlassungen erwägen.<br />
Achtung Aufgrund der Bedeutung der Stammdomäne und der Auswirkungen auf die Gesamtstruktur,<br />
wenn die Stammdomäne jemals verloren gehen sollte, sollten die Gesamtstruktur-Stammdomänencontroller<br />
geografisch verteilt werden. Auch wenn es keinen ersichtlichen Grund für das Aufstellen eines Stammdomänencontrollers<br />
in Niederlassungen außerhalb des Hauptsitzes gibt, empfiehlt es sich dennoch, allein um<br />
geografische Redundanz zu gewährleisten. Wie alle Domänencontroller sollten jedoch auch die Stammdomänencontroller<br />
niemals in einer Niederlassung platziert werden, in der sie nicht physisch abgesichert werden<br />
können.<br />
Platzieren globaler Katalogserver<br />
Globale Katalogserver sind erforderlich, damit Benutzer sich an den AD DS-Domänen anmelden oder<br />
AD DS nach Verzeichnisinformationen durchsuchen können. Im Allgemeinen bedeutet das, dass Sie<br />
einen globalen Katalogserver in jedem Standort platzieren sollten. Dieses Ideal ist jedoch abzuwägen<br />
gegen den Replikationsdatenverkehr, der durch das Aufstellen eines globalen Katalogservers in jedem<br />
Standort entsteht. Wenn Sie in einem sehr großen Unternehmen mit mehreren umfangreichen Domänen<br />
arbeiten, ist der Replikationsdatenverkehr für den globalen Katalog beträchtlich.<br />
Eine Verbesserung an Windows Server 2003 <strong>Active</strong> <strong>Directory</strong> und Windows Server 2008 AD DS ist<br />
die Tatsache, dass Anmeldungen an einer Domäne ohne Zugriff auf einen globalen Katalogserver<br />
unterstützt werden. Dies wird durch die Unterstützung der Zwischenspeicherung der universellen<br />
Gruppenmitgliedschaft ermöglicht. Ist die Zwischenspeicherung der universellen Gruppenmitgliedschaft<br />
aktiviert, können Domänencontroller die universelle Gruppenmitgliedschaften für Benutzer in<br />
der Domäne zwischenspeichern. Wenn der Benutzer sich erstmals am Standort anmeldet, muss seine<br />
universelle Gruppenmitgliedschaft von einem globalen Katalogserver abgerufen werden. Nach der<br />
ersten Anmeldung speichert der Domänencontroller die universelle Gruppenmitgliedschaft des Benutzers<br />
jedoch auf unbestimmte Zeit zwischen. Die Zwischenspeicherung der universellen Gruppenmitgliedschaft<br />
auf dem Domänencontroller wird alle acht Stunden durch Kontaktieren eines festgelegten<br />
globalen Katalogservers aktualisiert. Zum Aktivieren der Zwischenspeicherung der universellen<br />
Gruppenmitgliedschaft öffnen Sie das Verwaltungsprogramm <strong>Active</strong> <strong>Directory</strong>-Standorte und<br />
-Dienste und erweitern das Standortobjekt für den Standort, in dem Sie diese Einstellung aktivieren<br />
möchten. Klicken Sie mit der rechten Maustaste auf das Objekt NTDS Site Settings, und wählen Sie<br />
Eigenschaften.
Entwerfen der Standorttopologie 205<br />
Wählen Sie auf der Registerkarte Standorteinstellungen die Option Zwischenspeichern der universellen<br />
Gruppenmitgliedschaft aktivieren, und wählen Sie in der Dropdownliste Cache aktualisieren<br />
von den Standort aus, in dem sich der nächste globale Katalogserver befindet.<br />
Entwerfen von Bereitstellungen schreibgeschützter Domänencontroller<br />
Eine der wichtigen neuen Funktionen in Windows Server 2008 ist die Option zum Bereitstellen von<br />
RODCs. RODCs bieten die gesamte Funktionalität, die Clients zur Authentifizierung benötigen, und<br />
gleichzeitig eine zusätzliche Sicherheit für Domänencontroller in Niederlassungen, in denen die physische<br />
Sicherheit des Domänencontrollers nicht sichergestellt werden kann. Beim Entwerfen der<br />
RODC-Bereitstellung müssen Sie sich mit der RODC-Platzierung, mit der Zwischenspeicherung der<br />
Benutzerkontokennwörter auf dem Server und mit der Konfiguration delegierter administrativer<br />
Berechtigungen für den Domänencontroller beschäftigen.<br />
Entwerfen der RODC-Platzierung RODCs sind für die Platzierung an Standorten ausgelegt, an denen<br />
Sie einen Domänencontroller einsetzen möchten, jedoch hinsichtlich der Sicherheit für den Domänencontroller<br />
Bedenken haben. Außerdem können Sie den Einsatz von RODCs in Niederlassungen erwägen,<br />
in denen keine Administratoren beschäftigt sind, die Änderungen an AD DS vornehmen müssten.<br />
In den meisten Fällen werden RODCs in Zweigniederlassungen eingesetzt, sie können jedoch<br />
auch zum Ausführen von Anwendungen verwenden werden, für die ein Domänencontroller erforderlich<br />
ist.<br />
Für die Entscheidung, ob ein RODC in einer Zweigniederlassung eingesetzt werden soll, gelten dieselben<br />
Überlegungen wie für den Einsatz eines Domänencontrollers bei geringerer physischer Sicherheit.<br />
Generell sollte ein RODC als einziger Domänencontroller für die zugehörige Domäne in einem<br />
Standort bereitgestellt werden. Beim Entwurf der Platzeriung von RODCs gibt es zwei zusätzliche<br />
Überlegungen:<br />
• Jeder RODC erfordert einen beschreibbaren Domänencontroller unter Windows Server 2008 für<br />
dieselbe Domäne, von dem der RODC direkt replizieren kann. RODCs können Änderungen an<br />
Schema, Konfiguration und Anwendungspartitionen von einem Windows Server 2003-Domänencontroller<br />
replizieren, jedoch nur Änderungen an der Domänenpartition von einem Windows Server<br />
2008-Domänencontroller. Das bedeutet, dass ein beschreibbarer Domänencontroller unter<br />
Windows Server 2008 in dem Standort platziert werden sollte, der in der Topologie am nächsten<br />
liegt. Wenn Sie Standortverknüpfungsbrücken nicht deaktiviert haben, ist dies kein absolutes<br />
Muss, wird jedoch dennoch dringend empfohlen.<br />
• Domänencontroller unter Windows Server 2003 führen eine automatische Standortabdeckung für<br />
Standorte mit RODCs durch. Anhand der automatischen Standortabdeckung wird sichergestellt,<br />
dass Clients in Domänen ohne Domänencontroller sich am nächstmöglichen Domänencontroller<br />
authentifizieren können. Domänencontroller unter Windows Server 2003 berücksichtigen keine<br />
RODCs bei der Auswertung des Standortabdeckungsbedarfs. Daher führen sie eine automatische<br />
Standortabdeckung für jeden Standort durch, der nur einen RODC für dieselbe Domäne enthält.<br />
Das bedeutet, dass Windows Server 2003-Domänencontroller standortspezifische SRV-Einträge<br />
für den Standort registrieren, was möglicherweise zur Folge hat, dass Clientcomputer sich an den<br />
Domänencontrollern außerhalb des Standorts und nicht am lokalen RODC authentifizieren. Um<br />
dies zu verhindern, können Sie folgendermaßen vorgehen:<br />
Stellen Sie sicher, dass alle Domänencontroller in dem Standort, der dem Standort mit dem<br />
RODC am nächsten liegt, Windows Server 2008 ausführen. Stellen Sie außerdem sicher, dass<br />
mindestens einer dieser Server ein globaler Katalogserver ist.
206 Kapitel 5: Entwerfen der <strong>Active</strong> <strong>Directory</strong>-Domänendienstestruktur<br />
<br />
<br />
<br />
Deaktivieren Sie die automatische Standortabdeckung auf Domänencontrollern unter Windows<br />
Server 2003. Dieser Schritt ist über die Registrierung möglich.<br />
Erhöhen Sie die Gewichtung der vom RODC registrierten DNS-SRV-Ressourceneinträge,<br />
oder verringern Sie die Priorität der von Windows Server 2003 registrierten SRV-Einträge,<br />
damit die Clientcomputer sich mit höherer Wahrscheinlichkeit eher am RODC als an einem<br />
Windows Server 2003-Domänencontroller authentifizieren.<br />
Konfigurieren Sie die Domänencontrollerlocator-DNS-Einträge über die Gruppenrichtlinien.<br />
Sie können den DNS-Locatoreinträgen über die Gruppenrichtlinien unterschiedliche Gewichtungen<br />
zuordnen.<br />
Weitere Informationen Einzelheiten zur Konfigurierung dieser Optionen finden Sie in englischer Sprache<br />
unter „Step-by-Step Guide for Read-Only Domain Controller in Windows Server 2008“ unter http://<br />
technet2.microsoft.com/windowsserver2008/en/library/ea8d253e-0646-490c-93d3-<br />
b78c5e1d9db71033.mspx?mfr=true.<br />
Entwerfen der RODC-Verwaltung Beim Entwerfen der Bereitstellung von RODCs müssen Sie auch die<br />
delegierte Verwaltung für die RODCs einplanen. Einer der Vorteile eines RODCs besteht darin, dass<br />
Sie einen delegierten lokalen Administrator für den RODC konfigurieren können, ohne Berechtigungen<br />
auf Domänenebene zu erteilen. Der delegierte Administrator kann sich für Wartungsarbeiten<br />
(z.B. zur Aktualisierung eines Treibers) an einem RODC anmelden. Er könnte sich jedoch nicht an<br />
einem anderen Domänencontroller anmelden oder andere Verwaltungsaufgaben in der Domäne ausführen.<br />
Die Delegierung von Administratorrechten für einen RODC sollte in Betracht gezogen werden, wenn<br />
sich der Domänencontroller an einem Zweigstellenstandort ohne Domänenadministratoren befindet.<br />
Auch wenn Sie die meisten administrativen Aufgaben remote durchführen können, steht der lokale<br />
Administrator zur Verfügung, wenn die WAN-Verbindung nicht verfügbar ist (sofern Sie die Zwischenspeicherung<br />
von Anmeldeinformationen für den lokalen Administrator aktiviert haben). Wenn<br />
Sie lokale Administratorberechtigungen delegieren, wird das Benutzerkonto keiner zusätzlichen<br />
Sicherheitsgruppe hinzugefügt. Stattdessen wird der Benutzer- oder Gruppenname in einem Attribut<br />
des RODC-Computerobjekts in den AD DS beibehalten, das beim Versuch des Benutzers, sich am<br />
RODC anzumelden, verwendet wird.<br />
Die Anmeldeinformationen des delegierten lokalen Administrators werden per Voreinstellung nicht<br />
auf dem RODC zwischengespeichert. Dies bedeutet, dass sich der delegierte lokale Administrator<br />
nicht am RODC anmelden kann, wenn kein beschreibbarer Domänencontroller verfügbar ist. Wenn<br />
Sie den delegierten Administrator hauptsächlich als Backup im Fall eines WAN-Ausfalls einsetzen<br />
möchten, müssen Sie für das Administratorkonto die Zwischenspeicherung von Anmeldeinformationen<br />
aktivieren. Außerdem müssen Sie sicherstellen, dass der Administrator vom RODC authentifiziert<br />
wurde oder dass der Zwischenspeicher für Anmeldeinformationen für dieses Benutzerkonto<br />
vorbelegt wurde.<br />
Entwerfen von Richtlinien zur Kennwortreplikation Eine weitere Entwurfsoption, die Sie für RODCs in<br />
Betracht ziehen müssen, ist die Zwischenspeicherung von Anmeldeinformationen. Standardmäßig<br />
werden lediglich die Anmeldeinformationen des RODC-Computerkontos und eines speziellen<br />
KRBTGT-Kontos auf dem RODC gespeichert. Dies bedeutet, dass der RODC bei der Authentifizierung<br />
eines Benutzers oder Computers gegenüber dem RODC über eine Verbindung zu einem<br />
beschreibbaren Domänencontroller verfügen muss. Bei Empfang der Authentifizierungsanforderung<br />
leitet der RODC diese an einen beschreibbaren Domänencontroller weiter.
Entwerfen der Standorttopologie 207<br />
Wenn die Kennwortreplikationsrichtlinie geändert wird, werden Kennwörter nach der nächsten<br />
erfolgreichen Anmeldung eines in der Richtlinie angegebenen Sicherheitsprinzipals auf dem RODC<br />
zwischengespeichert. Nachdem ein Konto erfolgreich authentifiziert wurde, versucht der RODC einen<br />
beschreibbaren Domänencontroller am Hubstandort zu kontaktieren und fordert eine Kopie der entsprechenden<br />
Anmeldeinformationen an. Der beschreibbare Domänencontroller erkennt, dass die<br />
Anforderung von einem RODC stammt, und fragt die für diesen RODC geltende Kennwortreplikationsrichtlinie<br />
ab. Wenn die Kennwortreplikationsrichtlinie dies zulässt, repliziert der beschreibbare<br />
Domänencontroller die Anmeldeinformationen auf dem RODC, und diese Informationen werden auf<br />
dem RODC zwischengespeichert. Nach der Zwischenspeicherung der Anmeldeinformationen auf<br />
dem RODC kann der RODC die Anmeldeanforderungen des Benutzers direkt verarbeiten, bis die<br />
Anmeldeinformationen oder die Kennwortreplikationsrichtlinie geändert werden.<br />
Bei der Implementierung einer Kennwortreplikationsrichtlinie müssen Sie Benutzerkomfort und<br />
Sicherheitsbedenken gegeneinander abwägen. Standardmäßig werden auf dem RODC keine Kennwörter<br />
zwischengespeichert. Zudem wird die Zwischenspeicherung von Anmeldeinformationen für<br />
alle Domänenadministratorgruppen durch die Richtlinie ausdrücklich verweigert. Wenn Sie die Standardeinstellung<br />
nicht ändern, können sich Benutzer nicht am RODC anmelden, wenn keine Verbindung<br />
zu einem beschreibbaren Windows Server 2008-Domänencontroller verfügbar ist. Wenn Sie für<br />
alle Konten die Zwischenspeicherung von Kennwörtern aktivieren, erhöht sich die Gefahr einer<br />
Sicherheitsverletzung auf dem RODC.<br />
Hinweis Wird die Sicherheit eines RODC beeinträchtigt, sollten Sie das RODC-Computerkonto aus <strong>Active</strong><br />
<strong>Directory</strong> entfernen und die Kennwörter für alle Benutzerkonten zurücksetzen, die auf dem Server zwischengespeichert<br />
sind. Wenn Sie das RODC-Konto löschen, erhalten Sie die Möglichkeit, eine Liste aller Konten<br />
mit auf dem RODC zwischengespeicherten Anmeldeinformationen zu exportieren. Wenn die Sicherheit des<br />
RODC verletzt wurde, sollten Sie außerdem eine Sicherheitsprüfung auf allen Arbeitsstationen im Standort<br />
durchführen, um sicherzustellen, dass nicht auch deren Sicherheit verletzt wurde.<br />
Bei der Implementierung einer Kennwortreplikationsrichtlinie stehen Ihnen drei grundsätzliche Optionen<br />
zur Verfügung:<br />
• Sie übernehmen die Standardkonfiguration, sodass keine Anmeldeinformationen auf dem Server zwischengespeichert<br />
werden. Diese Option ist möglich, wenn die Serversicherheit besonders wichtig<br />
und die WAN-Verbindung zwischen dem Standort mit dem RODC und einem Standort mit einem<br />
beschreibbaren Domänencontroller hoch verfügbar ist. Auch wenn diese Option die Anmeldung<br />
für Benutzer im Remotestandort nicht sonderlich verbessert, kann der RODC noch immer für<br />
Suchen im DNS und im globalen Katalog verwendet werden (falls diese Funktionen auf dem<br />
RODC installiert sind).<br />
• Sie erlauben oder verweigern die Zwischenspeicherung von Benutzer- oder Computeranmeldeinformationen<br />
auf dem Server explizit. Greifen Sie zu diesem Zweck auf die Eigenschaften des RODC-Computerkontos<br />
in <strong>Active</strong> <strong>Directory</strong>-Benutzer und -Computer zu, und fügen Sie der entsprechenden<br />
Liste Benutzer-, Gruppen- oder Computerkonten hinzu. Durch Auswahl dieser Option können Sie<br />
die Zwischenspeicherung von Anmeldeinformationen denjenigen Benutzern und Computern<br />
erlauben, die sich im Standort des RODC befinden. Wenn Sie die Eigenschaften des RODC-Computers<br />
in <strong>Active</strong> <strong>Directory</strong>-Benutzer und -Computer öffnen, können Sie feststellen, welche Benutzer<br />
und Computer sich am RODC authentifiziert haben. Anschließend können Sie diese Konten<br />
der Kennwortreplikationsrichtlinie hinzufügen und auch die Kennwörter auf dem RODC vordefinieren.<br />
Diese Option gewährleistet in den meisten Unternehmen ein ausgewogenes Verhältnis<br />
zwischen Benutzerkomfort und Sicherheitsbedenken.
208 Kapitel 5: Entwerfen der <strong>Active</strong> <strong>Directory</strong>-Domänendienstestruktur<br />
Wenn die Sicherheit des RODC beschädigt wird, ist nur eine begrenzte Anzahl an Anmeldeinformationen<br />
auf dem RODC gespeichert.<br />
• Sie konfigurieren die RODC-Replikationsgruppen für die Konfiguration der Zwischenspeicherung von<br />
Anmeldeinformationen. AD DS umfassen zwei Gruppen, die auf die Verwaltung der Zwischenspeicherung<br />
von Anmeldeinformationen durch RODCs ausgelegt sind:<br />
Die Gruppe mit Domänen-RODC-Kennwortreplikationserlaubnis enthält alle Konten, deren<br />
Anmeldeinformationen auf allen RODCs in der Domäne zwischengespeichert werden können.<br />
Wenn Sie dieser Liste einen Benutzer oder eine Gruppe hinzufügen, können dessen bzw.<br />
deren Anmeldeinformationen auf allen RODCs in der Domäne zwischengespeichert werden.<br />
Standardmäßig enthält diese Gruppe keine Mitglieder.<br />
Die Gruppe ohne Domänen-RODC-Kennwortreplikationserlaubnis enthält alle Konten, deren<br />
Anmeldeinformationen nicht auf allen RODCs in der Domäne zwischengespeichert werden<br />
können. Standardmäßig enthält diese Gurppe alle Administratorkonten und alle Domänencontrollerkonten.<br />
Die Gruppe ohne Domänen-RODC-Kennwortreplikationserlaubnis hat Vorrang<br />
vor der Gruppe mit Domänen-RODC-Kennwortreplikationserlaubnis; wenn daher ein Benutzer<br />
oder ein Computer in beiden Gruppen enthalten ist, können die Anmeldeinformationen<br />
nicht auf dem RODC zwischengespeichert werden.<br />
Wählen Sie diese Option, wenn Sie eine konsistente Kennwortreplikationsrichtlinie auf alle RODCs<br />
in der Domäne anwenden möchten. Wenn Sie beispielsweise eine Gruppe von Benutzern verwalten,<br />
die häufig zu allen Remotestandorten mit RODCs reisen, können Sie diese Gruppe der Gruppe mit<br />
Domänen-RODC-Kennwortreplikationserlaubnis hinzufügen. Die Kennwortzwischenspeicherung<br />
kann dennoch für lokale Benutzer aktiviert werden, indem Sie lokale Gruppen direkt der Kennwortreplikationsrichtlinie<br />
hinzufügen.<br />
Achtung Ein weiterer Faktor, den Sie bei der Bereitstellung von RODCs berücksichtigen sollten, ist die<br />
Anwendungskompatibilität. Die meisten Anwendungen, die AD DS verwenden, funktionieren auch dann,<br />
wenn sie sich mit einer schreibgeschützten Version des Datenspeichers verbinden; Anwendungen, die<br />
Schreibzugriff auf AD DS verlangen, funktionieren jedoch möglicherweise nicht. Einzelheiten zu Anwendungen,<br />
die mit RODCs funktionieren, und Vorschläge dazu, wie die Kompatibilität von Drittanbieterprodukten<br />
mit RODCs getestet werden kann, finden Sie unter „Application Compatibility with Read-Only Domain<br />
Controllers“ unter http://technet2.microsoft.com/windowsserver2008/en/library/f1b06c27-0f6a-4932-afe6-<br />
a70749f8ab2f1033.mspx.<br />
Ermitteln von Betriebsmasterservern<br />
Der wichtigste Betriebsmaster für alltägliche Operationen ist der PDC-Emulator (primärer Domänencontroller).<br />
Dieser Server ist besonders wichtig, wenn Ihr Unternehmen Clients der Vorgängerversionen<br />
Windows NT oder Window 9x umfasst, da diese Clients sich mit dem PDC-Emulator verbinden<br />
müssen, um ihre Kennwörter zu ändern. Selbst wenn Ihr Unternehmen diese älteren Clients nicht verwendet,<br />
erhält der PDC-Emulator dennoch weiterhin Änderungen hoher Priorität, wie z.B. Änderungen<br />
am Benutzerkennwort. Demzufolge ist die Platzierung des PDC-Emulators wichtig. Der PDC-<br />
Emulator sollte an einem zentralen Ort platziert werden, an dem die Höchstzahl an Clients sich mit<br />
dem Server verbinden kann.<br />
Die Platzierung der anderen Betriebsmaster ist nicht so wichtig, da es nur minimale Auswirkungen<br />
hat, wenn diese Server vorübergehend nicht erreichbar sind. Wenden Sie beim Planen der Betriebsmasterplatzierung<br />
folgendes Prinzip an:
Zusammenfassung 209<br />
• Nach Möglichkeit sollten der Schemamaster, der Domänennamenmaster und der RID-Master<br />
(Relative Identifier) an einem Standort platziert werden, in dem sich auch ein anderer Domänencontroller<br />
als direkter Replikationspartner befindet. Diese Maßnahme dient der Notfallwiederherstellung.<br />
Wenn einer der Server ausfällt, müssen Sie möglicherweise die Betriebsmasterrolle auf<br />
einen anderen Domänencontroller übertragen. Idealerweise sollten Sie die Rolle auf einen anderen<br />
Domänencontroller übertragen, der mit dem ursprünglichen Betriebsmaster vollständig repliziert<br />
ist. Dies ist wahrscheinlich eher der Fall, wenn sich die beiden Domänencontroller in<br />
demselben Standort befinden und als direkte Replikationspartner konfiguriert sind.<br />
• Der RID-Master muss allen Domänencontrollern über eine RPC-Verbindung (Remote Procedure<br />
Call) zugänglich sein. Wenn ein Domänencontroller mehr RIDs benötigt, fordert er diese vom<br />
RID-Master über eine RPC-Verbindung an.<br />
• Der Infrastrukturmaster sollte sich nicht auf einem globalen Katalogserver befinden, wenn Sie<br />
mehrere Domänen verwenden. Die Rolle des Infrastrukturmasters besteht darin, Verweise auf<br />
Objektanzeigenamen zwischen Domänen zu aktualisieren. Wenn beispielsweise ein Benutzerkonto<br />
umbenannt wird und der Benutzer Mitglied einer universellen Gruppe ist, aktualisiert der<br />
Infrastrukturmaster den Benutzernamen. Wenn sich der Infrastrukturmaster auf einem globalen<br />
Katalogserver befindet, kann er nicht funktionieren, da der globale Katalog ständig mit den neuesten<br />
globalen Informationen aktualisiert wird. Demzufolge erkennt der Infrastrukturmaster niemals<br />
veraltete Informationen und aktualisiert daher auch niemals domänenübergreifende<br />
Informationen.<br />
Allgemein gilt folgende Regel: Wenn ein Unternehmen einen zentralen Standort besitzt, in dem sich<br />
die meisten Benutzer befinden, sollten alle Betriebsmaster in diesem Standort platziert werden.<br />
Zusammenfassung<br />
Der AD DS-Entwurf ist ein Thema, das allein bereits ein ganzes Buch füllen könnte. Wie in diesem<br />
Kapitel beschrieben wurde, besteht der AD DS-Entwurf aus folgenden Phasen: Erkennen der Anforderungen<br />
des Unternehmens an den AD DS-Entwurf, Entwerfen der obersten Komponenten und<br />
anschließend Entwerfen der Komponenten niedrigerer Ebenen, um sie an diese Entwürfe anzupassen.<br />
Das bedeutet, dass im ersten Schritt des AD DS-Entwurfs die Gesamtstruktur entworfen wird. Danach<br />
folgt der Entwurf der Domänen, dann der DNS-Entwurf und schließlich der OU-Entwurf. Während<br />
Sie die logische AD DS-Struktur entwerfen, müssen Sie auch die physischen AD DS-Komponenten<br />
planen, indem Sie die Standorte und die Platzierungen der Domänencontroller entwerfen.<br />
Empfohlene Vorgehensweisen<br />
• Beim Erstellen eines Gesamtstrukturentwurfs beginnen Sie immer in der Erwartung, dass Sie nur<br />
eine einzige Gesamtstruktur implementieren werden. Dies ist die einfachste Option für Bereitstellung<br />
und Verwaltung, die automatisch Zusammenarbeitsfunktionen wie die Suche im globalen<br />
Katalog und Exchange Server-Funktionen ermöglicht. Seien Sie jedoch darauf vorbereitet, dass<br />
zusätzliche Gesamtstrukturen zur administrativen Isolation erforderlich sein können.<br />
• In einem Unternehmen mit mehreren Domänen wird die Erstellung einer dedizierten Stammdomäne<br />
dringend empfohlen. Dieser Entwurf vereinfacht die Bereitstellung geografischer Redundanz<br />
für die Stammdomäne und trennt Gesamtstrukturadministratoren von Domänenadministratoren.
210 Kapitel 5: Entwerfen der <strong>Active</strong> <strong>Directory</strong>-Domänendienstestruktur<br />
• Machen Sie DNS-Server, auf denen AD DS-Domäneneinträge gehostet werden, niemals für das<br />
Internet zugänglich. Wenn Sie denselben Namespace sowohl intern als auch extern nutzen, implementieren<br />
Sie ein geteiltes DNS, in dem zwei verschiedene Server die interne und die externe<br />
Zone hosten.<br />
• Implementieren Sie selbst dann AD DS-integrierte Zonen für AD DS-Domänen, wenn Sie eine<br />
DNS-Serverinfrastruktur für andere DNS-Funktionalitäten in Ihrem Unternehmen verwalten. AD<br />
DS-integrierte Zonen bieten ein hohes Maß an Redundanz, indem sie allen DNS-Servern das Verwalten<br />
beschreibbarer Kopien der Zonendateien ermöglichen.<br />
• Wenn Sie entscheiden, dass Sie einen Domänencontroller in einer Niederlassung installieren müssen,<br />
erstellen Sie für diese Niederlassung einen Standort. Wenn Sie die physische Sicherheit des<br />
Domänencontrollers nicht sicherstellen können, stellen Sie einen RODC bereit.<br />
Zusätzliche Ressourcen<br />
Verwandte Informationen<br />
• In Kapitel 4, „<strong>Active</strong> <strong>Directory</strong>-Domänendienstreplikation“, wird die Konfiguration von AD DS-<br />
Standorten und Replikation im Detail behandelt.<br />
• Kapitel 6, „Installieren der <strong>Active</strong> <strong>Directory</strong>-Domänendienste“, enthält Einzelheiten zur Installation<br />
von AD DS-Domänencontrollern sowie zur Konfiguration von RODC-Einstellungen.<br />
• Kapitel 9, „Delegieren der <strong>Active</strong> <strong>Directory</strong>-Domänendiensteverwaltung“, und Kapitel 11, „Einführung<br />
in Gruppenrichtlinien“, sollten vor dem Erstellen eines OU-Entwurfs gelesen werden, da<br />
die in diesen Kapiteln behandelten Themen beim Erstellen des Entwurfs relevant sind.<br />
• „Multiple Forest Considerations in Windows 2000 and Windows Server 2003“ unter<br />
http://technet2.microsoft.com/windowsserver/en/library/bda0d769-a663-42f4-879ff548b19a8c7e1033.mspx?mfr=true<br />
• Das englischsprachige Whitepaper „Windows 2000/2003: Multiple Forests Considerations“ unter<br />
http://www.microsoft.com/downloads/details.aspx?familyid=b717bfcd-6c1c-4af6-8b2cb604e60067ba&displaylang=en<br />
• „Domain Rename Technical Reference“ unter http://technet2.microsoft.com/windowsserver/en/<br />
library/35e63f1e-f097-4c9c-a788-efc840d781931033.mspx?mfr=true<br />
• „Windows Server 2003 <strong>Active</strong> <strong>Directory</strong> Branch Office Guide“ unter<br />
http://www.microsoft.com/downloads/details.aspx?FamilyId=9353A4F6-A8A8-40BB-9FA7-<br />
3A95C9540112&displaylang=en<br />
• „Creating a Forest Design“ unter http://technet2.microsoft.com/windowsserver/en/library/<br />
ff92f142-66ea-498b-ad0f-a379c411eb6e1033.mspx?mfr=true<br />
• „Determining the Number of Domains Required“ unter http://technet2.microsoft.com/<br />
windowsserver/en/library/d390f147-22bc-4ce3-8967-e65d969bc40b1033.mspx?mfr=true<br />
• Die folgenden Artikel behandeln die Auswirkungen der Bereitstellung von Exchange Server 2007<br />
auf die Erstellung eines AD DS-Entwurfs:<br />
„Planung für eine komplexe Exchange-Organisation“ unter http://technet.microsoft.com/dede/library/aa996010.aspx<br />
„Guidance on <strong>Active</strong> <strong>Directory</strong> Design for Exchange Server 2007“ unter<br />
http://msexchangeteam.com/archive/2007/03/28/437313.aspx
Zusätzliche Ressourcen 211<br />
„Dedicated <strong>Active</strong> <strong>Directory</strong> Sites for Exchange“ unter http://msexchangeteam.com/archive/<br />
2006/08/28/428776.aspx<br />
„Planen von <strong>Active</strong> <strong>Directory</strong>“ unter http://technet.microsoft.com/de-de/library/<br />
bb123715.aspx<br />
• „Application Compatibility with Read-Only Domain Controllers“ unter<br />
http://technet2.microsoft.com/windowsserver2008/en/library/f1b06c27-0f6a-4932-afe6-<br />
a70749f8ab2f1033.mspx<br />
Ressourcen auf der CD<br />
• Bei ListDomainControllers.ps1 handelt es sich um ein Windows PowerShell-Skript, das alle<br />
Domänencontroller in einer Domäne und alle globalen Katalogserver in einer Gesamtstruktur auflistet.<br />
• Das Windows PowerShell-Skript ListFSMOs.ps1 dient zum Auflisten aller Betriebsmasterserver<br />
in Gesamtstruktur und Domäne.<br />
• ListADDSDomains.ps1 ist ein Windows PowerShell-Skript zum Auflisten von Informationen zu<br />
sämtlichen Domänen in einer Gesamtstruktur.<br />
• ListADDSSites.ps1 ist ein Windows PowerShell-Skript zum Auflisten von Informationen zu sämtlichen<br />
Standorten in einer Gesamtstruktur.<br />
• Current<strong>Directory</strong>Environment.xlsx und CurrentNetworkEnvironment.xlsx sind Arbeitsblätter, die<br />
zum Dokumentieren der aktuellen Verzeichnis- und Netzwerkumgebung Ihres Unternehmens verwendet<br />
werden können.<br />
• Die CD enthält mehrere Microsoft Office Visio-Vorlagen, mit denen Sie LAN- und WAN-Konfigurationen<br />
in Diagrammform entwerfen können, sowie ein Beispiel-WAN-Diagramm,<br />
WANDiagram_Sample.vsd.<br />
• ADDS_DesignDocument.xlsx ist ein Arbeitsblatt, das zum Dokumentieren von AD DS-Entwurfsentscheidungen<br />
und des AD DS-Entwurfs verwendet werden kann.
213<br />
K A P I T E L 6<br />
Installieren der <strong>Active</strong> <strong>Directory</strong>-Domänendienste<br />
Inhalt dieses Kapitels:<br />
Voraussetzungen für die AD DS-Installation . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 213<br />
Grundlegendes zu den AD DS-Installationsoptionen. . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 218<br />
Verwenden des Assistenten zum Installieren von <strong>Active</strong> <strong>Directory</strong>-Domänendiensten . . . . . . . . . . . . . . . . . 221<br />
Durchführen einer unbeaufsichtigten Installation . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 231<br />
Bereitstellen schreibgeschützter Domänencontroller. . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 234<br />
Entfernen der AD DS . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 235<br />
Zusammenfassung. . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 239<br />
Zusätzliche Ressourcen. . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 240<br />
Die Installation der <strong>Active</strong> <strong>Directory</strong>-Domänendienste (<strong>Active</strong> <strong>Directory</strong> Domain Services, AD DS)<br />
auf einem Server mit Windows Server 2008 ist ein unkomplizierter Vorgang. Dies ist auf den gut entworfenen<br />
Assistenten zum Installieren von <strong>Active</strong> <strong>Directory</strong>-Domänendiensten zurückzuführen, die<br />
zum Installieren der Dienste verwendete Benutzeroberfläche. Nach der Installation der AD DS auf<br />
einem Windows Server 2008-Computer nimmt dieser die Rolle eines Domänencontrollers (Domain<br />
Controller, DC) ein. Dieser Vorgang wird auch als Heraufstufung bezeichnet, d.h. ein Mitgliedsserver<br />
wird zu einem Domänencontroller heraufgestuft. Sofern es sich bei dem heraufgestuften Server um<br />
den ersten Domänencontroller in einer neuen Domäne und der Gesamtstruktur handelt, wird eine neue<br />
Verzeichnisdatenbank zum Speichern von Verzeichnisdienstobjekten erstellt. Wenn es sich um einen<br />
zusätzlichen Domänencontroller in einer vorhandenen Domäne handelt, werden durch das Replikationsverfahren<br />
sämtliche Verzeichnisdienstobjekte dieser Domäne an den neuen Domänencontroller<br />
weitergegeben.<br />
In diesem Kapitel wird die Navigation im Assistenten zum Installieren von <strong>Active</strong> <strong>Directory</strong>-<br />
Domänendiensten erläutert, und Sie erfahren, wie Sie eine unbeaufsichtigte Installation oder eine<br />
Installation von Medium (Installing From Media, IFM) durchführen. Die Installation eines schreibgeschützten<br />
Domänencontrollers (Read-Only Domain Controller, RODC) wird ebenfalls erläutert.<br />
Abschließend wird der Vorgang zum Entfernen der AD DS von einem Domänencontroller vorgestellt.<br />
Voraussetzungen für die AD DS-Installation<br />
Jeder Windows Server 2008-Server, der die im folgenden Abschnitt erläuterten Voraussetzungen<br />
erfüllt, kann die AD DS hosten und die Rolle eines Domänencontrollers übernehmen. Tatsächlich<br />
handelt es sich bei jedem neuen Domänencontroller bis zum Abschluss der AD-DS-Installation<br />
zunächst um einen eigenständigen Server. Bei der Installation werden zwei wichtige Vorgänge ausgeführt.<br />
Der erste Vorgang besteht im Erstellen oder Füllen der Verzeichnisdatenbank.
214 Kapitel 6: Installieren der <strong>Active</strong> <strong>Directory</strong>-Domänendienste<br />
Im zweiten Vorgang werden die AD DS gestartet, damit der Server auf Domänenanmeldeversuche<br />
und LDAP-Anforderungen (Lightweight <strong>Directory</strong> Access Protocol, LDAP) antworten kann.<br />
Nach der Installation der AD DS wird die Verzeichnisdatenbank auf der Festplatte des Domänencontrollers<br />
in der Datei Ntds.dit gespeichert. Bei der Installation von Windows Server 2008 werden für<br />
die Installation der AD DS die erforderlichen Pakete auf den Computer kopiert. Während der Installation<br />
der AD DS wird die Datenbank Ntds.dit erstellt und an einen während des Installationsvorgangs<br />
festgelegten Speicherort kopiert. Falls kein Speicherort angegeben ist, wird die Datenbank standardmäßig<br />
im Pfad %systemroot%\NTDS gespeichert. Bei der Installation werden außerdem sämtliche<br />
zum Betreiben des Verzeichnisdiensts erforderlichen Tools und DLLs (Dynamic-Link Library)<br />
installiert.<br />
In den folgenden Abschnitten werden die Voraussetzungen für die Installation der AD DS auf einem<br />
Windows Server 2008-Computer erläutert.<br />
Festplattenspeicheranforderungen<br />
Der für das Hosten von <strong>Active</strong> <strong>Directory</strong> erforderliche Festplattenspeicherplatz ist letztlich von der<br />
Anzahl an Objekten in der Domäne sowie in einer Umgebung mit mehreren Domänen davon abhängig,<br />
ob der Domänencontroller als globaler Katalogserver (Global Catalog, GC) konfiguriert ist. Für<br />
die Installation von Windows Server 2008 gelten die folgenden Festplattenspeicheranforderungen:<br />
• Mindestens: 10 GB<br />
• Empfohlen: 40 GB oder mehr<br />
Hinweis Für eine Server Core-Installation werden lediglich etwa 1 GB Festplattenspeicher für die Installation<br />
und etwa 2 GB für Vorgänge nach der Installation benötigt.<br />
Für die Installation der AD DS auf einem neu eingerichteten Windows Server 2008-Computer gelten<br />
die folgenden Mindestanforderungen in Bezug auf den Festplattenspeicher:<br />
• 15 MB freier Speicherplatz auf der Partition für die Systeminstallation<br />
• 250 MB freier Speicherplatz für die AD DS-Datenbank Ntds.dit<br />
• 50 MB freier Speicherplatz für die ESENT-Protokolldateien (Extensible Storage Engine Transaction,<br />
ESENT) Bei ESENT handelt es sich um ein transaktives Datenbanksystem, das anhand von<br />
Protokolldateien die Rollbacksemantik unterstützt, um das Übernehmen von Transaktionen in die<br />
Datenbank sicherzustellen.<br />
Für Windows Server 2003-Domänencontroller, die auf Windows Server 2008 aktualisiert werden sollen,<br />
gelten zusätzliche Voraussetzungen für den Festplattenspeicher. Es muss ausreichend Festplattenspeicher<br />
für die folgenden Ressourcen vorhanden sein:<br />
• Anwendungsdaten (%AppData%)<br />
• Programme (%ProgramFiles%)<br />
• Benutzerdaten (%SystemDrive%\Dokumente und Einstellungen)<br />
• Windows-Verzeichnis (%WinDir%)<br />
Für eine AD DS-Installation in einem Upgradeszenario muss mindestens soviel freier Festplattenspeicherplatz<br />
vorhanden sein, wie für die vier genannten Ressourcen (und ihre Unterordner) benötigt<br />
wird. Bei einer Standardinstallation von <strong>Active</strong> <strong>Directory</strong> werden sowohl die NTDS-Datenbank als<br />
auch die Protokolldateien im Ordner %WinDir%\NTDS gespeichert.
Voraussetzungen für die AD DS-Installation 215<br />
Dies muss in der Berechnung des für das Upgrade erforderlichen Festplattenspeichers berücksichtigt<br />
werden. Während der Upgrades werden diese Ressourcen – einschließlich NTDS-Datenbank und Protokolldateien<br />
– an einen Quarantänespeicherort kopiert und im Anschluss an die Aktualisierung wieder<br />
an den ursprünglichen Speicherort zurückkopiert. Der für den Kopiervorgang der <strong>Active</strong> <strong>Directory</strong>-Dateien<br />
reservierte Festplattenspeicher wird anschließend als freier Speicherplatz an das<br />
Dateisystem zurückgegeben.<br />
Zusätzlich zu den hier aufgeführten Festplattenanforderungen muss mindestens ein logisches Laufwerk<br />
mit dem NTFS-Dateisystem formatiert werden, um die Installation des SYSVOL-Ordners zu<br />
unterstützen. Während des Upgradeszenarios wird der SYSVOL-Ordner im Gegensatz zu der Datenbank<br />
Ntds.dit und den Protokolldateien verschoben und nicht kopiert. Aus diesem Grund ist für diese<br />
Ressource kein zusätzlich freier Festplattenspeicher erforderlich.<br />
Bevor Sie eine neue Windows Server 2008-Domäne in einer Windows 2000 Server- oder<br />
Windows Server 2003-Gesamtstruktur erstellen, müssen Sie die vorhandene Umgebung durch eine<br />
Schemaerweiterung auf die Verwendung von Windows Server 2008 vorbereiten. Durch die Ausführung<br />
von Adprep.exe können Sie sicherstellen, dass das vorhandene <strong>Active</strong> <strong>Directory</strong>-Schema auf die<br />
Interoperabilität mit den auf einem Windows Server 2008-Computer installierten AD DS vorbereitet<br />
ist. Das Tool Adprep wird in Kapitel 7, „Migrieren auf die <strong>Active</strong> <strong>Directory</strong>-Domänendienste“, ausführlich<br />
behandelt.<br />
Netzwerkkonnektivität<br />
Überprüfen Sie nach der Installation von Windows Server 2008 und vor der Installation der AD DS,<br />
ob der Server ordnungsgemäß für die Netzwerkkonnektivität konfiguriert ist. Versuchen Sie im Rahmen<br />
dieser Überprüfung, eine Verbindung zu einem anderen Computer im Netzwerk herzustellen.<br />
Geben Sie hierzu entweder den UNC-Pfad oder die IP-Adresse des Zielcomputers in die Adresszeile<br />
von Windows Explorer ein, oder verwenden Sie das Dienstprogramm Ping (geben Sie z.B. an der<br />
Befehlszeile den Befehl ping 192.168.1.1 ein). Zusätzlich zur Überprüfung der Netzwerkkonnektivität<br />
müssen Sie prüfen, ob für eine Unterstützung des domänencontrollerbasierten Netzwerkdatenverkehrs<br />
während der Entwurfsphase der AD DS-Implementierung ausreichend Bandbreite im<br />
Netzwerksegment zur Verfügung steht. Weitere Informationen zur Planung der Platzierung von<br />
Domänencontrollern werden in Kapitel 5, „Entwerfen der <strong>Active</strong> <strong>Directory</strong>-Domänendienstestruktur“,<br />
bereitgestellt.<br />
Vor der Installation der AD DS sollten Sie außerdem im Dialogfeld Eigenschaften von LAN-Verbindung<br />
die TCP/IP-Einstellungen (Transmission Control Protocol/Internet Protocol, TCP/IP) konfigurieren.<br />
Klicken Sie hierzu im Ordner Netzwerkverbindungen mit der rechten Maustaste auf das Objekt<br />
LAN-Verbindung, öffnen Sie im Bereich Netzwerk- und Freigabecenter die Option Netzwerkverbindungen<br />
verwalten, und wählen Sie dann Eigenschaften. Wählen Sie im Dialogfeld Eigenschaften von<br />
LAN-Verbindung die Option Internetprotokoll, Version 4 (TCP/IPv4) und/oder Internetprotokoll, Version<br />
6 (TCP/IPv6), und klicken Sie dann auf Eigenschaften. Führen Sie im Dialogfeld Internetprotokolleigenschaften<br />
(TCP/IP) die folgenden Schritte aus:<br />
• Geben Sie auf der Registerkarte Allgemein eine statische IP-Adresse für den Computer ein.<br />
• Soll der Domänencontroller, den Sie installieren möchten, nicht als DNS-Server dienen, müssen<br />
Sie auf der Registerkarte Allgemein für die DNS-Serveradresse die IP-Adresse des DNS-Servers<br />
eingeben, der für die Domäne autorisierend ist. Weitere Informationen zur Konfiguration von<br />
DNS für die Installation der AD DS erhalten Sie im folgenden Abschnitt.
216 Kapitel 6: Installieren der <strong>Active</strong> <strong>Directory</strong>-Domänendienste<br />
• Wählen Sie für den IPv4-Stapel auf der Seite Erweiterte TCP/IP-Einstellungen im Bereich Internetprotokoll,<br />
Version 4 (TCP/IPv4) auf der Registerkarte Allgemein die Option Erweitert, und klicken<br />
Sie auf die Registerkarte WINS. Geben Sie hier für den Server die IP-Adresse des WINS-<br />
Servers (Windows Internet Naming Service, WINS) ein, den der Domänencontroller verwendet.<br />
(Für den IPv6-Stapel gibt es keine WINS-Einstellungen.)<br />
DNS<br />
Die AD DS benötigen DNS für die Ressourcenermittlung. Clientcomputer verwenden DNS zum<br />
Ermitteln von Domänencontrollern, um sich selbst und die Netzwerkbenutzer zu authentifizieren<br />
sowie Verzeichnisabfragen zum Ermitteln veröffentlichter Ressourcen durchzuführen. Zudem muss<br />
der DNS-Dienst Ressourceneinträge für die Dienstidentifizierung (Service Locator, SRV) unterstützen,<br />
und es wird die Unterstützung dynamischer Aktualisierungen empfohlen. Ist DNS nicht im Netzwerk<br />
installiert, wird der Dienst durch den Assistenten zum Installieren von <strong>Active</strong> <strong>Directory</strong>-Domänendiensten<br />
zusammen mit den AD DS installiert und konfiguriert.<br />
Hinweis Für Windows Server 2003 wird die DNS-Installation bei Bedarf angeboten. In Windows<br />
Server 2008 erfolgt die Installation und Konfiguration (sofern erforderlich) automatisch. Bei einer Installation<br />
von DNS auf dem ersten Domänencontroller in einer untergeordneten Domäne mit Windows Server 2008<br />
wird in DNS automatisch eine Delegierung für die neue Domäne erstellt. Sie können DNS jedoch auch<br />
manuell installieren und konfigurieren.<br />
Administratorrechte<br />
Zum Installieren oder Entfernen der AD DS müssen Sie Kontoanmeldeinformationen mit Administratorrechten<br />
angeben. Die Art der Kontoberechtigungen, die Sie für eine Installation einer<br />
AD DS-Domäne benötigen, hängt vom Installationsszenario ab: Installation einer neuen Windows<br />
Server 2008-Gesamtstruktur, Installation einer neuen Windows Server 2008-Domäne in einer vorhandenen<br />
Gesamtstruktur oder Installation eines neuen Windows Server 2008-Domänencontrollers in<br />
einer vorhandenen Domäne. Der Assistent zum Installieren von <strong>Active</strong> <strong>Directory</strong>-Domänendiensten<br />
überprüft die Kontoberechtigungen vor der Installation der Verzeichnisdienste. Sind Sie nicht über ein<br />
Konto mit Administratorenberechtigungen angemeldet, fordert der Assistent Sie zum Eingeben der<br />
entsprechenden Kontoanmeldeinformationen auf.<br />
Wenn Sie eine neue Gesamtstruktur-Stammdomäne erstellen möchten, müssen Sie als lokaler Administrator<br />
angemeldet sein, Sie müssen jedoch keine Sicherheitsinformationen für das Netzwerk angeben.<br />
Möchten Sie eine neue Strukturstammdomäne oder eine neue untergeordnete Domäne in einer<br />
vorhandenen Struktur erstellen, müssen Sie zur Installation der Domäne Sicherheitsinformationen für<br />
das Netzwerk bereitstellen. Bei der Erstellung einer neuen Strukturstammdomäne müssen Sie die<br />
Kontoanmeldeinformationen eines Mitglieds der Gruppe Organisations-Admins angeben. Wenn Sie<br />
einen zusätzlichen Domänencontroller in einer vorhandenen Domäne installieren möchten, müssen<br />
Sie ein Mitglied der globalen Gruppe Domänen-Admins sein.<br />
Betriebssystemkompatibilität<br />
Domänencontroller mit Windows Server 2008 sind sicherer als Domänencontroller, auf denen ältere<br />
Versionen des Windows Server-Betriebssystem ausgeführt werden.
Voraussetzungen für die AD DS-Installation 217<br />
Der Assistent zum Installieren von <strong>Active</strong> <strong>Directory</strong>-Domänendiensten liefert Informationen dazu,<br />
wie sich diese Sicherheit auf die Clientanmeldung auswirkt. Die Standardsicherheitsrichtlinie für<br />
Domänencontroller unter Windows Server 2008 erfordert zwei Sicherheitsebenen für die Kommunikation<br />
des Domänencontrollers: SMB-Signatur und -Verschlüsselung (Server Message Block) sowie<br />
die Signatur von Netzwerkdatenverkehr über einen sicheren Kanal.<br />
Diese Features zur Domänencontrollersicherheit können für kompatible Clientcomputer und einige<br />
Drittanbieteranwendungen bei der Anmeldung ein Problem darstellen. Dies hat auch Auswirkungen<br />
auf die kompatiblen Clientbetriebssysteme in einer gemischten Domänencontrollerumgebung mit<br />
Windows Server 2008-Betriebssystemen und Vorgängerversionen. Hier können zeitweilige Fehler<br />
auftreten, wenn Windows Server 2008-Domänencontroller Authentifizierungsanforderungen und<br />
Anforderungen zum Hinzufügen zur Domäne bearbeiten.<br />
Domänencontroller unter Windows Server 2008 werden mit einer „Richtlinie“ konfiguriert, die es<br />
nicht zulässt, dass Windows- und Drittanbieterclients mit unsicheren Kryptografiemethoden sichere<br />
Kanäle zu diesen DCs aufbauen.<br />
Um dieses Problem zu lösen, sollten Sie inkompatible Clients aktualisieren, damit diese Kryptografiemethoden<br />
verwenden, die mit den standardmäßigen Sicherheitseinstellungen von Windows Server<br />
2008 kompatibel sind. Hierzu müssen Sie ggf. aktualisierte Software vom jeweiligen Anbieter anfordern.<br />
Können inkompatible Clients nicht aktualisiert werden, ohne dass es zu einem Dienstausfall kommt,<br />
müssen Sie die folgenden Schritte ausführen:<br />
1. Melden Sie sich an der Konsole eines Windows Server 2008-Domänencontrollers an.<br />
2. Starten Sie die Konsole Gruppenrichtlinienverwaltung.<br />
3. Bearbeiten Sie die Standardrichtlinie für die Domänencontroller.<br />
4. Wählen Sie den folgenden Pfad im Gruppenrichtlinien-Editor: Computerkonfiguration|Richtlinien|Administrative<br />
Vorlagen|System|Netzwerkanmeldung<br />
5. Legen Sie die Option Mit Windows NT 4.0 kompatible Kryptografiealgorithmen zulassen auf Aktiviert<br />
fest.<br />
Hinweis Die Standardeinstellung der Standarddomänenrichtlinie, der Standard-Domänencontrollerrichtlinie<br />
und der lokalen Richtlinie für die Option Mit Windows NT 4.0 kompatible Kryptografiealgorithmen<br />
zulassen lautet Nicht konfiguriert. Das Standardverhalten von Windows Server 2008-Domänencontrollern<br />
sieht jedoch programmatisch vor, dass Verbindungen mit Verwendung NT 4.0-basierter<br />
Kryptografiealgorithmen nicht zulässig sind. Dadurch können Tools, welche die effektiven Richtlinieneinstellungen<br />
auf einem Mitgliedscomputer oder Domänencontroller auflisten, die Option Mit Windows<br />
NT 4.0 kompatible Kryptografiealgorithmen zulassen nicht ermitteln – es sei denn, diese ist ausdrücklich<br />
in einer Richtlinie aktiviert oder deaktiviert.<br />
Die Option Mit Windows NT 4.0 kompatible Kryptografiealgorithmen zulassen findet bei Domänencontrollern<br />
unter Windows 2000 und Windows Server 2003 in der effektiven Richtlinie keine Anwendung. Daher<br />
bearbeiten Domänencontroller mit Vorgängerversionen von Windows Server 2008 weiterhin Anforderungen<br />
für sichere Kanäle von Computern, die NT 4.0-basierte Kryptografiemethoden verwenden. Dies<br />
kann zu inkonsistenten Ergebnissen führen, wenn Anforderungen für sichere Kanäle zeitweilig von Windows<br />
Server 2008-Domänencontrollern verarbeitet werden.
218 Kapitel 6: Installieren der <strong>Active</strong> <strong>Directory</strong>-Domänendienste<br />
6. Installieren Sie korrigierende Fixes, oder verwenden Sie keine inkompatiblen Clients.<br />
7. Legen Sie die Option Mit Windows NT 4.0 kompatible Kryptografiealgorithmen zulassen auf<br />
Deaktiviert fest, nachdem weniger sichere Clients und Geräte aktualisiert oder aus der Domäne<br />
entfernt wurden.<br />
Grundlegendes zu den AD DS-Installationsoptionen<br />
Sie können die Installation der AD DS entweder über eine der grafischen Benutzeroberflächen oder<br />
direkt über die Befehlszeile oder den Befehl Ausführen starten. Mit den grafischen Benutzeroberflächen<br />
wird der Verzeichnisdienst installiert und konfiguriert sowie der Verzeichnisdatenspeicher<br />
erstellt und initialisiert. Da die AD DS eine autorisierende DNS-Implementierung für die geplante<br />
Domäne benötigen, wird der DNS-Serverdienst während der Installation installiert und konfiguriert,<br />
falls er noch nicht vorhanden ist.<br />
Für die Installation von <strong>Active</strong> <strong>Directory</strong> stehen verschiedene Methoden zur Verfügung:<br />
• Assistent für die Aufgaben der Erstkonfiguration und Assistent zum Hinzufügen von Rollen<br />
• Assistent zum Installieren von <strong>Active</strong> <strong>Directory</strong>-Domänendiensten (Dcpromo.exe)<br />
• Unbeaufsichtigte Installation<br />
Aufgaben der Erstkonfiguration und Assistent zum Hinzufügen von<br />
Rollen<br />
Bei der Erstinstallation von Windows Server 2008 öffnet sich der Assistent für die Aufgaben der Erstkonfiguration.<br />
Über diesen Assistenten können Sie die Zeitzone einstellen, das Netzwerk konfigurieren<br />
und einen Computernamen eingeben. Sie können auch Serverrollen hinzufügen – einschließlich<br />
AD DS-, AD CS-, AD FS-, AD LDS- und AD RMS-Rollen. Beim Hinzufügen der AD DS-Rolle zum<br />
Computer werden die erforderlichen Dateien installiert und der Computer für die Ausführung des<br />
Assistenten zum Installieren von <strong>Active</strong> <strong>Directory</strong>-Domänendiensten vorbereitet. Abbildung 6.1 zeigt<br />
die Benutzeroberfläche des Assistenten zum Hinzufügen von Rollen mit der ausgewählten AD DS-<br />
Serverrolle.<br />
Nachdem die AD DS-Rolle zum Server hinzugefügt wurde, können Sie den Assistenten zum Installieren<br />
von <strong>Active</strong> <strong>Directory</strong>-Domänendiensten (Dcpromo.exe) über den Assistenten zum Hinzufügen<br />
von Rollen starten. Sie können auch weitere Serverrollen hinzufügen und Dcpromo.exe zu einem späteren<br />
Zeitpunkt ausführen.
Grundlegendes zu den AD DS-Installationsoptionen 219<br />
Abbildung 6.1<br />
Serverrolle<br />
Benutzeroberfläche des Assistenten zum Hinzufügen von Rollen mit der ausgewählten AD DS-<br />
Server-Manager<br />
Beim Server-Manager handelt es sich um ein neues in Windows Server 2008 integriertes Feature, das<br />
Administratoren durch die Installation, Konfiguration und Verwaltung von Windows Server 2008-Serverrollen<br />
und -Features leitet. Der Server-Manager wird automatisch gestartet, wenn ein Administrator<br />
den Assistenten für die Aufgaben der Erstkonfiguration beendet und sich an den Server anmeldet.<br />
Im Server-Manager können Sie Serverrollen wie z.B. die AD DS-Rolle zum Server hinzufügen.<br />
Hierzu müssen Sie zunächst den Assistenten für die Aufgaben der Erstkonfiguration beenden.<br />
Abbildung 6.2 zeigt den Server-Manager mit der installierten AD DS-Serverrolle.
220 Kapitel 6: Installieren der <strong>Active</strong> <strong>Directory</strong>-Domänendienste<br />
Abbildung 6.2<br />
Server-Manager mit der installierten AD DS-Serverrolle<br />
Starten Sie, nachdem die AD DS-Serverrolle hinzugefügt wurde, den Assistenten zum Installieren von<br />
<strong>Active</strong> <strong>Directory</strong>-Domänendiensten entweder über den Befeh Ausführen, über die Eingabeaufforderung<br />
oder direkt über die Verknüpfung im Server-Manager. Im folgenden Abschnitt wird der Installations-Assistent<br />
näher erläutert.<br />
Installieren von <strong>Active</strong> <strong>Directory</strong>-Domänendiensten<br />
Sie können den Assistenten zum Installieren von <strong>Active</strong> <strong>Directory</strong>-Domänendiensten starten, indem<br />
Sie dcpromo.exe in das Dialogfeld Ausführen oder an der Eingabeaufforderung eingeben. Für die<br />
Verwendung von Dcpromo.exe stehen verschiedene Befehlszeilenparameter zur Verfügung:<br />
• Mit dem Parameter /adv starten Sie den Assistenten zum Installieren von <strong>Active</strong> <strong>Directory</strong>-Domänendiensten<br />
im Modus Erweitert. Für Windows Server 2008 wird die Option zum Ausführen von<br />
Dcpromo im erweiterten Modus jetzt auf der Begrüßungsseite des Assistenten zum Installieren<br />
von <strong>Active</strong> <strong>Directory</strong>-Domänendiensten angezeigt. Verwenden Sie den erweiterten Modus, wenn<br />
der Domänencontroller aus wiederhergestellten Sicherungsdateien erstellt wird (diese Installationsmethode<br />
wird auch Installation von Medium [Installed from Media, IFM] genannt), oder wenn<br />
Sie die Kennwortreplikationsrichtlinie für einen RODC konfigurieren. Beim Hinzufügen des<br />
Parameters /adv werden Sie während der Installation dazu aufgefordert, den Pfad zu den wiederhergestellten<br />
Sicherungsdateien anzugeben.
Verwenden des Assistenten zum Installieren von <strong>Active</strong> <strong>Directory</strong>-Domänendiensten 221<br />
• Mit dem Parameter /unattend:[Datei_unbeaufsichtigte_Installation] können Sie eine unbeaufsichtigte<br />
Installation der AD DS durchführen – entweder für eine vollständige Installation von Windows<br />
Server 2008 oder für eine Server Core-Installation. (Die Server Core-Installation ist eine<br />
neue Installationsoption von Windows Server 2008, die keine grafische Benutzeroberfläche wie<br />
z.B. den Assistenten zum Installieren von <strong>Active</strong> <strong>Directory</strong>-Domänendiensten bereitstellt.)<br />
• Der Parameter /CreateDCAccount dient dem Erstellen eines Kontos für den schreibgeschützten<br />
Domänencontroller (Read-Only Domain Controller, RODC).<br />
• Mit dem Parameter /UseExistingAccount:Attach wird der Server dem RODC-Konto zugeordnet.<br />
Die Optionen /CreateDCAccount und /UseExistingAccount:Attach schließen sich gegenseitig aus.<br />
Informationen zu den wichtigsten Entscheidungsfaktoren bei der AD DS-Installation finden Sie im<br />
Abschnitt „Verwenden des Assistenten zum Installieren von <strong>Active</strong> <strong>Directory</strong>-Domänendiensten“<br />
weiter unten in diesem Kapitel.<br />
Unbeaufsichtigte Installation<br />
Zusätzlich zur Verwendung der grafischen Benutzeroberflächen zum Installieren der<br />
<strong>Active</strong> <strong>Directory</strong>-Domänendienste kann die Installation auch unbeaufsichtigt (automatisch) erfolgen.<br />
Geben Sie hierzu den Befehl dcpromo.exe /unattend:Datei_unbeaufsichtigte_Installation ein,<br />
wobei Datei_unbeaufsichtigte_Installation für den Dateinamen der von Ihnen erstellten Datei für die<br />
unbeaufsichtigte Installation steht. Die Skriptdatei für die unbeaufsichtigte Installation übergibt die<br />
Werte für sämtliche Felder mit Benutzereingaben, die Sie normalerweise mithilfe des Assistenten<br />
zum Installieren von <strong>Active</strong> <strong>Directory</strong>-Domänendiensten vervollständigen würden. Für jeden Wert,<br />
der nicht in der Datei für die unbeaufsichtigte Installation angegeben ist, wird entweder der Standardwert<br />
verwendet, oder Dcpromo informiert Sie in einer Fehlermeldung, dass die Angaben in der Datei<br />
für die unbeaufsichtigte Installation unvollständig sind. Im Gegensatz zu älteren AD DS-Versionen<br />
wurde das Erstellen der Datei für die unbeaufsichtigte Installation in Windows Server 2008 erheblich<br />
vereinfacht. Dieses Thema wird im späteren Verlauf dieses Kapitels noch näher erläutert.<br />
Verwenden des Assistenten zum Installieren von <strong>Active</strong><br />
<strong>Directory</strong>-Domänendiensten<br />
Der Assistent zum Installieren von <strong>Active</strong> <strong>Directory</strong>-Domänendiensten stellt eine unkomplizierte<br />
Benutzeroberfläche bereit, bei der Sie zur Eingabe aller Optionen und Variablen für die AD DS-<br />
Installation aufgefordert werden. Da dieser Vorgang selbsterklärend ist, werden in diesem Abschnitt<br />
nur die wichtigsten Entscheidungsfaktoren für die Installation der AD DS erläutert.<br />
Sie können den Assistenten zum Installieren von <strong>Active</strong> <strong>Directory</strong>-Domänendiensten starten, indem<br />
Sie dcpromo in das Dialogfeld Ausführen oder an der Eingabeaufforderung eingeben. Die Begrüßungsseite<br />
des Assistenten zum Installieren von <strong>Active</strong> <strong>Directory</strong>-Domänendiensten wird angezeigt.<br />
Auf der Begrüßungsseite können Sie für die Ausführung von Dcpromo den Modus Erweitert wählen.<br />
In diesem Modus werden zusätzliche Assistentenseiten zur Abdeckung aller gängigen Installationsszenarien<br />
bereitgestellt. Die Auswahl des Modus Erweitert im Assistenten zum Installieren von<br />
<strong>Active</strong> <strong>Directory</strong>-Domänendiensten wird in Abbildung 6.3 gezeigt.
222 Kapitel 6: Installieren der <strong>Active</strong> <strong>Directory</strong>-Domänendienste<br />
Abbildung 6.3<br />
Begrüßungsseite des Assistenten zum Installieren von <strong>Active</strong> <strong>Directory</strong>-Domänendiensten<br />
Bereitstellungskonfiguration<br />
Die erste Entscheidung, die Sie während des Installationsvorgangs treffen müssen, betrifft den Domänencontrollertyp,<br />
den Sie erstellen möchten. Sie können (wie in Abbildung 6.4) gezeigt einen Domänencontroller<br />
in einer vorhandenen Gesamtstruktur oder eine neue Domäne in einer neuen Gesamtstruktur<br />
erstellen. Möchten Sie einen Domänencontroller zu einer vorhandenen Domäne hinzufügen<br />
oder eine neue Domäne in einer vorhandenen Gesamtstruktur erstellen, müssen Sie berücksichtigen,<br />
dass sämtliche lokale Konten auf dem Server und alle auf dem Computer gespeicherten kryptografischen<br />
Schlüssel gelöscht werden. Sie werden zudem dazu aufgefordert, verschlüsselte Daten zu entschlüsseln,<br />
da auf diese anderenfalls nach der Installation der AD DS nicht mehr zugegriffen werden<br />
kann.<br />
Wenn Sie eine neue Domäne erstellen, können Sie entweder eine Stammdomäne in einer neuen<br />
Gesamtstruktur, eine untergeordnete Domäne in einer vorhandenen Domäne oder eine neue Domänenstruktur<br />
in einer vorhandenen Gesamtstruktur erstellen. Weitere Informationen zur Bestimmung<br />
des zu erstellenden Domänentyps finden Sie in der AD DS-Entwurfsdokumentation (Kapitel 5). Wenn<br />
Sie eine untergeordnete Domäne in einer vorhandenen Domäne oder eine neue Domänenstruktur in<br />
einer vorhandenen Gesamtstruktur erstellen, müssen Sie zum Fortsetzen der Installation geeignete<br />
Sicherheitsinformationen für das Netzwerk bereitstellen. Zur Erstellung einer neuen Gesamtstruktur-<br />
Stammdomäne ist die Angabe von Sicherheitsinformationen für das Netzwerk nicht erforderlich.<br />
Hinweis Die Option zum Installieren einer neuen Domänenstruktur steht nur zur Verfügung, wenn Sie den<br />
Assistenten zum Installieren von <strong>Active</strong> <strong>Directory</strong>-Domänendiensten im erweiterten Modus ausführen.
Verwenden des Assistenten zum Installieren von <strong>Active</strong> <strong>Directory</strong>-Domänendiensten 223<br />
Abbildung 6.4<br />
Die Seite Bereitstellungskonfiguration wählen<br />
Benennen der Domäne<br />
Bei der Erstellung eines neuen Domänencontrollers in einer neuen Gesamtstruktur müssen Sie einen<br />
vollqualifizierten Domänennamen (Fully Qualified Domain Name, FQDN) für die neue Gesamtstruktur-Stammdomäne<br />
angeben. In Abbildung 6.5 wird der erste Schritt dieses Vorgangs dargestellt. Bei<br />
der Erstellung eines solchen Namens müssen Sie bestimmten Regeln folgen.<br />
Der FQDN muss bei einer neuen Domäne ein eindeutiger Name sein. Wenn Sie eine untergeordnete<br />
Domäne erstellen, muss die übergeordnete Domäne im DNS-Namen enthalten und verfügbar sein. Erstellen<br />
Sie z.B. eine neue Domäne NA in der Domänenstruktur Adatum.com, muss der von Ihnen festgelegte<br />
FQDN NA.Adatum.com lauten. Für den Namen der Domäne können Sie die Buchstaben A bis Z,<br />
die Zahlen 0 bis 9 und den Bindestrich (-) verwenden. Die Groß- und Kleinschreibung wird nicht berücksichtigt.<br />
Jede Komponente (Bezeichnung) des FQDNs (die Bereiche, die durch einen Punkt [.] getrennt<br />
sind) darf aus maximal 63 Bytes bestehen. (Internationalisierte Domänennamen können Unicode-Zeichen<br />
in Byte-Zeichenfolgen innerhalb des FQDN-Zeichensatzes codieren, wodurch die Unterstützung für<br />
die verfügbaren Zeichen und Längen verbessert wird.)<br />
Achtung Die Verwendung von DNS-Namen mit einfacher Bezeichnung wird bei der Namensgebung der<br />
AD DS-Domäne nicht empfohlen. DNS-Namen, die kein Suffix wie com, .corp, .net, .org oder Unternehmensnamen<br />
enthalten, werden als DNS-Namen mit einfacher Bezeichnung betrachtet. Beispielsweise<br />
handelt es sich bei „host“ um einen DNS-Namen mit einer einzigen Bezeichnung. Die meisten Internetregistrierungsstellen<br />
erlauben keine Registrierung von DNS-Namen mit einfacher Bezeichnung. Es wird außerdem<br />
empfohlen, keine DNS-Namen mit dem Suffix .local zu erstellen. Weitere Informationen zu diesen<br />
empfohlenen Vorgehensweisen finden Sie im Artikel „Informationen zur Konfiguration von Windows für<br />
Domänen mit DNS-Namen mit einfacher Bezeichnung“ unter http://support.microsoft.com/kb/300684.
224 Kapitel 6: Installieren der <strong>Active</strong> <strong>Directory</strong>-Domänendienste<br />
Abbildung 6.5<br />
Die Seite Name der Gesamtstruktur-Stammdomäne<br />
Konfigurieren der Funktionsebenen von Windows Server 2008<br />
Durch die Domänen- und Funktionsebeneneinstellungen von Windows Server 2008 werden die AD DS-<br />
Features festgelegt, die in einer Domäne oder Gesamtstruktur aktiviert sind. Darüber hinaus legt die<br />
Funktionsebene fest, welche Windows Server-Version als Domänencontroller in der Domäne oder<br />
Gesamtstruktur installiert werden kann. Die Gesamtstruktur- und Domänenfunktionsebenen werden<br />
nach dem Windows Server-Betriebssystem benannt, das Unterstützung für die Features dieser <strong>Active</strong><br />
<strong>Directory</strong>-Version bietet: Windows 2000, Windows Server 2003 und Windows Server 2008.<br />
Abbildung 6.6 zeigt die Seite Funktionsebene der Gesamtstruktur festlegen des Assistenten zum<br />
Installieren von <strong>Active</strong> <strong>Directory</strong>-Domänendiensten. In Tabelle 6.1 finden Sie eine Auflistung der<br />
verfügbaren Features für jede Funktionsebene der Gesamtstruktur.<br />
Tabelle 6.1 Gesamtstrukturfunktionsebenen in Windows Server 2008<br />
Gesamtstrukturfunktionsebene<br />
Windows 2000<br />
einheitlich<br />
Windows<br />
Server 2003<br />
Verfügbare Features<br />
Unterstützte Domänencontroller<br />
Es stehen alle standardmäßigen AD DS-Features zur Verfügung. Windows Server 2008,<br />
Windows Server 2003,<br />
Windows 2000<br />
Es stehen alle standardmäßigen AD DS-Features sowie die folgenden<br />
Features zur Verfügung:<br />
• Gesamtstrukturvertrauensstellung<br />
• Domänenumbenennung<br />
Windows Server 2003,<br />
Windows Server 2008
Verwenden des Assistenten zum Installieren von <strong>Active</strong> <strong>Directory</strong>-Domänendiensten 225<br />
Tabelle 6.1<br />
Gesamtstrukturfunktionsebenen in Windows Server 2008 (Fortsetzung)<br />
Gesamtstrukturfunktionsebene<br />
Windows<br />
Server 2003<br />
(Fortsetzung)<br />
Windows<br />
Server 2008<br />
Verfügbare Features<br />
• Replikation verknüpfter Werte<br />
• Bereitstellung schreibgeschützter Domänencontroller (Read-Only<br />
Domain Controllers, RODC)<br />
• Verbesserte KCC-Algorithmen (Knowledge Consistency Checker, KCC)<br />
und Skalierbarkeit<br />
• Verbesserter ISTG-Algorithmus<br />
• Erstellung von Instanzen der dynamischen Erweiterungsklasse dynamicObject<br />
in Domänenverzeichnispartitionen<br />
• Konvertierung einer inetOrgPerson-Objektinstanz in eine User-<br />
Objektinstanz und umgekehrt<br />
• Erstellung von Instanzen neuer Gruppentypen zur Unterstützung der<br />
rollenbasierten Autorisierung<br />
• Deaktivierung und Neudefinition von Attributen und Klassen im Schema<br />
Es stehen alle für die Windows Server 2003-Gesamtstrukturfunktionsebene<br />
verfügbaren Features zur Verfügung, darüber hinaus jedoch keine zusätzlichen.<br />
Sämtliche Domänen, die gleichzeitig zur Gesamtstruktur<br />
hinzugefügt werden, werden standardmäßig mit der Domänenfunktionsebene<br />
Windows Server 2008 ausgeführt.<br />
Unterstützte Domänencontroller<br />
Windows Server 2008<br />
Abbildung 6.6<br />
Die Seite Funktionsebene der Gesamtstruktur festlegen
226 Kapitel 6: Installieren der <strong>Active</strong> <strong>Directory</strong>-Domänendienste<br />
In Tabelle 6.2 werden die verfügbaren Features für jede Domänenfunktionsebene aufgelistet.<br />
Tabelle 6.2 Domänenfunktionsebenen in Windows Server 2008<br />
Domänenfunktionsebene<br />
Windows 2000<br />
einheitlich<br />
Windows<br />
Server 2003<br />
Windows<br />
Server 2008<br />
Verfügbare Features<br />
Es stehen alle standardmäßigen AD<br />
DS-Features sowie die folgenden Verzeichnisfeatures zur Verfügung:<br />
• Universelle Gruppen für Verteiler- und Sicherheitsgruppen<br />
• Gruppenverschachtelung<br />
• Gruppenkonvertierung, wodurch eine Konvertierung zwischen Sicherheits-<br />
und Verteilergruppen ermöglicht wird<br />
• SID-Historie (Security Identifier, SID)<br />
Es stehen alle standardmäßigen AD DS-Features, sämtliche der für die<br />
Domänenfunktionsebene Windows 2000 einheitlich verfügbaren Features<br />
und die folgenden Features zur Verfügung:<br />
• Das Domänenverwaltungstool Netdom.exe ermöglicht die Umbenennung<br />
von Domänencontrollern.<br />
• Aktualisierung von Anmeldezeitstempeln.<br />
• Das Attribut lastLogonTimestamp wird mit der letzten Anmeldezeit des<br />
Benutzers oder Computers aktualisiert. Dieses Attribut wird innerhalb<br />
der Domäne repliziert.<br />
• Festlegung des Attributs userPassword als effektives Kennwort für<br />
inetOrgPerson und Benutzerobjekte.<br />
• Möglichkeit zur Umleitung der Container Users und Computers.<br />
• Standardmäßig werden die bekannten Container zum Speichern von<br />
Computer- und Benutzerkonten bereitgestellt: cn=Computers,<br />
und cn=Users,. Mit diesem Feature<br />
können Sie neue Speicherorte für diese Konten definieren.<br />
• Fähigkeit des Autorisierungs-Managers, seine Autorisierungsrichtlinien<br />
in den AD DS zu speichern.<br />
• Eingeschränkte Delegierung.<br />
• Mit einer eingeschränkten Delegierung können Anwendungen die<br />
sichere Delegierung von Benutzeranmeldeinformationen durch die<br />
Kerberos-Authentifizierung nutzen.<br />
• Sie können die Delegierung auf bestimmte Zieldienste einschränken.<br />
• Ausgewählte Authentifizierung.<br />
• Die ausgewählte Authentifizierung ermöglicht Ihnen die Festlegung<br />
der Benutzer und Gruppen aus einer vertrauten Gesamtstruktur, die<br />
sich an Ressourcenservern in einer vertrauenden Gesamtstruktur<br />
authentifizieren dürfen.<br />
Es stehen alle standardmäßigen AD DS-Features, sämtliche Features der<br />
Domänenfunktionsebene Windows Server 2003 und die folgenden Features<br />
zur Verfügung:<br />
• Unterstützung der DFS-Replikation (Distributed File System) für das<br />
Windows Server 2003-Systemvolume (SYSVOL).<br />
• Die DFS-Replikation bietet eine stabilere und detailliertere Replikation<br />
der SYSVOL-Inhalte.<br />
Unterstützte<br />
Domänencontroller<br />
Windows Server 2008,<br />
Windows Server 2003,<br />
Windows 2000<br />
Windows Server 2003,<br />
Windows Server 2008<br />
Windows Server 2008
Verwenden des Assistenten zum Installieren von <strong>Active</strong> <strong>Directory</strong>-Domänendiensten 227<br />
Tabelle 6.2<br />
Domänenfunktionsebenen in Windows Server 2008 (Fortsetzung)<br />
Domänenfunktionsebene<br />
Windows<br />
Server 2008<br />
(Fortsetzung)<br />
Verfügbare Features<br />
• AES 128- und AES 256-Unterstützung (Advanced Encryption Standard,<br />
AES) für das Kerberos-Protokoll.<br />
• Informationen zur letzten interaktiven Anmeldung.<br />
Über dieses Feature werden die folgenden Informationen angezeigt:<br />
• Zeitpunkt der letzen erfolgreichen interaktiven Anmeldung eines Benutzers.<br />
• Name der Arbeitsstation, an der sich der Benutzer angemeldet hat.<br />
• Anzahl fehlgeschlagener Anmeldeversuche seit der letzten Anmeldung.<br />
• Fein abgestimmte Kennwortrichtlinien.<br />
Fein abgestimmte Kennwortrichtlinien ermöglichen es Ihnen, Kennwortund<br />
Kontosperrrichtlinien für Benutzer und globale Sicherheitsgruppen in<br />
einer Domäne festzulegen.<br />
Unterstützte<br />
Domänencontroller<br />
Legen Sie die Domänen- und Gesamtstrukturfunktionsebenen auf den höchsten Wert fest, den Ihre<br />
Umgebung unterstützen kann. So stellen Sie sicher, dass möglichst viele AD DS-Features genutzt<br />
werden. Falls Sie Ihrer Umgebung Windows Server 2003-Domänencontrollerhinzufügen, sollten Sie<br />
in Dcpromo die Funktionsebene Windows Server 2003 wählen. Sie können die Funktionsebene zu<br />
einem späteren Zeitpunkt heraufstufen, wenn Sie die kompatiblen Domänencontroller aus Ihrer<br />
Umgebung entfernt haben. Dieser Vorgang wird in Kapitel 7 näher erläutert.<br />
Wichtig Nachdem Sie die Domänen- oder Gesamtstrukturfunktionsebene heraufgestuft oder in Dcpromo<br />
auf Windows Server 2008 festgelegt haben, können Sie die Funktionsebene nicht wieder herabstufen.<br />
Weitere Domänencontrolleroptionen<br />
Die AD DS erfordern eine Installation von DNS im Netzwerk, damit Clientcomputer die Domänencontroller<br />
für die Authentifizierung ermitteln können. Zudem muss die DNS-Implementierung hierzu<br />
SRV-Einträge unterstützen. Eine Unterstützung dynamischer Updates durch die DNS-Implementierung<br />
wird empfohlen.<br />
Handelt es sich bei dem Computer, auf dem die Installation der AD DS erfolgt, nicht um einen DNS-<br />
Server oder kann durch den Assistenten zum Installieren von <strong>Active</strong> <strong>Directory</strong>-Domänendiensten<br />
nicht bestätigt werden, dass für die neue Domäne ein ordnungsgemäß installierter DNS-Server vorhanden<br />
ist, kann der DNS-Serverdienst während der Installation der AD DS installiert werden. Wenn<br />
sich eine nicht ordnungsgemäß konfigurierte DNS-Implementierung im Netzwerk befindet, erstellt<br />
der Assistent zum Installieren von <strong>Active</strong> <strong>Directory</strong>-Domänendiensten einen detaillierten Bericht zum<br />
entsprechenden Konfigurationsfehler. In diesem Fall sollten Sie die erforderlichen Änderungen an der<br />
DNS-Konfiguration vornehmen und die DNS-Diagnoseroutine erneut durchführen. Wenn Sie die<br />
Standardoption für die Installation und Konfiguration des DNS-Servers wählen, werden zusammen<br />
mit den AD DS der DNS-Server und der DNS-Serverdienst installiert. Die primäre DNS-Zone stimmt<br />
mit dem Namen der neuen AD DS-Domäne überein und wird für die Zulassung von dynamischen<br />
Updates konfiguriert.
228 Kapitel 6: Installieren der <strong>Active</strong> <strong>Directory</strong>-Domänendienste<br />
Die Einstellung Bevorzugter DNS-Server (im Dialogfeld für die TCP/IP-Eigenschaften) wird aktualisiert,<br />
um auf den lokalen DNS-Server zu verweisen. Darüber hinaus werden Weiterleitungen und<br />
Stammhinweise konfiguriert, um eine ordnungsgemäße Funktion des DNS-Serverdiensts zu gewährleisten.<br />
Weitere Informationen Wenn der DNS-Serverdienst über den Assistenten zum Installieren von <strong>Active</strong><br />
<strong>Directory</strong>-Domänendiensten installiert wird, wird die DNS-Zone als AD DS-integrierte Zone erstellt. Weitere<br />
Informationen zur Konfiguration von AD DS-integrierte Zonen finden Sie in Kapitel 3, „<strong>Active</strong> <strong>Directory</strong>-<br />
Domänendienste und DNS“.<br />
Erstellen Sie den ersten Domänencontroller in einer neuen Gesamtstruktur, muss der DC als globaler<br />
Katalogserver konfiguriert werden. Der erste DC in einer Gesamtstruktur kann nicht als RODC konfiguriert<br />
werden. Auf der Dcpromo-Benutzeroberfläche (siehe Abbildung 6.7) ist die Option Globaler<br />
Katalog standardmäßig ausgewählt und kann nicht deaktiviert werden. Die RODC-Option ist nicht<br />
verfügbar. Diese Optionen können bei der Installation weiterer Domänencontroller in der Domäne<br />
konfiguriert werden.<br />
Abbildung 6.7<br />
Die Seite Weitere Domänencontrolleroptionen<br />
Dateispeicherorte<br />
Der Assistent zum Installieren von <strong>Active</strong> <strong>Directory</strong>-Domänendiensten fordert Sie zur Auswahl eines<br />
Speicherorts für die AD DS-Datenbankdatei (Ntds.dit), die AD DS-Protokolldateien und den SYS-<br />
VOL-Ordner auf. Sie können entweder die Standardspeicherorte wählen oder andere Speicherorte für<br />
diese Ordner angeben. Die entsprechende Assistentenseite wird in Abbildung 6.8 gezeigt.
Verwenden des Assistenten zum Installieren von <strong>Active</strong> <strong>Directory</strong>-Domänendiensten 229<br />
Abbildung 6.8<br />
Die Seite Speicherort für Datenbank, Protokolldateien und SYSVOL<br />
Der Ordner %systemroot%\<br />
NTDS ist der Standardspeicherort für die Verzeichnisdatenbank und die Protokolldateien. Für eine<br />
optimale Leistung sollten Sie die AD DS jedoch so konfigurieren, dass die Datenbankdatei und die<br />
Protokolldateien auf separaten physischen Festplatten gespeichert werden. Der Standardspeicherort<br />
für den freigegebenen SYSVOL-Ordner lautet %systemroot%\sysvol. Die einzige Einschränkung bei<br />
der Auswahl des Speicherorts für den freigegebenen Ordner SYSVOL besteht darin, dass er auf einem<br />
NTFS v5-Volume gespeichert werden muss. Im Ordner SYSVOL werden sämtliche Dateien gespeichert,<br />
auf die alle Clients innerhalb einer AD DS-Domäne zugreifen können müssen. Beispielsweise<br />
müssen bei der Clientanmeldung an der Domäne die erforderlichen Anmeldeskripts oder Gruppenrichtlinienobjekte<br />
verfügbar sein; diese werden im SYSVOL-Ordner gespeichert.<br />
Abschließen der Installation<br />
Die letzen Seiten des Assistenten zum Installieren von <strong>Active</strong> <strong>Directory</strong>-Domänendiensten sind unkompliziert.<br />
Hier legen Sie das Kennwort für die Verzeichnisdienstwiederherstellung fest und können die<br />
Zusammenfassungsseite überprüfen.<br />
Das Kennwort für die Verzeichnisdienstwiederherstellung (<strong>Directory</strong> Services Restore Mode, DSRM)<br />
wird beim Starten des Domänencontrollers in diesem besonderen Wiederherstellungsmodus zur<br />
Authentifizierung gegenüber der registrierungsbasierten Datenbank für die Sicherheitskontenverwaltung<br />
(Security Accounts Manager, SAM) verwendet. Wenn Sie den ersten Domänencontroller in der<br />
Gesamtstruktur erstellen, wird die auf dem lokalen Server geltende Kennwortrichtlinie für das<br />
DSRM-Administratorkennwort erzwungen. Bei allen anderen Installationen erzwingt der Assistent<br />
zum Installieren von <strong>Active</strong> <strong>Directory</strong>-Domänendiensten die Kennwortrichtlinie, die auf dem als<br />
Installationspartner verwendeten Domänencontroller gilt.
230 Kapitel 6: Installieren der <strong>Active</strong> <strong>Directory</strong>-Domänendienste<br />
Das bedeutet, dass das von Ihnen angegebene DSRM-Kennwort die Anforderungen zur Mindestlänge,<br />
Kennwortchronik und Komplexität für die Domäne erfüllen muss, die vom Installationspartner<br />
vorgegeben werden. Standardmäßig müssen Sie ein komplexes Kennwort eingeben, das aus einer<br />
Kombination aus Groß- und Kleinbuchstaben, Zahlen und Symbolen besteht.<br />
Die Zusammenfassungseite zeigt alle der im Assistenten zum Installieren von <strong>Active</strong> <strong>Directory</strong>-<br />
Domänendiensten gewählten Optionen an. Sie sollten diese Zusammenfassung überprüfen, bevor Sie<br />
den Installations-Assistenten abschließen und die AD DS installieren. Gehen Sie bei Bedarf auf vorherige<br />
Seiten zurück.<br />
Auf der Seite Zusammenfassung können Sie mithilfe der Schaltfläche Einstellungen exportieren eine<br />
Datei für die unbeaufsichtigte Installation mit den von Ihnen im Assistenten zum Installieren von<br />
<strong>Active</strong> <strong>Directory</strong>-Domänendiensten gewählten Optionen erstellen. Sie können die Datei für die unbeaufsichtigte<br />
Installation zum Installieren weiterer Domänencontroller verwenden, wenn Sie den Installationsvorgang<br />
mit dem Befehl Dcpromo /unattend:[Datei_unbeaufsichtigte_Installation] initieren.<br />
Wenn Sie auf der Zusammenfassungsseite auf Weiter klicken, startet Windows Server 2008 die AD<br />
DS-Installation und -Konfiguration auf dem Server. Handelt es sich um den ersten Domänencontroller<br />
in einer neuen Domäne, sind diese Vorgänge relativ zügig abgeschlossen, da lediglich die Standarddomänenobjekte<br />
erstellt werden und die Verzeichnispartitionen schnell erstellt werden können.<br />
Wenn Sie einen zusätzlichen Domänencontroller für eine vorhandene Domäne erstellen, müssen sämtliche<br />
Verzeichnispartitionen nach der Erstellung des Domänencontrollers vollständig synchronisiert<br />
werden. Um Ihnen die Möglichkeit zu geben, die vollständige Replikation erst nach dem Neustart des<br />
Computers auszuführen, wird zu Beginn des anfänglichen Repikationsvorgangs die Schaltfläche<br />
Replikation später abschließen angezeigt. Auch wenn es sich hierbei um keine empfohlene Vorgehensweise<br />
handelt, kann anhand dieser Option die Synchronisation der Verzeichnispartitionen auf diesem<br />
Domänencontroller im normalen Replikationsverfahren zu einem späteren Zeitpunkt durchgeführt<br />
werden.<br />
Da die erste Replikation der Verzeichnispartition sehr zeitaufwendig sein kann – insbesondere dann,<br />
wenn es sich um langsame Netzwerkverknüpfungen handelt –, können Sie zusätzliche Domänencontroller<br />
über wiederhergestellte Sicherungsdateien installieren. Diese Option wird im Abschnitt „Installieren<br />
von Medium“ weiter unten in diesem Kapitel näher erläutert.<br />
Überprüfen der AD DS-Installation<br />
Nach der AD DS-Installation sollten Sie das Snap-In <strong>Active</strong> <strong>Directory</strong>-Benutzer und -Computer öffnen<br />
und sich vergewissern, dass sämtliche der vordefinierten Sicherheitsprinzipale erstellt wurden,<br />
z.B. das Benutzerkonto Administrator sowie die Sicherheitsgruppen Domänen-Admins und Organisations-Admins.<br />
Sie sollten auch die Erstellung der Spezialidentitäten wie Authentifizierte Benutzer und<br />
Interaktiv überprüfen. Spezialidentitäten werden allgemein als Gruppen bezeichnet, Sie können ihre<br />
Mitgliedschaft jedoch nicht anzeigen. Stattdessen werden Benutzer diesen Gruppen automatisch hinzugefügt,<br />
wenn Sie sich anmelden oder auf bestimmte Ressourcen zugreifen. Diese Spezialidentitäten<br />
werden standardmäßig nicht in der Konsole <strong>Active</strong> <strong>Directory</strong>-Benutzer und -Computer angezeigt.<br />
Zur Anzeige dieser Objekte klicken Sie auf Ansicht und dann auf Erweiterte Features.<br />
Auf diese Weise werden Ihnen weitere Komponenten in der Konsole angezeigt, die standardmäßig<br />
ausgeblendet sind. Wenn Sie den Container Fremde Sicherheitsprinzipale öffnen, können Sie auf die<br />
Objekte S-1-5-11 und S-1-5-4 zugreifen. Hierbei handelt es sich um die SID für authentifizierte Benutzer<br />
und die interaktive SID. Doppelklicken Sie auf diese Objekte, um ihre Eigenschaften und Standardberechtigungen<br />
anzuzeigen.
Durchführen einer unbeaufsichtigten Installation 231<br />
Zusätzlich zu einer Überprüfung in der Konsole <strong>Active</strong> <strong>Directory</strong>-Benutzer und -Computer sollten Sie<br />
die folgenden Schritte zur Überprüfung der AD DS-Installation ausführen:<br />
• Überprüfen Sie das Verzeichnisdienstprotokoll in der Ereignisanzeige, und beheben Sie ggf. aufgetretene<br />
Fehler.<br />
• Stellen Sie sicher, dass Clients auf den Ordner SYSVOL zugreifen können.<br />
• Wenn DNS während der Installation der <strong>Active</strong> <strong>Directory</strong>-Domänendienste installiert wurde, sollten<br />
Sie überprüfen, ob der Dienst ordnungsgemäß installiert wurde:<br />
a. Öffnen Sie den DNS-Manager.<br />
b. Klicken Sie auf Start, dann auf Server-Manager, und navigieren Sie zur Seite DNS-Server.<br />
c. Wechseln Sie zur Seite mit den Forward-Lookupzonen, um zu überprüfen, ob die Zonen<br />
_msdcs.Gesamtstruktur-Stammdomäne und Gesamtstruktur-Stammdomäne erstellt wurden.<br />
d. Erweitern Sie den Knoten Stammdomäne, um zu überprüfen, ob die Anwendungsverzeichnispartitionen<br />
DomainDnsZones und ForestDnsZones erstellt wurden.<br />
• Vergewissern Sie sich anhand des Tools zur Domänencontrollerdiagnose, Dcdiag.exe, dass die<br />
AD DS-Replikation ordnungsgemäß funktioniert:<br />
a. Öffnen Sie eine Eingabeaufforderung.<br />
b. Geben Sie den folgenden Befehl ein, und drücken Sie die EINGABETASTE:<br />
dcdiag /test:replication<br />
c. Um zu überprüfen, ob die entsprechenden Berechtigungen für die Replikation konfiguriert<br />
sind, geben Sie den folgenden Befehl ein und drücken die EINGABETASTE:<br />
dcdiag /test:netlogons<br />
Meldungen weisen darauf hin, dass die Tests zu Konnektivität und Netzwerkanmeldung<br />
erfolgreich durchgeführt wurden.<br />
Durchführen einer unbeaufsichtigten Installation<br />
Zur Installation der AD DS ohne Benutzerinteraktion können Sie den Parameter /unattend:<br />
[Datei_unbeaufsichtigte_Installation] mit dem Befehl Dcpromo.exe verwenden. Bei diesem Parameter<br />
müssen Sie den Namen der Datei für die unbeaufsichtigte Installation (der Antwortdatei) angeben.<br />
Die Antwortdatei enthält alle Daten, die normalerweise während des Installationsvorgangs benötigt<br />
werden. Die Datei kann automatisch erzeugt werden, wenn Sie zuvor die Option Einstellungen exportieren<br />
in Dcpromo aktiviert haben.<br />
Hinweis Zusätzlich zum Ausführen von Dcpromo im unbeaufsichtigten Modus auf einem Computer, auf<br />
dem Windows Server 2008 bereits installiert ist, können Sie die AD DS auch installieren, während Sie<br />
Windows Server 2008 im unbeaufsichtigten Modus installieren. Verwenden Sie für dieses Szenario den<br />
Befehl \I386\winnt32/unattend:[Datei_unbeaufsichtigte_Installation.txt], wobei<br />
Datei_unbeaufsichtigte_Installation.txt für den Namen der Antwortdatei für die vollständige Installation von<br />
Windows Server 2008 steht. Die Datei Datei_unbeaufsichtigte_Installation.txt muss den Bereich [DCInstall]<br />
enthalten, damit die AD DS-Rolle während der unbeaufsichtigten Installation von Windows Server 2008<br />
installiert werden kann.
232 Kapitel 6: Installieren der <strong>Active</strong> <strong>Directory</strong>-Domänendienste<br />
Um eine unbeaufsichtigte Installation der AD DS nach der Installation des Windows Server 2008-<br />
Betriebssystems durchzuführen, müssen Sie eine Antwortdatei erstellen, die sämtliche für die AD DS-<br />
Installation benötigten Informationen enthält. Geben Sie für eine unbeaufsichtigte Installation an<br />
der Eingabeaufforderung oder im Dialogfeld Ausführen den Befehl dcpromo /unattend:Datei_<br />
unbeaufsichtigte_Installation ein. Bei der Datei für die unbeaufsichtigte Installation handelt es sich<br />
um eine ASCII-Textdatei, die alle erforderlichen Informationen enthält, um den Assistenten zum<br />
Installieren von <strong>Active</strong> <strong>Directory</strong>-Domänendiensten abzuschließen. Beim Erstellen einer neuen<br />
Domäne in einer neuen Struktur einer neuen Gesamtstruktur mit automatisch konfiguriertem DNS-<br />
Serverdienst würden die Inhalte der Datei für die unbeaufsichtigte Installation dem folgenden Beispiel<br />
ähneln:<br />
[DCInstall]<br />
InstallDNS=yes<br />
NewDomain=forest<br />
NewDomainDNSName=Adatum.com<br />
DomainNetBiosName=Adatum<br />
ReplicaOrNewDomain=domain<br />
ForestLevel=3<br />
DomainLevel=3<br />
DatabasePath="C:\Windows\NTDS"<br />
LogPath="C:\Windows\NTDS"<br />
RebootOnCompletion=yes<br />
SYSVOLPath="C:\Windows\SYSVOL"<br />
SafeModeAdminPassword=Pa$$w0rd<br />
Schlüssel und entsprechende Werte bei der unbeaufsichtigten Installation<br />
Bei einer unbeaufsichtigten Installation werden für Schlüssel ohne vorgegebene Werte oder ausgelassene<br />
Schlüssel die Standardwerte verwendet. Die erforderlichen Schlüssel für die Antwortdatei<br />
ändern sich je nach zu erstellendem Domänentyp (neue oder vorhandene Gesamtstruktur, neue oder<br />
vorhandene Struktur). Ein weiterer Schlüssel, der für das Heraufstufen von Domänencontrollern<br />
über eine Wiederherstellung von Sicherungsmedien verwendet werden kann, ist der Schlüssel<br />
ReplicationSourcePath. Um diesen Schlüssel zu verwenden, geben Sie den Speicherort der wiederhergestellten<br />
Sicherungsdateien an, mit denen die Verzeichnisdatenbank das erste Mal gefüllt wird.<br />
(Hierbei handelt es sich um den gleichen Pfad zu den wiederhergestellten Sicherungsdateien, den<br />
auch der Assistent zum Installieren von <strong>Active</strong> <strong>Directory</strong>-Domänendiensten für dieses Feature verwendet.)<br />
Im Abschnitt „Installieren von Medium“ finden Sie weitere Informationen zu diesem<br />
Feature.<br />
Die Schrittweise Anleitung zum Installieren und Entfernen von <strong>Active</strong> <strong>Directory</strong>-Domänendiensten<br />
unter Windows Server 2008 enthält den Anhang zu den Parametern für die unbeaufsichtigte Installation<br />
mit weiteren Informationen zu Schlüsseln und entsprechenden Werten. Dieser kann unter<br />
http://technet2.microsoft.com/windowsserver2008/de/library/bab0f1a1-54aa-4cef-9164-<br />
139e8bcc44751031.mspx?mfr=true abgerufen werden.<br />
Installieren von Medium<br />
Sie können mit der Option Installieren von Medium (Install From Media, IFM) einen zusätzlichen<br />
Domänencontroller in einer vorhandenen Domäne installieren und wiederhergestellte Sicherungsdateien<br />
zum Füllen der AD DS-Datenbank verwenden. Dadurch wird der Replikationsdatenverkehr<br />
während der Installation minimiert.
Durchführen einer unbeaufsichtigten Installation 233<br />
Diese Option eignet sich außerdem für Bereitstellungen mit eingeschränkter Bandbreite zu anderen<br />
Replikationspartnern wie z.B. in Zweigstellenszenarien. Mit dem Windows Server 2008-Sicherungsprogramm<br />
in Windows Server 2008 können Sie Installationsmedien erstellen. In diesem Fall benötigen<br />
Sie die Option des Befehlszeilenprogramms Wbadmin, um Systemstatusdaten an einem anderen<br />
Speicherort wiederherzustellen.<br />
Windows Server 2008 enthält eine verbesserte Version des Programms Ntdsutil.exe, mit dem Sie<br />
ebenfalls Installationsmedien erstellen können. Die Verwendung von Ntdsutil.exe wird empfohlen, da<br />
die Windows Server-Sicherung lediglich wichtige Volumes sichern kann, wodurch mehr Speicherplatz<br />
in Anspruch genommen wird, als für AD DS-Installationsdaten benötigt wird. Das Programm<br />
Ntdsutil.exe kann vier Typen von Installationsmedien erstellen, sowohl für beschreibbare Domänencontroller<br />
als auch für RODCs.<br />
Hinweis Bei der Erstellung von RODC-Installationsmedien entfernt Ntdsutil alle zwischengespeicherten<br />
vertraulichen Daten wie z.B. Kennwörter.<br />
Führen Sie die folgenden Schritte aus, um Installationsmedien mit Ntdsutil.exe zu erstellen:<br />
1. Öffnen Sie im Menü Start eine Eingabeaufforderung mit erhöhten Berechtigungen, indem Sie mit<br />
der rechten Maustaste auf Eingabeaufforderung klicken und Als Administrator ausführen wählen.<br />
2. Geben Sie ntdsutil ein, und drücken Sie die EINGABETASTE.<br />
3. Geben Sie an der Ntdsutil-Eingabeaufforderung den Befehl activate instance ntds ein, und drücken<br />
Sie die EINGABETASTE.<br />
4. Geben Sie an der ntdsutil-Eingabeaufforderung ifm ein, und drücken Sie die EINGABETASTE.<br />
5. Geben Sie an der ifm-Eingabeaufforderung den Befehl für den Typ von Installationsmedien ein,<br />
den Sie erstellen möchten, und drücken Sie die EINGABETASTE. Geben Sie beispielsweise zum<br />
Erstellen von RODC-Installationsmedien, die keine SYSVOL-Daten enthalten, den folgenden<br />
Befehl ein:<br />
Create rodc Dateipfad<br />
wobei Dateipfad für den Pfad zu dem Ordner steht, in dem Sie die Installationsmedien erstellen<br />
möchten. Sie können die Installationsmedien auf einem lokalen Laufwerk, in einem freigegebenen<br />
Netzwerkordner oder auf jedem beliebigen Wechseldatenträger speichern.<br />
In Tabelle 6.3 werden die vier verschiedenen Typen von Installationsmedien aufgelistet.<br />
Tabelle 6.3<br />
IFM-Typen<br />
Parameter<br />
Create Full<br />
Create RODC<br />
Create Sysvol Full<br />
Create Sysvol RODC<br />
Typ von Installationsmedien<br />
Vollständiger (oder beschreibbarer) Domänencontroller<br />
Schreibgeschützter Domänencontroller<br />
Vollständiger (oder beschreibbarer) Domänencontroller ohne SYSVOL-Daten<br />
Schreibgeschützter Domänencontroller ohne SYSVOL-Daten<br />
Um die AD DS-Datenbank bei der Installation zusätzlicher Domänencontroller zu füllen, geben Sie<br />
auf der Seite Installieren von Medium im Assistenten zum Installieren von <strong>Active</strong> <strong>Directory</strong>-Domänendiensten<br />
den Speicherort der freigegebenen Ordner oder den Wechseldatenträger zum Speichern<br />
der Installationsmedien an. Verwenden Sie bei der unbeaufsichtigten Installation den Parameter /<br />
ReplicationSourcePath, um auf die Installationsmedien zu verweisen.
234 Kapitel 6: Installieren der <strong>Active</strong> <strong>Directory</strong>-Domänendienste<br />
Bereitstellen schreibgeschützter Domänencontroller<br />
Unter Windows Server 2008 steht eine neue Möglichkeit zum Installieren eines Domänencontrollers<br />
in einer Zweigstelle zur Verfügung. Mit diesem Installationsvorgang können Sie einen schreibgeschützten<br />
Domänencontroller in zwei Schritten in einer Zweigstelle bereitstellen. Zunächst erstellen<br />
Sie ein Konto für den RODC. Beim Erstellen des Kontos können Sie das Benutzerkonto festlegen, das<br />
für die Installation und Verwaltung des schreibgeschützten Domänencontrollers verantwortlich ist.<br />
Der delegierte RODC-Administrator kann die Installation abschließen, indem er einen Server mit dem<br />
von Ihnen zu diesem Zweck erstellten RODC-Konto verknüpft. Auf diese Weise sind zum Erstellen<br />
von Zweigstellen-Domänencontrollern weder ein Stagingstandort noch Domänenadministratorberechtigungen<br />
zum Erstellen von RODCs in einer Zweigstelle erforderlich.<br />
Berücksichtigen Sie bei der RODC-Installation die folgenden Punkte:<br />
• Vor der Installation von RODCs in Ihrer Gesamtstruktur müssen Sie diese vorbereiten, indem Sie<br />
adprep /rodcprep ausführen (dieses Tool wird auf dem Windows Server 2008-Installationsmedium<br />
bereitgestellt).<br />
• Bei dem ersten in einer Gesamtstruktur installierten Domänencontroller muss es sich um einen<br />
globalen Katalogserver handeln, es darf sich nicht um einen RODC handeln.<br />
• Der RODC muss Domänendaten von einem beschreibbaren Domänencontroller replizieren, der<br />
unter Windows Server 2008 ausgeführt wird.<br />
• Standardmäßig führt der RODC keine Zwischenspeicherung der Kennwörter von Domänenbenutzern<br />
durch. Sie müssen die Standard-Kennwortreplikationsrichtlinie für den RODC ändern, damit<br />
dieser Benutzer und ihre Computer authentifizieren kann, wenn die WAN-Verknüpfung zum Hubstandort<br />
offline ist.<br />
Server Core-Installation unter Windows Server 2008<br />
Die empfohlene Vorgehensweise ist eine Bereitstellung des RODCs über eine Server Core-Installation<br />
von Windows Server 2008. Eine Server Core-Installation von Windows Server 2008 bietet eine<br />
minimale Umgebung zum Ausführen bestimmter Serverrollen, die aufgrund einer verringerten<br />
Angriffsfläche zu einer Verbesserung der Netzwerksicherheit beiträgt. Der Begriff minimal bezieht<br />
sich in diesem Zusammenhang auf die geringe Arbeitsspeicher- und Speicherplatzbelegung der Server<br />
Core-Installation. Darüber hinaus weist eine Server Core-Installation keine grafische Benutzeroberfläche<br />
(Graphical User Interface, GUI) auf.<br />
Führen Sie zur Installation von AD DS auf einer Server Core-Installation von Windows Server 2008<br />
eine unbeaufsichtigte Installation aus. Eine Server Core-Installation unterstützt die folgenden Serverrollen:<br />
• <strong>Active</strong> <strong>Directory</strong>-Domänendienste (AD DS)<br />
• <strong>Active</strong> <strong>Directory</strong> Lightweight <strong>Directory</strong> Services (AD LDS)<br />
• DHCP-Server<br />
• DNS-Server<br />
• Dateidienste<br />
• Druckdienste<br />
• Webdienste (IIS)<br />
• Hyper-V
Bereitstellen von RODCs<br />
Entfernen der AD DS 235<br />
Sie können eine gestaffelte RODC-Installation durchführen. Hierbei führen verschiedene Benutzer<br />
den Installations-Assistenten zu unterschiedlichen Zeiten und höchstwahrscheinlich an verschiedenen<br />
Standorten aus. Zunächst erstellt ein Mitglied der Gruppe Domänen-Admins über das Snap-In <strong>Active</strong><br />
<strong>Directory</strong>-Benutzer und -Computer in Microsoft Management Console (MMC) ein RODC-Konto.<br />
Klicken Sie entweder mit der rechten Maustaste auf den Container Domain Controllers, oder klicken<br />
Sie auf den Container Domain Controllers und anschließend auf Aktion und dann auf Konto für<br />
schreibgeschützten Domänencontroller vorbereiten, um den Assistenten zu starten und das Konto<br />
zu erstellen. Das RODC-Konto kann auch mithilfe des Befehlszeilenparameters dcpromo /Replica-<br />
DomainDNSName: /createDCaccount vorbereitet werden. Beim Erstellen des<br />
RODC-Kontos können Sie die Installation und Verwaltung des RODC an einen Benutzer oder vorzugsweise<br />
an eine Sicherheitsgruppe delegieren.<br />
Auf dem Server, der die Rolle des RODC einnimmt, führt der delegierte RODC-Administrator den<br />
Assistenten zum Installieren von <strong>Active</strong> <strong>Directory</strong>-Domänendiensten aus, indem er den Befehl<br />
dcpromo /UseExistingAccount:Attach an der Eingabeaufforderung eingibt, um den Assistenten<br />
zu starten.<br />
Entfernen der AD DS<br />
AD DS werden von einem Domänencontroller mit dem gleichen Befehl entfernt, der auch für die<br />
Installation verwendet wird – Dcpromo.exe. Wenn Sie diesen Befehl auf einem Computer ausführen,<br />
bei dem es sich bereits um einen Domänencontroller handelt, erhalten Sie vom Assistenten zum<br />
Installieren von <strong>Active</strong> <strong>Directory</strong>-Domänendiensten eine Meldung, dass die AD DS entfernt werden,<br />
wenn Sie fortfahren. In diesem Abschnitt wird der Vorgang zum Entfernen der AD DS sowohl vom<br />
letzten als auch von einem zusätzlichen Domänencontroller in einer Windows Server 2008-Domäne<br />
erläutert.<br />
Das Entfernen der AD DS von einem Domänencontroller hat folgende Auswirkungen: Die Verzeichnisdatenbank<br />
wird gelöscht, sämtliche der für die AD DS benötigten Dienste werden angehalten und<br />
entfernt, die lokale SAM-Datenbank wird erstellt, und der Computer wird zu einem Mitgliedsserver<br />
herabgestuft. Die einzelnen Auswirkungen hängen davon ab, ob es sich bei dem Domänencontroller<br />
um einen zusätzlichen DC oder den letzten DC in der Domäne oder Gesamtstruktur handelt.<br />
Geben Sie zum Entfernen der AD DS von einem Domänencontroller dcpromo an der Eingabeaufforderung<br />
oder in das Dialogfeld Ausführen ein. Zunächst müssen Sie ermitteln, ob es sich bei dem<br />
Domänencontroller um den letzten Domänencontroller in der Domäne handelt. In Abbildung 6.9 wird<br />
die entsprechende Assistentenseite angezeigt.<br />
Als Nächstes zeigt der Assistent zum Installieren von <strong>Active</strong> <strong>Directory</strong>-Domänendiensten eine Liste<br />
aller auf dem Domänencontroller gefundenen Anwendungsverzeichnispartitionen an. Handelt es sich<br />
um den letzten Domänencontroller in der Domäne, ist dies die letzte Quelle für diese Anwendungsdaten.<br />
Sie sollten erwägen, diese Daten zu sichern oder auf andere Weise schützen, da die Verzeichnispartitionen<br />
durch eine Verwendung des Assistenten zum Installieren von <strong>Active</strong> <strong>Directory</strong>-Domänendiensten<br />
gelöscht werden. Handelt es sich bei dem Domänencontroller, von dem Sie die AD DS<br />
entfernen, gleichzeitig um einen DNS-Server, sind mindestens zwei Anwendungsverzeichnispartitionen<br />
zum Speichern der Zonendaten vorhanden. Abbildung 6.10 zeigt ein Beispiel von DNS-Anwendungsverzeichnispartitionen,<br />
die während der Deinstallation der AD DS gefunden wurden.
236 Kapitel 6: Installieren der <strong>Active</strong> <strong>Directory</strong>-Domänendienste<br />
Abbildung 6.9<br />
Die Option zum Entfernen des letzten Domänencontrollers<br />
Abbildung 6.10<br />
Entfernen der DNS-Anwendungsverzeichnispartitionen
Entfernen der AD DS 237<br />
Nachdem Sie das Entfernen der Anwendungsverzeichnispartitionen bestätigt haben, werden Sie dazu<br />
aufgefordert, ein neues Kennwort für das lokale Administratorkonto einzugeben. Überprüfen Sie<br />
abschließend die Zusammenfassungsseite, und schließen Sie den Vorgang zum Entfernen der AD DS<br />
ab. Um den Vorgang abzuschließen, müssen Sie den Computer neu starten. Nach dem Neustart übernimmt<br />
der Computer entweder die Rolle eines Mitgliedsservers oder eines eigenständigen Servers.<br />
Entfernen von zusätzlichen Domänencontrollern<br />
Der Vorgang zum Entfernen der AD DS von zusätzlichen Domänencontrollern ist weniger kompliziert<br />
als das Entfernen der AD DS von dem letzten Domänencontroller in einer Domäne oder Gesamtstruktur.<br />
Der Grund hierfür ist, dass Replikate der Verzeichnispartitionen auf anderen Domänencontrollern<br />
gespeichert sind, sodass keine Verzeichnisdaten verloren gehen. Beim Entfernen werden<br />
jedoch Daten in Anwendungspartitionen gelöscht. Stellen Sie deswegen sicher, dass Sie die Anwendung(en)<br />
nach dem Entfernen der AD DS nicht mehr benötigen, oder wählen Sie einen anderen DC in<br />
der Domäne als Replikatspeicherort für die Anwendungspartition. Die Deinstallation der AD DS auf<br />
dem Domänencontroller zieht folgende Änderungen nach sich:<br />
• Sämtliche Betriebsmasterrollen werden auf andere Domänencontroller in der Domäne verschoben.<br />
Um die Platzierung von FSMO-Rollen (Flexible Single Master Operations) in Ihrer Umgebung<br />
besser steuern zu können, sollten Sie die FSMO-Rollen vor der Herabstufung manuell<br />
verschieben.<br />
• Der SYSVOL-Ordner und sämtliche Inhalte werden vom Domänencontroller entfernt.<br />
• Das Objekt NTDS Settings und sämtliche Querverweise werden entfernt.<br />
• DNS wird aktualisiert, um die SRV-Einträge der Domänencontroller zu entfernen.<br />
• Die lokale SAM-Datenbank zum Verarbeiten der lokalen Sicherheitsrichtlinie wird erstellt.<br />
• Sämtliche <strong>Active</strong> <strong>Directory</strong>-bezogene Dienste, die bei der Installation der AD DS gestartet werden<br />
(wie z.B. der Netzwerkanmeldedienst), werden angehalten.<br />
Schließlich wird der Typ des Computerkontos von Domänencontroller in Mitgliedsserver geändert,<br />
und das Computerkonto wird vom Container Domain Controllers in den Container Computers verschoben.<br />
Um die AD DS von einem zusätzlichen Domänencontroller zu entfernen, müssen Sie als ein<br />
Mitglied der Gruppe Domänen-Admins oder Organisations-Admins angemeldet sein.<br />
Hinweis Stellen Sie beim Entfernen der AD DS von einem zusätzlichen Domänencontroller sicher, dass<br />
weitere GCs in der Domäne vorhanden sind. GCs werden für Benutzeranmeldungen benötigt und im Gegensatz<br />
zu Betriebsmasterrollen nicht automatisch verschoben.<br />
Entfernen des letzten Domänencontrollers<br />
Zusätzlich zu den interessanten Aspekten beim Entfernen eines zusätzlichen Domänencontrollers treten<br />
beim Entfernen des letzten Domänencontrollers in einer Domäne weitere Besonderheiten auf. Am<br />
wichtigsten hierbei ist, dass das Entfernen des letzten Domänencontrollers in einer Domäne dazu<br />
führt, dass die Domäne selbst entfernt wird. Ebenso wird auch die Gesamtstruktur entfernt, wenn Sie<br />
den letzten Domänencontroller in einer Gesamtstruktur entfernen. Unter anderem treten die folgenden<br />
Besonderheiten beim Entfernen des letzten Domänencontrollers in einer Domäne auf:<br />
• Der Assistent zum Installieren von <strong>Active</strong> <strong>Directory</strong>-Domänendiensten überprüft, ob untergeordnete<br />
Domänen vorhanden sind. Der Vorgang zum Entfernen der AD DS wird angehalten, wenn<br />
untergeordnete Domänen gefunden werden.
238 Kapitel 6: Installieren der <strong>Active</strong> <strong>Directory</strong>-Domänendienste<br />
• Handelt es sich bei der zu entfernenden Domäne um eine untergeordnete Domäne, wird ein<br />
Domänencontroller in der übergeordneten Domäne kontaktiert, und es werden Replikate der<br />
Änderungen erstellt.<br />
• Sämtliche der mit dieser Domäne verknüpften Objekte werden aus der Gesamtstruktur entfernt.<br />
• Sämtliche Vertrauensstellungsobjekte für übergeordnete Domänencontroller werden entfernt.<br />
Nachdem die AD DS entfernt worden sind, wird der Typ des Computerkontos von Domänencontroller<br />
in Mitgliedsserver geändert. Der Server wird anschließend in einer Arbeitsgruppe mit der Bezeichnung<br />
Arbeitsgruppe platziert.<br />
Um den letzten Domänencontroller einer untergeordneten Domäne oder Strukturstammdomäne zu<br />
entfernen, müssen Sie als Mitglied der Gruppe Organisations-Admins angemeldet sein oder im Assistenten<br />
zum Installieren von <strong>Active</strong> <strong>Directory</strong>-Domänendiensten Anmeldeinformationen eines Unternehmensadministrators<br />
angeben. Um die AD DS vom letzten Domänencontroller in der Gesamtstruktur<br />
zu entfernen, müssen Sie entweder als Administrator oder als ein Mitglied der Gruppe Domänen-<br />
Admins angemeldet sein.<br />
Unbeaufsichtigtes Entfernen der AD DS<br />
Das Entfernen der AD DS kann ähnlich wie die zuvor erläuterte unbeaufsichtigte Installation automatisiert<br />
werden. Tatsächlich wird die gleiche Befehlszeile zum Entfernen der AD DS verwendet wie bei<br />
der Installation. Der einzige Unterschied besteht im Inhalt der Antwortdatei.<br />
Um die AD DS unbeaufsichtigt zu entfernen, geben Sie an der Befehlszeile oder im Dialogfeld Ausführen<br />
den Befehl dcpromo /unattend:Antwortdatei ein (wobei Antwortdatei für den Namen der von<br />
Ihnen erstellten Antwortdatei steht). Die Antwortdatei enthält die Schlüsselwerte, welche die zuvor<br />
erläuterten Entscheidungen zur Verwendung des Assistenten zum Installieren von <strong>Active</strong> <strong>Directory</strong>-<br />
Domänendiensten für eine Deinstallation der AD DS wiederspiegeln. Ein zu berücksichtigender<br />
Schlüsselwert ist IsLastDCInDomain, der entweder den Wert Yes oder No aufweisen kann. Ist der<br />
Wert dieses Schlüssels auf Yes gesetzt, geben Sie damit an, dass Sie die AD DS vom letzten Domänencontroller<br />
in der Domäne entfernen, woraufhin die Domäne selbst entfernt wird. Im Folgenden<br />
finden Sie ein Beispiel einer Antwortdatei zum Entfernen eines zusätzlichen Domänencontrollers:<br />
[DCInstall]<br />
RebootOnSuccess=Yes<br />
IsLastDCInDomain=No<br />
AdministratorPassword=Kennwort<br />
Password=DomainAdminKennwort<br />
UserName=Administrator<br />
Erzwungenes Entfernen eines Windows Server 2008-Domänencontrollers<br />
Windows Server 2008 bietet ein neues Feature, um das Entfernen eines Domänencontrollers selbst<br />
dann zu erzwingen, wenn er im Verzeichnisdienst-Wiederherstellungsmodus gestartet wurde. Dieses<br />
Feature ist vor allem dann nützlich, wenn der Domänencontroller keine Konnektivität mit anderen<br />
Domänencontrollern aufweist. Da der Domänencontroller während des Vorgangs keine Verbindung<br />
mit anderen Domänencontrollern herstellen kann, werden die AD DS-Gesamtstrukturmetadaten nicht<br />
automatisch aktualisiert, wie dies beim gewöhnlichen Entfernen eines Domänencontrollers der Fall<br />
ist. Stattdessen müssen Sie die Gesamtstrukturmetadaten nach dem Entfernen des Domänencontrollers<br />
manuell aktualisieren.
Zusammenfassung 239<br />
Weitere Informationen Im Microsoft Knowledge Base-Artikel 216498 unter http://go.microsoft.com/fwlink/<br />
?LinkId=80481 finden Sie Informationen zur Bereinigung der Metadaten.<br />
Sie können das Entfernen eines Domänencontrollers über die Befehlszeile oder mithilfe einer Antwortdatei<br />
erzwingen. Führen Sie die folgenden Schritte aus, um das Entfernen eines Windows Server<br />
2008-Domänencontrollers mithilfe der grafischen Benutzeroberfläche zu erzwingen:<br />
1. Geben Sie an der Eingabeaufforderung den Befehl dcpromo /forceremoval ein, und drücken Sie<br />
die EINGABETASTE.<br />
2. Falls der Domänencontroller FSMO-Rollen hostet oder es sich beim Domänencontroller um einen<br />
DNS-Server oder einen globalen Katalogserver handelt, werden Warnungen angezeigt. In diesen<br />
wird erläutert, wie sich das erzwungene Entfernen auf die restliche Umgebung auswirkt. Klicken<br />
Sie nach dem Lesen jeder Warnung auf Ja.<br />
Hinweis Sie können die Warnmeldungen bereits vor dem Entfernen unterdrücken, indem Sie an der<br />
Eingabeaufforderung /demotefsmo:yes eingeben.<br />
3. Klicken Sie auf der Willkommenseite des Assistenten zum Installieren von <strong>Active</strong> <strong>Directory</strong>-<br />
Domänendiensten auf Weiter.<br />
4. Überprüfen Sie auf der Seite Entfernen der <strong>Active</strong> <strong>Directory</strong>-Domänendienste erzwingen die<br />
Informationen zum Erzwingen des Entfernens der AD DS sowie die Anforderungen für die Metadatenbereinigung,<br />
und klicken Sie dann auf Weiter.<br />
5. Geben Sie auf der Seite Administratorkennwort ein sicheres Kennwort für das lokale Administratorkonto<br />
ein, und bestätigen Sie es. Klicken Sie anschließend auf Weiter.<br />
6. Prüfen Sie Ihre Auswahl auf der Seite Zusammenfassung. Klicken Sie auf Zurück, um ggf. notwendige<br />
Änderungen vorzunehmen.<br />
7. Klicken Sie zum Entfernen der AD DS auf Weiter.<br />
8. Aktivieren Sie die Option Nach Abschluss neu starten, um den Server automatisch neu zu starten.<br />
Alternativ können Sie den Server zum Abschließen des Entfernens der AD DS neu starten, wenn<br />
Sie dazu aufgefordert werden.<br />
Zusammenfassung<br />
In diesem Kapitel wurden die wichtigsten Entscheidungen vorgestellt, die Sie während einer AD DS-<br />
Installation unter Windows Server 2008 treffen müssen. Auch wenn die Mechanismen zum Installieren<br />
der AD DS unkompliziert sind, sollten Sie die zu treffenden Entscheidungen sorgfältig planen und<br />
auf Ihren AD DS-Entwurfsplan abstimmen. Die Möglichkeit zum Bereitstellen von RODCs an Remotestandorten<br />
ist ein leistungsstarkes neues Feature von Windows Server 2008. In diesem Kapitel<br />
wurde erläutert, wie Sie die RODC-Bereitstellung durchführen, indem Sie zunächst ein DC-Konto<br />
und die Rollendelegierung erstellen und anschließend den Domänencontroller am Remotestandort<br />
installieren sowie die Attribute replizieren, deren Speicherung Sie an diesem Remotestandort als<br />
sicher eingestuft haben. Beim Entfernen der AD DS handelt es ebenfalls sich um ein unkompliziertes<br />
Verfahren, Sie müssen jedoch die Auswirkungen des Entfernens eines Domänencontrollers auf die<br />
übrige Verzeichnisdienstinfrastruktur berücksichtigen. In diesem Kapitel wurde außerdem ein neues<br />
Feature für die AD DS-Installation vorgestellt: das Installieren eines zusätzlichen Domänencontrollers<br />
oder eines Replikats aus wiederhergestellten Sicherungsdateien.
240 Kapitel 6: Installieren der <strong>Active</strong> <strong>Directory</strong>-Domänendienste<br />
Dieses Feature verringert den Zeitaufwand erheblich, der beim Installieren eines zusätzlichen Domänencontrollers<br />
aufgrund der Synchronisierung der Verzeichnispartitionen entsteht.<br />
Zusätzliche Ressourcen<br />
Die folgenden Ressourcen enthalten zusätzliche Informationen und Tools im Zusammenhang mit diesem<br />
Kapitel.<br />
Verwandte Informationen<br />
Die folgenden zusätzlichen Ressourcen enthalten weitere Informationen zur Installation der AD DS<br />
auf einem Computer unter Windows Server 2008.<br />
• Weitere Informationen zum Planen Ihres DNS-Namespaces und Entwerfen der AD DS-Struktur<br />
werden in Kapitel 5, „Entwerfen der <strong>Active</strong> <strong>Directory</strong>-Domänendienstestruktur“, bereitgestellt.<br />
• Weitere Informationen zum Installieren und Entfernen der AD DS erhalten Sie im Artikel<br />
„Schrittweise Anleitung zum Installieren und Entfernen von <strong>Active</strong> <strong>Directory</strong>-Domänendiensten<br />
unter Windows Server 2008” unter http://go.microsoft.com/fwlink/?LinkId=100492.<br />
• Weitere Informationen zur Bereitstellung der AD DS werden im Artikel „Planning an <strong>Active</strong><br />
<strong>Directory</strong> Domain Services Deployment” (in englischer Sprache ) unter http://go.microsoft.com/<br />
fwlink/?LinkId=100493 bereitgestellt.<br />
• Wissenswertes zum Bewerten der Hardwareanforderungen von Domänencontrollern in einer Windows<br />
Server 2008-Domäne finden Sie im Artikel „Planning Domain Controller Capacity“ (in englischer<br />
Sprache) unter http://go.microsoft.com/fwlink/?LinkId=89027.<br />
• Weitere Informationen zu AD DS-Funktionsebenen finden Sie im Artikel „Enabling Windows<br />
Server 2008 Advanced Features for <strong>Active</strong> <strong>Directory</strong> Domain Services“ (in englischer Sprache)<br />
unter http://go.microsoft.com/fwlink/?LinkId=89030.<br />
• Wissenswertes zur Bereitstellung regionaler AD DS-Domänen wird im Artikel „Deploying Windows<br />
Server 2008 Regional Domains“ (in englischer Sprache) unter http://go.microsoft.com/<br />
fwlink/?LinkId=89029 aufgeführt.<br />
• Weitere Informationen zur Installation und Konfiguration von DNS-Servern erhalten Sie im Artikel<br />
„Deploying Domain Name System (DNS)“ (in englischer Sprache) unter http://go.microsoft.com/fwlink/?LinkId=93656.<br />
• Weitere Informationen zu zusätzlichen Installationsmethoden für eine neue Windows<br />
Server 2008-Gesamtstruktur finden Sie unter „Installieren einer neuen Gesamtstruktur unter<br />
Windows Server 2008“ unter http://go.microsoft.com/fwlink/?LinkId=101704.<br />
• Wissenswertes zu Tests, die mithilfe des Tools Dcdiag.exe durchgeführt werden können, finden<br />
Sie im Dokument „Dcdiag Overview” (in englischer Sprache) unter http://go.microsoft.com/<br />
fwlink/?LinkId=93660.<br />
• Weitere Informationen zu Überprüfungsaufgaben, die auf einem Computer mit neu installierter<br />
<strong>Active</strong> <strong>Directory</strong>-Installation ausgeführt werden können, werden im Artikel „Verifying <strong>Active</strong><br />
<strong>Directory</strong> Installation“ (in englischer Sprache) unter http://go.microsoft.com/fwlink/?LinkId=<br />
68736 bereitgestellt.<br />
• Weitere Informationen zur Installation und Bereitstellung des Windows-Zeitdiensts erhalten Sie<br />
im Artikel „Administering the Windows Time Service“ (in englischer Sprache) unter http://<br />
go.microsoft.com/fwlink/?LinkId=93658.
Zusätzliche Ressourcen 241<br />
• Nähere Informationen zu DNS-Serverweiterleitungen werden im Artikel „Using Forwarders to<br />
Manage DNS Servers“ (in englischer Sprache) unter http://go.microsoft.com/fwlink/?LinkId=<br />
93659 aufgeführt.<br />
• Wissenswertes zur Verwendung von Medien für die Installation des Domänencontrollers finden<br />
Sie im Artikel „Installing AD DS from Media“ (in englischer Sprache) unter http://go.microsoft.com/fwlink/?LinkId=93104.<br />
• Weitere Informationen zu alternativen Installationsmethoden für zusätzliche Windows<br />
Server 2008-Domänencontroller in einer vorhandenen Gesamtstruktur werden im Artikel „Installing<br />
an Additional Windows Server 2008 Domain Controller“ (in englischer Sprache) unter http://<br />
go.microsoft.com/fwlink/?LinkId=92692. bereitgestellt.<br />
• Nähere Informationen zur Konfiguration von DNS-Clientdiensten erhalten Sie im Artikel „Configuring<br />
and Managing DNS Clients“ (in englischer Sprache) unter http://go.microsoft.com/fwlink/<br />
?LinkId=93662.<br />
• Ein Verfahren zur Übertragung der Betriebsmasterrollen wird im Artikel „Übertragen der<br />
Betriebsmasterrollen“ unter http://go.microsoft.com/fwlink/?LinkId=93664 beschrieben.<br />
• Wissenswertes zur Platzierung der Betriebsmasterrollen wird im Artikel „Planning Operations<br />
Master Role Placement“ (in englischer Sprache) unter http://go.microsoft.com/fwlink/?LinkId=<br />
93665 aufgeführt.<br />
Verwandte Tools<br />
• Um zu ermitteln, ob das Netzwerksegment, in dem Sie den Domänencontroller platzieren möchten,<br />
über eine ausreichende Bandbreite zur Unterstützung des Domänencontrollerdatenverkehrs<br />
verfügt, können Sie ein Analysetool für Netzwerkframes wie beispielsweise den Netzwerkmonitor<br />
verwenden. Die aktuelle Version 3.1 dieses Tools kann im Microsoft Download Center unter<br />
http://www.microsoft.com/downloads/details.aspx?FamilyID=18b1d59d-f4d8-4213-8d17-<br />
2f6dde7d7aac&DisplayLang=en. heruntergeladen werden.<br />
• Weitere Informationen zum Netzwerkmonitor erhalten Sie im englischsprachigen Blog Network<br />
Monitor unter http://blogs.technet.com/netmon oder auf der englischsprachigen Seite Network<br />
Monitor im Microsoft Technet unter http://technet2.microsoft.com/WindowsServer/en/library/<br />
ad2b59d1-0fb8-45e3-9055-a5aeba8817a91033.mspx?mfr=true.
K A P I T E L 7<br />
Migrieren auf die <strong>Active</strong> <strong>Directory</strong>-Domänendienste<br />
243<br />
Inhalt dieses Kapitels:<br />
Migrationsoptionen. . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 244<br />
Festlegen der Migrationsoption . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 248<br />
Aktualisieren der Domäne . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 250<br />
Umstrukturieren der Domäne. . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 253<br />
Migration innerhalb der Gesamtstruktur. . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 261<br />
Konfigurieren von Vertrauensstellungen zwischen Gesamtstrukturen. . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 262<br />
Zusammenfassung. . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 264<br />
Empfohlene Vorgehensweisen. . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 265<br />
Zusätzliche Ressourcen. . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 265<br />
In Kapitel 6, „Installieren der <strong>Active</strong> <strong>Directory</strong>-Domänendienste“, wurden die wichtigsten Entscheidungen<br />
vorgestellt, die Sie beim Installieren der AD DS auf einem Computer zu treffen haben, auf<br />
dem Windows Server 2008 ausgeführt wird. Zum einfacheren Verständnis wurde in diesem Kapitel<br />
eine „unbelastete“ Umgebung zugrunde gelegt, d.h. eine Umgebung, in der noch keine Verzeichnisdienststruktur<br />
vorhanden ist. Außerdem wurde in Kapitel 6 die Bedeutung des AD DS-Namespaces<br />
und des DNS-Namespaces (Domain Name System) hervorgehoben. Höchstwahrscheinlich verfügen<br />
Organisationen, die zu den AD DS und Windows Server 2008 wechseln (bzw. darauf migrieren),<br />
bereits über eine Verzeichnisdienstumgebung einschließlich Vorgängerversionen der AD DS. In diesem<br />
Kapitel wird die Migration auf die Windows Server 2008-AD DS von einer vorhandenen Microsoft-Verzeichnisdienstumgebung<br />
erläutert – insbesondere von einer Windows 2000 Server- oder Windows<br />
Server 2003-<strong>Active</strong> <strong>Directory</strong>-Plattform. Migrationsszenarien von<br />
Verzeichnisdiensttechnologien, die nicht von Microsoft stammen, wie beispielsweise Novell <strong>Directory</strong><br />
Services (NDS) oder UNIX-basierten Verzeichnisdienstimplementierungen werden im Rahmen<br />
dieses Kapitels nicht beschrieben.<br />
Weitere Informationen Auf der Microsoft-Website werden zahlreiche Ressourcen bereitgestellt, die eine<br />
Hilfestellung für die Migration von anderen Verzeichnisdienstplattformen auf die AD DS bieten. Weitere Informationen<br />
zum Migrieren von einer UNIX- oder Linux-Umgebung finden Sie im Artikel „UNIX Migration Project<br />
Guide“, der in englischsprachiger Version im Microsoft Download Center verfügbar ist.<br />
Zu Beginn dieses Kapitels werden unterschiedliche Optionen in Bezug auf Aktualisierung und<br />
Migration für den Wechsel zu Windows Server 2008 und den AD DS vorgestellt. Im Anschluss daran<br />
werden die wichtigsten Aspekte jeder Option und die zum Durchführen von Aktualisierung oder Migration<br />
erforderlichen Verfahren beschrieben.
244 Kapitel 7: Migrieren auf die <strong>Active</strong> <strong>Directory</strong>-Domänendienste<br />
Migrationsoptionen<br />
Bei einer Verzeichnisdienstmigration ist der Startpunkt die Quelldomäne (Punkt A) und der Zielpunkt<br />
die Zieldomäne (Punkt B), wobei die Quelldomäne Ihre aktuelle Verzeichnisdienstinfrastruktur und<br />
die Zieldomäne die angestrebte Windows Server 2008-AD DS-Struktur ist. Als Erstes müssen Sie bei<br />
der Planung einer Migration auf die AD DS entscheiden, auf welche Weise Sie zur Zieldomäne gelangen<br />
möchten. Tatsächlich gibt es mehrere Möglichkeiten, um mithilfe der sogenannten Migrationsoptionen<br />
von der Quelldomäne zur Zieldomäne zu gelangen. Die Migrationsoption ist die grundlegende<br />
Komponente Ihres gesamten Plans, d.h. Ihrer Migrationsstrategie. Ihre Migrationsstrategie umfasst<br />
die Art und Weise, in der Sie die Migration durchführen möchten, die zu verschiebenden Verzeichnisdienstobjekte<br />
sowie die Reihenfolge, in der die Objekte verschoben werden. Es hat sich bei Verzeichnisdienstmigrationsprojekten<br />
bewährt, alle Einzelheiten zur Migrationsstrategie und den auszuführenden<br />
Aktionen in einem Dokument festzuhalten, dem sogenannten Migrationsplan.<br />
Die folgenden drei Migrationsoptionen stehen zur Auswahl:<br />
• Domänenaktualisierung<br />
• Domänenumstrukturierung<br />
• Aktualisierung vor Umstrukturierung<br />
Bei der Domänenaktualisierung führen Sie eine Aktualisierung des Betriebssystems auf einem Domänencontroller<br />
mit einem älteren Betriebssystem auf Windows Server 2008 durch, oder Sie installieren<br />
Windows Server 2008-Domänencontroller in einer Windows 2000 Server- oder Windows Server<br />
2003-Domäne. Nach der Aktualisierung der Domäne auf Windows Server 2008 ist die ursprüngliche<br />
Domänenumgebung (Punkt A im angenommenen Szenario) nicht mehr vorhanden. Bei der Domänenaktualisierung<br />
handelt es sich um die einfachste Migrationsmethode. Daher sollten Sie diese Methode<br />
als Standardmigrationsoption in Erwägung ziehen.<br />
Die zweite Möglichkeit besteht in einer Domänenumstrukturierung. Bei einer Domänenumstrukturierung<br />
werden Verzeichnisdienstobjekte von der vorhandenen Verzeichnisdienstplattform (Quelldomäne)<br />
auf die AD DS (Zieldomäne) kopiert. Dieses Verfahren wird auch als Klonen bezeichnet. Bei<br />
einer Domänenumstrukturierung sind sowohl die Quell- als auch die Zieldomäne vorhanden. Nachdem<br />
alle Verzeichnisdienstobjekte von der Quelle auf das Ziel migriert und alle Computer für die Verwendung<br />
der AD DS konfiguriert wurden, können Quelldomänencontroller entweder herabgestuft<br />
oder außer Betrieb genommen werden. Wenn sich in Ihrem Unternehmen eine Domänenumstrukturierung<br />
als geeignetes Migrationsverfahren erweist, sind im Vergleich zu einer Domänenaktualisierung<br />
einige zusätzliche Aspekte in Betracht zu ziehen. Diese Aspekte werden in den folgenden Abschnitten<br />
näher erläutert.<br />
Die dritte Migrationsoption: Das Verfahren der Aktualisierung vor Umstrukturierung wird auch als<br />
Zweiphasenmigration bezeichnet. Bei der Aktualisierung vor Umstrukturierung aktualisieren Sie<br />
zuerst die Quelldomäne bzw. -domänen und migrieren anschließend die Konten auf neue oder<br />
vorhandene Windows Server 2008-Domänen. Bei diesem Verfahren profitieren Sie sowohl von den<br />
kurzfristigen Vorteilen der Domänenaktualisierung als auch von den langfristigen Vorteilen der<br />
Domänenumstrukturierung.<br />
In den folgenden Abschnitten werden die Vor- und Nachteile jedes dieser Migrationsverfahren<br />
dargestellt.
Das Verfahren der Domänenaktualisierung<br />
Migrationsoptionen 245<br />
Eine Domänenaktualisierung, auch als ersetzende Domänenaktualisierung bezeichnet, ist das einfachste<br />
der drei Migrationsverfahren. Bei einer Domänenaktualisierung wird die vorhandene Domänenumgebung<br />
in die AD DS konvertiert. Diese Konvertierung wird entweder zeitgleich mit der Aktualisierung<br />
des Domänencontrollers auf Windows Server 2008 oder während der Installation der neuen<br />
Windows Server 2008-Domänencontroller in der Zieldomäne durchgeführt. Eine Domänenaktualisierung<br />
ist unkompliziert, da während des Aktualisierungsvorgangs nicht die Möglichkeit besteht, Änderungen<br />
an der Domänenstruktur vorzunehmen. Wenn Sie beispielsweise Administrator der Domäne<br />
NA in der Windows 2000 Server-basierten Domänenumgebung Adatum.com sind, sind Sie per Definition<br />
auch Administrator der Domäne NA nach der Aktualisierung auf Windows Server 2008. Bei einer<br />
Domänenaktualisierung haben Sie keine Möglichkeit, Änderungen an der Domänenstruktur vorzunehmen,<br />
Sie können während der Aktualisierung noch nicht einmal den Domänennamen der Quelldomäne<br />
ändern.<br />
Windows NT 4.0-Aktualisierung<br />
Windows Server 2008 unterstützt keine direkten Serveraktualisierungen von Windows NT 4.0, und<br />
Sie können keine NT 4.0-Domänencontroller in einem Windows Server 2008-Netzwerk ausführen<br />
und umgekehrt. Wenn Sie eine Aktualisierung Ihrer Windows NT 4.0-Quelldomänenstruktur auf<br />
die Windows Server 2008-AD DS durchführen möchten, müssen Sie zuerst Ihre Windows NT 4.0-<br />
Domänenumgebung auf Windows 2000 Server oder Windows Server 2003 aktualisieren. Nach der<br />
Migration Ihrer Domäne auf Windows 2000 Server oder Windows Server 2003 können Sie eine Aktualisierung<br />
der Quelldomäne auf Windows Server 2008 vornehmen. In diesem Kapitel werden ausschließlich<br />
die Domänenmigrationsszenarien von Windows 2000 Server und Windows Server 2003<br />
erläutert.<br />
Wenn Sie das <strong>Active</strong> <strong>Directory</strong>-Migrationsprogramm (<strong>Active</strong> <strong>Directory</strong> Migration Tool, ADMT) der<br />
Version 3.1 für Windows Server 2008 verwenden, können Sie versuchen, Migrationsvorgänge durchzuführen,<br />
die Windows NT 4.0-Domänencontroller einschließen (mit Service Pack 4 oder höher). Da<br />
es sich jedoch bei Windows NT 4.0 nicht um ein derzeit unterstütztes Produkt handelt, ist dies ein<br />
nicht unterstütztes Szenario.<br />
Domänenaktualisierung<br />
Benutzer, die derzeit <strong>Active</strong> <strong>Directory</strong> einsetzen und eine Aktualisierung auf Windows Server 2008<br />
planen, können ein sehr einfaches Migrationsverfahren nutzen. Viele Änderungen der Verzeichnisdienstarchitektur<br />
wurden höchstwahrscheinlich implementiert, als Kunden die vorhandene Netzwerkumgebung<br />
erstellt oder eine Aktualisierung von Windows NT Server 4 vorgenommen haben. Kunden,<br />
die von Windows 2000 oder Windows Server 2003 auf die Windows Server 2008-AD DS<br />
migrieren, sind vermutlich hauptsächlich an den neuen AD DS-Features von Windows Server 2008<br />
interessiert.<br />
Sie haben zwei Möglichkeiten, um eine Migration mithilfe einer Domänenaktualisierung durchzuführen.<br />
Zum einen können Sie das Betriebssystem der Domänencontroller von Windows 2000 Server<br />
oder Windows Server 2003 auf Windows Server 2008 aktualisieren. Nach Abschluss des Aktualisierungsvorgangs<br />
können Sie die neuen Features in den AD DS nutzen.<br />
Weitere Informationen Weitere Informationen zu den neuen, in Windows Server 2008 <strong>Active</strong> <strong>Directory</strong><br />
verfügbaren Features finden Sie in Kapitel 1, „Neuerungen in <strong>Active</strong> <strong>Directory</strong> für Windows Server 2008“.
246 Kapitel 7: Migrieren auf die <strong>Active</strong> <strong>Directory</strong>-Domänendienste<br />
Zum anderen können Sie neue Windows Server 2008-Domänencontroller (DCs) in einer Windows<br />
2000 Server- oder Windows 2003 Server-Quelldomänenumgebung installieren. Die Verzeichnisdienstobjekte<br />
werden auf die Windows Server 2008-Domänencontroller repliziert, und Sie können<br />
unmittelbar oder im Laufe der Zeit die DCs mit dem älteren Betriebssystem außer Betrieb setzen.<br />
Bei einer Aktualisierung auf Windows Server 2008 sind vor der Migration zwei Schritte auszuführen.<br />
Bevor Sie die Domäne für Windows Server 2008 vorbereiten, ist eine Vorbereitung der Gesamtstruktur<br />
erforderlich. Diese beiden Aufgaben werden mithilfe des Tools Adprep.exe durchgeführt. Die<br />
Vorbereitung von Gesamtstruktur und Domäne vor dem Durchführen der Aktualisierung wird an späterer<br />
Stelle in diesem Kapitel im Abschnitt „Aktualisieren der Domäne“ erläutert.<br />
Domänenumstrukturierung<br />
Bei einer Domänenumstrukturierung wird eine neue Windows Server 2008-Domäne erstellt, und<br />
AD DS-Objekte werden in diese neue Umgebung migriert. Ein Vorteil dieser Migrationsoption<br />
besteht darin, dass die ursprüngliche <strong>Active</strong> <strong>Directory</strong>-Umgebung während der Erstellung der Zielumgebung<br />
nicht verändert wird. Ein weiterer Vorteil liegt darin, dass es sich bei der Domänenumstrukturierung<br />
um ein selektives Verfahren handelt. Im Gegensatz zu einer Domänenaktualisierung können<br />
Sie auswählen, welche Objekte Sie auf die neue Domäne migrieren möchten. Bei einer Domänenaktualisierung<br />
haben Sie nur zwei Möglichkeiten: alles oder nichts – alle Objekte in der Domäne werden<br />
auf Windows Server 2008 und die AD DS aktualisiert. Eine Domänenumstrukturierung ist eine gute<br />
Gelegenheit, alle doppelten, inaktiven, zum Testen verwendeten oder anderweitig außer Kraft gesetzten<br />
Benutzer-, Gruppen-, Dienst- und Computerkonten zu entfernen. Diese sind nach der Migration<br />
auf das neue Domänenmodell nicht mehr vorhanden. Die alten Domänencontroller übernehmen entweder<br />
weniger Funktionen oder eine neue Rolle, oder sie werden außer Betrieb genommen.<br />
Benutzer-, Gruppen-, Dienst- und Computerkonten, auch als Sicherheitsprinzipale bezeichnet, werden<br />
von der NTDS-Datenbank auf die neue AD DS-Datenbank migriert. Zum Durchführen dieser<br />
Migration bestehen zwei Möglichkeiten: Konten können entweder verschoben oder kopiert werden.<br />
Beim Verschieben eines Objekts wird der ursprüngliche Sicherheitsprinzipal während des Migrationsverfahrens<br />
aus der Quelldomäne entfernt. Das Verschieben ist ein zerstörerisches Verfahren, dabei<br />
werden die Objekte der Quelldomäne nicht für ein Rollback (Notfallwiederherstellung) gesichert.<br />
Beim Kopieren wird auf Grundlage des Objekts in der Quelldomäne ein neuer, identischer Sicherheitsprinzipal<br />
in der Zieldomäne erstellt. Das Kopieren stellt das bevorzugte Verfahren zum Übertragen<br />
von Sicherheitsprinzipalen in die neue Windows Server 2008-Gesamtstruktur dar. Das Verschieben<br />
von Sicherheitsprinzipalen wird häufiger beim Durchführen einer Migration zwischen zwei<br />
Windows Server 2008-Domänen innerhalb einer Gesamtstruktur oder zwischen einer Windows 2000/<br />
Windows Server 2003-Gesamtstruktur und einer Windows Server 2008-Domäne genutzt, denn bei<br />
diesen Vorgängen besteht nicht die Möglichkeit zum Kopieren von Sicherheitsprinzipalen.<br />
So funktioniert es: Verwenden des SID-Verlaufs, um den Ressourcenzugriff beizubehalten<br />
Wie wird bei der Migration von Benutzerkonten von einem Domänencontroller auf einen anderen<br />
der Zugriff der Benutzerkonten auf Ressourcen wie beispielsweise Drucker und freigegebene Ordner<br />
beibehalten?
Migrationsoptionen 247<br />
Betrachten Sie das folgende Beispiel. Während einer Domänenumstrukturierung migrieren Sie<br />
mehrere Benutzerkonten von einer Windows Server 2003-Domäne auf eine Windows Server 2008-<br />
Domäne. Nach Abschluss der Kontomigration weisen Sie die Benutzer an, sich an der neuen<br />
Domäne anzumelden und ihre Kennwörter zurückzusetzen. Benutzerin X meldet sich erfolgreich<br />
an der Zieldomäne an und versucht, auf einen zuvor vorhandenen, freigegebenen Ordner auf einem<br />
Dateiserver zuzugreifen, auf dem Windows Server 2003 ausgeführt wird. Sie konnte mehrere<br />
Monate auf diesen Ordner zugreifen. Kann Benutzerin X auf diesen Ordner zugreifen?<br />
Die Antwort auf diese Frage lautet Ja, und zwar aufgrund des Attributs sIDHistory.<br />
Das Attribut sIDHistory von AD DS-Sicherheitsprinzipalen (wie beispielsweise Benutzer- und<br />
Gruppenkonten) wird zum Speichern der vorherigen Sicherheitskennungen (Security Identifiers,<br />
SIDs) von Objekten verwendet. Wenn also in der Windows Server 2003-Domäne die SID von<br />
Benutzerin X im vorangegangenen Beispiel S-1-5-21-2127521184-1604012920-1887927527-<br />
324294 lautete, würde nun im Attributfeld sIDHistory der gleiche Wert für das neu erstellte Windows<br />
Server 2008-Kontoobjekt angezeigt. Wenn Gruppen von einer Windows Server 2003-Domäne<br />
auf eine AD DS-Domäne migriert werden, wird die SID der Windows Server 2003-Domäne<br />
ebenfalls für den Wert des Attributs sIDHistory der Gruppe beibehalten. Beim Migrieren von<br />
Benutzern und Gruppen werden die migrierten Benutzerkonten automatisch den migrierten Gruppen<br />
in der Windows Server 2008-Domäne zugewiesen. Dies bedeutet, dass die den Gruppen in der<br />
Windows Server 2003-Domäne zugewiesenen Zugriffsberechtigungen während des Migrationsverfahrens<br />
erhalten bleiben. Die SID der Quelldomäne wird während der Migration in das Attribut<br />
sIDHistory verschoben. Die durch den Zieldomänencontroller erstellte SID wird im Attribut<br />
objectSID des migrierten Kontos platziert.<br />
Wie bleiben dadurch Zugriffsberechtigungen nach einer Migration bestehen? Versucht Benutzerin<br />
X auf den freigegebenen Ordner auf dem Windows Server 2003-Dateiserver zuzugreifen, überprüft<br />
das Sicherheitssubsystem ihr Zugriffstoken, um sicherzustellen, dass sie über die erforderlichen<br />
Berechtigungen für den Ordner verfügt. Das Zugriffstoken enthält neben der SID von Benutzerin<br />
X und den SIDs aller Gruppen, denen Benutzerin X angehört, alle SID-Verlaufseinträge<br />
sowohl für die Benutzer- als auch für die Gruppenkonten. Wird eine Übereinstimmung zwischen<br />
der freigegebenen Zugriffssteuerungsliste (Discretionary Access Control List, DACL) in der<br />
Sicherheitsbeschreibung (Security Descriptor, SD) des Ordners und der vorherigen SID (die nun<br />
über das Attribut sIDHistory in das Sicherheitstoken integriert ist) ermittelt, wird die Berechtigung<br />
erteilt und Zugriff auf den Ordner gewährt.<br />
Bei einer Benutzerkontomigration entstehen die meisten Probleme dabei, den Zugriff auf sichere<br />
Ressourcen sicherzustellen. Wenn Sie wissen, auf welche Weise Berechtigungen nach einer Migration<br />
beibehalten werden, können Sie als Administrator Probleme beim Ressourcenzugriff effektiv<br />
beheben. Während des Migrationsverfahrens müssen Sie unter Umständen zusätzliche Maßnahmen<br />
ergreifen, um sicherzustellen, dass das Attribut sIDHistory ordnungsgemäß aufgefüllt wird.<br />
Eine ausführlichere Beschreibung dieser Maßnahmen wird im Rahmen der Erläuterungen zum<br />
Kontomigrationsdienstprogramm bereitgestellt: dem <strong>Active</strong> <strong>Directory</strong>-Migrationsprogramm.<br />
Bei der Domänenaktualisierung spielt der SID-Verlauf keine Rolle. Während einer Domänenaktualisierung<br />
wird die SID mit den Benutzer- und Gruppenkonten beibehalten. Benutzerin X kann wie<br />
gewohnt auf Ressourcen zugreifen.
248 Kapitel 7: Migrieren auf die <strong>Active</strong> <strong>Directory</strong>-Domänendienste<br />
Festlegen der Migrationsoption<br />
Wenn Sie sich für eine Migrationsoption entscheiden, sollten Sie bedenken, dass diese Entscheidung<br />
für jede Domäne getroffen werden muss und dass Sie durchaus für unterschiedliche Domänen in Ihrer<br />
Organisation unterschiedliche Migrationsoptionen verwenden können. Ist Ihr bestehendes Domänenmodell<br />
nach geografischen Aspekten ausgerichtet, können Sie eine oder zwei der größeren Domänen<br />
aktualisieren und anschließend eine Umstrukturierung der kleineren Domänen in die größeren vornehmen.<br />
Dabei können Sie die Verwaltungsautonomie der einzelnen Domänen mithilfe von Organisationseinheiten<br />
(Organizational Units, OUs) aufrechterhalten. Dies ist ein Beispiel einer Domänenkonsolidierung.<br />
Nachdem Sie nun die Grundlagen der unterschiedlichen Migrationsoptionen kennengelernt haben,<br />
werden nun die Entscheidungskriterien für die einzelnen Optionen erläutert.<br />
Mithilfe der folgenden Fragen können Sie die für Ihre Organisation am besten geeignete Methode<br />
auswählen:<br />
• Sind Sie mit Ihrem derzeitigen Domänenmodell zufrieden, d.h. entspricht es den Anforderungen, die Sie derzeit<br />
aus organisatorischer und geschäftlicher Sicht an die Domänenstruktur stellen? Wenn im Rahmen<br />
einer Aktualisierung auf Windows Server 2008 keine größeren Änderungen am Domänenmodell<br />
vorgenommen werden sollen, bietet sich die einfachste Migrationsoption an: die Aktualisierung.<br />
Der Domänenname sowie alle Benutzer- und Gruppenkonten werden beibehalten. Da Sie bei einer<br />
Domänenaktualisierung wie bereits erwähnt nur die Entscheidung „alles oder nichts“ treffen können,<br />
erstellen Sie einfach eine Windows Server 2008-Version Ihrer derzeitigen Verzeichnisdienstimplementierung.<br />
• Welches Risiko können Sie bei einer Migration auf ein neues Domänenmodell in Kauf nehmen? Die<br />
Domänenaktualisierung ist nicht nur die einfachste Methode, sondern sie bringt auch das<br />
geringste Risiko mit sich. Der Prozess wird automatisch während der Betriebssystemaktualisierung<br />
auf Domänencontrollern durchgeführt, auf denen Vorgängerversionen des Betriebssystems<br />
ausgeführt werden. Ein Prozess, für den keine Benutzerinteraktion erforderlich ist, bietet wenig<br />
Fehlerquellen. Auch die Domänenaktualisierung anhand einer Notfallwiederherstellung ist ein<br />
einfaches Verfahren. Schlägt die Aktualisierung fehl, schalten Sie einfach den aktualisierten<br />
Domänencontroller aus, beheben die während der Aktualisierung aufgetretenen Fehler und starten<br />
die Aktualisierung anschließend erneut.<br />
• Welcher Zeitrahmen ist zum Durchführen der Migration verfügbar? Meist ist der Zeitrahmen nicht der<br />
entscheidende Faktor bei der Auswahl einer Migrationsoption, für kleinere Organisationen, die für<br />
das Migrationsprojekt nur begrenzte Ressourcen bereitstellen können, ist dies jedoch unter<br />
Umständen ein bedeutender Aspekt. Da während einer Domänenaktualisierung im Vergleich zu<br />
einer Domänenumstrukturierung weniger Schritte erforderlich sind, wird für die vollständige<br />
Durchführung auch weniger Zeit benötigt. Während einer Domänenumstrukturierung ist zum<br />
Erstellen und Testen der Zieldomäneninfrastruktur und zum Migrieren aller Konten von der<br />
Quelle auf die Domäne ein längerer Zeitraum erforderlich. In besonders großen Organisationen<br />
können unter Umständen nicht alle Objekte gleichzeitig migriert werden, daher ist es nicht<br />
unüblich, dass eine Domänenumstrukturierung während mehrerer Phasen über einen bestimmten<br />
Zeitraum hinweg durchgeführt wird. Im Gegensatz dazu handelt es sich bei einer Domänenaktualisierung<br />
um ein lineares Verfahren, das, sobald es einmal begonnen wurde, auch abgeschlossen<br />
werden muss.
Festlegen der Migrationsoption 249<br />
• Welche Systemausfallzeit ist im Verlauf des Migrationsprozesses annehmbar? Ein weiterer Aspekt ist<br />
der Zeitraum, während dessen sich die Verzeichnisdienste während des Migrationsverfahrens in<br />
Betrieb befinden müssen. Während einer Domänenaktualisierung werden die Kontoobjekte<br />
(Benutzer, Gruppen, Computer) zu Objekten der Windows Server 2008-AD DS-Objekten aktualisiert.<br />
Daher sind diese Kontoobjekte während der Aktualisierung nicht verfügbar. Eine Domänenaktualisierung<br />
wirkt sich in dem Zeitraum, der zum Abschließen der NOS-Aktualisierung<br />
erforderlich ist, auf den Zugriff auf Netzwerkressourcen aus. Je nach Größe Ihrer Vorgängerversionsdomäne<br />
und der Anzahl an vorgesehenen Verifizierungsschritten kann eine solche Aktualisierung<br />
fast einen vollständigen Tag beanspruchen (sofern alles planmäßig verläuft). Daher sollte<br />
eine Organisation, die sich für eine Domänenaktualisierung entscheidet, auch die Netzwerkausfallzeiten<br />
bedenken.<br />
• Welche Ressourcen sind zum Durchführen der Migration verfügbar? Da es sich bei einer Domänenaktualisierung<br />
um einen weniger komplexen Vorgang handelt (oder zumindest um einen hochgradig<br />
automatisierten Vorgang), sind dafür weniger Ressourcen erforderlich. Organisationen, die<br />
weniger Personal mit der Durchführung der komplexeren Aufgaben einer Domänenumstrukturierung<br />
betrauen können, entscheiden sich unter Umständen für eine Domänenaktualisierung.<br />
• Welches Budget ist für das Migrationsprojekt vorhanden? Eine Domänenaktualisierung ist aus finanziellen<br />
Gesichtspunkten günstiger als eine Domänenumstrukturierung, da die vorhandene Serverhardware<br />
genutzt werden kann. Es bietet sich jedoch an, bei einer NOS-Aktualisierung auch die<br />
Hardware für Domänencontroller und weitere anwendungskritische Server (z.B. E-Mail- oder<br />
Webserver) zu aktualisieren. Entspricht Ihre derzeitige Serverhardware den für die Ausführung<br />
von Windows Server 2008 bestehenden Anforderungen, können Sie Kosten sparen, wenn Sie eine<br />
Domänenaktualisierung durchführen. Zum einen müssen Sie keine zusätzlichen Server erwerben,<br />
die zur Erstellung der für die Umstrukturierung der Domäne erforderlichen neuen Gesamtstrukturumgebung<br />
benötigt werden. Zu den finanziellen Aspekten zählt auch die Tatsache, dass weniger<br />
Ressourcen erforderlich sind (einschließlich geringerer vertragsbedingter Ausgaben und Kosten,<br />
die durch den Einsatz von Vollzeitressourcen entstehen) und weniger Testkosten anfallen (da<br />
weniger Migrationsaufgaben getestet werden müssen).<br />
• Auf wie vielen Servern mit Vorgängerversionen müssen nach der Migration serverbasierte Anwendungen<br />
ausgeführt werden? Entscheiden Sie sich für eine Domänenaktualisierung, wenn auf den Domänencontrollern,<br />
die Sie aktualisieren möchten, keine Netzwerkdienste oder geschäftskritische<br />
Anwendungen ausgeführt werden, für die die Vorgängerversion des Netzwerkbetriebssystems<br />
erforderlich ist. Hierbei kann es sich um Fax- oder Kommunikationsanwendungen, Buchhaltungsanwendungen<br />
oder andere serverbasierte Anwendungen handeln, die selten aktualisiert werden.<br />
Sind in Ihrer Organisation solche Dienste und Anwendungen vorhanden, sollten Sie sich die Zeit<br />
nehmen, all Ihre geschäftskritischen Anwendungen auf einem Windows Server 2008-Computer zu<br />
testen, um zu ermitteln, ob die Anwendungen ordnungsgemäß funktionieren. Wenn Sie feststellen,<br />
dass Ihre Anwendungen unter Windows Server 2008 nicht ausgeführt werden können, stehen<br />
Ihnen mehrere Möglichkeiten zur Verfügung: Sie können die Aktualisierung verschieben, bis eine<br />
kompatible Anwendungsversion verfügbar oder ein geeigneter Ersatz gefunden ist, Sie können die<br />
Anwendung vom Domänencontroller auf einen Mitgliedsserver in der Domäne übertragen (sofern<br />
möglich), oder Sie können den Server, auf dem eine Vorgängerbetriebssystemversion ausgeführt<br />
wird, erst dann aktualisieren, wenn eine neue Version verfügbar ist. Denken Sie daran, dass ein<br />
Server mit einem Vorgängerbetriebssystem für unbegrenzte Zeit in Ihrem Windows Server 2008-<br />
basierten Netzwerk ausgeführt werden kann.
250 Kapitel 7: Migrieren auf die <strong>Active</strong> <strong>Directory</strong>-Domänendienste<br />
Stellen Sie sich die möglichen Antworten auf diese Fragen auf einer Skala vor, in der das untere Ende<br />
einer Domänenaktualisierung und das obere Ende einer Domänenumstrukturierung entspricht, wie in<br />
Abbildung 7.1 dargestellt.<br />
Niedrig<br />
Hoch<br />
A<br />
k<br />
t<br />
u<br />
a<br />
l<br />
i<br />
s<br />
i<br />
e<br />
r<br />
u<br />
n<br />
g<br />
Unzufriedenheit mit aktuellem Domänenmodell<br />
Risikotoleranz<br />
Zum Abschließen der Migration verfügbare Zeit<br />
Erforderliche Systembetriebszeit<br />
Menge an verfügbaren Ressourcen<br />
Migrationsprojektbudget<br />
Anzahl an serverbasierten Legacyanwendungen<br />
U<br />
m<br />
s<br />
t<br />
r<br />
u<br />
k<br />
t<br />
u<br />
r<br />
i<br />
e<br />
r<br />
u<br />
n<br />
g<br />
Abbildung 7.1<br />
Die Skala mit Entscheidungskriterien für die Domänenmigrationsoption<br />
Aktualisieren der Domäne<br />
Der zweite Schritt der Aktualisierung auf Windows Server 2008 besteht darin, die Domäne auf die<br />
AD DS zu aktualisieren. (Im ersten Schritt erfolgt die Aktualisierung des Netzwerkbetriebssystems<br />
[Network Operating System, NOS].) Beim Aktualisieren eines Domänencontrollers, auf dem entweder<br />
Windows 2000 Server oder Windows Server 2003 ausgeführt wurde, wird nach dem Abschluss<br />
der NOS-Aktualisierung und dem Neustart des Computers der Assistent zum Installieren der <strong>Active</strong><br />
<strong>Directory</strong>-Domänendienste gestartet. Sie sollten die Felder im Assistenten zum Installieren der <strong>Active</strong><br />
<strong>Directory</strong>-Domänendienste entsprechend Ihrem AD DS-Entwurfsdokument ausfüllen. Nach Fertigstellung<br />
des Assistenten wird der Verzeichnisdienst auf die AD DS für Windows Server 2008 aktualisiert.<br />
Weitere Informationen Weitere Informationen zum Entwerfen Ihrer <strong>Active</strong> <strong>Directory</strong>-Struktur werden in<br />
Kapitel 5, „Entwerfen der <strong>Active</strong> <strong>Directory</strong>-Domänendienstestruktur“, bereitgestellt. Weitere Informationen<br />
zum Verwenden des Assistenten zum Installieren der <strong>Active</strong> <strong>Directory</strong>-Domänendienste finden Sie in<br />
Kapitel 6.
Aktualisieren der Domäne 251<br />
Während einer Aktualisierung müssen zahlreiche Schritte ausgeführt werden, die sich nach der Windows<br />
Server-Version richten, von der die Aktualisierung durchgeführt wird. Im nächsten Abschnitt<br />
wird das Verfahren für die Aktualisierung der Domäne von Windows 2000 Server und anschließend<br />
von Windows Server 2003 beschrieben.<br />
Durchführen der Aktualisierung von Windows 2000 Server und Windows<br />
Server 2003<br />
Die Aktualisierung einer Domäne von Windows 2000 Server und Windows Server 2003 <strong>Active</strong><br />
<strong>Directory</strong> auf die Windows Server 2008-AD DS ist kein schwieriger Prozess. Da in Windows 2000<br />
Server- und Windows Server 2003-basierten Netzwerken <strong>Active</strong> <strong>Directory</strong> bereits für Verzeichnisdienste<br />
verwendet wird, handelt es sich eher um ein Aktualisierungsszenario als um eine Migration.<br />
Bevor Sie mit der Aktualisierung einer Vorgängerbetriebssystemversion beginnen können, sind einige<br />
wenige eindeutige Schritte zu beachten. (Im Rahmen der Erläuterungen in diesem Abschnitt bezeichnet<br />
Vorgängerversion sowohl Windows 2000 Server als auch Windows Server 2003, nicht jedoch<br />
Windows NT 4.0 oder vorherige Versionen des Windows-Netzwerkbetriebssystems.)<br />
Insbesondere ist eine „Vorbereitung“ der Windows 2000-<strong>Active</strong> <strong>Directory</strong>-Domäne und -Gesamtstruktur<br />
für eine Aktualisierung auf die Windows Server 2008-AD DS erforderlich. Während dieser Verfahren<br />
werden die vorhandenen Domänen- und Gesamtstrukturen aktualisiert, um Kompatibilität mit<br />
den neuen Features von Windows Server 2008 <strong>Active</strong> <strong>Directory</strong> zu erreichen.<br />
Vorbereiten der Gesamtstruktur<br />
Um die <strong>Active</strong> <strong>Directory</strong>-Gesamtstruktur für eine Aktualisierung auf die Windows Server 2008-<br />
AD DS vorzubereiten, nehmen Sie mithilfe des Verwaltungstools Adprep.exe die erforderlichen Änderungen<br />
am <strong>Active</strong> <strong>Directory</strong>-Schema vor. Denken Sie daran, dass dieses Verfahren abgeschlossen sein<br />
muss, bevor die Aktualisierung auf Windows Server 2008 für Domänencontroller mit einer Vorgängerversion<br />
initiiert wird.<br />
Führen Sie die folgenden Schritte aus, um die Gesamtstruktur für die Aktualisierung des ersten<br />
Domänencontrollers mit Vorgängerbetriebssystem auf Windows Server 2008 vorzubereiten:<br />
1. Ermitteln Sie den Server, der als Schemabetriebsmaster fungiert. Öffnen Sie hierfür über die<br />
Microsoft Management Console (MMC) das Snap-In <strong>Active</strong> <strong>Directory</strong>-Schema, klicken Sie mit<br />
der rechten Maustaste auf den Knoten <strong>Active</strong> <strong>Directory</strong>-Schema, und wählen Sie anschließend<br />
Betriebsmaster. Beachten Sie den im Dialogfeld Schemamaster ändern angezeigten Namen des<br />
aktuellen Schemabetriebsmasters.<br />
2. Sichern Sie den Schemabetriebsmaster. Unter Umständen ist eine Wiederherstellung dieses<br />
Images erforderlich, wenn die Vorbereitung der Gesamtstruktur nicht erfolgreich verläuft.<br />
3. Trennen Sie die Verbindung des Schemabetriebsmasters mit dem Netzwerk. Stellen Sie die Verbindung<br />
nicht vor dem Durchführen von Schritt 8 dieses Verfahrens wieder her.<br />
4. Legen Sie im Schemabetriebsmaster die Windows Server 2008-DVD ein.<br />
5. Öffnen Sie eine Eingabeaufforderung, wechseln Sie zum entsprechenden DVD-Laufwerk, und<br />
öffnen Sie den Ordner \I386.<br />
6. Geben Sie die Zeichenfolge adprep /forestprep ein. Um den Befehl adprep /forestprep auszuführen,<br />
müssen Sie Mitglied der Gruppe Organisations-Admins in <strong>Active</strong> <strong>Directory</strong> sein oder über die<br />
erforderliche Autorisierung verfügen.
252 Kapitel 7: Migrieren auf die <strong>Active</strong> <strong>Directory</strong>-Domänendienste<br />
7. Um sicherzustellen, dass der Befehl fehlerfrei ausgeführt wurde, öffnen Sie die Ereignisanzeige, und<br />
überprüfen Sie das Systemprotokoll auf Fehler oder unerwartete Ereignisse. Wenn Sie Fehler in Verbindung<br />
mit dem Vorbereitungsverfahren für die Gesamtstruktur ermitteln, beheben Sie diese, bevor<br />
Sie mit dem nächsten Schritt fortfahren. Können diese Probleme nicht behoben werden, verwenden<br />
Sie das <strong>Active</strong> <strong>Directory</strong>-Diagnosetool (indem Sie im Dialogfeld Ausführen den Befehl dcdiag eingeben),<br />
um die Funktionsfähigkeit des Domänencontrollers zu prüfen. Wenn die Fehlerbehebung weiterhin<br />
fehlschlägt, stellen Sie den Schemabetriebsmaster aus der Sicherung wieder her, und untersuchen<br />
Sie die Schritte zur Fehlerkorrektur, sodass die Gesamtstrukturvorbereitung erfolgreich abgeschlossen<br />
werden kann.<br />
8. Wurde der Befehl adprep /forestprep fehlerfrei ausgeführt, stellen Sie die Verbindung zwischen<br />
dem Schemabetriebsmaster und dem Netzwerk wieder her.<br />
Dadurch wird die Vorbereitung der Gesamtstruktur für eine Domänenaktualisierung von Windows<br />
2000 Server oder Windows Server 2003 auf Windows Server 2008 abgeschlossen. Als Nächstes wird<br />
die Domäne vorbereitet.<br />
Hinweis Warten Sie mit der Vorbereitung der Domäne, bis die am Schemamaster vorgenommenen Änderungen<br />
auf den Infrastrukturmaster repliziert wurden. Denken Sie daran, dass die Replikation für Server, die<br />
sich in unterschiedlichen Standorten befinden, mehr Zeit in Anspruch nimmt. Wenn Sie mit der Domänenvorbereitung<br />
vor der Replikation der Änderungen beginnen, erhalten Sie eine Fehlermeldung, dass mehr Zeit<br />
erforderlich ist.<br />
Vorbereiten der Domäne<br />
Die Domänenvorbereitung ist mit der Vorbereitung der Gesamtstruktur vergleichbar, ein geringer<br />
Unterschied besteht jedoch beim Windows 2000 Server-Aktualisierungsszenario. Um diese Aufgabe<br />
durchzuführen, müssen Sie nicht wie im vorherigen Verfahren den Schemamaster, sondern den Besitzer<br />
der Infrastrukturmasterrolle ermitteln und vorbereiten.<br />
Führen Sie die folgenden Schritte aus, um jede Domäne für eine Aktualisierung des ersten Domänencontrollers<br />
mit Vorgängerbetriebssystem auf Windows Server 2008 vorzubereiten:<br />
1. Ermitteln Sie den Server, der als Infrastrukturbetriebsmaster fungiert. Öffnen Sie hierfür das Verwaltungstool<br />
<strong>Active</strong> <strong>Directory</strong>-Benutzer und -Computer, klicken Sie mit der rechten Maustaste auf<br />
den Domänenknoten, und wählen Sie Betriebsmaster. Beachten Sie den im Dialogfeld Betriebsmaster<br />
auf der Registerkarte Infrastruktur angezeigten Namen des aktuellen Infrastrukturmasters.<br />
2. Legen Sie auf dem Server, der als Infrastrukturbetriebsmaster fungiert, die Windows Server 2008-<br />
DVD ein.<br />
3. Öffnen Sie eine Eingabeaufforderung, wechseln Sie zum entsprechenden DVD-Laufwerk, und<br />
öffnen Sie den Ordner \I386.<br />
4. Geben Sie für Windows 2000 Server-Domänencontroller den Befehl adprep /domainprep /<br />
gpprep ein. Um den Befehl adprep /domainprep /gpprep auszuführen, müssen Sie Mitglied der<br />
Gruppe Domänen-Admins oder Organisations-Admins in <strong>Active</strong> <strong>Directory</strong> sein oder die erforderliche<br />
Autorisierung erhalten haben. Geben Sie für Windows Server 2003-Domänencontroller den<br />
Befehl adprep /domainprep ein. Wie zuvor müssen Sie Mitglied der Gruppe Domänen-Admins<br />
oder Organisations-Admins in <strong>Active</strong> <strong>Directory</strong> sein, oder Sie müssen über die erforderliche<br />
Autorisierung verfügen.
Umstrukturieren der Domäne 253<br />
Wenn Sie eine Windows Server 2003-Domäne vorbereiten, indem Sie den Befehl adprep /<br />
domainprep /gpprep ausführen, können Sie die Fehlermeldung unbeachtet lassen, die darauf hinweist,<br />
dass eine Domänenaktualisierung nicht erforderlich ist.<br />
5. Um sicherzustellen, dass der Befehl adprep /domainprep fehlerfrei ausgeführt wurde, öffnen Sie<br />
die Ereignisanzeige, und überprüfen Sie das Systemprotokoll auf Fehler oder unerwartete Ereignisse.<br />
Wurde der Befehl adprep /domainprep fehlerfrei ausgeführt, haben Sie die Domäne erfolgreich<br />
für eine Aktualisierung auf Windows Server 2008 vorbereitet.<br />
Auch in diesem Fall sollten Sie warten, bis die am Infrastrukturmaster vorgenommenen Änderungen<br />
auf die übrigen Domänencontroller in der Gesamtstruktur repliziert wurden, bevor Sie weitere Domänencontroller<br />
aktualisieren. Wenn Sie mit der Aktualisierung eines der Domänencontroller vor der<br />
Replikation der Änderungen beginnen, erhalten Sie eine Fehlermeldung, dass mehr Zeit erforderlich<br />
ist.<br />
Nachdem nun die Vorbereitung der Domäne und der Gesamtstruktur für die Aktualisierung auf Windows<br />
Server 2008 und die AD DS abgeschlossen ist, können Sie mit der eigentlichen Aktualisierung<br />
beginnen.<br />
Umstrukturieren der Domäne<br />
Meist entscheiden sich Organisationen, die ihre <strong>Active</strong> <strong>Directory</strong>-Struktur ändern möchten oder müssen,<br />
für die Migrationsoption der Domänenumstrukturierung. Für eine Domänenumstrukturierung ist<br />
zuerst die Erstellung der gewünschten Gesamt- und Domänenstruktur und anschließend die Migration<br />
der vorhandenen AD DS-Objekte in diese neue Struktur erforderlich. Zum Zeitpunkt der Erstellung<br />
wird die neue Struktur auch als neue Gesamtstruktur bezeichnet.<br />
Domänenmigrationsstrategien können in zwei Hauptgruppen gegliedert werden:<br />
• Migration zwischen Gesamtstrukturen Benutzer-, Gruppen- und Computerkonten werden dabei<br />
zwischen zwei getrennten AD DS-Gesamtstrukturen migriert, hierbei kann es sich um Gesamtstrukturen<br />
handeln, die auf unterschiedlichen Versionen des Windows Server-Betriebssystems<br />
gehostet werden.<br />
• Migration innerhalb einer Gesamtstruktur Benutzer-, Gruppen- und Computerkonten werden zwischen<br />
zwei Domänen der gleichen AD DS-Gesamtstruktur migriert.<br />
Die Migration von <strong>Active</strong> <strong>Directory</strong>-Objekten (einschließlich Benutzer-, Gruppen- und Computerkonten<br />
sowie Vertrauensstellungen und Dienstkonten) wird durch die Domänenmigrationstools vereinfacht.<br />
Für diese Aufgabe sind mehrere Tools verfügbar, die sowohl von Microsoft als auch von anderen<br />
Softwareherstellern angeboten werden. Im nächsten Abschnitt wird die<br />
Domänenumstrukturierung mithilfe des <strong>Active</strong> <strong>Directory</strong>-Migrationstools (<strong>Active</strong> <strong>Directory</strong> Migration<br />
Tool, ADMT) beschrieben.<br />
Das <strong>Active</strong> <strong>Directory</strong>-Migrationstool vereinfacht das Verfahren zur Umstrukturierung Ihrer<br />
Verzeichnisdienstumgebung, die erforderlich ist, um die Anforderungen Ihrer Organisation zu erfüllen.<br />
Sie können das ADMT für die Migration von Benutzern, Gruppen und Computern von Domänen<br />
mit Vorgängerbetriebssystem auf AD DS-Domänen, für die Migration zwischen <strong>Active</strong> <strong>Directory</strong>-<br />
Domänen in unterschiedlichen Gesamtstrukturen (Migration zwischen Gesamtstrukturen) sowie für<br />
die Migration zwischen <strong>Active</strong> <strong>Directory</strong>-Domänen in der gleichen Gesamtstruktur (Migration innerhalb<br />
einer Gesamtstruktur) nutzen. Das ADMT führt außerdem die Sicherheitskonvertierung von<br />
Quell- zu Zieldomänen sowie zwischen AD DS-Domänen in unterschiedlichen Gesamtstrukturen<br />
durch.
254 Kapitel 7: Migrieren auf die <strong>Active</strong> <strong>Directory</strong>-Domänendienste<br />
Hinweis Zum Zeitpunkt der Veröffentlichung von Windows Server 2008 war die aktuelle Version des<br />
ADMT die Version 3.0, die nur auf Windows Server 2003 installiert werden kann. Ein Update des ADMT ist<br />
insbesondere für Windows Server 2008 (V3.1) geplant. Stellen Sie sicher, dass Sie die Version des Tools<br />
auswählen, die Migrationen auf die AD DS in Windows Server 2008 unterstützt. Die aktuelle Version des<br />
ADMT steht im Microsoft Download Center unter http://www.microsoft.com/download zur Verfügung.<br />
Migration zwischen Gesamtstrukturen<br />
Wenn Sie eine Domäne mithilfe einer Migration zwischen Gesamtstrukturen umstrukturieren, werden<br />
die AD DS-Objekte von der Quelldomäne in die Zieldomäne verschoben oder kopiert. Im Gegensatz<br />
zu einer Domänenaktualisierung haben Benutzer während der Migration Zugriff auf die freigegebenen<br />
Ressourcen der Quelldomäne, und es ist nur mit sehr kurzen Ausfallzeiten zu rechnen. In diesem<br />
Abschnitt werden die folgenden Aufgaben und Überlegungen erläutert:<br />
• Erstellen der neuen Gesamtstruktur<br />
• Erstellen der Migrationskonten<br />
• Erstellen der Vertrauensstellungen<br />
• Installieren des <strong>Active</strong> <strong>Directory</strong>-Migrationstools<br />
• Aktivieren der Überwachung in den Quell- und Zieldomänen<br />
• Migrieren globaler und domänenlokaler Gruppenkonten<br />
• Migrieren von Benutzerkonten<br />
• Ermitteln von Dienstkonten<br />
• Migrieren von Computerkonten<br />
• Migrieren von Dienstkonten<br />
• Außerbetriebsetzen der Quelldomänen<br />
Als Erstes wird bei einer Migration zwischen Gesamtstrukturen der geeignete Punkt B erstellt, auf<br />
den die Konten migriert werden.<br />
Erstellen der neuen Gesamtstruktur<br />
Die neue Gesamtstruktur umfasst die Windows Server 2008-Zieldomäne, in die Ihre vorhandenen<br />
Konten migriert werden, d.h. Punkt B der Migration von A nach B. Eine Domänenumstrukturierung<br />
bietet die Gelegenheit, die optimale Domänenumgebung für Ihre Organisation zu erstellen. Dieser<br />
Schritt sollte am Ende eines vollständigen AD DS-Entwurfsverfahrens eingeplant werden, wenn alle<br />
Komponenten Ihrer AD DS-Struktur in Ihrem Entwurfsdokument bereits eindeutig definiert sind.<br />
Weitere Informationen zum Entwurfsverfahren werden in Kapitel 5 bereitgestellt. Nach der Implementierung<br />
Ihrer Zieldomänenstruktur sind zahlreiche Schritte zur Vorbereitung der Kontenmigration<br />
erforderlich.<br />
Erstellen der Migrationskonten<br />
Es empfiehlt sich, in der neuen Gesamtstruktur als Erstes das Benutzerkonto zu erstellen, das zum<br />
Durchführen der Migration erforderlich ist. Indem Sie ein spezielles Benutzerkonto für die Migration<br />
erstellen, können Sie sicherstellen, dass das Konto die erforderlichen Sicherheitsanforderungen für die<br />
Durchführung der anfallenden Aufgaben bei einer Domänenumstrukturierung erfüllt.
Umstrukturieren der Domäne 255<br />
Im Rahmen der empfohlenen Vorgehensweisen melden Sie sich aus Sicherheitsgründen nicht mit dem<br />
Administratorkonto an. Sie können beispielsweise ein neues Benutzerkonto (z.B. Migrator) oder mehrere<br />
Konten (z.B. Migrator1, Migrator2 usw.) erstellen, wenn Sie die Migration von mehreren vertrauenswürdigen<br />
Administratoren durchführen lassen möchten. Auf diese Weise können Sie die von jedem<br />
Kontobesitzer durchgeführten Ereignisse nachverfolgen, und Sie benötigen kein freigegebenes Konto<br />
mit Administratorrechten.<br />
Für die Migration von Benutzer-, Gruppen- und Dienstkonten muss das Konto Mitglied der Gruppe<br />
Domänen-Admins in der Zieldomäne sein, wenn Sie mithilfe des SID-Verlaufs den Ressourcenzugriff<br />
beibehalten möchten. Das Konto sollte außerdem Mitglied der Gruppe Administratoren in der Vorgängerversions-Quelldomäne<br />
sein.<br />
Erstellen der Vertrauensstellungen<br />
Da während des Migrationsverfahrens Administratorrechte für Konten in einer anderen Domäne<br />
erforderlich sind, müssen Sie mehrere Vertrauensstellungen erstellen, um die Konten von der Quelldomäne<br />
bzw. den Quelldomänen auf die Zieldomäne migrieren zu können. Erstellen Sie zwischen der<br />
Windows Server 2008-Zieldomäne und den Vorgängerversions-Quelldomänen eine unidirektionale<br />
Vertrauensstellung von jeder der Quelldomänen (vertrauend) zur Zieldomäne (vertraut).<br />
Nach dem Erstellen dieser Vertrauensstellungen validieren Sie diese mithilfe des Verwaltungstools<br />
<strong>Active</strong> <strong>Directory</strong>-Domänen und -Vertrauensstellungen sowohl in der Windows Server 2008-Zieldomäne<br />
als auch in den Vorgängerversions-Quelldomänen.<br />
Installieren des <strong>Active</strong> <strong>Directory</strong>-Migrationstools<br />
Mit dem ADMT können Sie sowohl Migrationen zwischen Gesamtstrukturen (Verschieben von Konten<br />
von einer Gesamtstruktur in eine andere) als auch Migrationen innerhalb einer Gesamtstruktur<br />
(Verschieben von Konten innerhalb einer Gesamtstruktur) durchführen. Das ADMT stellt sowohl eine<br />
grafische Benutzeroberfläche (Graphical User Interface, GUI) als auch eine Skriptingschnittstelle<br />
bereit und sollte auf dem Windows Server 2008-Zieldomänencontroller installiert werden.<br />
Das ADMT unterstützt die folgenden Aufgaben zum Durchführen Ihrer Domänenmigration:<br />
• Benutzerkontenmigration<br />
• Gruppenkontenmigration<br />
• Computerkontenmigration<br />
• Dienstkontenmigration<br />
• Vertrauensstellungsmigration<br />
• Exchange-Verzeichnismigration<br />
• Sicherheitskonvertierung migrierter Computerkonten<br />
• Berichterstellung zum Anzeigen der Ergebnisse von Migrationsereignissen<br />
• Funktionen zum Rückgängigmachen der letzten Migration und zum erneuten Durchführen der<br />
letzten Migration<br />
Nach der Installation des ADMT können Sie das Migrationstool über den Startmenüordner Verwaltung<br />
aufrufen . Das ADMT startet als MMC-Snap-In mit allen im Menü Aktion verfügbaren Assistenten.
256 Kapitel 7: Migrieren auf die <strong>Active</strong> <strong>Directory</strong>-Domänendienste<br />
Aktivieren der Überwachung in den Quell- und Zieldomänen<br />
Für den Domänenumstrukturierungsprozess muss die Überwachung der erfolgreichen und fehlgeschlagenen<br />
Kontoverwaltungsvorgänge sowohl für die Quell- als auch für die Zieldomänen aktiviert<br />
werden.<br />
Führen Sie die folgenden Schritte durch, um die Überwachung der Windows Server 2008-Zieldomäne<br />
und der Vorgängerversions-Quelldomäne zu aktivieren:<br />
1. Öffnen Sie das Verwaltungsprogramm Gruppenrichtlinienverwaltung, und erweitern Sie den Container<br />
Domain Controllers.<br />
2. Klicken Sie mit der rechten Maustaste auf das GPO Default Domain Controllers Policy, und wählen<br />
Sie Bearbeiten.<br />
3. Erweitern Sie Default DomainControllers Policy\Computerkonfiguration\Richtlinien\<br />
Windows-Einstellungen\Sicherheitseinstellugen\Lokale Richtlinien\Überwachungsrichtlinie,<br />
doppelklicken Sie auf Kontenverwaltung überwachen, und aktivieren Sie die beiden Optionen<br />
Erfolgreich und Fehlgeschlagen.<br />
4. Erzwingen Sie die Replikation dieser Änderung auf alle Domänencontroller in der Domäne, oder<br />
warten Sie, bis die Replikation der Änderung automatisch durchgeführt wird.<br />
Migrieren globaler und domänenlokaler Gruppenkonten<br />
Bei der Migration von Konten werden zuerst die Konten globaler Gruppen und anschließend Benutzerkonten<br />
migriert. Wenn Benutzerkonten später auf die Zieldomäne migriert werden, bleiben die<br />
Gruppenmitgliedschaften und auch der Zugriff auf Ressourcen erhalten. Beim Migrieren globaler<br />
Gruppen von einer Vorgängerbetriebssystemdomäne auf Windows Server 2008 wird für die neue globale<br />
Gruppe eine neue SID erstellt. Die SID der Quelldomäne wird dem Attribut sIDHistory für jedes<br />
neue Gruppenobjekt hinzugefügt. Wie Sie sich sicher erinnern, können Benutzer durch die Übernahme<br />
der SID aus der Quelldomäne im Feld IDHistory weiterhin auf Ressourcen auf den noch nicht<br />
migrierten Quelldomänen zugreifen.<br />
Durch das Kopieren globaler Gruppen (mithilfe des ADMTs) können Sie in der Zieldomäne die Gruppenstruktur<br />
in der Ihrem <strong>Active</strong> <strong>Directory</strong>-Entwurf entsprechenden Untergliederung erstellen. Indem die<br />
Benutzerkonten später migriert werden, werden sie automatisch den Gruppen hinzugefügt, denen sie<br />
bereits in der Quelldomäne als Mitglieder angehörten.<br />
Das Verfahren zum Migrieren globaler Gruppen von der Quell- zur Zieldomäne mithilfe des ADMT-<br />
Assistenten zum Migrieren von Gruppenkonten ist unkompliziert. Führen Sie zum Migrieren globaler<br />
Gruppen mithilfe des ADMT-Assistenten zum Migrieren von Gruppenkonten folgende Schritte durch:<br />
1. Ermitteln Sie die Quell- und Zieldomänen. Wenn die Domänennamen in der Dropdownliste nicht<br />
angezeigt werden, können Sie sie eingeben.<br />
2. Wählen Sie die globalen Gruppen der Quelldomäne, die Sie auf Windows Server 2008 migrieren<br />
möchten.<br />
3. Wählen Sie die OU, der Sie die globalen Gruppen in der Zieldomäne hinzufügen möchten.<br />
Hinweis Mit dem ADMT können Sie nur eine einzelne OU als Zielcontainer für die migrierten Konten der<br />
globalen Gruppen auswählen. Beachten Sie dies bei der Planung der Migration Ihrer globalen Gruppen.<br />
Unter Umständen möchten Sie nicht alle globalen Gruppen der Quelldomäne auswählen, sondern nur die<br />
Gruppen, die in eine bestimmte OU migriert werden sollen. Sie können anschließend erneut den Assistenten<br />
zum Migrieren von Gruppenkonten ausführen, um die Gruppen zu migrieren, die in einer anderen OU<br />
gespeichert werden sollen.
Umstrukturieren der Domäne 257<br />
4. Wählen Sie die gewünschten Gruppenoptionen. Dies umfasst auch die Entscheidung, ob die Gruppenmitglieder<br />
(d.h. die Benutzerkonten) gleichzeitig mit den Gruppen kopiert werden sollen.<br />
Standardmäßig werden Gruppenmitglieder nicht kopiert. Das gleichzeitige Kopieren von Gruppenmitgliedern<br />
während der Gruppenmigration kann in kleineren Organisationen sehr rasch<br />
durchgeführt werden, und die nach Gruppen gegliederte Migration ist ebenfalls ein sinnvoller<br />
Ansatz. In größeren Organisationen enthalten globale Gruppen oberster Ebene (wie z.B. die Gruppe<br />
Angestellte) zu viele Benutzer, und daher kann keine Migration für alle Mitglieder gleichzeitig<br />
durchgeführt werden.<br />
Hinweis Nachdem die Gruppenmitglieder in mehreren Vorgängen migriert wurden, führen Sie eine letzte<br />
globale Gruppenmigration durch, um sicherzustellen, dass alle kürzlich in der Quelldomäne vorgenommenen<br />
Änderungen an den Mitgliedschaften globaler Gruppen in die Zieldomäne übernommen werden. Sie<br />
können globale Gruppen mithilfe der Konsole <strong>Active</strong> <strong>Directory</strong> Migration Tool erneut migrieren, indem Sie die<br />
Befehlszeilenoption des ADMTs oder ein Skript verwenden.<br />
Nach den globalen Gruppen können Sie mithilfe des Assistenten zum Migrieren von Gruppenkonten<br />
mit der Migration der domänenlokalen Gruppen fortfahren. Nachdem alle Gruppen auf Windows Server<br />
2008 migriert wurden, beginnen Sie mit der Migration der Benutzerkonten.<br />
Migrieren von Benutzerkonten<br />
Es ist nicht erforderlich, alle Benutzerkonten auf einmal zu migrieren. Es empfiehlt sich sogar, die<br />
Reihenfolge und die zeitliche Abfolge der Benutzermigration sorgfältig zu planen. Da Sie während<br />
des Migrationsverfahrens den Zugriff auf die domänenbasierten Ressourcen in der Vorgängerversions-Quelldomäne<br />
aufrechterhalten möchten, kann sich das Migrationsverfahren über Tage, Wochen<br />
oder auch Monate erstrecken.<br />
Während des ersten Schritts der Benutzerkontenmigration werden die zu migrierenden Benutzer<br />
sowie der Zeitpunkt für die Migration festgelegt. Der eigentliche Migrationsprozess für Benutzerkonten<br />
ist mit der Migration globaler Gruppenkonten vergleichbar.<br />
Führen Sie zum Migrieren von Benutzerkonten mithilfe des ADMT-Assistenten zum Migrieren von<br />
Benutzerkonten folgende Schritte durch:<br />
1. Wählen Sie die Quell- und Zieldomänen.<br />
2. Wählen Sie die zu migrierenden Benutzerkonten der Vorgängerversions-Quelldomäne.<br />
3. Wählen Sie die Ziel-OU in der Windows Server 2008-Zieldomäne.<br />
4. Legen Sie fest, ob Sie die Kennwörter der Benutzerkonten ebenfalls migrieren möchten. Wenn Sie<br />
das ADMT verwenden, haben Sie folgende Möglichkeiten:<br />
Erstellen eines neuen, komplexen Kennworts In diesem Fall wird ein Textdokument (als durch<br />
Komma getrennte Wertdatei [.csv]) erstellt, in dem Benutzernamen den neuen Kennwörtern<br />
zugeordnet werden. Ihre Aufgabe besteht dann darin, den migrierten Benutzern die neuen<br />
Kennwörter mitzuteilen.<br />
Festlegen eines Kennworts, das dem Benutzernamen entspricht In diesem Fall wird für das<br />
Kennwort der gleiche Wert wie für den Benutzernamen festgelegt. Da sowohl diese als auch<br />
die zuvor erwähnte Option ein Sicherheitsrisiko darstellen, wird das Attribut Benutzer muss<br />
Kennwort bei der nächsten Anmeldung ändern für die migrierten Benutzer in der Zieldomäne<br />
festgelegt.
258 Kapitel 7: Migrieren auf die <strong>Active</strong> <strong>Directory</strong>-Domänendienste<br />
Migrieren von Kennwörtern Durch Auswahl dieser Option werden die Benutzerkennwörter von<br />
der Quelldomäne auf die Zieldomäne migriert. Wenn Sie diese Option wählen möchten, müssen<br />
Sie den Domänencontroller der Kennwortmigrationsquelle ermitteln.<br />
Hinweis Bei dem Domänencontroller der Kennwortmigrationsquelle handelt es sich um den Domänencontroller<br />
in der Quelldomäne, der durch die Installation der Kennwortmigrations-DLL als Kennwortexportserver<br />
(Password Export Server, PES) konfiguriert wurde. Bei der Kennwortmigration handelt es<br />
sich um eine eigene Komponente des ADMTs, die auf jedem beliebigen Domänencontroller in der Quelldomäne<br />
installiert werden kann. Um die Kennwortmigrations-DLL auf dem Quelldomänencontroller zu<br />
installieren, öffnen Sie den Ordner \%systemroot%\windows\<br />
ADMT\PWDMIG, und doppelklicken Sie auf die Datei Pwdmig.msi. Der PES verwaltet eine Datenbank<br />
der Benutzerkennwörter der Quelldomäne und baut einen sicheren Kommunikationskanal mit der Zieldomäne<br />
auf, um diese Kennwörter migrieren zu können.<br />
5. Verwalten Sie den Kontostatus mithilfe der Optionen für die Kontoaktualisierung. Mithilfe des<br />
ADMTs können Sie den Übergang vom Quellkonto zum Zielkonto auf der Seite Account Transition<br />
Options verwalten. Dadurch können Sie den Status des Zieldomänenkontos (aktiviert, deaktiviert<br />
oder identisch mit Quelle) und des Quelldomänenkontos (deaktiviert oder aktiviert für eine<br />
konfigurierbare Anzahl an Tagen) steuern.<br />
In einem gängigen Szenario werden mehrere Benutzerkonten zum Migrieren zusammengefasst,<br />
jedoch erst nach Abschluss der Migration aktiviert. Zu diesem Zeitpunkt können Sie alle Benutzerkonten<br />
programmgesteuert aktivieren und in die Zieldomäne übernehmen. Aus Sicherheitsgründen<br />
sollte ein Konto nicht gleichzeitig in der Quell- und der Zieldomäne aktiviert sein. Wenn Sie Benutzern<br />
die Anmeldung an der Windows Server 2008-Domäne direkt im Anschluss an die Migration<br />
ihrer Konten ermöglichen möchten, sollten Sie das ADMT zum Deaktivieren des Quelldomänenkontos<br />
während der Migration verwenden. Wenn Sie Benutzern während der Migration jedoch den Rückgriff<br />
auf die Quelldomäne ermöglichen möchten, sollten Sie das ADMT verwenden, um das Quelldomänenkonto<br />
erst einige Tage nach Ausführung des ADMTs zu deaktivieren.<br />
Ermitteln von Dienstkonten<br />
Bei Dienstkonten handelt es sich um spezielle Benutzerkonten, die zum Betreiben von Diensten auf<br />
Computern verwendet werden, auf denen Windows 2000 Server, Windows Server 2003 und Windows<br />
Server 2008 ausgeführt werden. Ein Großteil der Dienste wird mit den Konto Lokale Sicherheitsautorität<br />
(Local Security Authority, LSA) ausgeführt. Beim Migrieren der Quelldomäne müssen<br />
Sie zuerst alle Dienste ermitteln, die entsprechend ihrer Konfiguration nicht mit der LSA ausgeführt<br />
werden.<br />
Beim Migrieren von Dienstkonten handelt es sich um ein in zwei Stufen gegliedertes Verfahren.<br />
Zuerst müssen die Dienstkonten ermittelt werden. Anschließend können die ermittelten Dienstkonten<br />
nach der Migration der Computer, auf denen ein Vorgängerversions-Betriebssystem ausgeführt wird,<br />
auf die Windows Server 2008-Zieldomäne migriert werden.<br />
Führen Sie die folgenden Schritte aus, um mithilfe des ADMTs die Dienstkonten zu ermitteln, die in<br />
der Quelldomäne betrieben werden:<br />
1. Öffnen Sie den Assistenten zum Migrieren von Dienstkonten.<br />
2. Wählen Sie die Quell- und Zieldomänen.
Umstrukturieren der Domäne 259<br />
3. Wählen Sie in der Quelldomäne alle Computer, die Sie in die Ermittlung der Dienstkonten einbeziehen<br />
möchten. Um diese Aufgabe abzuschließen, sollten Sie die vor der Migration erstellte<br />
Dokumentation Ihrer vorhandenen Domänenumgebung lesen.<br />
4. Beenden Sie den Assistenten zum Migrieren von Dienstkonten.<br />
Zu diesem Zeitpunkt hat der Assistent alle Dienstkonten ermittelt, die auf den von Ihnen ermittelten<br />
Computern ausgeführt werden. Diese Informationen werden in der ADMT-Datenbank gespeichert, bis<br />
sie später für die tatsächliche Migration dieser Konten benötigt werden. Die Migration der Dienstkonten<br />
wird nach der Migration der Computerkonten durchgeführt.<br />
Migrieren von Computerkonten<br />
Die Computerkonten, die sich in der Quelldomäne befinden, umfassen alle Mitgliedsserver mit<br />
Vorgängerversionen sowie alle Computer, auf denen Windows 2000 Professional, Windows XP Professional<br />
und Windows Vista Business Edition oder höher ausgeführt wird. Bei der Migration von<br />
Computerkonten werden alle Computerkonten von der Quelldomäne in eine OU in der Zieldomäne<br />
geklont.<br />
Führen Sie zum Migrieren von Computerkonten mithilfe des ADMTs die folgenden Schritte durch:<br />
1. Öffnen Sie den Computermigrations-Assistenten.<br />
2. Wählen Sie die Quell- und Zieldomänen.<br />
3. Wählen Sie in der Quelldomäne die zu migrierenden Computerkonten.<br />
4. Wählen Sie in der Zieldomäne die OU, in die Sie die Computerkonten migrieren möchten.<br />
5. Wählen Sie alle Computerobjekte, für die Sie die Sicherheit von zuvor von der Quell- auf die<br />
Zieldomäne migrierten Konten konvertieren möchten. Bei diesem Verfahren werden die freigegebenen<br />
Zugriffssteuerungslisten (Discretionary Access Control Lists, DACLs) für die Ressourcen<br />
auf den migrierten Computern mit den neuen SIDs der migrierten Gruppen- und Benutzerkonten<br />
der Zieldomänencomputer aktualisiert. Folgende Objekte sind verfügbar:<br />
Dateien und Ordner<br />
Lokale Gruppen<br />
Drucker<br />
Registrierung<br />
Freigaben<br />
Benutzerprofile<br />
Benutzerrechte<br />
Hinweis Wenn Sie die Sicherheitskonvertierung für diese aufgeführten Objekte nicht während der<br />
Ausführung des Computermigrations-Assistenten durchführen möchten, können Sie später im ADMT<br />
den Sicherheitskonvertierungs-Assistenten verwenden. Die wichtigste Komponente des Sicherheitskonvertierungs-Assistenten<br />
entspricht der Seite Translate Objects des Computermigrations-Assistenten. Auf<br />
der ersten Seite des Sicherheitskonvertierungs-Assistenten werden Sie gefragt, ob Sie die Sicherheit<br />
zuvor migrierter Objekte konvertieren möchten. Wenn Sie den Sicherheitskonvertierungs-Assistenten<br />
nach der Migration von Computerkonten ausführen, wählen Sie die Option Zuvor migrierte Objekte.<br />
6. Konfigurieren Sie den Neustart des migrierten Computers. Um ein Computerkonto von einer<br />
Domäne auf eine andere migrieren zu können, übergibt das ADMT die Durchführung der Änderungen<br />
am Computer an einen Agent.
260 Kapitel 7: Migrieren auf die <strong>Active</strong> <strong>Directory</strong>-Domänendienste<br />
Um das Verfahren zum Migrieren von Computerkonten abzuschließen, muss der migrierte Computer<br />
neu gestartet werden. Mit dem ADMT können Sie den Zeitrahmen konfigurieren, der zwischen<br />
dem Beenden des Assistenten und dem Computerneustart liegen soll.<br />
7. Beenden Sie den Computermigrations-Assistenten. Wenn der Assistent beendet ist, klicken Sie<br />
auf Protokoll anzeigen, um zu überprüfen, ob der Verteiler-Agent das Verfahren erfolgreich abgeschlossen<br />
hat. Bei diesem Agent handelt es sich um die Komponente zum Aktualisieren der<br />
Domänenmitgliedschaft des Computers und zum anschließenden Neustarten des Computers. Das<br />
Verteilerprotokoll ist hilfreich für die Problembehandlung für fehlgeschlagene Computerkontenmigrationen.<br />
Migrieren von Dienstkonten<br />
Nachdem die Computerkonten auf die Zieldomäne migriert wurden, können Sie die zweite Phase des<br />
Dienstkontenmigrationsverfahrens durchführen. Vor dem Migrieren der Computerkonten haben Sie<br />
bereits die Dienstkonten ermittelt, die auf Mitgliedsservern zum Ausführen von Diensten verwendet<br />
wurden. An dieser Stelle des Verfahrens führen Sie die Migration dieser Dienstkonten von der Quelldomäne<br />
auf die Windows Server 2008-Zieldomäne durch. Durch dieses Verfahren wird sichergestellt,<br />
dass alle Dienste, die nicht über die LSA ausgeführt werden, nach der Migration des Mitgliedsservers<br />
auf die Zieldomäne weiterhin die erforderlichen Dienste starten.<br />
Führen Sie zum Migrieren der Dienstkonten mithilfe des ADMTs die folgenden Schritte durch:<br />
1. Öffnen Sie den Assistenten zum Migrieren von Benutzerkonten.<br />
2. Wählen Sie die Quell- und Zieldomänen.<br />
3. Wählen Sie die zu migrierenden Dienstkonten.<br />
Hinweis Wenn Sie sich nicht mehr an den Kontonamen des zuvor ermittelten Dienstkontos erinnern<br />
können, können Sie den Inhalt der Protokolldatei des Verteiler-Agents, die Datei Dctlog.txt, überprüfen,<br />
die sich im Ordner %userprofile%\Temp befindet. Wenn Sie beispielsweise an dem Windows Server<br />
2008-Computer als Migrator1 angemeldet sind, befindet sich die Datei unter C:\Benutzer\Migrator1\<br />
Temp.<br />
4. Wählen Sie in der Zieldomäne die OU, in die Sie die Dienstkonten migrieren möchten.<br />
5. Für die Dienstkontenmigration wird die komplexe Kennworterstellung verwendet. Unabhängig von<br />
der von Ihnen auf der Seite Password Options gewählten Kennwortmigrationsoption verwendet das<br />
ADMT immer die komplexe Kennwortoption. Das ADMT erkennt, dass es sich bei dem von<br />
Ihnen migrierten Benutzerkonto um ein Dienstkonto handelt, und daher erteilt es dem Konto die<br />
Berechtigung zum Anmelden als Dienst.<br />
Hinweis Wurden den von Ihnen migrierten Dienstkonten lokale Rechte (beispielsweise Anmelden als<br />
Dienst als Mitglied der lokalen Administratorengruppe) nur durch die Mitgliedschaft in einer lokalen Gruppe<br />
vererbt, müssen Sie dies durch Ausführung des Sicherheitskonvertierungs-Assistenten beheben. Wählen<br />
Sie in diesem Fall auf der Seite Translate Objects des Sicherheitskonvertierungs-Assistenten die Objekte<br />
Local Group und User Rights für die migrierten Mitgliedsserver, die die lokalen Gruppen umfassen, von<br />
denen die Rechte vererbt wurden. Auf diesem Computer wird die Sicherheitskonvertierung durchgeführt.
Migration innerhalb der Gesamtstruktur 261<br />
Außerbetriebsetzen der Quelldomänen<br />
Nachdem die Migration aller Quelldomänen auf Windows Server 2008 und die AD DS abgeschlossen<br />
ist, können Sie die Vorgängerversionsdomänen außer Betrieb setzen. Zu diesem Zeitpunkt handelt<br />
es sich bei den verbleibenden Computern in den Quelldomänen um Domänencontroller. Wenn im<br />
Rahmen Ihres Migrationsplans das Verschieben dieser Domänencontroller auf die Windows Server<br />
2008-Zieldomäne erforderlich ist, können Sie diese Computer auf die Zieldomäne verschieben. Am<br />
einfachsten können Sie diese Computer verschieben, indem Sie zuerst sicherstellen, dass alle benötigten<br />
Daten von diesen Servern entfernt wurden, und anschließend eine Neuinstallation des Windows<br />
Server 2008-Betriebssystems durchführen.<br />
Die abschließende Aufgabe besteht darin, alle zum Durchführen der Migration erstellten Vertrauensstellungen<br />
zu entfernen. Wählen Sie mithilfe des Verwaltungstools <strong>Active</strong> <strong>Directory</strong>-Domänen und<br />
-Vertrauensstellungen jede der Vertrauensstellungen der Vorgängerversions-Quelldomänen, die nun<br />
außer Betrieb gesetzt sind, und klicken Sie auf Entfernen.<br />
Migration innerhalb der Gesamtstruktur<br />
Bei der dritten zu erläuternden Migrationsoption handelt es sich um das Verfahren Aktualisierung vor<br />
Umstrukturierung bzw. um die Migration innerhalb einer Gesamtstruktur. Wie bereits zuvor in diesem<br />
Kapitel erwähnt, ist zu Beginn der Aktualisierung vor Umstrukturierung eine Aktualisierung der<br />
Vorgängerversions-Domänencontroller auf Windows Server 2008 erforderlich (bei der die ursprüngliche<br />
Domänenhierarchie beibehalten wird). Anschließend wird eine Domänenumstrukturierung vorgenommen,<br />
bei der die AD DS-Objekte von den aktualisierten Quelldomänen auf die Zieldomäne<br />
bzw. die Zieldomänen migriert werden. Nachdem Sie bereits die Abschnitte in diesem Kapitel gelesen<br />
haben, in denen Domänenaktualisierungen und die Domänenumstrukturierung erläutert werden,<br />
sind Sie mit den erforderlichen Aufgaben zum Durchführen der Migration über das Verfahren Aktualisierung<br />
vor Umstrukturierung auf die Windows Server 2008-AD DS bereits vertraut. Sie werden<br />
jedoch feststellen, dass sich die Kontomigration in Szenarien innerhalb einer Gesamtstruktur aufgrund<br />
der Sicherheitsanforderungen für Windows Server 2008 von der Kontomigration in Szenarien<br />
zwischen Gesamtstrukturen unterscheidet.<br />
Das Verfahren zum Umstrukturieren der Domäne nach einer Aktualisierung auf Windows Server<br />
2008 muss nicht unmittelbar nach der Aktualisierung durchgeführt werden. Die Domänenumstrukturierung<br />
kann einfach als Domänenverwaltungsfunktion betrachtet werden, sodass Sie Ihre AD DS-<br />
Struktur an die Änderungen Ihrer geschäftlichen Anforderungen anpassen können. In diesem<br />
Abschnitt werden die Unterschiede zwischen einer Migration innerhalb einer Gesamtstruktur und der<br />
bereits beschriebenen Migration zwischen Gesamtstrukturen erläutert. In diesem Abschnitt wird kein<br />
bestimmtes Tool erläutert, da die technischen Unterschiede unabhängig vom verwendeten Migrationstool<br />
bestehen.<br />
Folgende Unterschiede bestehen zwischen einer Migration innerhalb einer Gesamtstruktur und einer<br />
Migration zwischen Gesamtstrukturen:<br />
• Bei einer Migration innerhalb einer Gesamtstruktur müssen Konten für die Beibehaltung des<br />
Ressourcenzugriffs mithilfe des SID-Verlaufs verschoben und nicht geklont werden. Beim Verschieben<br />
von Kontoobjekten innerhalb einer Gesamtstruktur handelt es sich jedoch um ein zerstörerisches<br />
Verfahren, die Benutzer-, Gruppen- und Computerkonten werden in der Quelldomäne<br />
gelöscht, sobald die neuen Konten in der Zieldomäne erstellt sind. Daher können Sie die „Parallelumgebung“<br />
nicht beibehalten, auf die während eines Umstrukturierungsszenarios zwischen<br />
Gesamtstrukturen einfach zurückgegriffen werden kann.
262 Kapitel 7: Migrieren auf die <strong>Active</strong> <strong>Directory</strong>-Domänendienste<br />
• Bei einer Migration innerhalb einer Gesamtstruktur müssen Sie zum Beibehalten der Gruppenmitgliedschaftsregeln<br />
Benutzerkonten und die Gruppen, denen die Benutzer angehören, gleichzeitig<br />
verschieben. Dieses Verfahren wird als geschlossener Satz bezeichnet. Das ADMT nimmt jedoch<br />
keine Berechnung eines vollständigen geschlossenen Satzes vor, daher müssen Sie beim Migrieren<br />
von Benutzern, die Mitglieder globaler Gruppen sind, besonders vorsichtig vorgehen. Wenn<br />
Sie eine Gruppe migrieren, deren Mitgliedschaft ein Benutzerkonto umfasst, das Mitglied einer<br />
anderen globalen Gruppe ist, und wenn diese globale Gruppe umgekehrt kein Mitglied einer der<br />
zu diesem Zeitpunkt migrierten Gruppen ist, bricht die Mitgliedschaft zwischen dem Benutzerkonto<br />
und der globalen Gruppe, die nicht in die Migration integriert ist. Bei anderen Gruppentypen<br />
(wie z.B. universelle Gruppen) besteht dieses Problem nicht, da sie Mitglieder umfassen<br />
können, die sich außerhalb ihrer Domänen befinden.<br />
Konfigurieren von Vertrauensstellungen zwischen Gesamtstrukturen<br />
Als Alternative zum Durchführen einer Domänenumstrukturierung können Sie Vertrauensstellungen<br />
zwischen Gesamtstrukturen bzw. Gesamtstrukturvertrauensstellungen von einer Windows Server<br />
2008-Gesamtstruktur nutzen, um auf Ressourcen in einer anderen, nicht verbundenen Windows Server<br />
2008-Gesamtstruktur zuzugreifen.<br />
Eine deutliche Verbesserung, die in Windows Server 2003 an <strong>Active</strong> <strong>Directory</strong> vorgenommen wurde,<br />
ist die Möglichkeit, Vertrauensstellungen zwischen AD DS-Gesamtstrukturen zu erstellen. In Windows<br />
2000 <strong>Active</strong> <strong>Directory</strong> können Sie nur eine Vertrauensstellung zwischen einer Domäne in einer<br />
Gesamtstruktur und einer Domäne in einer anderen Gesamtstruktur erstellen. In Windows Server<br />
2003 und Windows Server 2008 können Sie eine Vertrauensstellung zwischen den Stammdomänen<br />
der Gesamtstruktur erstellen. Bei dieser Vertrauensstellung kann es sich um eine uni- oder bidirektionale<br />
Vertrauensstellung handeln. Nachdem die Vertrauensstellung erstellt wurde, können Sie globale<br />
oder universelle Gruppen aus einer Gesamtstruktur nutzen, um Berechtigungen für Ressourcen in<br />
einer anderen Gesamtstruktur zu erteilen.<br />
Hinweis Durch das Erstellen einer Vertrauensstellung zwischen zwei Gesamtstrukturen können nur Ressourcen<br />
zwischen den beiden Gesamtstrukturen freigegeben werden. Alle übrigen Trennungen auf Gesamtstrukturebene<br />
bleiben auch nach dem Erstellen der Vertrauensstellung weiterhin bestehen. Das Erstellen<br />
einer Vertrauensstellung bedeutet beispielsweise nicht, dass die Gesamtstrukturen einen gemeinsamen globalen<br />
Katalog (Global Catalog, GC) oder ein gemeinsames Schema nutzen. Wenn Sie eine Vertrauensstellung<br />
in <strong>Active</strong> <strong>Directory</strong> erstellen, wird durch die Vertrauensstellung das Namensuffixrouting zwischen den<br />
beiden Gesamtstrukturen automatisch aktiviert. Benutzer können durch das Namensuffixrouting ihre Benutzerprinzipalnamen<br />
(User Principle Names, UPNs) beim Anmelden an jeder Domäne in einer der Gesamtstrukturen<br />
verwenden. Wenn Sie beispielsweise eine Gesamtstrukturvertrauensstellung zwischen den<br />
beiden Gesamtstrukturen Adatum.com und TreyResearch.com erstellen, können Benutzer der Gesamtstruktur<br />
TreyResearch.com ihren UPN Benutzername@treyresearch.com zur Anmeldung an einer Arbeitsstation<br />
in der Gesamtstruktur Adatum.com verwenden. Das Namensuffixrouting wird standardmäßig auf alle Domänennamen<br />
erster Ebene angewendet, die in der Gesamtstruktur verfügbar sind. Dies umfasst sowohl die<br />
Standard-UPN-Suffixe sowie alle weiteren alternativen Suffixe, die in der Gesamtstruktur konfiguriert sind.<br />
Das Namensuffixrouting funktioniert zwischen Gesamtstrukturen nur dann nicht, wenn in beiden Gesamtstrukturen<br />
das gleiche UPN-Suffix konfiguriert wurde. Wurde das UPN-Suffix aus der Gesamtstruktur Trey-<br />
Research.com in der Gesamtstruktur Adatum.com konfiguriert, können sich Benutzer der Gesamtstruktur<br />
TreyReserch.com nicht mit ihrem UPN an der Gesamtstruktur Adatum.com anmelden.
Konfigurieren von Vertrauensstellungen zwischen Gesamtstrukturen 263<br />
Beim ersten Aktivieren der Gesamtstrukturvertrauensstellung werden alle Domänensuffixe erster<br />
Ebene automatisch an die UPN-Vertrauensstellung weitergeleitet. Die Weiterleitung der untergeordneten<br />
Domänensuffixe wird implizit über das übergeordnete Domänensuffix vorgenommen. Wenn Sie<br />
einer Gesamtstruktur ein weiteres UPN-Suffix hinzufügen, nachdem die Vertrauensstellung erstellt<br />
wurde, müssen Sie das Namensuffixrouting für das neue Suffix aktivieren. Hierzu können Sie entweder<br />
die Vertrauensstellung zwischen den Domänen verifizieren, oder Sie können das neue Suffix<br />
manuell im Eigenschaftendialogfeld der Vertrauensstellung auf der Registerkarte Namensuffixrouting<br />
hinzufügen.<br />
Um eine Gesamtstrukturvertrauensstellung zu erstellen, muss für die Gesamtstrukturfunktionsebene<br />
Windows Server 2003 oder Windows Server 2008 festgelegt sein. In einer Gesamtstruktur verfügen<br />
nur die Mitglieder der Gruppe Organisations-Admins über die Berechtigung zum Erstellen von<br />
Gesamtstrukturvertrauensstellungen.<br />
Um eine Gesamtstrukturvertrauensstellung zu erstellen, gehen Sie wie folgt vor:<br />
1. Öffnen Sie das Verwaltungstool <strong>Active</strong> <strong>Directory</strong>-Domänen und -Vertrauensstellungen. Klicken<br />
Sie mit der rechten Maustaste auf die Stammdomäne der Gesamtstruktur, und wählen Sie Eigenschaften.<br />
Klicken Sie auf die Registerkarte Vertrauensstellungen.<br />
2. Klicken Sie auf Neue Vertrauensstellung. Der Assistent für neue Vertrauensstellungen wird gestartet.<br />
Geben Sie den Domänennamen der Stammdomäne der anderen Gesamtstruktur ein.<br />
3. Sie haben nun die Möglichkeit, den zu konfigurierenden Vertrauensstellungstyp auszuwählen.<br />
Folgende Vertrauensstellungstypen stehen zur Auswahl:<br />
Vertrauensstellung mit einer externen Domäne<br />
Vertrauensstellung mit einer NT 4.0-Domäne<br />
Kerberos (v5)-Bereichvertrauensstellung<br />
Vertrauensstellung mit einer anderen Gesamtstruktur<br />
Bei einer externen Vertrauensstellung handelt es sich um eine nicht transitive Vertrauensstellung,<br />
Gesamtstrukturvertrauensstellungen dagegen sind immer transitiv. Wählen Sie die Gesamtstrukturvertrauensstellung.<br />
4. Wählen Sie die Richtung für die Vertrauensstellung. Folgende Möglichkeiten stehen zur Auswahl:<br />
Bidirektional Eine Authentifizierung kann für Benutzer dieser Domäne in der angegebenen<br />
Domäne, dem angegebenen Bereich oder der angegebenen Gesamtstruktur und für Benutzer<br />
der angegebenen Domäne, dem angegebenen Bereich oder der angegebenen Gesamtstruktur in<br />
dieser Domäne durchgeführt werden.<br />
Unidirektional, eingehend Eine Authentifizierung kann für Benutzer dieser Domäne in der<br />
angegebenen Domäne, dem angegebenen Bereich oder der angegebenen Gesamtstruktur<br />
durchgeführt werden.<br />
Unidirektional, ausgehend Eine Authentifizierung kann für Benutzer der angegebenen Domäne,<br />
dem angegebenen Bereich oder der angegebenen Gesamtstruktur in dieser Domäne durchgeführt<br />
werden.<br />
5. Sie können entscheiden, ob Sie die Vertrauensstellung nur für diese Domäne oder auch für die<br />
andere Domäne erstellen möchten. (Bei diesen beiden Domänen handelt es sich um die Stammdomänen<br />
der beiden Gesamtstrukturen.) Die Gesamtstrukturvertrauensstellung kann nur zwischen<br />
den Stammdomänen von Gesamtstrukturen erstellt werden.
264 Kapitel 7: Migrieren auf die <strong>Active</strong> <strong>Directory</strong>-Domänendienste<br />
Wenn Sie beide Seiten der Vertrauensstellung gleichzeitig konfigurieren möchten, müssen Sie den<br />
Namen und das Kennwort des Kontos Organisations-Admins der anderen Gesamtstruktur eingeben.<br />
Wenn Sie die Vertrauensstellung nur für diese Domäne erstellen möchten, werden Sie zur<br />
Angabe des Kennworts aufgefordert, das für die Konfiguration der ersten Vertrauensstellung verwendet<br />
wird. Dieses Kennwort muss anschließend für die Konfiguration der Vertrauensstellung in<br />
der Stammdomäne der anderen Gesamtstruktur verwendet werden.<br />
6. Sie können auch entscheiden, welche Authentifizierungsebene Sie für sowohl die eingehende als<br />
auch die ausgehende Vertrauensstellung festlegen möchten. Dadurch haben Sie die Möglichkeit,<br />
den Zugriff auf Ressourcen zwischen Gesamtstrukturen sehr genau zu steuern. Wenn Sie sich für<br />
die Festlegung einer gesamtstrukturweiten Authentifizierung entscheiden, können Benutzer der<br />
einen Gesamtstruktur auf alle Server und Ressourcen in der anderen Gesamtstruktur zugreifen.<br />
Diese Konfiguration entspricht der Konfiguration für Vertrauensstellungen zwischen den Domänen<br />
innerhalb einer Gesamtstruktur. Benutzer von einer Domäne in einer Gesamtstruktur können<br />
auf Ressourcen in jeder beliebigen Domäne in einer der Gesamtstrukturen zugreifen, vorausgesetzt,<br />
sie verfügen über die Zugriffsberechtigung für die Ressourcen. Sie können für die Gesamtstrukturvertrauensstellung<br />
auch eine selektive Authentifizierung festlegen. In diesem Fall müssen<br />
Sie den Benutzern oder Gruppen der einen Gesamtstruktur den Zugriff auf Server in der anderen<br />
Gesamtstruktur explizit ermöglichen. Erteilen Sie hierfür den Benutzern oder Gruppen in <strong>Active</strong><br />
<strong>Directory</strong> die Berechtigung Authentifizierung zulassen.<br />
7. Nachdem Sie die Vertrauensstellung konfiguriert haben, können Sie die Vertrauensstellung automatisch<br />
verifizieren.<br />
Wenn Sie eine bidirektionale transitive Vertrauensstellung konfiguriert haben, können Benutzer nun<br />
auf freigegebene Ressourcen in der vertrauten Gesamtstruktur zugreifen.<br />
Zusammenfassung<br />
In diesem Kapitel wurden die unterschiedlichen Migrationsoptionen erläutert, um eine Migration von<br />
<strong>Active</strong> <strong>Directory</strong> in Windows 2000 Server oder Windows Server 2003 zu den Windows Server 2008-<br />
AD DS durchzuführen. Die drei wichtigsten Migrationsoptionen – Aktualisierung, Umstrukturierung<br />
und Aktualisierung vor Umstrukturierung – wurden beschrieben. Um die für Ihre Organisation geeignete<br />
Option zu ermitteln, stehen verschiedene Kriterien zur Verfügung. Für Organisationen, die mit der<br />
derzeitigen Domänenstruktur zufrieden sind, ist die Aktualisierung die einfachste Option, d.h. sie<br />
können einfach den Verzeichnisdienst von Windows 2000 Server oder Windows Server 2003 auf<br />
Windows Server 2008 aktualisieren. Entspricht Ihre Domänenstruktur nicht Ihren Geschäftsanforderungen<br />
oder Ihrem Organisationsmodell, ist eine Umstrukturierung der Domäne erforderlich. Unabhängig<br />
von der Option, für die Sie sich entscheiden, ist zur erfolgreichen Durchführung Ihres Migrationsprojekts<br />
eine sorgfältige Planung, Prüfung sowie Test- und Pilotphase erforderlich.<br />
In diesem Kapitel wurde neben den wichtigsten Entscheidungsfaktoren zum Durchführen einer ersetzenden<br />
Aktualisierung auf Windows Server 2008 auch das Verfahren der Domänenumstrukturierung<br />
mithilfe des ADMTs erläutert. Anschließend wurde der Unterschied zwischen dem Verfahren der<br />
Aktualisierung vor Umstrukturierung, auch als Migration innerhalb einer Gesamtstruktur bezeichnet,<br />
und einer Domänenumstrukturierung beschrieben. Am Ende dieses Kapitels folgte dann die Erläuterung<br />
des Windows Server 2008-Features zum Erstellen von Vertrauensstellungen zwischen Gesamtstrukturen.
Empfohlene Vorgehensweisen<br />
Empfohlene Vorgehensweisen 265<br />
Durch die Einhaltung der folgenden empfohlenen Vorgehensweisen können Migrationen auf Windows<br />
Server 2008 erfolgreich durchgeführt werden.<br />
• Anwenden von Service Packs auf Windows 2000 Server-Domänencontroller Bevor Sie die Domäne<br />
(und die Gesamtstruktur, in der sich die Domäne befindet) für die Migration vorbereiten, sollten<br />
Sie Windows 2000 Server Service Pack 4 (SP4) oder höher auf alle Domänencontroller anwenden,<br />
auf denen Windows 2000 Server ausgeführt wird. Sie können die aktuellen Service Packs<br />
für Windows 2000 Server von der Microsoft-Website unter http://technet.microsoft.com/en-us/<br />
windowsserver/2000/bb735341.aspx herunterladen.<br />
• Migrieren von Computerkonten in virtuellen privaten Netzwerken Für VPN-Clients (Virtual Private<br />
Network, virtuelles privates Netzwerk) müssen Sie bei der Migration von Computerkonten mithilfe<br />
des ADMTs sicherstellen, dass der Verteiler-Agent über die VPN-Verbindung installiert<br />
werden kann. Konfigurieren Sie hierfür das VPN so, dass eine direkte Verbindung mit dem DFÜ-<br />
Client hergestellt werden kann. Das ADMT versucht, den Verteiler-Agent-Dienst auf dem zu migrierenden<br />
Computer zu installieren. Diese Installation schlägt jedoch fehl, wenn der SMB-Serverdatenverkehr<br />
(Server Message Block) durch die Firewall oder den Proxyserver blockiert wird.<br />
Konfigurieren Sie die Firewalleinstellungen für die Zulassung dieses Datenverkehrs, bevor Sie<br />
über das VPN verbundene Computerkonten migrieren.<br />
• Migrieren von Domänencontrollern Computerkonten von Domänencontrollern können nicht<br />
mithilfe des ADMTs migriert werden. Domänencontroller müssen auf die Windows Server 2008-<br />
Domäne verschoben werden. Um einen DC von der Quell- zur Zieldomäne zu verschieben, sollten<br />
Sie ihn herabstufen (d.h. <strong>Active</strong> <strong>Directory</strong> deinstallieren), den Server zur Zieldomäne hinzufügen<br />
und anschließend zum Windows Server 2008-Domänencontroller heraufstufen.<br />
Zusätzliche Ressourcen<br />
Die folgenden Ressourcen enthalten zusätzliche Informationen, die für die Migration auf Windows<br />
Server 2008-AD DS hilfreich sind.<br />
Verwandte Informationen<br />
• Weitere Informationen zu den neuen, in Windows Server 2008 <strong>Active</strong> <strong>Directory</strong> verfügbaren Features<br />
finden Sie in Kapitel 1, „Neuerungen in <strong>Active</strong> <strong>Directory</strong> für Windows Server 2008“.<br />
• Weitere Informationen zum Entwerfen Ihrer <strong>Active</strong> <strong>Directory</strong>-Struktur werden in Kapitel 5, „Entwerfen<br />
der <strong>Active</strong> <strong>Directory</strong>-Domänendienstestruktur“, bereitgestellt.<br />
• Weitere Informationen zur Verwendung des Assistenten zum Installieren der <strong>Active</strong> <strong>Directory</strong>-<br />
Domänendienste werden in Kapitel 6, „Installieren der <strong>Active</strong> <strong>Directory</strong>-Domänendienste“,<br />
bereitgestellt.<br />
• Vor der Migration auf Windows Server 2008 und die AD DS ist eine präzise Planung und ein<br />
umfassender Entwurf Ihrer Infrastruktur erforderlich. Für die Planung Ihrer Bereitstellung sollten<br />
Sie den Artikel „Planning an <strong>Active</strong> <strong>Directory</strong> Domain Services Deployment“ (in englischer Sprache)<br />
unter http://technet2.microsoft.com/windowsserver2008/de/library/817d84f0-a0c3-4776-<br />
8ea3-20054f342a701031.mspx?mfr=true lesen.
266 Kapitel 7: Migrieren auf die <strong>Active</strong> <strong>Directory</strong>-Domänendienste<br />
• Der Artikel „The Step-by-Step Guide for Windows Server 2008 <strong>Active</strong> <strong>Directory</strong> Domain Services<br />
Installation and Removal“ (in englischer Sprache) steht unter http://technet2.microsoft.com/<br />
windowsserver2008/en/library/f349e1e7-c3ce-4850-9e50-d8886c866b521033.mspx?mfr=true zur<br />
Verfügung.<br />
• Weitere Informationen zur Bereitstellung der AD DS werden im Artikel „Planning an <strong>Active</strong><br />
<strong>Directory</strong> Domain Services Deployment” (in englischer Sprache ) unter http://go.microsoft.com/<br />
fwlink/?LinkId=100493 bereitgestellt.<br />
• Informationen zum Bewerten der Hardwareanforderungen von Domänencontrollern in einer Windows<br />
Server 2008-Domäne finden Sie im Artikel „Planning Domain Controller Capacity“ (in englischer<br />
Sprache) http://technet2.microsoft.com/windowsserver/en/library/4af3271a-4407-4ca5-<br />
9cd5-e05b79046d081033.mspx?mfr=true.<br />
• Weitere Informationen zur Bereitstellung regionaler AD DS-Domänen werden im Artikel „Deploying<br />
Windows Server 2008 Regional Domains“ (in englischer Sprache) unter http://go.microsoft.com/fwlink/?LinkId=89029<br />
bereitgestellt.<br />
• Weitere Informationen zum Durchführen einer Aktualisierung von <strong>Active</strong> <strong>Directory</strong>-Domänen auf<br />
Windows Server 2008 finden Sie im Artikel „Upgrading AD DS Domains to Windows Server<br />
2008“ (in englischer Sprache) unter http://go.microsoft.com/fwlink/?LinkId=89032.<br />
• Weitere Informationen zu zusätzlichen Installationsmethoden für eine neue Windows<br />
Server 2008-Gesamtstruktur finden Sie unter „Installieren einer neuen Gesamtstruktur unter Windows<br />
Server 2008“ unter http://go.microsoft.com/fwlink/?LinkId=101704.<br />
• Weitere Informationen zu Tests, die mithilfe des Tools Dcdiag.exe durchgeführt werden können,<br />
finden Sie in der „Dcdiag Overview” (in englischer Sprache) unter http://go.microsoft.com/fwlink/<br />
?LinkId=93660.<br />
• Informationen zur Verwendung von Medien für die Installation des Domänencontrollers finden<br />
Sie im Artikel „Installing AD DS from Media“ (in englischer Sprache) unter http://go.microsoft.com/fwlink/?LinkId=93104.<br />
• Ein Verfahren, das bei der Übertragung der Betriebsmasterrollen hilfreich sein kann, wird unter<br />
„Übertragen der Betriebsmasterrollen“ unter http://go.microsoft.com/fwlink/?LinkId=93664<br />
beschrieben.<br />
• Wissenswertes zur Platzierung der Betriebsmasterrolle wird im Artikel „Planning Operations<br />
Master Role Placement“ (in englischer Sprache) unter http://go.microsoft.com/fwlink/?LinkId=<br />
93665 aufgeführt.<br />
Verwandte Tools<br />
• <strong>Active</strong> <strong>Directory</strong> Migration Tool v.3.1, verfügbar unter http://go.microsoft.com/fwlink/?LinkId=<br />
82740
T E I L I I I<br />
Verwalten von Windows Server 2008 <strong>Active</strong><br />
<strong>Directory</strong><br />
Inhalt dieses Teils:<br />
Kapitel 8: <strong>Active</strong> <strong>Directory</strong>-Domänendienstsicherheit . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 269<br />
Kapitel 9: Delegieren der <strong>Active</strong> <strong>Directory</strong>-Domänendiensteverwaltung . . . . . . . . . . . . . . . . . . . . . . . . . . . . 319<br />
Kapitel 10: Verwalten von <strong>Active</strong> <strong>Directory</strong>-Objekten. . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 351<br />
Kapitel 11: Einführung in Gruppenrichtlinien . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 393<br />
Kapitel 12: Einsetzen von Gruppenrichtlinien zum Verwalten von Benutzerdesktops . . . . . . . . . . . . . . . . . . 449<br />
Kapitel 13: Einsetzen von Gruppenrichtlinien zum Verwalten der Sicherheit. . . . . . . . . . . . . . . . . . . . . . . . . 505
269<br />
K A P I T E L 8<br />
<strong>Active</strong> <strong>Directory</strong>-Domänendienstsicherheit<br />
Inhalt dieses Kapitels:<br />
AD DS-Sicherheitsgrundlagen . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 270<br />
Kerberos-Sicherheit . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 276<br />
NTLM-Authentifizierung . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 298<br />
Implementieren der Sicherheit für Domänencontroller. . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 300<br />
Entwerfen sicherer administrativer Vorgehensweisen . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 312<br />
Zusammenfassung. . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 315<br />
Empfohlene Vorgehensweisen. . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 315<br />
Zusätzliche Ressourcen. . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 316<br />
Einer der vornehmlichen Gründe für die Bereitstellung eines Verzeichnisdienstes wie den <strong>Active</strong><br />
<strong>Directory</strong>-Domänendiensten (<strong>Active</strong> <strong>Directory</strong> Domain Services, AD DS) ist der, Sicherheit im<br />
Unternehmensnetzwerk zu gewährleisten. Jedes Unternehmen speichert geschäftskritische Informationen<br />
auf Dateiservern im Netzwerk. E-Mails haben sich zu einem der wichtigsten Mittel für den<br />
Austausch von Geschäftsinformationen entwickelt. Intranet- oder Internetsites enthalten möglicherweise<br />
vertrauliche Informationen, und der Zugriff auf die Sites muss für bestimmte Benutzer eingeschränkt<br />
werden. Um sicherzustellen, dass nur autorisierte Benutzer Zugriff erhalten, ist die Verwaltung<br />
eines sicheren Zugriffs auf diese Arten von Informationen von wesentlicher Bedeutung.<br />
Microsoft Windows Server 2008 AD DS stellt den Verzeichnisdienst zur Verfügung, der zur Gewährleistung<br />
von Sicherheit in diesen und vielen weiteren Szenarien verwendet werden kann.<br />
Das vorliegende Kapitel beginnt mit einer Einführung in die Grundlagen der AD DS-Sicherheit. Die<br />
<strong>Active</strong> <strong>Directory</strong>-Domänendienste verwenden verschiedene Bausteine und Konzepte zur Gewährleistung<br />
der Sicherheit in einem Windows Server 2008-Netzwerk. Im Anschluss an die Sicherheitsgrundlagen<br />
werden die Authentifizierungs- und Autorisierungsfunktionen besprochen, die von den AD DS<br />
zur Überprüfung der Benutzeridentität (Authentifizierung) und zur Erteilung des Zugriffs auf die<br />
geeigneten Ressourcen (Autorisierung) eingesetzt werden. Windows Server 2008 verwendet, ebenso<br />
wie Microsoft Windows 2000 und Windows Server 2003, Kerberos als primäres Authentifizierungsprotokoll.<br />
Aus diesem Grund konzentriert sich der erste Teil des vorliegenden Kapitels auf die Rolle<br />
des Kerberos-Protokolls für die Authentifizierung.<br />
Nach der Besprechung von Authentifizierung und Autorisierung werden die AD DS-Domänencontrollersicherheit<br />
und die Entwicklung von sicheren Verfahren für die Umgebungsverwaltung erläutert.<br />
Dies ist eine wichtige zweite Komponente beim Aufbau einer sicheren AD DS-Umgebung.<br />
Weitere Informationen Das vorliegende Kapitel bietet eine Grundlage für das Verständnis und die Implementierung<br />
der Sicherheit in einem Windows Server 2008-Netzwerk. In späteren Kapiteln, wie etwa Kapitel 9,<br />
„Delegieren der <strong>Active</strong> <strong>Directory</strong>-Domänendienste“, und Kapitel 13, „Einsetzen von Gruppenrichtlinien zum<br />
Verwalten der Sicherheit“, werden die hier angesprochenen Konzepte eingehender behandelt.
270 Kapitel 8: <strong>Active</strong> <strong>Directory</strong>-Domänendienstsicherheit<br />
AD DS-Sicherheitsgrundlagen<br />
Um die Funktionsweise der AD DS-Sicherheit in einem Windows Server 2008-Netzwerk verstehen<br />
zu können, müssen zunächst einige grundlegende Konzepte erläutert werden. Im Wesentlichen besteht<br />
die AD DS-Sicherheit aus zwei Arten von Objekten und der Interaktion zwischen diesen zwei<br />
Objekten. Das erste Objekt ist ein Sicherheitsprinzipal, d.h. ein Objekt, das einen Benutzer, eine<br />
Gruppe oder einen Computer repräsentiert, der bzw. die Zugriff auf eine Ressource im Netzwerk<br />
benötigt. Das zweite Objekt ist die Ressource selbst – das Objekt, für das der Sicherheitsprinzipal<br />
Zugriff benötigt. Zur Gewährleistung der erforderlichen Sicherheit müssen die AD DS die Identität des<br />
Sicherheitsprinzipals bestimmen können und anschließend die erforderliche Zugriffsebene für die Ressourcen<br />
gewähren.<br />
Sicherheitsprinzipale<br />
Sicherheitsprinzipale sind die einzigen Objekte in den AD DS, denen Berechtigungen für den Zugriff<br />
auf Ressourcen im Netzwerk erteilt werden kann. Jedem Sicherheitsprinzipal wird bei Erstellung des<br />
Objekts eine Sicherheitskennung (Security Identifier, SID) erzeugt. Die Sicherheitskennung besteht<br />
aus zwei Teilen. Der erste Teil ist eine Domänenkennung, die für alle Sicherheitsprinzipale in einer<br />
Domäne identisch ist. Der zweite Teil der Sicherheitskennung ist ein relativer Bezeichner (Relative<br />
Identifier, RID), der für jeden Sicherheitsprinzipal in einer AD DS-Domäne eindeutig ist.<br />
Die Sicherheitskennung ist eine wesentliche Komponente bei der Konfiguration der Ressourcensicherheit<br />
in einem Windows Server 2008-Netzwerk. Wenn Sie Berechtigungen für eine Ressource<br />
erteilen, verwenden Sie den Anzeigenamen des Sicherheitsprinzipals, Windows Server 2008 verwendet<br />
tatsächlich jedoch die Sicherheitskennung zur Verwaltung des Ressourcenzugriffs. Wenn ein<br />
Benutzer versucht, auf die Ressourcen eines Servers in der Domäne zuzugreifen, erteilt das Betriebssystem<br />
nicht dem Namen der Person, sondern der Benutzer-SID Berechtigungen für die Ressource.<br />
Wenn demzufolge der Anzeigename eines Benutzers geändert wird, hat dies keine Auswirkung auf<br />
die gewährten Berechtigungen. Wenn jedoch ein Benutzerobjekt gelöscht und anschließend mit demselben<br />
Namen neu erstellt wird, kann der Benutzer nicht auf dieselben Ressourcen zugreifen, da dem<br />
neuen Objekt eine andere Sicherheitskennung zugewiesen wird.<br />
Praxistipp: Sicherheitskennungen<br />
Eine Sicherheitskennung (Security Identifier, SID) ist eine numerische Darstellung, die einen<br />
Sicherheitsprinzipal eindeutig identifiziert. Sicherheitskennungen setzen sich aus drei Komponenten<br />
zusammen: Revisionsstufe, Bezeichnerautorität und Teilautorität oder relativer Bezeichner<br />
(Relative Identifier, RID).<br />
Sicherheitskennungen verwenden die folgende Syntax:<br />
S-R-I-S-S<br />
Der Buchstabe S zeigt an, dass es sich bei der folgenden Informationen um eine Sicherheitskennung<br />
handelt. Der Buchstabe R kennzeichnet die Revisionsstufe der Sicherheitskennung. Der<br />
Buchstabe I repräsentiert die Bezeichnerautorität (Identifier Authority), und das S steht für die Teilautorität<br />
(Subauthority) oder den relativen Bezeichner (Relative Identifier, RID). Es können mehrere<br />
Werte für die Teilautorität oder den relativen Bezeichner vorliegen:<br />
• Revisionsstufe Die Revisionsstufe repräsentiert die Änderungsstufe der SID-Struktur. Die derzeitige<br />
Revisionsstufe lautet 1.
AD DS-Sicherheitsgrundlagen 271<br />
• Bezeichnerautorität Die Bezeichnerautorität ist ein 48-Bit-Wert zur Identifizierung der Stelle,<br />
welche die Sicherheitskennung ausgegeben hat.<br />
• Teilautorität/Relativer Bezeichner Die Teilautorität bzw. der relative Bezeichner werden verwendet,<br />
um den Sicherheitsprinzipal relativ zur ausgebenden Stelle eindeutig zu identifizieren. Teilautorität<br />
bzw. relative Bezeichner stellen sicher, dass keine identischen Sicherheitskennungen<br />
vorhanden sind. Dies wird erreicht, indem einer ausgebenden Stelle für Sicherheitskennungen<br />
untersagt wird, einen relativen Bezeichner mehrfach zuzuweisen.<br />
Windows erstellt Sicherheitskennungen unter Verwendung der Bezeichnerautorität 5 und der Teilautorität<br />
21. Aus diesem Grund beginnen unter Windows erstellte Sicherheitskennungen mit S-1-5-<br />
21. Die nächste Teilautorität wird entweder von der Domäne oder vom lokalen Computer abgeleitet.<br />
Dies hängt davon ab, ob der neue Sicherheitsprinzipal in der Domäne vorliegt oder es sich um<br />
einen lokalen Sicherheitsprinzipal handelt. Die verbleibenden drei Teilautoritäten leiten sich vom<br />
relativen Bezeichner ab. Jedem Domänencontroller wird von der FSMO-Rolle des RID-Managers<br />
ein Pool relativer Bezeichner zugeordnet. Der Domänencontroller, der den neuen Sicherheitsprinzipal<br />
erstellt, weist dem neuen Sicherheitsprinzipal aus diesem RID-Pool einen relativen Bezeichner<br />
zu. Auf diese Weise wird die vollständige Sicherheitskennung erzeugt:<br />
S-1-5-21-3093361465-529454648-2942243305-1007<br />
Bezeichnerautorität<br />
Teilautorität<br />
S-1-5-21-3093361465-529454648-2942243305-1007<br />
Windows<br />
Domänenteilautorität<br />
Mike Stephens<br />
Microsoft-Supportmitarbeiter<br />
Relativer Bezeichner<br />
Zugriffssteuerungslisten (ACLs)<br />
Die zweite Komponente in der AD DS-Sicherheit ist das Objekt, auf das ein Sicherheitsprinzipal<br />
Zugriff benötigt. Bei diesem Objekt kann es sich um eine AD DS-Organisationseinheit (Organizational<br />
Unit, OU), um ein Druckerobjekt oder sogar um einen Sicherheitsprinzipal handeln. Bei dem<br />
Objekt kann es sich ebenfalls um eine Ressource wie z.B. eine Datei auf einem Windows Server<br />
2008-Server oder um ein Postfach auf einem Microsoft Exchange Server 2007-Server handeln.<br />
Die Berechtigungen, die diesen Objekten gewährt wurden, befinden sich in einer Zugriffssteuerungsliste<br />
(Access Control List, ACL). Jedes Objekt in den <strong>Active</strong> <strong>Directory</strong>-Domänendiensten oder auf<br />
einer NTFS-Dateisystempartition umfassen eine Sicherheitsbeschreibung. Die Sicherheitsbeschreibung<br />
enthält die Sicherheitskennung des Sicherheitsprinzipals, der das Objekt besitzt, sowie die<br />
Sicherheitskennung der primären Gruppe für das Objekt. Zusätzlich verfügt jedes Objekt über zwei<br />
separate ACLs: eine DACL (Discretionary Access Control List) und eine SACL (System Access Control<br />
List). Die DACL listet die Sicherheitsprinzipale oder Vertrauensnehmer auf, denen Berechtigungen<br />
für das Objekt erteilt wurden, sowie den Berechtigungsumfang, der jedem Sicherheitsprinzipal<br />
zugewiesen wurde. Die DACL besteht aus einer Reihe von Zugriffssteuerungseinträgen (Access<br />
Control Entries, ACEs). Jeder ACE listet eine Sicherheitskennung auf und gibt die Zugriffsebene der<br />
Sicherheitskennung für das Objekt an.
272 Kapitel 8: <strong>Active</strong> <strong>Directory</strong>-Domänendienstsicherheit<br />
Der ACE kann einen Eintrag für alle Arten von Sicherheitsprinzipalen enthalten. Beispielsweise kann<br />
ein Benutzerkonto Leseberechtigungen für eine Datei besitzen, und eine Sicherheitsgruppe hat möglicherweise<br />
Vollzugriff. Die DACL für die Datei umfasst (mindestens) zwei ACEs. Mit dem ersten<br />
Zugriffssteuerungseintrag werden Leseberechtigungen gewährt, mit dem zweiten Vollzugriff.<br />
Die SACL listet die Sicherheitsprinzipale auf, deren Zugriff auf die Ressource überwacht werden<br />
muss. Die Liste der ACEs in der SACL gibt an, wessen Zugriff überwacht werden muss und in welchem<br />
Umfang diese Überwachung zu erfolgen hat.<br />
Hinweis Die DACL kann gleichermaßen ACEs zur Gewährung des Zugriffs auf eine Ressource sowie<br />
ACEs für die Zugriffsverweigerung enthalten. Die ACEs für die Zugriffsverweigerung sollten als erste in der<br />
ACL aufgeführt werden, damit sie vom Sicherheitssubsystem als erste ausgewertet werden. Wenn ein ACE<br />
den Zugriff auf eine Ressource verweigert, wertet das Sicherheitssubsystem keine weiteren ACEs aus. Dies<br />
bedeutet, dass eine ACE zur Verweigerung des Ressourcenzugriffs eine ACE zur Gewährung von Zugriff für<br />
eine bestimmte Sicherheitskennung immer außer Kraft setzt. Weitere Informationen zur Verwendung von<br />
Sicherheitsbeschreibungen zum Gewähren von Zugriff auf AD DS-Objekte finden Sie in Kapitel 9.<br />
Praxistipp: Sicherheitsbeschreibungen<br />
Windows verwendet Sicherheitsbeschreibungen zum Schutz und für die Überwachung von Ressourcen.<br />
Eine Sicherheitsbeschreibung umfasst einen Besitzer, eine primäre Gruppe eine DACL<br />
(Discretionary Access Control List) und eine Systemzugriffsliste (System Access Control List,<br />
SACL).<br />
Besitzer und primäre Gruppe<br />
Die Felder für Besitzer und primäre Gruppe sind Sicherheitskennungen. Der Besitzer ist der Sicherheitsprinzipal,<br />
der das Objekt besitzt. Der Ressourcenbesitzer hat Vollzugriff auf das Objekt, einschließlich<br />
der Fähigkeit zum Hinzufügen oder Entfernen von Berechtigungen innerhalb der<br />
Sicherheitsbeschreibung.<br />
Die primäre Gruppe verbleibt zur Erhaltung der Kompatibilität mit dem POSIX-Subsystem in der<br />
Sicherheitsbeschreibung. Windows greift auf diesen Teil der Sicherheitsbeschreibung nur bei Verwendung<br />
von Dienstprogrammen zurück, die POSIX-Interoperabilität erfordern. Standardmäßig schreibt<br />
der Sicherheitsprinzipal, der das Objekt erstellt, die standardmäßige primäre Gruppe in die Sicherheitsbeschreibung.<br />
Die standardmäßige primäre Gruppe von Windows lautet Domänen-Benutzer.<br />
Die primäre Gruppe ist eine implizierte Gruppenmitgliedschaft. Wenn sich ein Benutzer anmeldet,<br />
fügt das Betriebssystem die Sicherheitskennung für diese Gruppe in das Benutzertoken ein. Im<br />
Attribut memberOf wird die primäre Gruppe nicht aufgeführt. Das Attribut memberOf schließt nur<br />
Gruppenmitgliedschaften ein, die explizit zugewiesen wurden.<br />
DACL und SACL<br />
Eine Zugriffssteuerungsliste (Access Control Lists, ACL) umfasst zwei Teile. Der erste Teil der<br />
Zugriffssteuerungsliste umfasst die sogenannten Steuerungsflags. Diese Einstellungen steuern, wie<br />
Windows Berechtigungen innerhalb der ACL und die Regeln zur Vererbung anwendet. Der zweite<br />
Teil der Zugriffssteuerungsliste ist die Liste selbst. Die Zugriffssteuerungsliste enthält mindestens<br />
einen Zugriffssteuerungseintrag (Access Control Entry, ACE).
AD DS-Sicherheitsgrundlagen 273<br />
Zugriffssteuerungsflags legen fest, wie Windows die ACEs innerhalb der Zugriffssteuerungsliste<br />
anwendet. Windows verwendet hauptsächlich die Flags Protected und Automatic. Das geschützte<br />
Flag verhindert, dass die Zugriffssteuerungsliste von einer vererbten Zugriffssteuerungsliste geändert<br />
wird. Dieses Flag entspricht dem Deaktivieren des Kontrollkästchens Berechtigungen übergeordneter<br />
Objekte, sofern vererbbar, über alle untergeordneten Objekte verbreiten. Das automatische<br />
Flag entspricht dem Aktivieren des Kontrollkästchens Berechtigungen übergeordneter<br />
Objekte, sofern vererbbar, über alle untergeordneten Objekte verbreiten. Dieses Flag lässt die Vererbung<br />
von ACEs in der Zugriffssteuerungsliste an untergeordnete Objekte zu.<br />
Zugriffssteuerungseinträge (ACEs)<br />
Zugriffssteuerungslisten (ACLs) enthalten mindestens einen Zugriffssteuerungseintrag (Access<br />
Control Entry, ACE). Windows unterteilt Zugriffssteuerungseinträge in zwei Typen: Zulassen und<br />
Verweigern. Jeder ACE-Typ weist einen Untertyp object und nonobject-Untertypen auf. Die<br />
Zugriffssteuerungseinträge Zulassen und Verweigern geben die Zugriffsebene an, die das Autorisierungssubsystem<br />
basierend auf dem vom Sicherheitsprinzipal angeforderten Recht zuweist. Objekt-<br />
ACEs sind ausschließlich für Objekte in den AD DS bestimmt, da sie zusätzliche Felder für die<br />
Objektvererbung bieten. Windows verwendet Nicht-Objekt-ACEs für die meisten verbleibenden<br />
Ressourcen, z.B. für Dateisystem- und Registrierungsressourcen. Nicht-Objekt-ACEs ermöglichen<br />
eine Containervererbung – hierbei erbt ein Objekt in einem Container den ACE des Containers.<br />
Dies ähnelt der Dateiberechtigungsvererbung von übergeordneten Ordnern. Jeder ACE-Typ verfügt<br />
über ein Feld für die Rechte und ein Feld für den Vertrauensnehmer. Das Feld für die Rechte<br />
besteht üblicherweise aus einer vordefinierten Zahl, die für eine spezifische Aktion steht, die ein<br />
Sicherheitsprinzipal anfordern kann. Ein Beispiel für ein solches Recht wäre eine Benutzeranforderung<br />
zum Lesen oder Schreiben einer Datei. In diesem Beispiel handelt es sich um zwei separate<br />
Rechte Lesen und Schreiben. Das Feld für den Vertrauensnehmer gibt eine Sicherheitskennung an,<br />
der das spezifische Recht gewährt oder verweigert wurde. Ein Beispiel für einen Vertrauensnehmer<br />
wäre ein Benutzer oder eine Gruppe, dem die im Feld für die Rechte angegebene Aktion gewährt<br />
oder verweigert wurde.<br />
Mike Stephens<br />
Microsoft-Supportmitarbeiter<br />
Zugriffstoken<br />
Der Verbindungspunkt zwischen der Sicherheitskennung und der ACL eines Sicherheitsprinzipals ist<br />
das Zugriffstoken. Wenn Windows den Benutzer unter Verwendung von Kerberos authentifiziert, wird<br />
dem Benutzer während der Anmeldung ein Zugriffstoken auf dem lokalen Computer zugewiesen.<br />
Dieses Token enthält die primäre Sicherheitskennung des Benutzers, die Sicherheitskennungen für<br />
alle Gruppen, denen der Benutzer angehört, sowie die Berechtigungen und Rechte des Benutzers.<br />
Hinweis Das Zugriffstoken kann auch zusätzliche Sicherheitskennungen im SIDHistory-Attribut aufweisen.<br />
Diese Sicherheitskennungen können aufgefüllt werden, wenn Sie Benutzerkonten von einer Domäne in<br />
eine andere verschieben. Eine eingehende Erörterung des SIDHistory-Attributs finden Sie in Kapitel 7, „Migrieren<br />
auf die <strong>Active</strong> <strong>Directory</strong>-Domänendienste“.
274 Kapitel 8: <strong>Active</strong> <strong>Directory</strong>-Domänendienstsicherheit<br />
Das Zugriffstoken wird immer dann vom Sicherheitssubsystem eingesetzt, wenn ein Benutzer versucht,<br />
auf eine Ressource zuzugreifen. Wenn der Benutzer versucht, auf eine lokale Ressource zuzugreifen,<br />
legt die Clientarbeitsstation das Token jedem Thread und jeder Anwendung vor, der bzw. die<br />
Sicherheitsinformationen anfordert, bevor der Zugriff auf eine Ressource gewährt wird. Das Zugriffstoken<br />
wird niemals über das Netzwerk an einen anderen Computer übertragen. Stattdessen wird ein<br />
lokales Zugriffstoken auf jedem Server erstellt, auf dem der Benutzer Zugriff auf eine Ressource<br />
anfordert. Wenn ein Benutzer beispielsweise versucht, auf ein Postfach eines Exchange Server 2007-<br />
Servers zuzugreifen, wird auf dem Server ein Zugriffstoken erstellt. In diesem Fall vergleicht das<br />
Sicherheitssubsystem auf dem Exchange Server 2007-Server die Sicherheitskennungen im Zugriffstoken<br />
mit den Berechtigungen, die in der Postfach-ACL gewährt werden. Sofern die der Sicherheitskennung<br />
gewährten Berechtigungen es erlauben, kann der Benutzer das Postfach öffnen.<br />
Authentifizierung<br />
Damit die Sicherheitsprozesse (einschließlich Verwendung von Sicherheitskennungen und ACLs)<br />
funktionieren, muss eine Methode vorhanden sein, die dem Benutzer den Zugriff auf das Netzwerk<br />
ermöglicht. Grundsätzlich müssen Benutzer in der Lage sein, ihre Identität zu belegen, um ein<br />
Zugriffstoken vom Domänencontroller abrufen zu können. Dieser Vorgang wird als Authentifizierung<br />
bezeichnet.<br />
Die Authentifizierung findet während der ersten Clientanmeldung auf einem Computer statt, der Mitglied<br />
einer AD DS-Domäne ist. Die genauen Schritte richten sich nach dem Betriebssystem, an dem<br />
sich der Client anmeldet. Wenn der Benutzer mit einem Windows 2000-, Microsoft Windows XP<br />
Professional- oder Windows Server 2003-Computer arbeitet und die Tastenkombination STRG+<br />
ALT+ENTF eingibt – auch bekannt als Sicherheitsaufruf (Secure Attention Sequence, SAS) –, wechselt<br />
der Winlogon-Dienst auf dem lokalen Computer zum Anmeldebildschirm und lädt die GINA-<br />
DLL (Graphic Identification and Authentication, Dynamic Link Library). Standardmäßig ist dies die<br />
Datei Msgina.dll. Drittanbieter können jedoch alternative GINA-Dateien erstellen (beispielsweise verwendet<br />
der NetWare-Client die Datei Nwgina.dll). Nach der Eingabe von Benutzername und Kennwort<br />
sowie der Auswahl einer Domäne durch den Benutzer übergibt GINA die eingegebenen Anmeldeinformationen<br />
an den Winlogon-Prozess. Der Winlogon-Dienst leitet die Informationen an die<br />
lokale Sicherheitsautorität (Local Security Authority, LSA) weiter.<br />
Windows Vista und Windows Server 2008 machen keinen Gebrauch von der GINA-DLL. In Windows<br />
Vista und Windows Server 2008 wird ein neues Authentifizierungsmodell eingeführt, bei dem<br />
LogonUI und Winlogon direkt miteinander kommunizieren. Wenn Benutzer an einem System mit<br />
diesen Betriebssystemen ihre Anmeldeinformationen eingeben, werden die Anmeldeinformationen<br />
von der LogonUI-Komponente direkt an den Winlogon-Dienst übergeben, der die Informationen<br />
anschließend an die lokale Sicherheitsautorität weiterleitet. Zur Authentifizierung gegenüber anderen<br />
Verzeichnissen kann ein Drittanbieter einen Anmeldeinformationsanbieter erstellen. Dieses in die<br />
LogonUI-Komponente integrierte Modul beschreibt die Benutzeroberfäche, erfasst die Anmeldeinformationen<br />
und übergibt sie an den Winlogon-Dienst. Anmeldeinformationsanbieter arbeiten gegenüber<br />
Winlogon vollständig transparent.<br />
In beiden Fällen wendet die lokale Sicherheitsautorität sofort einen einseitigen Hash auf das<br />
Benutzerkennwort an und löscht das Klartextkennwort, das vom Benutzer eingegeben wurde.<br />
Anschließend ruft die lokale Sicherheitsautorität über die Security Support Provider-Schnittstelle<br />
den geeigneten SSP (Security Support Provider) auf. Windows Server 2008 stellt für die Netzwerkauthentifizierung<br />
zwei primäre SSPs bereit, den Kerberos SSP und den NTLM SSP (NT LAN<br />
Manager).
AD DS-Sicherheitsgrundlagen 275<br />
Wenn Windows 2000-Clients (oder höher) sich an einem Windows Server 2008-Netzwerk anmelden,<br />
wird der Kerberos SSP ausgewählt, und die Informationen werden an den SSP übergeben. Der SSP<br />
kommuniziert anschließend mit dem Domänencontroller, um den Benutzer zu authentifizieren. Der<br />
Kerberos-Authentifizierungsprozess wird an späterer Stelle in diesem Kapitel ausführlich behandelt.<br />
Sofern die Authentifizierung erfolgreich ist, wird der Benutzer authentifiziert und erhält Zugriff auf<br />
das Netzwerk. Wenn sich der Benutzer an einer Domäne angemeldet hat und sich alle vom Benutzer<br />
benötigten Ressourcen in derselben Gesamtstruktur befinden, muss der Benutzer seine Anmeldeinformationen<br />
nur einmal eingeben. Sämtliche Berechtigungen, die dem Benutzer bis zur Abmeldung im<br />
Netzwerk gewährt werden, basieren auf der anfänglichen Authentifizierung. Auch wenn das Benutzerkonto<br />
bei jedem Ressourcenzugriff erneut authentifiziert wird, sofern der Benutzer sich gegenüber<br />
diesem Server noch nicht authentifiziert hat, erfolgt diese Authentifizierung für den Benutzer unbemerkt.<br />
Autorisierung<br />
Die Autorisierung ist der zweite Schritt beim Zugriff auf Netzwerkressourcen, und dieser Schritt<br />
erfolgt nach der Authentifizierung. Während der Authentifizierung stellen Sie Ihre Identität unter<br />
Beweis, indem Sie den richtigen Benutzernamen und das zugehörige Kennwort eingeben. Während<br />
der Autorisierung erhalten Sie Zugriff auf die Ressourcen im Netzwerk. Anders betrachtet wird während<br />
der Authentifizierung ein Zugriffstoken für Sie erstellt. Bei der Autorisierung wird das Zugriffstoken<br />
einem Server vorgelegt und der Zugriff auf eine Ressource angefordert. Sofern die Sicherheitskennungen<br />
im Zugriffstoken mit den Sicherheitskennungen in der DACL übereinstimmen, wird der<br />
Zugriff gemäß Zugriffssteuerungseintrag (ACE) für die Ressource gewährt oder verweigert.<br />
Die Autorisierung, auch Zugriffssteuerung genannt, bezeichnet die Ermittlung der Zugriffsebene, die<br />
für ein <strong>Active</strong> <strong>Directory</strong>- oder Dateisystemobjekt gewährt oder verweigert wird. Nachdem das Schlüsselverteilungscenter<br />
(Key Distribution Center, KDC) die Identität des Benutzers bestätigt hat, generiert<br />
das Sicherheitssystem auf dem authentifizierenden Domänencontroller Autorisierungsdaten.<br />
Diese bestehen aus der primären Sicherheitskennung für den Benutzer sowie den Sicherheitskennungen<br />
für Gruppen, denen der Benutzer angehört. Diese Sicherheitskennungen werden von allen<br />
Ressourcen im Windows-Netzwerk erkannt. Die Autorisierungsdaten werden von dem Computer, der<br />
die Netzwerkressource verwaltet, zum Generieren eines Zugriffstokens verwendet. Das Zugriffstoken<br />
dient der Ermittlung der Zugriffsebene, die dem Benutzer für die Netzwerkressource gewährt wird.<br />
Das Zugriffstoken umfasst folgende Elemente:<br />
• Die Liste der Sicherheitskennungen, die den Benutzer repräsentieren (einschließlich der in<br />
SIDHistory gespeicherten Sicherheitskennungen)<br />
• Alle Gruppen (einschließlich verschachtelter Gruppen), denen der Benutzer angehört<br />
• Die Benutzerprivilegien (auch Benutzerrechte genannt) auf dem lokalen Computer<br />
Allen geschützten Objekten oder Ressourcen wird eine DACL (Discretionary Access Control List)<br />
zugewiesen, in der die Zugriffsrechte von Benutzern und Gruppen für diese Ressource definiert sind.<br />
Der Zugriff auf diese Objekte oder Ressourcen wird durch eine Zugriffsüberprüfung gesteuert, bei<br />
dem das Sicherheitssystem ermittelt, ob der angeforderte Zugriff gewährt oder verweigert werden<br />
sollte. Hierzu werden die Inhalte des Zugriffstokens des Anfordernden überprüft und mit der DACL<br />
der Ressource verglichen.
276 Kapitel 8: <strong>Active</strong> <strong>Directory</strong>-Domänendienstsicherheit<br />
Kerberos-Sicherheit<br />
Bisher wurden die Grundlagen der AD DS-Sicherheit besprochen, ohne auf den tatsächlichen Mechanismus<br />
einzugehen, der die Sicherheit implementiert. Der primäre Mechanismus zur Bereitstellung<br />
der Authentifizierung in den AD DS ist das Kerberos-Protokoll. Dieses Protokoll wurde in den späten<br />
80er Jahren am Massachusetts Institute of Technology (MIT) entwickelt. Die aktuelle Version von<br />
Kerberos ist Version 5 (Kerberos 5), beschrieben in RFC 1510, „The Kerberos Network Authentication<br />
Service (V5)“. Die Windows Server 2008-Implementierung von Kerberos ist vollständig kompatibel<br />
mit RFC-1510 und weist einige Erweiterungen für die Authentifizierung mit öffentlichen Schlüsseln<br />
auf.<br />
Kerberos ist das standardmäßige Authentifizierungsprotokoll für Windows 2000 und Windows Server<br />
2003 <strong>Active</strong> <strong>Directory</strong> sowie für Windows Server 2008 AD DS. Wann immer ein Windows 2000-<br />
Client (oder ein Client mit einer höheren Windows-Version) sich gegenüber <strong>Active</strong> <strong>Directory</strong> oder<br />
den AD DS authentifiziert, versucht der Client Kerberos zu verwenden. Das zweite Protokoll, das zur<br />
Authentifizierung gegenüber den AD DS verwendet werden kann, ist NTLM. Dieses Protokoll wird<br />
jedoch hauptsächlich zur Bereitstellung von Abwärtskompatibilität mit älteren Clients verwendet.<br />
Kerberos hat gegenüber NTLM zahlreiche Vorteile:<br />
• Gegenseitige Authentifizierung Mit NTLM erfolgt die Authentifizierung einseitig, d.h. der Server<br />
authentifiziert den Client. Bei Verwendung von Kerberos kann der Client auch den Server authentifizieren.<br />
Auf diese Weise wird sichergestellt, dass der auf die Anforderung antwortende Server<br />
der richtige Server ist.<br />
• Effizienterer Zugriff auf Ressourcen Wenn ein Benutzer versucht, auf eine Netzwerkressource in<br />
einem NTLM-basierten Netzwerk (z.B. Microsoft Windows NT 4) zuzugreifen, muss der Server,<br />
auf dem sich die Ressource befindet, einen Domänencontroller kontaktieren, um die Zugriffsberechtigungen<br />
des Benutzers zu überprüfen. In einem Kerberos-basierten Netzwerk stellt der<br />
Client eine Verbindung zum Domänencontroller her und ruft ein Dienstticket zur Verbindungsherstellung<br />
mit dem Ressourcenserver ab. Dies bedeutet, dass der Ressourcenserver keine Verbindung<br />
zum Domänencontroller herstellen muss.<br />
• Verbesserte Verwaltung von Vertrauensstellungen NTLM-Vertrauensstellungen sind stets unidirektional,<br />
nicht transitiv und werden manuell konfiguriert. Kerberos-Vertrauensstellungen sind transitiv,<br />
bidirektional und werden automatisch konfiguriert und zwischen allen Domänen in einer<br />
Gesamtstruktur verwaltet. Zusätzlich können Kerberos-Vertrauensstellungen zwischen Gesamtstrukturen<br />
und zwischen Windows Server 2008-Kerberos-Domänen und anderen Kerberos-Implementierungen<br />
konfiguriert werden.<br />
• Delegierte Authentifizierung Wenn ein Client unter Verwendung der NTLM-Authentifizierung eine<br />
Verbindung mit einem Server herstellt, kann der Server die Clientanmeldeinformationen nur für<br />
den Zugriff auf Ressourcen des lokalen Servers verwenden. Mit der Kerberos-Authentifizierung<br />
kann der Server die Clientanmeldeinformationen für den Zugriff auf die Ressourcen eines anderen<br />
Servers nutzen.<br />
Hinweis Windows Server 2008 unterstützt darüber hinaus auch die Authentifizierung über SSL/TLS<br />
(Secure Sockets Layer/Transport Layer Security), die Digest- und die Passport-Authentifizierung. Da diese<br />
Authentifizierungsdienste jedoch hauptsächlich in einer Internetumgebung für die Authentifizierung gegenüber<br />
Microsoft IIS 7.0 (Internet Information Services, Internetinformationsdienste) zum Einsatz kommen,<br />
werden diese Authentifizierungsoptionen hier nicht besprochen.
Einführung in Kerberos<br />
Kerberos-Sicherheit 277<br />
Ein Kerberos-basiertes System umfasst drei Komponenten. Die erste Komponente ist der Client, der<br />
Zugriff auf Netzwerkressourcen benötigt. Die zweite Komponente ist der Server, der die Netzwerkressourcen<br />
verwaltet und sicherstellt, dass nur ordnungsgemäß authentifizierte und autorisierte Benutzer<br />
Zugriff auf die Ressource erhalten. Die dritte Komponente ist ein Schlüsselverteilungscenter (Key<br />
Distribution Center, KDC), das als zentraler Ort für die Speicherung von Benutzerinformationen und<br />
als zentraler Dienst für die Benutzerauthentifizierung dient.<br />
Das Kerberos-Protokoll definiert, wie diese drei Komponenten interagieren. Diese Interaktion basiert<br />
auf zwei Hauptgrundsätzen. Zunächst wird beim Kerberos-Modell davon ausgegangen, dass der<br />
Authentifizierungsdatenverkehr zwischen einer Arbeitsstation und einem Server über ein unsicheres<br />
Netzwerk erfolgt. Dies bedeutet, dass vertrauliche Anmeldeinformationen niemals als Klartext über<br />
das Netzwerk gesendet werden. Ein praktisches Beispiel hierfür ist, dass das Benutzerkennwort niemals<br />
über das Netzwerk gesendet wird, auch nicht in verschlüsselter Form. Der zweite Grundsatz<br />
besagt, dass die Verwendung von Kerberos basierend auf einem Authentifizierungsmodell mit einem<br />
gemeinsamen geheimen Schlüssel erfolgt. In einem Authentifizierungsmodell mit gemeinsamem<br />
geheimem Schlüssel verwenden der Client und der authentifizierende Server gemeinsam einen<br />
geheimen Schlüssel, der niemandem sonst bekannt ist. In den meisten Fällen, in denen sich Benutzer<br />
gegenüber dem Netzwerk authentifizieren, handelt es sich bei dem gemeinsamen geheimen Schlüssel<br />
um das Benutzerkennwort. Wenn der Benutzer sich an einem über Kerberos geschützten Netzwerk<br />
anmeldet, wird ein Hash des Benutzerkennworts zum Verschlüsseln eines Informationspakets verwendet.<br />
Sobald das Schlüsselverteilungscenter das Paket erhält, entschlüsselt es die Informationen mit<br />
dem in den AD DS gespeicherten Benutzerkennworthash. Ist die Entschlüsselung erfolgreich, weiß<br />
der authentifizierende Server, dass der Benutzer den gemeinsamen geheimen Schlüssel kennt, und der<br />
Zugriff wird gewährt.<br />
Hinweis Wenn sich der Benutzer anmeldet, gibt er bzw. sie üblicherweise ein Kennwort ein. Der Domänencontroller<br />
prüft, ob das Kennwort korrekt ist. Da die Verwendung von Kerberos jedoch in der Annahme<br />
erfolgt, das Netzwerk sei unsicher, wird diese Prüfung durchgeführt, ohne dass das Kennwort über das Netzwerk<br />
gesendet wird.<br />
Eines der Probleme bei einem Authentifizierungsmodell mit gemeinsamem geheimem Schlüssel<br />
besteht darin, dass der Benutzer und der Server, der die Netzwerkressource verwaltet, über eine<br />
Methode zur gemeinsamen Verwendung des geheimen Schlüssels verfügen müssen. Wenn ein Benutzer<br />
versucht, Zugriff auf eine Ressource eines Servers zu erlangen, kann ein Benutzerkonto mit einem<br />
Kennwort auf dem Server erstellt werden, das nur der Benutzer kennt. Wenn der Benutzer versucht,<br />
auf die Ressourcen des Servers zuzugreifen, kann der Benutzer den gemeinsamen geheimen Schlüssel<br />
(das Kennwort) vorlegen und erhält Zugriff auf die Ressource. In einer Unternehmensumgebung<br />
jedoch können Tausende von Benutzern und Hunderte von Servern vorliegen. Die Verwaltung individueller<br />
gemeinsamer geheimer Schlüssel für sämtliche dieser Benutzer wäre praktisch unmöglich.<br />
Kerberos umgeht dieses Problem durch die Verwendung eines Schlüsselverteilungscenters (Key Distribution<br />
Center, KDC). Das Schlüsselverteilungscenter wird als Dienst auf einem Domänencontroller<br />
im Netzwerk ausgeführt und verwaltet die gemeinsamen geheimen Schlüssel für alle Benutzer im<br />
Netzwerk. Das Schlüsselverteilungscenter verfügt über eine zentrale Datenbank aller Benutzerkonten<br />
im Netzwerk und speichert den gemeinsamen geheimen Schlüssel für jeden Benutzer (in Form<br />
eines unidirektionalen Hashwerts des Benutzerkennworts).
278 Kapitel 8: <strong>Active</strong> <strong>Directory</strong>-Domänendienstsicherheit<br />
In einer AD DS-Umgebung werden diese gemeinsamen geheimen Schlüssel im AD DS-Datenspeicher<br />
abgelegt. Wenn ein Benutzer Zugriff auf das Netzwerk und auf Ressourcen im Netzwerk benötigt,<br />
bestätigt das Schlüsselverteilungscenter, dass der Benutzer den gemeinsamen geheimen Schlüssel<br />
kennt und authentifiziert den Benutzer. Das Schlüsselverteilungscenter speichert darüber hinaus auch<br />
gemeinsame geheime Schlüssel für Computer, die Mitglieder der AD DS-Domäne sind. Diese Schlüssel<br />
werden zur Authentifizierung von Computern verwendet, die für den Zugriff auf Netzwerkressourcen<br />
eingesetzt werden.<br />
Hinweis In der Kerberos-Terminologie ist dieser zentrale Server zur Verwaltung des Benutzerkontos ein<br />
Schlüsselverteilungscenter (Key Distribution Center, KDC), wie zuvor besprochen. In der Windows Server<br />
2008-Implementierung von Kerberos wird dieser Server als Domänencontroller bezeichnet. Jeder AD DS-<br />
Domänencontroller, schreibgeschützte Domänencontroller eingeschlossen, ist ein Schlüsselverteilungscenter.<br />
In Kerberos wird die Grenze, die durch die Benutzerdatenbank für ein Schlüsselverteilungscenter definiert<br />
ist, als Bereich bezeichnet. In der Windows Server 2008-Terminologie wird diese Grenze Domäne<br />
genannt.<br />
Jedes Schlüsselverteilungscenter (ausgeführt als Kerberos-Schlüsselverteilungscenter-Dienst in<br />
Windows Server 2008) umfasst zwei getrennte Dienste: den Authentifizierungsdienst (AS) und den<br />
Ticketerteilungsdienst (Ticket Granting Service, TGS). Der Authentifizierungsdienst ist für die<br />
anfängliche Clientanmeldung verantwortlich und gibt ein TGT an den Client aus (Ticket-Granting<br />
Ticket). Der Ticketerteilungsdienst (TGS) ist für alle Diensttickets verantwortlich, mit denen auf Ressourcen<br />
im Windows Server 2008-Netzwerk zugegriffen wird.<br />
Das Schlüsselverteilungscenter speichert die Kontodatenbank für die Kerberos-Authentifizierung. In<br />
der Windows Server 2008-Implementierung von Kerberos wird die Datenbank durch den Verzeichnissystem-Agenten<br />
(<strong>Directory</strong> System Agent, DSA) verwaltet, der innerhalb des LSA-Prozesses auf<br />
jedem Domänencontroller ausgeführt wird. Clients und Anwendungen erhalten niemals direkten<br />
Zugriff auf die Kontodatenbank; alle Anforderungen müssen über den Verzeichnissystem-Agenten<br />
und unter Verwendung einer der AD DS-Schnittstellen erfolgen. Jedes Objekt innerhalb der Kontodatenbank<br />
(tatsächlich jedes Attribut für jedes Objekt) wird durch eine Zugriffssteuerungliste (Access<br />
Control List, ACL) geschützt. Der Verzeichnissystem-Agent stellt sicher, dass Zugriffsversuche auf<br />
die Kontodatenbank ordnungsgemäß autorisiert werden.<br />
Hinweis Wenn die AD DS auf dem ersten Domänencontroller in der Domäne installiert werden, wird ein<br />
spezielles Konto namens krbtgt in der Domäne erstellt. Das Konto kann weder gelöscht noch umbenannt<br />
werden und sollte niemals aktiviert oder aus dem Container Users verschoben werden. Dem Konto wird bei<br />
der Erstellung ein Kennwort zugewiesen, und das Kennwort wird automatisch in regelmäßigen Abständen<br />
geändert. Dieses Kennwort wird verwendet, um einen geheimen Schlüssel zu erstellen, der zum Verschlüsseln<br />
und Entschlüsseln der TGTs eingesetzt wird, die von allen Domänencontrollern (Schlüsselverteilungscentern)<br />
in der Domäne ausgegeben werden. Für jeden schreibgeschützten Domänencontroller wird ein<br />
eindeutiges krbtgt-Konto angelegt, wenn der Computer heraufgestuft wird. Auf diese Weise wird eine kryptografische<br />
Isolierung zwischen den Schlüsselverteilungscentern in unterschiedlichen Teilstrukturen erreicht,<br />
und es wird verhindert, dass ein gefährdeter schreibgeschützter Domänencontroller (Read-Only Domain<br />
Controller, RODC) Diensttickets and Ressourcen in anderen Teilstrukturen oder einem Hubstandort ausgibt.
Kerberos-Authentifizierung<br />
Kerberos-Sicherheit 279<br />
Die Kerberos-Authentifizierung beginnt, wenn der Kerberos-Sicherheitsanbieter durch die lokale<br />
Sicherheitsautorität auf einer Windows Vista-Arbeitsstation oder einem Windows Server 2008-Computer<br />
aufgerufen wird. Wenn ein Benutzer sich durch Eingabe eines Benutzernamens und Kennworts<br />
anmeldet, wendet der Clientcomputer einen einseitigen Hash auf das Benutzerkennwort an, um einen<br />
geheimen Schlüssel zu erzeugen. Dieser wird anschließend in einem sicheren Speicherbereich auf der<br />
Arbeitsstation zwischengespeichert. Bei Verwendung eines einseitigen Hashwerts kann das Kennwort<br />
nicht aus dem Hash abgeleitet werden. Der Hashwert ist außerdem konsistent – wenn ein Hash<br />
auf dasselbe Kennwort angewendet wird, ist das Ergebnis immer gleich.<br />
Hinweis Dieser Vorgang gilt auch für Computer unter Windows 2000 Professional oder höheren Clientbetriebssystemen,<br />
sowie für Windows 2000 Server oder höhere Serverbetriebssysteme.<br />
Zur Durchführung einer Clientanmeldung werden auf den Client- und Serversystemen die folgenden<br />
Schritte ausgeführt:<br />
1. Der Kerberos-SSP auf der Arbeitsstation sendet eine Authentifizierungsmeldung an das Schlüsselverteilungscenter.<br />
(Siehe Abbildung 8.1.) Die Meldung hat folgenden Inhalt:<br />
Benutzername<br />
Benutzerbereich (Domänenname)<br />
Anforderung für ein TGT<br />
Vorauthentifizierungsdaten, z.B. einen Zeitstempel und mögliche weitere Daten<br />
Die Vorauthentifizierungsdaten werden mithilfe des geheimen Schlüssels verschlüsselt, der aus<br />
dem Benutzerkennwort abgeleitet wurde.<br />
2. Sobald die Meldung beim Schlüsselverteilungscenter eintrifft, untersucht der Server den Benutzernamen<br />
und prüft die Verzeichnisdatenbank auf seine Kopie des geheimen Schlüssels, der mit<br />
dem Benutzerkonto verknüpft ist. Der Server entschlüsselt die verschlüsselten Daten in der Meldung<br />
mit dem geheimen Schlüssel und prüft den Zeitstempel. Wenn die Entschlüsselung erfolgreich<br />
durchgeführt und der Zeitstempel innerhalb von fünf Minuten zur aktuellen Serverzeit<br />
registriert wurde, bereitet der Server die Authentifizierung des Benutzers vor. Schlägt die Entschlüsselung<br />
fehl, muss der Benutzer das falsche Kennwort eingegeben haben, und die Authentifizierung<br />
ist nicht erfolgreich. Wenn der Zeitstempel mehr als fünf Minuten von der aktuellen<br />
Serverzeit liegt, schlägt die Authentifizierung ebenfalls fehl. Das kurze Zeitfenster soll verhindern,<br />
dass jemand die Authentifizierungspakete sammelt und sie zu einem späteren Zeitpunkt wieder<br />
abspielt. Der standardmäßige maximal zulässige Zeitunterschied von fünf Minuten kann in den<br />
Domänensicherheitsrichtlinien konfiguriert werden.<br />
3. Nach der Authentifizierung des Benutzers sendet der Server eine Nachricht an den Client, die<br />
einen TGS-Sitzungsschlüssel (Ticket Granting Service, Ticketerteilungsdienst) und ein TGT enthält.<br />
(Siehe Abbildung 8.1.) Bei dem Sitzungsschlüssel handelt es sich um einen Verschlüsselungsschlüssel,<br />
der zur Interaktion mit dem Schlüsselverteilungscenter (KDC) eingesetzt wird,<br />
anstatt den geheimen Schlüssel des Clients zu verwenden. Das TGT erteilt dem Benutzer Zugriff<br />
auf den TGS. Für die Lebensdauer des TGT zeigt der Client dem TGS das TGT vor, wann immer<br />
der Client auf Ressourcen im Netzwerk zugreifen muss.
280 Kapitel 8: <strong>Active</strong> <strong>Directory</strong>-Domänendienstsicherheit<br />
Alle Zugriffstoken für den Prinzipal (einschließlich der Benutzer-SID und der Sicherheitsgruppen-<br />
SIDs) sind ebenfalls im TGT enthalten. Diese Informationen sind als PAC (Privilege Attribute<br />
Certificate) bekannt. Der TGS-Sitzungsschlüssel wird anhand des geheimen Schlüssels des Benutzers<br />
verschlüsselt. Zusätzlich wird das TGT mit dem langfristigen geheimen Schlüssel des KDC<br />
(KRBRGT) verschlüsselt.<br />
Benutzername<br />
Bereichsname<br />
TGT-Anforderung<br />
Präauthentifizierungsdaten<br />
(verschlüsselt mit geheimem Benutzerschlüssel)<br />
1<br />
Domänencontroller<br />
4<br />
Extrahiert TGS-Sitzungsschlüssel<br />
Fügt das Sitzungsticket in<br />
den Zwischenspeicher ein<br />
Löscht geheimen Schlüssel<br />
Arbeitsstation<br />
2<br />
KDC<br />
Überprüft Benutzername<br />
Extrahiert geheimen Schlüssel<br />
Entschlüsselt Präauthentifizierungsdaten<br />
Überprüft Zeitstempel<br />
3<br />
Ticketinformationen<br />
TGT-Sitzungsschlüssel<br />
Benutzeranmeldeinformationen<br />
Abbildung 8.1<br />
Abrufen eines Kerberos-TGT<br />
4. Wenn das Paket beim Clientcomputer ankommt, wird der geheime Schlüssel des Benutzers zum<br />
Entschlüsseln des TGS-Sitzungsschlüssels verwendet. Verläuft die Entschlüsselung erfolgreich<br />
und ist der Zeitstempel gültig, geht der Computer des Benutzers davon aus, dass das KDC authentisch<br />
ist, weil ihm der geheime Schlüssel des Benutzers bekannt war. Der TGS-Sitzungsschlüssel<br />
wird anschließend auf dem lokalen Computer zwischengespeichert, bis er abläuft oder bis der<br />
Benutzer sich von der Arbeitsstation abmeldet. Dieser TGS-Sitzungsschlüssel wird zum Verschlüsseln<br />
aller zukünftigen Verbindungen mit dem KDC verwendet. Das bedeutet, dass der<br />
Client sich den geheimen Schlüssel nicht länger merken muss und dass dieser aus dem Cache der<br />
Arbeitsstation gelöscht wird. Das TGT wird in verschlüsselter Form im Cache der Arbeitsstation<br />
gespeichert.<br />
Hinweis Das Kerberos-Protokoll umfasst den Authentication Service (AS) Exchange, das Unterprotokoll,<br />
das zum Durchführen der anfänglichen Authentifizierung des Benutzers verwendet wird. Der oben<br />
beschriebene Vorgang verwendet das AS Exchange-Unterprotokoll. Die anfängliche Nachricht, die vom<br />
Client an das KDC gesendet wurde, wird als KRB_AS_REQ-Nachricht bezeichnet. Die Serverantwort an<br />
den Client wird als KRB_AS_REP-Nachricht bezeichnet.
Kerberos-Sicherheit 281<br />
5. An dieser Stelle ist der Benutzer authentifiziert, besitzt jedoch noch keinen Zugriff auf Ressourcen<br />
im Netzwerk. Das TGT erteilt dem Ticketerteilungsdienst Zugriff; um jedoch Zugriff auf<br />
andere Ressourcen im Netzwerk zu erhalten, muss der Benutzer ein Dienstticket vom TGS beziehen.<br />
(Siehe Abbildung 8.2.) Die Clientarbeitsstation sendet eine Dienstticketanforderung an den<br />
TGS. Die Anforderung enthält den Namen des Zielcomputers, die Domäne des Zielcomputers,<br />
das während der Authentifizierung erteilte TGT, den SPN (Service Principal Name), auf den der<br />
Benutzerprinzipal zugreifen möchte, und einen Zeitstempel, der anhand des während des AS<br />
Exchange-Vorgangs bezogenen TGS-Sitzungsschlüssels verschlüsselt wurde.<br />
8<br />
Fügt das Sitzungsticket in den<br />
Zwischenspeicher ein<br />
Arbeitsstation<br />
Netzwerkdienst<br />
5 Name des Zielcomputers<br />
Domäne des Zielcomputers<br />
TGT (weiterhin mit dem<br />
dauerhaften Schlüssel des KDCs)<br />
Der SPN, auf den der<br />
UPN zugreifen möchte<br />
Zeitstempel<br />
7<br />
Das Sitzungsticket umfasst<br />
folgende Komponenten:<br />
Sitzungsticket für Client<br />
(verschlüsselt<br />
mit Clientsitzungsschlüssel)<br />
Sitzungsticket für<br />
Netzwerkdienst (verschlüsselt<br />
mit dauerhaftem<br />
Netzwerkdienstschlüssel)<br />
Domänencontroller<br />
6 KDC entschlüsselt TGT<br />
mit seinem dauerhaften<br />
Schlüssel<br />
Extrahiert den Sitzungsschlüssel<br />
Entschlüsselt den Zeitstempel<br />
Bereitet das Sitzungsticket für<br />
den Netzwerkdienst vor<br />
Abbildung 8.2<br />
Anfordern eines Kerberos-Sitzungstickets für eine Netzwerkressource<br />
6. Das KDC entschlüsselt das TGT anhand des langfristigen Schlüssels. Anschließend extrahiert es<br />
den TGS-Sitzungsschlüssel aus dem TGT und entschlüsselt den Zeitstempel, um sicherzustellen,<br />
dass der Client den korrekten Sitzungsschlüssel verwendet und dass der Zeitstempel noch immer<br />
gültig ist. Wenn der Sitzungsschlüssel und der Zeitstempel zulässig sind, führt das KDC anschließend<br />
eine LDAP-Abfrage durch, um das Konto zu finden, für das der Dienstprinzipal registriert<br />
ist. Danach bereitet es ein Dienstticket für den angeforderten Dienst vor.<br />
7. Die Antwort enthält zwei Kopien eines Dienstsitzungsschlüssels. Die erste Kopie des Dienstsitzungsschlüssels<br />
wird über den TGS-Sitzungsschlüssel verschlüsselt, den der Client während der<br />
ersten Anmeldung erhalten hat. Die zweite Kopie des Dienstsitzungsschlüssels ist für den Dienstprinzipal<br />
bestimmt, der den angeforderten Dienst hostet und die Zugriffsinformationen des<br />
Benutzers enthält – ein Dienstticket. Das Dienstticket wird über den geheimen Schlüssel des<br />
Dienstprinzipals verschlüsselt, der den Netzwerkdienst hostet. Dieser Schlüssel ist der Clientarbeitsstation<br />
unbekannt, jedoch sowohl dem KDC als auch dem Dienstprinzipal bekannt, da der<br />
Dienstprinzipal sich im KDC-Bereich oder in einem vertrauten Kerberos-Bereich befindet.
282 Kapitel 8: <strong>Active</strong> <strong>Directory</strong>-Domänendienstsicherheit<br />
8. Die Clientarbeitsstation speichert beide Teile des Sitzungstickets im Arbeitsspeicher zwischen.<br />
Hinweis Der in den Schritten 5 bis 8 beschriebene Vorgang verwendet das TGS Exchange-Unterprotokoll.<br />
Die vom Client gesendete Sitzungsticketanforderung wird als KRB_TGS_REQ-Nachricht bezeichnet;<br />
die Serverantwort ist eine KRB_TGS_REP-Nachricht.<br />
9. Der Client legt das Dienstticket jetzt dem Netzwerkdienst vor, um Zugriff zu erhalten. (Siehe<br />
Abbildung 8.3.)<br />
9<br />
Sitzungsticket<br />
wird an den<br />
Netzwerkdienst<br />
gesendet<br />
Arbeitsstation Netzwerkdienst<br />
10 Entschlüsselt den<br />
Sitzungsschlüssel<br />
des Netzwerkdiensts<br />
Überprüft das Benutzerzugriffstoken<br />
Gewährt Zugriff auf Arbeitsstation<br />
Abbildung 8.3<br />
Zugreifen auf den Netzwerkdienst<br />
10. Der Netzwerkdienst verschlüsselt das Dienstticket über seinen geheimen Schlüssel. Mithilfe des<br />
Dienstsitzungsschlüssels entschlüsselt der Dienst anschließend den in der Anforderung enthaltenen<br />
Zeitstempel. Wenn beide Entschlüsselungen erfolgreich verlaufen und der Zeitstempel<br />
innerhalb von fünf Minuten der Uhrzeit des Hostcomputers liegt, vertraut der Dienst darauf,<br />
dass das Ticket vom KDC ausgestellt wurde. Der Netzwerkdienst stellt anschließend fest, ob der<br />
Client eine gegenseitige Authentifizierung angefordert hat. Wenn der Client eine gegenseitige<br />
Authentifizierung anfordert, verschlüsselt der Dienst denselben Zeitstempel, den er in der Anforderung<br />
erhalten hat, mithilfe des Dienstsitzungsschlüssels und antwortet dem Client.<br />
Der Dienst sendet eine Antwort zurück an den Client, wenn der Client eine gegenseitige Authentifizierung<br />
anfordert. In diesem Fall entschlüsselt der Client den Zeitstempel anhand des Dienstsitzungsschlüssels.<br />
Dann vergleicht der Client den erhaltenen Zeitstempel in der Antwort mit dem<br />
Zeitstempel, den er in der ursprünglichen Anforderung gesendet hat. Wenn die Zeitstempel übereinstimmen,<br />
vertraut der Client dem Dienst.<br />
Nach Abschluss der Kerberos-Authentifizierung leitet der Dienstprinzipal, der den angeforderten<br />
Dienst hostet, das Dienstticket an die LSA. Die LSA entschlüsselt daraufhin das Dienstticket und<br />
extrahiert die Autorisierungsdaten. Die Autorisierungsdaten enthalten die Benutzer-SID und die<br />
SIDs von Gruppen, denen der Benutzer angehört. Die LSA verwendet diese Daten für die Erstellung<br />
eines Zugriffstokens. Die Autorisierungsdaten werden als Privilege Attribute Certificate oder<br />
PAC bezeichnet.<br />
Hinweis Der in den Schritten 9 bis 10 beschriebene Vorgang verwendet das Client-/Server-Exchange-<br />
Unterprotokoll (CS). Die Clientanforderung wird als KRB_AP_REQ-Nachricht bezeichnet.
Kerberos-Sicherheit 283<br />
Praxistipp: Dienstprinzipalnamen<br />
Sie können Dienstprinzipalnamen (Service Principal Names, SPN) Benutzer- oder Computerkonten<br />
zuweisen. Dienstprinzipalnamen werden in einem <strong>Active</strong> <strong>Directory</strong>-Mehrwertattribut des<br />
Benutzer- oder Computerkontos gespeichert. Auf diese Weise kann jeder Benutzer oder Computer<br />
mehrere SPNs besitzen. SPNs müssen in der gesamten <strong>Active</strong> <strong>Directory</strong>-Gesamtstruktur eindeutig<br />
sein.<br />
Im Folgenden sehen Sie ein Beispiel für ein Attribut eines Dienstprinzipalnamens für ein <strong>Active</strong><br />
<strong>Directory</strong>-Objekt:<br />
Host /DC1<br />
Host/DC1.contoso.com<br />
Dieser Beispiel-SPN wird folgendermaßen gelesen: der Dienstname Host auf dem Sicherheitsprinzipal<br />
DC1. Der nächste Dienstprinzipalname beschreibt denselben Dienst, verwendet jedoch einen<br />
anderen Sicherheitsprinzipal: DC1.contoso.com. Die Kerberos-Authentifizierung basiert auf<br />
Namen. Wenn Ihre Clients sich sowohl über NetBIOS- als auch über FQDN-Namen verbinden,<br />
möchten Sie sicherstellen, dass Sie den angeforderten Dienst, wie im Beispiel gezeigt, unter beiden<br />
Namen registrieren.<br />
Im Folgenden sehen Sie ein Beispiel für einen Dienstprinzipalnamen für ein Benutzerkonto, unter<br />
dem der SQL-Dienst ausgeführt wird. Windows startet den SQL-Dienst mithilfe eines Domänenbenutzerkontos<br />
(auch als Dienstkonto bezeichnet). Sie müssen den SQL-Dienstprinzipalnamen auf<br />
dem Benutzerkonto registrieren, da dies das Konto ist, an das Sie die Authentifizierung delegieren.<br />
Ein gängiger Konfigurationsfehler besteht darin, den SPN auf dem Computerkonto zu registrieren,<br />
das den SQL-Dienst hostet.<br />
MSSQLSvc/sqlsrvr.contoso.com:1433<br />
MSSQLSvc/sqlsrvr:1433<br />
Kerberos-fähige Dienste verwenden eine vorkonfigurierte Dienstkennung in ihrem SPN. In<br />
diesem Beispiel verwendet der Microsoft SQL-Dienst MSSQLSvc. Dieser Dienstprinzipalname<br />
wird folgendermaßen gelesen: Der Microsoft SQL-Dienst (MSSQLSvc) wird auf dem Computer<br />
sqlsrvr.contoso.com gehostet, und diese Instanz von SQL hört Port 1433 ab. Wieder berücksichtigen<br />
wir sowohl den FQDN- als auch den NetBIOS-Namen für den Server, um sicherzustellen, dass<br />
die Authentifizierung mit beiden Namen funktioniert. Denken Sie daran, dass der Dienstprinzipalname<br />
in der <strong>Active</strong> <strong>Directory</strong>-Gesamtstruktur eindeutig sein muss.<br />
Microsoft bietet mehrere Dienstprogramme, mit deren Hilfe Sie Dienstprinzipalnamen anzeigen<br />
können. Zu diesen Dienstprogrammen gehören LDP, LDIFDE, ADSIEdit und SETSPN.<br />
Robert Greene<br />
Microsoft Support Escalation Engineer<br />
Wenn die Authentifizierung und die Autorisierung erfolgreich durchgeführt werden, erhält der Client<br />
Zugriff auf die Serverressourcen. Wenn der Client dieselbe Ressource oder denselben Dienst anschließend<br />
noch einmal verwendet, wird das Sitzungsticket aus dem Ticketzwischenspeicher bezogen und<br />
erneut an den Zielressourcenserver ausgestellt. Ist das Sitzungsticket abgelaufen, muss der Client sich<br />
erneut an das KDC wenden, um ein neues Ticket zu erhalten.
284 Kapitel 8: <strong>Active</strong> <strong>Directory</strong>-Domänendienstsicherheit<br />
Hinweis Der Inhalt des Clientzwischenspeichers kann mithilfe von zwei Tools angezeigt werden.<br />
KList.exe, welches auf Computern unter Windows Server 2008 installiert wird, bietet eine Befehlszeilenschnittstelle<br />
zum Anzeigen und Löschen der Kerberos-Tickets. Das Kerberos Tray-Tool (Kerbtray.exe) bietet<br />
eine grafische Benutzeroberfläche zum Anzeigen der Tickets. Abbildung 8.4 zeigt ein Beispiel für die vom<br />
Kerberos Tray-Tool bereitgestellten Informationen. Das Kerberos Tray-Tool steht als Bestandteil der Windows<br />
Server 2003 Resource Kit Tools zur Verfügung, die unter https://www.microsoft.com/downloads/<br />
details.aspx?FamilyID=9d467a69-57ff-4ae7-96ee-b18c4790cffd&displaylang=en heruntergeladen werden<br />
können<br />
Abbildung 8.4<br />
Anzeigen von Kerberos-Tickets über das Kerberos Tray-Tool<br />
So funktioniert es: Kerberos-Ticketflags<br />
Ticketflags werden innerhalb aller Tickets konfiguriert und identifizieren den Zweck und/oder die<br />
Einschränkungen des Tickets. Sie können diese Flags anzeigen, wenn Sie das Dienstprogramm<br />
Kerberos Tray verwenden. Kerberos-Tickets nutzen die folgenden Ticketflags:<br />
• Weiterleitbar Nur gültig für ein TGT. Weist den Ticketerteilungsdienst an, dass er ein neues<br />
TGT mit einer anderen Netzwerkadresse basierend auf dem vorgelegten TGT ausstellen kann.<br />
Ein weiterleitbares Ticket kann in der Kerberos-Delegierung verwendet werden.<br />
• Weitergeleitet Zeigt an, dass das TGT weitergeleitet wurde oder dass ein Ticket von einem<br />
weiterleitbaren TGT ausgegeben wurde. Die Anwendung der mittleren Schicht in der Kerberos-<br />
Delegierung sollte diesen Tickettyp besitzen.<br />
• Übertragbar Ein übertragbares Ticket ist ein Ticket (in der Regel nur ein TGT), das Ihnen das<br />
Abrufen eines Tickets für einen Dienst mit anderen IP-Adressen als den im TGT enthaltenen<br />
ermöglicht. Dies unterscheidet sich von einem weiterleitbaren Ticket insofern als dass Sie ein<br />
neues TGT nicht von Ihrem aktuellen TGT übertragen können; Sie können nur Nicht-TGT-<br />
Diensttickets übertragen.
Kerberos-Sicherheit 285<br />
• Proxy Dieses Ticketflag weist darauf hin, dass das Dienstticket von einem übertragbaren TGT<br />
erhalten wurde.<br />
• Verlängerbar Zeigt an, dass das Ticket erneuert werden kann. Dieses Flag wird in Verbindung<br />
mit den Feldern EndTime und Renew-Till verwendet, damit Tickets im KDC regelmäßig erneuert<br />
werden.<br />
• Anfang Zeigt an, dass es sich um ein TGT (Ticket Granting Ticket) handelt.<br />
Weitere Flags sind unter anderem May Postdate, Invalid, HW Auth und OK As Delegate. Nachdatierte<br />
Tickets können im Voraus zur Batchverarbeitung etc. angefordert werden, sind jedoch bis zu<br />
dem Zeitpunkt, zu dem sie in Kraft treten, als ungültig gekennzeichnet. Ein KDC muss das Ticket<br />
validieren und das Flag Ungültig zum gegebenen Zeitpunkt entfernen.<br />
Robert Greene<br />
Microsoft Support Escalation Engineer<br />
Dieser Prozess zum Erlangen des Zugriffs auf eine Ressource im Netzwerk bedeutet, dass das KDC<br />
nur während der anfänglichen Clientanmeldung und beim ersten Zugriffsversuch des Clients auf eine<br />
bestimmte Ressource auf einem bestimmten Server einbezogen wird. Bei der ersten Anmeldung erhält<br />
ein Benutzer ein TGT, das dem Client für die Lebensdauer des Tickets Zugriff auf das KDC erteilt.<br />
Wenn der Client sich mit einer Netzwerkressource zu verbinden versucht, wendet sich der Client<br />
erneut an das KDC und erhält ein Dienstticket für den Zugriff auf die Ressource. Dieses Dienstticket<br />
enthält die Autorisierungsdaten für den Benutzer. Nach einer erfolgreichen Authentifizierung verwendet<br />
das lokale Sicherheitssubsystem diese Daten zum Erstellen eines Zugriffstokens auf dem Computer,<br />
der den Dienst oder die Ressource hostet, sodass der Server den Grad des Ressourcenzugriffs<br />
ermitteln kann, der dem Benutzer zugeteilt werden soll.<br />
Domänenübergreifende Authentifizierung<br />
Derselbe Authentifizierungsprozess gilt für die Authentifizierung eines Benutzers über Domänengrenzen<br />
hinweg. Beispielsweise besitzt ein Unternehmen eine Gesamtstruktur mit drei Domänen,<br />
wie in Abbildung 8.5 gezeigt.<br />
Wenn ein Benutzer mit einem Konto in TreyResearch.com zum Domänenstandort von NA.ADatum.com<br />
reist und sich auf einem Rechner in der Domäne NA.ADatum.com am Netzwerk anzumelden<br />
versucht, muss die Clientarbeitsstation sich mit einem Domänencontroller (KDC) in der Domäne<br />
TreyResearch.com sowie in NA.ADatum.com und ADatum.com verbinden können. In diesem Fall<br />
sendet der Clientcomputer die ursprüngliche Anmeldeanforderung an den Domänencontroller<br />
NA.ADatum.com. Der Domänencontroller stellt fest, dass das Benutzerkonto sich in der Domäne<br />
TreyResearch.com befindet und muss daher die Clientarbeitsstation an diese Domäne verweisen.<br />
Wenn alle Domänen mit Shortcutvertrauensstellungen konfiguriert wurden, kann der Domänencontroller<br />
den Clientcomputer direkt an einen Domänencontroller in der Domäne TreyResearch.com<br />
verweisen. Wenn jedoch keine Shortcutvertrauensstellungen erstellt wurden, gibt es keine direkte<br />
Vertrauensstellung zwischen NA.ADatum.com und TreyResearch.com. In diesem Fall verweist<br />
der NA-Domänencontroller den Clientcomputer an einen Domänencontroller in der Domäne<br />
ADatum.com. Der Verweis umfasst ein TGT für ADatum.com, das mit einem bereichsübergreifenden<br />
Sitzungsschlüssel verschlüsselt wurde, der sowohl von ADatum.com als auch von<br />
NA.Adatum.com genutzt wird. Dieses TGT ermöglicht den Zugriff auf den KDC-Dienst auf dem<br />
Domänencontroller in der Domäne Adatum.com.
286 Kapitel 8: <strong>Active</strong> <strong>Directory</strong>-Domänendienstsicherheit<br />
Der bereichsübergreifende Sitzungsschlüssel wurde erstellt, als die NA-Domäne der Gesamtstruktur<br />
Adatum.com hinzugefügt und die anfängliche Vertrauensstellung zwischen den beiden Domänen<br />
erstellt wurde. Der bereichsübergreifende Sitzungsschlüssel gewährleistet, dass die Anmeldeanforderung<br />
von einer vertrauten Domäne stammt. Der Clientcomputer sendet anschließend eine<br />
Authentifizierungsanforderung an die Domäne ADatum.com. Der Client wird dann an einen Domänencontroller<br />
in der Domäne TreyResearch.com verwiesen. Auch dieser Verweis umfasst ein TGT<br />
für TreyResearch.com, das über einen bereichsübergreifenden Sitzungsschlüssel für den Zugriff auf<br />
die KDC-Dienste auf dem Domänencontroller in TreyResearch.com verfügt. Der Clientcomputer<br />
sendet anschließend eine TGT-Anforderung an den Basisdomänencontroller in TreyResearch.com.<br />
Adatum.com<br />
NA.Adatum.com<br />
TreyResearch.com<br />
Abbildung 8.5<br />
Domänenübergreifende Authentifizierung<br />
Ein ähnlicher Vorgang wird durchgeführt, wenn ein Client auf eine Ressource zugreifen möchte,<br />
die nicht der Basisdomäne des Benutzers entspricht. In diesem Fall muss der Client ein Dienstticket<br />
von einem Domänencontroller in der Domäne anfordern, in der sich die Ressource befindet.<br />
Er wird demnach über denselben Vorgang weitergeleitet, bis er sich mit dem richtigen Domänencontroller<br />
verbinden kann.<br />
Dieser Authentifizierungsprozess hat besonders dann Auswirkungen auf den Gesamtstrukturentwurf,<br />
wenn Benutzer sich häufig an anderen Domänen als ihrer Basisdomäne anmelden oder auf<br />
Ressourcen in anderen Domänen zugreifen. Wenn Sie eine Gesamtstruktur mit mehreren Domänen<br />
entwerfen, muss der Client möglicherweise den gesamten Vertrauenspfad zwischen den Domänen<br />
durchlaufen. Wenn dies oft geschieht, empfiehlt es sich möglicherweise, Domänencontroller für die<br />
Stammdomänen in Standorten in der Nähe der Benutzer zu platzieren. Sie können auch Shortcutvertrauensstellungen<br />
verwenden, damit die Verweise der Domänencontroller direkt an die entsprechenden<br />
Domänen gesendet werden können.<br />
Delegieren der Authentifizierung<br />
Einer der Aspekte, die den Zugriff auf Netzwerkdienste kompliziert machen können, ist, dass der<br />
Netzwerkdienst über mehrere Server verteilt sein kann. Beispielsweise kann der Client sich mit einem<br />
Front-End-Server verbinden, der sich mit einem Back-End-Datenbankserver verbinden muss, um<br />
Informationen zu sammeln. In dieser Umgebung sollten die Anmeldeinformationen des Benutzers<br />
(und nicht die des Front-End-Servers) für den Zugriff auf den Back-End-Server verwendet werden,<br />
damit der Benutzer nur auf für ihn autorisierte Informationen zugreifen kann. Unter Windows 2000<br />
bietet Kerberos diese Funktionalität in zweierlei Hinsicht: Verwenden von Proxytickets und Verwenden<br />
weitergeleiteter Tickets. Wenn Proxytickets aktiviert sind, sendet der Client eine Sitzungsticketanforderung<br />
an das KDC und fordert Zugriff auf den Back-End-Server an.
Kerberos-Sicherheit 287<br />
Das KDC erteilt das Sitzungsticket und stellt im Ticket das Flag Übertragbar ein. Der Client legt<br />
anschließend dem Front-End-Server das Sitzungsticket vor, der wiederum das Ticket für den Zugriff<br />
auf Informationen auf dem Back-End-Server verwendet. Das Hauptproblem mit Proxytickets besteht<br />
darin, dass der Client die Identität des Back-End-Server kennen muss. Die zweite Option ist die Verwendung<br />
weitergeleiteter Tickets. Wenn diese Tickets aktiviert sind, sendet der Client eine AS<br />
Exchange-Anforderung an das KDC und fordert ein TGT an, das der Front-End-Server für den<br />
Zugriff auf Back-End-Server verwenden kann. Das KDC erstellt ein TGT und sendet es an den Client.<br />
Der Client sendet das TGT an den Front-End-Server, der das TGT anschließend zum Abrufen eines<br />
Sitzungstickets verwendet, um im Namen des Clients auf den Back-End-Server zuzugreifen.<br />
Bei der Weise, in der die Delegierung der Authentifizierung unter Windows 2000 implementiert ist,<br />
gibt es zwei erhebliche Bedenken. Der erste Grund ist, dass die Delegierung der Authentifizierung nur<br />
dann verwendet werden kann, wenn der Client über Kerberos authentifiziert ist. Das bedeutet, dass<br />
kein Client unter Windows NT, Microsoft Windows 95 oder Windows 98 die Delegierung der<br />
Authentifizierung nutzen kann. Der zweite Grund im Hinblick auf Windows 2000 hängt mit der<br />
Sicherheit der Delegierung zusammen. Nachdem der Front-End-Server das weitergeleitete Ticket vom<br />
KDC erhalten hat, kann er unter Windows 2000 dieses Ticket verwenden, um im Namen des Clients<br />
auf beliebige Netzwerkdienste zuzugreifen. Windows Server 2003 und Windows Server 2008 bieten<br />
die Option der eingeschränkten Delegierung. Das bedeutet, Sie können das Konto so konfigurieren,<br />
dass es nur für bestimmte Dienste im Netzwerk delegiert wird (basierend auf den Dienstprinzipalnamen).<br />
Die eingeschränkte Delegierung ist nur dann verfügbar, wenn die Domäne auf die Funktionsebene<br />
Windows Server 2003 oder Windows Server 2008 eingestellt ist.<br />
Damit die Delegierung der Authentifizierung erfolgreich ist, müssen Sie sicherstellen, dass sowohl<br />
das Benutzerkonto als auch das Dienst- oder Computerkonto so konfiguriert sind, dass sie die Delegierung<br />
der Authentifizierung unterstützen. Um dies an einem Benutzerkonto durchzuführen, öffnen<br />
Sie im Verwaltungsprogramm <strong>Active</strong> <strong>Directory</strong>-Benutzer und -Computer die Eigenschaften des<br />
Benutzers, wählen Sie die Registerkarte Konto, führen Sie einen Bildlauf in der Liste Kontooptionen<br />
durch, und stellen Sie sicher, dass die Option Konto ist vertraulich und kann nicht delegiert werden<br />
deaktiviert ist. (Diese Option ist standardmäßig nicht aktiviert.) Um das Dienstkonto für die Delegierung<br />
zu konfigurieren, müssen Sie zunächst ermitteln, ob es sich bei dem vom Dienst verwendeten<br />
Anmeldekonto um ein normales Benutzerkonto oder um das Konto LocalSystem handelt. Wenn der<br />
Dienst unter einem normalen Benutzerkonto ausgeführt wird, stellen Sie zuerst sicher, dass Sie dem<br />
Benutzerkonto einen SPN hinzugefügt haben. Öffnen Sie anschließend die Registerkarte Konto in den<br />
Benutzereigenschaften, und stellen Sie sicher, dass die Option Konto ist vertraulich und kann nicht<br />
delegiert werden deaktiviert ist. (Diese Option ist standardmäßig nicht aktiviert.) Prüfen Sie außerdem<br />
den entsprechenden Delegierungsgrad auf der Registerkarte Delegierung des Benutzerkontos.<br />
(Dieses Fenster ist in Abbildung 8.6 dargestellt.) Wenn der Dienst unter einem LocalSystem-Konto<br />
ausgeführt wird, muss die Delegierung im Eigenschaftenfenster des Computerkontos konfiguriert<br />
werden. Um die Authentifizierungsstufe von Windows 2000 zu implementieren, wählen Sie die<br />
Option Computer bei Delegierungen aller Dienste vertrauen (nur Kerberos) aus. Um die Erweiterungen<br />
von Windows Server 2003 oder Windows Server 2008 zu implementieren, wählen Sie die<br />
Option Computer bei Delegierungen angegebener Dienste vertrauen aus. Anschließend können Sie<br />
auswählen, ob der Client sich über Kerberos authentifizieren muss oder ein beliebiges Protokoll verwenden<br />
und die Dienste auswählen kann (basierend auf den in AD DS registrierten Dienstprinzipalnamen),<br />
denen der Computer delegierte Anmeldeinformationen vorlegen kann.
288 Kapitel 8: <strong>Active</strong> <strong>Directory</strong>-Domänendienstsicherheit<br />
Abbildung 8.6<br />
Konfigurieren der eingeschränkten Delegierung für ein Computerkonto<br />
Praxistipp: Delegierte Authentifizierung<br />
Die delegierte Authentifizierung wird in Kundenumgebungen immer häufiger eingesetzt, weil der<br />
Benutzerzugriff auf vertrauliche Daten eingeschränkt werden muss. Außerdem muss täglich überwacht<br />
werden, auf welche Daten Benutzer zugreifen. Bei den heutigen Anwendungen handelt es<br />
sich normalerweise um mehrschichtige Lösungen, was für eine erhöhte Komplexität bei der<br />
Authentifizierung sorgt. Beispielsweise ist eine delegierte Authentifizierung erforderlich, wenn<br />
eine webbasierte Anwendung anhand der Anmeldeinformationen des Benutzers, der sich an der<br />
Website authentifiziert hat, Daten von einer SQL-Datenbank anfordern muss. Im Folgenden werden<br />
die am häufigsten auftretenden Probleme aufgeführt, die zu einem Fehlschlag der delegierten Authentifizierung<br />
führen:<br />
• Die Clientanwendung ist nicht für die Verwendung von Kerberos konfiguriert. Im vorliegenden<br />
Beispiel ist der Webbrowser die Clientanwendung, die Sie für die Unterstützung der Kerberos-<br />
Authentifizierung konfigurieren müssen.<br />
• SPNs werden nicht für das richtige Dienstkonto registriert. Im vorliegenden Beispiel müssen im<br />
Dienstkonto, das die Webanwendung ausführt, die richtigen SPNs für den Namen registriert sein,<br />
den Benutzer zum Verbinden mit der Webanwendung verwenden. Wenn Benutzer sich sowohl über<br />
NetBIOS- als auch über FQDN-Namen verbinden, müssen Sie beide Namen im Dienstkonto registrieren<br />
(http/webapp1 und http/webapp1.contoso.com). Außerdem ist das richtige Dienstkonto im<br />
vorliegenden Beispiel dasjenige, das zum Ausführen des Webanwendungspools mit der Webanwendung<br />
verwendet wird, die sich mit SQL verbindet. Im übrigen ist keine SPN-Registrierung<br />
erforderlich, wenn der Webanwendungspool als Netzwerkdienst ausgeführt wird.
Kerberos-Sicherheit 289<br />
• Auch doppelte SPNs können die delegierte Authentifizierung verhindern. Jeder SPN muss in<br />
der Domäne eindeutig sein. Zwei Sicherheitsprinzipale, die denselben SPN besitzen, verursachen<br />
ein Fehlschlagen der Delegierung.<br />
• Der IIS-Server ist falsch konfiguriert. Sie müssen IIS so konfigurieren, dass die Kerberos-<br />
Authentifizierung verwendet wird. Stellen Sie sicher, dass die Webanwendung für die integrierte<br />
Authentifizierung konfiguriert ist. Stellen Sie außerdem sicher, dass der Anbieter der<br />
Aushandlungsauthentifizierung nicht deaktiviert wurde. Weitere Informationen finden Sie<br />
im Microsoft Knowledge Base-Artikel 215383, „So konfigurieren Sie IIS darauf, sowohl<br />
das Kerberos- als auch das NTLM-Protokoll für Netzwerkauthentifizierung zu unterstützen“,<br />
der unter http://support.microsoft.com/kb/215383 verfügbar ist.<br />
Robert Greene<br />
Microsoft Support Escalation Engineer<br />
Konfigurieren von Kerberos unter Windows Server 2008<br />
Wie bereits erwähnt, ist Kerberos das Standardprotokoll zur Authentifizierung, mit dem Clients unter<br />
Windows 2000 oder höher sich an AD DS anmelden. Sie können mehrere Kerberos-Eigenschaften<br />
über die Domänensicherheitsrichtlinien konfigurieren. Um auf die Kerberos-Richtlinieneinstellungen<br />
zuzugreifen, öffnen Sie die Konsole Gruppenrichtlinienverwaltung, und bearbeiten Sie die Standarddomänenrichtlinie.<br />
Erweitern Sie unter Computerkonfiguration zunächst die Sicherheitseinstellungen,<br />
und erweitern Sie anschließend den Ordner Kontorichtlinien. (Die Benutzeroberfläche wird in Abbildung<br />
8.7 dargestellt.)<br />
Abbildung 8.7<br />
Konfigurieren der Kerberos-Einstellungen über die Domänensicherheitsrichtlinie<br />
• Benutzeranmeldeeinschränkungen erzwingen Diese Richtlinie legt fest, dass das KDC jede Anforderung<br />
eines Sitzungstickets anhand der Einstellung der Benutzerrechte auf dem Zielcomputer<br />
prüfen muss. Wenn diese Richtlinie aktiviert ist, muss der Benutzer, der das Sitzungsticket anfordert,<br />
entweder das Recht Lokal anmelden zulassen besitzen, falls er sich interaktiv anmeldet, oder<br />
auf dem Zielcomputer über das Recht Auf diesen Computer vom Netzwerk aus zugreifen verfügen.<br />
Die Rechte Lokal anmelden zulassen und Auf diesen Computer vom Netzwerk aus zugreifen<br />
werden in der Domänensicherheitsrichtlinie unter Lokale Richtlinien\Zuweisen von Benutzerrechten<br />
erteilt. Diese Richtlinie ist standardmäßig aktiviert.
290 Kapitel 8: <strong>Active</strong> <strong>Directory</strong>-Domänendienstsicherheit<br />
• Maximale Gültigkeitsdauer des Diensttickets Diese Richtlinie stellt den maximalen Zeitraum<br />
(in Minuten) ein, für den ein Dienstticket für den Zugriff auf einen bestimmten Dienst verwendet<br />
werden kann. Wenn die Einstellung null Minuten lautet, läuft das Ticket nie ab. Lautet der eingestellte<br />
Wert nicht null, muss er höher sein als zehn Minuten und niedriger als oder gleich der Einstellung<br />
für „Max. Gültigkeitsdauer des Benutzertickets“. Standardmäßig ist dieser Wert auf 600<br />
Minuten (zehn Stunden) eingestellt.<br />
• Maximale Gültigkeitsdauer des Benutzertickets Diese Richtlinie stellt den maximalen Zeitraum<br />
(in Stunden) ein, für den das TGT des Benutzers verwendet werden kann. Nach Ablauf des TGT<br />
muss ein neues vom KDC angefordert werden oder das vorhandene Ticket muss erneuert werden.<br />
Standardmäßig ist dieser Wert auf 10 Stunden eingestellt.<br />
• Maximaler Zeitraum, in dem ein Benutzerticket erneuert werden kann Diese Richtlinie legt den Zeitraum<br />
(in Tagen) fest, in dem ein TGT erneuert werden kann (und das Anfordern eines neuen TGT<br />
nicht erforderlich ist). Standardmäßig ist dieser Wert auf 7 Tage eingestellt.<br />
• Maximale Toleranz für die Synchronisation des Computertakts Diese Richtlinie stellt den maximalen<br />
Zeitunterschied (in Minuten) ein, den Kerberos zwischen der Uhrzeit auf einem Clientcomputer<br />
und der Uhrzeit auf einem Domänencontroller, der die Kerberos-Authentifizierung bereitstellt,<br />
zulässt. Ist der Zeitunterschied zwischen den beiden Computern größer als der angegebene Toleranzwert,<br />
werden alle Kerberos-Tickets abgelehnt. Standardmäßig ist dieser Wert auf 5 Minuten<br />
eingestellt. Beachten Sie, wenn diese Einstellung geändert wird, dass sie bei einem Neustart des<br />
Computers auf den Standardwert zurückgesetzt wird.<br />
In den meisten Fällen sind die Kerberos-Standardeinstellungen angemessen. In Umgebungen mit<br />
hohen Sicherheitsanforderungen können Sie die Einstellungen für die Ticketgültigkeitsdauer verringern.<br />
In diesem Fall müssen sich die Clients jedoch häufiger mit dem KDC verbinden und verursachen<br />
auf diese Weise zusätzlichen Netzwerkdatenverkehr und eine zusätzliche Belastung der Domänencontroller.<br />
Es empfiehlt sich, diese Einstellungen immer innerhalb eines Gruppenrichtlinienobjekts<br />
zu definieren und das GPO auf Domänenebene zu verknüpfen.<br />
Integration in die Public Key-Infrastruktur<br />
Wie zuvor erwähnt, basiert Kerberos auf einem Authentifizierungsmodell mit gemeinsamem<br />
geheimem Schlüssel. Dieses Modell bietet eine herausragende Sicherheit, birgt jedoch eine erhebliche<br />
Einschränkung für die Bereitstellung des Zugriffs auf ein Windows Server 2008-Netzwerk.<br />
Diese Einschränkung ist, dass jeder Benutzer, der auf das Netzwerk zugreift, ein Benutzerkonto in der<br />
KDC-Kontodatenbank besitzen muss. Wenn ein Benutzer nicht in der Datenbank enthalten ist, kann<br />
er keinen Zugriff auf das Netzwerk erhalten.<br />
Dies ist kein Problem für ein Unternehmen, in dem alle Benutzer, die sich am Netzwerk anmelden,<br />
bekannt sind und in dem für jeden Benutzer ein Benutzerkonto erstellt werden kann. Viele Unternehmen<br />
erweitern jedoch die Liste der Benutzer, die auf Netzwerkressourcen zugreifen müssen, um<br />
externe, nicht angestellte Benutzer. Ein Unternehmen kann eine kurzfristige Partnerschaft mit einem<br />
anderen Unternehmen eingehen und den Mitarbeitern des Partnerunternehmens Zugriff auf Netzwerkressourcen<br />
einräumen müssen. Außerdem könnte ein Unternehmen bestimmten Kunden Zugriff auf<br />
Ressourcen des Unternehmensnetzwerks bereitstellen wollen. In diesen Szenarios kann die Liste der<br />
Personen, die auf das Netzwerk zugreifen müssen, sehr lang werden. Die Erstellung eines Benutzerkontos<br />
für jeden einzelnen Benutzer wäre somit fast unmöglich.
Kerberos-Sicherheit 291<br />
Die PKI (Public Key-Infrastruktur) geht von einem Authentifizierungsmodell mit gemeinsamem<br />
geheimem Schlüssel ab und ersetzt es durch ein Authentifizierungsmodell, das auf Zertifikaten<br />
basiert. In der PKI werden Benutzer nicht auf der Grundlage authentifiziert, dass sie das richtige<br />
Kennwort kennen, sondern basierend auf der Tatsache, dass sie das richtige Zertifikat besitzen. Die<br />
PKI beruht auf drei wesentlichen Konzepten: öffentliche und private Schlüssel, digitale Zertifikate<br />
und Zertifizierungsstellen (Certificate Authorities, CAs). Die PKI beginnt mit dem Konzept, dass<br />
jeder am Informationsaustausch beteiligte Benutzer oder Computer zwei Schlüssel besitzt: einen<br />
privaten Schlüssel und einen öffentlichen Schlüssel. Der private Schlüssel ist nur einem Benutzer<br />
bekannt. Er kann auf der Festplatte des Computers, als Teil eines servergespeicherten Profils oder auf<br />
einem anderen Gerät wie beispielsweise einer Smartcard gespeichert sein. Der öffentliche Schlüssel<br />
hingegen wird jedem zugänglich gemacht, der darum bittet. Zwischen dem privaten und dem öffentlichen<br />
Schlüssel gibt es einen mathematischen Bezug, ein privater Schlüssel kann jedoch niemals von<br />
einem öffentlichen Schlüssel abgeleitet werden. Der öffentliche und der private Schlüssel werden in<br />
vielerlei Hinsicht eingesetzt.<br />
Zum einen werden öffentliche und private Schlüssel zum Verschlüsseln von Informationen verwendet,<br />
wenn diese über das Netzwerk gesendet werden. Der öffentliche Schlüssel eines Benutzers wird<br />
zum Verschlüsseln der Nachricht verwendet. Da der öffentliche Schlüssel jedem zugänglich gemacht<br />
wird, der diesen anfordert, kann jeder eine Nachricht senden, die mit dem öffentlichen Schlüssel eines<br />
Benutzers verschlüsselt wurde. Der einzige Schlüssel, der die Nachricht jedoch wieder entschlüsseln<br />
kann, ist der private Schlüssel des Benutzers. Die Person mit dem entsprechenden privaten Schlüssel<br />
ist daher die einzige Person, die eine mit einem öffentlichen Schlüssel verschlüsselte Nachricht entschlüsseln<br />
kann. Jeder andere, der das Paket im Netzwerk abfängt, besitzt nicht den richtigen privaten<br />
Schlüssel und kann die Nachricht daher nicht lesen.<br />
Eine andere Verwendungsmöglichkeit von öffentlichen und privaten Schlüsseln besteht in der digitalen<br />
Signatur von Nachrichten, die zwischen zwei Benutzern gesendet werden. Anhand einer digitalen<br />
Signatur werden die Identität des Absenders und die Integrität der Nachricht sichergestellt. Zum<br />
Erstellen einer digitalen Signatur wird die gesamte Nachricht durch einen mathematischen Hash<br />
gesendet. Dieser Hash erstellt einen Nachrichtenhash, der anhand des privaten Schlüssels des Absenders<br />
verschlüsselt wird. Der verschlüsselte Hash wird mit der Nachricht als digitale Signatur versendet.<br />
Wenn der Nachrichtenempfänger die Nachricht erhält, wird derselbe Hash auf die Nachricht<br />
angewendet und somit ein zweiter Nachrichtenhash erstellt. Der öffentliche Schlüssel des Absenders<br />
wird anschließend zum Entschlüsseln der digitalen Signatur verwendet. Wenn der Nachrichtenhash<br />
des Empfängers mit dem Ergebnis der entschlüsselten Signatur übereinstimmt, sind die Integrität und<br />
Echtheit der Nachricht bestätigt.<br />
Die zweite Komponente der PKI ist das digitale Zertifikat. Der Zweck eines Zertifikats besteht darin,<br />
den Zertifikathalter zu identifizieren. Wenn eine Person oder ein Unternehmen sich um ein Zertifikat<br />
von einer Zertifizierungsstelle bewirbt, bestätigt die Zertifizierungsstelle die Identität der Person oder<br />
des Unternehmens, die bzw. das das Zertifikat anfordert. Beim Erstellen der Zertifikatanforderung<br />
wird der private Schlüssel erstellt und auf dem lokalen Computer gespeichert. Wenn das Zertifikat<br />
zugeordnet wird, erhält der Benutzer außerdem den zugehörigen öffentlichen Schlüssel. Das Zertifikat<br />
wird darüber hinaus digital von der Zertifizierungsstelle signiert, um dem Zertifikat den Echtheitsstempel<br />
der Zertifizierungsstelle hinzuzufügen. Der aktuelle Standard für diese Zertifikate lautet<br />
X.509 v3. Das Zertifikat enthält Informationen über die Person, den Computer oder den Dienst, an die<br />
bzw. den das Zertifikat ausgegeben wurde. Weiterhin umfasst es Informationen über das Zertifikat<br />
selbst, zum Beispiel das Ablaufdatum, sowie Informationen über die ausgebende Zertifizierungsstelle.
292 Kapitel 8: <strong>Active</strong> <strong>Directory</strong>-Domänendienstsicherheit<br />
Die für die PKI erforderlichen Zertifikate werden von Zertifizierungsstellen ausgegeben, bei denen es<br />
sich um Netzwerkserver handelt, die das Erteilen und Sperren von Zertifikaten verwalten. Aufgrund<br />
der Bedeutung der PKI für das Internet ist derzeit eine breite Vielfalt an Zertifizierungsstellen verfügbar,<br />
einschließlich beliebter kommerzieller Zertifizierungsstellen wie Verisign und Thawte. Die meisten<br />
Internetclients wie Microsoft Internet Explorer werden automatisch so konfiguriert, dass sie den<br />
von diesen kommerziellen Zertifizierungsstellen ausgegebenen Zertifikaten vertrauen. Außerdem<br />
können Sie Ihre eigene Zertifizierungsstelle über Windows Server 2008 einrichten. Die in Windows<br />
Server 2008 enthaltene AD CS-Rolle (<strong>Active</strong> <strong>Directory</strong> Certificate Services) ist eine voll funktionsfähige<br />
Zertifizierungsstelle, die zum Ausstellen von Zertifikaten an Personen innerhalb Ihres Unternehmens<br />
oder an Personen anderer Unternehmen verwendet werden kann.<br />
Hinweis Einer der Vorteile bei der Verwendung der AD CS ist die Möglichkeit zum Bereitstellen der Zertifizierungsstelle<br />
als Unternehmenszertifizierungsstelle. Die Unternehmenszertifizierungsstelle ist in AD DS eng<br />
integriert. Daher können Sie Richtlinien so konfigurieren, dass Zertifikate automatisch an Benutzer und Computer<br />
ausgestellt und verwaltet werden können. In Kapitel 17, „<strong>Active</strong> <strong>Directory</strong>-Zertifikatdienste“, finden Sie<br />
Einzelheiten zur Planung und Implementierung der AD CS.<br />
Ein Zweck von Zertifikaten liegt darin, den Benutzern, die möglicherweise kein Konto in AD DS<br />
besitzen, den Zugriff auf Ressourcen im Windows Server 2008-Netzwerk zu ermöglichen. Beispielsweise<br />
möchten Sie eine sichere Website so einrichten, dass Partnerunternehmen oder Kunden auf<br />
einige vertrauliche Daten in Ihrem Netzwerk zugreifen können. Unter Windows Server 2008 kann die<br />
Berechtigung für den Zugriff auf Netzwerkressourcen nur Sicherheitsprinzipalen erteilt werden. Es<br />
gibt keine Option, Berechtigungen nur aufgrund von Zertifikaten zuzuweisen. Sie können Benutzern<br />
mit Zertifikaten und ohne AD DS-Benutzerkonten jedoch den Zugriff auf Netzwerkressourcen ermöglichen,<br />
indem Sie ein Zertifikat einem Benutzerkonto zuordnen und das Konto anschließend verwenden,<br />
um Berechtigungen zuzuweisen.<br />
Windows Server 2008 bietet zwei verschiedene Möglichkeiten für das Zuordnen eines Zertifikats zu<br />
einem Benutzerkonto:<br />
• 1:1-Zuordnung In diesem Fall wird ein einzelnes Zertifikat einem einzigen Windows Server<br />
2008-Benutzerkonto zugeordnet. Bei einer 1:1-Zuordnung müssen Sie sowohl ein Zertifikat<br />
zuweisen als auch ein Benutzerkonto für jeden Benutzer erstellen. Dies ist möglicherweise eine<br />
gute Lösung, wenn Sie Remotemitarbeitern des Unternehmens den Zugriff auf sichere Ressourcen<br />
über eine sichere Website ermöglichen möchten. Dieser Ansatz verringert jedoch nicht den<br />
Verwaltungsaufwand. Dennoch können Sie mithilfe der 1:1-Zuordnung die Zugriffsebene für<br />
jeden Benutzer steuern.<br />
• n:1-Zuordnung In diesem Fall werden einem AD DS-Kontonamen viele Zertifikate zugeordnet.<br />
Wenn Sie beispielsweise eine Partnerschaft mit einem anderen Unternehmen eingehen und die<br />
Mitarbeiter des Unternehmens auf eine sichere Website zugreifen müssen, können Sie ein Benutzerkonto<br />
erstellen. Anschließend können Sie so viele Zertifikate wie nötig mit diesem einen<br />
Benutzerkonto verknüpfen. Wenn das andere Unternehmen beispielsweise eine eigene Zertifizierungsstelle<br />
besitzt, können Sie eine Regel erstellen, die alle von dieser Zertifizierungsstelle ausgestellten<br />
Zertifikate einem Benutzerkonto in Ihrer Domäne zuordnet. Anschließend können Sie<br />
anhand dieses einen Kontos Berechtigungen für Netzwerkressourcen zuweisen.
Integration in Smartcards<br />
Kerberos-Sicherheit 293<br />
Hinweis Zertifikate können Benutzerkonten über das Verwaltungsprogramm <strong>Active</strong> <strong>Directory</strong>-Benutzer<br />
und -Computer oder über den Microsoft Internet Information Server (IIS) Manager zugeordnet werden. Aktivieren<br />
Sie im Verwaltungsprogramm <strong>Active</strong> <strong>Directory</strong>-Benutzer und -Computer im Menü Ansicht die Option<br />
Erweiterte Features, und verwenden Sie anschließend die Option Namenszuordnungen, die beim Rechtsklick<br />
auf ein Benutzerkonto verfügbar wird.<br />
Smartcards stellen eine weitere Option zur Integration der PKI in die Kerberos-Authentifizierung dar.<br />
Wenn Kerberos ohne PKI verwendet wird, wird der gemeinsame geheime Schlüssel zwischen dem<br />
Client und dem KDC zum Verschlüsseln des anfänglichen Anmeldeaustauschs mit dem Authentifizierungsdienst<br />
verwendet. Dieser Schlüssel leitet sich aus dem Benutzerkennwort ab, und es wird derselbe<br />
Schlüssel zum Verschlüsseln und Entschlüsseln der Informationen verwendet. Smartcards nutzen<br />
ein PKI-Modell, in dem sowohl ein öffentlicher als auch ein privater Schlüssel zum Verschlüsseln<br />
und Entschlüsseln der Anmeldeinformationen verwendet werden.<br />
Eine Smartcard enthält den öffentlichen und den privaten Schlüssel des Benutzers sowie ein X.509<br />
v3-Zertifikat. All diese Komponenten werden verwendet, wenn der Benutzer sich mithilfe der Smartcard<br />
an den AD DS authentifiziert. Der Anmeldevorgang beginnt, sobald der Benutzer eine Smartcard<br />
in den Smartcard-Leser einlegt und seine PIN (persönliche Identifizierungsnummer) eingibt. Das<br />
Einlegen der Smartcard in das Lesegerät wird von der LSA auf dem Computer als Strg+Alt+Entf-<br />
Sequenz interpretiert, und der Anmeldevorgang beginnt.<br />
Die PIN wird zum Lesen des Benutzerzertifikats und des öffentlichen und privaten Schlüssels von der<br />
Smartcard verwendet. Anschließend sendet der Client eine reguläre TGT-Anforderung an das KDC.<br />
Statt jedoch die Vorautorisierungsdaten (Zeitstempel) zu senden, die mit dem vom Kennwort abgeleiteten<br />
geheimen Schlüssel des Benutzers verschlüsselt sind, sendet der Client den öffentlichen Schlüssel<br />
und das Zertifikat an das KDC. Die TGT-Anforderung enthält noch immer die Vorautorisierungsdaten,<br />
ist jedoch mit dem privaten Schlüssel des Benutzers digital signiert.<br />
Wenn die Nachricht beim KDC ankommt, wird das Clientzertifikat überprüft, um sicherzustellen,<br />
dass es gültig ist und dass die Zertifizierungsstelle, die das Zertifikat ausgestellt hat, vertrauenswürdig<br />
ist. Das KDC überprüft außerdem die digitale Signatur der Vorautorisierungsdaten, um die<br />
Echtheit des Nachrichtenabsenders und die Integrität der Nachricht sicherzustellen. Wenn beide<br />
Prüfungen positiv verlaufen, verwendet das KDC den im Clientzertifikat enthaltenen UPN (User Principal<br />
Name) zum Nachschlagen des Kontonamens in AD DS. Wenn das Benutzerkonto gültig ist,<br />
authentifiziert das KDC den Benutzer und sendet ein TGT mit einem Sitzungsschlüssel an den Client<br />
zurück. Der Sitzungsschlüssel ist mit dem öffentlichen Schlüssel des Clients verschlüsselt, und der<br />
Client verwendet den privaten Schlüssel zum Entschlüsseln der Informationen. Dieser Sitzungsschlüssel<br />
wird anschließend für sämtliche Verbindungen mit dem KDC verwendet.<br />
Hinweis Das Einrichten der Smartcardanmeldung für Ihr Netzwerk bedeutet einen erheblichen Arbeitsaufwand.<br />
Zuerst müssen Sie eine Zertifizierungsstelle zum Ausstellen der Zertifikate bereitstellen. Anschließend<br />
müssen Sie Smartcard-Registrierungsstationen einrichten, von denen Benutzer ihre Smartcards<br />
beziehen und die Zertifikate und Schlüssel den Karten zugewiesen werden können. Nach der ersten Bereitstellung<br />
müssen Sie sich um die Verwaltungsaufgaben wie verlorene oder verlegte Karten kümmern. Smartcards<br />
bieten eine hervorragende zusätzliche Sicherheit in Ihrem Netzwerk; diese zusätzliche Sicherheit ist<br />
jedoch mit erheblichem Verwaltungsaufwand verbunden. In vielen Unternehmen werden Smartcards nur<br />
zum Sichern von Administratorkonten und zum Ermöglichen der Remotezugriffsicherheit eingesetzt.
294 Kapitel 8: <strong>Active</strong> <strong>Directory</strong>-Domänendienstsicherheit<br />
Interoperabilität mit anderen Kerberos-Systemen<br />
Da Kerberos auf einem offenen Standard basiert, bietet es herausragende Möglichkeiten zur Interoperabilität<br />
mit anderen auf Kerberos basierenden Systemen. Alle Komponenten, die Bestandteil der<br />
Windows Server 2008-Kerberos-Implementierung sind, können durch eine Nicht-Windows-Entsprechung<br />
ersetzt werden. Bei diesen drei Komponenten handelt es sich um Folgende:<br />
• Der Kerberos-Client<br />
• Das Kerberos-Schlüsselverteilungscenter<br />
• Die Netzwerkressource, die Kerberos zur Autorisierung nutzt<br />
Für die Interoperabilität gibt es vier mögliche Szenarios:<br />
• Ein Windows 2000- oder Windows XP Professional-Client meldet sich an einem Domänencontroller<br />
unter Windows Server 2008 an und greift auf Ressourcen auf einem Server unter Windows<br />
Server 2008 oder auf einem anderen Kerberos-basierten Dienst zu.<br />
• Ein Windows-Client meldet sich an einem Nicht-Windows-KDC an und greift auf Ressourcen auf<br />
einem Server unter Windows Server 2008 oder einem anderen Kerberos-basierten Dienst zu.<br />
Hinweis Windows Server 2008 stellt das Befehlszeilenprogramm Ksetup.exe zur Verfügung, das zum<br />
Konfigurieren von Windows-Clients für die Kommunikation mit Nicht-Windows-KDCs eingesetzt werden<br />
kann.<br />
• Ein Nicht-Windows-Kerberos-Client kann sich an ein Windows Server 2008-KDC anmelden und<br />
auf Ressourcen auf einem Server unter Windows Server 2008 oder auf einem anderen Kerberosbasierten<br />
Dienst zugreifen.<br />
• Ein Nicht-Windows-Kerberos-Client kann sich an ein Windows Server 2008-KDC anmelden und<br />
auf Ressourcen auf einem Server unter Windows Server 2008 oder auf einem anderen Kerberosbasierten<br />
Dienst zugreifen.<br />
Windows Server 2008 kann für die Beteiligung an einer beliebigen dieser Konfigurationen konfiguriert<br />
werden. Die einfachste Option ist eine homogene Lösung, in der die gesamte Umgebung entweder<br />
auf Windows Server 2008-Kerberos oder auf einer nicht auf Windows basierenden Kerberos-<br />
Implementierung beruht.<br />
Die Windows Server 2008-Implementierung von Kerberos macht eine Zusammenarbeit mit anderen<br />
Kerberos-Implementierungen jedoch relativ leicht. Die einfachste Möglichkeit zum Implementieren<br />
dieser Konstellation besteht darin, bereichsübergreifende Vertrauensstellungen zwischen der Windows<br />
Server 2008-Domäne und dem Nicht-Windows-Kerberos-Bereich zu erstellen. Diese Bereichsvertrauensstellungen<br />
können als transitiv oder nicht transitiv und als unidirektional oder bidirektional<br />
konfiguriert werden. Um eine Vertrauensstellung mit einem anderen Bereich zu konfigurieren, öffnen<br />
Sie das Verwaltungsprogramm <strong>Active</strong> <strong>Directory</strong>-Domänen und -Vertrauensstellungen und greifen auf<br />
das Eigenschaftenfenster für die Domäne zu, in der Sie eine Vertrauensstellung erstellen möchten.<br />
Klicken Sie auf der Registerkarte Vertrauensstellungen auf Neue Vertrauensstellung, und der Assistent<br />
für neue Vertrauensstellungen wird gestartet. Mit diesem Assistenten können Sie die Windows<br />
Server 2008-Seite der Vertrauensstellung mit einem anderen Kerberos-Bereich erstellen.<br />
Weitere Informationen Microsoft bietet einen Leitfaden mit Schrittanleitungen zur Konfiguration bereichsübergreifender<br />
Kerberos-Vertrauensstellungen an. Dieser englischsprachige Leitfaden mit dem Titel „Stepby-Step<br />
Guide to Kerberos 5 (krb5 1.0) Interoperability“ steht auf der Microsoft-Website unter http://technet.microsoft.com/en-us/library/Bb742433.aspx<br />
zur Verfügung.
Problembehandlung für Kerberos<br />
Kerberos-Sicherheit 295<br />
Wenn Ihr Unternehmen nur Clients und Server unter Windows 2000 oder höher einsetzt, verwenden<br />
alle Benutzer in Ihrem Unternehmen Kerberos als Authentifizierungsprotokoll. Da der gesamte<br />
Clientzugriff auf Netzwerkressourcen auf einer erfolgreichen Authentifizierung beruht, führt jeder<br />
Authentifizierungsfehler zur Unterbrechung der Benutzerinteraktion mit dem Netzwerk. Sie müssen<br />
daher auf eine Problembehandlung für die Kerberos-Authentifizierung vorbereitet sein.<br />
Anforderungen an die TCP/IP-Netzwerkkonnektivität<br />
Damit die Kerberos-Authentifizierung erfolgreich ist, müssen Clientcomputer mit Domänencontrollern<br />
kommunizieren können. Wenn zwischen den Clientcomputern und den Domänencontrollern Firewalls<br />
bereitgestellt werden, stellen Sie sicher, dass die in Tabelle 8.1 genannten Ports geöffnet sind.<br />
Tabelle 8.1<br />
Für die Kerberos-Authentifizierung erforderliche Ports<br />
Port Dienst Beschreibung<br />
53/TCP<br />
DNS-Dienst<br />
Der interne DNS-Server muss allen Clients für den Standort von KDC-Computern<br />
53/UDP<br />
zugänglich sein.<br />
88/TCP<br />
88/UDP<br />
123/TCP<br />
123/UDP<br />
Kerberos-Ticketerteilungsdienst<br />
Zeitdienst<br />
464/TCP Microsoft Windows 2000<br />
Kerberos-Protokoll zur<br />
Kennwortänderung<br />
Alle Clients müssen sich mit diesem Port auf den KDC-Servern verbinden<br />
können.<br />
Alle Clients müssen sich mit diesem Port zur Zeitsynchronisierung entweder<br />
mit einem internen Zeitserver oder mit einer externen Zeitquelle verbinden<br />
können.<br />
Dieser Port wird auch vom kpasswd-Protokoll verwendet. Er sollte nur dann<br />
geöffnet sein, wenn Clients das kpasswd-Protokoll verwenden.<br />
Hinweis Auch wenn dies für die Kerberos-Authentifizierung nicht erforderlich ist, sollten Sie sicherstellen,<br />
dass Clientcomputer auch mit Domänencontrollern über LDAP (Port 389) und LDAP für den globalen Katalog<br />
(Port 3268) kommunizieren können, um Verzeichnissuchen durchzuführen.<br />
Problembehandlung bei der Authentifizierung<br />
Wenn Benutzer sich nicht an der Domäne anmelden können, kann das Problem mit der Kerberos-<br />
Authentifizierung zusammenhängen. Insbesondere, wenn das Systemereignisprotokoll auf Domänencontrollern<br />
oder Clientcomputern Fehler von beliebigen Authentifizierungsdiensten anzeigen, wie<br />
Kerberos, KDC, LsaSrv oder Netlogon, sollten Sie bei der Problembehandlung bei Kerberos-Fehlern<br />
ansetzen. Außerdem sollten Sie das Sicherheitsereignisprotokoll auf Fehlerüberwachungen prüfen, die<br />
Hinweise auf den Grund des Authentifizierungsfehlers bereitstellen könnten.<br />
Als ersten Schritt bei der Problembehandlung von Authentifizierungsfehlern verwenden Sie die Problembehandlungstools<br />
für Windows-Netzwerke, um die Verfügbarkeit und Konfiguration von Servern<br />
und Clients zu überprüfen. Beispielsweise können Sie mithilfe von Dcdiag den Status der<br />
Dienste prüfen, die die Authentifizierungsdienste auf den Domänencontrollern unterstützen. Auf der<br />
Clientseite prüfen Sie die IP-Adresskonfiguration und löschen den Namenzwischenspeicher. Außerdem<br />
können Sie den Befehl Nltest ausführen, um sicherzustellen, dass der Client mit dem richtigen<br />
Domänencontroller einen sicheren Kanal aufgebaut hat. Mithilfe von Nslookup und Portquery können<br />
Sie Probleme mit der Namensauflösung oder einer Portblockierung beheben.
296 Kapitel 8: <strong>Active</strong> <strong>Directory</strong>-Domänendienstsicherheit<br />
Wenn Sie vermuten, dass der Authentifizierungsfehler auf ein Kerberos-Problem zurückzuführen ist,<br />
gehen Sie folgendermaßen vor, um die Fehlerursache genauer zu identifizieren:<br />
1. Überprüfen Sie mithilfe von Kerberos Tray oder Kerberos List, dass Sie ein Dienstticket für den<br />
Server besitzen, mit dem Sie eine Verbindung herstellen möchten. Diese Tools führen alle auf der<br />
Arbeitsstation aktiven Diensttickets auf. Wenn Sie ein Dienstticket für den Server besitzen und<br />
noch immer eine Fehlermeldung beim Zugriff auf eine Ressource erhalten, kann ein Fehler mit<br />
dem Dienstprinzipalnamen oder ein Autorisierungsfehler vorliegen.<br />
2. Wenn Sie kein Dienstticket besitzen, bestätigen Sie anhand von Kerberos Tray oder Kerberos List,<br />
dass Sie über ein TGT verfügen. Das TGT wird vom KDC-Dienst auf einem Domänencontroller<br />
erteilt, sobald der Benutzer sich anmeldet. Wenn Sie ein TGT, jedoch kein Dienstticket besitzen,<br />
untersuchen Sie das Systemereignisprotokoll. Anhand der im Systemprotokoll aufgeführten Fehler<br />
können Sie feststellen, warum Sie für den Dienst kein Ticket erhalten können.<br />
Hinweis Standardmäßig ist die detaillierte Kerberos-Ereignisprotokollierung nicht aktiviert. Fügen Sie<br />
zum Aktivieren der Kerberos-Protokollierung dem Registrierungsschlüssel HKEY_LOCAL_MACHINE\<br />
SYSTEM\CurrentControlSet\Control\Lsa\Kerberos\Parameters einen LogLevel-Wert vom Typ<br />
REG_DWORD hinzu. Setzen Sie den Wert auf 0x1.<br />
3. Wenn die Kerberos-Authentifizierung fehlschlägt, prüfen Sie das Systemereignisprotokoll oder<br />
gesammelte Daten in einer Netzwerkablaufverfolgung, worin der vom KDC oder dem Kerberos-<br />
SSP zurückgegebene Kerberos-Fehlercode enthalten sein sollte.<br />
Weitere Informationen Eine vollständige Liste von Fehlercodes im Zusammenhang mit der Kerberos-<br />
Authentifizierung finden Sie im englischsprachigen Artikel „Troubleshooting Kerberos Errors“ unter http://<br />
www.microsoft.com/technet/prodtechnol/windowsserver2003/technologies/security/tkerberr.mspx.<br />
Im Folgenden sind einige der Hauptgründe für Fehler bei der Kerberos-Authentifizierung aufgeführt:<br />
• Der Zeitunterschied zwischen dem Clientcomputer und den Domänencontrollern beträgt mehr als<br />
fünf Minuten. Wenn ein Kerberos-Client sich authentifiziert, befindet sich ein Zeitstempel in dem<br />
an das KDC gesendete Authentifizierungspaket. Außerdem besitzen alle vom KDC ausgestellten<br />
Tickets eine Ablaufzeit. Das bedeutet, dass die Kerberos-Authentifizierung sich auf das Datum<br />
und die Uhrzeit verlässt, die im KDC und auf dem Client eingestellt sind. Wenn zwischen dem<br />
KDC und einem Client, der Tickets anfordert, ein zu großer Zeitunterschied liegt, kann das KDC<br />
nicht feststellen, ob die Anforderung legitim ist oder ob es sich um eine erneute Wiedergabe handelt.<br />
Es ist daher von großer Wichtigkeit, dass die Uhrzeit auf allen Computern in einem Netzwerk<br />
synchronisiert ist, damit die Kerberos-Authentifizierung ordnungsgemäß funktioniert. Das<br />
bedeutet, dass alle Domänen und Gesamtstrukturen in einem Netzwerk dieselbe Zeitquelle verwenden<br />
müssen. Ein AD DS-Domänencontroller fungiert als autorisierender Zeitserver für seine<br />
Domäne, wodurch sichergestellt ist, dass die Uhrzeit in der gesamten Domäne übereinstimmt.<br />
Allerdings ist die Uhrzeit über mehrere Domänen möglicherweise nicht synchronisiert. Es empfiehlt<br />
sich, entweder eine externe Zeitquelle oder eine einzige Zeitquelle innerhalb des Netzwerks<br />
für die Synchronisierung aller Computer zu verwenden.<br />
• Die AD DS-Replikation schlägt fehl oder verzögert sich. Beim Kerberos-Ticketerteilungsvorgang<br />
werden Kontokennworthashes verwendet. Wenn das Kennwort eines Benutzers oder Computers<br />
kürzlich geändert wurde und das neue Kennwort nicht in der Umgebung repliziert wurde, kann<br />
das KDC ein Dienstticket mit dem falschen geheimen Schlüssel verschlüsseln. in diesem Fall<br />
schlägt die Kerberos-Authentifizierung fehl.
Kerberos-Sicherheit 297<br />
• UDP-Pakete können zwischen dem Clientcomputer und den Domänencontrollern fragmentiert<br />
werden. Standardmäßig verwendet die Kerberos-Authentifizierung UDP zum Übertragen der<br />
Daten. UDP gewährt jedoch keine Garantie, dass ein im Netzwerk gesendetes Paket unbeschädigt<br />
sein Ziel erreicht. In Umgebungen mit sehr starkem Netzwerkdatenverkehr gehen Pakete auf<br />
ihrem Weg zum Ziel häufig verloren oder werden fragmentiert. Sie können eine Diagnose für die<br />
UDP-Fragmentierung stellen, indem Sie die vom Netzwerkmonitor gesammelten Daten überprüfen.<br />
Wenn durch starken Netzwerkdatenverkehr eine UDP-Fragmentierung verursacht wird, sollten<br />
Sie den Kerberos-Authentifizierungsdienst für TCP statt UDP konfigurieren. TCP garantiert,<br />
dass ein gesendetes Paket sein Ziel intakt erreicht, und kann daher in jeder Netzwerkumgebung<br />
verwendet werden. Informationen dazu, wie Sie die Kerberos-Authentifizierung zur Nutzung von<br />
TCP zu veranlassen, finden Sie unter „So erzwingen Sie, dass Kerberos in Windows Server 2003,<br />
Windows XP und Windows 2000 TCP anstelle von UDP verwendet“ in der Microsoft Knowledge<br />
Base unter http://support.microsoft.com/kb/244474.<br />
• Benutzer können Mitglieder in zu vielen Gruppen sein. Nach der erfolgreichen Authentifizierung<br />
des Benutzers überträgt das KDC PAC-Daten (Privilege Attribute Certificate) im TGT. Das PAC<br />
enthält verschiedene Typen von Autorisierungsdaten, einschließlich der Gruppen, denen der<br />
Benutzer angehört, der Rechte des Benutzers und der für den Benutzer gültigen Richtlinien. Wenn<br />
der Client ein Ticket erhält, wird anhand der im PAC enthaltenen Informationen das Zugriffstoken<br />
des Benutzers generiert. Um die Leistung zu optimieren, wird die Puffergröße für das PAC<br />
vorbelegt. Die vorbelegte Puffergröße ist normalerweise ausreichend, um die gesamten Autorisierungsdaten<br />
aufzunehmen. Wenn ein Benutzer jedoch sehr vielen Gruppen angehört – von über 70<br />
bis zu über 120, je nach Art der Gruppen – kann die Größe des PAC die vorbelegte Puffergröße<br />
überschreiten. In solch einem Fall generiert das System einen Speicherzuweisungsfehler, die PAC-<br />
Erstellung schlägt fehl, und der Kerberos-Ticketerteilungsdienst kann entweder kein gültiges<br />
Ticket generieren oder generiert ein Ticket mit einem leeren PAC. Mithilfe des Tools Tokensz.exe<br />
können Sie überprüfen, ob dieses Problem vorliegt. Falls ja, können Sie die Anzahl an Gruppen<br />
reduzieren, denen der Benutzer angehört, oder die Registrierung bearbeiten und den Wert Max-<br />
TokenSize für Domänenarbeitsstationen erhöhen. Informationen hierzu finden Sie unter „New<br />
Resolution for Problems with Kerberos Authentication When Users Belong to Many Groups“ in<br />
der Microsoft Knowledge Base unter http://support.microsoft.com/kb/327825.<br />
• Der Dienstprinzipalname für den angeforderten Server ist möglicherweise nicht verfügbar. Dienstprinzipalnamen<br />
(Service Principal Names (SPNs) sind eindeutige Kennungen für auf Servern ausgeführte<br />
Dienste. Jeder Dienst, der die Kerberos-Authentifizierung nutzt, muss einen SPN<br />
besitzen, damit die Clients den Dienst im Netzwerk erkennen können. Er wird in AD DS unter<br />
einem Benutzer- oder Computerkonto als Attribut namens service-Principal-Name registriert. Der<br />
SPN wird dem Konto zugeordnet, unter dem der Dienst oder die Anwendung ausgeführt wird.<br />
Jeder Dienst kann den SPN für einen anderen Dienst nachschlagen. Wenn ein Dienst sich an<br />
einem anderen Dienst authentifziert, unterscheidet er diesen Dienst anhand des SPN von anderen<br />
Diensten, die auf demselben Computer ausgeführt werden. Im Allgemeinen sollten SPNs festgelegt<br />
werden, wenn Sie ein Computerkonto erstellen. Wird für einen Dienst kein SPN eingestellt,<br />
kann das KDC diesen Dienst nicht finden. Da mehrere Dienste gleichzeitig unter demselben<br />
Konto ausgeführt werden können, sind zum Festlegen eines SPN vier Informationen erforderlich,<br />
um den SPN eindeutig zu definieren:<br />
Die Dienstklasse, mit der Sie zwischen mehreren Diensten unterscheiden können, die unter<br />
demselben Konto ausgeführt werden<br />
Das Konto, unter dem der Dienst ausgeführt wird
298 Kapitel 8: <strong>Active</strong> <strong>Directory</strong>-Domänendienstsicherheit<br />
Der Computer, auf dem der Dienst ausgeführt wird, einschließlich Aliasnamen, die auf den<br />
Computer verweisen<br />
Der Port, auf dem der Dienst ausgeführt wird<br />
Diese vier Informationen dienen der eindeutigen Identifikation jedes Dienstes, der in einem Netzwerk<br />
ausgeführt wird, und können zur wechselseitigen Authentifizierung an jedem Dienst verwendet<br />
werden. Wenn der SPN für einen Dienst in AD DS nicht registriert ist, konfigurieren Sie den SPN<br />
mithilfe des Dienstprogramms Setspn.exe. Einzelheiten finden Sie im englischsprachigen Artikel<br />
„Service Logons Fail Due to Incorrectly Set SPNs“ unter http://technet2.microsoft.com/windowsserver/en/library/579246c8-2e32-4282-bce7-3209d1ea8bf11033.mspx?mfr=true.<br />
Dienstprinzipalnamen müssen eindeutig sein. Ein weiteres häufig auftretendes Problem im Zusammenhang<br />
mit Dienstprinzipalnamen ist, dass derselbe SPN für mehrere Konten (Benutzer oder Computer)<br />
definiert wurde. Die beste Möglichkeit, dies zu überprüfen, ist eine LDAP-Abfrage, über die<br />
nach Konten mit doppelten SPNs gesucht wird. Einzelheiten hierzu finden Sie im Artikel „Ereigniskennung<br />
11 im Systemprotokoll von Domänencontrollern“ unter http://support.microsoft.com/kb/<br />
321044.<br />
NTLM-Authentifizierung<br />
Die zweite Option zur Authentifizierung an einem Windows Server 2008-Domänencontroller ist die<br />
Verwendung der NTLM-Authentifizierung. Die NTLM-Authentifizierung wird hauptsächlich zur<br />
Abwärtskompatibilität mit Clientcomputern unter Windows NT 4.0, Windows 95 und Windows 98<br />
unterstützt. Dieses Protokoll wird in folgenden Situationen eingesetzt:<br />
• Wenn ein Computer unter Windows 95, Windows 98 oder Windows NT sich an einem Windows<br />
Server 2008-Domänencontroller authentifiziert. Die <strong>Active</strong> <strong>Directory</strong>-Clienterweiterung muss auf<br />
Computern unter Windows 95 und Windows 98 installiert sein, da diese Betriebssysteme sich nur<br />
über das LAN Manager-Protokoll authentifizieren können.<br />
• Wenn ein Computer unter Windows XP Professional oder Windows Server 2008 sich an einem<br />
Server unter Windows NT 4 authentifiziert.<br />
• Wenn ein beliebiger Client auf einen eigenständigen Server unter Windows Server 2008 zugreift.<br />
• Wenn ein Client unter Windows XP Professional oder Windows 2000 versucht, sich an einem<br />
Windows Server 2008-Domänencontroller anzumelden, sich jedoch über das Kerberos-Protokoll<br />
nicht authentifizieren kann. In diesem Fall kann die NTLM-Authentifizierung als Alternative verwendet<br />
werden.<br />
Weitere Informationen Die <strong>Active</strong> <strong>Directory</strong>-Clienterweiterung steht zum Download unter „SO WIRD'S<br />
GEMACHT: Installieren von <strong>Active</strong> <strong>Directory</strong> Client Extension“ unter der Adresse http://support.microsoft.com/kb/288358<br />
zur Verfügung.<br />
Das NTLM-Protokoll ist wesentlich weniger sicher als Kerberos. Mit Windows NT 4 Service Pack 4<br />
hat Microsoft eine neue Version des NTLM-Protokolls namens NTLMv2 eingeführt. Diese neue Version<br />
enthält zusätzliche Sicherheitsfunktionen, wie die Erstellung eines eindeutigen Sitzungsschlüssels<br />
bei jeder neuen Verbindungsherstellung sowie einen erweiterten Schlüsselaustauschprozess zum<br />
Schutz der Sitzungsschlüssel.<br />
NTLM verwendet einen Anfrage/Antwort-Mechanismus zum Authentifizieren von Benutzern und<br />
Computern. Bei diesem Format wird der Benutzer aufgefordert (Anfrage), einige persönliche Informationen<br />
bereitzustellen (Antwort).
NTLM-Authentifizierung 299<br />
Windows Server 2008 unterstützt die folgenden drei Methoden der Anfrage/Antwort-Authentifizierung:<br />
• LAN Manager (LM) Die LM-Authentifizierung ist die am wenigsten sichere Form der Anfrage/<br />
Antwort-Authentifizierung. Sie können die LM-Authentifizierung einsetzen, um Kompatibilität<br />
mit älteren Betriebssystemen wie Windows 95 und Windows 98 bereitzustellen, auf denen die<br />
<strong>Active</strong> <strong>Directory</strong>-Clienterweiterung nicht installiert ist. Es gibt auch frühere Anwendungen, die<br />
auf diesem Authentifizierungsmechanismus beruhen. Allerdings ist die LM-Authentifizierung das<br />
schwächste Protokoll, da ein Kennwort nach seiner Erstellung und Speicherung für LM in Großbuchstaben<br />
konvertiert wird. Das Kennwort ist auf 14 Zeichen beschränkt, die auf dem Computer<br />
in zwei Hashes aus je sieben Zeichen gespeichert werden.<br />
• NTLM, Version 1 Diese Form der Anfrage/Antwort-Authentifizierung ist sicherer als LM. Sie wird<br />
zum Herstellen von Verbindungen mit Servern unter Microsoft Windows NT mit Service Pack 3<br />
oder früher verwendet. NTLMv1 nutzt die 56-Bit-Verschlüsselung zum Sichern des Protokolls.<br />
• NTLM, Version 2 Dies ist die sicherste Form der Anfrage/Antwort-Authentifizierung. Diese Version<br />
enthält einen sicheren Kanal zum Schutz des Authentifizierungsvorgangs. Sie wird zum Verbinden<br />
mit Servern unter Windows 2000, Windows XP und Windows NT mit Service Pack 4 oder<br />
höher eingesetzt. NTLMv2 nutzt die 128-Bit-Verschlüsselung zum Sichern des Protokolls.<br />
Domänencontroller unter Windows Server 2008 können alle Arten von Authentifizierungsprotokollen<br />
annehmen, einschließlich LM, NTLMv1 und NTLMv2 sowie Kerberos, um die Kompatibilität mit<br />
früheren Betriebssystemen zu gewährleisten. Um sicherzustellen, dass Computer in Ihrem Unternehmen<br />
nur die sichersten Authentifizierungsprotokolle annehmen, können Sie die Gruppenrichtlinien für<br />
die ausschließliche Unterstützung der sichersten Protokolle wie NTLMv2 und Kerberos konfigurieren.<br />
Windows Server 2008 stellt die folgenden beiden Optionen zum Verbessern der Authentifizierungssicherheit<br />
über die Gruppenrichtlinien bereit. Beide Optionen stehen im Abschnitt Computerkonfiguration\Richtlinien\Windows-Einstellungen\Sicherheitseinstellungen\Lokale<br />
Richtlinien\Sicherheitsoptionen<br />
zur Verfügung.<br />
• Netzwerksicherheit: Keine LAN Manager-Hashwerte für nächste Kennwortänderung speichern Standardmäßig<br />
ist diese Option in einer Windows Server 2008-Domäne aktiviert und wird durch die<br />
Standarddomänenrichtlinie durchgesetzt. Das bedeutet, dass die Richtlinie für alle Mitgliedsserver<br />
und für Domänencontroller gilt. Wenn diese Option aktiviert ist, erstellt der Server bei der<br />
nächsten Kennwortänderung des Benutzers keine Kopie des LAN Manager-Kennworthashwerts.<br />
Sicherheitswarnung Wenn Sie LAN Manager-Kennworthashwerte speichern, kann jeder, der Zugriff<br />
auf die AD DS-Datenspeicherdatei erlangt, die Benutzerkennwörter aus der Datei extrahieren. Es empfiehlt<br />
sich, diese Option in einer Windows Server 2008-Domäne niemals zu deaktivieren. Wenn die Option<br />
deaktiviert wurde, stellen Sie fest, ob diese Einstellung für irgendwelche Anwendungen oder Clientbetriebssysteme<br />
erforderlich ist. Wenn bestimmte Server diese Option verlangen, verschieben Sie diese<br />
Server in eine separate OU, und deaktivieren Sie die Option nur für diese OU. Wenn Sie diese Einstellung<br />
von deaktiviert in aktiviert ändern, sollten Sie alle Benutzer zwingen, ihre Kennwörter zu ändern, damit alle<br />
LAN Manager-Hashes aus dem AD DS-Datenspeicher gelöscht werden.<br />
• Netzwerksicherheit: LAN Manager-Authentifizierungsebene Diese Einstellung gibt die Mindestebene<br />
für die Authentifizierung an, die von allen Clients im Netzwerk unterstützt werden muss.<br />
Die Konfigurationsoptionen sind in Tabelle 8.2 aufgeführt.
300 Kapitel 8: <strong>Active</strong> <strong>Directory</strong>-Domänendienstsicherheit<br />
Tabelle 8.2<br />
LAN Manager-Authentifizierungseinstellungen<br />
Ebene Einstellung Ergebnis<br />
0 LM- und NTLM-Antworten<br />
senden<br />
1 LM- und NTLM-Antworten<br />
senden (NTLMv2-Sitzungssicherheit<br />
verwenden, wenn<br />
ausgehandelt)<br />
Clients verwenden die LM- und NTLM-Authentifizierung und niemals die<br />
NTLMv2-Sitzungssicherheit; Domänencontroller akzeptieren die LM-, NTLMund<br />
NTLMv2-Authentifizierung.<br />
Clients verwenden die LM- und NTLM-Authentifizierung und nutzen die<br />
NTLMv2-Sitzungssicherheit, sofern sie vom Server unterstützt wird; Domänencontroller<br />
akzeptieren die LM-, NTLM- und NTLMv2-Authentifizierung.<br />
2 Nur NTLM-Antworten senden Clients verwenden nur die NTLM-Authentifizierung und nutzen die NTLMv2-<br />
Sitzungssicherheit, sofern sie vom Server unterstützt wird; Domänencontroller<br />
akzeptieren die LM-, NTLM- und NTLMv2-Authentifizierung.<br />
3 Nur NTLMv2-Antwort senden Clients verwenden nur die NTLMv2-Authentifizierung und nutzen die<br />
NTLMv2-Sitzungssicherheit, sofern sie vom Server unterstützt wird; Domänencontroller<br />
akzeptieren die LM-, NTLM- und NTLMv2-Authentifizierung.<br />
4 Nur NTLMv2-Antwort senden\<br />
LM ablehnen<br />
5 Nur NTLMv2-Antwort senden\<br />
LM & NTLM ablehnen<br />
Clients verwenden nur die NTLMv2-Authentifizierung und nutzen die<br />
NTLMv2-Sitzungssicherheit, sofern sie vom Server unterstützt wird. Domänencontroller<br />
lehnen LM ab und akzeptieren nur die NTLM- und die NTLMv2-<br />
Authentifizierung.<br />
Clients verwenden nur die NTLMv2-Authentifizierung und nutzen die<br />
NTLMv2-Sitzungssicherheit, sofern sie vom Server unterstützt wird; Domänencontroller<br />
lehnen LM und NTLM ab und akzeptieren nur die NTLMv2-<br />
Authentifizierung.<br />
Standardmäßig wird diese Einstellung auf Ebene 3, Nur NTLMv2-Antwort senden, für die Standard-<br />
Domänencontrollerrichtlinie unter Windows Server 2008 konfiguriert. Es empfiehlt sich, die Authentifizierungsebene<br />
auf Ebene 4 oder höher zu ändern, um sicherzustellen, dass der Domänencontroller<br />
keine LM-Authentifizierung akzeptiert. Dies kann in einigen Anwendungen, die auf früheren Authentifizierungsmethoden<br />
beruhen, zu einem Fehler führen.<br />
Weitere Informationen Eine detaillierte Erläuterung der Probleme, die beim Erhöhen der Sicherheitseinstellungen<br />
für die LM-Authentifizierung entstehen können, sowie weitere Sicherheitseinstellungen finden Sie<br />
unter „Nach dem Ändern von Sicherheitseinstellungen und Benutzerrechten können Inkompatibilitäten mit<br />
Clients, Diensten und Programmen auftreten“ unter http://support.microsoft.com/kb/823659/de-de.<br />
Implementieren der Sicherheit für Domänencontroller<br />
Zusätzlich zur Konfiguration der AD DS-Sicherheit durch Konfigurieren der Authentifizierungseinstellungen<br />
sollten Sie auch weitere Schritte zum Sichern der Domänencontroller ergreifen. Da auf den<br />
Domänencontrollern alle AD DS-Daten gespeichert sind, ist das Absichern der Domänencontroller<br />
ein wichtiger Schritt zur Erhöhung der Sicherheit Ihrer AD DS-Bereitstellung.<br />
Hinweis Zwei Hauptkomponenten bei der Planung der Domänensicherheit sind die Konfiguration sicherer<br />
Domänengrenzen und die Planung der physischen Sicherheit Ihrer Domänencontroller. In Kapitel 5, „Entwerfen<br />
der <strong>Active</strong> <strong>Directory</strong>-Domänendienstestruktur“, finden Sie Einzelheiten zum Entwerfen der administrativen Isolation<br />
und Autonomie sowie zu Planungsüberlegungen hinsichtlich der Bereitstellung schreibgeschützter Domänencontroller<br />
an Standorten, in denen die physische Sicherheit von Domänencontrollern nicht gewährleistet<br />
werden kann.
Verringern der Angriffsfläche von Domänencontrollern<br />
Implementieren der Sicherheit für Domänencontroller 301<br />
Der erste Schritt bei der Absicherung von Domänencontrollern besteht darin, die Angriffsfläche des<br />
Domänencontrollers zu verringern. Hierdurch reduzieren Sie die Anzahl an Optionen, die einem<br />
Angreifer für das Erlangen von Zugriff auf den Domänencontroller zur Verfügung stehen. Normalerweise<br />
bedeutet dies, dass Sie sämtliche Anwendungen entfernen und alle Dienste deaktivieren, die auf<br />
dem Domänencontroller nicht erforderlich sind.<br />
Eines der besten erhältlichen Tools zum Verringern der Angriffsfläche eines Domänencontrollers ist<br />
der Sicherheitskonfigurations-Assistent. Wenn Sie den Sicherheitskonfigurations-Assistenten ausführen,<br />
untersucht dieser die tatsächliche Konfiguration des Zielservers. Basierend auf den Informationen,<br />
die während dieser Untersuchung gesammelt werden, stellt der Sicherheitskonfigurations-Assistent<br />
fest, welche Serverrollen, Clientfunktionen und anderen Komponenten auf dem Computer<br />
installiert und aktiviert sind. Anschließend stellt der Sicherheitskonfigurations-Assistent anhand einer<br />
Sicherheitskonfigurationsdatenbank fest, welche Dienste und Einstellungen auf dem Server aktiviert<br />
sein müssen. Der Sicherheitskonfigurations-Assistent nutzt diese Informationen und die Entscheidungen,<br />
die Sie bei der Erstellung einer Sicherheitskonfigurationsrichtlinie treffen, um folgende Aufgaben<br />
durchzuführen:<br />
• Deaktivieren nicht erforderlicher Dienste. Basierend auf den installierten Serverrollen deaktiviert<br />
die Sicherheitskonfigurationsrichtlinie alle Dienste, die auf dem Server nicht erforderlich sind. Sie<br />
können den Sicherheitskonfigurations-Assistenten auch so konfigurieren, dass die Starteinstellungen<br />
von Diensten, die in der Sicherheitskonfigurationsdatenbank nicht enthalten sind, deaktiviert<br />
oder nicht verändert werden.<br />
• Konfigurieren der Windows-Firewall. Wenn Sie eine Sicherheitskonfigurationsrichtlinie anwenden,<br />
blockiert diese den Zugriff auf den Server für alle Ports, die nicht zum Bereitstellen der Serverrollenfunktionalität<br />
erforderlich sind. Sie können die Richtlinie außerdem so konfigurieren,<br />
dass weitere Adress- oder Sicherheitseinschränkungen für offen gebliebene Ports angewendet<br />
werden. Beispielsweise kann die Windows-Firewall so konfiguriert werden, dass nur Verbindungen<br />
aus einem lokalen Subnetz oder nur für bestimmte Protokolle zugelassen werden, wenn<br />
die Verbindung über IPSec gesichert wird.<br />
• Verbieten unnötiger IIS-Weberweiterungen. Wenn IIS auf dem Server installiert ist, können nicht<br />
benötigte IIS-Weberweiterungen über die Sicherheitskonfigurationsrichtlinie deaktiviert werden.<br />
• Reduzieren der Protokollfreilegung für SMB (Server Message Block), LanMan und LDAP (Lightweight<br />
<strong>Directory</strong> Access Protocol).<br />
• Bei Ausführung des Sicherheitskonfigurations-Assistenten können Sie wählen, welche Client- und<br />
Servertypen in Ihrem Netzwerk verwendet werden. Basierend auf Ihren Entscheidungen kann der<br />
Sicherheitskonfigurations-Assistent die Server so konfigurieren, dass nur verschlüsselte SMBoder<br />
LDAP-Verbindungen akzeptiert und LAN Manager-Verbindungen deaktiviert werden.<br />
• Konfigurieren einer Überwachungsrichtlinie. Beim Ausführen des Sicherheitskonfigurations-<br />
Assistenten können Sie auch eine Überwachungsrichtlinie für den Server konfigurieren.<br />
Auf der Grundlage der ausgewählten Serverrollen leitet der Sicherheitskonfigurations-Assistent Sie<br />
durch den Vorgang der Erstellung, Bearbeitung, Anwendung oder Rücksetzung einer Sicherheitsrichtlinie.<br />
Der Sicherheitskonfigurations-Assistent besteht aus drei Komponenten:<br />
• Benutzeroberfläche des Assistenten Der Sicherheitskonfigurations-Assistent leitet Sie, basierend<br />
auf den von einem bestimmten Server durchgeführten Rollen, durch den Vorgang zur Erstellung<br />
einer Sicherheitsrichtlinie.
302 Kapitel 8: <strong>Active</strong> <strong>Directory</strong>-Domänendienstsicherheit<br />
Nachdem eine Richtlinie erstellt wurde, kann diese bearbeitet oder auf einen oder mehrere ähnlich<br />
konfigurierte Server angewendet werden. Für angewandte Richtlinien kann ein Rollback ausgeführt<br />
werden, um Änderungen rückgängig zu machen, die Probleme verursacht haben.<br />
• Befehlszeilenprogramm Scwcmd Der Sicherheitskonfigurations-Assistent umfasst das Befehlszeilenprogramm<br />
Scwcmd.exe. Mit Scwcmd können Sie folgende Aufgaben ausführen:<br />
Konfigurieren eines oder mehrerer Server mit einer vom Sicherheitskonfigurations-Assistenten<br />
generierten Richtlinie.<br />
Analysieren eines oder mehrerer Server mit einer vom Sicherheitskonfigurations-Assistenten<br />
generierten Richtlinie.<br />
Anzeigen von Analyseergebnissen in HTML-Format.<br />
Durchführen eines Rollbacks der Sicherheitskonfigurationsrichtlinien.<br />
Umwandeln einer vom Sicherheitskonfigurations-Assistenten generierten Richtlinie in<br />
systemeigene Dateien, die von Gruppenrichtlinien unterstützt werden.<br />
Registrieren der Erweiterung einer Sicherheitskonfigurationsdatenbank beim Sicherheitskonfigurations-Assistenten.<br />
Hinweis Wenn Sie Scwcmd zum Konfigurieren, Analysieren oder Rollback einer Richtlinie auf einem<br />
Remoteserver einsetzen, muss der Sicherheitskonfigurations-Assistent auf dem Remoteserver installiert<br />
sein.<br />
• Sicherheitskonfigurationsdatenbank Die Sicherheitskonfigurationsdatenbank besteht aus einer<br />
Reihe von XML-Dokumenten, in denen Dienste und Ports aufgeführt sind, die für die einzelnen<br />
vom Sicherheitskonfigurations-Assistenten unterstützten Serverrollen erforderlich sind. Diese<br />
Dateien werden unter %Systemroot%\Security\Msscw\KBs installiert. Wenn Sie den Sicherheitskonfigurations-Assistenten<br />
starten, stellt dieser anhand der Sicherheitskonfigurationsdatenbank<br />
Folgendes fest:<br />
Welche Rollen auf dem Server installiert sind<br />
Welche Rollen wahrscheinlich durch den Server ausgeführt werden<br />
Welche Dienste installiert, jedoch nicht Bestandteil der Sicherheitskonfigurationsdatenbank<br />
sind<br />
Die IP-Adressen und Subnetze, die für den Server konfiguriert wurden<br />
Der Sicherheitskonfigurations-Assistent fasst diese serverspezifischen Informationen in einer einzigen<br />
XML-Datei namens Main.XML zusammen. Die Datei Main.XML wird angezeigt, wenn Sie im<br />
Sicherheitskonfigurations-Assistenten auf der Seite Die Sicherheitskonfigurationsdatenbank verarbeiten<br />
auf Sicherheitskonfigurationsdatenbank anzeigen klicken. Abbildung 8.8 zeigt die Informationen,<br />
die für die Domänencontrollerrolle eines Servers unter Windows Server 2008 angezeigt werden.<br />
Auf der DVD Ein Beispiel einer für einen Domänencontroller konfigurierten Sicherheitskonfigurationsrichtlinie<br />
finden Sie in der Datei SampleDC_SCWPolicy.xml auf der Begleit-CD. Diese Datei kann im Internet<br />
Explorer oder über den Sicherheitskonfigurations-Assistenten geöffnet werden.
Implementieren der Sicherheit für Domänencontroller 303<br />
Abbildung 8.8<br />
Domänencontrollerdienste und Firewallregeln des Sicherheitskonfigurations-Assistenten.<br />
Nach dem Konfigurieren einer Sicherheitskonfigurationsrichtlinie können Sie diese auf den Server<br />
anwenden, auf dem Sie die Richtlinie konfiguriert haben. Außerdem können Sie diese Sicherheitskonfigurationsrichtlinie<br />
auf andere Computer mit derselben Konfiguration anwenden, indem Sie mithilfe<br />
des Tools Scwcmd die Richtlinie entweder direkt anwenden oder in ein Gruppenrichtlinienobjekt<br />
umwandeln, das anschließend mit der OU Domain Controllers verknüpft werden kann. Einzelheiten<br />
hierzu finden Sie in Kapitel 13.<br />
Achtung Gehen Sie mit Sorgfalt vor, wenn Sie eine auf einem Computer konfigurierte Sicherheitskonfigurationsrichtlinie<br />
auf andere Computer anwenden. Die Sicherheitskonfigurationsrichtlinie wird speziell für<br />
einen bestimmten Computer erstellt. Wenn daher die anderen Computer eine andere Konfiguration besitzen<br />
(beispielsweise andere Serverrollen oder Anwendungen ausführen), kann die Sicherheitskonfigurationsrichtlinie<br />
Dienste deaktivieren oder Firewallports blockieren. Stellen Sie sicher, dass alle Server über dieselbe<br />
Konfiguration verfügen, bevor Sie die Richtlinie anwenden.
304 Kapitel 8: <strong>Active</strong> <strong>Directory</strong>-Domänendienstsicherheit<br />
Konfigurieren der Standard-Domänencontrollerrichtlinie<br />
Zusätzlich zum Verringern der Angriffsfläche von Domänencontrollern können Sie auch Gruppenrichtlinien<br />
zum Erhöhen der Sicherheit Ihrer Domänencontrollerbereitstellung einsetzen. Bei der<br />
Bereitstellung einer Windows Server 2008-Domäne werden die beiden folgenden Standard-GPOs<br />
erstellt und auf die Domäne sowie auf die OU Domain Controllers angewandt:<br />
• Standarddomänenrichtlinie, die mit dem Domänenobjekt verknüpft wird und sich durch Richtlinienvererbung<br />
auf alle Benutzer und Computer in der Domäne auswirkt (einschließlich Computer,<br />
die als Domänencontroller eingesetzt werden).<br />
• Standard-Domänencontrollerrichtlinie, die mit der OU Domain Controllers verknüpft ist. Diese<br />
Richtlinie betrifft generell nur Domänencontroller, da standardmäßig Computerkonten für Domänencontroller<br />
in der OU Domain Controllers abgelegt werden.<br />
Sie können Sicherheitsrichtlinien sowohl über die Standarddomänenrichtlinie als auch über die<br />
Standard-Domänencontrollerrichtlinie konfigurieren. Standardmäßig werden alle auf Domänenebene<br />
definierten Richtlinien von OUs in der Domäne übernommen, sofern die Richtlinienvererbung nicht<br />
blockiert ist oder eine mit der OU verknüpfte Richtlinie keine Einstellungen enthält, welche die<br />
Domänenrichtlinien außer Kraft setzen. Durch Anwenden der spezifischen Sicherheitseinstellungen<br />
für Domänencontroller in der Standard-Domänencontrollerrichtlinie oder in einem anderen GPO, das<br />
mit der OU Domain Controllers verknüpft ist, können Sie Sicherheitsrichtlinieneinstellungen anwenden,<br />
die speziell für Domänencontroller, jedoch nicht für alle Benutzer, Gruppen und Computer in der<br />
Domäne gelten.<br />
Hinweis Dieses Kapitel befasst sich hauptsächlich mit der Domänencontrollersicherheit, daher legen wir<br />
den Schwerpunkt auf Einstellungen, die in der Standard-Domänencontrollerrichtlinie zur Verfügung stehen.<br />
Einzelheiten zur Konfiguration der Sicherheitseinstellungen in der Standarddomänenrichtlinie finden Sie in<br />
Kapitel 13. Einzelheiten zur Konfiguration der Gruppenrichtlinien, einschließlich der Konfiguration von Gruppenrichtlinienverknüpfungen<br />
und -vererbung, finden Sie in Kapitel 11, „Einführung in Gruppenrichtlinien“.<br />
Konfigurieren von Überwachungsrichtlinieneinstellungen für Domänencontroller<br />
Eine der Hauptkomponenten in einer Sicherheitsrichtlinie für Domänencontroller ist die Überwachung<br />
von Änderungen, die an Domänencontrollern vorgenommen werden. Durch die Überwachung der an<br />
Domänencontrollern vorgenommenen Änderungen können Sie herausfinden, wer für Verzeichnisänderungen<br />
verantwortlich ist und wann die Änderungen durchgeführt wurden.<br />
In Windows Server 2008 werden einige wichtige Änderungen an der Überwachung von Domänencontrollern<br />
eingeführt. In Windows 2000 Server und Windows Server 2003 gab es eine Überwachungsrichtlinie<br />
Verzeichnisdienstzugriff überwachen, mit der man steuern konnte, ob die Überwachung von<br />
Verzeichnisdienstereignissen aktiviert oder deaktiviert war. Unter Windows Server 2008 ist diese<br />
Richtlinie in vier Unterkategorien unterteilt:<br />
• Verzeichnisdienstzugriff<br />
• Verzeichnisdienständerungen<br />
• Verzeichnisdienstreplikation<br />
• Detaillierte Verzeichnisdienstreplikation
Implementieren der Sicherheit für Domänencontroller 305<br />
Hinweis Diese Unterkategorien sind im Gruppenrichtlinienverwaltungs-Editor nicht sichtbar. Zum Anzeigen<br />
und Konfigurieren der Unterkategorien können Sie das Befehlszeilenprogramm Auditpol.exe verwenden.<br />
Um die aktuellen Überwachungseinstellungen für den Verzeichnisdienstzugriff anzuzeigen, geben Sie<br />
Folgendes ein: Auditpol /get /category:“ds access”.<br />
Aus der Sicht der Sicherheitsüberwachung ist die wichtigste neue Funktion die Unterkategorie Verzeichnisdienständerungen.<br />
Diese neue Unterkategorie fügt die folgende Funktionalität hinzu:<br />
• Wenn Sie ein Attribut für ein Objekt ändern, protokollieren die AD DS den vorherigen und den<br />
aktuellen Wert des Attributs. Wenn das Attribut mehrere Werte besitzt, werden nur die Werte protokolliert,<br />
die sich als Ergebnis des Änderungsvorgangs ändern.<br />
• Wird ein neues Objekt erstellt, werden die Werte der Attribute protokolliert, die zum Zeitpunkt<br />
der Erstellung aufgefüllt werden. Wenn Attribute während des Erstellungsvorgangs hinzugefügt<br />
werden, erfolgt eine Protokollierung dieser neuen Attribute. In den meisten Fällen weisen die AD<br />
DS den Attributen Standardwerte (wie samAccountName) zu. Die Werte solcher Systemattribute<br />
werden nicht protokolliert.<br />
• Wenn ein Objekt innerhalb der Domäne verschoben wird, werden der bisherige und der neue<br />
Speicherort (in Form des definierten Namens) protokolliert. Beim Verschieben eines Objekts in<br />
eine andere Domäne wird ein Erstellungsereignis auf dem Domänencontroller in der Zieldomäne<br />
generiert.<br />
• Wird ein Objekt wiederhergestellt, wird der Speicherort protokolliert, an den das Objekt verschoben<br />
wird. Wenn der Benutzer Attribute bei einem Wiederherstellungsvorgang hinzufügt, bearbeitet<br />
oder löscht, werden auch die Werte dieser Attribute protokolliert.<br />
Standardmäßig ist die Überwachungskategorie Verzeichnisdienstzugriff überwachen in der OU<br />
Default Domain Controllers nicht aktiviert, die Unterkategorie Verzeichnisdienstzugriff hingegen ist<br />
aktiviert. Diese Überwachungsrichtlinie protokolliert, wenn Administratoren auf Objekte in AD DS<br />
zugreifen; die Änderungen an diesen Objekten werden jedoch nicht festgehalten. Um die Überwachung<br />
von Verzeichnisdienständerungen zu aktivieren, können Sie die Option Verzeichnisdienstzugriff<br />
überwachen in der Überwachungsrichtlinie der Standard-Domänencontrollerrichtlinieaktivieren.<br />
Wenn Sie diese Option aktivieren, werden alle Unterkategorien ebenfalls aktiviert.<br />
Um nur die Unterkategorie Verzeichnisdienständerungen zu aktivieren, müssen Sie das Befehlszeilenprogramm<br />
Auditpol.exe verwenden und folgenden Befehl ausführen:<br />
auditpol /set /subcategory:"directory service changes" /success:enable<br />
In Windows Server 2008 werden außerdem Unterkategorien unter den anderen Überwachungskategorien<br />
eingeführt. Die Kategorien, Unterkategorien und Standardeinstellungen für AD DS-spezifische<br />
Überwachungseinstellungen sind in Tabelle 8.3 aufgeführt. Um diese Überwachungseinstellungen<br />
anzuzeigen, geben Sie an einer Eingabeaufforderung den Befehl Auditpol /get /category:* ein.<br />
Tabelle 8.3<br />
Konfigurieren von Überwachungsrichtlinieneinstellungen für Domänencontroller<br />
Kategorie Unterkategorie Standardeinstellung<br />
Anmeldeereignisse Anmelden<br />
Erfolg und Fehler<br />
überwachen<br />
Anmeldeereignisse Abmelden<br />
Erfolg<br />
überwachen<br />
Kontosperrung<br />
Erfolg
306 Kapitel 8: <strong>Active</strong> <strong>Directory</strong>-Domänendienstsicherheit<br />
Tabelle 8.3<br />
Konfigurieren von Überwachungsrichtlinieneinstellungen für Domänencontroller (Fortsetzung)<br />
Kategorie Unterkategorie Standardeinstellung<br />
Keine Überwachung<br />
Anmeldeereignisse<br />
überwachen<br />
Anmeldeereignisse<br />
überwachen<br />
Anmeldeereignisse<br />
überwachen<br />
Anmeldeereignisse<br />
überwachen<br />
Richtlinienänderungen<br />
überwachen<br />
Richtlinienänderungen<br />
überwachen<br />
Richtlinienänderungen<br />
überwachen<br />
Kontenverwaltung<br />
überwachen<br />
Kontenverwaltung<br />
überwachen<br />
Kontenverwaltung<br />
überwachen<br />
Kontenverwaltung<br />
überwachen<br />
Anmeldeversuche<br />
überwachen<br />
Anmeldeversuche<br />
überwachen<br />
Anmeldeversuche<br />
überwachen<br />
Anmeldeversuche<br />
überwachen<br />
IPSec-Hauptmodus, IPSec-Erweiterungsmodus, IPSec-Schnellmodus<br />
Spezielle Anmeldung<br />
Andere Anmelde-/Abmeldeereignisse<br />
Netzwerkrichtlinienserver<br />
Richtlinienänderungen überwachen<br />
Authentifizierungsrichtlinienänderung<br />
Authentifizierungsrichtlinienänderung, MPSSVC-Richtlinienänderung<br />
auf Regelebene, Filterplattform-Richtlinienänderung, Andere<br />
Richtlinienänderungsereignisse<br />
Benutzerkontenverwaltung<br />
Computerkontoverwaltung<br />
Sicherheitsgruppenverwaltung<br />
Verteilergruppenverwaltung, Anwendungsgruppenverwaltung,<br />
Andere Kontoverwaltungsereignisse<br />
Kerberos-Dienstticketvorgänge<br />
Andere Kontoanmeldungsereignisse<br />
Kerberos-Authentifizierungsdienst<br />
Überprüfung der Anmeldeinformationen<br />
In den meisten Fällen sollten Sie die Standardüberwachungseinstellungen für Domänencontroller<br />
übernehmen, wenn das Ziel Ihrer Überwachungsrichtlinie darin liegt, die Administratoraktivitäten in<br />
AD DS zu überwachen. Wenn Sie die Überwachungsrichtlinie für andere Zwecke verwenden, beispielsweise<br />
zur Angriffserkennung, können Sie auch das Fehlschlagen von Ereignissen wie Anmeldeereignissen<br />
oder Kontoverwaltungsereignissen überwachen. Wenn Sie die Überwachung für eine<br />
der Kategorien aktivieren, wird standardmäßig die Überwachung aller Unterkategorien ebenfalls aktiviert.<br />
Erfolg<br />
Keine Überwachung<br />
Erfolg und Fehler<br />
Erfolg<br />
Erfolg<br />
Keine Überwachung<br />
Erfolg<br />
Erfolg<br />
Erfolg<br />
Keine Überwachung<br />
Erfolg<br />
Keine Überwachung<br />
Hinweis Die Konfiguration der Überwachungsrichtlinie ist nur der erste Schritt zum Aktivieren der AD DS-<br />
Überwachung. Nachdem Sie die Überwachungsrichtlinie konfiguriert haben, müssen Sie die SACL (System<br />
Access Control List) für jedes Objekt konfigurieren, um die Überwachung zu aktivieren. Aktivieren Sie hierzu<br />
die Überwachung für das Domänen- oder OU-Objekt in <strong>Active</strong> <strong>Directory</strong>-Benutzer und -Computer.<br />
Erfolg<br />
Erfolg
Implementieren der Sicherheit für Domänencontroller 307<br />
Konfigurieren von Ereignisprotokoll-Richtlinieneinstellungen für Domänencontroller<br />
Wenn Sie die Überwachungseinstellungen für Domänencontroller konfigurieren, sollten Sie möglicherweise<br />
auch die Einstellungen des Ereignisprotokolls auf den Domänencontrollern ändern. Insbesondere<br />
sollten Sie die maximale Größe des Sicherheitsprotokolls anpassen, damit die erhöhte Anzahl<br />
überwachter Ereignisse darin Platz findet. In Tabelle 8.4 sind die Änderungen aufgeführt, die für die<br />
Ereignisprotokolleinstellungen in der Standard-Domänencontrollerrichtlinie empfohlen werden.<br />
Tabelle 8.4<br />
Empfohlene Ereignisprotokoll-Richtlinieneinstellungen für Domänencontroller<br />
Richtlinie Standardeinstellung Empfohlene<br />
Einstellung<br />
Maximale Größe des<br />
Sicherheitsprotokolls<br />
Lokalen Gastkontozugriff<br />
auf Anwendungsprotokoll<br />
verhindern<br />
Lokalen Gastkontozugriff<br />
auf Sicherheitsprotokoll<br />
verhindern<br />
Lokalen Gastkontozugriff<br />
auf Systemprotokoll<br />
verhindern<br />
Sicherheitsprotokoll-<br />
Aufbewahrung<br />
Systemprotokoll-<br />
Aufbewahrung<br />
Aufbewahrungsmethode<br />
des Sicherheitsprotokolls<br />
Aufbewahrungsmethode<br />
des Systemprotokolls<br />
Nicht definiert; standardmäßig<br />
liegt die maximale<br />
Protokollgröße bei 128<br />
MB<br />
Kommentare<br />
131.072 KB Erhöht, um die in der Überwachungsrichtlinie<br />
der Standard-Domänencontrollerrichtlinie<br />
aktivierte Sicherheitsüberwachung<br />
aufzunehmen<br />
Nicht definiert Aktiviert Hindert Mitglieder der vordefinierten Gruppe<br />
Gast am Lesen der Anwendungsprotokollereignisse<br />
Nicht definiert Aktiviert Hindert Mitglieder der vordefinierten Gruppe<br />
Gast am Lesen der Sicherheitsprotokollereignisse<br />
Nicht definiert Aktiviert Hindert Mitglieder der vordefinierten Gruppe<br />
Gast am Lesen der Systemprotokollereignisse<br />
Nicht definiert (Keine Änderung) Gibt die Anzahl an Tagen an, für die die Ereignisse<br />
aufbewahrt werden, wenn die Aufbewahrungsmethode<br />
für dieses Protokoll<br />
nach Tagen definiert ist<br />
Nicht definiert<br />
(Keine Änderung)<br />
Nicht definiert<br />
Nicht definiert<br />
Ereignisse bei Bedarf<br />
überschreiben<br />
Ereignisse bei Bedarf<br />
überschreiben<br />
Überschreibt das Sicherheitsprotokoll, sobald<br />
die maximale Protokollgröße erreicht<br />
ist, um sicherzustellen, dass das Protokoll<br />
die neuesten Sicherheitsereignisse enthält<br />
und dass die Protokollierung fortgesetzt wird<br />
Überschreibt das Systemprotokoll, sobld die<br />
maximale Protokollgröße erreicht ist, um sicherzustellen,<br />
dass das Protokoll die neuesten<br />
Sicherheitsereignisse enthält und dass<br />
die Protokollierung fortgesetzt wird<br />
Sicherheitswarnung Um sicherzustellen, dass die Überwachungsinformationen aufbewahrt werden, müssen<br />
Sie die System- und Sicherheitsprotokolle regelmäßig archivieren, bevor sie ihre maximale Größe erreicht<br />
haben. Wenn Sie die empfohlenen Einstellungen für die Aufbewahrungsmethode übernehmen, werden die<br />
ältesten Ereignisse überschrieben, sobald die Protokolldateien gefüllt sind. Mit der Aufbewahrungsmethode<br />
Ereignisse nicht überschreiben werden neue Ereignisse nicht in die Protokolldatei geschrieben, wenn diese<br />
ihre maximale Größe erreicht hat.
308 Kapitel 8: <strong>Active</strong> <strong>Directory</strong>-Domänendienstsicherheit<br />
Konfigurieren von Richtlinieneinstellungen für die Benutzerrechtzuweisung auf<br />
Domänencontrollern<br />
Benutzerrechte definieren, welche Art von administrativen oder operativen Aufgaben Benutzer auf<br />
Domänencontrollern durchführen können. Um die Sicherheit von Domänencontrollern zu gewährleisten,<br />
sollten Sie durch die Benutzerrechtzuweisung einschränken, welche Benutzer sich an Domänencontrollern<br />
anmelden und administrative Aufgaben durchführen können.<br />
Wichtig Die meisten Standardeinstellungen für die Benutzerrechts- und Sicherheitsoptionen auf Domänencontrollern<br />
sind für eine optimale Sicherheit konfiguriert. Auch wenn die meisten Einstellungen in der Standard-Domänencontrollerrichtlinie<br />
als Nicht definiert konfiguriert sind, besitzen fast alle Einstellungen einen<br />
Standardwert, der den Sicherheitsanforderungen entspricht. Um den Standardwert anzuzeigen, öffnen Sie die<br />
Eigenschaften der Einstellung, und klicken Sie auf die Registerkarte Erklärung.<br />
Weil die Standardeinstellungen auf Sicherheit ausgelegt sind, müssen Sie die meisten Einstellungen nicht<br />
unbedingt aktivieren oder deaktivieren. Wenn Sie allerdings einige dieser Einstellungen auf Domänenebene<br />
ändern, werden sie von den Domänencontrollern in der OU Domain Controllers übernommen. Bevor Sie auf<br />
Domänenebene Änderungen an den Sicherheitseinstellungen vornehmen, sollten Sie die Sicherheitseinstellungen<br />
in der Standard-Domänencontrollerrichtlinie an die Standardeinstellung anpassen oder die Richtlinienvererbung<br />
in der OU Domain Controllers blockieren.<br />
In Tabelle 8.5 werden die standardmäßigen und die empfohlenen Einstellungen für Richtlinien zur<br />
Benutzerrechtzuweisung auf Domänencontrollern aufgeführt.<br />
Tabelle 8.5 Standardmäßige und empfohlene Richtlinieneinstellungen für die Benutzerrechtzuweisung auf<br />
Domänencontrollern<br />
Richtlinie Standardeinstellung Empfohlene<br />
Einstellung<br />
Lokal anmelden<br />
zulassen<br />
Herunterfahren<br />
des Systems<br />
Laden und Entfernen<br />
von Gerätetreibern<br />
Verwalten von<br />
Überwachungsund<br />
Sicherheitsprotokollen<br />
Konten-Operatoren<br />
Administratoren<br />
Sicherungs-Operatoren<br />
Druck-Operatoren<br />
Server-Operatoren<br />
Administratoren<br />
Sicherungs-Operatoren<br />
Druck-Operatoren<br />
Server-Operatoren<br />
Administratoren<br />
Druck-Operatoren<br />
Administratoren<br />
Administratoren<br />
Sicherungs-<br />
Operatoren<br />
Server-Operatoren<br />
Administratoren<br />
Sicherungs-<br />
Operatoren<br />
Server-Operatoren<br />
Administratoren<br />
Abhängig von Unternehmensanforderungen<br />
Kommentare<br />
Drucker sollten auf Domänencontrollern nicht installiert<br />
sein, daher müssen Druck-Operatoren<br />
sich nicht an Domänencontrollern anmelden.<br />
Konten-Operatoren sollten die Verwaltungsprogramme<br />
auf ihren Arbeitsstationen installiert<br />
haben, statt sich an Domänencontrollern anzumelden.<br />
Siehe oben.<br />
Wenn auf dem Domänencontroller keine Drucker<br />
installiert sind, sollte es Druck-Operatoren nicht<br />
gestattet sein, Gerätetreibereinstellungen zu<br />
ändern.<br />
In einigen Unternehmen müssen andere Benutzer<br />
als Administratoren auf die Sicherheitsprotokolle<br />
zugreifen und diese verwalten. Erstellen Sie<br />
für diesen speziellen Zweck eine Gruppe, und<br />
weisen Sie ihr dieses Recht zu.
Implementieren der Sicherheit für Domänencontroller 309<br />
Konfigurieren von Richtlinieneinstellungen für Sicherheitsoptionen auf<br />
Domänencontrollern<br />
Die Standard-Domänencontrollerrichtlinie umfasst eine große Anzahl an Sicherheitseinstellungen,<br />
die sich auf eine breite Vielfalt von Konfigurationseinstellungen für Domänencontroller, Netzwerk,<br />
Dateisystem und Benutzeranmeldesicherheit auswirken. Auch wenn einige dieser Einstellungen nur<br />
Domänencontroller betreffen, können andere Einstellungen auch die Netzwerkkonnektivität für<br />
Clientcomputer beeinflussen.<br />
Wichtig Wie die Benutzerrechteinstellungen sind die meisten Sicherheitseinstellungen in der Standard-<br />
Domänencontrollerrichtlinie als Nicht definiert konfiguriert. Fast alle Einstellungen besitzen jedoch einen Standardwert.<br />
In Tabelle 8.6 werden die in der Richtlinie verfügbaren Kategorien von Sicherheitseinstellungen aufgeführt.<br />
Tabelle 8.6<br />
Kategorien von Sicherheitseinstellungen<br />
Kategorie<br />
Konten<br />
Überwachung<br />
DCOM<br />
Geräte<br />
Domänencontroller<br />
Domänenmitglied<br />
Interaktive Anmeldung<br />
Microsoft-Netzwerk (Client)<br />
Beschreibung<br />
Mit diesen Einstellungen können Sie die Konten Administrator und Gast aktivieren, deaktivieren<br />
oder umbenennen bzw. den Zugriff auf die lokalen Konten mit leeren Kennwörtern einschränken.<br />
Wird zum Konfigurieren der globalen Überwachungseinstellungen verwendet. Diese Kategorie<br />
umfasst zwei Einstellungen, die nähere Betrachtung erfordern:<br />
• Unterkategorieeinstellungen der Überwachungsrichtlinie erzwingen (Windows Vista oder<br />
höher). Wenn Sie diese Option aktivieren, werden alle Überwachungseinstellungen auf<br />
Ebene der Unterkategorie vorgenommen, statt dass die Unterkategorie die Kategorieeinstellungen<br />
übernimmt.<br />
• System sofort herunterfahren, wenn Sicherheitsüberprüfungen nicht protokolliert werden<br />
können. Wenn Sie diese Option aktivieren, wird der Domänencontroller heruntergefahren,<br />
wenn eine Sicherheitsüberwachung nicht protokolliert werden kann. In den meisten Fällen<br />
sollten Sie diese Einstellung deaktivieren, um das Herunterfahren von Domänencontrollern<br />
zu vermeiden.<br />
Wird verwendet, um Benutzern das Starten von DCOM-Anwendungen von einem lokalen oder<br />
einem Remotecomputer aus zu ermöglichen oder zu verweigern.<br />
Wird zum Konfigurieren des Zugriffs auf Geräte wie CD-ROM- oder Diskettenlaufwerke verwendet<br />
oder, um zu verhindern, dass Benutzer Drucktreiber auf Druckservern installieren.<br />
Wird verwendet, um Server-Operatoren am Planen von Aufgaben über den AT-Befehl zu hindern,<br />
die LDAP-Signatur zu konfigurieren und den Domänencontroller so zu konfigurieren,<br />
dass Kennwortänderungen von Mitgliedscomputern aus abgelehnt werden.<br />
Wird zum Konfigurieren von Netzwerksicherheitseinstellungen und zum Konfigurieren von Einstellungen<br />
zum Festlegen von Computerkennwörtern verwendet.<br />
Wird zum Festlegen von Einschränkungen für den interaktiven Anmeldevorgang auf den<br />
Domänencontrollern verwendet. Zu den Optionen zählen:<br />
• Löschen des letzten Benutzeranmeldenamens<br />
• Konfigurieren von Anmeldenachrichten, wenn Benutzer sich an der Domäne anmelden<br />
• Konfigurieren von Smartcardanforderungen<br />
Wird verwendet, um Anforderungen für die digitale Signatur der Netzwerkkommunikation für<br />
Clientcomputer zu konfigurieren.
310 Kapitel 8: <strong>Active</strong> <strong>Directory</strong>-Domänendienstsicherheit<br />
Tabelle 8.6<br />
Kategorien von Sicherheitseinstellungen (Fortsetzung)<br />
Kategorie<br />
Microsoft-Netzwerk (Server)<br />
Netzwerkzugriff<br />
Wiederherstellungskonsole<br />
Herunterfahren<br />
Systemkryptographie<br />
Systemobjekte<br />
Systemeinstellungen<br />
Benutzerkontensteuerung<br />
Beschreibung<br />
Wird verwendet, um Einstellungen für die digitale Signatur der Netzwerkkommunikation und<br />
für das Trennen von Benutzern nach Ablauf der Anmeldezeiten zu konfigurieren.<br />
Wird zum Konfigurieren einer breiten Vielfalt an Netzwerkzugriffseinstellungen verwendet, beispielsweise,<br />
ob die anonyme Aufzählung von SAM-Konten erlaubt ist, und von Optionen für die<br />
Verbindung mit Freigaben.<br />
Wird verwendet, um zu definieren, wer auf die Wiederherstellungskonsole zugreifen kann und ob<br />
Diskettenlaufwerke und andere Laufwerke von der Wiederherstellungskonsole aus zugänglich<br />
sind.<br />
Wird verwendet, um zu konfigurieren, ob Benutzer den Computer ohne Anmeldung herunterfahren<br />
können und ob die Auslagerungsdatei für virtuellen Speicher beim Herunterfahren<br />
gelöscht wird.<br />
Wird verwendet, um Sicherheitsanforderungen für auf Computern gespeicherte Schlüssel und<br />
für Algorithmen durchzusetzen, die zum Erstellen sicherer Schlüssel verwendet werden.<br />
Wird zum Einstellen von Sicherheitsanforderungen für Windows-Systemobjekte verwendet.<br />
Wird zum Konfigurieren zusätzlicher Subsysteme wie POSIX und zum Aktivieren von Zertifikatregeln<br />
für Softwareeinschränkungsrichtlinien verwendet.<br />
Wird verwendet, um zu konfigurieren, wie Einstellungen zur Benutzerkontensteuerung auf<br />
Clientcomputer unter Windows Vista angewendet werden.<br />
Weitere Informationen Einzelheiten zu allen unter Windows Server 2008 verfügbaren Sicherheitseinstellungen<br />
erhalten Sie, indem Sie das Arbeitsblatt Group Policy Settings Reference Windows Vista von folgender<br />
Adresse herunterladen: http://www.microsoft.com/downloads/details.aspx?FamilyID=41dc179b-<br />
3328-4350-ade1-c0d9289f09ef&displaylang=en.<br />
Implementieren der SMB-Signatur<br />
Windows Server 2008 unterstützt die SMB-Signatur, damit Sie sicherzustellen können, dass jeder<br />
Dateifreigabezugriff auf Domänencontrollern verschlüsselt wird. Computer in derselben Domäne wie<br />
der Domänencontroller greifen während des Benutzeranmeldevorgangs auf Dateifreigaben zu, um<br />
Anmeldeskripts und Profile in der Freigabe Netlogon zu verwenden. Gruppenrichtlinienobjekte sind<br />
über die Freigabe SYSVOL zugänglich. Aus diesen Gründen sollten alle Domänencontroller die SMB-<br />
Signatur nutzen, um die Sicherheit zu verbessern.<br />
In Tabelle 8.7 werden die Richtlinieneinstellungen der Sicherheitsoptionen für die SMB-Signatur<br />
beschrieben.<br />
Tabelle 8.7<br />
Richtlinieneinstellungen der Sicherheitsoptionen für die SMB-Paketsignatur<br />
SMB-Einstellung<br />
Microsoft-Netzwerk (Client):<br />
Kommunikation digital signieren<br />
(immer)<br />
Erläuterung<br />
Der Domänencontroller erfordert eine SMB-Signatur beim Initiieren von SMB-Anforderungen<br />
an andere Domänencontroller, Mitgliedsserver oder Arbeitsstationen. Der Domänencontroller<br />
lehnt die Kommunikation mit anderen Systemen ab, die keine SMB-Signatur unterstützen.<br />
Aktivieren Sie diese Gruppenrichtlinieneinstellung zum Verbessern der Sicherheit.
Implementieren der Sicherheit für Domänencontroller 311<br />
Tabelle 8.7<br />
Richtlinieneinstellungen der Sicherheitsoptionen für die SMB-Paketsignatur (Fortsetzung)<br />
SMB-Einstellung<br />
Microsoft-Netzwerk (Client):<br />
Kommunikation digital signieren<br />
(wenn Server zustimmt)<br />
Microsoft-Netzwerk (Server):<br />
Kommunikation digital signieren<br />
(immer)<br />
Microsoft-Netzwerk (Server):<br />
Kommunikation digital signieren<br />
(wenn Client zustimmt)<br />
Erläuterung<br />
Der Domänencontroller verhandelt über eine SMB-Signatur beim Initiieren von SMB-Anforderungen<br />
an andere Domänencontroller, Mitgliedsserver oder Arbeitsstationen. Der Domänencontroller<br />
verlangt die SMB-Signatur, kommuniziert jedoch auch mit anderen Systemen, die<br />
keine SMB-Signatur unterstützen. Aktivieren Sie diese Option nur dann, wenn Sie<br />
Windows 95 und frühere Betriebssysteme verwenden.<br />
Der Domänencontroller erfordert eine SMB-Signatur beim Empfangen von SMB-Anforderungen<br />
von anderen Domänencontrollern, Mitgliedsservern oder Arbeitsstationen. Der Domänencontroller<br />
lehnt die Kommunikation mit anderen Systemen ab, die keine SMB-Signatur<br />
unterstützen. Aktivieren Sie diese Gruppenrichtlinieneinstellung zum Verbessern der Sicherheit.<br />
Diese Option ist standardmäßig in der Standard-Domänencontrollerrichtlinie aktiviert.<br />
Der Domänencontroller verhandelt über eine SMB-Signatur beim Empfangen von SMB-Anforderungen<br />
von anderen Domänencontroller, Mitgliedsservern oder Arbeitsstationen. Der<br />
Domänencontroller verlangt die SMB-Signatur, kommuniziert jedoch auch mit anderen Systemen,<br />
die keine SMB-Signatur unterstützen. Diese Option ist standardmäßig in der Standard-<br />
Domänencontrollerrichtlinie aktiviert.<br />
Hinweis Diese Optionen können auch durch Anwenden einer Sicherheitskonfigurationsrichtlinie auf die<br />
Domänencontroller durchgesetzt werden. Beim Ausführen des Sicherheitskonfigurations-Assistenten<br />
haben Sie die Möglichkeit, Registrierungseinträge auf dem Server so zu konfigurieren, dass die SMB-Sicherheit<br />
durchgesetzt wird. Die Benutzeroberfläche wird in Abbildung 8.9 gezeigt. Wenn Sie beide Optionen auswählen,<br />
wird die SMB-Signatur auf dem Server durchgesetzt.<br />
Abbildung 8.9<br />
Konfigurieren der SMB-Signatur mithilfe des Sicherheitskonfigurations-Assistenten
312 Kapitel 8: <strong>Active</strong> <strong>Directory</strong>-Domänendienstsicherheit<br />
Konfigurieren von SYSKEY<br />
Standardmäßig wird der AD DS-Datenspeicher verschlüsselt, wenn er auf der Festplatte des Domänencontrollers<br />
gespeichert wird. Dies bietet eine gewisse Sicherheit, wenn ein Angreifer sich Zugriff<br />
auf die physische Festplatte verschafft, auf der sich der Datenspeicher befindet. Die Daten werden<br />
über den Systemschlüssel (SYSKEY) in Windows Server 2008 verschlüsselt.<br />
Mithilfe des Tools SYSKEY können Sie zusätzliche Sicherheit beim Starten von Domänencontrollern<br />
gewährleisten. SYSKEY stellt Ihnen drei Optionen zum Konfigurieren des Startschlüssels bereit:<br />
• Systemstartschlüssel lokal speichern Diese Option erstellt anhand eines komplexen Verschlüsselungsalgorithmus<br />
einen vom Computer nach dem Zufallsprinzip generierten Schlüssel, der auf<br />
dem lokalen System gespeichert ist. Dies ist die Standardkonfiguration von Syskey.exe, welche<br />
eine starke Verschlüsselung von Kennwortinformationen in der Registrierung bietet. Da der Systemschlüssel<br />
auf dem lokalen System gespeichert wird, ermöglicht diese Methode unbeaufsichtigte<br />
Systemneustarts.<br />
• Kennwort für den Systemstart Diese Option erfordert ein vom Administrator gewähltes Kennwort<br />
zum Ableiten des Systemschlüssels. Wenn Sie diese Option auswählen, muss ein Administrator<br />
während des Systemstarts das Systemschlüsselkennwort eingeben.<br />
• Systemstartschlüssel auf Diskette speichern Diese Option erstellt einen vom Computer nach dem<br />
Zufallsprinzip generierten Schlüssel, der auf einer Diskette gespeichert wird. Die Diskette mit<br />
dem Systemschlüssel muss in das Diskettenlaufwerk eingelegt werden, um den Domänencontroller<br />
zu starten.<br />
Das Konfigurieren von SYSKEY für die Verwendung eines Kennworts oder einer Diskette für den<br />
Systemstart kann zusätzliche Sicherheit für Domänencontroller bieten, die physisch nicht abgesichert<br />
sind. Diese Option erfordert jedoch, dass ein Administrator, der das Kennwort kennt, bzw. die Diskette<br />
beim Neustart des Domänencontrollers verfügbar sein muss. Wenn Sie den SYSKEY auf einer<br />
Diskette speichern und die Diskette verloren geht, können Sie den Domänencontroller nicht neu starten.<br />
Hinweis Erwägen Sie den Einsatz eines RODC in Situationen, in denen der Domänencontroller nicht physisch<br />
gesichert werden kann, statt die SYSKEY-Sicherheitseinstellungen zu implementieren.<br />
Entwerfen sicherer administrativer Vorgehensweisen<br />
Eine der wichtigsten Komponenten beim Entwerfen der AD DS-Sicherheit ist das Entwerfen sicherer<br />
administrativer Vorgehensweisen. Da Administratoren vollständige Kontrolle über die AD DS-Umgebung<br />
besitzen, können sie sogar den besten Sicherheitsentwurf umgehen oder ändern. Ziehen Sie<br />
beim Erstellen Ihrer administrativen Vorgehensweisen die folgenden Vorschläge in Betracht:<br />
• Beschränken Sie die Anzahl von Organisations- und Domänenadministratorkonten auf höchst vertrauenswürdiges<br />
Personal. Dies ist besonders für Dienstadministratorkonten wichtig. Beschränken<br />
Sie die Mitgliedschaft von Dienstadministratorkonten auf ein absolutes Minimum, und weisen<br />
Sie nur zuverlässige und vertrauenswürdige Benutzer zu, denen die Auswirkungen aller Änderungen<br />
am Verzeichnis umfassend bekannt sind. Verwenden Sie Dienstadministratorkonten nicht<br />
für alltägliche Aufgaben.
Entwerfen sicherer administrativer Vorgehensweisen 313<br />
• Implementieren Sie einen Änderungskontrollprozess. Alle an einer AD DS-Umgebung vorgenommenen<br />
Änderungen sollten einem Änderungskontrollprozess unterliegen. Dies ist besonders für<br />
Änderungen relevant, die sich auf die gesamte Verzeichnisdienstumgebung auswirken. Beispielsweise<br />
sollten Schemaänderungen nur nach sorgfältiger Planung und Testläufen und mit Genehmigung<br />
des Gesamtstrukturbesitzers implementiert werden.<br />
• Begrenzen Sie die Gruppe Schema-Admins auf temporäre Mitglieder. Die meisten Unternehmen<br />
ändern das Schema sehr selten, daher muss sich niemand regelmäßig als Schemaadministrator<br />
anmelden. Um den Schemaänderungsvorgang zu sichern, lassen Sie die Mitgliedschaft in der<br />
Gruppe Schema-Admins leer. Fügen Sie der Gruppe nur dann einen vertrauenswürdigen Benutzer<br />
hinzu, wenn eine administrative Aufgabe am Schema durchgeführt werden muss. Entfernen Sie<br />
den Benutzer, sobald die Aufgabe abgeschlossen ist.<br />
• Verwenden Sie eine Richtlinie für eingeschränkte Gruppen, um die Mitgliedschaft für die wichtigen<br />
Domänen- und Gesamtstrukturkonten zu beschränken. Beim Implementieren einer Richtlinie<br />
für eingeschränkte Gruppen wird die Gruppenmitgliedschaft von den Domänencontrollern<br />
überwacht, und nicht in der Richtlinie für eingeschränkte Gruppen enthaltene Benutzer werden<br />
automatisch entfernt.<br />
• Stellen Sie sicher, dass Administratoren zwei verschiedene Konten besitzen und verwenden.<br />
Erstellen Sie für Benutzer, die eine administrative Funktion erfüllen, zwei Konten: ein normales<br />
Benutzerkonto für normale, alltägliche Aufgaben und ein Administratorkonto, das nur zur Durchführung<br />
administrativer Aufgaben verwendet wird. Das Administratorkonto sollte nicht E-Mailfähig<br />
sein oder zur Ausführung täglich genutzter Anwendungen, wie beispielsweise Microsoft<br />
Office, oder für das Surfen im Internet verwendet werden.<br />
• Wenden Sie den Prinzipal mit den wenigsten Berechtigungen für alle Administratorengruppen an.<br />
Definieren Sie die Berechtigungen, die für die einzelnen Administratorengruppen tatsächlich<br />
erforderlich sind, mit Sorgfalt, und weisen Sie anschließend nur diese Berechtigungen zu. Wenn<br />
ein Administrator beispielsweise nur bestimmte Benutzerkonten oder Computerkonten oder auch<br />
nur einige Einstellungen für diese Konten verwalten muss, erstellen Sie eine OU für diese Konten,<br />
und delegieren Sie anschließend Berechtigungen an das Administratorkonto. Vermeiden Sie<br />
außerdem die Verwendung der Gruppe Konten-Operatoren, um die Berechtigung zum Konfigurieren<br />
von Benutzer- und Gruppenkonten zuzuweisen. Die Standardverzeichnisberechtigungen erteilen<br />
dieser Gruppe die Möglichkeit, die Computerkonten von Domänencontrollern zu ändern. Dies<br />
schließt auch den Löschvorgang mit ein. Standardmäßig enthält die Gruppe Konten-Operatoren<br />
keine Mitglieder, und dies sollte so bleiben.<br />
• Verbergen Sie das Domänenadministratorkonto. Jede AD DS-Installation verfügt über ein Konto<br />
namens Administrator in jeder Domäne. Dies ist das Standardadministratorkonto, das während der<br />
Domäneneinrichtung erstellt wird und das Sie für den Zugriff und die Verwaltung des Verzeichnisdienstes<br />
nutzen können. Es handelt sich um ein besonderes Konto, das vom System geschützt<br />
wird, um sicherzustellen, dass es bei Bedarf vorhanden ist. Dieses Konto kann nicht deaktiviert<br />
oder gesperrt werden. Sie sollten ihm einen anderen Namen als Administrator geben. Wenn Sie<br />
das Konto umbenennen, stellen Sie sicher, dass Sie auch den Beschreibungstext für das Konto<br />
ändern. Zusätzlich sollten Sie ein Lockvogel-Benutzerkonto namens Administrator erstellen, das<br />
keinerlei besondere Berechtigungen oder Benutzerrechte besitzt, und die Ereignis-IDs 528, 529<br />
und 534 in Verbindung mit dem umbenannten und dem Lockvogelkonto überwachen.
314 Kapitel 8: <strong>Active</strong> <strong>Directory</strong>-Domänendienstsicherheit<br />
• Lassen Sie Administratorkonten niemals von mehreren Personen nutzen. In manchen Unternehmen<br />
kennen alle Administratoren das Kennwort für das Standardadministratorkonto, und alle verwenden<br />
dieses Konto für die Durchführung administrativer Aufgaben. Die gemeinsame Nutzung<br />
von Administratorkonten vereitelt jede Möglichkeit, genau zu überwachen, wer Änderungen am<br />
Verzeichnis vorgenommen hat; von dieser Vorgehensweise wird daher dringend abgeraten. Die<br />
gemeinsame Nutzung von Administratorkonten und Kennwörtern kann außerdem zu einem<br />
Sicherheitsproblem führen, wenn Administratoren das Team oder das Unternehmen verlassen.<br />
• Sichern Sie den Anmeldevorgang für Administratoren. Um das Risiko, dass jemand ein Administratorkonto<br />
missbraucht oder schädigt, auf ein Minimum zu beschränken, sollten Sie folgende<br />
Schritte in Betracht ziehen, um starke Administratoranmeldeinformationen durchzusetzen:<br />
Verlangen Sie Smartcards für die Administratoranmeldung. Lassen Sie Dienstadministratoren<br />
Smartcards für ihre interaktive Anmeldung verwenden. Abgesehen davon, dass Sie Administratoren<br />
zum Besitz einer Karte für die Anmeldung zwingen, stellen Smartcards außerdem<br />
sicher, dass ein zufällig generiertes, kryptografisch starkes Kennwort für das Benutzerkonto<br />
verwendet wird. Diese starken Kennwörter stellen einen Schutz gegen den Diebstahl<br />
schwacher Kennwörter zum Erlangen des Administratorzugriffs dar. Sie können die Verwendung<br />
von Smartcards durch Aktivieren der Sicherheitsoption Interaktive Anmeldung: Smartcard<br />
erforderlich für jedes Administratorkonto durchsetzen.<br />
Teilen Sie die Anmeldeinformationen für besonders kritische Administratorkonten auf. Jedem<br />
Konto, das Mitglied der Gruppe Organisations-Admins oder Domänen-Admins in der Gesamtstruktur-Stammdomäne<br />
ist, weisen Sie zwei Benutzer zur gemeinsamen Nutzung zu, sodass<br />
beide Benutzer anwesend sein müssen, um sich erfolgreich am Konto anzumelden. Sie können<br />
die Anmeldeinformationen aufteilen, indem Sie entweder geteilte Kennwörter (jeder Administrator<br />
kennt nur einen Teil des Kennworts) oder geteilte Smartcards plus PINs verwenden.<br />
• Sichern Sie die Arbeitsstationen von Dienstadministratoren. Zusätzlich zur Konfiguration der<br />
Sicherheit des Administratorkontos sollten Sie außerdem die Sicherheit der Administratorarbeitsstationen<br />
sicherstellen. Erwägen Sie zu diesem Zweck die Implementierung folgender Prozesse:<br />
Schränken Sie ein, an welchen Arbeitsstationen Dienstadministratoren sich anmelden können.<br />
Jedes Administratorkonto kann so eingeschränkt werden, dass es sich nur an bestimmten<br />
Arbeitsstationen anmelden darf. Wenn die Sicherheit eines Ihrer Administratorkonten verletzt<br />
wird, begrenzt das Einschränken der möglichen Arbeitsstationen auch die Anzahl der Stellen,<br />
an denen das Konto verwendet werden kann.<br />
Wenden Sie eine besondere Sicherheitsrichtlinie auf die Administratorarbeitsstationen an. Ziehen<br />
Sie das Verschieben aller Arbeitsstationen der Dienstadministratoren in eine dedizierte<br />
OU in Betracht, und weisen Sie dieser anschließend eine hoch sichere Richtlinie für die<br />
Arbeitsstationen zu. Beispielsweise können Sie das Benutzerrecht Lokal anmelden zulassen<br />
auf die Dienstadministratorkonten einschränken.<br />
Stellen Sie sicher, dass auf Administratorarbeitsstationen alle Sicherheitsupdates installiert<br />
sind und dass die Antivirussoftware auf den Arbeitsstationen auf dem neuesten Stand ist.<br />
Fordern Sie Administratoren zur Verwendung von Remote Desktop für die Durchführung administrativer<br />
Aufgaben auf. Sie können Remote Desktop auf jedem Windows Server 2008 aktivieren<br />
und die Sicherheitseinstellungen so konfigurieren, dass nur die angegebenen Administratoren<br />
sich über Remote Desktop mit dem Server verbinden können. Wenn Sie den Remote Desktop<br />
6-Client auf Windows XP-Clients installieren oder einen Windows Vista-Client verwenden, können<br />
Sie die Netzwerkverschlüsselung für alle Remote Desktop-Verbindungen durchsetzen.
Zusammenfassung 315<br />
• Sichern Sie die Sicherungsmedien. Wenn Sie die Domänencontroller in Ihrem Unternehmen<br />
sichern, wird der gesamte Verzeichnisspeicher auf die Sicherungsmedien kopiert. Auch wenn die<br />
Daten verschlüsselt sind, besitzt ein Angreifer, der Zugriff auf die Bänder erlangt, beliebig viel<br />
Zeit, um die Daten zu entschlüsseln und darauf zuzugreifen. Sie können folgendermaßen verhindern,<br />
dass unbefugte Benutzer physisch auf Sicherungsmedien zugreifen:<br />
Lagern Sie Sicherungsmedien, die am Standort verwendet werden, an einem sicheren Ort, dessen<br />
Zugang überwacht wird.<br />
Lagern Sie Archivsicherungsmedien an einem sicheren Ort außerhalb des Standorts.<br />
Richten Sie sichere Verfahren für den Transport von Sicherungsmedien ein.<br />
• Stellen Sie Kontingente für den Objektbesitz ein. Auf Domänencontrollern unter Windows<br />
Server 2008 können Sie Kontingente festlegen, um die Anzahl an Objekten einzuschränken, die<br />
ein Sicherheitsprinzipal (Benutzer, Gruppe, Computer oder Dienst) in einer Domänen-, Konfigurations-<br />
oder Anwendungsverzeichnispartition besitzen kann. Standardmäßig ist der Sicherheitsprinzipal,<br />
der ein Objekt erstellt, der Objektbesitzer, auch wenn der Besitz übertragen werden<br />
kann. AD DS-Kontingente unterbinden die Möglichkeit, eine unbegrenzte Anzahl an Objekten in<br />
einer Verzeichnispartition zu erstellen, was für Dienstverweigerungsangriffe (Denial-of-Service<br />
Attacks) genutzt werden könnte. Standardmäßig sind keine Kontingente eingestellt; es gibt daher<br />
keine Einschränkung für die Anzahl an Objekten, die jeder Sicherheitsprinzipal besitzen kann.<br />
Verwenden Sie zum Festlegen von Kontingenten den Befehl Dsmod Quota.<br />
Zusammenfassung<br />
Dieses Kapitel hat Ihnen in einer kurzen Übersicht die grundlegenden Konzepte der AD DS-Sicherheit<br />
unter Windows Server 2008 vorgestellt. Hierzu gehören Sicherheitsprinzipale, Zugriffssteuerungslisten,<br />
Authentifizierung und Autorisierung. Im ersten Teil dieses Kapitels wurde der Schwerpunkt<br />
auf die wichtigsten Möglichkeiten zum Bereitstellen der Authentifizierung und Autorisierung in<br />
AD DS über das Kerberos-Protokoll gelegt. Kerberos bietet einen sicheren Mechanismus, mit dem<br />
Benutzer sich an AD DS authentifizieren und Zugriff auf Netzwerkressourcen erlangen können.<br />
Die zweite Komponente zur Bereitstellung von AD DS-Sicherheit besteht darin, Domänencontroller<br />
abzusichern und sichere administrative Vorgehensweisen zu implementieren. Der zweite Teil dieses<br />
Kapitels bietet Einzelheiten zur Implementierung dieser Art der Sicherheit.<br />
Empfohlene Vorgehensweisen<br />
• Aktualisieren Sie nach Möglichkeit alle Server und Arbeitsstationen zumindest auf Windows<br />
Server 2000 mit den neuesten Service Packs. Hierdurch können Sie sicherstellen, dass für alle<br />
Authentifizierungsanforderungen Kerberos verwendet wird, und Sie können Sicherheitsfunktionen<br />
wie SMB-Signaturen auf Domänencontrollern konfigurieren.<br />
• Implementieren Sie dedizierte Domänencontroller. Mit anderen Worten, führen Sie keine Anwendungen<br />
oder Dienste aus, die auf Domänencontrollern nicht erforderlich sind. Dies macht es leichter,<br />
die Angriffsfläche von Domänencontrollern zu verringern, und vereinfacht außerdem die<br />
Erstellung einer Sicherheitskonfigurationsrichtlinie, die auf alle Domänencontroller angewendet<br />
werden kann.
316 Kapitel 8: <strong>Active</strong> <strong>Directory</strong>-Domänendienstsicherheit<br />
• Implementieren Sie eine vollständige Kennwortrichtlinie, und fordern Sie Administratoren zum<br />
Konfigurieren extrem komplexer Kennwörter auf. Schlagen Sie vor, dass Administratoren eher<br />
Kennsätze statt Kennwörtern verwenden sollten.<br />
• Weisen Sie die allen Administratorkonten die geringstmöglichen Berechtigungen zu. Stellen Sie<br />
sicher, dass alle Administratoren nur über diejenigen Berechtigungen verfügen, die sie zum<br />
Durchführen der für ihre Position erforderlichen Aufgaben benötigen.<br />
Zusätzliche Ressourcen<br />
Die folgenden Ressourcen enthalten Zusatzinformationen im Zusammenhang mit diesem Kapitel.<br />
Verwandte Informationen<br />
• Kapitel 5, „Entwerfen der <strong>Active</strong> <strong>Directory</strong>-Domänendienstestruktur“, enthält Einzelheiten zum<br />
Entwerfen sicherer AD DS-Grenzen.<br />
• Kapitel 9, „Delegieren der <strong>Active</strong> <strong>Directory</strong>-Domänendiensteverwaltung“, erläutert, wie Administratorberechtigungen<br />
innerhalb von AD DS delegiert werden. Dies ist hilfreich beim Anwenden<br />
des geringsten Berechtigungsstandards.<br />
• Kapitel 11, „Einführung in Gruppenrichtlinien“, schildert detailliert die Konfiguration der Gruppenrichtlinien<br />
und wie die Gruppenrichtlinienvererbung aktiviert oder deaktiviert wird. Möglicherweise<br />
möchten Sie die Gruppenrichtlinienvererbung in der OU Domain Controllers<br />
blockieren, um zu verhindern, dass Sicherheitseinstellungen auf Domänenebene auf Domänencontroller<br />
angewendet werden.<br />
• Kapitel 13, „Einsetzen von Gruppenrichtlinien zum Verwalten der Sicherheit“, bietet Informationen<br />
über zusätzliche Gruppenrichtlinieneinstellungen, die zum Konfigurieren der Sicherheit zur<br />
Verfügung stehen.<br />
• Im englischsprachigen Artikel „The Kerberos Network Authentication Service (V5)“, der unter<br />
http://www.ietf.org/rfc/rfc1510.txt zur Verfügung steht, wird der aktuelle Kerberos-Standard<br />
beschrieben.<br />
• „Kerberos Authentication Technical Reference“, verfügbar in englischer Sprache unter http://<br />
technet2.microsoft.com/windowsserver/en/library/74d58697-970a-45db-9139-<br />
ebcd3db051181033.mspx?mfr=true<br />
• „Authorization and Access Control Technologies“, verfügbar in englischer Sprache unter http://<br />
technet2.microsoft.com/windowsserver/en/library/74d58697-970a-45db-9139-<br />
ebcd3db051181033.mspx?mfr=true<br />
• „Troubleshooting Kerberos“, verfügbar in englischer Sprache unter http://technet2.microsoft.com/<br />
windowsserver/en/library/26ce2e7f-52d6-4425-88cc-1573bc5e646d1033.mspx?mfr=true<br />
• „Troubleshooting Kerberos Errors“, verfügbar in englischer Sprache unter http://www.microsoft.com/technet/prodtechnol/windowsserver2003/technologies/security/tkerberr.mspx
Verwandte Tools<br />
Zusätzliche Ressourcen 317<br />
Windows Server 2008 bietet mehrere Tools, die zur Problembehandlung bei der Kerberos-Authentifizierung<br />
eingesetzt werden können. In Tabelle 8.8 werden einige dieser Tools gemeinsam mit Nutzungsinformationen<br />
aufgeführt.<br />
Tabelle 8.8 Tools zur Problembehandlung bei Kerberos<br />
Toolname<br />
Klist.exe: Kerberos List<br />
Kerbtray.exe: Kerberos<br />
Tray<br />
Tokensz.exe<br />
Kerberos Token Size<br />
Setspn.exe<br />
Ksetup.exe<br />
Ktpass.exe<br />
W32tm.exe: Windows-Zeitgeber<br />
Beschreibung und Zweck<br />
Dieses Tool wird auf Windows Server 2008-Domänencontrollern installiert und steht als Bestandteil<br />
der Windows Server 2003 Resource Kit-Tools zum Download zur Verfügung.<br />
Kerberos List ist ein Befehlszeilenprogramm, das zum Anzeigen und Löschen von Kerberos-<br />
Tickets eingesetzt wird, die für die aktuelle Anmeldesitzung erteilt wurden. Um Kerberos List<br />
zum Anzeigen von Tickets auszuführen, müssen Sie das Tool auf einem Computer ausführen,<br />
der Mitglied in einem Kerberos-Bereich ist.<br />
Kerberos Tray steht als Bestandteil der Windows Server 2003 Resource Kit-Tools zum Download<br />
zur Verfügung.<br />
Kerberos Tray ist ein Tool mit grafischer Benutzeroberfläche, welches Ticketinformationen für<br />
einen Computer anzeigt, auf dem die Microsoft-Implementierung des Authentifizierungsprotokolls<br />
Kerberos, Version 5, ausgeführt wird. Über das Kerberos Tray-Symbol im Benachrichtigungsbereich<br />
des Desktops können Sie den Ticketzwischenspeicher anzeigen und löschen.<br />
Wenn Sie den Cursor auf dem Symbol platzieren, können Sie die Zeit bis zum Ablaufen des anfänglichen<br />
TGT anzeigen. Das Symbol ändert sich außerdem in der Stunde, bevor die LSA<br />
(Local Security Authority) das Ticket erneuert.<br />
Kerberos Token Size kann vom Microsoft-Downloadcenter heruntergeladen werden.<br />
Mithilfe von Kerberos Token Size können Sie prüfen, ob die Quelle der Kerberos-Fehler von<br />
einem Problem mit der maximalen Tokengröße herrührt. Das Tool simuliert eine Authentifizierungsanforderung<br />
und meldet die Größe des daraus resultierenden Kerberos-Tokens. Außerdem<br />
meldet das Tool die maximal unterstützte Größe für das Token.<br />
Das Dienstprogramm Setspn wird auf Windows Server 2008-Domänencontrollern installiert und<br />
ist in den Windows Server 2003-Supporttools enthalten.<br />
Mit dem Dienstprogramm Setspn können Sie die SPN-Verzeichniseigenschaft (Service Principal<br />
Name) für ein <strong>Active</strong> <strong>Directory</strong>-Dienstkonto lesen, ändern und löschen. Da SPNs sicherheitsrelevant<br />
sind, können Sie nur dann SPNs für Dienstkonten erstellen, wenn Sie Domänenadministratorrechte<br />
besitzen.<br />
Das Dienstprogramm Ksetup wird auf Windows Server 2008-Domänencontrollern installiert und<br />
ist in den Windows Server 2003-Supporttools enthalten.<br />
Das Dienstprogramm Ksetup konfiguriert einen Client, der mit einem Server unter<br />
Windows Server 2008 verbunden ist, für die Verwendung eines Servers, auf dem Kerberos V5<br />
ausgeführt wird. Der Client verwendet anschließend einen Kerberos V5-Bereich anstelle einer<br />
Windows Server 2008-Domäne.<br />
Das Dienstprogramm Ktpass wird auf Windows Server 2008-Domänencontrollern installiert und<br />
ist in den Windows Server 2003-Supporttools enthalten.<br />
Mit dem Dienstprogramm Ktpass können Sie einen Kerberos-Dienst, der nicht unter Windows<br />
ausgeführt wird, als Sicherheitsprinzipal in den Windows Server 2008-AD DS konfigurieren.<br />
Dieses Tool ist in Microsoft Windows-Server- und -Clientbetriebssystemen enthalten.<br />
W32tm.exe wird zum Konfigurieren der Windows-Zeitdiensteinstellungen verwendet. Es kann<br />
außerdem zum Diagnostizieren von Problemen mit dem Zeitdienst eingesetzt werden.
318 Kapitel 8: <strong>Active</strong> <strong>Directory</strong>-Domänendienstsicherheit<br />
Ressourcen auf der CD<br />
• SampleDC_SCWPolicy.xml. Hierbei handelt es sich um eine Beispieldatei des Sicherheitskonfigurations-Assistenten,<br />
welche die Dienste, die Windows-Firewall und die Registrierungseinstellungen<br />
für einen Windows Server 2008-Domänencontroller konfiguriert.<br />
Verwandte Hilfethemen<br />
• Hilfe zum Sicherheitskonfigurations-Assistenten
319<br />
K A P I T E L 9<br />
Delegieren der <strong>Active</strong> <strong>Directory</strong>-Domänendiensteverwaltung<br />
Inhalt dieses Kapitels:<br />
<strong>Active</strong> <strong>Directory</strong>-Verwaltungsaufgaben . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 320<br />
Zugreifen auf <strong>Active</strong> <strong>Directory</strong>-Objekte . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 321<br />
<strong>Active</strong> <strong>Directory</strong>-Objektberechtigungen . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 323<br />
Delegieren von Verwaltungsaufgaben . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 338<br />
Überwachen der Verwendung von Administratorrechten. . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 341<br />
Tools für die delegierte Verwaltung . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 346<br />
Planen der delegierten Verwaltung . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 348<br />
Zusammenfassung. . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 349<br />
Zusätzliche Ressourcen. . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 349<br />
Die <strong>Active</strong> <strong>Directory</strong>-Domänendienste (<strong>Active</strong> <strong>Directory</strong> Domain Services, AD DS) werden typischerweise<br />
als Verzeichnisdienst bereitgestellt, der von mehreren Geschäftsbereichen innerhalb einer<br />
Organisation gemeinsam verwendet wird. Durch die Verwendung eines gemeinsamen Verzeichnisdiensts<br />
lassen sich die Kosten für Verwaltung und Pflege der Infrastruktur reduzieren, es müssen<br />
jedoch verschiedene andere Faktoren berücksichtigt werden:<br />
• Unabhängige Verwaltung von Benutzern und Ressourcen für einzelne Bereiche, wenn eine<br />
dezentrale Verwaltung erforderlich ist<br />
• Sicherstellen, dass Administratoren oder Benutzer innerhalb ihres Geschäftsbereichs ausschließlich<br />
Aufgaben ausführen dürfen, für die sie berechtigt sind<br />
• Sicherstellen, dass bestimmte Objekte oder Informationen, die im Verzeichnis gespeichert sind,<br />
ausschließlich für Administratoren mit den erforderlichen Berechtigungen verfügbar sind<br />
Diesen Faktoren kann durch umfangreiche Kenntnisse zur Delegierung von Verwaltungsaufgaben<br />
Rechnung getragen werden. Bei der Delegierung erteilt ein Administrator auf höherer Ebene anderen<br />
Benutzern Berechtigungen zum Durchführen bestimmter Verwaltungsaufgaben innerhalb der <strong>Active</strong><br />
<strong>Directory</strong>-Struktur. Die <strong>Active</strong> <strong>Directory</strong>-Struktur bietet eine hierarchische Sicht des Verzeichnisdiensts:<br />
zunächst auf Standort- und Domänenebene, dann auf OU-Ebene (Organizational Unit, Organisationseinheit)<br />
innerhalb einer Domäne. Diese Hierarchie bietet leistungsfähige Optionen zum Verwalten<br />
von Berechtigungen und Delegieren von Verwaltungsaufgaben auf unterschiedlichen Ebenen<br />
innerhalb der logischen Infrastruktur.<br />
In diesem Kapitel wird die Delegierung der Verwaltung erläutert. Zunächst werden die unterschiedlichen<br />
Typen von Verwaltungsaufgaben beschrieben, die innerhalb eines Unternehmens delegiert werden<br />
können. Anschließend werden der Objektzugriff, die Typen von Berechtigungen, die Objekten<br />
innerhalb des Verzeichnisses zugewiesen werden können, sowie die Verwendung dieser Berechtigungen<br />
zur Delegierung der Verwaltung erklärt.
320 Kapitel 9: Delegieren der <strong>Active</strong> <strong>Directory</strong>-Domänendiensteverwaltung<br />
Und schließlich werden Informationen zum Überwachen von Änderungen an Objekten innerhalb der<br />
AD DS bereitgestellt.<br />
<strong>Active</strong> <strong>Directory</strong>-Verwaltungsaufgaben<br />
<strong>Active</strong> <strong>Directory</strong>-Verwaltungsaufgaben lassen sich typischerweise einer von zwei Kategorien zuordnen:<br />
der Datenverwaltung oder der Dienstverwaltung. Datenverwaltungsaufgaben beziehen sich auf<br />
die Verwaltung von Inhalten, die innerhalb der <strong>Active</strong> <strong>Directory</strong>-Datenbank gespeichert sind. Dienstverwaltungsaufgaben<br />
umfassen die Verwaltung aller Aspekte, die erforderlich sind, um eine zuverlässige<br />
und effiziente Bereitstellung des Verzeichnisdiensts innerhalb des Unternehmens sicherzustellen.<br />
In Tabelle 9.1 sind einige der Aufgaben für jede dieser Kategorien beschrieben.<br />
Tabelle 9.1<br />
<strong>Active</strong> <strong>Directory</strong>-Verwaltung<br />
Kategorie<br />
Datenverwaltung<br />
Dienstverwaltung<br />
Aufgaben<br />
Kontenverwaltung – umfasst das Erstellen, Verwalten und Entfernen von Benutzerkonten<br />
Sicherheitsgruppenverwaltung – umfasst das Erstellen von Sicherheitsgruppen, Bereitstellen<br />
von Sicherheitsgruppen für den Zugriff auf Netzwerkressourcen, Verwalten von Sicherheitsgruppenmitgliedschaften<br />
sowie das Entfernen von Sicherheitsgruppen<br />
Ressourcenverwaltung – umfasst sämtliche Aspekte der Verwaltung von Netzwerkressourcen<br />
wie z.B. Endbenutzerarbeitsstationen, Server und auf Servern gehostete Ressourcen<br />
(beispielsweise Dateifreigaben oder Anwendungen)<br />
Gruppenrichtlinienverwaltung – umfasst sämtliche Aspekte beim Erstellen, Zuweisen und<br />
Entfernen von Gruppenrichtlinienobjekten innerhalb der <strong>Active</strong> <strong>Directory</strong>-Struktur<br />
Anwendungsspezifische Datenverwaltung – umfasst sämtliche Aspekte der Verwaltung<br />
von in <strong>Active</strong> <strong>Directory</strong> integrierten oder <strong>Active</strong> <strong>Directory</strong>-fähigen Anwendungen wie z.B.<br />
Microsoft Exchange Server<br />
Verwaltung von Installation und Vertrauensstellungen – umfasst Aspekte wie das Erstellen<br />
und Löschen von Domänen, die Bereitstellung von Domänencontrollern sowie die Konfiguration<br />
von geeigneten <strong>Active</strong> <strong>Directory</strong>-Funktionsebenen<br />
Verwaltung von Domänencontrollern und Verzeichnisdatenbank – umfasst Aspekte im<br />
Hinblick auf die Verwaltung von Domänencontrollerhardware, Datenbankwartung sowie die<br />
Anwendung von Service Packs und Sicherheitsupdates<br />
Schemaverwaltung – umfasst das Erweitern oder Ändern des Schemas, um die Bereitstellung<br />
von <strong>Active</strong> <strong>Directory</strong>-fähigen Anwendungen zu unterstützen<br />
Verwaltung der Betriebsmasterrolle – umfasst Aufgaben zum Sicherstellen der ordnungsgemäßen<br />
Zuweisung und Konfiguration von Betriebsmasterrollen<br />
Verwaltung von Sicherungen und Wiederherstellungen – umfasst sämtliche Aufgaben im<br />
Zusammenhang mit regelmäßigen Sicherungen der Verzeichnisdatenbank und (bei Bedarf)<br />
den erforderlichen Wiederherstellungsverfahren<br />
Replikationsverwaltung – umfasst sämtliche Aufgaben im Zusammenhang mit der Erstellung,<br />
Verwaltung und Überwachung der Replikationstopologie<br />
Sicherheitsrichtlinienverwaltung – umfasst sämtliche Aufgaben im Zusammenhang mit der<br />
Verwaltung der standardmäßigen Sicherheitsrichtlinie für Domänencontroller sowie der Kennwort-,<br />
Kontosperrungs- und Kerberos-Kontorichtlinien
Zugreifen auf <strong>Active</strong> <strong>Directory</strong>-Objekte 321<br />
Weitere Informationen Weitere Informationen zu den Aufgaben im Hinblick auf die Daten- und Dienstverwaltung<br />
finden Sie im Artikel „Best Practices for Delegating <strong>Active</strong> <strong>Directory</strong> Administration“ unter http://<br />
www.microsoft.com/technet/prodtechnol/windowsserver2003/technologies/directory/activedirectory/<br />
actdid1.mspx.<br />
Das Delegieren von Daten- und Dienstverwaltungsaufgaben setzt ein Verständnis der administrativen<br />
Anforderungen aller Geschäftseinheiten voraus. Auf diese Weise wird die Verwendung des effektivsten<br />
Delegierungsmodells sichergestellt, um eine effektivere, effizientere und sicherere Netzwerkumgebung<br />
bereitzustellen. Zur Bereitstellung des Delegierungsmodells ist ein Verständnis von <strong>Active</strong><br />
<strong>Directory</strong>-Objektberechtigungen, Delegierungmethoden und Überwachungsvorgängen erforderlich.<br />
Diese Konzepte werden in den folgenden Abschnitten näher erläutert.<br />
Zugreifen auf <strong>Active</strong> <strong>Directory</strong>-Objekte<br />
Für eine effektive Delegierung von Verwaltungsaufgaben müssen Sie wissen, wie der Zugriff auf<br />
Objekte im Verzeichnisdienst in <strong>Active</strong> <strong>Directory</strong> gesteuert wird. Die Zugriffssteuerung umfasst<br />
Folgendes:<br />
• Anmeldeinformationen des Sicherheitsprinzipals, der versucht, die Aufgabe auszuführen oder auf<br />
die Ressource zuzugreifen<br />
• Autorisierungsdaten zum Schützen der Ressource oder Autorisieren der Aufgabe<br />
• Eine Zugriffsüberprüfung für den Vergleich der Anmeldeinformationen mit den Autorisierungsdaten,<br />
um zu ermitteln, ob der Sicherheitsprinzipal zum Zugreifen auf die Ressource oder Ausführen<br />
der Aufgabe berechtigt ist<br />
Bei der Anmeldung eines Benutzers an einer AD DS-Domäne wird dieser authentifiziert und erhält<br />
ein Zugriffstoken. Ein Zugriffstoken enthält die Sicherheitskennung (Security Identifier, SID) für das<br />
Benutzerkonto, SIDs für die verschiedenen Sicherheitsgruppen, zu denen der Benutzer gehört, sowie<br />
eine Liste der Berechtigungen, über die der Benutzer und die Sicherheitsgruppen des Benutzers verfügen.<br />
Das Zugriffstoken dient zur Bereitstellung des Sicherheitskontexts und der Anmeldeinformationen,<br />
die zum Verwalten von Netzwerkressourcen, Durchführen von Verwaltungsaufgaben oder<br />
Zugreifen auf Objekte in <strong>Active</strong> <strong>Directory</strong> benötigt werden.<br />
Mithilfe von Autorisierungsdaten, die in der Sicherheitsbeschreibung der einzelnen Objekte gespeichert<br />
sind, wird die Sicherheit auf eine Netzwerkressource oder ein <strong>Active</strong> <strong>Directory</strong>-Objekt angewendet.<br />
Die Sicherheitsbeschreibung umfasst die folgenden Komponenten:<br />
• Objektbesitzer Die SID für den aktuellen Besitzer des Objekts. Der Besitzer ist üblicherweise der<br />
Ersteller des Objekts oder ein Sicherheitsprinzipal, der den Besitz eines Objekts übernommen hat.<br />
• Primäre Gruppe Die SID für die primäre Gruppe des aktuellen Besitzers. Diese Information wird<br />
ausschließlich vom POSIX-Subsystem (Portable Operating System Interface for UNIX) verwendet.<br />
• Freigegebene Zugriffssteuerungsliste (Discretionary Access Control List, DACL) Eine Liste mit<br />
Zugriffssteuerungseinträgen (Access Control Entries, ACEs), welche die Berechtigungen der verschiedenen<br />
Sicherheitsprinzipale für ein Objekt definieren. Jeder Sicherheitsprinzipal, der zur<br />
Zugriffssteuerungsliste hinzugefügt wird, erhält eine Reihe von Berechtigungen zum Festlegen, in<br />
welchem Umfang der Benutzer oder die Gruppe das Objekt bearbeiten darf. Benutzer, die nicht in<br />
einer ACE aufgeführt werden (entweder separat oder als Mitglied einer Gruppe) haben keinen<br />
Zugriff auf das Objekt.
322 Kapitel 9: Delegieren der <strong>Active</strong> <strong>Directory</strong>-Domänendiensteverwaltung<br />
• System-Zugriffssteuerungsliste (System Access Control List, SACL) Definiert die Überwachungseinstellungen<br />
für ein Objekt, u.a. welcher Sicherheitsprinzipal und welche Vorgänge überwacht<br />
werden sollen.<br />
Abbildung 9.1 zeigt die Architektur für das Zugriffstoken eines Benutzers und die Sicherheitsbeschreibung<br />
eines Objekts. Beim Versuch eines Benutzers, auf eine Netzwerkressource oder ein<br />
<strong>Active</strong> <strong>Directory</strong>-Objekt zuzugreifen, wird eine Zugriffsüberprüfung durchgeführt und jeder ACE<br />
wird untersucht, bis eine übereinstimmende Benutzer- oder Gruppen-SID ermittelt wird. Der Zugriff<br />
wird anschließend basierend auf den für den ACE konfigurierten Berechtigungen erteilt oder verweigert.<br />
Zugriffsüberprüfung<br />
Benutzerzugriffstoken<br />
Sicherheitsbeschreibung<br />
eines Objekts<br />
SID des Benutzers<br />
SIDs der Gruppe<br />
SID des Besitzers<br />
SID der<br />
primären Gruppe<br />
SACL<br />
ACE<br />
Liste mit<br />
Berechtigungen<br />
und weiteren<br />
Zugriffsinformationen<br />
ACE<br />
DACL<br />
ACE<br />
ACE<br />
ACE<br />
ACE<br />
Abbildung 9.1<br />
eines Objekts<br />
Zugriffsüberprüfung zwischen dem Zugriffstoken eines Benutzers und der Sicherheitsbeschreibung<br />
Auswerten von Verweigern- und Zulassen-ACEs in einer DACL<br />
ACEs werden innerhalb einer DACL mit einer bestimmten Reihenfolge aufgeführt. Dies wirkt sich<br />
direkt auf das Ergebnis der Zugriffsüberprüfung aus. Während einer Zugriffsüberprüfung werden die<br />
ACEs mit einer bestimmten Reihenfolge ausgewertet. Diese Auswertungsreihenfolge ist im Folgenden<br />
aufgeführt:<br />
• Explizit zugewiesene ACEs werden vor vererbten ACEs ausgewertet.<br />
• Innerhalb einer Gruppe aus expliziten oder vererbten ACEs werden Verweigern-ACEs immer vor<br />
Zulassen-ACEs ausgewertet.<br />
Abbildung 9.2 zeigt, wie Berechtigungen zum Zulassen oder Verweigern von Zugriff für explizite und<br />
vererbte ACEs ausgewertet werden.
<strong>Active</strong> <strong>Directory</strong>-Objektberechtigungen 323<br />
Sicherheitsbeschreibung<br />
eines Objekts<br />
DACL<br />
Verweigern-ACE 1 (Explizit)<br />
Verweigern-ACE 2 (Explizit)<br />
Zulassen-ACE 1 (Explizit)<br />
Zulassen-ACE 2 (Explizit)<br />
Verweigern-ACE 1 (Vererbt)<br />
Verweigern-ACE 2 (Vererbt)<br />
Zulassen-ACE 1 (Vererbt)<br />
Zulassen-ACE 2 (Vererbt)<br />
Abbildung 9.2<br />
Auswerten von Zulassen- und Verweigern-ACEs<br />
<strong>Active</strong> <strong>Directory</strong>-Objektberechtigungen<br />
Da sämtliche Objekte in <strong>Active</strong> <strong>Directory</strong> über eine ACL verfügen, können die Berechtigungen für<br />
die einzelnen Objekte geändert werden. Dies umfasst Objekte, die über die Tools <strong>Active</strong> <strong>Directory</strong>-<br />
Benutzer und -Computer, <strong>Active</strong> <strong>Directory</strong>-Standorte und -Dienste, ADSI-Editor oder Ldp.exe angezeigt<br />
werden. Das am häufigsten zum Bearbeiten des <strong>Active</strong> <strong>Directory</strong>-Objektzugriffs verwendete<br />
Tool ist <strong>Active</strong> <strong>Directory</strong>-Benutzer und -Computer. Es kann jedoch jedes der oben genannten Tools<br />
verwendet werden, um die gängige Aufgabe der Objektzugriffsverwaltung innerhalb des Verzeichnisdiensts<br />
auszuführen.<br />
Die Zugriffssteuerungsberechtigungen für <strong>Active</strong> <strong>Directory</strong>-Objekte lassen sich in zwei Kategorien<br />
gliedern: Standardberechtigungen und spezielle Berechtigungen. Spezielle Berechtigungen sind genau<br />
abgestimmte Optionen, die sich auf ein Objekt anwenden lassen. Eine Standardberechtigung umfasst<br />
eine Gruppe spezieller Berechtigungen, um eine bestimmte Funktion zuzulassen oder zu verweigern.<br />
Die Standardberechtigung Lesen umfasst beispielsweise die speziellen Berechtigungseinträge Berechtigungen<br />
lesen, Inhalt auflisten und Alle Eigenschaften lesen.<br />
Standardberechtigungen<br />
Zum Anzeigen der Standardberechtigungen für ein <strong>Active</strong> <strong>Directory</strong>-Objekt in der Domänenverzeichnispartition<br />
öffnen Sie in der Konsole <strong>Active</strong> <strong>Directory</strong>-Benutzer und -Computer im Eigenschaftenfenster<br />
für das Objekt die Registerkarte Sicherheit.<br />
Hinweis Wenn die Registerkarte Sicherheit nicht angezeigt wird, wählen Sie im Menü Ansicht den Eintrag<br />
Erweiterte Features<br />
Auf der Seite Sicherheit werden die Gruppen- oder Benutzernamen angezeigt, denen für das Objekt<br />
Berechtigungen zugewiesen wurden. Bei Auswahl eines Gruppen- oder Benutzereintrags werden die<br />
verknüpften zugelassenen oder verweigerten Berechtigungen angezeigt.
324 Kapitel 9: Delegieren der <strong>Active</strong> <strong>Directory</strong>-Domänendiensteverwaltung<br />
Abbildung 9.3 zeigt die Berechtigungen für die Gruppe Domänen-Admins in der OU Vertrieb. Beachten<br />
Sie, dass das Kontrollkästchen Zulassen per Voreinstellung für sämtliche Berechtigungen aktiviert<br />
ist, sodass die Gruppe Domänen-Admins für die OU Vertrieb über Vollzugriff verfügt.<br />
Abbildung 9.3<br />
Anzeigen der Seite Sicherheit für ein OU-Objekt<br />
Abhängig davon, welcher Objekttyp geschützt werden soll, werden auf der Seite Sicherheit unterschiedliche<br />
Berechtigungen angezeigt. Die folgenden Standardberechtigungen gelten beispielsweise<br />
für sämtliche Objekte:<br />
• Vollzugriff<br />
• Lesen<br />
• Schreiben<br />
• Alle untergeordneten Objekte erstellen<br />
• Alle untergeordneten Objekte löschen<br />
Einige <strong>Active</strong> <strong>Directory</strong>-Objekte verfügen zudem über Standardberechtigungen, die auf gruppierte<br />
Eigenschaftensätze angewendet werden. Ein Benutzerobjekt verfügt beispielsweise über mehrere<br />
Eigenschaftensätze mit Lese- und Schreibberechtigung, z.B. für allgemeine Informationen, persönliche<br />
Informationen, Telefon- und Postoptionen sowie Webinformationen. Da sich jeder dieser Eigenschaftensätze<br />
auf einen Satz an Objektattributen bezieht, wird beim Erteilen von Zugriff auf eine<br />
einzige Eigenschaft der Zugriff auf einen Satz an Attributen zugelassen. Der Eigenschaftensatz für<br />
persönliche Informationen umfasst beispielsweise Attribute wie homePhone, homePostalAddress und<br />
streetAddress. Die Verwendung von Eigenschaftensätzen zum Zuweisen von Zugriff auf Attributgruppen<br />
vereinfacht die Zuweisung von Berechtigungen, ohne dass Optionen auf detaillierter Attributebene<br />
geändert werden müssen.
<strong>Active</strong> <strong>Directory</strong>-Objektberechtigungen 325<br />
Hinweis Das <strong>Active</strong> <strong>Directory</strong>-Schema definiert über den Wert rightsGuid für die Eigenschaftenkategorie<br />
(in der Konfigurationsverzeichnispartition) und den Wert attributeSecurityGUID für das schema-Objekt,<br />
welche Attribute Teil der verschiedenen Eigenschaftensätze sind. Der rightsGuid-Wert für cn=Personal-Information,<br />
cn=Extended-Rights, cn=configuration, dc=forestname entspricht beispielsweise dem attributeSecurityGUID-Wert<br />
für cn=Telephone-Number, cn=Schema, cn=Configuration, dc=forestname. Dies bedeutet,<br />
dass die Telefonnummer im Eigenschaftensatz Persönliche Informationen enthalten ist.<br />
Zusätzlich zu den Standardberechtigungen werden auf der Seite Sicherheit möglicherweise auch<br />
erweiterte Berechtigungen im Zusammenhang mit dem Objekt angezeigt, das geschützt wird. Abhängig<br />
vom Objekt können diese Berechtigungen Optionen wie z.B. Authentifizierung zulassen, Richtlinienergebnissatz<br />
erstellen, Empfangen als, Senden als, Senden an, Kennwort ändern und Kennwort<br />
zurücksetzen umfassen.<br />
Spezielle Berechtigungen<br />
Die Berechtigungsliste auf der Seite Sicherheit umfasst u.a. den Eintrag Spezielle Berechtigungen.<br />
Neben den Standardberechtigungen können für <strong>Active</strong> <strong>Directory</strong>-Objekte auch spezielle Berechtigungen<br />
zugewiesen werden.<br />
Hinweis Anhand der Kontrollkästchen Zulassen und Verweigern neben dem Eintrag Spezielle Berechtigungen<br />
lässt sich ermitteln, ob für ein Objekt spezielle Berechtigungen festgelegt wurden. Bei aktiviertem<br />
Kontrollkästchen wurden spezielle Berechtigungen zugewiesen.<br />
Wie bereits erwähnt, sind spezielle Berechtigungen deutlich genauer abgestimmt und spezifischer als<br />
Standardberechtigungen. Für eine vereinfachte Verwaltung verwenden Sie für ein Objekt typischerweise<br />
die Standardberechtigungen; möglicherweise müssen jedoch bestimmte Anforderungen erfüllt<br />
werden, aufgrund derer die Einträge der speziellen Berechtigungen geändert werden müssen.<br />
Für den Zugriff auf spezielle Berechtigungen klicken Sie auf der Seite Sicherheit auf Erweitert und<br />
stellen dann sicher, dass die Registerkarte Berechtigungen ausgewählt ist. Diese Seite ist in<br />
Abbildung 9.4 gezeigt. In Tabelle 9.2 sind die verfügbaren Optionen auf der Seite Berechtigungen<br />
erläutert.<br />
Tabelle 9.2<br />
Option<br />
Typ<br />
Name<br />
Berechtigung<br />
Geerbt von<br />
Konfigurieren von speziellen Berechtigungen<br />
Erläuterung<br />
Dieser Wert ist entweder auf Zulassen oder auf Verweigern gesetzt. Normalerweise sind die<br />
Berechtigungen so sortiert, dass zunächst sämtliche Berechtigungen mit dem Wert Verweigern<br />
aufgeführt sind. Diese Sortierreihenfolge lässt sich jedoch ändern, indem Sie auf eine<br />
Spaltenüberschrift klicken. Unabhängig von der Anzeigereihenfolge in dieser Spalte werden<br />
die Berechtigungen mit dem Wert Verweigern immer zuerst ausgewertet.<br />
Dies ist der Name des Sicherheitsprinzipals, für den die einzelnen ACEs gelten.<br />
In dieser Spalte wird der Berechtigungsumfang für den Sicherheitsprinzipal<br />
aufgeführt. Dabei kann es sich um Standardberechtigungen wie Vollzugriff, um spezielle Berechtigungen<br />
zum Erstellen/Löschen von Benutzerobjekten oder einfach um den Berechtigungseintrag<br />
Speziell handeln. Die verfügbaren Berechtigungstypen hängen vom Objekttyp<br />
und davon ab, wie detailliert der Berechtigungseintrag ist.<br />
In dieser Spalte wird der Speicherort angezeigt, an dem diese Berechtigung festgelegt ist,<br />
sowie die Information, ob die Berechtigung von einem übergeordneten Container geerbt<br />
wurde oder nicht.
326 Kapitel 9: Delegieren der <strong>Active</strong> <strong>Directory</strong>-Domänendiensteverwaltung<br />
Tabelle 9.2<br />
Konfigurieren von speziellen Berechtigungen (Fortsetzung)<br />
Option<br />
Anwenden auf<br />
Vererbbare Berechtigungen<br />
des übergeordneten Objektes<br />
einschließen<br />
Hinzufügen/Bearbeiten/<br />
Entfernen<br />
Erläuterung<br />
In dieser Spalte wird angegeben, auf welcher Ebene diese Berechtigung angewendet wird.<br />
Es sind diverse Einstellungen möglich, u.a. Nur dieses Objekt, Dieses und alle untergeordneten<br />
Objekte, Alle untergeordneten Objekte sowie eine Vielzahl weiterer Einstellungen.<br />
Über diese Option kann angegeben werden, ob übergeordnete Berechtigungseinträge auf<br />
das Objekt angewendet werden sollen.<br />
Über diese Schaltflächen können neue ACEs hinzugefügt, vorhandene ACEs entfernt oder<br />
bestimmte ACEs bearbeitet werden, um detailliertere Berechtigungseinstellungen festzulegen.<br />
Abbildung 9.4<br />
Anzeigen der erweiterten Sicherheitseinstellungen für ein Objekt<br />
Hinweis Über die Schaltfläche Standard wiederherstellen auf der Seite Berechtigungen werden die<br />
Berechtigungen für das Objekt auf die Standardberechtigungseinstellungen zurückgesetzt, wie in den Einstellungen<br />
Standardsicherheit der Objektklasse im <strong>Active</strong> <strong>Directory</strong>-Schema angegeben.<br />
Häufig sind dieselben Sicherheitsprinzipale in mehreren ACEs aufgelistet. Die Gruppe Konten-Operatoren<br />
verfügt beispielsweise über mehrere Einträge Erstellen/Löschen für Computer-, Gruppen-,<br />
Benutzer-, Drucker- und InetOrgPerson-Objekte in verschiedenen ACEs. Dieser Fall tritt immer dann<br />
ein, wenn eine Kombination aus Berechtigungen angegeben wird, die nicht innerhalb eines einzigen<br />
ACE gespeichert werden können. In diesem Beispiel kann der Schwerpunkt der einzelnen ACEs<br />
lediglich auf einem Objekttyp (Computer, Benutzer usw.) liegen, die Zusammenfassung zu einem<br />
einzigen ACE ist nicht möglich.
<strong>Active</strong> <strong>Directory</strong>-Objektberechtigungen 327<br />
Beim Hinzufügen oder Bearbeiten der Berechtigungen für einen Sicherheitsprinzipal sind zwei Optionen<br />
zum Anwenden von Berechtigungen verfügbar. Abbildung 9.5 zeigt die erste Option, bei der<br />
Berechtigungen auf ein Objekt angewendet werden.<br />
Abbildung 9.5<br />
Zuweisen von speziellen Berechtigungen zu <strong>Active</strong> <strong>Directory</strong>-Objekten<br />
Über die Registerkarte Objekt werden Berechtigungen auf verschiedene Objektebenen angewendet:<br />
• Nur dieses Objekt Berechtigungen werden ausschließlich auf das Objekt angewendet, das gegenwärtig<br />
geschützt oder bearbeitet wird.<br />
• Dieses und alle untergeordneten Objekte Berechtigungen werden sowohl auf das Objekt, das<br />
gegenwärtig geschützt wird, als auch auf alle untergeordneten Objekte innerhalb dieses Objekts<br />
angewendet.<br />
• Alle untergeordneten Objekte Berechtigungen werden ausschließlich auf die untergeordneten<br />
Objekte innerhalb des Objekts angewendet, das gegenwärtig bearbeitet wird.<br />
• Einzelne untergeordnete Objekte Windows Server 2008 bietet eine umfangreiche Auswahl an einzelnen<br />
untergeordneten Objekten, die sich detailliert schützen lassen. Wenn beispielsweise auf<br />
OU-Ebene Berechtigungen zugewiesen werden, können Sie festlegen, dass Berechtigungen ausschließlich<br />
auf Computerobjekte innerhalb der OU Vertrieb angewendet werden. Über diese<br />
Optionen lassen sich Berechtigungen auf fein abgestufter Objektebene delegieren.<br />
Die zweite Option zum Anwenden von Berechtigungen wird verwendet, um den Zugriff auf die<br />
Objekteigenschaften zu steuern. Dieses Fenster ist in Abbildung 9.6 gezeigt.<br />
Auf der Seite Eigenschaften werden Berechtigungen für den im Feld Name aufgeführten Sicherheitsprinzipal<br />
auf die einzelnen Eigenschaften für das Objekt angewendet. Beim Anwenden von Berechtigungen<br />
auf ein Benutzerobjekt haben Sie z.B. die Möglichkeit, die Berechtigungen Lesen und<br />
Schreiben auf jedes für die Ojektklasse verfügbare Attribut anzuwenden. Dazu zählen beispielsweise<br />
Allgemeine Informationen, Gruppenmitgliedschaft und Persönliche Informationen.
328 Kapitel 9: Delegieren der <strong>Active</strong> <strong>Directory</strong>-Domänendiensteverwaltung<br />
Abbildung 9.6<br />
Konfigurieren von Eigenschaftenberechtigungen für ein Objekt<br />
So funktioniert es: Anzeigen des ACE mithilfe von Ldp.exe<br />
Bei Ldp.exe handelt es sich um ein GUI-Tool (Graphical User Interface, grafische Benutzeroberfläche)<br />
zum Durchführen von verschiedenen Vorgängen für einen LDAP-kompatiblen Verzeichnisdienst.<br />
Dazu zählen z.B. Vorgänge wie das Verbinden, Binden, Bearbeiten, Hinzufügen oder<br />
Löschen von Elementen sowie das Suchen nach Objekten. LDP kann zum Anzeigen von erweiterten<br />
<strong>Active</strong> <strong>Directory</strong>-Metadaten wie beispielsweise Sicherheitsbeschreibungen und Replikationsmetadaten<br />
verwendet werden.<br />
So zeigen Sie eine ACL mithilfe von Ldp.exe an:<br />
1. Öffnen Sie das Dialogfeld Ausführen, geben Sie ldp ein, und drücken Sie anschließend die<br />
EINGABETASTE.<br />
2. Klicken Sie auf das Menü Remotedesktopverbindung und anschließend auf Verbinden.<br />
Wenn das Serverfeld nicht ausgefüllt wird, stellt der Server eine Verbindung mit dem lokalen<br />
Computer her. Sie können auch den Servernamen eingeben.<br />
3. Nachdem die Verbindung mit dem Server hergestellt wurde, klicken Sie auf das Menü Remotedesktopverbindung<br />
und anschließend auf Gebunden. Wenn Sie nicht über ein Benutzerkonto<br />
mit Administratorrechten angemeldet sind, geben Sie alternative Anmeldeinformationen an.<br />
Anderenfalls lassen Sie das Feld für die Anmeldeinformationen leer.<br />
4. Nach dem Herstellen einer Bindung mit der Domäne klicken Sie auf das Menü Ansicht und<br />
anschließend auf Struktur.<br />
5. Zum Anzeigen der gesamten Domäne klicken Sie auf OK. Die OU-Struktur der Domäne wird<br />
im linken Fensterbereich angezeigt.<br />
Um die ACL für ein beliebiges Objekt anzuzeigen, wechseln Sie im linken Fenster in der Strukturansicht<br />
zu diesem Objekt. Klicken Sie mit der rechten Maustaste auf das Objekt, zeigen Sie auf<br />
Schwer, klicken Sie auf Sicherheitsbeschreibung und schließlich auf OK.
<strong>Active</strong> <strong>Directory</strong>-Objektberechtigungen 329<br />
Wie in Abbildung 9.7 gezeigt, sind eine Reihe von erweiterten Optionen verfügbar. Beispielsweise<br />
können DACL- und SACL-Berechtigungen geändert oder SD-Steuerungen (Security Descriptor,<br />
Sicherheitsbeschreibung) bearbeitet werden – wie z.B. der DACL- und SACL-Schutz.<br />
Abbildung 9.7<br />
Verwenden von Ldp.exe zum Ändern der Sicherheitsbeschreibung<br />
Beim Hinzufügen oder Bearbeiten eines ACEs mithilfe von Ldp.exe können bestimmte Berechtigungen<br />
und ACE-Flags für verschiedene Objekttypen geändert und die Objektvererbung festgelegt<br />
werden. Abbildung 9.8 zeigt den mit Ldp.exe bereitgestellten ACE-Editor.<br />
Abbildung 9.8<br />
Bearbeiten eines ACEs mithilfe von Ldp.exe
330 Kapitel 9: Delegieren der <strong>Active</strong> <strong>Directory</strong>-Domänendiensteverwaltung<br />
Berechtigungsvererbung<br />
In den AD DS wird ein statisches Berechtigungsvererbungsmodell verwendet. Das heißt, dass beim<br />
Ändern von Berechtigungen für ein Containerobjekt in der <strong>Active</strong> <strong>Directory</strong>-Struktur die Änderungen<br />
berechnet und auf die Sicherheitsbeschreibung für alle Objekte innerhalb des Containers angewendet<br />
werden. Folglich kann die Berechnung der neuen ACL für jedes Objekt prozessorintensiv sein, wenn<br />
Berechtigungen auf höherer Ebene in der <strong>Active</strong> <strong>Directory</strong>-Struktur geändert und diese Berechtigungen<br />
auf sämtliche untergeordneten Objekte angewendet werden. Dieser anfängliche Aufwand<br />
bedeutet jedoch, dass die Berechtigungen beim Versuch eines Benutzers oder Prozesses, auf das<br />
Objekt zuzugreifen, nicht neu berechnet werden müssen.<br />
Zum Steuern der Vererbung von Berechtigungen werden zwei Hauptmethoden verwendet:<br />
• Konfigurieren von vererbbaren Berechtigungen für das Objekt Beim Erstellen eines Objekts in<br />
<strong>Active</strong> <strong>Directory</strong> werden standardmäßig vererbbare Berechtigungen aus dem übergeordneten<br />
Objekt eingeschlossen. Anhand des Kontrollkästchens auf der Seite Sicherheit oder der Spalte<br />
Geerbt von im Fenster Erweiterte Sicherheitseinstellungen lässt sich ermitteln, ob ein Berechtigungseintrag<br />
vererbt wird.<br />
• Konfigurieren des Umfangs für die Anwendung von Berechtigungen Wie bereits erwähnt, besteht<br />
eine weitere Möglichkeit zum Steuern der Vererbung darin anzugeben, wie Berechtigungen beim<br />
Anwenden von Sicherheit auf ein Objekt auf die untergeordneten Objekte angewendet werden.<br />
Beim manuellen Hinzufügen eines neuen Gruppen- oder Benutzernamens zum ACE verfügt der<br />
Eintrag standardmäßig über Berechtigungen, die nur für dieses eine Objekt gelten. Um die Vererbung<br />
auf ein untergeordnetes Objekt zu erzwingen, muss der Umfang so geändert werden, dass<br />
die Berechtigungen zusätzlich zum aktuellen Objekt auch auf untergeordnete Objekte angewendet<br />
werden.<br />
Hinweis Bei Verwendung des Assistenten zum Zuweisen der Objektverwaltung wird die Vererbung automatisch<br />
auf Dieses und alle untergeordneten Objekte gesetzt. Weitere Informationen zu diesem Assistenten<br />
finden Sie im Abschnitt „Delegieren von Verwaltungsaufgaben“ weiter unten in diesem Kapitel.<br />
Wenn Sie Ihre OU-Struktur für die delegierte Verwaltung entworfen haben, verfügen Sie über eine<br />
OU-Struktur, in der den Administratoren auf höchster Ebene, die Berechtigungen für sämtliche <strong>Active</strong><br />
<strong>Directory</strong>-Objekte benötigen, auf einer hohen Hierarchieebene Rechte mit delegierten Berechtigungen<br />
für alle untergeordneten Objekte zugewiesen werden. Auf niedrigeren Hierarchieebenen können<br />
Berechtigungen an andere Administratoren delegiert werden, die lediglich zum Verwalten eines<br />
kleineren Bereichs der Domäne berechtigt sein sollen. In Abbildung 9.9 ist beispielsweise die OU<br />
Vertrieb gezeigt. Die OU Vertrieb verfügt über zwei untergeordnete OUs Vertrieb_Ost und Vertrieb_<br />
West. An den für die gesamte Vertriebsabteilung verantwortlichen Abteilungsleiter können Berechtigungen<br />
für die gesamte OU Vertrieb mit allen untergeordneten Objekten delegiert werden, während<br />
an die Abteilungsleiter der Bereiche Vertrieb_Ost und Vertrieb_West lediglich Berechtigungen für ihre<br />
jeweilige OU delegiert werden.
<strong>Active</strong> <strong>Directory</strong>-Objektberechtigungen 331<br />
Abbildung 9.9<br />
Delegieren der Verwaltung für die OU Vertrieb<br />
In einigen Fällen kann es jedoch sinnvoll oder erforderlich sein, die Administratorrechte für Administratoren<br />
auf höheren Ebenen für eine bestimmte untergeordnete OU zu deaktivieren. Wenn beispielsweise<br />
eine untergeordnete OU für eine Zweigstelle eines Unternehmens erstellt wird, kann einer lokalen<br />
Administratorgruppe Vollzugriff auf diese OU zugewiesen werden. Möglicherweise sollen diese<br />
lokalen Administratoren jedoch nicht auf Benutzerkonten von leitenden Angestellten in der OU<br />
zugreifen können. Zum Beschränken des Zugriffs kann innerhalb der OU für die Zweigstelle eine OU<br />
Leitende Angestellte erstellt und die Option zum Einschließen von vererbbaren Berechtigungen des<br />
übergeordneten Objekts deaktiviert werden. Dies verhindert die Berechtigungsvererbung auf Ebene<br />
der OU Leitende Angestellte.<br />
Zum Deaktivieren der Vererbung von Berechtigungen für ein <strong>Active</strong> <strong>Directory</strong>-Objekt öffnen Sie das<br />
in Abbildung 9.4 gezeigte Dialogfeld Erweiterte Sicherheitseinstellungen für das Objekt. Deaktivieren<br />
Sie die Option Vererbbare Berechtigungen des übergeordneten Objektes einschließen. Wenn Sie<br />
diese Option deaktivieren, können Sie die vorhandenen Berechtigungen kopieren oder sämtliche<br />
Berechtigungen entfernen, bevor Sie explizit neue Berechtigungen zuweisen (wie in Abbildung 9.10<br />
gezeigt).<br />
Abbildung 9.10 Auswählen der Option zum Kopieren oder Entfernen von Berechtigungen beim Deaktivieren der<br />
Berechtigungsvererbung
332 Kapitel 9: Delegieren der <strong>Active</strong> <strong>Directory</strong>-Domänendiensteverwaltung<br />
Das Deaktivieren der Vererbung hat folgende Auswirkungen:<br />
• Die Berechtigungen werden für das Objekt und alle untergeordneten Objekte deaktiviert. Dies<br />
bedeutet, dass es nicht möglich ist, die Berechtigungsvererbung auf einer Containerebene zu deaktivieren<br />
und die Vererbung von einem höheren Container anschließend auf einer niedrigeren<br />
Ebene erneut anzuwenden.<br />
• Auch wenn die Berechtigungen vor dem Ändern kopiert werden, beginnt die Berechtigungsvererbung<br />
auf der Ebene, auf der die Berechtigungen deaktiviert werden. Wenn die Berechtigungen auf<br />
einer höheren Ebene geändert werden, werden sie nicht weiter als bis zur Ebene der deaktivierten<br />
Berechtigungen vererbt.<br />
• Es kann nicht ausgewählt werden, welche Berechtigungen deaktiviert werden. Beim Deaktivieren<br />
von Berechtigungen werden alle vererbten Berechtigungen deaktiviert. Berechtigungen, die dem<br />
Objekt oder untergeordneten Objekten explizit zugewiesen wurden, werden nicht deaktiviert.<br />
Hinweis Eine der möglichen Bedenken beim Deaktivieren von vererbten Berechtigungen ist, dass möglicherweise<br />
ein verwaistes Objekt erstellt wird, für das kein Benutzer über Berechtigungen verfügt. Sie können<br />
beispielsweise eine OU erstellen, die Berechtigungsvererbung für diese OU vollständig deaktivieren und<br />
die Berechtigungen einer einzigen Administratorengruppe zuweisen. Sogar die Gruppe Domänen-Admins<br />
kann aus der ACL der OU entfernt werden, sodass die Mitglieder dieser Gruppe unter normalen Bedingungen<br />
über keine Berechtigungen verfügen. Wenn diese Administratorengruppe gelöscht wird, gibt es für<br />
die OU keine Gruppe mit Verwaltungsberechtigungen. In diesem Fall müsste die Gruppe Domänen-Admins<br />
den Besitz des Objekts übernehmen und Berechtigungen neu zuweisen.<br />
Direkt von der Quelle: Delegieren der Verwaltung für ein OU-Modell<br />
Es gibt verschiedene Meinungen dazu, wie ein OU-Modell entworfen und die Delegierung innerhalb<br />
des Modells durchgeführt werden sollte. Die gängigsten Ausgangspunkte für ein OU-Modell<br />
basieren auf Geschäftsfunktion, Geografie oder einer Kombination dieser beiden Faktoren. Ein<br />
Delegierungsmodell kann zentral, dezentral oder zentral mit dezentraler Ausführung aufgebaut<br />
sein. Der Aufbau hängt letztendlich jedoch davon ab, wie ein Kunde operativen Support bereitstellen<br />
möchte.<br />
Wenn die Delegierung in Betracht gezogen wird, befindet sich eine Organisation an einem von<br />
zwei Punkten innerhalb des <strong>Active</strong> <strong>Directory</strong>-Lebenszyklus: entweder wird die Migration auf<br />
<strong>Active</strong> <strong>Directory</strong> in Erwägung gezogen, oder die Migration auf <strong>Active</strong> <strong>Directory</strong> wurde bereits<br />
durchgeführt und nun bietet sich die Möglichkeit, frühere Entscheidungen zu überdenken, um eine<br />
effektivere und effizientere Umgebung bereitzustellen.<br />
Wenn Sie die Migration auf <strong>Active</strong> <strong>Directory</strong> in Betracht ziehen, sollten Sie sich so früh und häufig<br />
wie möglich mit dem Kunden besprechen. Ein Verständnis davon, wie Kunden ihre Geschäfte<br />
abwickeln, ist bei der Entwicklung einer funktionierenden und effizienten Infrastruktur entscheidend.<br />
Wenn Sie als Mitarbeiter eines Unternehmens mit der Migration der Umgebung auf <strong>Active</strong><br />
<strong>Directory</strong> beauftragt wurden, gilt dieser Rat ebenso: besprechen Sie sich so früh und häufig wie<br />
möglich mit der oberen Führungsebene, um ein besseres Verständnis davon zu erlangen, wie die<br />
Geschäftsabwicklung aussehen soll. Berücksichtigen Sie bei der Entscheidung, wie die Lösung<br />
aufgebaut werden soll, dass <strong>Active</strong> <strong>Directory</strong> aufgrund der äußerst großen Flexibilität eine unbegrenzte<br />
Granularität (Tiefe) und einen uneingeschränkten Umfang (Breite) bieten kann.
<strong>Active</strong> <strong>Directory</strong>-Objektberechtigungen 333<br />
Es könnten Gruppen für jede vorstellbare Rolle (Tiefe) und Gruppen zur Abdeckung jedes<br />
Umfangs (Breite) definiert werden. Dies würde zu einer Umgebung führen, die sich nur schwer<br />
verwalten ließe. Es gibt ein ausgewogenes Gleichgewicht zwischen Tiefe und Breite, das für jeden<br />
Kunden unterschiedlich sein kann. Faktoren wie die Anzahl an Standorten und das Supportpersonal<br />
sind äußerst wichtig, um ein effektives Delegierungsmodell zu entwerfen. Aus diesem Grund<br />
sind von Anfang an häufige Treffen zu Planung und Entwurf mit dem Kunden oder der oberen<br />
Führungsebene erforderlich, um eindeutig zu klären, wie der operative Support bereitgestellt werden<br />
soll.<br />
Wenn Sie bereits über eine <strong>Active</strong> <strong>Directory</strong>-Umgebung verfügen und das vorhandene Delegierungsmodell<br />
überdenken können, sollten Sie untersuchen, wie der operative Support gegenwärtig<br />
verwaltet wird. Möglicherweise lassen sich die Abläufe durch eine Verringerung von Tiefe und<br />
Breite des aktuellen Modells optimieren. Meine Erfahrungen haben gezeigt, dass im Zusammenhang<br />
mit dem operativen Support weniger manchmal mehr ist.<br />
Und schließlich ist die Kommunikation entscheidend, um wirklich effektiv zu sein und die Erwartungen<br />
des Kunden oder der oberen Führungsebene zu erfüllen. Ich war an vielen Kundengesprächen<br />
beteiligt, in denen IT-Experten Themen wie die Delegierung innerhalb von <strong>Active</strong> <strong>Directory</strong><br />
mit dem Kunden oder der oberen Führungsebene besprochen haben, und die verwendete Terminologie<br />
hat auf beiden Seiten zu Frustration geführt. Bevor Sie mit technischen Diskussionen beginnen,<br />
sollten Sie sich daher Gedanken zu den folgenden Themen machen:<br />
• An wen richten sich die Informationen? Ihre Zielgruppe kann abhängig davon variieren, ob es<br />
sich um ein Meeting handelt, oder ob Sie ein Whitepaper oder ein Angebot schreiben.<br />
• Wie lassen sich Kenntnisse und Wissen an die Zielgruppe vermitteln? Nehmen Sie sich ein paar<br />
Minuten, um Ihre Strategie zur Vermittlung der Informationen durchzugehen. Gibt es Wörter,<br />
Sätze oder Themen, die abhängig von der Zielgruppe eine unterschiedliche Bedeutung haben?<br />
• Versuchen Sie, zwei oder drei verschiedene Strategien für die Diskussion zu entwickeln. Der Einsatz<br />
von Analogien ist eine hervorragende Methode, um eine Diskussion weniger technisch zu<br />
gestalten und das Thema in einem Kontext zu vermitteln, den auch die meisten Zuhörer ohne IT-<br />
Kenntnisse verstehen.<br />
Barry Hartman<br />
Senior Consultant<br />
Microsoft Consulting Services<br />
Effektive Berechtigungen<br />
Wie bereits in diesem Kapitel beschrieben, können einem Benutzer Berechtigungen für ein bestimmtes<br />
Objekt in <strong>Active</strong> <strong>Directory</strong> über verschiedene Methoden zugewiesen werden:<br />
• Dem Benutzerkonto werden ausdrückliche Berechtigungen für ein Objekt zugewiesen.<br />
• Eine oder mehrere Gruppen, zu denen der Benutzer gehört, erhalten ausdrückliche Berechtigungen<br />
für ein Objekt.<br />
• Dem Benutzerkonto oder einer oder mehrerer Gruppen, zu denen der Benutzer gehört, werden<br />
Berechtigungen auf Containerobjektebene zugewiesen, und Berechtigungen werden von Objekten<br />
auf niedrigeren Ebenen geerbt.
334 Kapitel 9: Delegieren der <strong>Active</strong> <strong>Directory</strong>-Domänendiensteverwaltung<br />
All diese Berechtigungen sind kumulativ; das heißt, dass der Benutzer den größten Berechtigungsumfang<br />
aus all diesen Konfigurationen erhält. Wenn einem Benutzer beispielsweise explizit die Berechtigung<br />
Lesen für ein Objekt zugewiesen wird, der Benutzer zu einer Gruppe mit ausdrücklicher Berechtigung<br />
Ändern und zu einer Gruppe mit Vollzugriff auf Containerebene gehört, verfügt der Benutzer<br />
über die Berechtigung Vollzugriff. Beim Versuch eines Benutzers, auf ein Objekt zuzugreifen, untersucht<br />
das Sicherheitssubsystem sämtliche ACEs, die an das Objekt angefügt sind. Alle ACEs, die für<br />
den Sicherheitsprinzipal gelten (basierend auf Benutzerkonto oder Gruppen-SIDs) werden ausgewertet,<br />
und die höchste Berechtigungsebene wird festgelegt. Zusätzlich zu ACEs zum Erteilen von<br />
Berechtigungen unterstützt <strong>Active</strong> <strong>Directory</strong> jedoch auch verweigernde Berechtigungen. Verweigernde<br />
Berechtigungen können auf zwei Ebenen angewendet werden:<br />
• Dem Benutzerobjekt oder einer oder mehreren Gruppen, zu denen der Benutzer gehört, kann die<br />
Berechtigung für ein Objekt ausdrücklich verweigert werden.<br />
• Dem Benutzerobjekt oder einer oder mehreren Gruppen, zu denen der Benutzer gehört, können<br />
Berechtigungen auf Containerebene verweigert werden, und diese Verweigerung kann an Objekte<br />
auf niedrigeren Ebenen vererbt werden.<br />
Verweigernde Berechtigungen setzen zulassende Berechtigungen fast immer außer Kraft. Wenn ein<br />
Benutzer beispielsweise Mitglied einer Gruppe mit der Berechtigung Berechtigungen ändern für ein<br />
<strong>Active</strong> <strong>Directory</strong>-Objekt ist, dem Benutzer diese Berechtigung jedoch ausdrücklich verweigert wurde,<br />
kann der Benutzer das Objekt nicht bearbeiten. Der Grund dafür ist, dass ACEs zum Verweigern von<br />
Berechtigungen vor ACEs zum Zulassen von Berechtigungen ausgewertet werden. Wenn die Berechtigung<br />
für den Sicherheitsprinzipal durch einen ACE verweigert wird, werden keine weiteren ACEs<br />
für das Objekt ausgewertet.<br />
In einer einzigen Situation setzen zulassende Berechtigungen verweigernde Berechtigungen außer<br />
Kraft: wenn die verweigernden Berechtigungen geerbt und die zulassenden Berechtigungen ausdrücklich<br />
zugewiesen wurden. So kann einem Benutzer beispielsweise die Berechtigung zum Ändern von<br />
Benutzerkonten in einem Container verweigert werden. Wenn für ein Objekt innerhalb des Containers<br />
jedoch ausdrücklich die Berechtigung Berechtigungen ändern erteilt wird, verfügt das Benutzerkonto<br />
für dieses Objekt über die Berechtigung Berechtigungen ändern.<br />
Verwenden Sie verweigernde Berechtigungen mit Bedacht:<br />
Die Verwendung der Option Verweigern zum Verweigern von Berechtigungen kann zur Folge<br />
haben, dass sich die <strong>Active</strong> <strong>Directory</strong>-Sicherheitsstruktur nur sehr schwer verwalten lässt. Es sind<br />
eine Reihe verschiedener Szenarien möglich, in denen Sie möglicherweise die Verwendung der<br />
Berechtigung Verweigern in Betracht ziehen. Möglicherweise erwägen Sie die Verwendung der<br />
Option Verweigern z.B., um einige Berechtigungen zu entfernen, die vererbt werden. Beispiel: Sie<br />
erteilen die Berechtigung Berechtigungen ändern auf Containerebene, möchten diese Einstellung<br />
auf einer niedrigeren Hierarchieebene jedoch in Berechtigungen lesen ändern. In diesem Fall<br />
könnten Sie die Schreibberechtigung für Objekte und Eigenschaften auf einer niedrigeren Hierarchieebene<br />
verweigern.<br />
Ein weiteres Szenario, in dem die Verwendung der Option Verweigern denkbar ist, besteht, wenn<br />
Sie einen Container erstellen, für den eine höhere Sicherheitsstufe erforderlich ist. Beispielsweise<br />
verfügen Sie möglicherweise über einen Container für alle leitenden Angestellten und möchten<br />
sicherstellen, dass ein normaler Benutzer die Kontoeigenschaften dieser Mitarbeiter nicht lesen<br />
kann. Sie könnten die Berechtigung Berechtigungen lesen unter Verwendung der Gruppe Domänen-Benutzer<br />
für den Container verweigern.
<strong>Active</strong> <strong>Directory</strong>-Objektberechtigungen 335<br />
Unglücklicherweise wird dadurch sämtlichen Benutzern die Leseberechtigung für die Verzeichnisobjekte<br />
verweigert, einschließlich aller Administratoren. Aufgrund der Probleme, die bei Verwendung<br />
der Option Verweigern auftreten können, sollten Sie diese nur mit Bedacht verwenden.<br />
In den meisten Fällen kann einfach sichergestellt werden, dass ein Benutzer oder eine Gruppe nicht<br />
über bestimmte Berechtigungen verfügt, anstatt diese Berechtigungen zu verweigern. Wenn einem<br />
Benutzer keine Berechtigungen erteilt werden, und er kein Mitglied einer Gruppe mit Berechtigungen<br />
ist, verfügt der Benutzer nicht über Zugriffsrechte, da diese implizit verweigert werden. Es<br />
ist nicht erforderlich, die Berechtigung Verweigern ausdrücklich anzuwenden, um den Benutzerzugriff<br />
auf Objekte in <strong>Active</strong> <strong>Directory</strong> zu verhindern.<br />
Eine Situation, in der die Verwendung der Option Verweigern sinnvoll sein kann, ist, wenn einer<br />
Gruppe Berechtigungen zugewiesen werden sollen, jedoch mindestens ein Benutzer innerhalb dieser<br />
Gruppe über einen geringeren Berechtigungsumfang verfügen soll. Möglicherweise verfügen<br />
Sie z.B. über eine Gruppe Konten-Admins, die für die Verwaltung aller Benutzerkonten innerhalb<br />
der Domäne verantwortlich ist. Einige Mitglieder dieser Gruppe könnten temporäre Mitarbeiter<br />
sein, die zwar zur Verwaltung sämtlicher Benutzerkonten in der Domäne berechtigt sein müssen,<br />
jedoch keine Eigenschaften von Konten leitender Angestellter ändern dürfen. In diesem Fall<br />
könnten Sie der Gruppe Konten-Admins zunächst die Berechtigung zum Verwalten aller Benutzerkonten<br />
in der Domäne zuweisen. Anschließend erstellen Sie eine OU für die Konten der leitenden<br />
Angestellten sowie eine Gruppe für die temporären Mitglieder der Gruppe Konten-Admins. Dann<br />
verweigern Sie den temporären Benutzern die Berechtigung zum Ändern von Benutzerkonten in<br />
der OU der leitenden Angestellten.<br />
Wie Sie sehen, kann die Konfiguration der Sicherheit für <strong>Active</strong> <strong>Directory</strong>-Objekte die Verwaltung<br />
einer großen Anzahl von zusammenhängenden Variablen umfassen. Die meisten Unternehmen beginnen<br />
mit einem recht einfachen Sicherheitsentwurf, in dem eine kleine Gruppe von Administratoren<br />
über sämtliche Berechtigungen in <strong>Active</strong> <strong>Directory</strong> verfügt. In den meisten Fällen ist die ursprüngliche<br />
<strong>Active</strong> <strong>Directory</strong>-Sicherheitskonfiguration sorgfältig dokumentiert. Im Lauf der Zeit wird diese<br />
einfache Erstkonfiguration jedoch immer komplexer. Manchmal wird einer weiteren Gruppe von<br />
Administratoren einen Satz an Berechtigungen für eine bestimmte Aufgabe und für einen bestimmten<br />
Zeitraum zugewiesen. Berechtigungen lassen sich problemlos erteilen, werden häufig jedoch nie entfernt.<br />
Zudem werden diese nach der ursprünglichen Bereitstellung durchgeführten Änderungen an der<br />
Sicherheit zudem nicht sorgfältig dokumentiert.<br />
Bei einer <strong>Active</strong> <strong>Directory</strong>-Struktur, die bereits seit längerer Zeit bereitgestellt wird, ist die aktuelle<br />
Sicherheitskonfiguration wahrscheinlich komplexer als der ursprüngliche Entwurf. Manchmal führt<br />
dies dazu, dass Benutzer über mehr Berechtigungen verfügen als notwendig oder gewünscht. Doch<br />
glücklicherweise bietet Windows Server 2008 ein Tool, mit dessen Hilfe die effektiven Berechtigungen<br />
eines Sicherheitsprinzipals für sämtliche Objekte in <strong>Active</strong> <strong>Directory</strong> problemlos ermittelt<br />
werden können.<br />
Zum Ermitteln der effektiven Berechtigungen, über die ein Sicherheitsprinzipal für ein <strong>Active</strong> <strong>Directory</strong>-Objekt<br />
verfügt, greifen Sie über das entsprechende <strong>Active</strong> <strong>Directory</strong>-Verwaltungstool auf die<br />
Eigenschaften des Objekts zu. Klicken Sie auf der Seite Sicherheit auf Erweitert und anschließend auf<br />
die Seite Effektive Berechtigungen. Zum Ermitteln der effektiven Berechtigungen für ein bestimmtes<br />
Benutzer- oder Gruppenkonto klicken Sie auf Auswählen, und suchen Sie nach dem Benutzer- oder<br />
Gruppennamen.
336 Kapitel 9: Delegieren der <strong>Active</strong> <strong>Directory</strong>-Domänendiensteverwaltung<br />
Nach Auswahl des Namens klicken Sie auf OK. Auf der Seite Effektive Berechtigungen werden alle<br />
Berechtigungen angezeigt, über die der Sicherheitsprinzipal für das <strong>Active</strong> <strong>Directory</strong>-Objekt verfügt.<br />
Abbildung 9.11 zeigt die Oberfläche des Verwaltungstools <strong>Active</strong> <strong>Directory</strong>-Benutzer und -Computer.<br />
Beachten Sie, dass auf der Seite Effektive Berechtigungen für die OU Vertrieb sämtliche Berechtigungen<br />
angezeigt werden, die dem Benutzerobjekt Don Hall zugewiesen sind.<br />
Hinweis Dieses Tool ist mit einigen Einschränkungen verbunden, die sich auf die angezeigten effektiven<br />
Berechtigungen auswirken können. Die effektiven Berechtigungen werden basierend auf geerbten und explizit<br />
definierten Berechtigungen für das Benutzerkonto und die Gruppenmitgliedschaften des Benutzers ermittelt.<br />
Dem Benutzer werden möglicherweise jedoch auch abhängig davon Berechtigungen erteilt, wie er sich<br />
anmeldet und mit dem Objekt verbindet. In Windows Server 2008 können beispielsweise Berechtigungen zur<br />
interaktiven Gruppe (also allen am Computer angemeldeten Benutzern) oder zur Netzwerkanmeldegruppe<br />
(also allen Benutzern, die auf Informationen innerhalb des Netzwerks zugreifen) zugewiesen werden. Über<br />
das hier beschriebene <strong>Active</strong> <strong>Directory</strong>-Verwaltungstool können die einem Benutzer basierend auf diesen<br />
Gruppentypen erteilten Berechtigungen nicht ermittelt werden. Ferner kann das Tool Berechtigungen lediglich<br />
unter Verwendung der Berechtigungen des Benutzers ermitteln, der es ausführt. Wenn der Benutzer, der<br />
das Tool ausführt, beispielsweise nicht zum Lesen der Mitgliedschaft einiger Gruppen berechtigt ist, zu<br />
denen das ausgewertete Benutzerobjekt gehört, können die Berechtigungen nicht ordnungsgemäß ermittelt<br />
werden.<br />
Abbildung 9.11<br />
Anzeigen der effektiven Berechtigungen für ein <strong>Active</strong> <strong>Directory</strong>-Objekt<br />
Besitz von <strong>Active</strong> <strong>Directory</strong>-Objekten<br />
Jedes Objekt in <strong>Active</strong> <strong>Directory</strong> verfügt über einen Besitzer. Standardmäßig ist der Benutzer, der ein<br />
Objekt erstellt, der Besitzer. Der Besitzer eines Objekts ist berechtigt, die Berechtigungen für das<br />
Objekt zu ändern. Dies bedeutet, dass der Besitzer auch ohne Vollzugriff für ein Objekt die Berechtigungen<br />
für das Objekt immer ändern kann.
<strong>Active</strong> <strong>Directory</strong>-Objektberechtigungen 337<br />
In den meisten Fällen ist der Besitzer eines Objekts eher ein bestimmtes Benutzerkonto als ein Gruppenkonto.<br />
Eine Ausnahme ist die Erstellung eines Objekts durch ein Mitglied der Gruppe Domänen-<br />
Admins; in diesem Fall wird der Objektbesitz der Gruppe Domänen-Admins zugewiesen. Wenn der<br />
Besitzer des Objekts ein Mitglied der lokalen Administratorengruppe, jedoch kein Mitglied der<br />
Gruppe Domänen-Admins ist, wird der Besitz des Objekts der Gruppe Administratoren zugewiesen.<br />
Zum Ermitteln des Besitzers eines <strong>Active</strong> <strong>Directory</strong>-Objekts greifen Sie über das geeignete <strong>Active</strong><br />
<strong>Directory</strong>-Verwaltungstool auf die Eigenschaften des Objekts zu. Klicken Sie auf der Seite Sicherheit<br />
auf Erweitert, und wählen Sie die Seite Besitzer. Abbildung 9.12 zeigt die Oberfläche des Verwaltungstools<br />
<strong>Active</strong> <strong>Directory</strong>-Benutzer und -Computer.<br />
Wenn Sie über die Berechtigung Besitzer ändern für das Objekt verfügen, können Sie auf dieser Seite<br />
den Objektbesitz ändern. Sie können den Besitz für Ihr eigenes Konto übernehmen oder einem anderen<br />
Benutzer bzw. einer anderen Gruppe zuweisen. Diese letzte Option ist nur in Windows Server<br />
2003 und Windows Server 2008 <strong>Active</strong> <strong>Directory</strong> verfügbar. In Microsoft Windows 2000 <strong>Active</strong><br />
<strong>Directory</strong> konnte der Objektbesitz nur übernommen werden; es war nicht möglich, den Besitz einem<br />
anderen Sicherheitsprinzipal zuzuweisen.<br />
Abbildung 9.12<br />
Anzeigen des Besitzes für ein <strong>Active</strong> <strong>Directory</strong>-Objekt<br />
Administratorrechte<br />
Die bisher erläuterten Administratorrechte hängen mit spezifischen Berechtigungen für <strong>Active</strong><br />
<strong>Directory</strong>-Objekte zusammen und legen fest, welche Aktionen der Administrator für diese Objekte<br />
ausführen kann. Zusätzlich dazu können auch Benutzer zum Ausführen von einigen Aufgaben in<br />
<strong>Active</strong> <strong>Directory</strong> berechtigt sein. Die bisher besprochenen Berechtigungen basieren auf den ACLs,<br />
die mit jedem <strong>Active</strong> <strong>Directory</strong>-Objekt verknüpft sind. Benutzerberechtigungen unterscheiden sich<br />
von diesen Berechtigungen, da sie auf Benutzerkonten angewendet werden.
338 Kapitel 9: Delegieren der <strong>Active</strong> <strong>Directory</strong>-Domänendiensteverwaltung<br />
Ein Benutzer verfügt aufgrund seiner Identität über Benutzerberechtigungen, nicht weil er zum<br />
Ändern eines bestimmten <strong>Active</strong> <strong>Directory</strong>-Objekts berechtigt ist. Beispielsweise gibt es zwei<br />
Methoden, um einem Benutzer oder einer Gruppe die Berechtigung zum Hinzufügen von Arbeitsstationen<br />
zur Domäne zu erteilen. Dem Benutzer oder der Gruppe kann die Berechtigung zum<br />
Erstellen von Computerobjekten auf einer OU-Ebene oder auf Ebene des Containers Computers<br />
erteilt werden. Dies ermöglicht es dem Benutzer, eine beliebige Anzahl an Arbeitsstationen zur<br />
Domäne im angegebenen Container hinzuzufügen.<br />
Eine weitere Möglichkeit, um einem Benutzer das Hinzufügen von Arbeitsstationen zur Domäne<br />
zu ermöglichen, besteht darin sicherzustellen, dass der Benutzer über das Recht Hinzufügen von<br />
Arbeitsstationen zur Domäne verfügt. Dieses Benutzerrecht ist Teil der Standard-Domänencontrollerrichtlinie.<br />
Benutzer mit diesem Recht können bis zu zehn Arbeitsstationen zur Domäne hinzufügen.<br />
Standardmäßig wird der Gruppe Authentifizierte Benutzer dieses Recht zugewiesen.<br />
Delegieren von Verwaltungsaufgaben<br />
Bisher haben Sie in diesem Kapitel erfahren, wie die Sicherheit von <strong>Active</strong> <strong>Directory</strong>-Objekten<br />
gewährleistet werden kann. Diese Informationen dienen als Vorbereitung für diesen Abschnitt, in<br />
dem beschrieben wird, wie die Sicherheitsoptionen angewendet und Verwaltungsaufgaben delegiert<br />
werden. Da sämtliche Objekte in <strong>Active</strong> <strong>Directory</strong> über eine ACL verfügen, kann der Administratorzugriff<br />
für jede Eigenschaft eines Objekts gesteuert werden. So können Sie anderen <strong>Active</strong> <strong>Directory</strong>-Administratoren<br />
äußerst präzise Berechtigungen zuweisen, sodass diese lediglich die für ihren<br />
Verantwortungsbereich erforderlichen Aufgaben ausführen dürfen.<br />
Wenngleich sich Administratorrechte äußerst spezifisch delegieren lassen, sollten Sie darauf achten,<br />
dass die Komplexität dieser Einstellungen so gering wie möglich bleibt, während Sie gleichzeitig die<br />
Sicherheitsanforderungen der Organisation erfüllen. In den meisten Fällen werden Administratorrechte<br />
in <strong>Active</strong> <strong>Directory</strong> in einem der folgenden Szenarien delegiert:<br />
• Zuweisen von Vollzugriff für eine OU Dies ist ein recht gängiges Szenario, in dem eine Organisation<br />
über mehrere Zweigstellen mit lokalen Administratoren an jedem Standort verfügt, für welche<br />
die Verwaltung sämtlicher Objekte in der jeweiligen Zweigstelle erforderlich ist. Diese Option<br />
kann auch für Organisationen gewählt werden, in denen mehrere Ressourcendomänen in OUs in<br />
einer einzigen <strong>Active</strong> <strong>Directory</strong>-Domäne zusammengefasst wurden. Den Administratoren der vorherigen<br />
Ressourcendomäne kann Vollzugriff auf alle Objekte in ihrer spezifischen OU zugewiesen<br />
werden. Bei Verwendung dieser Option kann die Verwaltung einer Organisation praktisch<br />
vollständig dezentralisiert werden, während trotzdem eine einzige Domäne vorhanden ist.<br />
• Zuweisen von Vollzugriff für bestimmte Objekte in einer OU Dieses Szenario weicht leicht von dem<br />
vorherigen ab. In einigen Fällen kann eine Organisation über mehrere Zweigstellen verfügen, die<br />
lokalen Administratoren sollten jedoch lediglich zur Verwaltung bestimmter Objekte in der<br />
Zweigstellen-OU berechtigt sein. Möglicherweise soll einem lokalen Administrator z.B. die<br />
Berechtigung zum Verwalten aller Benutzer- und Gruppenobjekte, nicht jedoch von Computerobjekten<br />
zugewiesen werden. In einem Szenario, in dem Ressourcendomänen in OUs umgewandelt<br />
wurden, sollen OU-Administratoren möglicherweise alle Computerkonten und domänenlokalen<br />
Gruppen in ihrer OU, jedoch keine Benutzerobjekte verwalten können.
Delegieren von Verwaltungsaufgaben 339<br />
• Zuweisen von Vollzugriff für bestimmte Objekte in der gesamten Domäne Einigen Unternehmen<br />
implementieren eine höchst zentralisierte Benutzer- und Gruppenverwaltung, in der nur eine einzige<br />
Gruppe zum Hinzufügen und Löschen von Benutzer- und Gruppenkonten berechtigt ist. In<br />
diesem Szenario kann dieser Gruppe Vollzugriff für Benutzer- und Gruppenobjekte unabhängig<br />
davon erteilt werden, wo sich die Objekte innerhalb der Domäne befinden. Dies ist ferner ein<br />
recht gängiges Szenario für Organisationen mit zentraler Desktop- und Serververwaltungsgruppe.<br />
Den Mitgliedern der Desktopverwaltungsgruppe kann Vollzugriff auf alle Computerobjekte in der<br />
Domäne zugewiesen werden.<br />
• Zuweisen von Berechtigungen zum Ändern von bestimmten Objekteigenschaften In einigen Fällen<br />
kann es sinnvoll oder erforderlich sein, dass eine Administratorengruppe lediglich zum Verwalten<br />
bestimmter Objekteigenschaften berechtigt ist. Beispielsweise kann einer Administratorengruppe<br />
ausschließlich die Berechtigung zum Zurücksetzen von Kennwörtern für sämtliche Benutzerkonten<br />
zugewiesen werden, jedoch keine weiteren Administratorrechte. Oder den Mitarbeitern der<br />
Personalabteilung wird die Berechtigung zum Ändern der persönlichen und öffentlichen Informationen<br />
für alle Benutzerkonten innerhalb der Domäne zugewiesen, jedoch keine Berechtigung<br />
zum Erstellen oder Löschen von Benutzerkonten.<br />
Mit Windows Server 2008 AD DS können all diese Optionen separat verwendet bzw. beliebig kombiniert<br />
werden. Wie bereits erwähnt, ist eine Möglichkeit zum Konfigurieren von delegierten Berechtigungen<br />
der direkte Zugriff auf die ACL für ein Objekt, um die Berechtigungen zu konfigurieren. Aufgrund<br />
der Anzahl von verfügbaren Optionen und der Fehleranfälligkeit kann diese Option jedoch<br />
recht komplex werden.<br />
Direkt von der Quelle: Delegieren der Verwaltung<br />
Beim Delegieren der Berechtigungen zum Erstellen von Benutzern und Gruppen ist es unabdinglich,<br />
ein System zum Nachverfolgen von Änderungen zu implementieren. Dies vereinfacht nicht<br />
nur die tägliche Verwaltung, sondern ist zudem bei der Behandlung von Zugriffsproblemen äußerst<br />
hilfreich.<br />
Greg Robb<br />
Microsoft Premier Field Engineer<br />
Zum Vereinfachen dieser Aufgabe umfassen die AD DS den Assistenten zum Zuweisen der Objektverwaltung.<br />
Zum Verwenden dieses Assistenten führen Sie die folgenden Schritte aus:<br />
1. Öffnen Sie die Verwaltungskonsole <strong>Active</strong> <strong>Directory</strong>-Benutzer und -Computer, und wechseln Sie<br />
zum übergeordneten Objekt, dessen Verwaltung delegiert werden soll. In den meisten Fällen wird<br />
die Verwaltung auf Ebene einer OU delegiert, dieser Vorgang kann jedoch auch auf Domänenoder<br />
Containerebene (z.B. für die Container Computers und Users) ausgeführt werden. Klicken<br />
Sie mit der rechten Maustaste auf das übergeordnete Objekt, und wählen Sie Objektverwaltung<br />
zuweisen. Klicken Sie auf Weiter.<br />
2. Fügen Sie auf der Seite Benutzer oder Gruppen die Benutzer oder Gruppen hinzu, denen die<br />
Objektverwaltung zugewiesen werden soll. Klicken Sie auf Hinzufügen, um <strong>Active</strong> <strong>Directory</strong><br />
nach den erforderlichen Benutzern oder Gruppen zu durchsuchen.<br />
3. Wählen Sie anschließend die Aufgabe, die delegiert werden soll. In dem in Abbildung 9.13<br />
gezeigten Fenster kann eine allgemeine Aufgabe ausgewählt oder eine benutzerdefinierte Aufgabe<br />
für die Delegierung erstellt werden.
340 Kapitel 9: Delegieren der <strong>Active</strong> <strong>Directory</strong>-Domänendiensteverwaltung<br />
Abbildung 9.13 Verwenden des Assistenten zum Zuweisen der Objektverwaltung, um eine allgemeine Aufgabe<br />
für die Delegierung auszuwählen<br />
4. Beim Erstellen einer benutzerdefinierten Aufgabe kann der Typ von Objekten ausgewählt<br />
werden, für welche Administratorrechte delegiert werden sollen. (Dieses Fenster ist in<br />
Abbildung 9.14 dargestellt.)<br />
Abbildung 9.14<br />
Auswählen des Typs von Objekten, für welchen Berechtigungen delegiert werden<br />
5. Nach der Auswahl des Objekttyps kann festgelegt werden, welcher Berechtigungsumfang für das<br />
Objekt angewendet werden soll. Sie können Vollzugriff für das Objekt oder lediglich Berechtigungen<br />
für bestimmte Eigenschaften zuweisen. (Dieses Fenster ist in Abbildung 9.5 dargestellt.
Überwachen der Verwendung von Administratorrechten 341<br />
Abbildung 9.15<br />
Auswählen der spezifischen Berechtigungen, für welche die Verwaltung delegiert wird<br />
Mithilfe des Assistenten zum Zuweisen der Objektverwaltung ist es deutlich einfacher, die Verwaltung<br />
konsistent zu delegieren als beim Konfigurieren von Berechtigungen über die ACL. Beide<br />
Methoden haben jedoch dasselbe Ergebnis: die ACL für das Objekt wird geändert, um den erforderlichen<br />
Zugriff bereitzustellen.<br />
Direkt von der Quelle: Der Assistent zum Zuweisen der Objektverwaltung<br />
Der Assistent zum Zuweisen der Objektverwaltung kann zum Delegieren einer Vielzahl von allgemeinen<br />
Aufgaben verwendet werden, indem einzelnen Benutzern oder Gruppen Verwaltungsberechtigungen<br />
zugewiesen werden. Für diese Aufgaben können bestimmte vordefinierte Optionen<br />
wie Erstellt, entfernt und verwaltet Benutzerkonten und Setzt Benutzerkennwörter zurück und<br />
erzwingt Kennwortänderung bei der nächsten Anmeldung festgelegt werden. Zusätzlich zu den<br />
vordefinierten Optionen können unter Verwendung äußerst detaillierter Auswahlmöglichkeiten, wie<br />
z.B. Konten-, Computer- oder Gruppenobjekten, benutzerdefinierte Aufgaben delegiert werden.<br />
Daher ist der Assistent zum Zuweisen der Objektverwaltung ein äußerst leistungsfähiges Tool, um<br />
eine dezentrale Verwaltung innerhalb von <strong>Active</strong> <strong>Directory</strong> zu implementieren.<br />
Greg Robb<br />
Microsoft Premier Field Engineer<br />
Überwachen der Verwendung von Administratorrechten<br />
Bei der Delegierung von Verwaltungsaufgaben in den AD DS ist es erforderlich, die Verwendung von<br />
Administratorrechten innerhalb der Verzeichnisstruktur überwachen zu können. Die Überwachung hat<br />
mindestens zwei Ziele. Zunächst ermöglicht sie die Nachverfolgung von Änderungen, die am Verzeichnis<br />
vorgenommen wurden. Bei Verzeichnisänderungen ist es möglicherweise erforderlich nachzuverfolgen,<br />
welcher Benutzer diese Änderung durchgeführt hat. Dies ist besonders wichtig, wenn<br />
eine falsche oder böswillige Änderung an den Domäneninformationen vorgenommen wurde.
342 Kapitel 9: Delegieren der <strong>Active</strong> <strong>Directory</strong>-Domänendiensteverwaltung<br />
Ferner bietet die Überwachung eine zusätzliche Prüfung der Administratorrechte, die innerhalb einer<br />
Domäne ausgeübt werden. Durch eine regelmäßige Überprüfung der Überwachungsprotokolle lässt<br />
sich ermitteln, ob ein Benutzer Administratoraufgaben ausführt, der nicht über die erforderlichen<br />
Rechte verfügen sollte.<br />
Beim Überwachen von AD DS-Ereignissen werden Einträge in das Sicherheitsprotokoll auf dem<br />
Domänencontroller geschrieben. Über die Ereignisanzeige können die Ereignisse angezeigt werden,<br />
die Windows Server 2008 im Sicherheitsprotokoll speichert. Die Ereignisse lassen sich ferner in einer<br />
Ereignisdatei speichern, um Trends für einen bestimmten Zeitraum zu archivieren und nachzuverfolgen.<br />
Um die Überwachung von Änderungen an <strong>Active</strong> <strong>Directory</strong>-Objekten zu aktivieren, müssen zwei<br />
Schritte ausgeführt werden: Konfigurieren der Überwachungsrichtlinie für Domänencontroller sowie<br />
Konfigurieren der SACL für bestimmte <strong>Active</strong> <strong>Directory</strong>-Objekte, die überwacht werden solllen. In<br />
den folgenden Abschnitten werden diese zwei Schritte erläutert.<br />
Konfigurieren der Überwachungsrichtlinie für Domänencontroller<br />
Der erste Schritt zum Aktivieren der Überwachung ist die Konfiguration der Überwachungsrichtlinie<br />
für die Domänencontroller. Diese Aufgabe kann über die Standard-Domänencontrollerrichtlinie innerhalb<br />
der Konsole Gruppenrichtlinienverwaltung ausgeführt werden. Wechseln Sie in der Konsole<br />
Gruppenrichtlinienverwaltung zum Container Gruppenrichtlinienobjekte. Klicken Sie in der Detailansicht<br />
mit der rechten Maustaste auf Default Domain Controllers Policy und anschließend auf Bearbeiten,<br />
um den Gruppenrichtlinienverwaltungs-Editor zu öffnen. Im Gruppenrichtlinienverwaltungs-<br />
Editor wechseln Sie zu Computerkonfiguration\Richtlinien\Windows-Einstellungen\Sicherheitseinstellungen\Lokale<br />
Richtlinien und klicken auf Überwachungsrichtlinie. Abbildung 9.16 zeigt die<br />
standardmäßige Überwachungskonfiguration in Windows Server 2008 AD DS.<br />
Zum Überwachen von Änderungen an <strong>Active</strong> <strong>Directory</strong>-Objekten muss die Richtlinie Verzeichnisdienstzugriff<br />
überwachen aktiviert und konfiguriert werden. Wenn diese Richtlinie aktiviert und konfiguriert<br />
ist, werden sämtliche Änderungen an <strong>Active</strong> <strong>Directory</strong>-Objekten im Sicherheitsprotokoll<br />
aufgezeichnet. Es können sowohl erfolgreiche Änderungen an <strong>Active</strong> <strong>Directory</strong>-Objekten als auch<br />
fehlgeschlagene Änderungsversuche überwacht werden.<br />
In Windows 2000 Server und Windows Server 2003 war die Richtlinie Verzeichnisdienstzugriff überwachen<br />
die primäre Option zum Überwachen von Verzeichnisdienstereignissen. In Windows Server<br />
2008 ist diese Richtlinie in vier Unterkategorien unterteilt:<br />
• Verzeichnisdienstzugriff<br />
• Verzeichnisdienständerungen<br />
• Verzeichnisdienstreplikation<br />
• Detaillierte Verzeichnisdienstreplikation<br />
Die Unterteilung der Richtlinie Verzeichnisdienstzugriff überwachen in vier Unterkategorien ermöglicht<br />
eine detailliertere Steuerung der Aktionen, die im Hinblick auf die Verzeichnisdienstereignisse<br />
überwacht werden. Bei Aktivierung der Richtlinie Verzeichnisdienstzugriff überwachen werden sämtliche<br />
Unterkategorien dieser Richtlinie aktiviert. Zum Ändern der Unterkategorien kann der Gruppenrichtlinienobjekt-Editor<br />
nicht verwendet werden. Die Unterkategorien können ausschließlich über das<br />
Befehlszeilentool Auditpol.exe angezeigt oder bearbeitet werden. Wenn Sie z.B. alle möglichen Kategorien<br />
und Unterkategorien anzeigen möchten, geben Sie an der Eingabeaufforderung den folgenden<br />
Befehl ein, und drücken Sie die EINGABETASTE:
Überwachen der Verwendung von Administratorrechten 343<br />
auditpol /list /subcategory:*<br />
Hinweis Zum Anzeigen der für Auditpol.exe verfügbaren Befehle öffnen Sie eine Eingabeaufforderung,<br />
und geben Sie den folgenden Befehl ein: Auditpol.exe /?<br />
Abbildung 9.16<br />
Konfigurieren der Überwachung für die OU Default Domain Controllers Policy<br />
Überwachen von Änderungen an Objekten unter Verwendung der Unterkategorie<br />
Verzeichnisdienständerungen<br />
Die Unterkategorie Verzeichnisdienständerungen bietet die Möglichkeit, Änderungen an Objekten<br />
in den AD DS zu überwachen. Über diese Unterkategorie werden die folgenden Änderungstypen<br />
überwacht:<br />
• Bei erfolgreicher Änderung eines Attributs werden sowohl die vorherigen als auch die aktuellen<br />
Werte des Attributs in den AD DS protokolliert.<br />
• Beim Erstellen eines neuen Objekts werden die Werte der Attribute protokolliert, die während<br />
der Erstellung aufgefüllt werden. Beachten Sie, dass Standardwerte für Attribute, die von den<br />
AD DS zugewiesen werden, nicht protokolliert werden.<br />
• Beim Verschieben eines Objekts innerhalb der Domäne wird sowohl der vorherige als auch der<br />
neue Speicherort protokolliert.
344 Kapitel 9: Delegieren der <strong>Active</strong> <strong>Directory</strong>-Domänendiensteverwaltung<br />
• Beim Wiederherstellen eines gelöschten Objekts wird sowohl der Speicherort protokolliert, an<br />
den das Objekt verschoben wird, als auch Vorgänge zum Hinzufügen oder Ändern von Attributen<br />
während des Wiederherstellens des gelöschten Attributs.<br />
Zum Aktivieren der Überwachungsunterkategorie Verzeichnisdienständerungen geben Sie an der<br />
Eingabeaufforderung den folgenden Befehl ein, und drücken Sie die EINGABETASTE:<br />
auditpol /set /subcategory:"directory service changes" /success:enable<br />
Bei Aktivierung der Unterkategorie Verzeichnisdienständerungen werden in den AD DS verschiedene<br />
Ereignistypen im Sicherheitsereignisprotokoll gespeichert, wie in Tabelle 9.3 gezeigt.<br />
Tabelle 9.3<br />
Ereignisse bei Verzeichnisdienständerungen<br />
Ereignis-ID Typ Beschreibung<br />
5136 Ändern Wird bei Attributänderungen in den AD DS protokolliert.<br />
5137 Erstellen Wird beim Erstellen von neuen Objekten in den AD DS protokolliert.<br />
5138 Wiederherstellen Wird beim Wiederherstellen von gelöschten Objekten in den AD DS protokolliert.<br />
5139 Verschieben Wird beim Verschieben von Objekten innerhalb der Domäne protokolliert.<br />
Konfigurieren der Überwachung für <strong>Active</strong> <strong>Directory</strong>-Objekte<br />
Als zweiter Schritt beim Konfigurieren der <strong>Active</strong> <strong>Directory</strong>-Objektüberwachung muss die Überwachung<br />
direkt für die SACL jedes <strong>Active</strong> <strong>Directory</strong>-Objekts aktiviert werden, das überwacht werden<br />
soll. Zum Aktivieren der <strong>Active</strong> <strong>Directory</strong>-Objektüberwachung greifen Sie über das geeignete <strong>Active</strong><br />
<strong>Directory</strong>-Verwaltungstool auf die Eigenschaftenseite des Objekts zu. Anschließend klicken Sie auf<br />
der Seite Sicherheit auf Erweitert und wählen die Registerkarte Überwachung. Abbildung 9.17 zeigt<br />
das Fenster der Verwaltungskonsole <strong>Active</strong> <strong>Directory</strong>-Benutzer und -Computer und die standardmäßige<br />
Überwachungseinstellung für eine OU in <strong>Active</strong> <strong>Directory</strong>.<br />
Zum Hinzufügen zusätzlicher Überwachungseinträge klicken Sie auf Hinzufügen und legen fest, welche<br />
Benutzer oder Gruppen und welche Aktionen überwacht werden sollen. In den meisten Fällen<br />
sollte die Gruppe Jeder ausgewählt werden, um die Änderungen sämtlicher Benutzer überwachen zu<br />
können. Anschließend kann festgelegt werden, welche Aktivitäten überwacht werden sollen. Sie können<br />
sämtliche Änderungen an allen Objekten innerhalb des Containers, an bestimmten Objekttypen<br />
oder an spezifischen Eigenschaften überwachen. Sie können die Überwachung aller erfolgreichen<br />
Änderungen, aller fehlgeschlagenen Änderungsversuche oder beide Optionen aktivieren. Wenn alle<br />
erfolgreichen Änderungen überwacht werden, verfügen Sie über einen Audit-Trail für sämtliche<br />
Änderungen, die am Verzeichnis vorgenommen werden. Bei Aktivierung der Überwachung für fehlgeschlagene<br />
Änderungsversuche können nicht zulässige Versuche, die Verzeichnisinformationen zu<br />
bearbeiten, überwacht werden. Nachdem die Überwachung aktiviert wurde, werden alle Überwachungsereignisse<br />
im Sicherheitsprotokoll aufgezeichnet, auf das über die Ereignisanzeige zugegriffen<br />
werden kann.
Überwachen der Verwendung von Administratorrechten 345<br />
Abbildung 9.17<br />
Konfigurieren der Überwachung für <strong>Active</strong> <strong>Directory</strong>-Objekte<br />
Das Aktivieren der Überwachung ist einfach. Die Verwaltung ist jedoch deutlich schwieriger. Bei<br />
Aktivierung der Überwachung aller Verzeichnisänderungen auf Ebene der Domänencontroller-OU<br />
erhöht sich die Größe des Sicherheitsprotokolls äußerst schnell. Und da es sich bei praktisch allen<br />
Ereignissen um berechtigte Änderungen handelt, sind diese Informationen lediglich als Audit-Trail<br />
nützlich, liefern sonst jedoch keine wichtigen Daten. Unter den zulässigen Änderungen befinden sich<br />
jedoch möglicherweise auch einige wenige Änderungen, denen Sie Ihre Aufmerksamkeit widmen<br />
sollten. Und das Ermitteln der geringen Anzahl an interessanten und wichtigen Überwachungsereignisse<br />
innerhalb der großen Anzahl an Routineereignisse stellt ein Problem dar. In einigen Unternehmen<br />
wird z.B. ein Administrator mit der Aufgabe betraut, die Ereignisprotokolle täglich durchzusehen.<br />
Eine bessere Möglichkeit ist jedoch die Erstellung einiger automatisierter Methoden zur<br />
Zentralisierung und Analyse der Ereignisprotokolle. Ferner kann ein Tool wie Microsoft System<br />
Center Operations Manager (dieses Produkt kann separat erworben werden) eingesetzt werden, um<br />
die Ereignisse zu filtern und nur bei wichtigen Ereignissen eine Warnung auszulösen.<br />
Weitere Informationen Weitere Informationen zu Microsoft System Center Operations Manager finden<br />
Sie auf der folgenden Website: http://www.microsoft.com/systemcenter/opsmgr/default.mspx. Operations<br />
Manager bietet umfangreiche Funktionen, welche die Überwachung der Sicherheitsprotokolle bei weitem<br />
übersteigen.
346 Kapitel 9: Delegieren der <strong>Active</strong> <strong>Directory</strong>-Domänendiensteverwaltung<br />
Direkt von der Quelle: Legen Sie Ereignisprotokolleinstellungen mit Bedacht fest<br />
Bedenken Sie immer, welche Auswirkungen die Aktivierung einer Option hat, über welche die<br />
Menge an Informationen erhöht wird, die an die Ereignisprotokolle gesendet werden. Viele Kunden<br />
passen die Ereignisprotokolle an ihre spezifischen Sicherheitsanforderungen an, überdenken<br />
die Einstellungen anschließend jedoch nicht, um zu ermitteln, ob die zusätzliche Protokollierung<br />
Probleme verursacht. Ich habe viele Szenarien gesehen, in denen die Überwachung und gleichzeitig<br />
die Richtlinieneinstellung Überwachung: System sofort herunterfahren, wenn Sicherheitsüberprüfungen<br />
nicht protokolliert werden können aktiviert war, was zu einem Dienstverweigerungsangriff<br />
führte. Eine weitere Einstellung, die viele IT-Experten ändern, ist die maximale<br />
Protokollgröße. Führen Sie vor dem Ändern von Protokollgrößen in hohe Werte eine Analyse<br />
durch, um zu ermitteln, ob das System, auf dem diese Einstellung aktiviert wird, über genügend<br />
Arbeitsspeicherkapazität verfügt. Informationen zum Ereignisprotokoll und zu Arbeitsspeichereinschränkungen<br />
finden Sie unter http://support.microsoft.com/kb/183097.<br />
Barry Hartman<br />
Senior Consultant<br />
Microsoft Consulting Services<br />
Tools für die delegierte Verwaltung<br />
Die AD DS bieten leistungsfähige Optionen zum Delegieren von Verwaltungsaufgaben und Zuweisen<br />
von spezifischen Berechtigungen, welche die Benutzer zum Ausführen bestimmter Aufgaben<br />
benötigen. Als Ergänzung ermöglicht Windows Server 2008 ferner die problemlose Entwicklung von<br />
Verwaltungstools für die verschiedenen Benutzeraufgaben. Bei Delegierung der Berechtigung zum<br />
Zurücksetzen von Kennwörtern für eine einzige OU kann z.B. auch ein sehr einfaches Verwaltungstool<br />
bereitgestellt werden, das ausschließlich zum Zurücksetzen der Kennwörter in der angegebenen<br />
OU verwendet werden kann. Windows Server 2008 ermöglicht die Erstellung einer benutzerdefinierten<br />
Anzeige des MMC-Snap-Ins (Microsoft Management Console), um delegierten Administratoren<br />
effektive Tools zum Ausführen ihrer Aufgaben bereitzustellen.<br />
Direkt von der Quelle: Arbeiten mit Delegierungstools anderer Anbieter<br />
Viele Kunden verwenden Drittanbieterprodukte für die Delegierung. Diese Produkte bieten üblicherweise<br />
eine Webschnittstelle und ermöglichen es Administratoren, anstelle von benutzerdefinierten<br />
MMC-Snap-Ins benutzerdefinierter Webanzeigen für tägliche Verwaltungsfunktionen zu<br />
erstellen. Stellen Sie bei der Arbeit mit Kunden mit Zweigstellenszenarien sicher, dass Sie für den<br />
Fall von längeren Unterbrechungen der Kommunikation über ein umfassendes Verständnis der<br />
Betriebsanforderungen des Unternehmens und der Zweigstellen verfügen. Wenn der Kunde über<br />
äußerst zuverlässige Kommunikationsverbindungen mit der Zweigstelle verfügt, stellt dieser<br />
Aspekt kein großes Problem dar; bei Kunden ohne zuverlässige Kommunikationswege muss dieses<br />
Problem jedoch bedacht und behandelt werden.<br />
Bei einer Unterbrechung der Kommunikationsverbindungen müssen Sie wissen, was erforderlich<br />
ist, damit die Aufgaben in der Zweigstelle weiterhin ausgeführt werden können.
Tools für die delegierte Verwaltung 347<br />
Wenn im Fall einer delegierten Verwaltung die Abläufe und Verwaltungsaufgaben in der Zweigstelle<br />
weiterhin ausgeführt werden müssen, die für einige dieser Funktionen erforderliche Webschnittstelle<br />
jedoch nicht verfügbar ist, da sie über den Hauptsitz gehostet wird, stellt sich die<br />
Frage, wie die Mitarbeiter in der Zweigstelle ihre Arbeit erledigen sollen.<br />
Wenn das Drittanbieterprodukt das Delegierungsmodell in <strong>Active</strong> <strong>Directory</strong>-Benutzer und -Computer<br />
instanziiert, gelten die Einschränkungen der Webschnittstelle auch bei Einsatz von systemeigenen<br />
Tools. Daher müssen Sie als qualifizierter Berater wissen, wie Drittanbieterprodukte mit <strong>Active</strong><br />
<strong>Directory</strong> interagieren. Mit diesen Kenntnissen können Sie Ihre Kunden umfassend beraten und<br />
vorbereiten, sodass diese ihre Aktivitäten auch in Situationen wie Kommunikationsunterbrechungen<br />
weiterhin ausführen können.<br />
Barry Hartman<br />
Senior Consultant<br />
Microsoft Consulting Services<br />
Anpassen der Microsoft Management Console<br />
Eine Möglichkeit zum Entwickeln von Verwaltungstools ist die Erstellung eines benutzerdefinierten<br />
MMC-Snap-Ins, indem Sie den angezeigten Inhalt eines Standard-Snap-Ins für den Benutzer bearbeiten.<br />
Achtung Durch die Erstellung des benutzerdefinierten MMC-Snap-Ins allein werden die Benutzerrechte<br />
zum Ausführen von Verwaltungsaufgaben noch nicht erteilt oder eingeschränkt. Vor der Erstellung der angepassten<br />
Verwaltungsschnittstelle muss zunächst der erforderliche Berechtigungsumfang delegiert werden.<br />
Wenn einem Benutzer z.B. das Recht zum Erstellen von Benutzerkonten auf Domänenebene zugewiesen<br />
und anschließend ein MMC-Snap-In erstellt wird, das dem Benutzer lediglich die Anzeige einer OU ermöglicht,<br />
kann der Benutzer dennoch Benutzerkonten in sämtlichen OUs innerhalb der Domäne erstellen. Wenn<br />
der Benutzer das normale Verwaltungstool <strong>Active</strong> <strong>Directory</strong>-Benutzer und -Computer lädt oder an einem<br />
Computer mit einem andere MMC-Snap-In arbeitet, kann er das Konto an einer beliebigen Stelle erstellen.<br />
Öffnen Sie zum Erstellen eines benutzerdefinierten MMC-Snap-Ins das Dialogfeld Ausführen, und<br />
geben Sie mmc ein. Es wird ein leeres MMC-Snap-In geöffnet. Fügen Sie über das Menü Datei das<br />
gewünschte <strong>Active</strong> <strong>Directory</strong>-Verwaltungstool-Snap-In hinzu. Beim Erstellen eines benutzerdefinierten<br />
MMC-Snap-Ins über das Snap-In <strong>Active</strong> <strong>Directory</strong>-Benutzer und -Computer würden Sie<br />
anschließend die Domäne erweitern und zum Containerobjekt wechseln, für das die Berechtigungen<br />
delegiert wurden. Klicken Sie im linken Fenster mit der rechten Maustaste auf das Containerobjekt,<br />
und wählen Sie Neues Fenster.<br />
Es wird ein neues Fenster geöffnet, in dem lediglich das Containerobjekt und alle untergeordneten<br />
Objekte sichtbar sind. Anschließend können Sie erneut in das Fenster mit der gesamten Domäne<br />
wechseln und dieses Fenster schließen. Schließlich speichern Sie das Verwaltungstool und stellen es<br />
für die Benutzer bereit, die lediglich den Teil der Domäne verwalten, der im MMC-Snap-In angezeigt<br />
wird. Das MMC-Snap-In kann über unterschiedliche Methoden für die Benutzer bereitgestellt werden.<br />
Sie können es beispielsweise auf dem Computer des jeweiligen Benutzers installieren oder eine<br />
Verknüpfung über eine Netzwerkfreigabe erstellen.
348 Kapitel 9: Delegieren der <strong>Active</strong> <strong>Directory</strong>-Domänendiensteverwaltung<br />
Zum Sicherstellen, dass die Administratoren das benutzerdefinierte MMC-Snap-In nach der Bereitstellung<br />
nicht ändern, können die MMC-Optionen über den Eintrag Optionen im Menü Datei geändert<br />
werden. Es kann konfiguriert werden, dass das MMC-Snap-In im Benutzermodus gespeichert<br />
wird; ferner können die Berechtigungen so festgelegt werden, dass der Endbenutzer keine Änderungen<br />
am MMC-Snap-In speichern kann. Abbildung 9.18 zeigt das entsprechende Dialogfeld.<br />
Einzelheiten zum Erstellen von benutzerdefinierten MMC-Snap-Ins finden Sie unter Windows-Hilfe<br />
und Support.<br />
Abbildung 9.18<br />
Konfigurieren eines benutzerdefinierten MMC-Snap-Ins, um Änderungen zu verhindern<br />
Planen der delegierten Verwaltung<br />
Wie in diesem Kapitel gezeigt, bietet Windows Server 2008 AD DS die erforderlichen Tools zum<br />
Delegieren von Administratorrechten in einer Domäne. Trotz aller positiven Aspekte bei der Delegierung<br />
von Berechtigungen birgt dieser Vorgang auch das Risiko, die falschen Berechtigungen zuzuweisen.<br />
Dies könnte dazu führen, dass Benutzer in <strong>Active</strong> <strong>Directory</strong> Aufgaben ausführen können, für die<br />
sie nicht berechtigt sein sollten. Falsche Berechtigungen kann auch bedeuten, dass nicht ausreichend<br />
Berechtigungen zugewiesen werden, sodass die Benutzer ihre erforderlichen Aufgaben nicht ausführen<br />
können. Zum Erstellen einer Delegierungsstruktur, in der Benutzer genau die Berechtigungen<br />
erhalten, die sie benötigen, sind daher umfangreiche Planungsmaßnahmen erforderlich. Im Folgenden<br />
finden Sie verschiedene Empfehlungen, um Sie bei der Planung der delegierten Verwaltung<br />
zu unterstützen:<br />
• Dokumentieren Sie sorgfältig die Verwaltungsanforderungen für alle potenziellen Administratoren.<br />
In den meisten Unternehmen benötigen mehrere Benutzer und Gruppen bestimmte Administratorrechte<br />
innerhalb der Domäne. Eine Vielzahl dieser Benutzer könnten Mitglieder der Gruppe<br />
Domänen-Admins sein. Wenn Sie die erforderlichen Verwaltungsaufgaben der Benutzer dokumentieren,<br />
stellen Sie üblicherweise fest, dass eine deutlich niedrigere Zugriffsebene erforderlich ist.
Zusammenfassung 349<br />
Um den erforderlichen Umfang der Administratorrechte jeder Gruppe zu dokumentieren, müssen<br />
häufig sämtliche Administratoraufgaben aufgezeichnet werden, die diese Benutzer täglich ausführen.<br />
So lässt sich präzise festlegen, welche Berechtigungen benötigt werden.<br />
• Testen Sie alle Änderungen an Sicherheitseinstellungen in einer Testumgebung, bevor Sie die Produktionsumgebung<br />
selbst ändern. Eine falsche Sicherheitskonfiguration kann schwerwiegende<br />
Auswirkungen für das Netzwerk haben. Verwenden Sie die Testumgebung um sicherzustellen,<br />
dass mithilfe der Änderungen die erforderlichen Berechtigungen erteilt, jedoch keine zusätzlichen<br />
Berechtigungen zugewiesen werden, die nicht erforderlich sind.<br />
• Überwachen und testen Sie die Benutzerberechtigungen im Dialogfeld Erweiterte Sicherheitseinstellungen<br />
auf der Seite Effektive Berechtigungen Über diese Seite lassen sich die exakten Berechtigungen<br />
ermitteln, über die ein Benutzer oder eine Gruppe in den AD DS verfügt. Verwenden Sie<br />
das Tool in der Testumgebung, um sicherzustellen, dass die Konfiguration ordnungsgemäß ist,<br />
und verwenden Sie es erneut in der Produktionsumgebung, um sicherzustellen, dass die Implementierung<br />
plangemäß erfolgt ist.<br />
• Dokumentieren Sie alle Berechtigungen, die Sie zuweisen. Da das Dokumentieren von Änderungen<br />
am Netzwerk eine äußerst aufwendige und scheinbar unwichtige Aufgabe sein kann,<br />
scheint dies die unbeliebteste Aufgabe eines Netzwerkadministrators zu sein. Folglich ist die<br />
Dokumentation häufig unvollständig oder überholt. Die einzige Möglichkeit für eine effektive<br />
Verwaltung der Sicherheitskonfiguration eines Netzwerks ist jedoch, die Erstkonfiguration zu<br />
dokumentieren und diese Informationen anschließend konsequent mit allen zukünftigen Änderungen<br />
zu aktualisieren.<br />
Zusammenfassung<br />
Die Option zum Delegieren von Administratorrechten in Windows Server 2008 AD DS bietet eine<br />
hohe Flexibilität im Hinblick darauf, wie eine Domäne verwaltet werden kann. Die Delegierung<br />
von Administratorrechten basiert auf dem <strong>Active</strong> <strong>Directory</strong>-Sicherheitsmodell, in dem sämtliche<br />
Objekte und sogar sämtliche Attribute für jedes Objekt über eine ACL zum Steuern der Berechtigungen<br />
verfügen, die Sicherheitsprinzipalen für ein bestimmtes Objekt zugewiesen sind. Gemäß diesem<br />
Sicherheitsmodell werden sämtliche Berechtigungen standardmäßig von Containerobjekten an<br />
die Objekte innerhalb des Containers vererbt. Diese zwei grundlegenden Features des Sicherheitsmodells<br />
ermöglichen es Ihnen, einen praktisch beliebigen Berechtigungsumfang für ein <strong>Active</strong> <strong>Directory</strong>-Objekt<br />
zuzuweisen. Diese Flexibilität kann jedoch auch eine hohe Komplexität bedeuten, wenn<br />
die Sicherheit für <strong>Active</strong> <strong>Directory</strong> nicht so einfach wie möglich gestaltet wird. In diesem Kapitel<br />
wurde ein Überblick über Sicherheitsberechtigungen, den <strong>Active</strong> <strong>Directory</strong>-Objektzugriff, die Delegierung<br />
der Verwaltung sowie die Überwachung von Änderungen in <strong>Active</strong> <strong>Directory</strong> vermittelt.<br />
Zusätzliche Ressourcen<br />
Die folgenden Ressourcen enthalten zusätzliche Informationen und Tools im Zusammenhang mit diesem<br />
Kapitel.<br />
Verwandte Informationen<br />
• In Kapitel 5, „Entwerfen der <strong>Active</strong> <strong>Directory</strong>-Domänendienstestruktur“ finden Sie Einzelheiten<br />
zur Planung der <strong>Active</strong> <strong>Directory</strong>-Struktur (z.B. Standorte, Domänen, Organisationseinheiten und<br />
Gesamtstrukturen).
350 Kapitel 9: Delegieren der <strong>Active</strong> <strong>Directory</strong>-Domänendiensteverwaltung<br />
• In Kapitel 6, „Installieren der <strong>Active</strong> <strong>Directory</strong>-Domänendienste“ finden Sie Einzelheiten zum<br />
Delegieren der Verwaltung für schreibgeschützte Domänencontroller.<br />
• In Kapitel 8, „<strong>Active</strong> <strong>Directory</strong>-Domänendienstsicherheit“ finden Sie zusätzliche Einzelheiten zu<br />
Sicherheitsgrundlagen und Authentifizierung in <strong>Active</strong> <strong>Directory</strong>.<br />
• „Best Practices for Delegating <strong>Active</strong> <strong>Directory</strong> Administration”“ unter http://www.microsoft.com/<br />
technet/prodtechnol/windowsserver2003/technologies/directory/activedirectory/actdid1.mspx.<br />
• „Best Practices for Delegating <strong>Active</strong> <strong>Directory</strong> Administration Appendices“ unter http://<br />
www.microsoft.com/downloads/details.aspx?FamilyID=29dbae88-a216-45f9-9739-<br />
cb1fb22a0642&DisplayLang=en.<br />
• „Delegating Authority in <strong>Active</strong> <strong>Directory</strong>“ unter http://www.microsoft.com/technet/technetmag/<br />
issues/2007/02/<strong>Active</strong><strong>Directory</strong>/default.aspx.<br />
• „Using Scripts to Manage <strong>Active</strong> <strong>Directory</strong> Security“ unter http://www.microsoft.com/technet/<br />
scriptcenter/topics/security/exrights.mspx.<br />
• „Sample Scripts to Manage <strong>Active</strong> <strong>Directory</strong> Delegation and Security“ unter http://www.microsoft.com/technet/scriptcenter/scripts/security/ad/default.mspx?mfr=true.<br />
• „Step-by-Step Guide to Using the Delegation Of Control Wizard“ unter http://www.microsoft.com/<br />
technet/prodtechnol/windowsserver2003/technologies/directory/activedirectory/stepbystep/<br />
ctrlwiz.mspx.<br />
• „Default Security Concerns in <strong>Active</strong> <strong>Directory</strong> Delegation“ unter http://support.microsoft.com/<br />
?kbid=235531.
351<br />
K A P I T E L 1 0<br />
Verwalten von <strong>Active</strong> <strong>Directory</strong>-Objekten<br />
Inhalt dieses Kapitels:<br />
Verwalten von Benutzern . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 351<br />
Verwalten von Gruppen . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 360<br />
Verwalten von Computern . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 370<br />
Verwalten von Druckerobjekten . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 373<br />
Verwalten von veröffentlichten freigegebenen Ordnern . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 377<br />
Automatisieren der <strong>Active</strong> <strong>Directory</strong>-Objektverwaltung . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 379<br />
Zusammenfassung. . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 388<br />
Empfohlene Vorgehensweisen. . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 388<br />
Zusätzliche Ressourcen. . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 389<br />
Ein Großteil der mithilfe der Windows Server 2008-<strong>Active</strong> <strong>Directory</strong>-Domänendienste (<strong>Active</strong> <strong>Directory</strong><br />
Domain Services, AD DS) durchgeführten Aufgaben umfasst die Verwaltung von <strong>Active</strong> <strong>Directory</strong>-Objekten<br />
wie Benutzern und Gruppen. In den meisten Unternehmen wird zuerst ein <strong>Active</strong><br />
<strong>Directory</strong>-Entwurf erstellt, der einmal implementiert wird. Nach der Bereitstellung werden an den<br />
meisten <strong>Active</strong> <strong>Directory</strong>-Objekten nur noch wenige Änderungen vorgenommen. Benutzer- und<br />
Gruppenobjekte stellen allerdings eine bedeutende Ausnahme dieser Regel dar. Wenn Angestellte das<br />
Unternehmen verlassen oder zum Unternehmen hinzukommen, ist die Verwaltung von Benutzern und<br />
Gruppen Aufgabe des Administrators. Druckerobjekte, Computerobjekte und die Objekte freigegebener<br />
Ordner sind weitere <strong>Active</strong> <strong>Directory</strong>-Objekte, für die häufiger Verwaltungsaufgaben anfallen.<br />
In diesem Kapitel werden die Konzepte und Verfahren für die Verwaltung von <strong>Active</strong>-Objekten erläutert.<br />
Die unterschiedlichen Objekttypen werden erläutert, die in <strong>Active</strong> <strong>Directory</strong> gespeichert werden<br />
können, und die Verwaltung dieser Objekte wird beschrieben. Außerdem werden in diesem Kapitel<br />
Tools für die Verwaltung von <strong>Active</strong> <strong>Directory</strong>-Objekten vorgestellt, einschließlich VBScript und<br />
Windows PowerShell für die Automatisierung von Änderungen.<br />
Verwalten von Benutzern<br />
In Windows Server 2008 <strong>Active</strong> <strong>Directory</strong> sind drei unterschiedliche Objekte verfügbar, die einzelne<br />
Benutzer im Verzeichnis repräsentieren. Bei zweien dieser Objekte, d.h. dem Benutzerobjekt und dem<br />
Objekt inetOrgPerson, handelt es sich um Sicherheitsprinzipale, die für die Zuweisung des Zugriffs<br />
auf Ressourcen im Netzwerk verwendet werden können. Bei dem dritten Objekt, dem Kontaktobjekt,<br />
handelt es sich nicht um einen Sicherheitsprinzipal, dieses Objekt wird vorwiegend für E-Mail-Zwecke<br />
verwendet.
352 Kapitel 10: Verwalten von <strong>Active</strong> <strong>Directory</strong>-Objekten<br />
Benutzerobjekte<br />
Das Benutzerobjekt ist eines der Objekte, die in einer <strong>Active</strong> <strong>Directory</strong>-Datenbank am häufigsten vorkommen.<br />
Bei einem Benutzerobjekt handelt es sich wie auch bei jedem anderen <strong>Active</strong> <strong>Directory</strong>-<br />
Klassenobjekt um eine Attributsammlung. Ein Benutzerobjekt kann sich aus über 250 vom System<br />
erstellten und noch weiteren von Ihrer Organisation erstellten Attributen zusammensetzen. Daher<br />
weist Windows Server 2008 <strong>Active</strong> <strong>Directory</strong> große Unterschiede zu den eher eingeschränkten lokalen<br />
Sicherheitsdatenbanken auf, die sich auf Mitgliedsservern, Windows-Arbeitsstationen und einigen<br />
Linux-Computern befinden. In lokalen Sicherheitsdatenbanken verfügen Benutzerobjekte nur<br />
über sehr wenig Attribute, wie beispielsweise ein Kennwort und ein Basisverzeichnis. Da <strong>Active</strong><br />
<strong>Directory</strong> zusätzliche Objektattribute bereitstellen kann, ist <strong>Active</strong> <strong>Directory</strong> nicht nur eine Datenbank<br />
zur Speicherung von Authentifizierungsinformationen, sondern dient darüber hinaus als Verzeichnisdienst.<br />
<strong>Active</strong> <strong>Directory</strong> kann beispielsweise der primäre Speicherort für die meisten Benutzerinformationen<br />
in Ihrem Unternehmen werden. Das Verzeichnis kann der Ort sein, an dem alle<br />
Benutzerinformationen wie beispielsweise Telefonnummern, Adressen und organisatorische Informationen<br />
gespeichert werden. Wenn Benutzer mit der Suchfunktion in <strong>Active</strong> <strong>Directory</strong> vertraut sind,<br />
können sie nahezu alle Informationen zu anderen Benutzern finden, für die sie über Anzeigeberechtigung<br />
verfügen.<br />
Beim Erstellen von Benutzerobjekten gibt es erforderliche und optionale Attribute. Wie in<br />
Abbildung 10.1 dargestellt, gibt es sechs erforderliche Attribute. Diese sechs Attribute müssen bei<br />
der Erstellung eines Benutzerkontos konfiguriert werden. Von diesen sechs Attributen werden die beiden<br />
Attribute cn und sAMAccountName basierend auf den von Ihnen beim Erstellen des Kontos mithilfe<br />
des Verwaltungstools <strong>Active</strong> <strong>Directory</strong>-Benutzer und Computer angegebenen Daten konfiguriert.<br />
Alle weiteren erforderlichen Attribute wie z.B. die Sicherheitskennung (Security Identifier, SID)<br />
werden automatisch ausgefüllt. Wenn bei der programmgesteuerten Benutzererstellung mithilfe von<br />
Skripts das Attribut sAMAccountName nicht bereitgestellt wird, wird es ebenfalls automatisch generiert.<br />
Abbildung 10.1<br />
In Adsiedit.msc dargestellte erforderliche Benutzerkontenattribute
Verwalten von Benutzern 353<br />
Beim Erstellen von Benutzerkonten können Sie vielen anderen Benutzerobjektattributen einen Wert<br />
zuweisen. Einige dieser Attribute werden auf der Benutzeroberfläche (User Interface, UI) der Standardverwaltungstools<br />
wie z.B. <strong>Active</strong> <strong>Directory</strong>-Benutzer und -Computer nicht angezeigt. Jedes<br />
Benutzerobjekt verfügt beispielsweise über das Attribut Assistent, das nicht auf der Benutzeroberfläche<br />
angezeigt wird. Sie können dieses Attribut jedoch trotzdem mithilfe eines Skripts oder eines Tools<br />
wie z.B. Adsiedit.msc ausfüllen, das direkt auf dieses Attribut zugreift. Sie können Attribute, die nicht<br />
über eine grafische Benutzeroberfläche verfügbar sind, über einen Massenimport von Verzeichnisinformationen<br />
mithilfe der Befehlszeilenprogramme Csvde oder Ldifde ausfüllen. Diese beiden<br />
Befehlszeilenprogramme werden später in diesem Kapitel erläutert.<br />
Nicht auf der Benutzeroberfläche angezeigte Attribute können von Anwendungen zum Speichern<br />
zusätzlicher Benutzerinformationen verwendet werden. In den meisten Fällen können Sie über das<br />
Suchfeld im Verwaltungstool <strong>Active</strong> <strong>Directory</strong>-Benutzer und -Computer auf diese Attribute zugreifen.<br />
Verwenden Sie beispielsweise in <strong>Active</strong> <strong>Directory</strong>-Benutzer und -Computer für die Suche nach allen<br />
Benutzern, die das gleiche Attribut Assistent aufweisen, im Suchdialogfeld die Registerkarte Erweitert,<br />
um eine Abfrage basierend auf dem Attribut Assistent zu erstellen. In Abbildung 10.2 wird die<br />
Registerkarte Erweitert im Suchdialogfeld angezeigt. Klicken Sie in diesem Dialogfeld auf Feld,<br />
wählen Sie den Benutzer und anschließend das Attribut, nach dem Sie suchen möchten. Viele der<br />
ausgeblendeten Attribute können Sie über dieses Dialogfeld ermitteln.<br />
Suchen nach einem Benutzerkonto auf Grundlage eines nicht auf der Benutzeroberfläche ange-<br />
Abbildung 10.2<br />
zeigten Attributs<br />
Hinweis Sie können jedes Attribut eines Benutzerobjekts mithilfe von Tools wie Adsiedit.msc oder Ldp.exe<br />
anzeigen und bearbeiten. Wenn Sie viele Objekte bearbeiten müssen, ist die Verwendung von Skripts zum<br />
Bearbeiten dieser Attribute empfehlenswert. <strong>Active</strong> <strong>Directory</strong> ermöglicht und unterstützt die Verwendung von<br />
Skripts. Weitere Informationen zur Verwendung von Skripts zum Automatisieren der <strong>Active</strong> <strong>Directory</strong>-Verwaltungsaufgaben<br />
werden später in diesem Kapitel erläutert.
354 Kapitel 10: Verwalten von <strong>Active</strong> <strong>Directory</strong>-Objekten<br />
Die häufigsten Benutzerverwaltungsaufgaben können mithilfe des Verwaltungstools <strong>Active</strong> <strong>Directory</strong>-<br />
Benutzer und -Computer durchgeführt werden. Um ein Benutzerobjekt im Verwaltungstool <strong>Active</strong><br />
<strong>Directory</strong>-Benutzer und -Computer zu erstellen, ermitteln Sie den Container, in dem Sie das Objekt<br />
erstellen möchten, klicken Sie mit der rechten Maustaste darauf, wählen Sie Neu und klicken<br />
anschließend auf Benutzer. Beim Erstellen des Benutzers müssen Sie für den Benutzer zumindest<br />
die Informationen für Vollständiger Name und Benutzeranmeldename bereitstellen. Die im Feld Vollständiger<br />
Name angegebenen Daten werden zum Auffüllen des Attributs cn für den Benutzer verwendet,<br />
und die im Feld Benutzeranmeldename angegebenen Daten werden als Wert für das Attribut<br />
sAMAccountName übernommen. Nachdem der Benutzer erstellt wurde, können Sie auf die Objekteigenschaften<br />
zugreifen, um für den Benutzer weitere Attribute festzulegen. Der Großteil der<br />
Benutzerobjektattribute ist einfach zu verstehen. Bei der für die Verwaltung eines Benutzerkontos<br />
wichtigsten Registerkarte handelt es sich um die in Abbildung 10.3 dargestellte Registerkarte Konto.<br />
Die auf der Registerkarte Konto verfügbaren Einstellungen werden in Tabelle 10.1 erläutert.<br />
Abbildung 10.3<br />
Die Registerkarte Konto für ein Benutzerobjekt<br />
Tabelle 10.1<br />
Kontoeigenschaften für ein Benutzerobjekt<br />
Kontoeigenschaft<br />
Benutzeranmeldename<br />
Benutzeranmeldename<br />
(Prä-Windows 2000)<br />
Erläuterung<br />
Mit dieser Eigenschaft wird der Benutzerprinzipalname (User Principle Name, UPN) für diesen Benutzer<br />
gekennzeichnet.<br />
Mit dieser Eigenschaft wird der Prä-Microsoft Windows 2000-Anmeldename gekennzeichnet, dabei<br />
wird das Format Domäne\Benutzername verwendet.
Verwalten von Benutzern 355<br />
Tabelle 10.1<br />
Kontoeigenschaften für ein Benutzerobjekt (Fortsetzung)<br />
Kontoeigenschaft<br />
Anmeldezeiten<br />
Anmelden an<br />
Kontosperrung<br />
aufheben<br />
Kontooptionen<br />
Konto läuft ab<br />
Erläuterung<br />
Mit dieser Eigenschaft wird der Zeitrahmen festgelegt, während dessen sich ein Benutzer an der<br />
Domäne anmelden kann. Standardmäßig wird die Verbindung der Benutzer mit der Domäne nach<br />
Ablauf des Anmeldezeitraums getrennt. Dieses Verhalten kann jedoch in einer Gruppenrichtlinie<br />
über die Einstellung Computerkonfiguration\Windows-Einstellungen\Sicherheitseinstellungen\<br />
Lokale Richtlinien\Sicherheitsoptionen\Netzwerksicherheit: Abmeldung nach Ablauf der Anmeldezeit<br />
erzwingen konfiguriert werden.<br />
Mit dieser Eigenschaft werden die Computer aufgeführt, an denen der Benutzer zur Anmeldung berechtigt<br />
ist. Hierbei kann es sich um NetBIOS- oder DNS-Namen handeln.<br />
Diese Eigenschaft wird für das Aufheben der Kontosperrung verwendet (Anmeldung zulassen),<br />
wenn das Konto nach zu vielen fehlgeschlagenen Anmeldeversuchen gesperrt wurde. Dieses Verfahren<br />
unterscheidet sich jedoch von dem von einem Administrator vorgenommenen Aktivieren und<br />
Deaktivieren von Benutzerkonten.<br />
Mit dieser Eigenschaft werden mehrere Optionen für Einstellungen wie beispielsweise Kennwortrichtlinien<br />
und Authentifizierungsanforderungen bereitgestellt.<br />
Mit dieser Eigenschaft wird das Ablaufdatum für das Konto festgelegt. In der Regel wird diese<br />
Option verwendet, wenn ein Benutzer nur vorübergehend Zugriff auf Domänenressourcen benötigt.<br />
Manchmal ist es hilfreich zu wissen, wann sich ein Benutzer zum letzten Mal am Netzwerk angemeldet<br />
hat. Für die Domänenfunktionsebene Windows Server 2003 wurde das Benutzerattribut lastLogon-<br />
Timestamp eingeführt, das die letzte Anmeldung eines Benutzers am Netzwerk anzeigt. Dieses Attribut<br />
wird jedoch in <strong>Active</strong> <strong>Directory</strong>-Benutzer und -Computer nicht angezeigt. Auf dieses Attribut<br />
können Sie nur mithilfe eines Skripts zugreifen. Wenn für die Domänenfunktionsebene Windows Server<br />
2008 festgelegt ist, stehen Ihnen erweiterte Informationen zur letzten interaktiven Anmeldung zur<br />
Verfügung, mit denen Sie die Uhrzeit der letzten interaktiven Anmeldung, die für die Anmeldung verwendete<br />
Arbeitsstation sowie die Anzahl an fehlgeschlagenen Anmeldeversuchen seit der letzten<br />
Anmeldung ermitteln können.<br />
Benennen von Benutzerobjekten in <strong>Active</strong> <strong>Directory</strong><br />
Obwohl jedes Objekt in <strong>Active</strong> <strong>Directory</strong> über einen eindeutigen Namen verfügen muss, kann<br />
dieses einfache Konzept im Hinblick auf Benutzerobjekte sehr kompliziert werden, da ein Benutzerobjekt<br />
tatsächlich über mehrere Namen verfügt, die zur Identifizierung verwendet werden können.<br />
In Tabelle 10.2 werden die Namen aufgeführt, die mit einem Benutzernamen verknüpft werden<br />
können, sowie der Bereich, in dem ein Name eindeutig sein muss.<br />
Tabelle 10.2<br />
Anforderungen für die Eindeutigkeit von Benutzernamen<br />
Benutzername<br />
Vorname, Initialen, Nachname<br />
Anzeigename: Der Anzeigename wird in den meisten <strong>Active</strong> <strong>Directory</strong>-<br />
Verwaltungstools wie z.B. <strong>Active</strong> <strong>Directory</strong>-Benutzer und -Computer<br />
angezeigt. Standardmäßig wird der Anzeigename aus den Feldern<br />
Vorname, Initialen und Nachname im Dialogfeld Neues Objekt - Benutzer<br />
gebildet.<br />
Anforderung der Eindeutigkeit<br />
Keine Eindeutigkeit erforderlich<br />
Keine Eindeutigkeit erforderlich
356 Kapitel 10: Verwalten von <strong>Active</strong> <strong>Directory</strong>-Objekten<br />
Vollständiger Name: Die Eigenschaft Vollständiger Name wird verwendet,<br />
um das Attribut cn des Benutzerkontos aufzufüllen. Dieser Wert<br />
entspricht der Einstellung für Anzeigename. Nach dem Erstellen können<br />
die Werte für Vollständiger Name und Anzeigename jedoch unabhängig<br />
voneinander bearbeitet werden.<br />
Benutzerprinzipalname (UPN): Der Benutzerprinzipalname setzt sich<br />
aus dem Anmeldenamen sowie dem Domänen-DNS-Namen oder<br />
einem alternativen UPN zusammen, sofern zusätzliche UPN-Suffixe für<br />
die Gesamtstruktur konfiguriert wurden.<br />
Benutzeranmeldename (Prä-Windows 2000)<br />
Muss innerhalb des Containers eindeutig sein,<br />
in dem sich der Benutzer befindet<br />
Muss innerhalb der Gesamtstruktur eindeutig<br />
sein<br />
Muss innerhalb der Domäne eindeutig sein<br />
Bearbeiten des Standardanzeigenamens<br />
Während der Erstellung von Benutzern wird der Anzeigename standardmäßig aus den Feldern Vorname,<br />
Initialen und Nachname im Dialogfeld Neues Objekt - Benutzer gebildet. Sie können diesen<br />
Standardnamen überschreiben, indem Sie einen alternativen Anzeigenamen eingeben. Sie können<br />
außerdem mithilfe des Tools Adsiedit.msc festlegen, auf welche Weise der Anzeigename erstellt<br />
wird:<br />
1. Öffnen Sie im ADSI-Editor den Namenskontext für den Konfigurationscontainer.<br />
2. Erweitern Sie hierzu ///CN=409CN=Configuration,CN=DisplaySpecifiersDC=Domänenname,<br />
wobei Domänenname für den Namen Ihrer Domäne steht.<br />
Beachten Sie, dass die Gebietsschema-ID 409 für US-Englisch gilt. Daher ist bei der Verwendung<br />
anderer Sprachen unter Umständen die Bearbeitung zusätzlicher Codeseiten erforderlich.<br />
Weitere Informationen zu Codeseiten werden auf den Websites der International Telecommunication<br />
Union (ITU) und der International Organization for Standardization aufgeführt.<br />
3. Öffnen Sie die Eigenschaften für CN=user-Display.<br />
4. Bearbeiten Sie das Attribut createDialog. Der Wert dieses Attributs kann Text und die Variablen<br />
%, %, und % umfassen. Bei den Namen dieser Variablen muss<br />
die Groß- und Kleinschreibung berücksichtigt werden.<br />
Der häufigste Grund für die Bearbeitung des Anzeigenamenformats besteht darin, das Format von<br />
Namen zu steuern, die in der globalen Adressliste von Exchange Server aufgeführt werden. Häufig<br />
wird der Standardanzeigename in das Format Nachname, Vorname geändert. Dafür muss für den<br />
Wert des Attributs createDialog die Reihenfolge %, % festgelegt werden.<br />
Von der Änderung des Werts für das Attribut createDialog sind vorhandene Benutzer nicht betroffen.<br />
Diese Änderung hat nur Auswirkungen auf die für neue Benutzer im Verwaltungstool <strong>Active</strong> <strong>Directory</strong>-Benutzer<br />
und -Computer erstellten Standardanzeigenamen. In den meisten Fällen bearbeiten Sie<br />
nicht jeden einzelnen Benutzer mit einem Tool wie Adsiedit.msc, sondern verwenden ein Skript oder<br />
die Tools Csvde oder Ldifde, um mehrere vorhandene Benutzer gleichzeitig zu bearbeiten.
Verwalten von Benutzern 357<br />
Benutzerprinzipalnamen<br />
Der UPN kann das Anmeldeverfahren für einen Benutzer vereinfachen. Ein Benutzer kann sich an<br />
jeder beliebigen Domäne in der Gesamtstruktur mit seinem UPN anmelden, die Auswahl der<br />
Stammdomäne des Benutzers ist für die Anmeldung nicht erforderlich. Standardmäßig wird für das<br />
UPN-Suffix der DNS-Name (Domain Name System) für die Domäne verwendet. Das UPN-Suffix<br />
kann jedoch bearbeitet werden. Sie können beispielsweise intern einen anderen definierten Namen<br />
verwenden, als den im Internet angezeigten. In den meisten Fällen würde die SMTP-E-Mail-<br />
Adresse (Simple Mail Transfer Protocol) für alle Benutzer dem externen DNS-Namen entsprechen.<br />
Benutzer möchten sich unter Umständen mit ihrer SMTP-Adresse an der Domäne anmelden<br />
können. Sie können Ihren Benutzern diese Anmeldung ermöglichen, indem Sie der Gesamtstruktur<br />
ein alternatives UPN-Suffix hinzufügen und dieses Suffix dann allen Benutzerkonten hinzufügen.<br />
Um ein zusätzliches UPN-Suffix zu erstellen, öffnen Sie das Verwaltungstool <strong>Active</strong> <strong>Directory</strong>-<br />
Domänen und -Vertrauensstellungen, klicken mit der rechten Maustaste im oberen Bereich des linken<br />
Fensters auf den Eintrag <strong>Active</strong> <strong>Directory</strong>-Domänen und -Vertrauensstellungen und wählen die<br />
Option Eigenschaften. Das entsprechende Dialogfeld wird in Abbildung 10.4 dargestellt. Geben Sie<br />
die alternativen UPN-Suffixe ein, die Sie verwenden möchten.<br />
Abbildung 10.4<br />
Hinzufügen von alternativen UPN-Suffixen zu Ihrer Gesamtstruktur<br />
inetOrgPerson-Objekte<br />
Eines der in Windows Server 2003 <strong>Active</strong> <strong>Directory</strong> erstmals verfügbaren Objekte ist das Objekt<br />
inetOrgPerson. Bei diesem Objekt handelt es sich um ein primäres Benutzerkonto, das von anderen<br />
LDAP- und X.500-Verzeichnissen (Lightweight <strong>Directory</strong> Access Protocol) verwendet wird, die RFC<br />
2798-kompatibel sind (Request for Comments). Mit der Einführung des Objekts inetOrgPerson hat<br />
Microsoft die Integration von <strong>Active</strong> <strong>Directory</strong> in andere Verzeichnisse vereinfacht. Außerdem wird<br />
dadurch die Migration von anderen Verzeichnissen auf <strong>Active</strong> <strong>Directory</strong> erleichtert.
358 Kapitel 10: Verwalten von <strong>Active</strong> <strong>Directory</strong>-Objekten<br />
Hinweis Bei der Aktualisierung einer Windows 2000-Gesamtstruktur auf Windows Server 2008 wird das<br />
Objekt inetOrgPerson im Schema erstellt, wenn Sie den Befehl Adprep.exe mit der Option<br />
/forestprep ausführen. Das Tool Adprep.exe wird auf der Windows Server 2008-DVD im Ordner \sources\<br />
adprep bereitgestellt.<br />
Sie können das inetOrgPerson-Objekt mithilfe des Verwaltungstools <strong>Active</strong> <strong>Directory</strong>-Benutzer und<br />
-Computer erstellen. Um ein inetOrgPerson-Objekt im Verwaltungstool <strong>Active</strong> <strong>Directory</strong>-Benutzer<br />
und -Computer zu erstellen, wechseln Sie zu dem Container, in dem Sie das Objekt erstellen möchten,<br />
klicken Sie mit der rechten Maustaste darauf, wählen Sie Neu, und klicken Sie auf InetOrgPerson.<br />
Sie müssen beim Erstellen des inetOrgPerson-Objekts zumindest den Benutzeranmeldenamen<br />
und den vollständigen Namen angeben. Bei dem inetOrgPerson-Objekt handelt es sich um eine<br />
Unterklasse des Benutzerobjekts, d.h. es umfasst alle Merkmale der Benutzerklasse, einschließlich<br />
der Möglichkeit, als Sicherheitsprinzipal zu agieren. Die inetOrgPerson-Objekte können wie jedes<br />
andere Benutzerobjekt verwaltet und verwendet werden.<br />
Um das Attribut userPassword als effektives Kennwort für die Authentifizierung von inetOrgPersonund<br />
Benutzerobjekten verwenden zu können, muss für die Domänenfunktionsebene mindestens Windows<br />
Server 2003 festgelegt sein. Diese Festlegung ist für Programmierer hilfreich, die <strong>Active</strong> <strong>Directory</strong><br />
als LDAP-Verzeichnis verwenden. Für die Konvertierung eines inetOrgPerson-Objekts in ein<br />
Benutzerobjekt (oder umgekehrt) muss für die Gesamtstrukturfunktionsebene mindestens Windows<br />
Server 2003 festgelegt sein.<br />
Kontaktobjekte<br />
Bei dem dritten Objekttyp, der für die Darstellung von Benutzern in <strong>Active</strong> <strong>Directory</strong> verwendet werden<br />
kann, handelt es sich um das Kontaktobjekt. Kontaktobjekte unterscheiden sich von inetOrgPerson-<br />
und Benutzerobjekten dahingehend, dass sie nicht als Sicherheitsprinzipale fungieren können.<br />
Kontaktobjekte werden in der Regel ausschließlich zu Informationszwecken verwendet. Um ein Kontaktobjekt<br />
im Verwaltungstool <strong>Active</strong> <strong>Directory</strong>-Benutzer und -Computer zu erstellen, wechseln Sie<br />
zu dem Container, in dem Sie das Objekt erstellen möchten, klicken Sie mit der rechten Maustaste<br />
darauf, wählen Sie Neu, und klicken Sie auf Kontakt. Beim Erstellen eines Kontaktobjekts müssen Sie<br />
zumindest den vollständigen Namen angeben. Darüber hinaus können Sie beim Erstellen eines Kontaktobjekts<br />
zahlreiche Attribute des Objekts ausfüllen, einschließlich Telefonnummern und Adressen.<br />
Hinweis Sie können, wie auch bei Benutzerobjekten, den Standardanzeigenamen für Kontakte mithilfe<br />
des Tools Adsiedit.msc bearbeiten. Bearbeiten Sie für Kontakte das Attribut createDialog des Objekts<br />
CN=contact-Display anstelle des Objekts CN=user-Display.<br />
Kontakte sind in vielen Szenarien hilfreich. Sie können Kontakte zum einen verwenden, wenn ein<br />
Benutzer in Ihrer Domäne nicht als Sicherheitsprinzipal fungieren darf, seine Kontaktinformationen<br />
jedoch zugänglich sein müssen. In Ihrem Büro arbeiten beispielsweise Berater, die keine Netzwerkanmeldung<br />
vornehmen können, ihre Kontaktinformationen müssen jedoch an einem für alle Personen<br />
in Ihrem Unternehmen einfach zugänglichen Ort gespeichert werden. Zum anderen können Sie Kontakte<br />
zum Freigeben von Informationen zwischen Gesamtstrukturen verwenden. Ihr Unternehmen hat<br />
beispielsweise mit einem anderen Unternehmen fusioniert, das <strong>Active</strong> <strong>Directory</strong> bereits einsetzt. Sie<br />
können zwischen den beiden Gesamtstrukturen gesamtstrukturübergreifende Vertrauensstellungen<br />
erstellen, sodass Sie Netzwerkressourcen freigeben können. Der globale Katalog (Global Catalog,<br />
GC) umfasst jedoch weiterhin nur die Konten für die einzelne Gesamtstruktur. Möglicherweise müssen<br />
einige oder alle Konten beider Gesamtstrukturen von den Benutzern angezeigt werden können.
Verwalten von Benutzern 359<br />
Sie können hierfür mithilfe eines Tools wie Microsoft Identity Integration Server (MIIS) 2003 oder<br />
Microsoft Identity Lifecycle Manager (ILM) 2007 ein Kontaktobjekt für jedes Benutzerkonto der<br />
anderen Gesamtstruktur erstellen und das Kontaktobjekt mit den geeigneten Kontaktinformationen<br />
auffüllen.<br />
Weitere Informationen Weitere Informationen zu ILM 2007 werden auf der Webseite „Microsoft Identity<br />
Lifecycle Manager 2007“ (in englischer Sprache) unter http://www.microsoft.com/windowsserver/ilm2007/<br />
default.mspx bereitgestellt.<br />
Am häufigsten werden Kontaktobjekte für die Integration in die globale Adressliste von Microsoft<br />
Exchange Server verwendet. Wenn Sie ein Kontaktobjekt für E-Mails aktivieren möchten, weisen Sie<br />
dem Konto eine E-Mail-Adresse zu. Die zugewiesene E-Mail-Adresse gilt für ein externes E-Mail-<br />
System, wie beispielsweise einen Internetdienstanbieter oder eine andere Organisation. Dieser E-<br />
Mail-aktivierte Kontakt wird in der globalen Adressliste von Exchange Server angezeigt. Wenn Sie<br />
dem Kontakt eine E-Mail senden, wird diese an die im Kontakt angegebene E-Mail-Adresse gesendet.<br />
Dienstkonten<br />
Bei Diensten handelt es sich um Computerprogramme, die auf Windows-Servern im Hintergrund ausgeführt<br />
werden. Da Dienste so konzipiert sind, dass sie ohne Benutzeroberfläche ausgeführt werden<br />
und ohne dass Benutzer daran angemeldet sind, muss ein Anmeldekonto für den Dienst bereitgestellt<br />
werden. Wenn der Dienst startet, führt er mit dem Anmeldekonto eine Authentifizierung durch und<br />
verfügt über die gleichen Berechtigungen für Ressourcen wie das Anmeldekonto. Beim Festlegen<br />
eines Anmeldekontos auf einem Domänencontroller (Domain Controller, DC) können Sie ein<br />
bestimmtes Benutzerkonto in <strong>Active</strong> <strong>Directory</strong> oder einen lokalen Benutzer angeben. Dann würden<br />
Sie dem angegebenen Benutzerkonto die erforderlichen Berechtigungen zuweisen, sodass der Dienst<br />
ordnungsgemäß ausgeführt werden kann.<br />
In Windows Server 2008 sind einige lokale Konten integriert, die eigens zum Ausführen von Diensten<br />
entworfen wurden. Diese Konten verfügen über die Berechtigungen, die in der Regel von diesen<br />
Diensten für die Ausführung benötigt werden. Es können keine Kennwörter für diese Konten konfiguriert<br />
werden. In Tabelle 10.3 werden häufig verwendete Dienstkonten aufgeführt.<br />
Tabelle 10.3<br />
Häufig verwendete Dienstkonten<br />
Lokaler Kontoname<br />
SYSTEM<br />
LOKALER DIENST<br />
NETZWERKDIENST<br />
Beschreibung<br />
Dieses Konto verfügt über volle Zugriffsrechte für den Computer und kann mithilfe der dem<br />
Computerkonto zugewiesenen Berechtigungen auf Netzwerkressourcen zugreifen. Auf einem<br />
DC hat dieses Konto Zugriff auf die gesamte Domäne. Die Nutzung dieses Kontos sollte<br />
weitestgehend vermieden werden.<br />
Die Zugriffsebene dieses Kontos entspricht der Zugriffsebene der integrierten Gruppe Benutzer.<br />
Der Zugriff auf Netzwerkressourcen wird über eine Nullsitzung, d.h. anonym vorgenommen.<br />
Bei diesem Konto handelt es sich um das für die Dienstausführung bevorzugte Konto,<br />
da es nur über eingeschränkte Berechtigungen verfügt.<br />
Dieses Konto verfügt über die gleichen Zugriffsberechtigungen auf lokale Ressourcen wie<br />
das Konto LOKALER DIENST. Der Zugriff auf Netzwerkressourcen wird jedoch über die dem<br />
Computerkonto zugewiesenen Berechtigungen bestimmt.
360 Kapitel 10: Verwalten von <strong>Active</strong> <strong>Directory</strong>-Objekten<br />
Verwalten von Gruppen<br />
Eine der wichtigsten Funktionen eines Verzeichnisdienstes wie <strong>Active</strong> <strong>Directory</strong> ist es, die Autorisierung<br />
für den Zugriff auf Netzwerkressourcen bereitzustellen. Letztendlich basiert der gesamte Zugriff<br />
auf Netzwerkressourcen auf den einzelnen Benutzerkonten. In den meisten Fällen empfiehlt es sich<br />
jedoch nicht, den Ressourcenzugriff in den einzelnen Benutzerkonten zu verwalten. In einem großen<br />
Unternehmen wäre ein solches Vorgehen mit einem immensen Verwaltungsaufwand verbunden.<br />
Darüber hinaus ließen sich die Zugriffssteuerungslisten (Access Control Lists, ACLs) für Netzwerkressourcen<br />
innerhalb kürzester Zeit nicht mehr verwalten, wenn Berechtigungen über einzelne Benutzerkonten<br />
zugewiesen würden. Da der Zugriff auf Netzwerkressourcen mithilfe einzelner Benutzerkonten<br />
nicht verwaltet werden kann, erstellen Sie Gruppenobjekte, um große Sammlungen von<br />
Benutzern gleichzeitig verwalten zu können.<br />
Gruppentypen<br />
In Windows Server 2008 werden vier Gruppentypen bereitgestellt. Bei Verteilergruppen und Sicherheitsgruppen<br />
handelt es sich um die in der Regel von Administratoren verwendeten Gruppentypen.<br />
Anwendungsbasisgruppen und LDAP-Abfragegruppen werden von Autorisierungs-Manager-Anwendungen<br />
verwendet. Beim Erstellen eines neuen Gruppenobjekts mithilfe des Verwaltungstools <strong>Active</strong><br />
<strong>Directory</strong>-Benutzer und -Computer haben Sie die Möglichkeit, eine Verteilergruppe oder eine Sicherheitsgruppe<br />
zu erstellen. Das entsprechende Dialogfeld wird in Abbildung 10.5 dargestellt.<br />
Abbildung 10.5<br />
Erstellen einer neuen Gruppe im Verwaltungstool <strong>Active</strong> <strong>Directory</strong>-Benutzer und -Computer<br />
Am häufigsten wird in <strong>Active</strong> <strong>Directory</strong> die Sicherheitsgruppe verwendet. Bei einer Sicherheitsgruppe<br />
handelt es sich um einen Sicherheitsprinzipal, der für die Zuweisung von Berechtigungen auf<br />
Netzwerkressourcen verwendet werden kann. Bei einer Verteilergruppe kann es sich nicht um einen<br />
Sicherheitsprinzipal handeln. Da Verteilergruppen nicht für die Zuweisung von Ressourcenzugriff<br />
verwendet werden können, bieten sie nur einen sehr eingeschränkten Nutzen. Am häufigsten werden<br />
Verteilergruppen bei der Installation von Microsoft Exchange Server verwendet, wenn Benutzer gruppiert<br />
werden müssen, sodass einer gesamten Gruppe eine E-Mail gesendet werden kann.
Verwalten von Gruppen 361<br />
Wenn Sie Microsoft Exchange Server installiert haben, können Sie die Verteilergruppe für E-Mails<br />
aktivieren und anschließend können Sie der Gruppe Benutzer und Kontakte hinzufügen, die E-Mails<br />
empfangen können. So können Sie E-Mails an die vollständige Benutzergruppe senden.<br />
Wenn für die Domänenfunktionsebene mindestens Windows 2000 einheitlich festgelegt ist, können<br />
Sie Verteilergruppen in Sicherheitsgruppen und Sicherheitsgruppen in Verteilergruppen konvertieren.<br />
Die Gruppenmitgliedschaften werden nach einer Konvertierung beibehalten.<br />
Autorisierungs-Manager-Anwendungsgruppen<br />
Der Autorisierungs-Manager wurde in Windows Server 2003 eingeführt, um rollenbasierte Autorisierungen<br />
innerhalb von Anwendungen gewähren zu können. Dieses System wird von Anwendungsentwicklern<br />
für die Steuerung des Zugriffs auf Anwendungsdaten und -funktionen verwendet. Es wird<br />
nicht von Netzwerkadministratoren für die Steuerung des Zugriffs auf Netzwerkressourcen verwendet.<br />
Der Autorisierungs-Manager unterstützt die Verwendung von <strong>Active</strong> <strong>Directory</strong>, <strong>Active</strong> <strong>Directory</strong><br />
Lightweight <strong>Directory</strong> Server oder .xml-Dateien als Datenspeicher. Um <strong>Active</strong> <strong>Directory</strong> als Speicherort<br />
für den Autorisierungs-Manager zu verwenden, muss für die Domänenfunktionsebene Windows<br />
Server 2003 festgelegt sein. Bei den beiden Gruppentypen im Autorisierungs-Manager handelt<br />
es sich um Anwendungsbasisgruppen und LDAP-Abfragegruppen.<br />
Bei Anwendungsbasisgruppen handelt es sich um eine Sammlung von Sicherheitsprinzipalen, die<br />
über eine Liste mit Mitgliedern und eine Liste mit Nicht-Mitgliedern verfügen. Die Liste mit Nicht-<br />
Mitgliedern wird als Alternative zum Verweigern von Berechtigungen verwendet. Die Überprüfung<br />
der Mitgliedschaft erfolgt für Anwendungsbasisgruppen beim Zugriff auf eine Ressource, nicht bei<br />
Anmeldung des Benutzers. Dadurch entsteht zwar eine höhere Serverlast, Änderungen an der Gruppenmitgliedschaft<br />
werden jedoch übernommen, ohne dass dafür ein Abmeldevorgang erforderlich ist.<br />
LDAP-Abfragegruppen verfügen über eine dynamische Mitgliedsliste, die auf einer LDAP-Abfrage<br />
basiert. Die Abfrage kann für jedes beliebige, in <strong>Active</strong> <strong>Directory</strong> verfügbare Benutzerattribut durchgeführt<br />
werden. Dadurch ergibt sich der Vorteil, dass die Gruppenmitgliedschaft bei einer Änderung<br />
der Benutzereigenschaften automatisch aktualisiert wird. Die Überprüfung der Mitgliedschaft in<br />
LDAP-Abfragegruppen wird beim Zugriff auf eine Ressource durchgeführt.<br />
Weitere Informationen Weitere Informationen zum Autorisierungs-Manager werden im Artikel „Role-<br />
Based Access Control for Multi-tier Applications Using Authorization Manager“ (in englischer Sprache) unter<br />
http://technet2.microsoft.com/windowsserver/en/library/72b55950-86cc-4c7f-8fbf-3063276cd0b61033.mspx<br />
bereitgestellt.<br />
Hinweis Da Verteilergruppen in <strong>Active</strong> <strong>Directory</strong> nur einen eingeschränkten Nutzen bieten, beziehen sich<br />
die folgenden Erläuterungen in diesem Kapitel auf Sicherheitsgruppen.<br />
Gruppenbereich<br />
In Windows Server 2008 <strong>Active</strong> <strong>Directory</strong> können Sie Gruppen mit drei unterschiedlichen Gruppenbereichen<br />
erstellen: Global, Lokal (in Domäne) und Universal. In Tabelle 10.4 werden die Merkmale<br />
der einzelnen Gruppenbereiche aufgeführt.
362 Kapitel 10: Verwalten von <strong>Active</strong> <strong>Directory</strong>-Objekten<br />
Hinweis Universelle Gruppen sind nur dann verfügbar, wenn für die Domänenfunktionsebene mindestens<br />
Windows 2000 einheitlich festgelegt ist. Bei verschachtelten Gruppen handelt es sich um Gruppen, die Mitglieder<br />
anderer Gruppen sind. Die für verschachtelte Gruppen verfügbaren Optionen richten sich nach der<br />
Domänenfunktionsebene. Sie können beispielsweise mit jeder beliebigen Funktionsebene globale Gruppen<br />
in eine domänenlokale Gruppe verschachteln, um jedoch eine globale Gruppe in eine weitere globale<br />
Gruppe zu verschachteln, muss für die Domänenfunktionsebene mindestens Windows 2000 einheitlich<br />
festgelegt sein.<br />
Um für domänenlokale Gruppen die volle Funktionsfähigkeit sicherzustellen, muss für die Domänenfunktionsebene<br />
mindestens Windows 2000 einheitlich festgelegt sein. Wenn für die Domänenfunktionsebene<br />
Windows 2000 gemischt festgelegt ist, können domänenlokale Gruppen nur wie lokale<br />
Gruppen auf Domänencontrollern in Windows NT 4 ausgeführt werden. Die Gruppe kann zum<br />
Zuweisen von Ressourcenberechtigungen auf Domänencontrollern, nicht jedoch auf anderen Computern<br />
in der Domäne verwendet werden. Wenn für die Domänenfunktionsebene mindestens Windows<br />
2000 einheitlich festgelegt wurde, können domänenlokale Gruppen für die Erteilung von Zugriff auf<br />
Ressourcen auf jedem beliebigen Windows-Server in der Domäne verwendet werden.<br />
Tabelle 10.4<br />
<strong>Active</strong> <strong>Directory</strong>-Gruppenbereiche<br />
Gruppenbereich<br />
Lokal (in Domäne)<br />
Global<br />
Universal<br />
Gruppenmitgliedschaft kann folgende<br />
Komponenten umfassen<br />
• Benutzerkonten von jeder beliebigen<br />
Domäne in der Gesamtstruktur<br />
• Globale oder universelle Gruppen von jeder<br />
beliebigen Domäne in der Gesamtstruktur<br />
• Benutzerkonten oder globale oder universelle<br />
Gruppen von jeder beliebigen Domäne<br />
in einer vertrauten Gesamtstruktur<br />
• Verschachtelte domänenlokale Gruppen<br />
von der lokalen Domäne<br />
• Benutzerkonten von der Domäne, in der die<br />
Gruppe erstellt wurde<br />
• Verschachtelte globale Gruppen von der<br />
gleichen Domäne<br />
• Benutzerkonten von jeder beliebigen<br />
Domäne in der Gesamtstruktur<br />
• Globale Gruppen von jeder beliebigen<br />
Domäne in der Gesamtstruktur<br />
• Verschachtelte universelle Gruppen von<br />
jeder beliebigen Domäne in der Gesamtstruktur<br />
Verwendungszweck<br />
• Zum Zuweisen von Zugriff auf Ressourcen<br />
in der lokalen Domäne<br />
• Auf allen Servern in der Domäne, auf<br />
denen Windows 2000, Windows Server<br />
2003 oder Windows Server 2008 ausgeführt<br />
wird<br />
• Zum Zuweisen von Zugriff auf Ressourcen<br />
in allen Domänen in der Gesamtstruktur<br />
oder zwischen vertrauten Gesamtstrukturen<br />
• Auf allen Mitgliedsservern, auf denen Windows<br />
ausgeführt wird, einschließlich Mitgliedsservern,<br />
auf denen Windows NT<br />
ausgeführt wird<br />
• Zum Zuweisen von Zugriff auf Ressourcen<br />
in allen Domänen in der Gesamtstruktur<br />
oder zwischen vertrauten Gesamtstrukturen<br />
• Auf allen Servern in der Domäne, auf<br />
denen Windows 2000, Windows Server<br />
2003 oder Windows Server 2008 ausgeführt<br />
wird
Verwalten von Gruppen 363<br />
Hinweis Die Verwendungsweise von Gruppen richtet sich nach den in Ihrer Umgebung bereitgestellten<br />
Servern. Wenn Ihre Domäne nur Server umfasst, auf denen Windows 2000 und Windows Server 2003 ausgeführt<br />
wird, können Sie für die Zuweisung von Berechtigungen für alle Ressourcen auf diesen Servern<br />
domänenlokale Gruppen verwenden. Sie können auf diesen Mitgliedsservern jedoch weiterhin lokale Gruppen<br />
verwenden. Beachten Sie, dass Sie auf Servern, auf denen Windows NT ausgeführt wird, weiterhin<br />
lokale Gruppen verwenden müssen. Lokale Gruppen können in jedem Fall globale Gruppen von jeder beliebigen<br />
Domäne in der Gesamtstruktur umfassen. Wenn Sie lokale Gruppen auf einem Sever erstellen, auf<br />
dem Windows 2000 oder Windows Server 2003 ausgeführt wird, können die Gruppen auch universelle<br />
Gruppen von jeder beliebigen Domäne in der Gesamtstruktur oder von einer vertrauten Gesamtstruktur<br />
umfassen.<br />
Die Funktionalität von globalen Gruppen hat sich von Windows 2000 <strong>Active</strong> <strong>Directory</strong> zu Windows<br />
Server 2008 <strong>Active</strong> <strong>Directory</strong> nicht verändert. Wenn für die Domänenfunktionsebene mindestens<br />
Windows 2000 einheitlich festgelegt wurde, können Sie globale Gruppen von der gleichen<br />
Domäne in andere globale Gruppen verschachteln. Das Verschachteln von Gruppen ist hilfreich, um<br />
mehrere Gruppenmitgliedschaften zu umgehen. Ihr Unternehmen ist beispielsweise in mehrere<br />
Geschäftseinheiten gegliedert, wobei jede eine Gruppe mit Vorgesetzten und leitenden Angestellten<br />
umfasst. Sie können eine globale Gruppe Vorgesetzte für jede Geschäftseinheit erstellen und diese<br />
globalen Gruppen anschließend in einer unternehmensweiten Gruppe Vorgesetzte verschachteln.<br />
Hinweis Wenn für Ihre Domänenfunktionsebene weiterhin Windows 2000 einheitlich oder Windows 2000<br />
gemischt festgelegt ist, sollten Sie die Gruppenmitgliedschaft auf maximal 5000 Benutzer beschränken, um<br />
mögliche Replikationsprobleme zu vermeiden. Durch das Verschachteln von Gruppen treten diese Probleme<br />
seltener auf. Gelöst werden sie durch ein aktualisiertes Verfahren für die Replikation verknüpfter<br />
Werte, wenn die Domänenfunktionsebene auf Windows Server 2003 heraufgestuft wird.<br />
Universelle Gruppen weisen in <strong>Active</strong> <strong>Directory</strong> die größte Flexibilität auf, jedoch sind damit auch<br />
Nachteile verbunden. Universelle Gruppen können Mitglieder von jeder Domäne in der Gesamtstruktur<br />
umfassen, und sie können zum Zuweisen von Berechtigungen für Ressourcen in jeder beliebigen<br />
Domäne in der Gesamtstruktur verwendet werden. Um dies zu ermöglichen, wird die Mitgliedsliste<br />
für alle universellen Gruppen im globalen Katalog (Global Catalog, GC) gespeichert. Die Mitgliedsliste<br />
wird als einzelnes Attribut im GC gespeichert. Wenn Ihre Domäne mit der Funktionsebene Windows<br />
2000 einheitlich ausgeführt wird, bedeutet dies, dass bei jedem Hinzufügen eines Mitglieds zur<br />
universellen Gruppe die Replikation der vollständigen Mitgliedsliste auf alle weiteren globalen Katalogserver<br />
erforderlich ist. Dies kann zu einem erheblichen Replikationsaufwand führen, wenn die<br />
universelle Gruppe Tausende Mitglieder umfasst. Wenn für die Domänenfunktionsebene mindestens<br />
Windows Server 2003 festgelegt wurde, können Sie dieses Problem durch die Replikation verknüpfter<br />
Werte lösen.<br />
Durch die Replikation verknüpfter Werte wird der Replikationsdatenverkehr für verknüpfte Mehrwertattribute<br />
reduziert. Gruppenmitgliedslisten sind ein Beispiel für verknüpfte Mehrwertattribute.<br />
Bei jedem Gruppenmitglied handelt es sich um einen Wert im Mitgliedschaftsattribut für die Gruppe.<br />
Bei der Replikation verknüpfter Werte werden nur die Änderungen an einem verknüpften Mehrwertattribut<br />
repliziert. Im Fall von Änderungen an der Gruppenmitgliedschaft bedeutet dies, dass nur<br />
die Aktualisierungen der Gruppenmitgliedschaft und nicht die gesamte Gruppenmitgliedsliste repliziert<br />
werden.
364 Kapitel 10: Verwalten von <strong>Active</strong> <strong>Directory</strong>-Objekten<br />
Wenn für die Domänenfunktionsebene Windows 2000 einheitlich oder eine höhere Funktionsebene<br />
festgelegt ist, wirken sich universelle Gruppen auch auf das Anmeldeverfahren aus. Während der<br />
Authentifizierung kommuniziert der die Authentifizierung durchführende DC mit dem globalen Katalogserver,<br />
um die Mitgliedschaft in universellen Gruppen zu überprüfen. Diese Kommunikation ist<br />
erforderlich, da der DC nicht über die Mitgliedslisten der universellen Gruppen verfügt, die sich in<br />
anderen Domänen befinden. Wenn auf dem DC Windows 2000 Server ausgeführt wird und er keine<br />
Verbindung mit einem globalen Katalog herstellen kann, führt der DC keine Authentifizierung für den<br />
Benutzer durch, und es werden die zwischengespeicherten Anmeldeinformationen der Arbeitsstation<br />
verwendet. Befinden sich keine zwischengespeicherten Anmeldeinformationen auf der Arbeitsstation,<br />
kann sich der Benutzer nicht an der Domäne anmelden.<br />
Wenn auf einem DC Windows Server 2008 oder Windows Server 2003 ausgeführt wird, kann der DC<br />
universelle Gruppenmitgliedschaften im Zwischenspeicher speichern. Wurde die Option Zwischenspeichern<br />
der universellen Gruppenmitgliedschaft aktiviert, führt der DC eine Zwischenspeicherung<br />
der SIDs universeller und globaler Gruppen im Attribut msDS-Cached-Membership von Benutzerund<br />
Computerobjekten durch. Die Zwischenspeicherung erfolgt bei der ersten Benutzeranmeldung.<br />
Nach der ersten Anmeldung werden die zwischengespeicherten Anmeldeinformationen bei der<br />
Authentifizierung verwendet, daher ist kein Lookup im globalen Katalog erforderlich. Die Anmeldung<br />
ist nicht davon betroffen, wenn ein globaler Katalog nicht verfügbar ist. Wenn ein Benutzer sich<br />
zuvor nicht an der Domäne angemeldet hat und ein globaler Katalog nicht verfügbar ist, kann der<br />
Benutzer keine Anmeldung an der Domäne durchführen.<br />
Hinweis Die Option Zwischenspeichern der universellen Gruppenmitgliedschaft steht auf allen Domänenfunktionsebenen<br />
zur Verfügung. Allerdings muss dieses Feature mithilfe des Verwaltungstools <strong>Active</strong> <strong>Directory</strong>-Standorte<br />
und -Dienste für jeden <strong>Active</strong> <strong>Directory</strong>-Standort aktiviert werden.<br />
Standardmäßig werden die zwischengespeicherten Gruppenmitgliedschaftsinformationen alle acht<br />
Stunden aktualisiert. Daher werden Änderungen an der Mitgliedschaft in universellen oder globalen<br />
Gruppen unter Umständen erst nach acht Stunden wirksam. Für einen einzelnen Benutzer können Sie<br />
mithilfe des ADSI-Editors die Akutalisierung der zwischengespeicherten Informationen bei der<br />
nächsten Anmeldung erzwingen. Hierfür müssen die Festlegungen der Attribute msDS-Cached-<br />
Membership und msDS-Cached-Membership-Timestamp entfernt werden.<br />
Achtung Wenn die zwischengespeicherten Informationen zur Mitgliedschaft in universellen Gruppen sieben<br />
Tage lang nicht aktualisiert werden kann, werden die Informationen als veraltet betrachtet und nicht<br />
mehr verwendet. In diesem Fall wird die Anmeldung so durchgeführt, als lägen keine zwischengespeicherten<br />
Informationen vor, und während der Anmeldung ist ein globaler Katalog erforderlich.<br />
Durch den Neustart eines Domänencontrollers wird für den Zwischenspeicher der Neustart des Aktualisierungsintervalls<br />
erzwungen, und dabei werden alle zwischengespeicherten Gruppenmitgliedschaften<br />
aktualisiert. Von diesem Neustart können jedoch unter Umständen zahlreiche Dienste in<br />
Ihrem Netzwerk betroffen sein, daher sollte er weitestgehend vermieden werden. Um die zwischengespeicherten<br />
Informationen zu Gruppenmitgliedschaften zu aktualisieren, ohne den Domänencontroller<br />
dafür erneut zu starten, können Sie für das Vorgangsattribut updateCachedmemberships des<br />
Objekts rootDSE mithilfe des Tools Ldp.exe den Wert 1 festlegen. Beide genannten Methoden müssen<br />
auf allen Domänencontrollern in einem <strong>Active</strong> <strong>Directory</strong>-Standort durchgeführt werden, um konsistente<br />
Ergebnisse zu erzielen.
Standardgruppen in <strong>Active</strong> <strong>Directory</strong><br />
Verwalten von Gruppen 365<br />
Weitere Informationen Weitere Informationen zur Zwischenspeicherung von Informationen zu universellen<br />
Gruppenmitgliedschaften, einschließlich Registrierungseinträgen, die zum Ändern des Standardaktualisierungsverhaltens<br />
verwendet werden können, werden im Artikel „How the Global Catalog Works” (in<br />
englischer Sprache) unter http://technet2.microsoft.com/windowsserver/en/library/440e44ab-ea05-4bd8-<br />
a68c-12cf8fb1af501033.mspx?mfr=true bereitgestellt.<br />
Windows Server 2003 <strong>Active</strong> <strong>Directory</strong> umfasst viele Standardgruppen in den beiden Containern<br />
Users und Builtin. Diese Gruppen können für vielerlei Zwecke verwendet werden, und sie verfügen<br />
über Standardberechtigungen innerhalb der Domäne. Gruppen im Container Builtin entsprechen den<br />
lokalen vordefinierten Gruppen, die auf Mitgliedsservern vorhanden sind. Auf Mitgliedsservern werden<br />
Mitgliedern über diese Gruppen Berechtigungen für den lokalen Server erteilt. In <strong>Active</strong> <strong>Directory</strong><br />
werden den Mitgliedern dieser Gruppen Berechtigungen für alle Domänencontroller in der<br />
Domäne erteilt. In Tabelle 10.5 werden die vordefinierten Gruppen für <strong>Active</strong> <strong>Directory</strong> aufgeführt.<br />
Tabelle 10.5<br />
Vordefinierte Gruppen in <strong>Active</strong> <strong>Directory</strong><br />
Gruppen<br />
Administratoren<br />
Benutzer<br />
Distributed COM-Benutzer<br />
Druck-Operatoren<br />
Ereignisprotokollleser<br />
Erstellungen eingehender Gesamtstrukturvertrauensstellung<br />
Gäste<br />
IIS_IUSRS<br />
Konten-Operatoren<br />
Kryptografie-Operatoren<br />
Leistungsprotokollbenutzer<br />
Netzwerkkonfigurations-Operatoren<br />
Prä-Windows 2000 kompatibler Zugriff<br />
Beschreibung<br />
Mitglieder haben uneingeschränkten Zugriff auf die Domäne.<br />
Mitglieder können die meisten Anwendungen ausführen, sie können jedoch die meisten<br />
systemweiten Änderungen auf Domänencontrollern in der Domäne nicht durchführen.<br />
Mitglieder können DCOM-Objekte auf Domänencontrollern in der Domäne starten,<br />
verwenden und aktivieren.<br />
Mitglieder können Drucker auf Domänencontrollern in der Domäne verwalten.<br />
Mitglieder können Ereignisprotokolle auf Domänencontrollern in der Domäne lesen.<br />
Mitglieder können eingehende unidirektionale Vertrauensstellungen für diese<br />
Gesamtstruktur erstellen.<br />
Mitglieder verfügen über den gleichen Zugriff wie die Benutzergruppen. Das Konto<br />
Gäste weist allerdings die Einschränkung auf, dass es ein Mitglied der Gruppe Jeder,<br />
jedoch kein Mitglied der Gruppe Authentifizierte Benutzer ist.<br />
Dieses Konto wird von IIS zum Anwenden von Berechtigungen für anonymen Zugriff<br />
verwendet.<br />
Mitglieder können Domänenbenutzer-, Gruppen- und Computerkonten in der Domäne<br />
verwalten. Sie können jedoch nicht die Gruppen Administratoren oder Domänen-<br />
Admins, das Administratorkonto oder Computerkonten in der OU Domain Controllers<br />
bearbeiten.<br />
Mitglieder können kryptografische Operationen durchführen.<br />
Mitglieder können Daten zu Leistungsindikatoren protokollieren, Ablaufverfolgungsanbieter<br />
aktivieren und Ereignisablaufverfolgungen auf Domänencontrollern in der<br />
Domäne sammeln.<br />
Mitglieder können einige Netzwerkfeatures auf Domänencontrollern in der Domäne<br />
konfigurieren.<br />
Mitglieder haben Lesezugriff für alle Benutzer und Gruppen in der Domäne. Diese<br />
Gruppe wird für die Abwärtskompatibilität mit Windows NT-Servern verwendet.
366 Kapitel 10: Verwalten von <strong>Active</strong> <strong>Directory</strong>-Objekten<br />
Tabelle 10.5<br />
Vordefinierte Gruppen in <strong>Active</strong> <strong>Directory</strong> (Fortsetzung)<br />
Gruppen<br />
Remotedesktopbenutzer<br />
Replikations-Operator<br />
Server-Operatoren<br />
Sicherungs-Operatoren<br />
Systemmonitorbenutzer<br />
Terminalserver-Lizenzserver<br />
Windows-Autorisierungszugriffsgruppe<br />
Zertifikatdienst-DCOM-Zugriff<br />
Beschreibung<br />
Mitglieder können sich mithilfe von Remotedesktop auf Domänencontrollern in der<br />
Domäne anmelden.<br />
Diese Gruppe wird für die Unterstützung der Dateireplikation in der Domäne<br />
verwendet.<br />
Mitglieder können Domänencontroller in der Domäne verwalten.<br />
Mitglieder können unabhängig von ihren Sicherheitsberechtigungen Dateien auf<br />
Domänencontrollern sichern und wiederherstellen.<br />
Mitglieder können Daten zu Leistungsindikatoren auf Domänencontrollern in der<br />
Domäne anzeigen.<br />
Diese Gruppe wird verwendet, um die Nachverfolgung der Auslastung von Terminalserver-Clientzugriffstoken<br />
(pro Benutzer) zu unterstützen.<br />
Mitglieder haben Zugriff auf das Attribut tokenGroupsGlobalAndUniversal von Benutzerobjekten.<br />
Mitglieder können Verbindungen mit Zertifizierungsstellen in der Domäne herstellen.<br />
Die Standardgruppen im Container Users werden für die Zuweisung von Rechten und Berechtigungen<br />
für <strong>Active</strong> <strong>Directory</strong> und Domänenressourcen verwendet. Die Standardgruppen im Container<br />
Users werden in Tabelle 10.6 aufgeführt.<br />
Tabelle 10.6<br />
<strong>Active</strong> <strong>Directory</strong>-Standardgruppen im Container Users<br />
Gruppen<br />
Abgelehnte RODC-Kennwortreplikationsgruppe<br />
DnsAdmins<br />
DnsUpdateProxy<br />
Domänen-Admins<br />
Domänen-Benutzer<br />
Domänen-Gäste<br />
Domänencomputer<br />
Domänencontroller<br />
Domänencontroller der Organisation<br />
ohne Schreibzugriff<br />
Domänencontroller ohne Schreibzugriff<br />
Organisations-Admins<br />
RAS- und IAS-Server<br />
Richtlinien-Ersteller-Besitzer<br />
Beschreibung<br />
Mitglieder können ihre Kennwörter nicht auf schreibgeschützte Domänencontroller<br />
replizieren.<br />
Mitglieder können DNS-Objekte in der Domäne verwalten.<br />
Mitglieder können dynamische DNS-Aktualisierungen im Namen anderer Clients<br />
durchführen. In der Regel sind die Mitglieder DHCP-Server.<br />
Mitglieder können Domänenobjekte in <strong>Active</strong> <strong>Directory</strong> und alle der Domäne hinzugefügten<br />
Domänencontroller und Computer verwalten. Diese Gruppe ist Mitglied<br />
aller lokalen Administratorengruppen in der Domäne.<br />
Diese Gruppe ist Mitglied aller lokalen Benutzergruppen in der Domäne.<br />
Diese Gruppe ist Mitglied aller lokalen Gästegruppen in der Domäne.<br />
Alle Arbeitsstationen und Mitgliedsserver in der Domäne.<br />
Alle Domänencontroller in der Domäne.<br />
Alle schreibgeschützten Domänencontroller in der Gesamtstruktur.<br />
Alle schreibgeschützten Domänencontroller in der Domäne.<br />
Mitglieder verfügen über Administratorrechte für die vollständige <strong>Active</strong> <strong>Directory</strong>-<br />
Gesamtstruktur.<br />
Server in dieser Gruppe können die Remotezugriffseigenschaften von Benutzern<br />
lesen.<br />
Mitglieder können Gruppenrichtlinienobjekte in der Domäne erstellen und bearbeiten.
Verwalten von Gruppen 367<br />
Tabelle 10.6<br />
<strong>Active</strong> <strong>Directory</strong>-Standardgruppen im Container Users (Fortsetzung)<br />
Gruppen<br />
Schema-Admins<br />
Zertifikatherausgeber<br />
Zulässige RODC-Kennwortreplikationsgruppe<br />
Beschreibung<br />
Mitglieder können Änderungen am Schema für die Gesamtstruktur vornehmen.<br />
Mitglieder können Zertifikate in <strong>Active</strong> <strong>Directory</strong> veröffentlichen.<br />
Mitglieder können ihre Kennwörter auf schreibgeschützte Domänencontroller replizieren.<br />
Es gibt nur wenige Gruppen, die beim Erstellen einer neuen Domäne bereits Benutzer umfassen. Das<br />
Domänenadministratorkonto ist Mitglied der domänenlokalen Administratorengruppe und der globalen<br />
Gruppe Domänen-Admins. Wenn es sich bei der Domäne um die erste Domäne in der Gesamtstruktur<br />
handelt, wird das Administratorkonto ebenfalls den globalen Gruppen Organisations-Admins und<br />
Schema-Admins hinzugefügt. Das Gastkonto ist deaktiviert, es ist jedoch Mitglied der globalen<br />
Gruppe Domänen-Gäste. Alle neuen Benutzer werden automatisch der Gruppe Domänen-Benutzer<br />
hinzugefügt.<br />
Weitere Informationen Eine umfangreiche Liste mit den Benutzerberechtigungen, die jeder<br />
Standardgruppe erteilt werden, finden Sie im Artikel „Default Groups“ (in englischer Sprache) unter<br />
http://technet2.microsoft.com/windowsserver/en/library/1631acad-ef34-4f77-9c2e-<br />
94a62f8846cf1033.mspx?mfr=true.<br />
Spezialidentitäten<br />
Bei Spezialidentitäten handelt es sich um Gruppen mit dynamischen Mitgliedschaften, die von dem<br />
jeweiligen Benutzer abhängig sind. Die Mitgliedschaft in diesen Gruppen wird automatisch durch das<br />
System verwaltet, und Sie können daran keine Änderungen vornehmen. Sie können diesen Gruppen<br />
jedoch Rechte und Berechtigungen zuweisen. Auf diese Spezialidentitäten findet das Konzept des<br />
Gruppenbereichs keine Anwendung. Einige Spezialidentitäten werden in Tabelle 10.7 aufgeführt.<br />
Tabelle 10.7<br />
Spezialidentitäten<br />
Spezialidentität<br />
ANONYMOUS-ANMELDUNG<br />
Authentifizierte Benutzer<br />
INTERAKTIV<br />
Jeder<br />
NETZWERK<br />
TERMINALSERVERBENUTZER<br />
Definition<br />
Benutzer oder Dienste, die nicht mit einem Kontonamen angemeldet sind<br />
Alle Benutzer der lokalen Domäne und von Remotedomänen, mit Ausnahme des<br />
Gastkontos<br />
Alle Benutzer, die logisch am Computer angemeldet sind<br />
Alle Benutzer der lokalen Domäne, anderer Domänen sowie Gäste. Diese Spezialidentität<br />
umfasst nicht die Mitglieder der Spezialidentität ANONYMOUS-<br />
ANMELDUNG.<br />
Alle Benutzer, die über das Netzwerk auf den Computer zugreifen<br />
Alle Benutzer, die mithilfe von Remotedesktop über das Netzwerk angemeldet sind<br />
Erstellen eines Sicherheitsgruppenentwurfs<br />
Eine der umfangreichen Entwurfskomponenten einer <strong>Active</strong> <strong>Directory</strong>-Implementierung ist der<br />
Sicherheitsgruppenentwurf. Mit dem Erstellen eines Sicherheitsgruppenentwurfs ist vor allem in<br />
großen Organisationen ein großer Aufwand verbunden. In diesem Abschnitt werden die grundlegenden<br />
Prinzipien für die Erstellung eines Sicherheitsgruppenentwurfs für Ihre Organisation erläutert.
368 Kapitel 10: Verwalten von <strong>Active</strong> <strong>Directory</strong>-Objekten<br />
Als Erstes müssen Sie beim Erstellen eines Sicherheitsgruppenentwurfs festlegen, welche Gruppenbereiche<br />
Sie verwenden möchten. In vielen Unternehmen werden umfassende Diskussionen zur Verwendung<br />
der unterschiedlichen Gruppen geführt. Die Verwendung von Gruppen kann in <strong>Active</strong><br />
<strong>Directory</strong> sehr flexibel gehandhabt werden. In einer einzelnen Domäne können Benutzer beispielsweise<br />
einer Gruppe mit einem beliebigen Gruppenbereich in der Domäne hinzugefügt werden, und<br />
die Gruppen können zum Zuweisen von Berechtigungen für beliebige Ressourcen in der Domäne verwendet<br />
werden. In einer Umgebung mit mehreren Domänen gibt es verschiedene Optionen für die<br />
Verwendung universeller, globaler und domänenlokaler Gruppen.<br />
In den meisten Unternehmen können die unterschiedlichen Gruppenbereiche am besten anhand der<br />
folgenden Schritte implementiert werden:<br />
1. Hinzufügen von Benutzern zu globalen oder universellen Gruppen<br />
2. Hinzufügen der globalen oder universellen Gruppen zu domänenlokalen Gruppen<br />
3. Zuweisen von Zugriffsberechtigungen auf Ressourcen mithilfe der domänenlokalen Gruppen<br />
In einigen Unternehmen gibt es viel Widerstand gegen die Erstellung von sowohl einer domänenlokalen<br />
als auch einer globalen oder universellen Gruppe, wenn eine Gruppe eigentlich ausreichend wäre.<br />
Es sprechen jedoch wichtige Gründe für die Verwendung von zwei Gruppen.<br />
Wenn Sie den Ansatz der Verwendung globaler oder universeller Gruppen und domänenlokaler Gruppen<br />
verfolgen, können Sie globale oder universelle Gruppen erstellen, um Benutzer zusammenzufassen,<br />
die gemeinsame Merkmale aufweisen. Meist werden globale oder universelle Gruppen basierend<br />
auf einer Unternehmensabteilung oder einer funktionellen Grundlage erstellt. Alle Mitglieder der Vertriebsabteilung<br />
weisen beispielsweise in der Regel untereinander mehr gleiche Merkmale auf als mit<br />
Mitgliedern anderer Abteilungen. Diese Benutzer benötigen unter Umständen alle Zugriff auf die<br />
gleichen Ressourcen, oder alle benötigen die gleiche Software. Die Gruppenmitgliedschaft wird oftmals<br />
auch nach funktionellen Gesichtspunkten festgelegt. Es ist beispielsweise die gemeinsame Gruppierung<br />
aller Manager erforderlich, unabhängig davon, in welcher Geschäftseinheit sie beschäftigt<br />
sind. Alle Mitglieder eines Projektteams benötigen ggf. Zugriff auf die gleichen Projektressourcen.<br />
Domänenlokale Gruppen werden in der Regel vorwiegend für die Zuweisung von Ressourcenberechtigungen<br />
verwendet. In vielen Fällen sind die Berechtigungen eng mit den Geschäftseinheiten oder<br />
-funktionen verbunden. Alle Mitglieder der Vertriebsabteilung benötigen beispielsweise Zugriff auf<br />
den gleichen freigegebenen Ordner Vertrieb. In der Regel benötigen alle Projektteammitglieder<br />
Zugriff auf die gleichen Projektinformationen. In anderen Fällen werden Zugriffsberechtigungen über<br />
geschäftliche oder funktionelle Grenzen hinweg erteilt. Ein Unternehmen nutzt beispielsweise einen<br />
freigegebenen Ordner, für den alle Personen im Unternehmen über den Zugriff Lesen verfügen. Oder<br />
unterschiedliche Abteilungen und Projektteams benötigen unter Umständen Zugriff auf den gleichen<br />
freigegebenen Ordner. Durch das Erstellen einer domänenlokalen Gruppe für eine bestimmte Ressource<br />
können Sie den Zugriff auf diese Ressource einfach verwalten. Anschließend können Sie der<br />
domänenlokalen Gruppe die geeigneten globalen oder universellen Gruppen hinzufügen.<br />
Häufig sind für Benutzer unterschiedliche Zugriffsebenen auf freigegebene Ordner erforderlich. Ein<br />
Unternehmen verfügt z.B. über den freigegebenen Ordner Personalabteilung, in dem die gesamten<br />
Informationen zu Mitarbeiterrichtlinien gespeichert sind. Allen Benutzern kann Lesezugriff auf diesen<br />
Ordner erteilt werden, es sollten jedoch nur die Mitarbeiter der Personalabteilung Änderungen an<br />
den Informationen in diesem Ordner vornehmen können. In diesem Fall würden Sie zwei domänenlokale<br />
Gruppen für den freigegebenen Ordner erstellen. Einer Gruppe wird der Zugriff Lesen erteilt,<br />
während der anderen Gruppe der Vollzugriff oder der Zugriff Bearbeiten erteilt wird.
Verwalten von Gruppen 369<br />
Die globale Gruppe Personalabteilung kann dann der domänenlokalen Gruppe hinzugefügt werden,<br />
der bereits der Vollzugriff zugewiesen wurde, und die übrigen globalen Gruppen, für die nur Lesezugriff<br />
erforderlich ist, können der domänenlokalen Gruppe mit dem Zugriff Lesen hinzugefügt werden.<br />
Wenn Sie globale und domänenlokale Gruppen auf diese Weise verwenden, bedeutet dies, dass Sie<br />
den Besitz der globalen und domänenlokalen Gruppen aufteilen. In großen Unternehmen ist es aus<br />
sicherheitstechnischer Sicht von großer Bedeutung, zu gewährleisten, dass nur den geeigneten Benutzern<br />
Zugriff auf freigegebene Informationen erteilt wird. Um dies sicherzustellen, muss jede Gruppe<br />
über einen Besitzer verfügen, der auch als autorisierender Benutzer bezeichnet wird. Nur der Besitzer<br />
einer Gruppe kann Änderungen an der Gruppenkonfiguration autorisieren. Bei dem Besitzer der globalen<br />
Gruppe handelt es sich in der Regel um einen Abteilungsadministrator. Als Besitzer einer projektbasierten<br />
globalen Gruppe wird unter Umständen der Projektmanager eingesetzt. Diese Besitzer<br />
sind die einzigen Personen, die Änderungen an der Mitgliedsliste autorisieren können.<br />
Bei dem Besitzer einer domänenlokalen Gruppe handelt es sich in der Regel um den Daten- oder Ressourcenbesitzer.<br />
Wenn jede Ressource in Ihrem Unternehmen über einen Besitzer verfügt, der als einzige<br />
Person Änderungen an den Berechtigungen für die freigegebene Ressource autorisieren kann,<br />
wird diese Person ebenfalls Besitzer der domänenlokalen Gruppe, die mit dieser Ressource verbunden<br />
ist. Bevor der domänenlokalen Gruppe eine beliebige globale oder universelle Gruppe hinzugefügt<br />
werden kann, ist die Zustimmung des Besitzers zu dieser Änderung erforderlich.<br />
Die Verwendung der beiden Gruppenebenen ist vor allem in Szenarien wichtig, in denen mehrere<br />
Domänen vorhanden sind und Benutzer aus allen Domänen Zugriff auf eine freigegebenen Ressource<br />
in einer Domäne benötigen. Wie in Abbildung 10.6 dargestellt, können Sie eine globale Gruppe in<br />
jeder Domäne erstellen und anschließend diese globale Gruppe einer domänenlokalen Gruppe in der<br />
Domäne hinzufügen, in der sich die Ressource befindet.<br />
Globale Gruppe<br />
Adatum.com<br />
Globale Gruppe<br />
Globale Gruppe<br />
NA.Adatum.com<br />
Freigegebener Freigegebener<br />
Ordner Ordner<br />
Asien.Adatum.com<br />
Globale<br />
Gruppe<br />
Abbildung 10.6 Konfigurieren von Ressourcenzugriff mithilfe von globalen und domänenlokalen Gruppen mit<br />
mehreren Domänen
370 Kapitel 10: Verwalten von <strong>Active</strong> <strong>Directory</strong>-Objekten<br />
Hinweis Windows NT verwendet zwar globale und lokale Gruppen, domänenlokale Gruppen können<br />
jedoch in Windows NT nicht verwendet werden. Wenn Sie in Ihrer Domäne über Mitgliedsserver verfügen,<br />
auf denen Windows NT ausgeführt wird, benötigen Sie weiterhin lokale Gruppen auf jedem Server. Wenn<br />
auf Ihren Servern Windows 2000, Windows Server 2003 oder Windows Server 2008 ausgeführt wird und für<br />
Ihre Domänenfunktionsebene mindestens Windows 2000 einheitlich festgelegt ist, sollten Sie nach Möglichkeit<br />
domänenlokale Gruppen verwenden. Domänenlokale Gruppen können über mehrere Server hinweg<br />
verwendet werden. Wenn Sie darüber hinaus domänenlokale Gruppen anstelle von lokalen Gruppen verwenden,<br />
können Sie eine Ressource zwischen Servern verschieben und die gleiche domänenlokale Gruppe<br />
zum Zuweisen von Berechtigungen verwenden.<br />
Beim Erstellen des Sicherheitsgruppenentwurfs müssen Sie sich die Frage stellen, wann globale<br />
Gruppen und wann universelle Gruppen zu verwenden sind. In manchen Fällen haben Sie keine Wahl.<br />
E-Mail-aktivierte Gruppen für Exchange 2000 Server und Exchange Server 2003 beispielsweise, die<br />
Mitglieder mehrerer Domänen umfassen, können nicht ordnungsgemäß verarbeitet werden, wenn sie<br />
keine universellen Gruppen sind. Exchange Server 2007 erstellt alle neuen E-Mail-aktivierten Gruppen<br />
als universelle Gruppen.<br />
In den meisten Fällen empfahl es sich beim Erstellen des universellen Gruppenentwurfs in Windows<br />
2000 <strong>Active</strong> <strong>Directory</strong>, universelle Gruppen nicht allzu häufig zu verwenden, vor allem wenn Standorte<br />
vorhanden waren, die über langsame Netzwerkverbindungen verfügten. Dies war bedingt durch<br />
Replikationsprobleme mit dem globalen Katalog. Wenn Ihre Gesamtstruktur auf Windows 2000-<br />
Funktionsebene ausgeführt wird, gilt diese Empfehlung weiterhin. Wenn für die Interimsfunktionsebene<br />
Ihrer Gesamtstruktur Windows Server 2003 oder Windows Server 2003 festgelegt wurde,<br />
besteht dieses Replikationsproblem nicht mehr, da die Replikation verknüpfter Werte implementiert<br />
wurde. Durch die Option Zwischenspeichern der universellen Gruppenmitgliedschaft muss nicht mehr<br />
in jedem Standort ein globaler Katalogserver bereitgestellt werden. Durch diese Verbesserungen ist es<br />
in Windows Server 2008 <strong>Active</strong> <strong>Directory</strong> weniger problematisch, sich für die Verwendung universeller<br />
oder globaler Gruppen zu entscheiden. Meist sind globale oder universelle Gruppen nahezu austauschbar.<br />
Verwalten von Computern<br />
Bei einem weiteren Objekttyp in <strong>Active</strong> <strong>Directory</strong> handelt es sich um das Computerobjekt. Computerobjekte<br />
werden verwendet, um Domänencontroller, Mitgliedsserver und Arbeitsstationen zu repräsentieren.<br />
Computer führen eine Authentifizierung an der Domäne mithilfe des Computerobjekts auf die<br />
gleiche Weise durch, wie Benutzer mithilfe von Benutzerobjekten eine Authentifizierung an der<br />
Domäne durchführen. Computerkonten ändern ihr Kennwort mit einem Hintergrundprozess automatisch<br />
alle 30 Tage.<br />
Hinweis Alle Computer, auf denen Windows NT, Windows 2000, Microsoft Windows XP Professional,<br />
Windows Server 2003, Windows Vista und Windows Server 2008 ausgeführt wird, müssen über ein Computerkonto<br />
in der Domäne verfügen. Computer, auf denen Microsoft Windows 95 oder Microsoft Windows 98<br />
ausgeführt wird, können in der Domäne nicht über Konten verfügen.<br />
Computerobjekte werden nur selten direkt in <strong>Active</strong> <strong>Directory</strong> verwaltet. Wenn Sie mit der rechten<br />
Maustaste auf ein Computerkonto in <strong>Active</strong> <strong>Directory</strong> klicken, können Sie sehen, dass nur wenige<br />
Verwaltungsoptionen angezeigt werden. Eine der verfügbaren Optionen ist die Option zum Zurücksetzen<br />
des Computerkontos.
Verwalten von Computern 371<br />
Diese Option sollte allerdings mit Vorsicht verwendet werden, da durch das Zurücksetzen eines Computerkontos<br />
die Verbindung des Computers mit der Domäne unterbrochen wird und dadurch ein<br />
erneutes Hinzufügen des Computers zur Domäne erforderlich wird. Stellen Sie vor dem Zurücksetzen<br />
des Computerkontos sicher, dass das Computerkonto nicht deaktiviert ist. Wenn ein Computerkonto<br />
deaktiviert ist, kann der Computer keine Anmeldung an der Domäne durchführen.<br />
Die Option zum Zurücksetzen eines Computerkontos ist nützlich, wenn keine fehlerfreie Kommunikation<br />
zwischen dem Computer und der Domäne möglich ist. Dies kann beispielsweise vorkommen,<br />
wenn das Computerkonto und der Computer nicht über das gleiche Kennwort verfügen. Diese fehlende<br />
Kennwortübereinstimmung kann auf Kommunikationsfehler nach einer Notfallwiederherstellung<br />
zurückzuführen sein. Wenn Sie das Computerkonto zurücksetzen und den Computer anschließend<br />
wieder zur Domäne hinzufügen, wird das Kennwort wieder synchronisiert. Dieses Verfahren<br />
kann nicht für Domänencontroller angewendet werden, da Domänencontroller nicht erneut zur Domäne<br />
hinzugefügt werden können. Es ist einfacher, das Dienstprogramm Netdom.exe für diesen Zweck<br />
zu verwenden, da es sowohl für Mitgliedsserver als auch für Domänencontroller funktioniert. Mithilfe<br />
des Dienstprogramms Netdom.exe können Sie gleichzeitig die Kennwörter des lokalen Computers<br />
sowie des Computerobjekts zurücksetzen. Dadurch ist ein erneutes Hinzufügen zur Domäne nicht<br />
erforderlich. Für einen Domänencontroller muss zuerst der Dienst Kerberos-Schlüsselverteilungscenter<br />
angehalten werden. Geben Sie anschließend in einer Befehlszeile den Befehl netdom resetpwd<br />
/s:Domänencontroller /ud:Domänenname\Administrator /pd:* ein. Beim Zurücksetzen des Computerkontos<br />
eines Domänencontrollers muss es sich bei dem von Netdom verwendeten Domänencontroller<br />
um einen anderen Domänencontroller in der gleichen Domäne handeln. Geben Sie das Kennwort<br />
des Administratorkontos ein, wenn Sie dazu aufgefordert werden. Nach dem Ausführen des<br />
Befehls ist ein Computerneustart erforderlich.<br />
Weitere Informationen Weitere Informationen zum Zurücksetzen des Kennworts eines Computerkontos<br />
mithilfe des Tools Netdom.exe finden Sie im Artikel „Zurücksetzen von Computerkontokennwörtern eines<br />
Windows Server 2003-Domänencontrollers mit "Netdom.exe"“ unter http://support.microsoft.com/kb/325850.<br />
Die Option, in <strong>Active</strong> <strong>Directory</strong> auf die Computerverwaltungsanwendung jedes Computers zugreifen<br />
zu können, ist vor allem im Hinblick auf die Verwaltung besonders nützlich. Ermitteln Sie einen<br />
Computer im Verwaltungstool <strong>Active</strong> <strong>Directory</strong>-Benutzer und -Computer, klicken Sie mit der rechten<br />
Maustaste auf das Symbol für die gewünschte Arbeitsstation bzw. den gewünschten Server, und wählen<br />
Sie Verwalten. In der MMC (Microsoft Management Console) Computerverwaltung wird die von<br />
Ihnen ausgewählte Arbeitsstation bzw. der gewählte Server angezeigt.<br />
In den meisten Fällen werden Computerobjekte beim Hinzufügen des Computers zur Domäne erstellt.<br />
Die Computerobjekte für Mitgliedsserver und Arbeitsstationen werden im Container Computers<br />
erstellt. Wenn ein Mitgliedsserver zum Domänencontroller heraufgestuft wird, wird das Computerobjekt<br />
für den Domänencontroller in die OU Domain Controllers verschoben.<br />
Achtung Sie können zwar die Computerobjekte für Domänencontroller aus der OU Domain Controllers<br />
verschieben können, dies ist jedoch nicht zu empfehlen. Viele der Sicherheitseinstellungen für Domänencontroller<br />
werden in der OU Domain Controllers konfiguriert. Durch das Verschieben eines Computerobjekts<br />
für einen Domänencontroller aus diesem Container heraus werden die Sicherheitseinstellungen für alle verschobenen<br />
Domänencontroller geändert.<br />
Meist werden die Computerobjekte aus dem Container Computers in bestimmte OUs verschoben.<br />
Wenn Sie Computerobjekte in bestimmte OUs verschieben, können Sie die Computer unterschiedlich<br />
verwalten.
372 Kapitel 10: Verwalten von <strong>Active</strong> <strong>Directory</strong>-Objekten<br />
Sie möchten vermutlich die Mitgliedsserver in Ihrem Unternehmen abweichend von den Arbeitsstationen<br />
verwalten, und daher ist es erforderlich, dass Sie zwei eigene OUs erstellen. Arbeitsstationen<br />
können häufig in kleinere Gruppen aufgeteilt werden. Für Arbeitsstationen in der Vertriebsabteilung<br />
sind beispielsweise andere Anwendungen erforderlich als auf den Arbeitsstationen in der Ingenieurabteilung.<br />
Indem Sie zwei OUs erstellen und die Arbeitsstationen in die geeignete OU verschieben,<br />
können Sie die beiden Arbeitsstationstypen unterschiedlich verwalten.<br />
Hinweis Da es sich bei dem Container Computers nicht um eine OU handelt, können Gruppenrichtlinien<br />
nicht direkt auf diesen Container angewendet werden.<br />
Sie können den Standardspeicherort für Computerobjekte während der Erstellung beim Hinzufügen<br />
zur Domäne umleiten. Wenn für die Domänenfunktionsebene mindestens Windows Server 2003 festgelegt<br />
ist, können Sie mithilfe des Dienstprogramms Redircmp.exe einen neuen Speicherort festlegen.<br />
Öffnen Sie eine Eingabeaufforderung, und geben Sie anschließend den Befehl redircmp<br />
ou=OUfürComputer,dc=Domänenname,dc=com ein.<br />
Hinweis Sie können den Befehl Rediruser.exe zum Ändern des Standardspeicherorts für neue Benutzerobjekte<br />
verwenden.<br />
Um Computerobjekte nach dem Erstellen nicht verschieben zu müssen, können Sie Computerobjekte<br />
in der gewünschten OU erstellen, bevor Sie die Computer zur Domäne hinzufügen. Wenn bereits ein<br />
Computerobjekt vorhanden ist, das dem Namen des Computers entspricht, wird dieses Computerobjekt<br />
verwendet. Dadurch ist es auch nicht erforderlich, Verwaltungsrechte zum Hinzufügen von<br />
Computern zur Domäne zu delegieren.<br />
Der Gruppe Authentifizierte Benutzer wird das Recht Hinzufügen von Arbeitsstationen zur Domäne<br />
zugewiesen. Dadurch können Benutzer Arbeitsstationen zu einer Domäne hinzufügen und bis zu zehn<br />
Computerkonten erstellen. Wenn Benutzer weitere Computerkonten erstellen müssen, muss diesen<br />
Benutzern in <strong>Active</strong> <strong>Directory</strong> die Berechtigung Computerobjekt erstellen delegiert werden. Diese<br />
Berechtigung kann bei Bedarf nur für bestimmte OUs delegiert werden. Alternativ können Sie Benutzern<br />
die Berechtigung Hinzufügen von Arbeitsstationen zur Domäne auch mithilfe einer Gruppenrichtlinie<br />
erteilen. Dadurch können Benutzer Computerobjekte in der Domäne erstellen. Darüber<br />
hinaus können Mitglieder der Gruppen Konten-Operatoren, Domänen-Admins und Organisations-<br />
Admins Computerobjekte erstellen. Mitglieder der Gruppe Konten-Operatoren können keine Computerobjekte<br />
in der OU Domain Controllers erstellen.<br />
Beim Erstellen neuer Computerobjekte können Sie Befehlszeilenprogramme für die skriptbasierte<br />
Durchführung des Verfahrens verwenden. Mithilfe des Dienstprogramms Dsadd.exe können Sie<br />
während der Erstellung einen bestimmten Speicherort festlegen. Sie können das Dienstprogramm<br />
Netdom.exe auch zum Hinzufügen eines Computers zur Domäne sowie zum Festlegen der OU für das<br />
neue Computerobjekt verwenden.<br />
Hinweis Die Tatsache, dass Sie vermutlich wenig Verwaltungsaufgaben für Computerobjekte in <strong>Active</strong><br />
<strong>Directory</strong> durchführen, heißt nicht, dass Sie <strong>Active</strong> <strong>Directory</strong> gar nicht für die Verwaltung von Computern verwenden.<br />
In Kapitel 11, „Einführung in Gruppenrichtlinien“, Kapitel 12, „Einsetzen von Gruppenrichtlinien zum<br />
Verwalten von Benutzerdesktops“, und Kapitel 13, „Einsetzen von Gruppenrichtlinien zum Verwalten der Sicherheit“,<br />
werden Gruppenrichtlinien ausführlich beschrieben, die leistungsstarke Tools für die Computerverwaltung<br />
darstellen.
Verwalten von Druckerobjekten<br />
Verwalten von Druckerobjekten 373<br />
Bei der dritten Objektgruppe in <strong>Active</strong> <strong>Directory</strong> handelt es sich um Druckerobjekte. Sie können ein<br />
Druckerobjekt erstellen, indem Sie den Drucker in <strong>Active</strong> <strong>Directory</strong> veröffentlichen. Beim Veröffentlichen<br />
eines Druckers in <strong>Active</strong> <strong>Directory</strong> wird ein Druckerobjekt erstellt, in dem die Druckerattribute<br />
wie beispielsweise der Druckerstandort sowie Druckerfeatures wie die Druckgeschwindigkeit,<br />
Farbdruckfunktionen und weitere druckerspezifische Funktionen gespeichert werden. Druckerobjekte<br />
werden primär in <strong>Active</strong> <strong>Directory</strong> veröffentlicht, um Benutzern das Ermitteln von und Verbinden mit<br />
Netzwerkdruckern zu vereinfachen.<br />
Veröffentlichen von Druckern in <strong>Active</strong> <strong>Directory</strong><br />
Standardmäßig wird jeder auf einem Computer unter Windows 2000 Server und Windows Server<br />
2003 installierte und freigegebene Drucker in einer <strong>Active</strong> <strong>Directory</strong>-Domäne automatisch veröffentlicht.<br />
Wenn Sie einen auf einem Computer unter Windows Server 2008 freigegebenen Drucker automatisch<br />
in <strong>Active</strong> <strong>Directory</strong> veröffentlichen möchten, können Sie im Eigenschaftendialogfeld des<br />
Druckers auf der Registerkarte Freigabe im Verzeichnis die Option Im Verzeichnis anzeigen wählen.<br />
Hinweis Die zu <strong>Active</strong> <strong>Directory</strong> hinzugefügten Druckerobjekte werden automatisch unter dem Computerobjekt<br />
gespeichert. Um diese Objekte im Verwaltungstool <strong>Active</strong> <strong>Directory</strong>-Benutzer und -Computer anzuzeigen,<br />
müssen Sie im Menü Ansicht die Option Benutzer, Kontakte, Gruppen und Computer als Container aktivieren.<br />
Wenn sich ein freigegebener Drucker auf einem Server befindet, auf dem Windows NT oder ein anderes,<br />
nicht Windows-basiertes Serverbetriebssystem ausgeführt wird, müssen Sie den Drucker manuell<br />
in <strong>Active</strong> <strong>Directory</strong> veröffentlichen. Ermitteln Sie hierfür das Containerobjekt, in dem Sie das Druckerobjekt<br />
veröffentlichen möchten, klicken Sie mit der rechten Maustaste auf den Container, zeigen Sie<br />
auf Neu, und wählen Sie Drucker. Geben Sie anschließend den UNC-Pfad (Universal Naming Convention)<br />
zum freigegebenen Drucker an. Für Druckerobjekte, die manuell zu <strong>Active</strong> <strong>Directory</strong> hinzugefügt<br />
wurden, werden Änderungen an Druckerinformationen nicht automatisch angewendet, die<br />
Objekte werden in dem Container angezeigt, in dem Sie sie erstellen.<br />
Windows Server 2008 umfasst das Skript Pubprn.vbs zum automatischen Hinzufügen freigegebener<br />
Drucker von Windows NT zu <strong>Active</strong> <strong>Directory</strong>. Dieses Skript kann nicht für Drucker verwendet werden,<br />
die auf Computern freigegeben wurden, auf denen Windows 2000 Server, Windows Server 2003<br />
oder Windows Server 2008 ausgeführt wird. Das Skript Pubprn.vbs befindet sich im Ordner<br />
%WINDIR%\System32\Printing_Admin_Scripts\.<br />
Weitere Informationen Ausführliche Informationen zur Syntax des Skripts Pubprn.vbs werden auf der<br />
Seite „Pubprn.vbs“ in der technischen Bibliothek für Windows Server 2008 unter http://technet2.microsoft.com/windowsserver2008/en/library/0bc7f7e3-84e1-4359-b477-7b1a1a0bd6391033.mspx?mfr=true<br />
bereitgestellt.<br />
Durch das Veröffentlichen eines Druckers in <strong>Active</strong> <strong>Directory</strong> können Benutzer in <strong>Active</strong> <strong>Directory</strong><br />
nach Druckerobjekten suchen. Beim Veröffentlichen eines Druckers in <strong>Active</strong> <strong>Directory</strong> werden die<br />
Informationen zu dem Drucker im Druckerobjekt ausgefüllt. Diese Informationen können für Benutzer<br />
sehr hilfreich sein, die einen bestimmten Drucker suchen. Ein Benutzer sucht beispielsweise einen<br />
Farbdrucker, der mindestens sechs Seiten pro Minute drucken kann. Wenn diese Informationen in<br />
<strong>Active</strong> <strong>Directory</strong> gespeichert sind, kann der Client mithilfe des Suchdialogfelds Drucker ermitteln, die<br />
diesen Anforderungen entsprechen.
374 Kapitel 10: Verwalten von <strong>Active</strong> <strong>Directory</strong>-Objekten<br />
In Abbildung 10.7 wird das Suchdialogfeld auf einer Windows Vista-Arbeitsstation angezeigt. Nachdem<br />
der Netzwerkdrucker ermittelt wurde, kann der Benutzer mit der rechten Maustaste auf den Drucker<br />
klicken und die Option Verbinden wählen, um den Drucker auf dem Clientcomputer zu installieren.<br />
Wenn Druckerobjekte in <strong>Active</strong> <strong>Directory</strong> veröffentlicht sind, können Sie sie mithilfe von Gruppenrichtlinien<br />
verwalten. In Tabelle 10.8 werden die Optionen für die Verwaltung von Druckereinstellungen<br />
angezeigt.<br />
Abbildung 10.7<br />
Suchen nach Druckern in <strong>Active</strong> <strong>Directory</strong><br />
Abbildung 10.8<br />
Konfigurieren von Druckereinstellungen mithilfe des Gruppenrichtlinienverwaltungs-Editors
Verwalten von Druckerobjekten 375<br />
Mit einigen der Optionen, die Sie mithilfe von Gruppenrichtlinien konfigurieren können, können Sie<br />
das Löschen von Druckern verwalten. Der Löschdienst auf einem Domänencontroller löscht Druckerobjekte<br />
automatisch aus <strong>Active</strong> <strong>Directory</strong>, wenn die Druckerobjekte nicht mehr benötigt werden.<br />
Wenn ein Drucker beispielsweise von einem Druckserver entfernt wurde oder der Drucker auf dem<br />
Server nicht mehr freigegeben ist, wird das Druckerobjekt durch den Löschdienst entfernt. Standardmäßig<br />
versucht der Löschdienst auf den <strong>Active</strong> <strong>Directory</strong>-Domänencontrollern alle acht Stunden<br />
Kontakt mit jedem Druckserver aufzunehmen, um die Gültigkeit der Druckerinformationen zu überprüfen.<br />
Antwortet der Druckserver nicht, wird das Druckerobjekt aus <strong>Active</strong> <strong>Directory</strong> gelöscht. Bei<br />
jedem Neustart eines Druckservers, auf dem Windows 2000 oder ein höheres Betriebssystem ausgeführt<br />
wird, werden die freigegebenen Drucker automatisch erneut in <strong>Active</strong> <strong>Directory</strong> veröffentlicht.<br />
Sie können die Parameter zum Löschen der Drucker mithilfe des Gruppenrichtlinienobjekt-Editors<br />
konfigurieren. In Tabelle 10.8 werden die Gruppenrichtlinieneinstellungen für die Verwaltung<br />
von Druckerobjekten beschrieben.<br />
Tabelle 10.8<br />
GPO-Einstellungen für die Verwaltung von Druckerobjekten<br />
GPO-Einstellung<br />
Neue Drucker automatisch in <strong>Active</strong><br />
<strong>Directory</strong> veröffentlichen<br />
Löschen von öffentlichen Druckern<br />
zulassen<br />
Nicht wiederveröffentlichende Drucker<br />
löschen<br />
Verzeichnislöschintervall<br />
Verzeichnislöschpriorität<br />
Verzeichnislöschwiederholungen<br />
Verzeichnislöschwiederholungsversuche<br />
protokollieren<br />
Druckerveröffentlichung zulassen<br />
Veröffentlichungsstatus überprüfen<br />
Beschreibung<br />
Wenn diese Option aktiviert ist, werden freigegebene Drucker automatisch in <strong>Active</strong><br />
<strong>Directory</strong> veröffentlicht.<br />
Wenn diese Option aktiviert ist, werden Druckerobjekte durch den Löschdienst auf<br />
einem Domänencontroller aus <strong>Active</strong> <strong>Directory</strong> entfernt, wenn der Computer, durch<br />
den der Drucker veröffentlicht wurde, nicht auf Kontaktanforderungen antwortet.<br />
Diese Option wird nur auf Drucker angewendet, die nicht automatisch erstellt bzw.<br />
veröffentlicht wurden, wie beispielsweise die mithilfe des Skripts Pubprn.vbs oder<br />
manuell mithilfe des Verwaltungstools <strong>Active</strong> <strong>Directory</strong>-Benutzer und -Computer erstellten<br />
Drucker. Diese Option kann für die Einstellungen Nie, Nur wenn Druckserver<br />
gefunden wird oder Immer wenn Drucker nicht gefunden wird konfiguriert werden.<br />
Über diese Option wird festgelegt, wie häufig der Löschdienst auf einem Domänencontroller<br />
die Betriebsbereitschaft von Druckern überprüft. Diese Option findet nur<br />
Anwendung, wenn das Löschen von Druckern aktiviert ist. Das Standardlöschintervall<br />
beträgt acht Stunden.<br />
Über diese Option wird die Priorität festgelegt, mit der der Thread die Verzeichnislöschung<br />
auf Domänencontrollern durchführt. Standardmäßig ist für die Priorität normal<br />
festgelegt.<br />
Über diese Option wird festgelegt, wie viele zusätzliche Kontaktversuche für einen<br />
Drucker unternommen werden, bevor der Drucker gelöscht wird. Für diesen Wert<br />
sind standardmäßig zwei Versuche festgelegt.<br />
Wenn diese Option aktiviert ist, werden die vom Löschthread unternommenen Versuche,<br />
den Drucker zu kontaktieren, im Ereignisprotokoll aufgezeichnet.<br />
Wenn diese Option aktiviert ist, steht im Eigenschaftendialogfeld eines Druckers auf<br />
der Registerkarte Freigabe die Option Im Verzeichnis anzeigen zur Verfügung. Wenn<br />
diese Option deaktiviert ist, kann der Computer keine Drucker veröffentlichen. Diese<br />
Einstellung überschreibt die Option Neue Drucker automatisch in <strong>Active</strong> <strong>Directory</strong><br />
veröffentlichen.<br />
Über diese Option wird festgelegt, wie häufig ein Computer überprüft, ob sich seine<br />
veröffentlichten Drucker in <strong>Active</strong> <strong>Directory</strong> befinden. Standardmäßig werden Drucker<br />
nur beim Startvorgang überprüft.
376 Kapitel 10: Verwalten von <strong>Active</strong> <strong>Directory</strong>-Objekten<br />
Nachverfolgen des Druckerstandorts<br />
Eine der für die Verwaltung von Druckerobjekten in <strong>Active</strong> <strong>Directory</strong> verfügbaren Optionen ist die<br />
Option zum automatischen Ausfüllen der Einstellungen für den Druckerstandort für Benutzer, wenn<br />
diese einen Drucker suchen. Viele Unternehmen mit mehreren Niederlassungen beschäftigen Mitarbeiter,<br />
die in verschiedenen Niederlassungen arbeiten. Die meisten Unternehmen verfügen über Konferenzräume<br />
in unterschiedlichen Teilen des Gebäudes. Wenn sich Benutzer zwischen den unterschiedlichen<br />
Unternehmensbereichen oder -niederlassungen bewegen, benötigen sie in der Regel<br />
unabhängig von ihrem aktuellen Standort die Möglichkeit zum Drucken. Wenn Benutzer nicht wissen,<br />
wo sich an ihrem aktuellen Standort die Drucker befinden, benötigen sie meist einige Zeit, um<br />
den nächstgelegenen Drucker zu ermitteln.<br />
Sie können diese Suche nach Druckern vereinfachen, indem Sie jedem Drucker einen Standort in<br />
<strong>Active</strong> <strong>Directory</strong> zuweisen und anschließend anhand des Benutzerstandorts eine Liste mit Druckern<br />
bereitstellen, die sich in der Nähe des Benutzers befinden. Diese Funktion basiert auf der Standortkonfiguration<br />
in <strong>Active</strong> <strong>Directory</strong>.<br />
Führen Sie die folgenden Schritte durch, um die Nachverfolgung des Druckerstandorts zu aktivieren:<br />
1. Öffnen Sie das Verwaltungtool <strong>Active</strong> <strong>Directory</strong>-Standorte und -Dienste, und ermitteln Sie das<br />
Subnetobjekt , in dem Sie die Druckernachverfolgung aktivieren. Klicken Sie mit der rechten<br />
Maustaste auf das Subnetobjekt , und wählen Sie Eigenschaften. Klicken Sie auf die Registerkarte<br />
Standort, und geben Sie den Standortwert für dieses Subnetz ein. Der Standorteintrag sollte<br />
das Format Standort/untergeordneter Standort aufweisen (z.B. Hauptsitz/3.Stock).<br />
2. Verwenden Sie den Gruppenrichtlinienobjekt-Editor, um die Richtlinie Druckerstandortsuchtext<br />
im Vornhinein ausfüllen für einen ausgewählten Container zu aktivieren. Dieser Vorgang erfolgt<br />
meist auf Domänenebene.<br />
3. Rufen Sie auf Ihrem Druckserver das Eigenschaftendialogfeld für jeden Drucker auf. Füllen Sie<br />
auf der Registerkarte Allgemein den Standort des Druckers aus. Wenn Sie die ersten beiden<br />
Schritte dieses Verfahrens abgeschlossen haben, können Sie auf Durchsuchen klicken, um den<br />
Druckerstandort zu ermitteln. Sie können für den Druckerstandort weitere Informationen hinzufügen,<br />
sodass der Druckerstandort eindeutig ist (z.B. Hautpsitz/3.Stock/Außerhalb von Konferenzraum<br />
5).<br />
Nachdem Sie die Nachverfolgung des Druckerstandorts aktiviert haben, können Benutzer den nächstgelegenen<br />
Drucker einfach ermitteln. Wenn der Benutzer den Assistenten zum Hinzufügen von Druckern<br />
aufruft und nach einem Drucker in <strong>Active</strong> <strong>Directory</strong> sucht, wird das Standortattribut basierend<br />
auf dem aktuellen Subnetz des Benutzers ausgefüllt. In Abbildung 10.9 wird das Suchdialogfeld auf<br />
einer Windows Vista-Arbeitsstation angezeigt. Der Benutzer kann mithilfe der Schaltfläche Durchsuchen<br />
einen bestimmten Druckerstandort auswählen.<br />
Sie können Parameter für die Nachverfolgung von Druckern mithilfe des Gruppenrichtlinienobjekt-<br />
Editors konfigurieren. In Tabelle 10.9 werden die Gruppenrichtlinieneinstellungen für die Nachverfolgung<br />
des Druckerstandorts beschrieben.<br />
Tabelle 10.9<br />
GPO-Einstellungen für die Nachverfolgung des Druckerstandorts<br />
GPO-Einstellung<br />
Computerstandort<br />
Beschreibung<br />
Diese Option wird verwendet, um den Wert des Standardspeicherorts zu überschreiben,<br />
der bei der Suche nach Druckern verwendet wird. Der Standardwert wird in<br />
<strong>Active</strong> <strong>Directory</strong> im Subnetobjekt definiert.
Verwalten von veröffentlichten freigegebenen Ordnern 377<br />
Tabelle 10.9<br />
GPO-Einstellungen für die Nachverfolgung des Druckerstandorts (Fortsetzung)<br />
GPO-Einstellung<br />
Druckerstandortsuchtext im Vornhinein<br />
ausfüllen<br />
Beschreibung<br />
Diese Option wird für die Konfiguration des Assistenten zum Hinzufügen von Druckern<br />
verwendet, um Drucker basierend auf dem im lokalen <strong>Active</strong> <strong>Directory</strong>-Subnetobjekt<br />
definierten Speicherort zu ermitteln. Benutzer können Drucker auch anhand<br />
ihres Standorts suchen. Standardmäßig ermittelt der Assistent zum Hinzufügen von<br />
Druckern Drucker auf Grundlage der IP-Adresse und der Subnetzmaske des Clients.<br />
Abbildung 10.9<br />
Ermitteln von Druckerobjekten in <strong>Active</strong> <strong>Directory</strong> mithilfe des Standortattributs<br />
Verwalten von veröffentlichten freigegebenen Ordnern<br />
Bei einem weiteren Objekt, das Sie in <strong>Active</strong> <strong>Directory</strong> veröffentlichen können, handelt es sich um<br />
ein freigegebenes Ordnerobjekt. Um einen freigegebenen Ordner in <strong>Active</strong> <strong>Directory</strong> zu veröffentlichen,<br />
ermitteln Sie den <strong>Active</strong> <strong>Directory</strong>-Container, in dem Sie den freigegebenen Ordner veröffentlichen<br />
möchten. Klicken Sie mit der rechten Maustaste auf den Container, zeigen Sie auf Neu, und<br />
klicken Sie auf Freigegebener Ordner. Geben Sie anschließend einen Namen für das <strong>Active</strong> <strong>Directory</strong>-Objekt<br />
sowie die UNC für den freigegebenen Ordner ein. Nach dem Erstellen eines freigegebenen<br />
Ordnerobjekts in <strong>Active</strong> <strong>Directory</strong> können Benutzer den freigegebenen Ordner ermitteln oder<br />
in <strong>Active</strong> <strong>Directory</strong> einen Suchlauf für das Objekt starten. Nachdem Benutzer das Objekt in <strong>Active</strong><br />
<strong>Directory</strong> ermittelt haben, können sie mit der rechten Maustaste auf das Objekt klicken und dem freigegebenen<br />
Ordner ein Laufwerk zuordnen.
378 Kapitel 10: Verwalten von <strong>Active</strong> <strong>Directory</strong>-Objekten<br />
Der größte Vorteil der Veröffentlichung eines freigegebenen Ordners in <strong>Active</strong> <strong>Directory</strong> besteht<br />
darin, dass Benutzer Freigaben in <strong>Active</strong> <strong>Directory</strong> auf Grundlage vieler Eigenschaften ermitteln können.<br />
Beim Erstellen eines freigegebenen Ordnerobjekts können Sie eine Beschreibung für den freigegebenen<br />
Ordner bereitstellen. Das entsprechende Dialogfeld wird in Abbildung 10.10 dargestellt.<br />
Nach dem Erstellen des freigegebenen Ordners können Sie das Eigenschaftendialogfeld des Ordners<br />
verwenden, um die mit dem freigegebenen Ordner verknüpften Schlüsselwörter festzulegen. Wenn<br />
Clients den freigegebenen Ordner ermitteln müssen, können sie <strong>Active</strong> <strong>Directory</strong> mithilfe eines Arguments<br />
durchsuchen, das auf dem Objektnamen, Schlüsselwörtern oder einer Beschreibung basiert.<br />
Abbildung 10.10<br />
Veröffentlichen eines freigegebenen Ordners in <strong>Active</strong> <strong>Directory</strong><br />
Die größte Einschränkung beim Veröffentlichen freigegebener Ordner in <strong>Active</strong> <strong>Directory</strong> besteht<br />
darin, dass beim Verschieben eines freigegebenen Ordners auf einen anderen Server jeder Client, der<br />
über ein verbundenes Laufwerk mit diesem Ordner verfügt, feststellen wird, dass diese Zuordnung<br />
nicht mehr funktioniert. Die Verbindung ist nicht mehr funktionsfähig, da die Verbindung eines Laufwerks<br />
mit einem freigegebenen Ordner in <strong>Active</strong> <strong>Directory</strong> auf dem Client weiterhin auf dem UNC-<br />
Pfad der Freigabe basiert. Sie erstellen und veröffentlichen beispielsweise einen freigegebenen Ordner<br />
namens Vertriebsinformationen, der auf \\SEA-SRV1\Vertriebsinformationen zeigt. Wenn ein<br />
Benutzer diesen freigegebenen Ordner in <strong>Active</strong> <strong>Directory</strong> ermittelt und ihm ein Laufwerk zuordnet,<br />
wird für die Laufwerkzuordnung die Syntax \\SEA-SRV1\Vertriebsinformationen verwendet. Wenn<br />
dieser Ordner nun auf einen anderen Server verschoben wird, ist die Laufwerkzuordnung nicht mehr<br />
funktionsfähig, selbst wenn Sie das <strong>Active</strong> <strong>Directory</strong>-Objekt so ändern, dass es auf den neuen Speicherort<br />
zeigt.<br />
Sie können diese Einschränkung beim Veröffentlichen freigegebener Ordner umgehen, indem Sie das<br />
DFS (Distributed File System) verwenden. Das DFS kann einen fehlertoleranten Namespace (UNC-<br />
Pfad) bereitstellen, der das Verschieben von Daten zwischen Servern ermöglicht, ohne dass Clients<br />
die Verbindung verlieren.
Automatisieren der <strong>Active</strong> <strong>Directory</strong>-Objektverwaltung 379<br />
Automatisieren der <strong>Active</strong> <strong>Directory</strong>-Objektverwaltung<br />
Windows Server 2008 bietet grafische Dienstprogramme wie beispielsweise das Verwaltungstool<br />
<strong>Active</strong> <strong>Directory</strong>-Benutzer und -Computer für die Verwaltung von <strong>Active</strong> <strong>Directory</strong>-Objekten. Diese<br />
grafischen Dienstprogramme stellen Assistenten und Strukturen für die Objekterstellung bereit und<br />
vereinfachen so das Erstellen und Bearbeiten von <strong>Active</strong> <strong>Directory</strong>-Objekten. Beim Erstellen eines<br />
neuen Benutzerobjekts mithilfe des Verwaltungstools <strong>Active</strong> <strong>Directory</strong>-Benutzer und -Computer werden<br />
Sie beispielsweise von dem Assistenten zur Angabe aller erforderlichen Informationen wie beispielsweise<br />
des vollständigen Vornamens, des Nachnamens und des Benutzeranmeldenamens aufgefordert.<br />
Dadurch müssen Sie sich später nicht erneut mit Informationen wie beispielsweise den<br />
Eigenschaftennamen auseinandersetzen.<br />
Die grafischen Dienstprogramme bieten eingeschränkte Unterstützung zum Durchführen von Massenänderungen<br />
an <strong>Active</strong> <strong>Directory</strong>-Objekten. Sie können beispielsweise nur einige wenige Benutzereigenschaften<br />
ändern, wenn mehrere Benutzer im Verwaltungstool <strong>Active</strong> <strong>Directory</strong>-Benutzer und<br />
-Computer ausgewählt wurden. Darüber hinaus bieten die grafischen Dienstprogramme nicht die<br />
Möglichkeit, die Verwaltung von <strong>Active</strong> <strong>Directory</strong>-Objekten zu automatisieren. Eine Anwendung<br />
kann beispielsweise über <strong>Active</strong> <strong>Directory</strong>-Benutzer und -Computer keine neuen Benutzerobjekte<br />
erstellen.<br />
Um Massenänderungen an <strong>Active</strong> <strong>Directory</strong>-Objekten vorzunehmen und die Verwaltung von<br />
<strong>Active</strong> <strong>Directory</strong>-Objekten zu automatisieren, müssen Sie eigens für diesen Zweck entwickelte Tools<br />
verwenden. Die in Windows Server 2008 integrierten Tools umfassen Befehlszeilenprogramme,<br />
LDIFDE, CSVDE sowie Unterstützung für VBScript und Windows PowerShell.<br />
Befehlszeilenprogramme für die Verwaltung von <strong>Active</strong> <strong>Directory</strong><br />
Die Windows-Tools für die Unterstützung von Windows 2000 Server und Windows Server 2003<br />
umfassen mehrere Befehlszeilenprogramme für die Verwaltung von <strong>Active</strong> <strong>Directory</strong>-Objekten. In<br />
Windows Server 2008 werden diese Tools beim Hinzufügen der AD DS-Rolle installiert, sie stehen<br />
nicht als Komponente zum Herunterladen bereit.<br />
Befehlszeilenprogramme für die <strong>Active</strong> <strong>Directory</strong>-Verwaltung sind bei Batchdateien besonders hilfreich.<br />
Bei einer Batchdatei handelt es sich um eine Textdatei mit der Dateinamenerweiterung .bat.<br />
Jede Zeile in der Batchdatei stellt einen neuen Befehl dar. Der Inhalt der Batchdatei wird von dem<br />
Tool Cmd.exe interpretiert. Daher können Sie jeden beliebigen Befehl in einer Batchdatei verwenden,<br />
den Sie auch an der Befehlszeile verwenden könnten. Darüber hinaus bieten Batchdateien komplexere<br />
Verarbeitungsmöglichkeiten, wie beispielsweise die Anzeige von Menüs.<br />
Sie können mithilfe von Batchdateien die Verfahren automatisieren, die für viele Objekte gleichzeitig<br />
durchgeführt werden. Sie können z.B. eine Batchdatei zum Bearbeiten der Adressinformationen<br />
für alle Benutzer in einer OU erstellen, wenn eine Abteilung an einen anderen Standort verlagert<br />
wird. Sie können außerdem regelmäßig durchzuführende Aufgaben automatisieren, indem Sie<br />
die Batchdatei als geplante Aufgabe ausführen. In Tabelle 10.10 werden die für die Verwaltung von<br />
<strong>Active</strong> <strong>Directory</strong>-Objekten in Windows Server 2008 verfügbaren Befehlszeilenprogramme aufgeführt.
380 Kapitel 10: Verwalten von <strong>Active</strong> <strong>Directory</strong>-Objekten<br />
Tabelle 10.10<br />
Programm<br />
Dsadd<br />
Dsmod<br />
Dsmove<br />
Dsrm<br />
Dsquery<br />
Dsget<br />
Befehlszeilenprogramme für die Verwaltung von <strong>Active</strong> <strong>Directory</strong><br />
Beschreibung<br />
Dieses Programm wird zum Hinzufügen von Objekten zu <strong>Active</strong> <strong>Directory</strong> verwendet. Sie können Computerobjekte,<br />
Kontakte, Gruppen, OUs und Benutzer hinzufügen. Darüber hinaus können Sie einer <strong>Active</strong> <strong>Directory</strong>-Partition<br />
eine Kontingentspezifikation hinzufügen. Durch eine Kontingentspezifikation wird die Anzahl an<br />
Objekten eingeschränkt, die ein Sicherheitsprinzipal wie z.B. ein Benutzer in der Partition besitzen kann.<br />
Dieses Programm wird zum Bearbeiten von Objekten in <strong>Active</strong> <strong>Directory</strong> verwendet. Sie können Computerobjekte,<br />
Kontakte, Gruppen, OUs, Benutzer und Kontingentspezifikationen bearbeiten. Darüber hinaus können<br />
Sie die Eigenschaften einer Domänencontroller- oder <strong>Active</strong> <strong>Directory</strong>-Partition bearbeiten. Sie können die<br />
Ausgabe des Befehls Dsquery als Eingabe für diesen Befehl weiterleiten.<br />
Dieses Programm wird zum Verschieben und Umbenennen von Objekten in <strong>Active</strong> <strong>Directory</strong> verwendet.<br />
Mithilfe dieses Dienstprogramms können Objekte nur innerhalb einer Domäne verschoben werden.<br />
Dieses Programm wird zum Entfernen von Objekten aus <strong>Active</strong> <strong>Directory</strong> verwendet. Sie können nicht nur<br />
einzelne Objekte, sondern auch Container und ihren Inhalt entfernen.<br />
Dieses Programm wird für die Suche nach Objekten mit bestimmten Eigenschaften in <strong>Active</strong> <strong>Directory</strong> verwendet.<br />
Für häufig verwendete Objekttypen werden Optionen bereitgestellt, die Sie in einer Befehlszeile für<br />
bestimmte Eigenschaften verwenden können. Mit dem Tool Dsquery können Sie auch LDAP-Abfragen verwenden,<br />
um beliebige Objekttypen und Objektattribute zu ermitteln. Die Ergebnisse eines Dsquery-Befehls<br />
können an andere Befehle wie z.B. Dsmod, Dsget, Dsmove und Dsrm weitergeleitet werden.<br />
Dieses Programm wird für die Anzeige von Eigenschaften eines Objekts in <strong>Active</strong> <strong>Directory</strong> verwendet. Standardmäßig<br />
werden die Eigenschaften auf dem Bildschirm dargestellt, sie können aber auch für eine weitere<br />
Überprüfung in einer Datei ausgegeben werden.<br />
Hinweis In jedem Befehlszeilenprogramm können Sie die Option /? verwenden, um zusätzliche<br />
Informationen über die Verwendungsweise und die Syntax des Programms anzuzeigen.<br />
Verwenden von LDIFDE und CSVDE<br />
Sie können die in Windows Server 2008 integrierten Tools LDIFDE und CSVDE für Massenimporte<br />
und -exporte von Informationen in bzw. aus <strong>Active</strong> <strong>Directory</strong> verwenden. Die beiden Tools lesen<br />
Informationen aus einer Datendatei und erstellen oder bearbeiten anschließend <strong>Active</strong> <strong>Directory</strong>-<br />
Objekte entsprechend den Anweisungen in der Datendatei. Der Hauptunterschied zwischen den beiden<br />
Tools besteht im Datenformat. CSVDE nutzt Daten in .csv-Dateien (durch Komma getrennte<br />
Wertedateien), und LDIFDE nutzt Daten in .ldf-Dateien (LDAP <strong>Directory</strong> Interchange Format).<br />
Welches Tool Sie auswählen, richtet sich nach dem Format Ihrer Daten. Wenn in einer Organisation<br />
beispielsweise in der Personalabteilung eine Anwendung Daten zu neuen Mitarbeitern in .ldf-Dateien<br />
exportiert, sollte das Tool LDIFDE verwendet werden. Wenn jedoch für eine Hochschule die Daten zu<br />
neuen Studenten in einer Microsoft Office Excel-Tabelle bereitgestellt werden, kann diese einfach als<br />
.csv-Datei gespeichert werden, und die neuen Studenten werden mithilfe des Tools CSVDE erstellt.<br />
LDIFDE<br />
Bei LDIF handelt es sich um ein gemäß RFC 2849 definiertes Standarddatenformat. Es wird häufig<br />
für den Import und Export von Daten aus Verzeichnissen bzw. in Verzeichnisse verwendet, einschließlich<br />
<strong>Active</strong> <strong>Directory</strong> und weiteren LDAP-Verzeichnissen (Lightweight <strong>Directory</strong> Access Protocol).
Automatisieren der <strong>Active</strong> <strong>Directory</strong>-Objektverwaltung 381<br />
.ldf-Dateien umfassen viele Einträge, die durch eine Leerzeile voneinander getrennt werden. Jeder<br />
Eintrag setzt sich aus mehreren Zeilen mit bestimmten Informationen zusammen. Dn wird für die<br />
Angabe des zu bearbeitenden Objekts verwendet. Changetype wird für die Angabe der zu ergreifenden<br />
Maßnahme verwendet. Bei den gültigen Werten für changetype handelt es sich um die Werte add,<br />
modify und delete. Ein Bindestrich (-) wird für die Trennung mehrerer Attribute eines einzelnen<br />
Objekts verwendet und ist außerdem am Ende jedes Eintrags erforderlich, wenn für changetype der<br />
Wert modify festgelegt ist. Mithilfe der folgenden .ldf-Datei werden zwei Attribute des Benutzerobjekts<br />
Paul West bearbeitet:<br />
dn: CN=Paul West,OU=Buchhaltung,DC=Adatum,DC=com<br />
changetype: modify<br />
replace: physicalDeliveryOfficeName<br />
physicalDeliveryOfficeName: 315<br />
-<br />
replace: title<br />
title: Leitender Angestellter der Personalabteilung<br />
-<br />
Das Tool LDIFDE kann in zahlreichen Szenarien nützlich sein:<br />
• Massenverarbeitung von Benutzerkonten Exportieren Sie hierfür die ausgewählten Benutzerkonten<br />
in eine .ldf-Datei, bearbeiten Sie die Datei entsprechend den Anforderungen für den Import,<br />
und importieren Sie anschließend die .ldf-Datei. Wenn Sie die .ldf-Datei nach dem Export bearbeiten<br />
möchten, sind weitreichendere Bearbeitungen als das Suchen und Ersetzen des zu bearbeitenden<br />
Attributwertes erforderlich. Der Wert changetype ist während eines Exports auf add<br />
gesetzt. Nachdem der Export abgeschlossen ist und bevor der Import durchgeführt wird, muss dieser<br />
Wert in change geändert werden. Die Attributwerte müssen ebenfalls in das für den Import<br />
erforderliche Format geändert werden.<br />
• Verschieben von Benutzerkonten in eine neue Domäne Benutzerkonten in einer Domäne können in<br />
eine .ldf-Datei exportiert und anschließend in eine neue Domäne importiert werden. Die vorhandenen<br />
Sicherheitskennungen (Security Identifiers, SIDs) der Benutzer werden dabei nicht beibehalten.<br />
Benutzer können jedoch im Rahmen des Importvorgangs den geeigneten Gruppen<br />
hinzugefügt werden.<br />
• Massenerstellung von neuen Benutzern Zusätzlich zu den Zeilen dn und changetype handelt es<br />
sich bei den Attributen, die zum Erstellen eines neuen Benutzers unbedingt erforderlich sind, um<br />
die Attribute cn=displayname und objectClass=user. Das Attribut samAccountName=logonname<br />
sollte ebenfalls integriert werden. Anderenfalls wird es zufällig generiert. Neu erstellte Benutzer<br />
sind deaktiviert. Sie können für Benutzer mithilfe des Attributs unicodePwd ein neues Kennwort<br />
festlegen, wenn Ihre Verbindung mit dem Server durch SSL verschlüsselt ist.<br />
Sie sollten den Export von Benutzerinformationen auf die Objekte und Attribute beschränken, an<br />
denen Sie Änderungen vornehmen möchten. Wenn beispielsweise die Buchhaltung in eine neue<br />
Unternehmensniederlassung verlagert wird, exportieren Sie nur die Benutzerobjekte in der OU Buchhaltung<br />
und nur die Adressattribute, die geändert werden. Während des Exportvorgangs können Sie<br />
einen Filter definieren, mit dem Sie die zu exportierenden <strong>Active</strong> <strong>Directory</strong>-Objekte auf bestimmte<br />
Objektklassen und Objekte mit bestimmten Attributwerten beschränken. Sie können darüber hinaus<br />
einen Stamm-DN festlegen, um die OU zu definieren, für die die LDAP-Abfrage durchgeführt wird.<br />
Es werden nur Objekte mit dem Stamm-DN zurückgegeben. Über einen Bereich wird definiert, wie<br />
viele Ebenen innerhalb des Stamm-DNs durchsucht werden.
382 Kapitel 10: Verwalten von <strong>Active</strong> <strong>Directory</strong>-Objekten<br />
CSVDE<br />
Weitere Informationen Weitere Informationen zur Verwendung von LDIFDE zum Durchführen von Massenvorgängen<br />
finden Sie im Artikel „Step-by-Step Guide to Bulk Import and Export to <strong>Active</strong> <strong>Directory</strong>“<br />
(in englischer Sprache) auf der Technet-Website unter http://technet.microsoft.com/en-us/library/<br />
Bb727091.aspx.<br />
CSVDE ist in den Fällen hilfreich, in denen die Daten noch nicht vollständig im LDIF-Format zur<br />
Verfügung stehen. In vielen Anwendungen können Daten als .csv-Datei exportiert werden, nicht<br />
jedoch als .ldf-Datei. In einer .csv-Datei wird jede Zeile von CSVDE als einzelner Eintrag betrachtet<br />
und verarbeitet. In dieser Zeile werden die Attributwerte aufgeführt, die hinzugefügt oder bearbeitet<br />
werden sollen. In der Datei wird kein Vorgang definiert, da das Tool CSVDE – im Gegensatz zu<br />
LDIFDE – für jede Zeile in der .csv-Datei immer ein neues Objekt erstellt. Die erste Zeile in der .csv-<br />
Datei ist eine Kopfzeile, in der definiert wird, welches Attribut in den folgenden Zeilen welchem Wert<br />
entspricht.<br />
Wenn Sie das Tool CSVDE zum Exportieren von Daten verwenden, können Sie die gleichen Optionen<br />
zum Filtern von Daten verwenden wie mit dem Tool LDIFDE. Sie können eine Ausgabe basierend<br />
auf Objektklasse und Attributen filtern. Sie können einen Export ohne Attributfilterung durchführen,<br />
um eine .csv-Datei zu erstellen, in der die Eigennamen für alle Attribute in der Kopfzeile<br />
angezeigt werden. Mit dem Tool CSVDE können Sie nur Attribute exportieren, die einen Wert für<br />
mindestens ein Objekt aufweisen.<br />
Weitere Informationen Weitere Informationen zur CSVDE-Syntax und zu Optionen werden im Artikel<br />
„CSVDE“ (in englischer Sprache) auf der Technet-Website unter http://technet2.microsoft.com/windowsserver/en/library/1050686f-3464-41af-b7e4-016ab0c4db261033.mspx?mfr=true<br />
bereitgestellt. Zum Anzeigen<br />
der CSVDE-Hilfe können Sie auch die Option /? verwenden.<br />
Verwenden von VBScript für die Verwaltung von <strong>Active</strong> <strong>Directory</strong>-<br />
Objekten<br />
Bei Batchdateien handelt es sich um eine einfache Skriptimplementierung, die in Windows Server<br />
2008 verwendet werden kann. Wenn Sie jedoch Skripts mithilfe einer Skriptsprache wie VBScript<br />
erstellen, können Sie sehr komplexe Aufgaben ausführen. Im Folgenden werden einige der Vorteile<br />
der Verwendung von Skripts für die Verwaltung von <strong>Active</strong> <strong>Directory</strong>-Objekten aufgeführt:<br />
• Das Ausführen eines Skripts nimmt in der Regel weniger Zeit in Anspruch als das Ausführen der<br />
gleichen Aufgabe über die grafische Benutzeroberfläche.<br />
• Skripts können mehrfach verwendet werden. Die Entwicklung eines Skripts nimmt zwar mehr<br />
Zeit in Anspruch als das Durchführen der Aufgabe über die grafische Benutzeroberfläche, aber<br />
sobald das Skript fertig gestellt ist, kann es immer wieder mit kleinen Änderungen durchgeführt<br />
werden, um neuen Anforderungen zu entsprechen.<br />
• Durch den Einsatz von Skripts können menschliche Fehler reduziert oder sogar vollständig verhindert<br />
werden. Indem Sie ein geprüftes Skript wiederverwenden, können Sie Fehler vermeiden,<br />
die bei der manuellen Durchführung von wiederholten Verfahren entstehen können. Mit Skripts<br />
können Sie auch eingegebene Informationen überprüfen.<br />
• Mithilfe von Skripts können alle verfügbaren Objektattribute bearbeitet werden. Tools mit einer<br />
grafischen Benutzeroberfläche können hingegen nur für die Bearbeitung bestimmter Objektattribute<br />
verwendet werden. Solche Beschränkungen bestehen bei Skripts nicht.
Automatisieren der <strong>Active</strong> <strong>Directory</strong>-Objektverwaltung 383<br />
• Sie können einen Zeitplan für die Skriptausführung festlegen. Die Ausführung von Skripts anhand<br />
eines Zeitplans ist vor allem für regelmäßig anfallende Verwaltungsaufgaben nützlich. Sie können<br />
beispielsweise wöchentlich alle deaktivierten Benutzerkonten in eine bestimmte OU verschieben.<br />
<strong>Active</strong> <strong>Directory</strong>-Skriptkomponenten<br />
Skripts werden in Windows Server 2008 von Windows Script Host (WSH) unterstützt. Für WSH gibt<br />
es zwei Laufzeitumgebungen: Bei Wscript.exe handelt es sich um ein Windows-basiertes Laufzeit für<br />
grafische Anwendungen, Cscript.exe ist eine befehlszeilenbasierte Laufzeit mit Ausgabe an die Eingabeaufforderung.<br />
Wscript.exe ist die standardmäßige Laufzeit, die beim Doppelklicken auf ein Skript<br />
verwendet wird.<br />
Windows Script Host unterstützt sowohl VBScript als auch JScript als Skriptsprachen. Die meisten<br />
mit Skripts weniger vertrauten Benutzer bevorzugen VBScript. Auch die meisten Skriptbeispiele auf<br />
der Microsoft-Website verwenden VBScript. VBScript-Skripts tragen in der Regel die Dateinamenerweiterung<br />
.vbs. Die Dateinamenerweiterung .vbe kann jedoch ebenfalls für VBScript-Skripts verwendet<br />
werden. Bei .wsf-Dateien handelt es sich um allgemeine Windows Script Host-Dateien, die eine<br />
Kombination aus VBScript und JScript enthalten können.<br />
Eine Skriptingschnittstelle kann als abstrakte Schicht bezeichnet werden, über die Sie auf Informationen<br />
in einer Datenquelle zugreifen können. Bei ADSI (<strong>Active</strong> <strong>Directory</strong> Service Interfaces) handelt es<br />
sich um die am häufigsten für den Zugriff auf <strong>Active</strong> <strong>Directory</strong>-Objekte verwendete Skriptingschnittstelle.<br />
Mithilfe von ADSI können Sie <strong>Active</strong> <strong>Directory</strong>-Objekte erstellen, bearbeiten und löschen. Sie<br />
können auch <strong>Active</strong>X Data Objects (ADO) für den Zugriff auf <strong>Active</strong> <strong>Directory</strong>-Objekte verwenden.<br />
Allerdings können Sie mit ADO ausschließlich Abfragen für <strong>Active</strong> <strong>Directory</strong>-Objekte erstellen, eine<br />
Objektbearbeitung ist damit nicht möglich. Beim Durchführen einer Abfrage besteht der bedeutendste<br />
Unterschied zwischen ADSI und ADO im Ergebnissatz – der bei einer ADO-Abfrage nicht<br />
umfassend ist. Es wird eine Benutzerliste als einzelne Liste zurückgegeben, die keine hierarchische<br />
Gliederung nach Domäne oder OU aufweist.<br />
Die Windows-Verwaltungsinstrumentierung (Windows Management Instrumentation, WMI) ist die<br />
Microsoft-Implementierung einer Initiative zur webbasierten Unternehmensverwaltung (Web-Based<br />
Enterprise Management, WBEM), d.h. ein standardisiertes Verfahren für die Verwaltung von Netzwerk-<br />
und Computerressourcen. Neben dem Bearbeiten von <strong>Active</strong> <strong>Directory</strong>-Objekten können Sie<br />
mit WMI Konfigurationseinstellungen auf Desktopcomputern und Serversystemen, Anwendungen,<br />
Netzwerken sowie weiteren Unternehmenskomponenten abfragen, ändern und überwachen.<br />
Erstellen und Ausführen eines Skripts mithilfe von VBScript<br />
Beim Erstellen eines Skripts mithilfe von VBScript benötigen Sie lediglich einen einfachen Text-Editor,<br />
wie beispielsweise den Editor. Die einzige Anforderung besteht darin, das Skript mit der Dateinamenerweiterung<br />
.vbs oder .vbe zu speichern. Es gibt jedoch auch Skript-Editoren, die das Erstellen<br />
von Skripts vereinfachen. Mithilfe eines Skript-Editors kann die Skriptsyntax überprüft werden,<br />
sodass Sie Fehler schon beim Schreiben des Skripts und nicht erst nach der Ausführung korrigieren<br />
können. Skript-Editoren bieten darüber hinaus typischerweise Optionen zur Codevervollständigung<br />
sowie eine Möglichkeit zur Farbcodierung der Syntax.<br />
Binden mit einem Objekt Als Erstes stellen Sie bei der Bearbeitung eines <strong>Active</strong> <strong>Directory</strong>-Objekts<br />
mithilfe von VBScript eine Bindung mit einem <strong>Active</strong> <strong>Directory</strong>-Objekt her. „Binden mit einem<br />
Objekt“ bezeichnet das Herstellen einer Verbindung mit einem Objekt. Beim Erstellen eines neuen<br />
Objekts binden Sie das Objekt mit dem Container, in dem das Objekt erstellt wird.
384 Kapitel 10: Verwalten von <strong>Active</strong> <strong>Directory</strong>-Objekten<br />
Beim Bearbeiten eines vorhandenen Objekts stellen Sie eine Bindung mit dem Objekt her, das Sie<br />
bearbeiten. Wenn Sie eine Bindung mit einem Objekt herstellen, wird es in einem lokalen Zwischenspeicher<br />
auf dem Computer gespeichert, auf dem das Skript ausgeführt wird.<br />
Bei VBScript handelt es sich um eine objektbasierte Skriptsprache. Dadurch können Sie in <strong>Active</strong><br />
<strong>Directory</strong> mit Objekten als einzelne Einheit arbeiten und Aktionen für ein vollständiges Objekt<br />
sowie für Objekteigenschaften durchführen. Beim Binden mit einem <strong>Active</strong> <strong>Directory</strong>-Objekt wird<br />
das Objekt in einer Variablen platziert, die das Objekt repräsentiert. Anschließend bearbeiten Sie die<br />
Variable und nicht das Objekt.<br />
Im folgenden Codebeispiel wird das Herstellen einer Bindung mit einer <strong>Active</strong> <strong>Directory</strong>-OU dargestellt.<br />
Die Variable acctOU wird als speicherinterne Instanz der OU Buchhaltung festgelegt. Beachten<br />
Sie, dass die OU Buchhaltung über einen LDAP-Pfad definiert wird:<br />
Set acctOU = GetObject("LDAP://OU=Buchhaltung,dc=adatum,dc=com")<br />
Erstellen eines Objekts<br />
Beim Erstellen eines neuen Objekts ist das Erstellen einer neuen Variablen mit<br />
den Informationen zu dem neuen Objekt erforderlich. Das neue Objekt wird mithilfe der Methode<br />
Create in der Variablen für den Container erstellt. Bei Methoden handelt es sich um Vorgänge, die ein<br />
Objekt durchführen kann. In Tabelle 10.11 werden einige der häufig verwendeten Methoden dargestellt,<br />
die für <strong>Active</strong> <strong>Directory</strong>-Objekte über die ADSI-Schnittstelle verfügbar sind.<br />
Tabelle 10.11<br />
VBScript-Methoden für die Verwaltung von <strong>Active</strong> <strong>Directory</strong>-Objekten<br />
Methode<br />
Create<br />
Get<br />
GetEx<br />
Put<br />
PutEx<br />
SetInfo<br />
Beschreibung<br />
Diese Methode wird zum Erstellen neuer Objekte verwendet.<br />
Diese Methode wird zum Abrufen des Werts eines Objektattributs verwendet.<br />
Diese Methode wird zum Abrufen von Werten als Array verwendet. In der Regel wird diese Methode für Mehrwertattribute<br />
verwendet.<br />
Diese Methode wird zum Platzieren eines neuen Werts in einem Objektattribut verwendet.<br />
Diese Methode wird zum Platzieren eines neuen Werts in einem Objektattribut mit erweiterten Optionen verwendet.<br />
Sie können mithilfe dieser Methode die Werte eines Mehrwertattributs verwalten.<br />
Diese Methode wird zum Speichern der Änderungen an einem neuen oder bearbeiteten Objekt verwendet.<br />
Im folgenden Codebeispiel wird das Erstellen eines neuen Benutzers in der OU Buchhaltung dargestellt.<br />
Die Variable newUser wird entsprechend des neuen Benutzerobjekts Paul West festgelegt.<br />
Anschließend wird für das Attribut sAMAccountName der Variablen newUser der Wert Paul festgelegt:<br />
Set newUser = acctOU.create("User","cn=Paul West")<br />
newUser.Put "sAMAccountName","Paul"<br />
Beim Erstellen eines neuen Objekts müssen Sie alle für diese Objektklasse erforderlichen Attribute<br />
definieren. In diesem Fall ist es ausreichend, die Attribute cn und sAMAccountName zu definieren,<br />
um ein neues Benutzerobjekt zu erstellen. Weitere erforderliche Attribute wie z.B. die SID werden<br />
automatisch vom System generiert.<br />
Speichern von Änderungen Beim Bearbeiten von Objekten mithilfe eines Skripts werden die Änderungen<br />
nur an der lokal zwischengespeicherten Version des Objekts vorgenommen. Diese Änderungen<br />
müssen mithilfe des folgenden Codes in <strong>Active</strong> <strong>Directory</strong> gespeichert werden:<br />
newUser.SetInfo
Automatisieren der <strong>Active</strong> <strong>Directory</strong>-Objektverwaltung 385<br />
Mit der Methode SetInfo werden Änderungen nur für ein einzelnes Objekt gespeichert. Wenn Sie in<br />
Ihrem Skript mehrere Objekte bearbeitet haben, müssen Sie die Methode SetInfo für jedes Objekt<br />
anwenden. In manchen Fällen muss die Methode SetInfo für ein Objekt angewendet werden, bevor<br />
ein weiteres Objekt bearbeitet werden kann. Sie wenden beispielsweise die Methode SetInfo für einen<br />
neu erstellten Benutzer an, bevor Sie den Benutzer einer Gruppe hinzufügen können, da der Benutzer<br />
nicht im Verzeichnis vorhanden ist und eine Gruppe daher nicht auf ihn verweisen kann, bis die<br />
Methode SetInfo zum Erstellen des Benutzers in <strong>Active</strong> <strong>Directory</strong> angewendet wurde.<br />
Bearbeiten eines vorhandenen Objekts Anhand des folgenden Codes wird das Bearbeiten der Eigenschaften<br />
eines Benutzerkontos dargestellt. Die Variable modUser wird entsprechend des Benutzerobjekts<br />
Paul West festgelegt, anschließend werden die Attribute givenName, sn und displayName des<br />
Objekts geändert. Abschließend werden die Änderungen im Zwischenspeicher in <strong>Active</strong> <strong>Directory</strong><br />
gespeichert.<br />
Set modUser = GetObject("LDAP://cn=Paul West,OU=Buchhaltung,DC=Adatum,DC=com")<br />
modUser.Put "givenName","Paul"<br />
modUser.Put "sn","West"<br />
modUser.Put "displayName","Paul West"<br />
modUser.SetInfo<br />
Weitere Informationen Weitere Informationen zum Verwalten von <strong>Active</strong> <strong>Directory</strong>-Objekten mithilfe von<br />
VBScript finden Sie auf der Seite „Getting Started“ (in englischer Sprache) des TechNet Script Center unter<br />
http://www.microsoft.com/technet/scriptcenter/hubs/start.mspx. Weitere Beispiele für VBScript-Skripts, die für<br />
die Verwaltung von <strong>Active</strong> <strong>Directory</strong>-Objekten verwendet werden können, werden auf der Seite „<strong>Active</strong> <strong>Directory</strong>“<br />
(in englischer Sprache) des Script Repository unter http://www.microsoft.com/technet/scriptcenter/<br />
scripts/default.mspx?mfr=true bereitgestellt.<br />
Verwenden von Windows PowerShell für die Verwaltung von <strong>Active</strong> <strong>Directory</strong>-Objekten<br />
Windows PowerShell ist eine neue, in Windows Server 2008 integrierte, Skripting- und Befehlszeilenumgebung,<br />
die Sie für die Verwaltung von Windows-Systemen einsetzen können. Sie müssen<br />
Windows PowerShell als Feature installieren, da es nicht standardmäßig installiert wird. Sie können<br />
Windows PowerShell auch für Windows XP SP2, Windows Vista und Windows Server 2003 herunterladen.<br />
Die Windows PowerShell-Befehle können direkt von einer Eingabeaufforderung oder in einem Skript<br />
verwendet werden. Die Befehlsshell PowerShell.exe stellt die Umgebung zum Ausführen von Windows<br />
PowerShell-Befehlen bereit. Diese Umgebung ist mit der von Cmd.exe bereitgestellten Umgebung<br />
für herkömmliche Befehlszeilenprogramme vergleichbar. Bei Windows PowerShell-Skripts handelt<br />
es sich um Textdateien mit Windows PowerShell-Befehlen, ebenso wie es sich bei Batchdateien<br />
um Textdateien mit Befehlen handelt, die über die Befehlszeile ausgeführt werden können. Windows<br />
PowerShell-Skripts tragen die Dateinamenerweiterung .ps1.<br />
Einige MMC-Snap-Ins (Microsoft Management Console) nutzen Windows PowerShell zum Durchführen<br />
von Aufgaben. Für die Exchange-Verwaltungskonsole für die Verwaltung von Microsoft<br />
Exchange Server 2007 beispielsweise ist Windows PowerShell erforderlich.<br />
Weitere Informationen Weitere Informationen zu Windows PowerShell werden auf der Seite „Windows<br />
PowerShell“ (in englischer Sprache) der Microsoft-Website unter http://www.microsoft.com/<br />
windowsserver2003/technologies/management/powershell/default.mspx bereitgestellt.
386 Kapitel 10: Verwalten von <strong>Active</strong> <strong>Directory</strong>-Objekten<br />
Cmdlet-Syntax<br />
Bei einem Cmdlet handelt es sich um einen in Windows PowerShell verwendeten Befehl. Jedes Cmdlet<br />
setzt sich aus einem Verb-Nomen-Paar zusammen, das durch einen Bindestrich getrennt wird. Das<br />
Verb beschreibt den durchzuführenden Vorgang, und das Nomen beschreibt, wofür der Vorgang ausgeführt<br />
wird. Bei einigen häufig in Cmdlets verwendeten Verben handelt es sich um Get, Set, New<br />
und Remove. Meist werden dem Cmdlet Parameter hinzugefügt, um zusätzliche Informationen bereitzustellen.<br />
Den Parametern wird ein Bindestrich vorangestellt. Im folgenden Beispiel wird die Syntax<br />
für die Verwendung eines Cmdlets dargestellt:<br />
Verb-Nomen -Parametername Parameterwert -Parametername<br />
Im folgenden Beispiel wird ein Befehl dargestellt, der das Cmdlet Get-Help zum Anzeigen von Hilfeinformationen<br />
zum Cmdlet Get-Service verwendet. Der Parameter -Name wird verwendet, um den<br />
Namen des Cmdlets anzugeben, für das die Informationen angefordert werden. Der Parameter -Detailed<br />
gibt an, dass nicht nur zusammenfassende, sondern ausführliche Informationen ausgegeben werden<br />
sollen:<br />
Get-Help -Name Get-Service -Detailed<br />
Zugreifen auf <strong>Active</strong> <strong>Directory</strong>-Objekte<br />
Windows PowerShell umfasst keine speziellen Cmdlets für die Verwaltung von <strong>Active</strong> <strong>Directory</strong>-<br />
Objekten. Es gibt jedoch zwei Schnittstellen, über die Sie zur Bearbeitung auf <strong>Active</strong> <strong>Directory</strong>-<br />
Objekte zugreifen können. Bei System.<strong>Directory</strong>Services.<strong>Directory</strong>Entry handelt es sich um ein Klassenobjekt<br />
im Microsoft .Net Framework, das für den Zugriff auf alle verfügbaren <strong>Active</strong> <strong>Directory</strong>-<br />
Funktionen in Windows PowerShell verwendet werden kann. [ADSI] beschleunigt die Eingabe für<br />
das Klassenobjekt System.<strong>Directory</strong>Services.<strong>Directory</strong>Entry, das den Zugriff auf <strong>Active</strong> <strong>Directory</strong><br />
vereinfacht. Die Verwendung von [ADSI] ist vergleichbar mit dem Zugreifen auf und Bearbeiten von<br />
<strong>Active</strong> <strong>Directory</strong>-Objekten mithilfe von VBScript. Diese beiden Methoden können auch gemeinsam<br />
verwendet werden. Sie können beispielsweise mithilfe von [ADSI] eine Verbindung mit einem Objekt<br />
herstellen und anschließend <strong>Directory</strong>Entry-Befehle für die Bearbeitung des Objekts verwenden. Im<br />
verbleibenden Teil dieses Kapitels wird [ADSI] verwendet, da es sich leichter verstehen und einsetzen<br />
lässt.<br />
Weitere Informationen Weitere Informationen zur Verwendung des <strong>Directory</strong>Entry-Objekts sowie ein Vergleich<br />
mit [ADSI] wird im Artikel „Benp’s Basic Guide to Managing <strong>Active</strong> <strong>Directory</strong> Objects with PowerShell“<br />
auf der Technet Blogs-Website unter http://blogs.technet.com/benp/archive/2007/03/05/benp-s-basic-guideto-managing-active-directory-objects-with-powershell.aspx<br />
bereitgestellt.<br />
Das Verfahren zum Zugreifen auf <strong>Active</strong> <strong>Directory</strong>-Objekte in Windows PowerShell ist mit dem Verfahren<br />
bei der Verwendung von VBScript vergleichbar, die Syntax weist jedoch geringe Unterschiede<br />
auf. Als Erstes müssen Sie die ausgewählten <strong>Active</strong> <strong>Directory</strong>-Objekte binden, die gewünschten Änderungen<br />
vornehmen und anschließend die Änderungen anwenden. Bei den von [ADSI] am häufigsten<br />
verwendeten Methoden handelt es sich um Create(), Get() Put(), Delete(), und SetInfo().<br />
Im folgenden Beispiel wird ein neuer Benutzer in der OU Buchhaltung erstellt. Die Variable $acctOU<br />
wird zur Herstellung einer Bindung mit der OU Buchhaltung verwendet. Mithilfe der Variablen<br />
$newUser wird der neue Benutzer Paul West erstellt. Beachten Sie, dass der neue Benutzer mithilfe<br />
der Methode SetInfo übernommen werden muss, bevor das Attribut sAMAccoutName definiert und<br />
angewendet wird. Hier besteht ein Unterschied zu der im VBScript-Beispiel dargestellten Vorgehensweise.
Automatisieren der <strong>Active</strong> <strong>Directory</strong>-Objektverwaltung 387<br />
$acctOU = [ADSI] 'LDAP://OU=Buchhaltung,DC=Adatum,DC=com'<br />
$newUser = $acctOU.create('User','CN=Paul West')<br />
$newUser.setinfo()<br />
$newUser.sAMAccountName = 'Paul'<br />
$newUser.setinfo()<br />
Verwenden von .csv-Dateien<br />
Sie können das Cmdlet Import-Csv zum Laden von Daten aus einer .csv-Datei in eine Variable verwenden.<br />
Dieses Verfahren kommt am ehesten bei einer Massenobjekterstellung in <strong>Active</strong> <strong>Directory</strong><br />
zum Einsatz. Die .csv-Datei muss eine Kopfzeile mit einer Beschreibung jeder Datenspalte enthalten.<br />
Die Beschreibungen in der Kopfzeile müssen jedoch nicht genau mit dem Namen der Objektattribute<br />
übereinstimmen, wie es bei Datendateien für das Dienstprogramm CSVDE der Fall ist. Die in der<br />
Kopfzeile bereitgestellten Beschreibungen werden nur zur Referenzierung der importierten Daten verwendet.<br />
Die Kopfzeile könnte beispielsweise die Beschreibung Anmeldename für die Daten enthalten,<br />
die letztendlich für das Attribut sAMAccountName verwendet werden.<br />
Wenn Sie nicht alle in einer .csv-Datei enthaltenen Daten verwenden möchten, können Sie die Daten<br />
mithilfe des Cmdlets Where-Object filtern. Mithilfe dieses Cmdlets können Sie basierend auf den<br />
Daten in der .csv-Datei einen Filter festlegen. Im folgenden Beispiel wird der Inhalt der Datei Benutzer.csv<br />
gefiltert, um nur die Zeilen zu verwenden, in denen für die Abteilung Buchhaltung festgelegt<br />
ist. Sie können zusätzliche Kriterien zu dem Filter hinzufügen, um komplexere Abfragen zu erstellen.<br />
Nachdem die angegebenen Zeilen in der Variablen $users gespeichert wurden, können die Daten zum<br />
Erstellen neuer Benutzer verwendet oder weiter bearbeitet werden.<br />
$users = Import-Csv C:\Users.csv | Where-Object {$_.department -eq "Buchhaltung"}<br />
Exchange-Verwaltungsshellbefehle<br />
Bei der Exchange-Verwaltungsshell handelt es sich um eine Erweiterung von Windows PowerShell,<br />
die in Microsoft Exchange Server 2007 integriert ist. Sie umfasst einige Cmdlets, die zur Verwaltung<br />
von <strong>Active</strong> <strong>Directory</strong>-Benutzern und -Gruppen eingesetzt werden können. Einige der für die Verwaltung<br />
von <strong>Active</strong> <strong>Directory</strong>-Objekten geeigneten Cmdlets werden in Tabelle 10.12 aufgeführt. Außerdem<br />
gibt es weitere Cmdlets speziell für postfachaktivierte Benutzer, E-Mail-aktivierte Benutzer,<br />
E-Mail-aktivierte Kontakte und Verteilergruppen. Mithilfe des Cmdlets New-Mailbox können beispielsweise<br />
neue Benutzer mit einem Exchange-Postfach erstellt werden.<br />
Tabelle 10.12<br />
Cmdlet<br />
Get-User<br />
Set-User<br />
Get-Group<br />
Set-Group<br />
Exchange-Verwaltungsshell-Cmdlets<br />
Beschreibung<br />
Dieses Cmdlet wird zum Abrufen einer Liste von Benutzern verwendet, die festgelegten Kriterien<br />
entsprechen. Zum Filtern von Benutzern auf Grundlage von Organisationseinheit, Unternehmensname<br />
oder Abteilung stehen zahlreiche Parameter zur Verfügung. Darüber hinaus<br />
gibt es einen allgemeinen Filterparameter, mit dem Sie eine Vielzahl weiterer Benutzerattribute<br />
als Filter einsetzen können.<br />
Mit diesem Cmdlet werden die Eigenschaften des angegebenen Benutzers bearbeitet. Die mithilfe<br />
des Cmdlets Get-User abgerufene Benutzerliste kann an dieses Cmdlet weitergeleitet<br />
werden.<br />
Dieses Cmdlet wird zum Abrufen einer Liste von Gruppen verwendet, die festgelegten Kriterien<br />
entsprechen.<br />
Dieses Cmdlet wird zum Bearbeiten einer eingeschränkten Anzahl an Merkmalen für die angegebene<br />
Gruppe verwendet.
388 Kapitel 10: Verwalten von <strong>Active</strong> <strong>Directory</strong>-Objekten<br />
Tabelle 10.12<br />
Cmdlet<br />
Get-Contact<br />
Set-Contact<br />
Exchange-Verwaltungsshell-Cmdlets (Fortsetzung)<br />
Beschreibung<br />
Dieses Cmdlet wird zum Abrufen einer Liste von Kontakten verwendet, die festgelegten Kriterien<br />
entsprechen.<br />
Mit diesem Cmdlet werden die Eigenschaften der angegebenen Kontakte bearbeitet. Die mithilfe<br />
des Cmdlets Get-Contact abgerufene Benutzerliste kann an dieses Cmdlet weitergeleitet<br />
werden.<br />
Zusammenfassung<br />
In diesem Kapitel wurde ein Überblick über die häufigsten Windows Server 2008 <strong>Active</strong> <strong>Directory</strong>-<br />
Objekte sowie über die Verfahren zum Verwalten von <strong>Active</strong> <strong>Directory</strong>-Objekten gegeben. Ein Großteil<br />
der von Ihnen durchgeführten Verwaltungsaufgaben fällt für diese Objekte an. Insbesondere werden<br />
Sie sich mit der Verwaltung von Gruppen- und Benutzerkonten beschäftigen, da Mitarbeiter neu<br />
eingestellt werden oder das Unternehmen verlassen, oder weil Sie im Rahmen der Absicherung von<br />
Netzwerkressourcen neue Gruppen erstellen müssen. Das Festlegen einer effektiven Strategie für<br />
Gruppentypen und -bereiche ist von grundlegender Bedeutung. Darüber hinaus fallen auch bei<br />
Objekten wie Computerobjekten, Druckerobjekten oder freigegebenen Ordnerobjekten Verwaltungsaufgaben<br />
an.<br />
In Windows Server 2008 haben Sie mehrere Möglichkeiten zur Automatisierung der Verwaltung von<br />
<strong>Active</strong> <strong>Directory</strong>-Objekten. Diese umfassen z. .B Befehlszeilenprogramme wie CSVDE und<br />
LDIFDE. Für komplexere Aufgaben stehen VBScript oder Windows PowerShell zur Verfügung.<br />
Empfohlene Vorgehensweisen<br />
• Verwenden Sie die Tools Ldp.exe und Adsiedit.msc zum Bearbeiten von Objektattributen, die in<br />
Standardverwaltungstools wie z.B. <strong>Active</strong> <strong>Directory</strong>-Benutzer und -Computer nicht angezeigt<br />
werden. Gehen Sie jedoch beim direkten Bearbeiten von Objekten sehr umsichtig vor.<br />
• Verwenden Sie UPNs, um das Anmeldeverfahren in Umgebungen mit mehreren Domänen zu vereinfachen.<br />
Benutzer können sich an beliebigen Computern anmelden, ohne im Anmeldefeld die<br />
geeignete Domäne auswählen zu müssen.<br />
• Verwenden Sie beim Auswählen eines Dienstkontos nach Möglichkeit das Konto, das über die<br />
wenigsten Berechtigungen verfügt. Das Konto LOKALER DIENST verfügt über die geringsten<br />
Berechtigungen. Das Konto NETZWERKDIENST kann als lokales Computerkonto auf Netzwerkressourcen<br />
zugreifen. Mit dem Konto SYSTEM erhalten Sie vollen Zugriff auf den lokalen Computer<br />
und können über das lokale Computerkonto auf Netzwerkressourcen zugreifen.<br />
• Für eine einfachere Anwendung empfiehlt es sich, Gruppen in einer Hierarchie zu organisieren.<br />
Fügen Sie Gruppen zu globalen oder universellen Gruppen hinzu, um sie zu organisieren. Weisen<br />
Sie domänenlokalen Gruppen Berechtigungen für Ressourcen zu, und fügen Sie diesen Gruppen<br />
anschließend die geeigneten Mitglieder globaler und universeller Gruppen hinzu.<br />
• Beim Organisieren von Gruppen zwischen vertrauten Gesamtstrukturen sollten Benutzer in<br />
globalen Gruppen platziert werden, die wiederum in universellen Gruppen in der gleichen<br />
Gesamtstruktur platziert werden. Domänenlokalen Gruppen sollten Berechtigungen für Ressourcen<br />
zugewiesen werden, anschließend können die geeigneten Mitglieder universeller Gruppen als<br />
Mitglieder domänenlokaler Gruppen festgelegt werden.
Zusätzliche Ressourcen 389<br />
• Verwenden Sie das Tool Netdom.exe zum Zurücksetzen des Kennworts eines Computerkontos, um<br />
zu vermeiden, dass das Computerkonto der Domäne erneut hinzufügt werden muss, wenn die Vertrauensstellung<br />
zwischen dem Computerkonto und der Domäne unterbrochen wurde.<br />
• Um Benutzern das Ermitteln von Druckern zu vereinfachen, sollten Sie die Nachverfolgung von<br />
Druckerstandorten konfigurieren und Druckerobjekte in <strong>Active</strong> <strong>Directory</strong> veröffentlichen.<br />
• Verwenden Sie zur Durchführung von Massenvorgängen für <strong>Active</strong> <strong>Directory</strong>-Objekte Befehlszeilenprogramme<br />
und Skripts. Das anfängliche Testen nimmt zwar etwas mehr Zeit in Anspruch, die<br />
Implementierung wird jedoch erheblich beschleunigt, was vor allem bei häufig durchgeführten<br />
Aufgaben von Vorteil ist.<br />
• Verwenden Sie zum Bearbeiten von Objekten das Tool LDIFDE, nicht CSVDE. Mit CSVDE können<br />
Sie vorhandene Objekte nicht bearbeiten, es dient lediglich zum Erstellen neuer Objekte.<br />
• Verwenden Sie in Windows PowerShell das Klassenobjekt System.<strong>Directory</strong>Services.<strong>Directory</strong>-<br />
Entry, um auf <strong>Active</strong> <strong>Directory</strong>-Objekte zuzugreifen, wenn [ADSI] nicht die erforderlichen Funktionen<br />
bereitstellt.<br />
• Denken Sie bei der Verwendung von VBScript- und PowerShell-Skripts daran, dass Sie die Änderungen<br />
im lokalen Zwischenspeicher mithilfe der Methode SetInfo in <strong>Active</strong> <strong>Directory</strong> speichern.<br />
• Verwenden Sie nach Möglichkeit Exchange-Verwaltungsshellbefehle, um die grundlegende<br />
Erstellung und Bearbeitung von Benutzer- und Gruppenobjekten zu vereinfachen.<br />
Zusätzliche Ressourcen<br />
Die folgenden Ressourcen enthalten zusätzliche Informationen und Tools im Zusammenhang mit diesem<br />
Kapitel.<br />
Verwandte Informationen<br />
• Die Webseite „Microsoft Identity Lifecycle Manager 2007“ (in englischer Sprache) unter<br />
http://www.microsoft.com/windowsserver/ilm2007/default.mspx<br />
• Der Artikel „Role-Based Access Control for Multi-tier Applications Using Authorization Manager“<br />
(in englischer Sprache) unter http://technet2.microsoft.com/windowsserver/en/library/<br />
72b55950-86cc-4c7f-8fbf-3063276cd0b61033.mspx<br />
• Der Artikel „How the Global Catalog Works“ (in englischer Sprache) unter http://technet2.microsoft.com/windowsserver/en/library/440e44ab-ea05-4bd8-a68c-12cf8fb1af501033.mspx?mfr=true<br />
• Der Artikel „Default Groups“ (in englischer Sprache) unter http://technet2.microsoft.com/<br />
windowsserver/en/library/1631acad-ef34-4f77-9c2e-94a62f8846cf1033.mspx?mfr=true<br />
• Der Artikel „Zurücksetzen von Computerkontokennwörtern eines Windows Server 2003-Domänencontrollers<br />
mit "Netdom.exe"“ unter http://support.microsoft.com/kb/325850.<br />
• Die Seite „Pubprn.vbs“ (in englischer Sprache) unter http://technet2.microsoft.com/<br />
windowsserver2008/en/library/0bc7f7e3-84e1-4359-b477-7b1a1a0bd6391033.mspx?mfr=true<br />
• Der Artikel „Step-by-Step Guide to Bulk Import and Export to <strong>Active</strong> <strong>Directory</strong>“ (in englischer<br />
Sprache) auf der Technet-Website unter http://technet.microsoft.com/en-us/library/Bb727091.aspx<br />
• Der Artikel „CSVDE“ (in englischer Sprache) auf der Technet-Website unter<br />
http://technet2.microsoft.com/windowsserver/en/library/1050686f-3464-41af-b7e4-<br />
016ab0c4db261033.mspx?mfr=true
390 Kapitel 10: Verwalten von <strong>Active</strong> <strong>Directory</strong>-Objekten<br />
• Die Seite „Getting Started“ (in englischer Sprache) des TechNet Script Center unter<br />
http://www.microsoft.com/technet/scriptcenter/hubs/start.mspx<br />
• Die Seite „<strong>Active</strong> <strong>Directory</strong>“ (in englischer Sprache) des Script Repository unter<br />
http://www.microsoft.com/technet/scriptcenter/scripts/default.mspx?mfr=true<br />
• Die Seite „Windows PowerShell“ (in englischer Sprache) der Microsoft-Website unter<br />
http://www.microsoft.com/windowsserver2003/technologies/management/powershell/default.mspx<br />
Verwandte Tools<br />
• Das Tool Ldp.exe verwendet LDAP für den Zugriff auf <strong>Active</strong> <strong>Directory</strong>. Über dieses Tool können<br />
Objekteigenschaften angezeigt und geändert werden, auf die mit dem Snap-In <strong>Active</strong> <strong>Directory</strong>-Benutzer<br />
und -Computer nicht zugegriffen werden kann.<br />
• Das Tool Adsiedit.msc verwendet ADSI für den Zugriff auf <strong>Active</strong> <strong>Directory</strong>. Über dieses Tool<br />
können Objekteigenschaften angezeigt und geändert werden, auf die mit dem Snap-In <strong>Active</strong><br />
<strong>Directory</strong>-Benutzer und -Computer nicht zugegriffen werden kann.<br />
Ressourcen auf der CD<br />
Die CD umfasst mehrere Beispiele für VBScript- und PowerShell-Skripts. Diese Skripts sind vollständig<br />
kommentiert, sodass Sie sie für die Verwendung in Ihrer eigenen Umgebung bearbeiten können.<br />
• Bei CreateUser.vbs handelt es sich um ein VBScript-Skript, in dem die grundlegenden Schritte<br />
zum Erstellen eines Benutzers dargestellt werden.<br />
• Bei CreateUser.ps1 handelt es sich um ein PowerShell-Skript, in dem die grundlegenden Schritte<br />
zum Erstellen eines Benutzers dargestellt werden.<br />
• Bei CreateUserFromCSV.vbs handelt es sich um ein VBScript-Skript, in dem das Erstellen von<br />
Benutzern auf Grundlage von Daten dargestellt wird, die aus einer .csv-Datei gelesen wurden.<br />
Dieses Skript ist für die Massenerstellung von Benutzern hilfreich.<br />
• Bei CreateUserFromCSV.ps1 handelt es sich um ein PowerShell-Skript, in dem das Erstellen von<br />
Benutzern auf Grundlage von Daten dargestellt wird, die aus einer .csv-Datei gelesen wurden.<br />
Dieses Skript ist für die Massenerstellung von Benutzern hilfreich.<br />
• Bei SearchforUserFromCSV.vbs handelt es sich um ein VBScript-Skript zum Ermitteln von<br />
Benutzern, die den in einer .csv-Datei aufgeführten Benutzern entsprechen. Dieses Skript ist hilfreich,<br />
wenn Sie vor der Massenerstellung von Konten aus der gleichen .csv-Datei die Eindeutigkeit<br />
der Daten überprüfen möchten.<br />
• Bei SearchforUserFromCSV.ps1 handelt es sich um ein PowerShell-Skript zum Ermitteln von<br />
Benutzern, die den in einer .csv-Datei aufgeführten Benutzern entsprechen. Dieses Skript ist hilfreich,<br />
wenn Sie vor der Massenerstellung von Konten aus der gleichen .csv-Datei die Eindeutigkeit<br />
der Daten überprüfen möchten.<br />
• Bei FindAndModifyUsers.vbs handelt es sich um ein VBScript-Skript, das die Ermittlung von<br />
Benutzern mithilfe eines bestimmten Attributwerts sowie die Bearbeitung der Benutzer darstellt.<br />
Dieses Skript ist für die Massenbearbeitung von Benutzerkonten hilfreich.<br />
• Bei FindAndModifyUsers.ps1 handelt es sich um ein PowerShell-Skript, das die Ermittlung von<br />
Benutzern mithilfe eines bestimmten Attributwerts sowie die Bearbeitung der Benutzer darstellt.<br />
Dieses Skript ist für die Massenbearbeitung von Benutzerkonten hilfreich.
Zusätzliche Ressourcen 391<br />
• Bei CreateGroupAndAddMembers.vbs handelt es sich um ein VBScript-Skript, das die grundlegenden<br />
Schritte zum Erstellen einer Gruppe und zum Hinzufügen von Mitgliedern zu dieser<br />
Gruppe darstellt.<br />
• Bei CreateGroupAndAddMembers.ps1 handelt es sich um ein PowerShell-Skript, das die grundlegenden<br />
Schritte zum Erstellen einer Gruppe und zum Hinzufügen von Mitgliedern zu dieser<br />
Gruppe darstellt.
393<br />
K A P I T E L 1 1<br />
Einführung in Gruppenrichtlinien<br />
Inhalt dieses Kapitels:<br />
Gruppenrichtlinien – Übersicht. . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 394<br />
Gruppenrichtlinienkomponenten . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 399<br />
Gruppenrichtlinienverarbeitung . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 403<br />
Implementieren von Gruppenrichtlinien . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 416<br />
Verwalten von Gruppenrichtlinienobjekten. . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 432<br />
Erstellen von Skripts für die Gruppenrichtlinienverwaltung . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 440<br />
Planen einer Gruppenrichtlinienimplementierung . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 443<br />
Fehlerbehebung bei Gruppenrichtlinien . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 444<br />
Zusammenfassung. . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 446<br />
Zusätzliche Ressourcen. . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 446<br />
Seit den Anfängen von <strong>Active</strong> <strong>Directory</strong> spielen Gruppenrichtlinien eine wichtige Rolle bei der Optimierung<br />
der Verwaltung von IT-Umgebungen. Vielen Unternehmen merken, dass der Kaufpreis oder<br />
die Leasinggebühren eines Computers nur einen kleinen Teil der Gesamtkosten darstellen, die bei der<br />
Verwaltung und Wartung des Computers im Verlauf seiner Nutzungsdauer anfallen. Die Hauptkosten<br />
verursachen die Mitarbeiter, die diese Computer verwalten. Wenn alle Clientcomputer manuell verwaltet<br />
werden müssten, könnten die Kosten des Betriebs dieser Computer sehr schnell einen nicht<br />
mehr akzeptablen Grad erreichen. Um diese Thematik in den Griff zu bekommen, müssen sich Unternehmen<br />
von manuellen Prozessen verabschieden und eine automatisiertere und zentral verwaltete<br />
Form des Änderungs- und Konfigurationsmanagements für Benutzer- und Computereinstellungen in<br />
der Umgebung finden.<br />
Das Windows Server 2008-Feature Gruppenrichtlinien bietet viele der Funktion, die zum Senken der<br />
Verwaltungskosten von Computersystemen benötigt werden. Das Änderungs- und Konfigurationsmanagement<br />
wird mithilfe von Gruppenrichtlinien optimiert, indem benutzer- und computerbasierte<br />
Richtlinieneinstellungen gruppiert werden, die auf verschiedenen Ebenen der <strong>Active</strong> <strong>Directory</strong>-Hierarchie<br />
angewendet werden können. Wenn Sie eine Konfigurationseinstellung mithilfe von Gruppenrichtlinien<br />
anwenden, kann diese Einstellung (bzw. Einstellungsgruppe) auf einige oder alle Computer<br />
und Benutzer in Ihrem Unternehmen angewendet werden.<br />
Dieses Kapitel bietet eine Einführung in Gruppenrichtlinien und erläutert, wie dieses Feature konfiguriert<br />
und innerhalb der gesamten <strong>Active</strong> <strong>Directory</strong>-Struktur angewendet werden kann. Ferner werden<br />
einige der neuen Gruppenrichtlinienfeatures und Weiterentwicklungen unter Windows Server 2008<br />
beschrieben.
394 Kapitel 11: Einführung in Gruppenrichtlinien<br />
Hinweis Gruppenrichtlinieneinstellungen gelten nur auf Computern mit Microsoft Windows 2000 oder<br />
höher. Mithilfe von Gruppenrichtlinieneinstellungen können Sie Server mit Windows 2000, Windows Server<br />
2003 und Windows Server 2008 verwalten. Außerdem können Sie hiermit Computer mit Windows 2000,<br />
Windows XP Professional und den meisten Editionen von Windows Vista verwalten. Nicht möglich ist hingegen<br />
eine Gruppenrichtlinienverwaltung von Computern mit Windows NT, Windows 95, Windows 98 und Windows<br />
Millennium. Windows Server 2008 enthält eine Obermenge aller Richtlinieneinstellungen früherer<br />
Betriebssystemversionen. Einstellungen gelten jedoch nur für Betriebssysteme, die von der jeweiligen Einstellung<br />
unterstützt werden. Einstellungen, die von einem bestimmten Betriebssystem nicht unterstützt werden,<br />
werden ignoriert und auf dem Computersystem nicht verarbeitet.<br />
Gruppenrichtlinien – Übersicht<br />
Gruppenrichtlinien unter Windows Server 2008 bieten leistungsstarke Funktionen zum Verwalten von<br />
Konfigurationseinstellungen von Computern und Benutzern in Ihrer <strong>Active</strong> <strong>Directory</strong>-Umgebung.<br />
Tabelle 11.1 zeigt, welche Aufgaben Sie mithilfe von Gruppenrichtlinien erledigen können.<br />
Tabelle 11.1<br />
Konfigurationsfeatures von Gruppenrichtlinien<br />
Feature<br />
Softwareinstallation<br />
und -verwaltung<br />
Skripts<br />
Sicherheitseinstellungen<br />
Ordnerumleitung<br />
Richtlinienbasierte<br />
Dienstqualität<br />
Internet Explorer-<br />
Einstellungen<br />
Administrative<br />
Vorlagen<br />
Erläuterung<br />
Über <strong>Active</strong> <strong>Directory</strong>-basierte Gruppenrichtlinien können Sie Benutzern und Computern Software und<br />
Softwareaktualisierungen bereitstellen. Sie können Software auch entfernen oder Softwarebereitstellungen<br />
basierend auf der Position von Benutzer- und Computerobjekten in der <strong>Active</strong> <strong>Directory</strong>-Struktur<br />
steuern.<br />
Sie können Skripts zum Starten und Herunterfahren von Computern sowie zur An- und Abmeldung<br />
von Benutzern ausführen.<br />
Sie können sehr viele Sicherheitseinstellungen für Computer- und Benutzerobjekte konfigurieren. Zu<br />
den computerbasierten Sicherheitseinstellungen zählen Kontorichtlinien, lokale Richtlinien, Ereignisprotokolleinstellungen<br />
sowie Einstellungen für eingeschränkte Gruppen, Systemdienste, die Windows-Firewall<br />
und den Netzwerkzugriffsschutz. Zu den benutzerbasierten Sicherheitseinstellungen<br />
zählen Richtlinien für öffentliche Schlüssel und Softwarebeschränkungsrichtlinien.<br />
Sie können verschiedene Teile der Arbeitsumgebung des Benutzers, z.B. den Ordner Dokumente,<br />
das Menü Start oder den Desktop, an eine Netzwerkfreigabe umleiten, in der diese dem Benutzer<br />
stets zur Verfügung stehen und im Rahmen der routinemäßigen Sicherungsvorgänge des Unternehmens<br />
gesichert werden können. Diese Umleitung erfolgt vom Benutzer unbemerkt. Windows Server<br />
2008 und Windows Vista bieten zusätzliche Funktionalität zum Umleiten weiterer Ordner, z.B. der<br />
Ordner Kontakte, Downloads, Favoriten, Links, Musik, Gespeicherte Spiele, Suchen und Videos.<br />
Mithilfe von Gruppenrichtlinien können Sie Einstellungen aktivieren, um ausgehenden Netzwerkdatenverkehr<br />
mit Prioritäten zu versehen und zu steuern. Eine Dienstqualitätsrichtlinie kann ausgehendem<br />
Netzwerkdatenverkehr einen bestimmten DSCP-Wert (Differentiated Services Code Point) zuweisen<br />
und steuern, welche Anwendungen, IP-Adressen, Protokolle und Portnummern im Netzwerk mit Prioritäten<br />
versehen und gesteuert werden sollen.<br />
Mithilfe von Gruppenrichtlinien können Sie die Menüs und Symbolleisten des Browsers, die Verbindungseinstellungen,<br />
URL-Favoriten, Sicherheitsfeatures und standardmäßigen Interneteinstellungen<br />
verwalten. Unter Administrative Vorlagen\Windows-Komponenten\Internet Explorer können Internet<br />
Explorer-Einstellungen nun umfassend konfiguriert werden.<br />
Mit der Funktion Administrative Vorlagen können Sie viele Elemente auf der grafischen Benutzeroberfläche<br />
verwalten, z.B. Systemsteuerungs- und Desktopeinstellungen, das Menü Start und Taskleisteneinstellungen.<br />
Diese Einstellungen dienen zum Konfigurieren von Registrierungswerten, welche<br />
die Änderungen einschränken, die Benutzer auf ihren Computern vornehmen dürfen.
Gruppenrichtlinien – Übersicht 395<br />
Tabelle 11.1<br />
Konfigurationsfeatures von Gruppenrichtlinien (Fortsetzung)<br />
Feature<br />
Einstellungen<br />
Drucker<br />
Sperren der<br />
Geräteinstallation<br />
Energieverwaltungseinstellungen<br />
Erläuterung<br />
Über diese Einstellungen werden Optionen von Windows-Einstellungen oder der Systemsteuerung<br />
verwaltet, u.a. Laufwerkzuordnungen, Umgebungsvariablen, Netzwerkfreigaben, lokale Benutzer und<br />
Gruppen, Dienste, Geräte usw.<br />
Administratoren können nun über Gruppenrichtlinien Berechtigungen an Benutzer für die Installation<br />
von Druckertreibern (sowie anderer Gerätetreiber) delegieren. Weitere Informationen zu diesem Feature<br />
finden Sie in „Neue Kategorien der Richtlinienverwaltung“ unter http://technet2.microsoft.com/<br />
windowsvista/de/library/0077cf9d-b06c-4264-99ff-1beb569dd3d21031.mspx?mfr=true.<br />
Sie können die Installation von Geräten auf Computern in Ihrem Unternehmen zentral sperren. Sie<br />
können Richtlinieneinstellungen definieren, die den Zugriff auf Geräte wie USB-, CR-RW-, DVD-RW-<br />
Laufwerke und andere Wechseldatenträger steuern. Geräteinstallationseinstellungen finden Sie unter<br />
Computerkonfiguration\Richtlinien\Administrative Vorlagen\System\Geräteinstallation.<br />
Sämtliche Energieverwaltungseinstellungen können nun mit Gruppenrichtlinien gesteuert werden, was<br />
möglicherweise zu hohen Kosteneinsparungen führt. Sie können über einzelne Gruppenrichtlinieneinstellungen<br />
bestimmte Energieeinstellungen ändern oder einen angepassten Energieplan erstellen, der<br />
über Gruppenrichtlinien bereitgestellt werden kann. Energieverwaltungseinstellungen finden Sie unter<br />
Computerkonfiguration\Richtlinien\Administrative Vorlagen\System\Energieverwaltung.<br />
Funktionsweise von Gruppenrichtlinien<br />
Jedes der in Tabelle 11.1 beschriebenen Features besteht aus sehr vielen Richtlinieneinstellungen, die<br />
so konfiguriert werden können, dass sie für einen Benutzer oder Computer gelten. Richtlinieneinstellungen<br />
werden als Gruppenrichtlinienobjekte konfiguriert und mit verschiedenen Ebenen der <strong>Active</strong><br />
<strong>Directory</strong>-Struktur verknüpft, z.B. Standort, Domäne und Organisationseinheit. Die <strong>Active</strong> <strong>Directory</strong>-<br />
Hierarchie bietet die Möglichkeit, dass Gruppenrichtlinieneinstellungen, die mit Containern auf<br />
höherer Ebene verknüpft sind (z.B. der Domäne oder Organisationseinheitscontainern auf oberster<br />
Ebene), von Containern auf tieferer Ebene übernommen werden. Diese „Vererbbarkeit“ bietet eine<br />
effiziente und effektive Methode zum Anwenden von Gruppenrichtlinieneinstellungen in der gesamten<br />
Umgebung.<br />
Bei der Ersterstellung einer <strong>Active</strong> <strong>Directory</strong>-Domäne werden zwei Gruppenrichtlinienobjekte erstellt<br />
und innerhalb von <strong>Active</strong> <strong>Directory</strong> verknüpft: Default Domain Policy (Standarddomänenrichtlinie)<br />
und Default Domain Controllers Policy (Standard-Domänencontrollerrichtlinie). Die Standarddomänenrichtlinie<br />
ist auf Domänenebene verknüpft und dient zum Festlegen der standardmäßigen Sicherheits-<br />
und Kennwortrichtlinien für die gesamte Domäne. Die Standard-Domänencontrollerrichtlinie<br />
ist mit der Organisationseinheit des Domänencontrollers verknüpft und dient zum Konfigurieren von<br />
Sicherheitseinstellungen für Domänencontroller. Zusätzlich zu diesen standardmäßigen Gruppenrichtlinienobjekten<br />
können Sie nach Wunsch beliebige viele weitere Gruppenrichtlinienobjekte erstellen<br />
und diese mit verschiedenen Ebenen in Ihrer <strong>Active</strong> <strong>Directory</strong>-Struktur verknüpfen.<br />
Hinweis Ausdrücklich empfohlen wird, die Standarddomänenrichtlinie und die Standard-Domänencontrollerrichtlinie<br />
nicht zu bearbeiten oder zu ändern. Sie sollten stets neue Gruppenrichtlinienobjekte erstellen,<br />
um benutzerdefinierte Richtlinieneinstellungen anzuwenden, und sicherstellen, dass sich die standardmäßigen<br />
Gruppenrichtlinienobjekte ganz oben in der Prioritätenliste befinden.
396 Kapitel 11: Einführung in Gruppenrichtlinien<br />
Neben <strong>Active</strong> <strong>Directory</strong>-basierten Gruppenrichtlinien arbeiten lokale oder eigenständige Computerumgebungen<br />
auch mit einem lokalen Gruppenrichtlinienobjekt. Computer, auf denen Windows<br />
2000, Windows XP oder Microsoft Windows Server 2003 ausgeführt wird, verfügen über nur ein<br />
lokales Gruppenrichtlinienobjekt, das für alle Benutzer gilt, die sich am lokalen Computer anmelden.<br />
Windows Vista und Windows Server 2008 enthalten standardmäßig auch ein lokales Gruppenrichtlinienobjekt,<br />
bieten jedoch die Möglichkeit, lokale Gruppenrichtlinienobjekte für mehrere Benutzer<br />
zu verwenden, um die Verwaltungs- und Sicherheitsfunktionen von eigenständigen Computern oder<br />
Computern in einer Arbeitsgruppe zu optimieren.<br />
Hinweis Für den Computer gilt stets ein einzelnes lokales Gruppenrichtlinienobjekt, das auch auf allen<br />
Computern verarbeitet wird, die zu <strong>Active</strong> <strong>Directory</strong> gehören. Das lokale Gruppenrichtlinienobjekt hat jedoch<br />
die niedrigste Priorität und ist die erste angewendete Richtlinie. Die <strong>Active</strong> <strong>Directory</strong>-basierten Gruppenrichtlinieneinstellungen<br />
setzen die Einstellungen des lokalen Gruppenrichtlinienobjekts häufig außer Kraft. Sie<br />
können die Verarbeitung des lokalen Gruppenrichtlinienobjekts für domänenbasierte Computer deaktivieren,<br />
indem Sie in der Konsole Gruppenrichtlinienverwaltung die Richtlinie Verarbeitung lokaler Gruppenrichtlinienobjekte<br />
deaktivieren unter Computerkonfiguration\Richtlinien\Administrative Vorlagen\System\Gruppenrichtlinie<br />
aktivieren. Dies betrifft nur Computer mit Windows Vista und Windows Server 2008.<br />
Abbildung 11.1 veranschaulicht, wie Gruppenrichtlinien ausgehend vom lokalen Gruppenrichtlinienobjekt<br />
auf den verschiedenen Ebenen von <strong>Active</strong> <strong>Directory</strong> angewendet werden:<br />
1. Falls aktiviert, wird das lokale Gruppenrichtlinienobjekt für sowohl eigenständige Computer als<br />
auch Mitgliedscomputer einer <strong>Active</strong> <strong>Directory</strong>-Domäne zuerst verarbeitet.<br />
2. Auf der Ebene Standort angewendete Gruppenrichtlinienobjekte werden als Nächstes verarbeitet.<br />
In der Abbildung wird Gruppenrichtlinienobjekt1 auf alle Benutzer und Computer in Domänen<br />
und Organisationseinheiten angewendet, die zu einem bestimmten Standort gehören. Gibt es in<br />
Konflikt stehende Einstellungen mit dem lokalen Gruppenrichtlinienobjekt, setzen die im<br />
Gruppenrichtlinienobjekt1 konfigurierten Einstellungen diese spezifischen Einstellungen außer<br />
Kraft.<br />
3. Im nächsten Schritt werden die Gruppenrichtlinienobjekte auf Domänenebene verarbeitet. Hier<br />
zugewiesene Gruppenrichtlinienobjekte wirken sich nur auf Benutzer und Computer der jeweiligen<br />
Domäne aus. Wenn es mit Gruppenrichtlinieneinstellungen auf Standortebene oder mit dem<br />
lokalen Gruppenrichtlinienobjekt in Konflikt stehende Einstellungen gibt, haben die domänenbasierten<br />
Einstellungen Vorrang. Nicht in Konflikt stehende Einstellungen werden von den<br />
Gruppenrichtlinienobjekten auf höherer Ebene übernommen.<br />
4. Im letzten Schritt werden auf den Organisationseinheitsebenen zugewiesene Gruppenrichtlinienobjekte<br />
verarbeitet. Auf Organisationseinheitsebene zugewiesene Gruppenrichtlinienobjekte wirken<br />
sich üblicherweise auf Benutzer und Computer in der jeweiligen Organisationseinheit aus und<br />
werden auch von sämtlichen untergeordneten Organisationseinheiten übernommen. Wenn es mit<br />
Gruppenrichtlinieneinstellungen auf Domänen- oder Standortebene bzw. mit dem lokalen Gruppenrichtlinienobjekt<br />
in Konflikt stehende Einstellungen gibt, haben die organisationseinheitsbasierten<br />
Einstellungen, die dem Computer und Benutzer am nächsten sind, Vorrang. Nicht in<br />
Konflikt stehende Einstellungen werden von den Gruppenrichtlinienobjekten auf höherer Ebene<br />
übernommen.<br />
Hinweis Die vorherigen Ausführungen beschreiben das Standardverhalten bei der Gruppenrichtlinienverarbeitung.<br />
Außerkraftsetzung, Deaktivierung von oben und Loopback sind andere Mechanismen zum<br />
Ändern der Verarbeitungsreihenfolge entsprechend den Anforderungen des Administrators.
Gruppenrichtlinien – Übersicht 397<br />
LGPO<br />
1<br />
GPO1<br />
Standort<br />
2<br />
GPO2<br />
GPO3<br />
Domäne<br />
3<br />
GPO4<br />
4<br />
Abbildung 11.1<br />
Das Anwenden von Gruppenrichtlinienobjekten in <strong>Active</strong> <strong>Directory</strong><br />
Neuerungen in Windows Server 2008-Gruppenrichtlinien<br />
In Windows Server 2008 wurden weitreichende Verbesserungen und Weiterentwicklungen von Features<br />
eingeführt, um die Verarbeitung und Verwaltung von Gruppenrichtlinien zu unterstützen. Dazu<br />
zählen die Folgenden:<br />
• Integration der Konsole Gruppenrichtlinienverwaltung Gruppenrichtlinien werden nicht mehr über<br />
die Konsole <strong>Active</strong> <strong>Directory</strong>-Benutzer und -Computer verwaltet. Die Konsole Gruppenrichtlinienverwaltung,<br />
die zuvor als separate Zusatzkomponente aus dem Microsoft Download Center<br />
heruntergeladen werden musste, ist nun integrierter Bestandteil von Windows Server 2008. Die<br />
Konsole Gruppenrichtlinienverwaltung kann mithilfe des Assistenten zum Hinzufügen von Features<br />
oder automatisch installiert werden, wenn einem Server die Serverrolle <strong>Active</strong> <strong>Directory</strong>-<br />
Domänendienste zugewiesen wird. Diese Konsole unterstützt nun die neue ADMX-Dateivorlage<br />
und bietet neue Filterfunktionen sowie die Möglichkeit, bestimmte Richtlinieneinstellungen zu<br />
kommentieren.
398 Kapitel 11: Einführung in Gruppenrichtlinien<br />
• Der Gruppenrichtlinienclient-Dienst Das Gruppenrichtlinienmodul und clientseitige Erweiterungen<br />
werden nicht mehr vom Prozess Winlogon verwaltet. Das Gruppenrichtlinienmodul wird nun als<br />
Dienst (gpsvc) ausgeführt, der eine effizientere und sicherere Verarbeitungsumgebung für das<br />
Anwenden von Gruppenrichtlinieneinstellungen bietet.<br />
• Netzwerkadressinformationen Das Gruppenrichtlinienmodul arbeitet nicht mehr mit dem ICMP-<br />
Protokoll (PING), um die effektive Netzwerkbandbreite zu bestimmen. Unter Windows Server<br />
2008 verwendet das Gruppenrichtlinienmodul nun den Dienst für Netzwerkadressinformationen<br />
(NlaSvc), um sich ändernde Netzwerkbedingungen zu bestimmen, die sich ggf. auf die Anwendung<br />
von Gruppenrichtlinien auswirken.<br />
• Neue auf XML basierende administrative Vorlagen Für Gruppenrichtlinien wurde bislang ein<br />
besonderes ADM-Dateiformat verwendet. Die entsprechende Datei enthält die Sprache zum<br />
Beschreiben registrierungsbasierter Einstellungen, die ggf. auf Netzwerkclients mithilfe von<br />
Gruppenrichtlinien zugewiesen werden. Unter Windows Server 2008 wird ein neues XML-Dateiformat<br />
mit der Bezeichnung ADMX eingeführt. Dieses neue Dateiformat vereinfacht die Verwaltung<br />
administrativer Vorlagen in mehrsprachigen Umgebungen und bietet die Möglichkeit,<br />
Änderungsmanagementprozesse zu integrieren.<br />
• Zentraler Speicher für Gruppenrichtlinien ADMX-Dateien können in einem zentralen Speicher in<br />
der Freigabe SYSVOL auf Domänencontrollern gespeichert werden. Dieser zentrale Speicher<br />
ermöglicht Administratoren beim Bearbeiten der Einstellungen von Gruppenrichtlinienobjekten<br />
den Zugriff auf denselben ADMX-Dateisatz und gewährleistet eine einheitliche Verwaltungsumgebung<br />
in der gesamten Domäne.<br />
• Verbesserte Gruppenrichtlinienprotokollierung Für frühere Versionen von Gruppenrichtlinien<br />
musste die Protokollierung für die Komponente userenv.dll aktiviert werden. Unter Windows Server<br />
2008 wird ein eigenständiger Dienst unter dem Protokoll Svchost ausgeführt. Dazugehörige<br />
Ereignismeldungen werden nun im Systemprotokoll mit der Ereignisquelle Microsoft-Windows-<br />
GroupPolicy angezeigt. Außerdem ersetzt das neue Betriebsprotokoll der Gruppenrichtlinie die<br />
Protokollierung über Userenv.dll, wodurch sich verbesserte Ereignismeldungen zur Gruppenrichtlinienverarbeitung<br />
ergeben.<br />
• Unterstützung mehrerer lokaler Gruppenrichtlinienobjekte Windows Server 2008 und Windows<br />
Vista unterstützen auf einem Computer mehrere lokale Gruppenrichtlinienobjekte. Dadurch ergeben<br />
sich verbesserte Möglichkeiten zum Steuern von Umgebungen, in denen ein einzelner Computer<br />
von mehreren Benutzern genutzt wird (z.B. in einer Bibliothek), oder von Computern in<br />
Arbeitsgruppen. Mehrere lokale Gruppenrichtlinieneinstellungen können einzelnen lokalen Benutzern<br />
bzw. lokalen Benutzern zugewiesen werden, die den vordefinierten lokalen Gruppen Administratoren<br />
oder Benutzer (Nichtadministratoren) angehören. In der Regel kommt dieses Feature<br />
auf eigenständigen Arbeitsstationen in einer Arbeitsgruppe zum Einsatz, doch lokale Gruppenrichtlinienobjekte<br />
funktionieren auch mit domänenbasierten Gruppenrichtlinien. Dieses Feature<br />
kann über eine Gruppenrichtlinieneinstellung deaktiviert werden.<br />
• Neue Gruppenrichtlinieneinstellungen Windows Server 2008 bietet nun über 2600 Richtlinieneinstellungen<br />
für administrative Vorlagen, einschließlich Kategorien für die Energieverwaltung, die<br />
Zuweisung von Druckern abhängig vom Standort, das Verhindern der Installation von Geräten<br />
(z.B. USB-, DVD- und andere Wechsellaufwerke) u.s.w. Verschiedene clientseitige Erweiterungen<br />
unter der Überschrift Einstellungen wurden ebenfalls hinzugefügt und bieten eine bessere<br />
Steuerung verschiedener Windows- und Systemsteuerungseinstellungen.
Gruppenrichtlinienkomponenten 399<br />
Einzelne Registrierungseinstellungen können nun außerhalb der Richtlinienstruktur bearbeitet und<br />
auf ausschließlich ausgewählte Benutzer oder Gruppen angewendet werden (ähnlich der Verwendung<br />
von Anmeldeskripts in vielen Unternehmen). Der Hauptvorteil des Features Einstellungen<br />
ist, dass diese einzelnen Registrierungseinstellungen als Richtlinieneinstellungen behandelt und<br />
entfernt werden können, falls sie nicht mehr benötigt werden.<br />
Gruppenrichtlinienkomponenten<br />
Ein <strong>Active</strong> <strong>Directory</strong>-basiertes Gruppenrichtlinienobjekt besteht aus zwei Hauptkomponenten, welche<br />
die logische und physische Struktur des Objekts abbilden. Die logische Komponente wird in der<br />
<strong>Active</strong> <strong>Directory</strong>-Datenbank gespeichert und heißt Gruppenrichtliniencontainer. Die physische Komponente<br />
wird im replizierten Ordner SYSVOL auf allen Domänencontrollern gespeichert und heißt<br />
Gruppenrichtlinienvorlage.<br />
Übersicht über den Gruppenrichtliniencontainer<br />
Der Gruppenrichtliniencontainer wird beim Erstellen eines neuen Gruppenrichtlinienobjekts in der<br />
<strong>Active</strong> <strong>Directory</strong>-Datenbank erstellt. Sie können das Containerobjekt in der Konsole <strong>Active</strong> <strong>Directory</strong>-<br />
Benutzer und -Computer im Container System\Richtlinien anzeigen. Wird der Container System nicht<br />
angezeigt, wählen Sie im Menü Ansicht den Befehl Erweiterte Features. Abbildung 11.2 zeigt den<br />
Container System\Richtlinien mit mehreren Gruppenrichtliniencontainern.<br />
Abbildung 11.2<br />
Bestimmen von Gruppenrichtliniencontainern in <strong>Active</strong> <strong>Directory</strong><br />
Wie in Abbildung 11.2 gezeigt, wird der Gruppenrichtliniencontainer in <strong>Active</strong> <strong>Directory</strong> mit dem<br />
Objekttyp groupPolicyContainer erstellt und mit der GUID (Globally Unique Identifier, global eindeutige<br />
Kennung) als Name angezeigt. Der Gruppenrichtliniencontainer enthält Attribute, die verschiedene<br />
Arten von Informationen zum Gruppenrichtlinienobjekt beschreiben:<br />
• Name des Gruppenrichtlinienobjekts Das Attribut displayName enthält den Namen des Gruppenrichtlinienobjekts.
400 Kapitel 11: Einführung in Gruppenrichtlinien<br />
• Pfad zur Gruppenrichtlinienvorlage Das Attribut gPCFileSysPath enthält den Pfad zum Speicherort<br />
der dazugehörigen Gruppenrichtlinienvorlage, die mithilfe des GUID-Namens des Gruppenrichtliniencontainers<br />
bestimmt wird.<br />
• Liste der Computer- und Benutzererweiterungen Die Attribute gPCMachineExtensionNames und<br />
gPCUserExtensionNames stellen eine Liste der clientseitigen Erweiterungen zum Verarbeiten des<br />
Gruppenrichtlinienobjekts zur Verfügung. Hierzu wird das folgende Format verwendet:<br />
[{GUID der clientseitigen Erweiterung}{GUID der MMC-Erweiterung}{GUID der zweiten<br />
MMC-Erweiterung, falls zutreffend}][GUIDs der nächsten clientseitigen Erweiterungen und<br />
MMC-Erweiterungen gemäß der Konfiguration]<br />
• Versionsnummer Das Attribut versionNumber enthält die Version des Gruppenrichtliniencontainer-Teils<br />
des Gruppenrichtlinienobjekts. Eine Versionsnummer wird sowohl vom Gruppenrichtliniencontainer<br />
als auch von der Gruppenrichtlinienvorlage geführt und soll sicherstellen, dass die<br />
beiden Objekte synchronisiert werden.<br />
• Status von Gruppenrichtlinienobjekten Das Attribut flags veranschaulicht den Status des Gruppenrichtlinienobjekts.<br />
Ist der Wert 0, ist das Gruppenrichtlinienobjekt aktiviert. Beim Wert 1 ist der<br />
Teil Benutzerkonfiguration des Gruppenrichtlinienobjekts deaktiviert. Beim Wert 2 ist der Teil<br />
Computerkonfiguration des Gruppenrichtlinienobjekts deaktiviert. Ist der Wert 3, ist das gesamte<br />
Gruppenrichtlinienobjekt deaktiviert.<br />
• Zugriffssteuerungsliste Die Zugriffssteuerungsliste zeigt die Benutzer und Gruppen, die die Einstellungen<br />
des Gruppenrichtlinienobjekts verwalten dürfen bzw. die Benutzer und Gruppen, für<br />
die die Einstellungen des Gruppenrichtlinienobjekts gelten sollen.<br />
Diese Details des Gruppenrichtliniencontainer-Objekts können in der Konsole <strong>Active</strong> <strong>Directory</strong>-<br />
Benutzer und -Computer oder mit einem Tool wie ADSI Edit angezeigt werden. Abbildung 11.3 zeigt<br />
die Registerkarte Attribut-Editor im Eigenschaftendialogfeld des Gruppenrichtliniencontainers in<br />
<strong>Active</strong> <strong>Directory</strong>-Benutzer und -Computer. Der Attribut-Editor ist ein neues Windows Server 2008-<br />
Feature in <strong>Active</strong> <strong>Directory</strong>-Benutzer und -Computer.<br />
Abbildung 11.3<br />
Anzeigen der Attribute des Gruppenrichtliniencontainers
Komponenten der Gruppenrichtlinienvorlage<br />
Gruppenrichtlinienkomponenten 401<br />
Achtung Das Ändern der Zugriffssteuerungsliste bzw. der dazugehörigen Attribute unmittelbar im Gruppenrichtliniencontainer<br />
wird nicht empfohlen, es sei denn, Sie untersuchen Probleme. Gruppenrichtlinien<br />
sollten stets in der Konsole Gruppenrichtlinienverwaltung verwaltet werden. Diese Konsole sorgt dafür, dass<br />
sowohl der Gruppenrichtliniencontainer als auch die Gruppenrichtlinienvorlage ordnungsgemäß bearbeitet<br />
werden.<br />
Beim Konfigurieren eines neuen Gruppenrichtlinienobjekts wird die dazugehörige Gruppenrichtlinienvorlage<br />
im Ordner %SystemRoot%\SYSVOL auf jedem Domänencontroller in der Domäne<br />
gespeichert. Abbildung 11.4 zeigt Beispiele mehrerer Gruppenrichtlinienvorlagen, die im freigegebenen<br />
Ordner SYSVOL (\SYSVOL\sysvol\Adatum.com\Policies) gespeichert werden. Beachten Sie,<br />
dass jede Gruppenrichtlinienvorlage mit derselben entsprechenden GUID-Nummer gespeichert wird,<br />
die im Gruppenrichtliniencontainer in <strong>Active</strong> <strong>Directory</strong> gespeichert ist.<br />
Hinweis Der Ordner, der im Ordner SYSVOL denselben Namen wie die Domäne trägt, ist kein Ordner,<br />
sondern eine Dateiverbindung. Dateiverbindungen ähneln Dateisystemordnern, enthalten jedoch einen Link,<br />
der auf einen tatsächlichen Ordner zeigt. Über den Befehl DIR in einem Konsolenfenster können Sie das Ziel<br />
einer Verbindung anzeigen. Das Wort wird vor dem Namen der Verbindung angezeigt, auf das<br />
der Name des Zielordners in eckigen Klammer folgt. Tools für die Verwaltung von Gruppenrichtlinien lesen<br />
und schreiben Gruppenrichtlinienvorlagen mittels der Domänenverbindung (Adatum.com) in der Freigabe<br />
SYSVOL. Windows speichert die Gruppenrichtlinienvorlagen jedoch unter %SYSTEMROOT%\SYSVOL\<br />
domain\policies. Dadurch hat es den Anschein, es gäbe zwei Kopien der Gruppenrichtlinienvorlagen.<br />
Abbildung 11.4<br />
Anzeigen der Speicherorte von Gruppenrichtlinienvorlagen auf Domänencontrollern
402 Kapitel 11: Einführung in Gruppenrichtlinien<br />
Die Gruppenrichtlinienvorlage enthält die meisten Einstellungen des Gruppenrichtlinienobjekts sowie<br />
verschiedene Ordner und Konfigurationsdateien (siehe Tabelle 11.2).<br />
Tabelle 11.2<br />
Komponente<br />
Adm<br />
USER<br />
MACHINE<br />
Gpt.ini<br />
Komponenten einer Gruppenrichtlinienvorlage<br />
Beschreibung<br />
Bei Verwenden von Windows Vista bzw. Windows Server 2008 kommt dieser Ordner nicht zum<br />
Einsatz. Falls jedoch der Gruppenrichtlinienobjekt-Editor aus früheren Windows-Versionen verwendet<br />
wird, enthält dieser Ordner eine Kopie aller ADM-Dateien (administrativen Vorlagen) im<br />
Ordner %SystemRoot%\inf des Computers, auf dem das Gruppenrichtlinienobjekt erstellt wurde.<br />
Enthält alle Einstellungen für die Benutzerkonfiguration. Je nach Konfiguration enthält dieser Ordner<br />
ggf. Folgendes:<br />
• Registry.pol: Enthält die Registrierungseinstellungen der Konfigurationen aller administrativen<br />
Vorlagen.<br />
• \Applications: Enthält Informationen, die bei der Installation der Gruppenrichtliniensoftware verwendet<br />
werden.<br />
• \Documents & Settings: Enthält Informationen zu Ordnerumleitungsrichtlinien, die im Gruppenrichtlinienobjekt<br />
konfiguriert sind.<br />
• \Microsoft\IEAK: Enthält Informationen zu Internet Explorer-Einstellungen, die im Gruppenrichtlinienobjekt<br />
konfiguriert sind.<br />
• \Scripts\Logon: Enthält die eigentlichen Dateien, die für im Gruppenrichtlinienobjekt definierte<br />
Anmeldeskripts verwendet werden.<br />
• \Scripts\Logoff: Enthält die eigentlichen Dateien, die für im Gruppenrichtlinienobjekt definierte<br />
Abmeldeskripts verwendet werden.<br />
Enthält alle Einstellungen für die Computerkonfiguration. Je nach Konfiguration enthält dieser Ordner<br />
ggf. Folgendes:<br />
• Registry.pol: Enthält die Registrierungseinstellungen der Konfigurationen aller administrativen<br />
Vorlagen.<br />
• \Applications: Enthält Informationen, die bei der Installation der Gruppenrichtliniensoftware verwendet<br />
werden.<br />
• \Microsoft\Windows NT\SecEdit: Enthält die Datei GptTmpl.inf, die zum Definieren der verschiedenen<br />
Sicherheitseinstellungen gemäß der Konfiguration im Teil Sicherheitseinstellungen<br />
des Gruppenrichtlinienobjekts dient.<br />
• \Scripts\Shutdown: Enthält die eigentlichen Dateien, die für im Gruppenrichtlinienobjekt definierte<br />
Skripts zum Herunterfahren verwendet werden.<br />
• \Scripts\Startup: Enthält die eigentlichen Dateien, die für im Gruppenrichtlinienobjekt definierte<br />
Skripts zum Starten verwendet werden.<br />
Die Datei Gpt.ini dient zum Speichern der Versionsnummer der Gruppenrichtlinienvorlage und des<br />
Anzeigenamens des dazugehörigen Gruppenrichtlinienobjekts. Die Versionsnummer ermöglicht<br />
clientseitigen Erweiterungen die Überprüfung, ob der Client hinsichtlich der letzten Verarbeitung<br />
der Richtlinieneinstellungen auf dem neuesten Stand ist.<br />
Replikation der Gruppenrichtlinienobjekt-Komponenten<br />
In den meisten <strong>Active</strong> <strong>Directory</strong>-Domänenumgebungen befinden sich mehrere Domänencontroller.<br />
Wenn ein Gruppenrichtlinienobjekt erstellt oder geändert wird, müssen die Änderungen von einem<br />
Domänencontroller auf die anderen repliziert werden.
Gruppenrichtlinienverarbeitung 403<br />
Wichtig ist dabei zu verstehen, dass die Komponenten, die ein Gruppenrichtlinienobjekt bilden<br />
(hauptsächlich der Gruppenrichtliniencontainer und die Gruppenrichtlinienvorlage) für die Replikation<br />
in der gesamten Domäne mit unterschiedlichen Mechanismen arbeiten. Der Gruppenrichtliniencontainer<br />
wird im Rahmen der regelmäßigen <strong>Active</strong> <strong>Directory</strong>-Replikation repliziert. Die Replikation<br />
der Gruppenrichtlinienvorlage hängt von der für die Domäne konfigurierten Domänenfunktionsebene<br />
ab. Wenn Ihre Domäne mit der Funktionsebene Windows Server 2008 konfiguriert ist, wird die Gruppenrichtlinienvorlage<br />
vom DFS-R-Dienst (Distributed File System Replication) repliziert. Domänen,<br />
die mit der Domänenfunktionsebene Windows Server 2003 oder niedriger konfiguriert sind, arbeiten<br />
mit dem Dateireplikationsdienst, der in früheren Windows Server-Versionen zumeist zum Einsatz<br />
kam.<br />
Gruppenrichtlinienverarbeitung<br />
Die Gruppenrichtlinieninfrastruktur ist eine Client/Server-Architektur, die sowohl Server- als auch<br />
Clientkomponenten nutzt, um Richtlinieneinstellungen auf Netzwerkclients anzuwenden. Die serverseitigen<br />
Erweiterungen sind MMC-Snap-Ins (Microsoft Management Console) zum Verwalten und<br />
Konfigurieren von Gruppenrichtlinieneinstellungen in der Konsole Gruppenrichtlinienverwaltung.<br />
Die clientseitigen Erweiterungen werten die auf dem Server konfigurierten Gruppenrichtlinieneinstellungen<br />
aus und wenden sie auf den Clientcomputer an. Abbildung 11.5 veranschaulicht die Kommunikation<br />
zwischen Server und Gruppenrichtlinienarchitektur.<br />
Domänencontroller<br />
Client<br />
Serverseitige<br />
MMC-Snap-Ins<br />
Konsole<br />
Gruppenrichtlinienverwaltung<br />
Verwaltung<br />
<strong>Active</strong><br />
<strong>Directory</strong><br />
(GPO)<br />
GPO<br />
SYSVOL<br />
(GPT)<br />
Gruppenrichtlinien für<br />
Clientdienst (gpsvc)<br />
Gruppenrichtlinienmodul<br />
Clientseitige<br />
Erweiterungen<br />
(CSEs)<br />
Dateisystem<br />
Registrierung<br />
Sicherheit<br />
Softwareinstallation<br />
Abbildung 11.5<br />
Gruppenrichtlinienkommunikation zwischen Server und Client
404 Kapitel 11: Einführung in Gruppenrichtlinien<br />
Verarbeitung von Gruppenrichtlinienobjekten auf Clients<br />
Wie Abbildung 11.5 zeigt, wird auf Computern mit Windows Vista und Windows Server 2008 der<br />
neue Dienst Gruppenrichtlinienclient-Dienst (gpsvc) ausgeführt. Dieser Dienst übernimmt die Gruppenrichtlinienverarbeitung,<br />
die in früheren Windows-Versionen Teil des Winlogon-Dienstes war.<br />
Direkt von der Quelle: Der Gruppenrichtliniendienst<br />
Die Gruppenrichtlinienfunktion wird nun als eigener Dienst und nicht innerhalb des Winlogon-Prozesses<br />
ausgeführt. Durch diese Änderung erhöht sich die Zuverlässigkeit der Gruppenrichtlinienfunktion,<br />
da diese nun als gehosteter Dienst unter Svchost ausgeführt wird. Zu den Vorteilen dieser<br />
Änderung zählen die verbesserte Netzwerkerkennung, eine effizientere Gruppenrichtlinienverarbeitung<br />
und weniger Arbeitsspeicherbelegung durch jeden mit Gruppenrichtlinien arbeitenden Prozess.<br />
Die clientseitigen Erweiterungen von Microsoft werden im selben Prozessbereich ausgeführt.<br />
Clientseitige Erweiterungen anderer Anbieter werden jedoch zur Verbesserung der Zuverlässigkeit<br />
unter einem getrennten Prozess ausgeführt.<br />
Mike Stephens<br />
Group Policy Technical Writer<br />
Management and Solutions Division UA<br />
Bei allen gruppenrichtlinienfähigen Windows-Betriebssystemen werden die clientseitigen Erweiterungen<br />
im Rahmen der Installation installiert und registriert. Diese Erweiterungen bestehen aus verschiedenen<br />
DDL-Dateien (Dynamic Link Libraries), die vom Gruppenrichtlinienmodul aufgerufen<br />
werden, das anschließend die von der Gruppenrichtlinienvorlage und vom Gruppenrichtliniencontainer<br />
bereitgestellten Informationen nutzt, um die auf den Benutzer oder Computer anzuwendenden<br />
Richtlinieneinstellungen zu bestimmen.<br />
Hinweis Die DLLs der clientseitigen Erweiterungen (CSE) werden im Ordner %WinDir%\System32<br />
gespeichert. Andere Anwendungsanbieter können zusätzliche Erweiterungen entwickeln, damit ihre Anwendungen<br />
in die Verwaltung über Gruppenrichtlinien einbezogen werden können.<br />
Jede CSE-DLL arbeitet mit CSE-Registrierungseinstellungen unter dem folgenden Registrierungsschlüssel:<br />
HKEY_LOCAL_MACHINE\Software\Microsoft\WindowsNT\CurrentVersion\Winlogon\GPExtensions<br />
Im Registrierungs-Editor (Regedit.exe) können Sie die Liste der clientseitigen Erweiterungen auf<br />
einem Clientcomputer anzeigen (siehe Abbildung 11.6).<br />
Wie in Abbildung 11.6 zu erkennen, ist jede clientseitige Erweiterung mit einer GUID verknüpft.<br />
Diese GUIDs werden im Gruppenrichtliniencontainer-Objekt in <strong>Active</strong> <strong>Directory</strong> referenziert. Jede<br />
Erweiterung hat verschiedene Attribute, die verschiedene Verarbeitungskonfigurationen bestimmen,<br />
z.B. ob der Benutzer- oder Computerteil der Richtlinie verarbeitet wird (gemäß den Schlüsseln<br />
NoMachinePolicy und NoUserPolicy) oder ob die Richtlinie über eine langsame Verbindung verarbeitet<br />
wird (gemäß dem Schlüssel NoSlowLink). Sie können auch die dazugehörige DLL bestimmen,<br />
indem Sie den für den Schlüssel Dllname angegebenen Wert untersuchen.
Gruppenrichtlinienverarbeitung 405<br />
Abbildung 11.6<br />
Anzeigen der auf einem Windows-Client registrierten clientseitigen Erweiterungen<br />
Eine Übersicht der standardmäßigen clientseitigen Erweiterungen und dazugehörigen GUIDs finden<br />
Sie in Tabelle 11.3.<br />
Tabelle 11.3<br />
Standardmäßige clientseitige Erweiterungen<br />
Clientseitige Erweiterung<br />
Gruppenrichtlinie für Drahtlosnetzwerk<br />
Gruppenrichtlinie für die Umgebung<br />
Gruppenrichtlinie für lokale Benutzer und Gruppen<br />
Gruppenrichtlinie für Geräteeinstellungen<br />
Ordnerumleitung<br />
Administrative Vorlagen<br />
Microsoft-Datenträgerkontingente<br />
Gruppenrichtlinie für Netzwerkoptionen<br />
QoS-Paketplaner<br />
Skripts<br />
Zonenzuordnung für Internet Explorer<br />
Gruppenrichtlinie für Laufwerkzuordnungen<br />
GUID<br />
{0ACDD40C-75AC-47ab-BAA0-BF6DE7E7FE63}<br />
{0E28E245-9368-4853-AD84-6DA3BA35BB75}<br />
{17D89FEC-5C44-4972-B12D-241CAEF74509}<br />
{1A6364EB-776B-4120-ADE1-B63A406A76B5}<br />
{25537BA6-77A8-11D2-9B6C-0000F8080861}<br />
{35378EAC-683F-11D2-A89A-00C04FBBCFA2}<br />
{3610eda5-77ef-11d2-8dc5-00c04fa31a66}<br />
{3A0DBA37-F8B2-4356-83DE-3E90BD5C261F}<br />
{426031c0-0b47-4852-b0ca-ac3d37bfcb39}<br />
{42B5FAAE-6536-11d2-AE5A-0000F87571E3}<br />
{4CFB60C1-FAA6-47f1-89AA-0B18730C9FD3}<br />
{5794DAFD-BE60-433f-88A2-1A31939AC01F}
406 Kapitel 11: Einführung in Gruppenrichtlinien<br />
Tabelle 11.3<br />
Standardmäßige clientseitige Erweiterungen (Fortsetzung)<br />
Clientseitige Erweiterung<br />
Gruppenrichtlinie für Ordner<br />
Gruppenrichtlinie für Netzwerkfreigaben<br />
Gruppenrichtlinie für Dateien<br />
Gruppenrichtlinie für Datenquellen<br />
Gruppenrichtlinie für INI-Dateien<br />
Gruppenrichtlinienerweiterung für Windows-Suchdienst<br />
Sicherheit<br />
Bereitgestellte Druckerverbindungen<br />
Gruppenrichtlinie für Dienste<br />
Internet Explorer-Branding<br />
Gruppenrichtlinie für Ordneroptionen<br />
Gruppenrichtlinie für geplante Tasks<br />
Gruppenrichtlinie für die Registrierung<br />
EFS-Wiederherstellung<br />
802.3-Gruppenrichtlinie<br />
Gruppenrichtlinie für Drucker<br />
Gruppenrichtlinie für Verknüpfungen<br />
Microsoft-Offlinedateien<br />
Softwareinstallation<br />
IP-Sicherheit<br />
Gruppenrichtlinie für Interneteinstellungen<br />
Gruppenrichtlinie für Einstellungen für das Menü "Start"<br />
Gruppenrichtlinie für regionale Einstellungen<br />
Gruppenrichtlinie für Energieoptionen<br />
Gruppenrichtlinie für Anwendungen<br />
Enterprise QoS<br />
GUID<br />
{6232C319-91AC-4931-9385-E70C2B099F0E}<br />
{6A4C88C6-C502-4f74-8F60-2CB23EDC24E2}<br />
{7150F9BF-48AD-4da4-A49C-29EF4A8369BA}<br />
{728EE579-943C-4519-9EF7-AB56765798ED}<br />
{74EE6C03-5363-4554-B161-627540339CAB}<br />
{7933F41E-56F8-41d6-A31C-4148A711EE93}<br />
{827D319E-6EAC-11D2-A4EA-00C04F79F83A}<br />
{8A28E2C5-8D06-49A4-A08C-632DAA493E17}<br />
{91FBB303-0CD9-4055-BF42-E512A681B325}<br />
{A2E30F80-D7DE-11d2-BBDE-00C04F86AE3B}<br />
{A3F3E39B-5D83-4940-B954-28315B82F0A8}<br />
{AADCED64-746C-4633-A97C-D61349046527}<br />
{B087BE9D-ED37-454f-AF9C-04291E351182}<br />
{B1BE8D72-6EAC-11D2-A4EA-00C04F79F83A}<br />
{B587E2B1-4D59-4e7e-AED9-22B9DF11D053}<br />
{BC75B1ED-5833-4858-9BB8-CBF0B166DF9D}<br />
{C418DD9D-0D14-4efb-8FBF-CFE535C8FAC7}<br />
{C631DF4C-088F-4156-B058-4375F0853CD8}<br />
{c6dc5466-785a-11d2-84d0-00c04fb169f7}<br />
{e437bc1c-aa7d-11d2-a382-00c04f991e27}<br />
{E47248BA-94CC-49c4-BBB5-9EB7F05183D0}<br />
{E4F48E54-F38D-4884-BFB9-D4D2E5729C18}<br />
{E5094040-C46C-4115-B030-04FB2E545B00}<br />
{E6288F0-25FD-4c90-BFF5-F508B9D2E31F}<br />
{F9C77450-3A41-477E-9310-9ACD617BD9E3}<br />
{FB2CA36D-0B40-4307-821B-A13B252DE56C}<br />
Anfängliche Verarbeitung von Gruppenrichtlinienobjekten<br />
Wenn ein neues Gruppenrichtlinienobjekt erstellt oder geändert wird, werden die darin enthaltenen<br />
Richtlinieneinstellungen nur auf Clientcomputern verarbeitet, wenn dies vom Client explizit angefordert<br />
wird. Diese Anforderung erfolgt zu verschiedenen Zeitpunkten und kann von bestimmten Bedingungen<br />
abhängen:<br />
• Dem Typ des verwendeten Betriebssystems<br />
• Angaben dazu, ob der Computer zu einer Domäne gehört oder nicht<br />
• Der Position des Computers in <strong>Active</strong> <strong>Directory</strong><br />
• Qualität oder Art der Netzwerkverbindung (z.B. langsame DFÜ- oder VPN-Verbindung)<br />
• Aktualisierungseinstellungen im Hintergrund (standardmäßige Aktualisierungszeiten sind<br />
5Minuten für einen Domänencontroller und 90 Minuten + einer beliebigen maximal 30-minütigen<br />
Abweichung für Domänenmitglieder. Hinweis: Eine Verkürzung ist nicht möglich.)
Gruppenrichtlinienverarbeitung 407<br />
Gruppenrichtlinieneinstellungen werden in verschiedenen Abständen angefordert und auf Benutzer<br />
und Computer angewendet. Beim Start eines Computers werden die Computerrichtlinieneinstellungen<br />
angewendet. Sobald sich ein Benutzer am Computer anmeldet, werden die Benutzerrichtlinieneinstellungen<br />
angewendet. Je nach verwendetem Betriebssystem kann dies mithilfe synchroner oder<br />
asynchroner Verarbeitungsmethoden erfolgen.<br />
Direkt von der Quelle: Synchrone und asynchrone Gruppenrichtlinienverarbeitung<br />
Windows Server 2008 bietet eine synchrone und asynchrone Gruppenrichtlinienverarbeitung. Die<br />
asynchrone Gruppenrichtlinienverarbeitung (auch Hintergrundverarbeitung genannt) ist die Standardverarbeitungsmethode<br />
für Gruppenrichtlinien unter Windows Server 2008, Windows Vista,<br />
Windows Server 2003 und Windows XP. In diesem Modus erfolgt die Verarbeitung von Computerund<br />
Benutzergruppenrichtlinien im Hintergrund, während der Computer gestartet wird oder der<br />
Benutzer sich anmeldet. Diese Methode verkürzt die Anmeldedauer, da der Computer bzw. Benutzer<br />
nicht warten muss, bis die Gruppenrichtlinienverarbeitung abgeschlossen ist. Ordnerumleitung<br />
und Softwareinstallation werden dagegen nur während der synchronen Gruppenrichtlinienverarbeitung<br />
angewendet, da das asynchrone Anwenden dieser Richtlinieneinstellungen (im Hintergrund)<br />
zur Instabilität des Computers oder zum Datenverlust führen könnte. Die synchrone Gruppenrichtlinienverarbeitung<br />
gilt ferner standardmäßig für Benutzer mit einem servergespeicherten Profil,<br />
Basisverzeichnis oder Benutzeranmeldeskript.<br />
Im Gegensatz zur asynchronen Verarbeitung erfolgt die synchrone Gruppenrichtlinienverarbeitung<br />
während des Computerstarts und der Benutzeranmeldung und muss abgeschlossen sein, bevor der<br />
nächste Schritt des Anmeldevorgangs beginnen kann. Die Verarbeitung von Computergruppenrichtlinien<br />
muss beendet sein, damit Windows eine Benutzeranmeldung erlaubt. Die Verarbeitung<br />
von Benutzergruppenrichtlinien muss beendet sein, damit Windows den Benutzerdesktop bereitstellt.<br />
Regelmäßige Gruppenrichtlinienaktualisierungen werden stets ungeachtet des Verarbeitungsmodus<br />
von Gruppenrichtlinien asynchron verarbeitet.<br />
Im Gruppenrichtlinienmodul können Sie den Verarbeitungsmodus von Gruppenrichtlinien für<br />
Computer und Benutzer ändern, indem Sie die Richtlinieneinstellung Beim Neustart des Computers<br />
und bei der Anmeldung immer auf das Netzwerk warten unter Computerkonfiguration\<br />
Richtlinien\Administrative Vorlagen\System\Anmelden aktivieren.<br />
Mike Stephens<br />
Group Policy Technical Writer<br />
Management and Solutions<br />
Zur Verkürzung der Anmeldedauer sind Clientcomputer mit Windows XP Professional und Windows<br />
Vista für die Verwendung der Funktion Optimierung für schnelles Anmelden konfiguriert. Diese<br />
Funktion ermöglicht die asynchrone Verarbeitung von Gruppenrichtlinieneinstellungen beim Computerstart<br />
und der Benutzeranmeldung. Das Ergebnis ist, dass Benutzer einen Computer schneller starten<br />
und sich anmelden können, während Gruppenrichtlinieneinstellungen im Hintergrund angewendet<br />
werden.<br />
Hinweis Sie können die Einstellung Optimierung für schnelles Anmelden bearbeiten, indem Sie in der<br />
Konsole Gruppenrichtlinienverwaltung die Richtlinieneinstellung Beim Neustart des Computers und bei der<br />
Anmeldung immer auf das Netzwerk warten unter Computerkonfiguration\Richtlinien\Administrative Vorlagen\System\Anmelden<br />
konfigurieren.
408 Kapitel 11: Einführung in Gruppenrichtlinien<br />
Wichtig ist der Hinweis, dass Optimierung für schnelles Anmelden unter folgenden Bedingungen<br />
nicht wirksam wird und in einer synchronen Verarbeitung von Gruppenrichtlinieneinstellungen resultiert:<br />
• Wenn sich ein Benutzer erstmals an einem neuen oder anderen Computer anmeldet<br />
• Wenn ein Benutzer für die Verwendung synchroner Anmeldeskripts konfiguriert ist<br />
• Wenn ein Benutzer für Anmeldezwecke mit einem servergespeicherten Benutzerprofil oder Basisverzeichnis<br />
konfiguriert ist<br />
• Wenn Richtlinieneinstellungen zur Softwareinstallation angewendet werden<br />
Hinweis Windows 2000 und alle Windows Server-Versionen arbeiten mit der synchronen Verarbeitung bei<br />
der Anwendung von Gruppenrichtlinieneinstellungen und unterstützen nicht die Optimierung für schnelles<br />
Anmelden.<br />
Hinweis Die Richtlinien Softwareinstallation und Ordnerumleitung werden nur während der synchronen<br />
Richtlinienverarbeitung angewendet. Wenn die asynchrone Verarbeitung aktiviert ist, sind bei diesen Erweiterungen<br />
zwei Anmeldungen erforderlich, um die Richtlinieneinstellungen anzuwenden. Die erste Anmeldung<br />
legt das synchrone Verarbeitungskennzeichen fest, die zweite Anmeldung bringt die Aufgabe zum<br />
Abschluss.<br />
Aktualisierungen von Gruppenrichtlinienobjekten im Hintergrund<br />
Sie können Änderungen an einem vorhandenen Gruppenrichtlinienobjekt vornehmen oder neue<br />
Richtlinieneinstellungen anwenden, nachdem sich Benutzer bereits an ihren Computern angemeldet<br />
haben. Um sicherzustellen, dass alle neuen oder geänderten Einstellungen von Gruppenrichtlinienobjekten<br />
umgesetzt werden, arbeitet das Gruppenrichtlinienmodul mit einem Hintergrundaktualisierungsintervall.<br />
Das Hintergrundaktualisierungsintervall hängt vom verwendeten Betriebssystem ab, was nachfolgend<br />
erklärt wird:<br />
• Auf Mitgliedsservern und Clientarbeitsstationen erfolgt die Hintergrundverarbeitung standardmäßig<br />
alle 90 Minuten plus einem beliebigen Wert von 0 bis 30 Minuten. Dieser Toleranzwert soll<br />
sicherstellen, dass nicht alle Computer gleichzeitig versuchen, ihre Richtlinieneinstellungen zu<br />
aktualisieren. Dies hat zur Folge, dass Änderungen an einer Gruppenrichtlinieneinstellung mindestens<br />
90 Minuten und höchstens 120 Minuten benötigen, um für Benutzer und Computer wirksam<br />
zu werden, die bereits am Netzwerk angemeldet sind.<br />
• Auf Domänencontrollern werden Gruppenrichtlinieneinstellungen standardmäßig alle 5 Minuten<br />
aktualisiert.<br />
Hinweis Bei allen Betriebssystemen gelten für die Verarbeitung von Sicherheitsrichtlinien dieselben<br />
Regeln wie für andere Richtlinieneinstellungen. Sicherheitseinstellungen werden jedoch unabhängig davon,<br />
ob sich die Gruppenrichtlinienobjekt-Einstellungen geändert haben oder nicht, auf Nichtdomänencontrollern<br />
alle 16 Stunden und auf Domänencontrollern alle 5 Minuten aktualisiert. Dies stellt sicher, dass sämtliche<br />
sicherheitsbezogenen Richtlinieneinstellungen stets über die neueste Konfiguration verfügen.<br />
Wichtig ist der Hinweis, dass das Hintergrundaktualisierungsintervall für die Benutzer- und Computerteile<br />
des Gruppenrichtlinienobjekts getrennt angewendet wird. Sie können das Verarbeitungsintervall<br />
und das Toleranzintervall ändern, indem Sie in der Konsole Gruppenrichtlinienverwaltung die<br />
folgenden Gruppenrichtlinieneinstellungen konfigurieren:
Gruppenrichtlinienverarbeitung 409<br />
• Gruppenrichtlinien-Aktualisierungsintervall für Computer unter Computerkonfiguration\Richtlinien\Administrative<br />
Vorlagen\System\Gruppenrichtlinie<br />
• Gruppenrichtlinien-Aktualisierungsintervall für Domänencontroller unter Computerkonfiguration\Richtlinien\Administrative<br />
Vorlagen\System\Gruppenrichtlinie<br />
• Gruppenrichtlinien-Aktualisierungsintervall für Benutzer unter Benutzerkonfiguration\Richtlinien\<br />
Administrative Vorlagen\System\Gruppenrichtlinie<br />
Hinweis Die Gruppenrichtlinien Softwareinstallation und Ordnerumleitung werden nur beim Computerstart<br />
oder der Benutzeranmeldung angewendet und unterliegen keinem Hintergrundaktualisierungsintervall. Ferner<br />
erfolgen für Skriptdateien in der clientseitigen Erweiterung Skripts und Datenträgerkontingente keine Hintergrundaktualisierungen.<br />
Auch wenn die clientseitige Erweiterung Skripts eine Hintergrundverarbeitung<br />
durchführt, um Registrierungszeiger einzurichten, werden die tatsächlichen Skriptdateien, auf die in der<br />
clientseitigen Erweiterung verwiesen wird, nur zu ihrem konfigurierten Zeitpunkt ausgeführt (z.B. beim Start,<br />
Herunterfahren, Anmelden oder Abmelden). Datenträgerkontingente gelten erst, nachdem der Computer neu<br />
gestartet wurde.<br />
Beziehung zwischen dem Verlauf eines Gruppenrichtlinienobjekts und<br />
Gruppenrichtlinienaktualisierungen<br />
Jeder Computer, der Gruppenrichtlinieneinstellungen verarbeitet, verwaltet in der lokalen Registrierung<br />
einen Verarbeitungsverlauf. Über diese Verlaufsinformationen kann z.B. geprüft werden, ob ein<br />
Gruppenrichtlinienobjekt sich seit seinem letzten Verarbeitungsintervall geändert hat. Zu den gespeicherten<br />
Verlaufsdaten gehören die GUID der verarbeiteten clientseitigen Erweiterungen, eine numerische<br />
Liste der Gruppenrichtlinienobjekte, die eine bestimmte clientseitige Erweiterung verwenden,<br />
der Anzeigename der einzelnen Gruppenrichtlinienobjekte, der Pfad zu Gruppenrichtliniencontainer<br />
und -vorlage jedes Gruppenrichtlinienobjekts und die Versionsnummer aller Gruppenrichtlinienobjekte<br />
zum Zeitpunkt der letzten Verarbeitung.<br />
Damit für eine bestimmte clientseitige Erweiterung eine Aktualisierung im Hintergrund erfolgt, muss<br />
die Versionsnummer des verarbeiteten Gruppenrichtlinienobjekts größer als die in den Verlaufsdaten<br />
aufgezeichnete Versionsnummer sein. Wenn die Versionsnummer zwischen dem Gruppenrichtlinienobjekt<br />
und den Verlaufsdaten identisch ist, wird die clientseitige Erweiterung für das bestimmte Gruppenrichtlinienobjekt<br />
nicht aktualisiert.<br />
Sie können die Verlaufsdaten von Gruppenrichtlinien auf einem Computer im Registrierungs-Editor<br />
im folgenden Registrierungsschlüssel anzeigen:<br />
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\GroupPolicy\History<br />
Abbildung 11.7 veranschaulicht die in der Registrierung eines typischen Netzwerkclients gespeicherten<br />
Verlaufsdaten. Sie sehen, dass die clientseitige Erweiterung {827D319E-6EAC-11D2-A4EA-<br />
00C04F79F83A} zuvor mithilfe zweiter Gruppenrichtlinienobjekte verarbeitet wurde. Das markierte<br />
Objekt ist die Default Domain Controller Policy (Standard-Domänencontrollerrichtlinie) mit der Version<br />
0x00010001. Damit die Verarbeitung im nächsten Aktualisierungsintervall stattfindet, muss die<br />
Versionsnummer des Computer- oder Benutzerteils des Gruppenrichtlinienobjekts größer als der aktuelle<br />
Wert sein. Ist dies nicht der Fall, findet die Hintergrundaktualisierung für diesen bestimmten Teil<br />
des Gruppenrichtlinienobjekts nicht statt.
410 Kapitel 11: Einführung in Gruppenrichtlinien<br />
Abbildung 11.7<br />
Anzeigen von Verlaufsdaten zur Gruppenrichtlinienverarbeitung<br />
So funktioniert es: Funktionsweise der Versionsnummern von<br />
Gruppenrichtlinienobjekten<br />
Die Versionsnummer des Gruppenrichtlinienobjekts in der Datei GPT.INI entspricht der in einer<br />
Nummer zusammengefassten Computer- und Benutzerversionsnummer. Die Computerversionsnummer<br />
ist stets die niedrigere Hälfte, die Benutzerversionsnummer stets die höhere Hälfte des<br />
Wertes. Bei Umwandlung in eine Hexadezimalzahl wird die Computerversion in den ersten vier<br />
Hexadezimalzeichen angezeigt. Die Benutzerversionsnummer besteht aus den restlichen oberen<br />
Hexadezimalzeichen hinter den unteren vier Hexadezimalzeichen. Auf der Begleit-CD befinden<br />
sich zwei Skripts zum Anzeigen der Benutzer- und Computerversionsnummern eines lokalen Gruppenrichtlinienobjekts<br />
zur Veranschaulichung der Unterteilung dieser Komponenten mithilfe einer<br />
Maske. Siehe DisplayMachineVersionLGPO.vbs und DisplayUserVersionLGPO.vbs.<br />
Judith Herman, Group Policy Programming Writer<br />
Windows Enterprise Management Division UA<br />
Anhand von Verlaufsinformationen kann auch bestimmt werden, wann ein Gruppenrichtlinienobjekt<br />
gelöscht wurde. Wenn sich bei der Verarbeitung von Gruppenrichtlinienobjekten herausstellt, dass ein<br />
bestimmtes Gruppenrichtlinienobjekt gelöscht wurde oder nicht mehr gilt, werden die Richtlinieneinstellungen<br />
entfernt und in den meisten Fällen auf dem Netzwerkclient auf die Standardeinstellungen<br />
zurückgesetzt.
Ausnahmen bei den standardmäßigen Zeitpunkten der<br />
Hintergrundverarbeitung<br />
Gruppenrichtlinienverarbeitung 411<br />
Es gibt ggf. Situationen, in denen die Gruppenrichtlinienverarbeitung nicht den zuvor besprochenen<br />
Standardintervallen folgt. Ausnahmen erfolgen in folgenden Fällen:<br />
• Die Hintergrundaktualisierung von Gruppenrichtlinien wird auf dem Client auf Anforderung ausgelöst.<br />
• Das Gruppenrichtlinienmodul erkennt eine langsame Verbindung.<br />
• Die Loopbackverarbeitung findet statt.<br />
Erzwingen einer Hintergrundaktualisierung von Gruppenrichtlinien<br />
Nach dem Erstellen oder Ändern eines Gruppenrichtlinienobjekts wollen Sie ggf., dass die Richtlinieneinstellungen<br />
sofort umgesetzt werden. Um Clientcomputer zu zwingen, eine Aktualisierung<br />
von Gruppenrichtlinieneinstellungen anzufordern, müssen Sie das Befehlszeilenprogramm Gpupdate<br />
ausführen. Sie können mithilfe von Gpupdate sofort sämtliche Aktualisierungen des Gruppenrichtlinienobjekts<br />
empfangen, sofern der vom Client genutzte Domänencontroller die aktualisierten<br />
Inhalts- und Versionsinformationen von Gruppenrichtliniencontainer und -vorlage empfangen hat.<br />
Tabelle 11.4 zeigt die Syntax und Parameter bei Verwenden des Tools Gpupdate.<br />
Tabelle 11.4<br />
Gpupdate: Syntax und Parameter<br />
gpupdate [/target:{computer | user}] [/force] [/wait:Wert] [/logoff] [/boot]<br />
/target:{computer | user} Verarbeitet nur die Änderungen an den Computer- oder Benutzereinstellungen. Wenn Sie den<br />
Computer- oder Benutzerparameter nicht angeben, werden beide Einstellungen verarbeitet.<br />
/force<br />
Aktualisiert sämtliche Einstellungen des Gruppenrichtlinienobjekts, ob geändert oder nicht.<br />
/wait:Wert<br />
Anzahl der Sekunden, die bis zur Beendigung der Richtlinienverarbeitung gewartet wird. Der<br />
Standardwert ist 600 Sekunden. 0 entspricht keiner Wartezeit, –1 einer unbegrenzten Wartezeit.<br />
/logoff<br />
Meldet den Benutzer ab, nachdem die Richtlinienaktualisierung abgeschlossen wurde. Dies ist<br />
für clientseitige Erweiterungen erforderlich, die nicht während eines Hintergrundaktualisierungszyklus,<br />
sondern bei der Benutzeranmeldung verarbeitet werden, z.B. Softwareinstallation oder<br />
Ordnerumleitung. Diese Option hat keine Auswirkungen, falls keine Erweiterungen aufgerufen<br />
werden, die eine Abmeldung des Benutzers verlangen.<br />
/boot<br />
Führt nach Abschluss der Aktualisierung einen Neustart des Computers durch. Dies ist für<br />
clientseitige Erweiterungen wie Softwareinstallation erforderlich, die nicht während eines Hintergrundaktualisierungszyklus,<br />
sondern beim Computerstart verarbeitet werden. Diese Option hat<br />
keine Auswirkungen, falls keine Erweiterungen aufgerufen werden, die einen Neustart des<br />
Computers verlangen.<br />
/? Zeigt die Gpupdate-Hilfe an.<br />
Hinweis Gpupdate ersetzt den Befehl secedit /refreshpolicy, der unter Windows 2000 verwendet wurde.<br />
Unter Windows 2000 müssen Sie zum Aktualisieren von Richtlinieneinstellungen weiter secedit verwenden.
412 Kapitel 11: Einführung in Gruppenrichtlinien<br />
Verarbeiten von Gruppenrichtlinienobjekten bei sich ändernden Netzwerkbedingungen<br />
Windows Server 2008 und Windows Vista bieten eine neue Methode zum Reagieren auf sich<br />
ändernde Netzwerkbedingungen. Der Dienst für Netzwerkadressinformationen wurde eingeführt,<br />
damit kompatible Anwendungen Änderungen an den Netzwerkbedingungen und der Verfügbarkeit<br />
von Ressourcen erkennen und darauf reagieren können. Der Dienst für Netzwerkadressinformationen<br />
(NlaSvc) bietet für die Gruppenrichtlinienfunktionalität mehrere Vorteile:<br />
• Die Möglichkeit zu bestimmen, ob die Netzwerkkarte deaktiviert oder vom Netzwerk getrennt ist.<br />
Dadurch ergeben sich schnellere Startzeiten und kürzere Wartezeiten beim Ermitteln, ob das Netzwerk<br />
verfügbar ist.<br />
• Sofortige Aktualisierung von Richtlinieneinstellungen, sobald Domänencontroller wieder verfügbar<br />
sind. Computer, die beispielsweise aus dem Ruhezustand oder Standbymodus reaktiviert<br />
werden, müssen zum Verarbeiten von Richtlinieneinstellungen nicht auf das nächste Aktualisierungsintervall<br />
warten. Sobald die Verfügbarkeit von Domänencontrollern erkannt wird, lösen<br />
Richtlinieneinstellungen einen Aktualisierungszyklus aus. Die Gruppenrichtlinienverarbeitung<br />
wird außerdem ausgelöst, indem VPN- oder drahtlose Sitzungen eingerichtet werden, die Quarantäne<br />
erfolgreich beendet wird und ein Laptop an eine mit dem Netzwerk verbundene Dockingstation<br />
angedockt wird. Dadurch ergibt sich potenziell ein höherer Grad an Sicherheit auf<br />
Arbeitsstationen, indem Gruppenrichtlinienänderungen schneller umgesetzt werden.<br />
• Die Möglichkeit der Bestimmung von Bandbreitenbedingungen für die Verarbeitung von Gruppenrichtlinienobjekten<br />
und Aufhebung der Abhängigkeit vom ICMP-Protokoll (PING). Hierdurch<br />
können Unternehmen ihre Netzwerke mit Firewalls absichern und das ICMP-Protokoll<br />
filtern und dennoch weiterhin Gruppenrichtlinien anwenden.<br />
Abbildung 11.8<br />
Verbindungen<br />
Konfigurieren der Richtlinieneinstellung Gruppenrichtlinien zur Erkennung von langsamen
Gruppenrichtlinienverarbeitung 413<br />
Solange das Gruppenrichtlinienmodul erkennt, dass die Netzwerkbandbreite mindestens 500 KBit/s<br />
beträgt, werden alle Richtlinien wie erwartet verarbeitet. Wenn ermittelt wird, dass die Netzwerkbandbreite<br />
weniger als 500 KBit/s beträgt, werden nur clientseitige Erweiterungen verarbeitet, die als<br />
wichtig eingestuft werden. Sie können dieses Verhalten ändern, indem Sie die Gruppenrichtlinieneinstellung<br />
Gruppenrichtlinien zur Erkennung von langsamen Verbindungen unter Computerkonfiguration\Richtlinien\Administrative<br />
Vorlagen\System\Gruppenrichtlinie oder Benutzerkonfiguration\Richtlinien\Administrative<br />
Vorlagen\System\Gruppenrichtlinie konfigurieren. Abbildung 11.8 zeigt das<br />
Eigenschaftendialogfeld für Gruppenrichtlinien zur Erkennung von langsamen Verbindungen. Ist<br />
diese Einstellung deaktiviert oder nicht konfiguriert, wird der Standardwert 500 KBit/s verwendet. Sie<br />
können diese Einstellung auch deaktivieren, indem Sie die Verbindungsgeschwindigkeit auf 0 festlegen.<br />
So funktioniert es: Gruppenrichtlinien zur Erkennung von langsamen Verbindungen<br />
Der Gruppenrichtliniendienst bestimmt die Verbindungsgeschwindigkeit mithilfe des Dienstes für<br />
Netzwerkadressinformationen (NlaSvc), der den aktuellen TCP-Datenverkehr zwischen Client und<br />
Domänencontroller untersucht. Diese Untersuchung erfolgt in der Vorverarbeitungsphase von<br />
Gruppenrichtlinien, in der der Gruppenrichtliniendienst von der Kommunikation mit einem Domänencontroller<br />
abhängt, um computer- und benutzerspezifische Informationen und Gruppenrichtlinienobjekte<br />
im Geltungsbereich des Computers oder Benutzers abzurufen. Der Gruppenrichtliniendienst<br />
fordert den Dienst für Netzwerkadressinformationen auf, die TCP-Bandbreite an der<br />
Netzwerkschnittstelle zu untersuchen, die als Host des Domänencontrollers dient, kurz nachdem<br />
der Gruppenrichtliniendienst einen Domänencontroller erkannt hat. Der Gruppenrichtliniendienst<br />
setzt die Vorverarbeitungsphase fort, indem mit dem Domänencontroller kommuniziert wird, um<br />
die Rolle des aktuellen Computers (Mitglied oder Domänencontroller), den angemeldeten Benutzer<br />
und Gruppenrichtlinienobjekte im Geltungsbereich des Computers oder Benutzers zu ermitteln.<br />
Anschließend fordert der Gruppenrichtliniendienst den Dienst für Netzwerkadressinformationen<br />
auf, die Untersuchung des TCP-Datenverkehrs zu beenden und eine geschätzte Bandbreite<br />
zwischen dem Computer und dem Domänencontroller basierend auf dieser Untersuchung anzugeben.<br />
Der Gruppenrichtliniendienst stuft eine Verbindung als langsam ein, wenn die ermittelte Verbindungsgeschwindigkeit<br />
unter 500 KBit/s liegt. Administratoren können mithilfe einer Richtlinieneinstellung<br />
festlegen, was im Rahmen der Anwendung von Gruppenrichtlinien als langsame<br />
Verbindung gelten soll.<br />
Mike Stephens<br />
Group Policy Technical Writer<br />
Management and Solutions Division UA<br />
Zu Problembehandlungszwecken ist es wichtig zu verstehen, wie die einzelnen clientseitigen Erweiterungen<br />
von der Erkennung einer langsamen Verbindung betroffen sind (siehe dazu Tabelle 11.5).<br />
Tabelle 11.5<br />
Standardeinstellungen für die Verarbeitung bei erkannter langsamer Verbindung<br />
Clientseitige Erweiterung<br />
Administrative Vorlagen<br />
Softwareinstallation<br />
Sicherheit<br />
Ordnerumleitung<br />
Standardverhalten bei langsamer Verbindung<br />
Wird verarbeitet (kann nicht deaktiviert werden)<br />
Wird nicht verarbeitet<br />
Wird verarbeitet (kann nicht deaktiviert werden)<br />
Wird nicht verarbeitet
414 Kapitel 11: Einführung in Gruppenrichtlinien<br />
Tabelle 11.5<br />
Standardeinstellungen für die Verarbeitung bei erkannter langsamer Verbindung (Fortsetzung)<br />
Clientseitige Erweiterung<br />
Skripts<br />
IP-Sicherheit<br />
Internet Explorer-Wartung und -Zonenzuordnung<br />
Microsoft-Datenträgerkontingente<br />
EFS-Wiederherstellung<br />
Gruppenrichtlinienerweiterung für Windows-Suchdienst<br />
QoS-Paketplaner und Enterprise QoS<br />
Gruppenrichtlinie für Drahtlosnetzwerk<br />
Bereitgestellte Druckerverbindungen<br />
802.3-Gruppenrichtlinie<br />
Microsoft-Offlinedateien<br />
Richtlinien für Softwareeinschränkung<br />
Gruppenrichtlinieneinstellungen<br />
Standardverhalten bei langsamer Verbindung<br />
Wird nicht verarbeitet<br />
Wird verarbeitet (kann nicht deaktiviert werden)<br />
Wird verarbeitet<br />
Wird nicht verarbeitet (aktuell zwischengespeicherte Kontingenteinstellungen<br />
werden jedoch erzwungen)<br />
Wird verarbeitet (kann nicht deaktiviert werden)<br />
Wird verarbeitet<br />
Wird verarbeitet (kann nicht deaktiviert werden)<br />
Wird verarbeitet<br />
Wird nicht verarbeitet<br />
Wird verarbeitet<br />
Wird verarbeitet<br />
Wird verarbeitet<br />
Wird verarbeitet<br />
Hinweis Sie können das Verhalten in Bezug auf die Verarbeitung von Gruppenrichtlinien für langsame<br />
Verbindungen für jede clientseitige Erweiterung in Tabelle 11.5 über die entsprechende Richtlinieneinstellung<br />
unter Computerkonfiguration\Richtlinien\Administrative Vorlagen\System\Gruppenrichtlinie ändern.<br />
Abbildung 11.9 zeigt beispielsweise die aktivierte clientseitige Erweiterung Verarbeitung der Richtlinie für die<br />
Internet Explorer-Wartung, die hier eine Verarbeitung über eine langsame Verbindung zulässt.<br />
Abbildung 11.9<br />
Konfigurieren des Verhaltens von Gruppenrichtlinien zur Erkennung von langsamen Verbindungen
Gruppenrichtlinienverarbeitung 415<br />
Loopbackverarbeitung von Gruppenrichtlinien<br />
Sobald sich ein Benutzer an einem Computer anmeldet, werden die für diesen Benutzer geltenden<br />
Richtlinieneinstellungen angewendet. Es kann jedoch Situationen geben, in denen dies nicht<br />
gewünscht ist. Wenn Sie die Loopbackverarbeitung aktivieren, bleiben die Computereinstellungen<br />
unabhängig davon, wer sich am Computer anmeldet, unverändert.<br />
Die Loopbackverarbeitung kann über die Option Loopbackverarbeitungsmodus für Benutzergruppenrichtlinie<br />
im Container Computerkonfiguration\Richtlinien\Administrative Vorlagen\System\Gruppenrichtlinie<br />
konfiguriert werden. Abbildung 11.10 zeigt die Konfigurationsoptionen.<br />
Abbildung 11.10<br />
Konfigurieren der Loopbackverarbeitung von Gruppenrichtlinien<br />
Bei aktivierter Loopbackverarbeitung haben Sie zwei Konfigurationsoptionen. Im Modus Zusammenführen<br />
wird die Liste der Gruppenrichtlinienobjekte für den Benutzer während des Anmeldeprozesses<br />
erfasst. Anschließend werden die Gruppenrichtlinienobjekte für das Computerkonto erfasst. Schließlich<br />
wird die Liste der Gruppenrichtlinienobjekte für das Computerkonto an die Liste der Gruppenrichtlinienobjekte<br />
für den Benutzer angehängt, wodurch die Gruppenrichtlinienobjekte des Computers<br />
eine höhere Priorität haben als die des Benutzers.<br />
Im Modus Ersetzen werden die Gruppenrichtlinienobjekte für das Benutzerkonto nicht erfasst. Nur<br />
die Liste der Gruppenrichtlinienobjekte, die auf dem Computerobjekt basiert, wird verarbeitet. Die<br />
Benutzerkonfigurationseinstellungen in dieser Liste werden auf den Benutzer angewendet.<br />
Die Loopbackverarbeitung von Gruppenrichtlinien ist in verschiedenen Szenarien nützlich, z.B. wenn<br />
Sie die Einstellungen eines Computers sperren müssen, der sich an einem öffentlichen Ort befindet.<br />
Angenommen, Sie betreuen einen Computer in einem öffentlichen Empfangsbereich, an dem sich<br />
Kunden anmelden dürfen. Da der Computer öffentlich zugänglich ist, soll sichergestellt sein, dass die<br />
Einstellungen des Computers unabhängig von der Person, die sich an ihm anmeldet, stets gesperrt<br />
sind. Sie können eine Sperrung aktivieren, indem Sie die öffentlichen Computer einer entsprechenden<br />
Organisationseinheit zuweisen und für diese eine restriktive Gruppenrichtlinie konfigurieren.
416 Kapitel 11: Einführung in Gruppenrichtlinien<br />
Anschließend können Sie die Loopbackverarbeitung für diese Organisationseinheit konfigurieren.<br />
Wenn sich nun ein Benutzer am Computer anmeldet, wird dem Benutzer ein eingeschränkter Desktop<br />
auf dem öffentlichen Computer angezeigt, der auf administrativen Vorlagen und der Loopbackverarbeitung<br />
basiert.<br />
Implementieren von Gruppenrichtlinien<br />
Windows Server 2008 weist verschiedene Änderungen auf, wie Gruppenrichtlinien in <strong>Active</strong> <strong>Directory</strong><br />
implementiert werden. Ein Hauptunterschied ist, dass Gruppenrichtlinien nicht mehr über die<br />
Konsole <strong>Active</strong> <strong>Directory</strong>-Benutzer und -Computer verwaltet werden. Das Standardtool für die Verwaltung<br />
von Gruppenrichtlinien ist nun die Konsole Gruppenrichtlinienverwaltung, die unter den<br />
Betriebssystemen Windows Server 2008 und Windows Vista SP1 als installierbare Komponente zur<br />
Verfügung steht. Die Konsole Gruppenrichtlinienverwaltung dient als Zentrale für die Bereitstellung,<br />
Verwaltung, Bearbeitung von bzw. Berichterstellung zu Gruppenrichtlinieneinstellungen im gesamten<br />
Unternehmen.<br />
Wenn die Serverrolle <strong>Active</strong> <strong>Directory</strong>-Domänendienste (AD DS) installiert wird, ist das Feature<br />
Gruppenrichtlinienverwaltung automatisch enthalten, das Zugriff auf die Konsole Gruppenrichtlinienverwaltung<br />
bietet. Sie können das Feature Gruppenrichtlinienverwaltung auch über den Assistenten<br />
zum Hinzufügen von Features in der Konsole Server-Manager auf beliebigen Mitgliedsservern<br />
installieren.<br />
Hinweis Unter Windows Vista ist die Konsole Gruppenrichtlinienverwaltung bereits installiert, auf die über<br />
Eingabe von gpmc.msc in das Feld Suche starten oder an der Eingabeaufforderung zugegriffen wird. Wenn<br />
Sie allerdings Windows Vista SP1 installieren, wird die Konsole Gruppenrichtlinienverwaltung entfernt und<br />
muss anschließend im Paket mit den Remoteserver-Verwaltungstools aus dem Microsoft Download Center<br />
heruntergeladen werden.<br />
Nach der Installation der Konsole Gruppenrichtlinienverwaltung kann auf diese zugegriffen werden,<br />
indem Sie auf die Schaltfläche Start klicken, auf Verwaltung zeigen und dann auf Gruppenrichtlinienverwaltung<br />
klicken. Sie können die Konsole Gruppenrichtlinienverwaltung auch starten, indem Sie<br />
gpmc.msc in das Dialogfeld Ausführen oder an der Befehlszeile eingeben. Abbildung 11.4 zeigt die<br />
Oberfläche der Konsole Gruppenrichtlinienverwaltung.<br />
Abbildung 11.11<br />
Verwalten von Gruppenrichtlinien in der Konsole Gruppenrichtlinienverwaltung
Übersicht über die Konsole Gruppenrichtlinienverwaltung<br />
Implementieren von Gruppenrichtlinien 417<br />
Wie Abbildung 11.11 zeigt, besteht die Konsole Gruppenrichtlinienverwaltung aus verschiedenen<br />
Knoten, die verschiedene Grade an Funktionalität bereitstellen. Der Knoten auf oberster Ebene gibt<br />
die Gesamtstruktur an, die im Fokus der Gruppenrichtlinienverwaltung steht. Wenn Sie Gruppenrichtlinieneinstellungen<br />
mehrerer Gesamtstrukturen verwalten möchten, können Sie weitere Gesamtstrukturknoten<br />
hinzufügen, indem Sie mit der rechten Maustaste auf den Knoten Gruppenrichtlinienverwaltung<br />
klicken und anschließend auf Gesamtstruktur hinzufügen klicken. Das Dialogfeld<br />
Gesamtstruktur hinzufügen bietet ein Feld zum Eingeben des Namens einer Domäne in der Gesamtstruktur,<br />
die Sie hinzufügen möchten. Solange ein Vertrauensverhältnis zur neuen Domäne besteht,<br />
wird die Verbindung gemeinsam mit Gesamtstrukturinformationen eingerichtet, die in der Konsole<br />
Gruppenrichtlinienverwaltung angezeigt werden sollen.<br />
Beim Erweitern des Knotens Gesamtstruktur werden vier weitere Knoten angezeigt. In der folgenden<br />
Aufstellung finden Sie eine Erläuterung zu jedem Knoten:<br />
• Domänen Der Knoten Domänen enthält eine Liste der Domänen, die für Gruppenrichtlinien verwaltet<br />
werden. Standardmäßig wird nur Ihre Anmeldedomäne gezeigt. Sie können jedoch weitere<br />
Domänen hinzufügen, indem Sie mit der rechten Maustaste auf den Knoten Domänen klicken und<br />
dann auf Domänen anzeigen klicken. Das Dialogfeld Domänen anzeigen bietet die Möglichkeit,<br />
in der Konsole Gruppenrichtlinienverwaltung Domänen auszuwählen oder zu entfernen.<br />
• Standorte Der Knoten Standorte enthält eine Liste der Standorte in der <strong>Active</strong> <strong>Directory</strong>-Gesamtstruktur.<br />
Standardmäßig wird Standorte in der Konsole nicht angezeigt. Sie können jedoch Standorte<br />
hinzufügen, indem Sie mit der rechten Maustaste auf den Knoten Standorte klicken und dann<br />
auf Standorte anzeigen klicken. Das Dialogfeld Standorte anzeigen bietet die Möglichkeit, in der<br />
Konsole Gruppenrichtlinienverwaltung Standorte auszuwählen oder zu entfernen.<br />
Hinweis Um tatsächlich Standorte für bestimmte Subnetze zu erstellen, müssen Sie die Konsole<br />
<strong>Active</strong> <strong>Directory</strong>-Standorte und -Dienste verwenden.<br />
• Gruppenrichtlinienmodellierung Der Knoten Gruppenrichtlinienmodellierung ermöglicht den Einsatz<br />
des Gruppenrichtlinienmodellierungs-Assistenten zum Erstellen und Speichern simulierter<br />
Szenarien für die Anwendung und Verarbeitung von Gruppenrichtlinien in Ihrem Unternehmen.<br />
Sie können hiermit ferner „Was wäre, wenn?“-Szenarien testen, z.B. Computer oder Benutzer in<br />
andere Container verschieben und andere Filteroptionen anwenden, z.B. Sicherheitsgruppen und<br />
WMI-Filter (Windows Management Instrumentation). Hinweis: Das Modellierungstool berücksichtigt<br />
keine lokalen Richtlinieneinstellungen auf einem Computer. Aus diesem Grund können<br />
sich Ihre Ergebnisse von den tatsächlichen Ergebnissen nach der Bereitstellung unterscheiden,<br />
wenn Sie in Ihrer Umgebung mit lokalen Gruppenrichtlinienobjekten arbeiten.<br />
• Gruppenrichtlinienergebnisse Der Knoten Gruppenrichtlinienergebnisse ermöglicht den Einsatz<br />
des Gruppenrichtlinienergebnis-Assistenten zum Bestimmen aktueller Ergebnisse der Richtlinienverarbeitung<br />
für Benutzer und Computer in der <strong>Active</strong> <strong>Directory</strong>-Umgebung.<br />
Nachdem die Konsole Gruppenrichtlinienverwaltung gestartet wurde, erfolgen standardmäßig sämtliche<br />
Verwaltungsaufgaben auf dem Domänencontroller mit der Rolle PDC-Emulator. In den meisten<br />
Fällen sollten Sie diese Standardeinstellung übernehmen, um zu verhindern, dass mehrere Administratoren<br />
nicht kompatible Änderungen an den Gruppenrichtlinieneinstellungen vornehmen.
418 Kapitel 11: Einführung in Gruppenrichtlinien<br />
Sollte der PDC-Emulator jedoch nicht verfügbar sein, wenn Sie eine Änderung durchführen möchten,<br />
können Sie den Domänencontroller auswählen, mit dem Sie eine Verbindung herstellen möchten.<br />
Wenn Sie nur über eine langsame Verbindung zum PDC-Emulator gelangen, können Sie eine Umleitung<br />
zu einem lokalen Domänencontroller wählen. Dabei kann es allerdings vorkommen, dass neu<br />
erstellte Container und Objekte erst mit Verzögerung angezeigt werden. Eine weitere Möglichkeit ist<br />
das Verwenden von Remotedesktop zum Herstellen einer Verbindung mit dem Domänencontroller mit<br />
der Rolle PDC-Emulator und das direkte Konfigurieren von Gruppenrichtlinieneinstellungen auf dem<br />
Domänencontroller.<br />
Wie Abbildung 11.11 zeigt, können Sie prüfen, welcher Domänencontroller den Fokus hat, indem Sie<br />
auf der Registerkarte Inhalt des Knotens Domänen die Spalte Aktueller Domänencontroller untersuchen.<br />
Sie können auch den Domänencontroller ändern, der im Fokus der Konsole Gruppenrichtlinienverwaltung<br />
ist, indem Sie mit der rechten Maustaste auf den Domänennamen klicken und dann auf<br />
Domänencontroller ändern klicken. Abbildung 11.12 zeigt die Optionen im Dialogfeld Domänencontroller<br />
ändern.<br />
Abbildung 11.12<br />
Ändern des Domänencontrollers im Fokus der Konsole Gruppenrichtlinienverwaltung<br />
Erstellen und Verknüpfen von Gruppenrichtlinienobjekten in der Konsole<br />
Gruppenrichtlinienverwaltung<br />
Das Erstellen eines Gruppenrichtlinienobjekts umfasst zwei getrennte Aufgaben. Das Gruppenrichtlinienobjekt<br />
muss zuerst erstellt, mit den gewünschten Richtlinieneinstellungen konfiguriert und<br />
anschließend mit dem Domänen-, Standort- oder Organisationseinheitscontainer in <strong>Active</strong> <strong>Directory</strong><br />
verknüpft werden.
Implementieren von Gruppenrichtlinien 419<br />
Hinweis Ein einzelnes Gruppenrichtlinienobjekt kann in <strong>Active</strong> <strong>Directory</strong> mit mehreren Containern auf verschiedenen<br />
Stufen von <strong>Active</strong> <strong>Directory</strong> verknüpft werden. Doch aufgrund potenzieller Leistungsengpässe<br />
werden Kreuzverknüpfungen von Gruppenrichtlinienobjekten mit anderen Domänen meist nicht empfohlen.<br />
Ihre IT-Verwaltungsstrategie oder persönlichen Vorlieben bestimmen, wie Sie Gruppenrichtlinienobjekte<br />
in der <strong>Active</strong> <strong>Directory</strong>-Umgebung erstellen und verknüpfen. Eine Methode sieht vor, zuerst<br />
im Container Gruppenrichtlinienobjekte alle benötigten Gruppenrichtlinienobjekte zu erstellen, ohne<br />
diese tatsächlich mit einer Domäne, einem Standort oder einer Organisationseinheit zu verknüpfen.<br />
Der Hauptvorteil dieser Methode besteht darin, dass Sie eine Gruppe von Administratoren für das<br />
Planen und Erstellen von Gruppenrichtlinienobjekten für eine bestimmte Domäne einteilen können,<br />
während sich eine zweite delegierte Gruppe um das Verknüpfen der konfigurierten Gruppenrichtlinienobjekte<br />
mit spezifischen Objekten in <strong>Active</strong> <strong>Directory</strong> kümmert. Führen Sie die folgenden Schritte<br />
aus, um Gruppenrichtlinienobjekte zu erstellen und zu verknüpfen:<br />
1. Erweitern Sie den Knoten Gesamtstruktur und dann den Knoten Domänen. Außerdem müssen Sie<br />
den Knoten mit dem Namen Ihrer Domäne erweitern.<br />
2. Markieren Sie den Container Gruppenrichtlinienobjekte. Beachten Sie, dass alle in der Domäne<br />
erstellten Gruppenrichtlinienobjekte im Detailbereich aufgeführt werden.<br />
3. Klicken Sie mit der rechten Maustaste auf den Container Gruppenrichtlinienobjekte, und wählen<br />
Sie Neu.<br />
4. Geben Sie in das Dialogfeld Neues Gruppenrichtlinienobjekt den Namen des Gruppenrichtlinienobjekts<br />
ein. Sie können auch ein Quell-Starter-Gruppenrichtlinienobjekt angeben. Ein Starter-<br />
Gruppenrichtlinienobjekt ist ein vorkonfiguriertes Gruppenrichtlinienobjekt mit Gruppenrichtlinieneinstellungen,<br />
die Sie als Ausgangsvorlage für das neue Gruppenrichtlinienobjekt<br />
verwenden können. Abbildung 11.13 zeigt das Dialogfeld Neues Gruppenrichtlinienobjekt.<br />
Abbildung 11.13<br />
Erstellen eines neuen Gruppenrichtlinienobjekts<br />
5. Klicken Sie auf OK, um das Dialogfeld Neues Gruppenrichtlinienobjekt zu schließen. Das neue<br />
Gruppenrichtlinienobjekt wird nun im Container Gruppenrichtlinienobjekte angezeigt.<br />
6. Um das Gruppenrichtlinienobjekt mit der Domäne, einem Standort oder einer bestimmten Organisationseinheit<br />
zu verknüpfen, klicken Sie mit der rechten Maustaste auf den Zielcontainer und klicken<br />
anschließend auf Vorhandenes Gruppenrichtlinienobjekt verknüpfen. Das in Abbildung 11.4<br />
gezeigte Dialogfeld Gruppenrichtlinienobjekt auswählen wird geöffnet.<br />
7. Wählen Sie das zu verknüpfende Gruppenrichtlinienobjekt aus, und klicken Sie dann auf OK.
420 Kapitel 11: Einführung in Gruppenrichtlinien<br />
Abbildung 11.14<br />
Verknüpfen eines Gruppenrichtlinienobjekts<br />
8. Wählen Sie den Container aus, mit dem Sie das Gruppenrichtlinienobjekt verknüpft haben. Im<br />
Detailbereich finden Sie Informationen zum verknüpften Gruppenrichtlinienobjekt, z.B. die Verknüpfungsreihenfolge,<br />
den Status der Verknüpfung und des Gruppenrichtlinienobjekts und ob die<br />
Verknüpfung erzwungen wird oder nicht.<br />
Die zweite Methode sieht vor, ein Gruppenrichtlinienobjekt für eine ausgewählte Domäne, einen<br />
Standort oder eine Organisationseinheit zu erstellen und dieses automatisch mit diesem bestimmten<br />
<strong>Active</strong> <strong>Directory</strong>-Objekt verknüpfen zu lassen. Der Hauptvorteil dieser Methode besteht darin, dass<br />
Erstellung und Verknüpfung in einem Schritt erfolgen, der für eine sofortige Anwendung der Richtlinieneinstellungen<br />
auf das Zielobjekt sorgt. Um ein verknüpftes Gruppenrichtlinienobjekt zu erstellen,<br />
klicken Sie mit der rechten Maustaste auf das Zielobjekt (Domäne, Standort oder Organisationseinheit),<br />
und wählen Sie Gruppenrichtlinienobjekt hier erstellen und verknüpfen aus. Sie können<br />
einen Namen und ein Quell-Starter-Gruppenrichtlinienobjekt mit dem zusätzlichen Vorteil angeben,<br />
dass das Gruppenrichtlinienobjekt automatisch mit dem Zielobjekt verknüpft wird.<br />
Hinweis Die Option Gruppenrichtlinienobjekt hier erstellen und verknüpfen steht für Standorte nicht zur<br />
Verfügung. Sie müssen das Gruppenrichtlinienobjekt vorab erstellen und für Standorte die Option Vorhandenes<br />
Gruppenrichtlinienobjekt verknüpfen auswählen.<br />
Ändern des Verarbeitungsbereichs von Gruppenrichtlinienobjekten<br />
Der Verwaltungsbereich eines Gruppenrichtlinienobjekts kann durch Konfiguration verschiedener<br />
Einstellungen geändert werden:<br />
• Ändern der Verknüpfungsreihenfolge<br />
• Deaktivieren des Gruppenrichtlinienobjekts bzw. von dessen Verknüpfung<br />
• Erzwingen oder Sperren einer Gruppenrichtlinienobjekt-Verknüpfung
Implementieren von Gruppenrichtlinien 421<br />
• Filtern der Anwendung eines Gruppenrichtlinienobjekts mithilfe von Sicherheitsgruppen oder<br />
WMI-Filtern (Windows Management Instrumentation)<br />
Ändern der Verknüpfungsreihenfolge von Gruppenrichtlinienobjekt-Verknüpfungen<br />
Wie zuvor erwähnt, übernehmen untergeordnete Container Gruppenrichtlinieneinstellungen standardmäßig<br />
von übergeordneten Containern. Sie erinnern sich, dass beim Start eines Computers oder der<br />
Anmeldung eines Benutzers Richtlinieneinstellungen in der folgenden Reihenfolge angewendet<br />
werden:<br />
1. Richtlinien der lokalen Gruppe Die erste Richtlinieneinstellung, die angewendet wird, ist stets die<br />
Richtlinie der lokalen Gruppe auf dem lokalen Computer.<br />
2. Auf Standortebene zugewiesene Gruppenrichtlinienobjekte Die zweiten anzuwendenden Richtlinieneinstellungen<br />
stammen aus Gruppenrichtlinienobjekten, die mit dem Standortobjekt in <strong>Active</strong><br />
<strong>Directory</strong> verknüpft sind.<br />
3. Auf Domänenebene zugewiesene Gruppenrichtlinienobjekte Die nächsten zu verarbeitenden Richtlinieneinstellungen<br />
stammen aus Gruppenrichtlinienobjekten, die dem Domänenobjekt in <strong>Active</strong><br />
<strong>Directory</strong> zugewiesen sind.<br />
4. Auf Organisationseinheitsebene zugewiesene Gruppenrichtlinienobjekte Wenn die Domäne mehrere<br />
Ebenen mit Organisationseinheiten enthält, werden schließlich die Gruppenrichtlinieneinstellungen<br />
für die Organisationseinheiten auf übergeordneter Ebene zuerst und anschließend die Gruppenrichtlinieneinstellungen<br />
für Organisationseinheiten auf untergeordneter Ebene angewendet.<br />
Häufig sind mehrere Gruppenrichtlinienobjekte mit mehreren <strong>Active</strong> <strong>Directory</strong>-Ebenen verknüpft. In<br />
diesem Fall bestimmt die Verknüpfungsreihenfolge die Reihenfolge, in der die Gruppenrichtlinienobjekte<br />
angewendet werden. Sie können die Verknüpfungsreihenfolge für einen bestimmten Container<br />
anzeigen und ändern (siehe Abbildung 11.15). Wichtig ist noch einmal der Hinweis, dass Gruppenrichtlinienobjekte<br />
in der Liste von unten nach oben verarbeitet werden. Eine<br />
Verknüpfungsreihenfolge mit höherer Nummer wird also von einer mit niedrigerer Nummer verarbeitet.<br />
Abbildung 11.15 zeigt beispielsweise drei mit der Organisationseinheit Vertrieb verknüpfte Gruppenrichtlinienobjekte.<br />
In diesem Fall wird zuerst die Skriptrichtlinie, dann die Ordnerumleitungsrichtlinie<br />
und schließlich die Desktoprichtlinie angewendet. In Konflikt stehende Richtlinieneinstellungen<br />
werden durch Einstellungen überschrieben, die in einem Gruppenrichtlinienobjekt mit niedrigerer<br />
Verknüpfungsreihenfolge (in diesem Fall die Desktoprichtlinie) konfiguriert sind. Sie können die Verknüpfungsreihenfolge<br />
ändern, indem Sie die Gruppenrichtlinienobjekt-Verknüpfung auswählen und<br />
anschließend links im Detailbereich auf einen der Pfeile klicken.<br />
Um besser nachvollziehen zu können, wie bei mehreren Gruppenrichtlinienobjekten Richtlinieneinstellungen<br />
verarbeitet werden, können Sie auch auf die Registerkarte Gruppenrichtlinienvererbung<br />
klicken. Die Spalte Rangfolge zeigt die Reihenfolge, in der Gruppenrichtlinienobjekte für einen<br />
Standort, eine Domäne oder Organisationseinheit verarbeitet werden (siehe Abbildung 11.16). Gruppenrichtlinienobjekte<br />
mit höherer Nummer werden vor Gruppenrichtlinienobjekten mit niedrigerer<br />
Nummer verarbeitet, was bedeutet, dass Gruppenrichtlinienobjekten mit niedrigerer Nummer bei in<br />
Konflikt stehenden Einstellungen Vorrang haben.
422 Kapitel 11: Einführung in Gruppenrichtlinien<br />
Abbildung 11.15<br />
Ändern der Verknüpfungsreihenfolge von Gruppenrichtlinienobjekten<br />
Abbildung 11.16<br />
Anzeigen der Rangfolge von Gruppenrichtlinienobjekten<br />
Aktivieren und Deaktivieren der Richtlinienverarbeitung<br />
Auf der Registerkarte Details eines bestimmten Gruppenrichtlinienobjekts können Sie Gruppenrichtlinienobjekte<br />
durch Ändern ihres Status aktivieren bzw. deaktivieren. Abbildung 11.17 zeigt die verfügbaren<br />
Optionen zum Ändern des Status von Gruppenrichtlinienobjekten sowie die Optionen und<br />
ihren Zweck:<br />
• Alle Einstellungen deaktiviert Diese Option deaktiviert das Gruppenrichtlinienobjekt und beendet<br />
die Verarbeitung konfigurierter Richtlinieneinstellungen.<br />
• Computerkonfigurationseinstellungen deaktiviert Diese Option deaktiviert die Computereinstellungen<br />
des Gruppenrichtlinienobjekts. Sie können diesen Abschnitt deaktivieren, wenn es bezüglich<br />
der Computerkonfiguration im Gruppenrichtlinienobjekt keine zu verarbeitenden Einstellungen gibt.
Implementieren von Gruppenrichtlinien 423<br />
• Aktiviert Diese Option aktiviert die Verarbeitung des gesamten Gruppenrichtlinienobjekts.<br />
• Benutzerkonfigurationseinstellungen deaktiviert Diese Option deaktiviert nur die Benutzereinstellungen<br />
des Gruppenrichtlinienobjekts. Sie können diesen Abschnitt deaktivieren, wenn es<br />
bezüglich der Benutzerkonfiguration im Gruppenrichtlinienobjekt keine zu verarbeitenden Einstellungen<br />
gibt.<br />
Abbildung 11.17<br />
Ändern des Status eines Gruppenrichtlinienobjekts<br />
Es kann vorkommen, dass Sie die Verarbeitung von Gruppenrichtlinienobjekten für eine bestimmte<br />
Organisationseinheit deaktivieren müssen. Sie können jedoch nicht das gesamte Gruppenrichtlinienobjekt<br />
deaktivieren, da es mit anderen Containern in <strong>Active</strong> <strong>Directory</strong> verknüpft ist. In diesem Fall<br />
können Sie die zur Organisationseinheit gehörende Gruppenrichtlinienobjekt-Verknüpfung deaktivieren.<br />
Klicken Sie dazu mit der rechten Maustaste auf die zum Container gehörende Gruppenrichtlinienobjekt-Verknüpfung<br />
(Organisationseinheit, Domäne, Standort), und deaktivieren Sie das<br />
Kontrollkästchen Verknüpfung aktiviert. Dadurch wird die Verknüpfung ausschließlich für den ausgewählten<br />
Container deaktiviert. Alle anderen Gruppenrichtlinienobjekt-Verknüpfungen mit anderen<br />
Containern werden wie gewohnt weiter verarbeitet.<br />
Sperren und Erzwingen der Verarbeitung von Gruppenrichtlinienobjekten<br />
Es kann auch vorkommen, dass Sie die Vererbung verhindern möchten, damit keine Richtlinieneinstellungen<br />
auf höheren <strong>Active</strong> <strong>Directory</strong>-Ebenen angewendet werden. Angenommen, Sie haben eine<br />
domänenbasierte Richtlinieneinstellung eingerichtet, die den Befehl Ausführen von allen Computern<br />
entfernt. Diese Einstellung gilt standardmäßig für alle Computer in der Domäne. Es kann jedoch<br />
Benutzer geben, die den Befehl Ausführen benötigen, z.B. IT-Administratoren oder Helpdeskgruppen.<br />
Um diese Domänenrichtlinie außer Kraft zu setzen, können Sie diese Gruppen eigenen Organisationseinheiten<br />
zuordnen. Sie können anschließend die Richtlinienvererbung aufheben, indem Sie mit<br />
der rechten Maustaste auf die Organisationseinheit klicken und Vererbung deaktivieren auswählen. Ist<br />
Vererbung deaktivieren aktiviert, werden nur direkt mit dem Container verknüpfte Richtlinieneinstellungen<br />
angewendet.
424 Kapitel 11: Einführung in Gruppenrichtlinien<br />
Hinweis Wenn eine Organisationseinheit mit deaktivierter Vererbung konfiguriert ist, befindet sich ein<br />
blauer Kreis mit einem Ausrufezeichen auf dem Container, um Sie daran zu erinnern, dass die Vererbung ab<br />
dieser Stelle deaktiviert ist. Wenn der Container untergeordnete Container enthält, wird die Vererbung, falls<br />
nichts anderes konfiguriert ist, ab dieser Stelle fortgesetzt.<br />
Abbildung 11.18 zeigt die Organisationseinheit Marketing mit aktivierter Option Vererbung<br />
deaktivieren.<br />
Abbildung 11.18<br />
Deaktivieren der Gruppenrichtlinienvererbung<br />
Möglich ist auch, dass es verbindliche Richtlinieneinstellungen gibt, die auf alle Benutzer bzw.<br />
Computer in der <strong>Active</strong> <strong>Directory</strong>-Struktur angewendet werden müssen. Um zu verhindern, dass<br />
Administratoren verbindliche Richtlinien deaktivieren, können Sie die Vererbung erzwingen. Wird<br />
eine Gruppenrichtlinienobjekt-Verknüpfung erzwungen, werden sämtliche Richtlinieneinstellungen<br />
im erzwungenen Gruppenrichtlinienobjekt ungeachtet der Einstellung Vererbung deaktivieren angewendet.<br />
Um die Verarbeitung von Gruppenrichtlinienobjekten zu erzwingen, klicken Sie mit der rechten<br />
Maustaste auf die Gruppenrichtlinienobjekt-Verknüpfung des Containers, ab dem die Erzwingung<br />
erfolgen soll, und klicken Sie dann auf Erzwungen. Wenn die Erzwingung einer Gruppenrichtlinienobjekt-Verknüpfung<br />
konfiguriert ist, wird ein Schlosssymbol zur Kennzeichnung angezeigt. Sie können<br />
auch die Registerkarte Gruppenrichtlinienvererbung für untergeordnete Containerobjekte anzeigen,<br />
um eine erzwungene Gruppenrichtlinienobjekt-Verknüpfung zu überprüfen. Abbildung 11.19<br />
zeigt die Registerkarte Gruppenrichtlinienvererbung der Organisationseinheit Marketing. Wie Sie<br />
sehen, wird die Standarddomänenrichtlinie auch dann erzwungen, wenn Vererbung deaktivieren aktiviert<br />
ist (was durch das Ausrufezeichen angezeigt wird).
Implementieren von Gruppenrichtlinien 425<br />
Abbildung 11.19<br />
Anzeigen der Erzwingung von Gruppenrichtlinien<br />
Filtern der Verarbeitung von Gruppenrichtlinienobjekten mithilfe von Sicherheitsgruppen<br />
und WMI<br />
Eine weitere Möglichkeit zum Ändern des Verarbeitungsbereichs von Gruppenrichtlinienobjekten ist<br />
das Filtern der Anwendung von Gruppenrichtlinieneinstellungen. Dies kann durch das Implementieren<br />
von Sicherheitsfilterung oder Verknüpfen eines WMI-Filters mit einem Gruppenrichtlinienobjekt<br />
erreicht werden.<br />
Übersicht über Sicherheitsfilterung Wenn Sie ein Gruppenrichtlinienobjekt erstellen, gelten die Richtlinieneinstellungen<br />
standardmäßig für alle authentifizierten Benutzer. Sie können diese Einstellung<br />
anzeigen, indem Sie ein Gruppenrichtlinienobjekt auswählen und auf die Registerkarte Bereich klicken.<br />
Wie Abbildung 11.20 zeigt, gibt der Abschnitt Sicherheitsfilterung an, dass die Richtlinieneinstellungen<br />
im Gruppenrichtlinienobjekt Desktoprichtlinie für alle Mitglieder der Gruppe Authentifizierte<br />
Benutzer gelten (zu der Standardbenutzer, -computer und -administratoren gehören).<br />
Mithilfe von Sicherheitsfilterung können Sie die Verarbeitung von Gruppenrichtlinienobjekten auf<br />
bestimmte Sicherheitsgruppen, Benutzer oder Computer abstimmen.<br />
Sie können angeben, welche Benutzer oder Computer dem Gruppenrichtlinienobjekt unterliegen sollen,<br />
indem Sie die Konten in der Liste Sicherheitsfilterung bearbeiten. Zum Konfigurieren dieser Einstellung<br />
müssen Sie zuerst die Gruppe Authentifizierte Benutzer aus der Liste entfernen. Fügen Sie<br />
anschließend der Liste die gewünschten Konten durch Klicken auf die Schaltfläche Hinzufügen hinzu.<br />
Wenngleich Sie beliebige Sicherheitsprinzipale hinzufügen können, wird empfohlen, stets <strong>Active</strong><br />
<strong>Directory</strong>-Sicherheitsgruppen und keine einzelnen Benutzer- oder Computerkonten zu wählen.
426 Kapitel 11: Einführung in Gruppenrichtlinien<br />
Abbildung 11.20<br />
Anzeigen der Sicherheitsfilterung von Gruppenrichtlinienobjekten<br />
Hinweis Sie können die tatsächliche Zugriffssteuerungsliste anzeigen, indem Sie zuerst auf die Registerkarte<br />
Delegierung und anschließend auf die Schaltfläche Erweitert klicken. In der Zugriffssteuerungsliste<br />
werden Sie bemerken, dass jedem Sicherheitsprinzipal, den Sie der Liste Sicherheitsfilterung hinzufügen,<br />
die Gruppenrichtlinienberechtigungen Zulassen: Lesen und Zulassen: Gruppenrichtlinie übernehmen hinzugefügt<br />
werden. Abbildung 11.21 zeigt die Marketingabteilung mit den aktivierten Berechtigungen Lesen<br />
und Gruppenrichtlinie übernehmen.<br />
Die Möglichkeit der Anwendung von Gruppenrichtlinieneinstellungen auf eine ausgewählte Gruppe<br />
ist in verschiedenen Situationen hilfreich. Angenommen, Sie müssen ein bestimmtes Softwarepaket<br />
für Benutzer installieren, die einer gemeinsamen Sicherheitsgruppe angehören, deren Benutzerkonten<br />
jedoch auf verschiedene Organisationseinheiten in der gesamten Domäne verteilt sind. Um diese<br />
Anwendung mithilfe von Gruppenrichtlinien zu installieren, können Sie das Gruppenrichtlinienobjekt<br />
mit einem übergeordneten Containerobjekt verknüpfen, das alle Benutzerkonten enthält (z.B. das<br />
Domänenobjekt) und anschließend den Sicherheitsfilter des Gruppenrichtlinienobjekts so ändern, dass<br />
die Richtlinie nur für die angegebene Gruppe gilt, die das Softwarepaket empfangen soll. Denkbar ist<br />
auch, dass ein Gruppenrichtlinienobjekt mit einer Organisationseinheit verknüpft ist, das nicht für alle<br />
Benutzer in dieser Organisationseinheit gelten soll. Sie haben nun zwei Optionen: Erstens können Sie<br />
eine Gruppe erstellen, die alle Benutzerkonten enthält, die Gruppenrichtlinieneinstellungen benötigen,<br />
und die Berechtigung Gruppenrichtlinien übernehmen für ausschließlich diese Gruppe konfigurieren.<br />
Zweitens können Sie eine Gruppe erstellen, die alle Benutzerkonten enthält, die die Gruppenrichtlinieneinstellungen<br />
nicht benötigen, und die Einstellung Verweigern für die Berechtigung<br />
Gruppenrichtlinien übernehmen auswählen, damit die Richtlinie für diese Benutzer nicht gilt.
Implementieren von Gruppenrichtlinien 427<br />
Abbildung 11.21<br />
Filter von Gruppenrichtlinienobjekten mithilfe der Zugriffssteuerungsliste<br />
Anwenden von WMI-Filtern auf Gruppenrichtlinienobjekte Windows Server 2008 bietet auch die Möglichkeit,<br />
die Anwendung von Gruppenrichtlinieneinstellungen basierend auf WMI-Filtern (Windows<br />
Management Instrumentation) zu filtern. Die WMI-Filter, die in WQL (WMI Query Language)<br />
geschrieben sind, dienen zur präziseren Angabe, welche Computer Gruppenrichtlinieneinstellungen<br />
empfangen sollen. Sie können beispielsweise mithilfe von WMI-Filtern angeben, dass ein Softwarepaket<br />
nur auf Computern mit mehr als 200 MB freiem Festplattenspeicher oder Computern mit mehr<br />
als 512 MB Arbeitsspeicher installiert werden soll. WMI-Filter werden von Windows XP, Windows<br />
Server 2003, Windows Vista und Windows Server 2008 unterstützt und von allen früheren Windows-<br />
Versionen ignoriert. Dies bedeutet, dass unter früheren Betriebssystemen alle Gruppenrichtlinienobjekte<br />
mit WMI-Filtern stets ungeachtet der zugewiesenen WMI-Abfrage angewendet werden.<br />
Der erste Schritt beim Verwenden von WMI-Filtern ist das Erstellen oder Abrufen einer WQL-<br />
Abfrage, die Ihre Anforderungen an das Gruppenrichtlinienobjekt erfüllt. Angenommen, Sie möchten<br />
mithilfe der gruppenrichtliniengesteuerten Softwareinstallation eine neue Anwendung nur auf Computern<br />
mit mindestens 100 MB freiem Speicherplatz auf Laufwerk C: bereitstellen. Die folgende Syntax<br />
enthält die WQL-Abfrage für dieses Szenario:<br />
Select * from Win32_LogicalDisk where FreeSpace > 104857600 AND Caption = "C:"<br />
Scriptomatic.exe ist ein Tool für das Erstellen von WQL-Abfragen, die anschließend kopiert und in<br />
einen WMI-Filter für die Gruppenrichtlinienfunktion und eingefügt werden können. Im Abschnitt<br />
„Weitere Ressourcen“ dieses Kapitels finden Sie Links zu Informationen zu diesem Dienstprogramm.<br />
Der zweite Schritt ist das Erstellen des WMI-Filters mithilfe der Konsole Gruppenrichtlinienverwaltung.<br />
Klicken Sie dazu mit der rechten Maustaste auf den Knoten WMI-Filter und anschließend auf<br />
Neu. Geben Sie anschließend einen Namen, eine Beschreibung und die dazugehörige Abfrage für den<br />
neuen WMI-Filter ein (siehe Abbildung 11.22).
428 Kapitel 11: Einführung in Gruppenrichtlinien<br />
Abbildung 11.22<br />
Filtern von Gruppenrichtlinienobjekten mithilfe von WMI-Filtern<br />
Der letzte Schritt ist das Verknüpfen des WMI-Filters mit einem Gruppenrichtlinienobjekt. Wählen<br />
Sie dazu das zu filternde Gruppenrichtlinienobjekt aus, und konfigurieren Sie danach unten auf der<br />
Registerkarte Bereich den WMI-Filter (siehe Abbildung 11.23).<br />
Abbildung 11.23<br />
Verknüpfen eines WMI-Filters mit einem Gruppenrichtlinienobjekt
Implementieren von Gruppenrichtlinien 429<br />
Gruppenrichtlinien und Entwurf von Organisationseinheiten<br />
Wie in Kapitel 5, „Entwerfen der <strong>Active</strong> <strong>Directory</strong>-Domänendienstestruktur“, besprochen, ist einer<br />
der Faktoren beim Erstellen des Entwurfs von Organisationseinheiten die Berücksichtigung der<br />
Gruppenrichtlinienverarbeitung. Dies ist besonders für Organisationseinheiten auf niedrigeren Ebenen<br />
wichtig, auf denen die Gruppenrichtlinienanforderungen wohl der wichtigste Faktor mit Einfluss<br />
auf den Entwurf sind. In den meisten Fällen sollte der Entwurf die Standardvererbung der<br />
Richtlinieneinstellungen ausnutzen.<br />
Auch wenn der Einsatz der Standardvererbung eines Ihrer Entwurfsziele ist, sind die meisten Großunternehmen<br />
einfach zu komplex, um damit in allen Situationen zurechtzukommen. Sie können<br />
beispielsweise einen Organisationseinheitsentwurf basierend auf Geschäftsbereichen oder Abteilungen<br />
einrichten, da die meisten Benutzer im selben Geschäftsbereich voraussichtlich dieselben<br />
Desktopeinstellungen und Anwendungszusammenstellungen nutzen. Doch einige der Benutzer in<br />
den einzelnen Geschäftsbereichen gehören aller Wahrscheinlichkeit nach einem Team an, das<br />
Abteilungsgrenzen überschreitet, entweder ständig oder für bestimmte Projekte. Die anderen Abteilungen<br />
haben ggf. unterschiedliche Softwareanforderungen, weshalb der Benutzer auf Anwendungen<br />
aller Abteilungen zugreifen können muss. Da diese Typen komplexer Konfigurationen in<br />
den meisten Unternehmen vorkommen, bietet Windows Server 2008 die in diesem Abschnitt<br />
beschriebenen Optionen zum Ändern der Standardanwendung von Gruppenrichtlinieneinstellungen.<br />
Delegieren der Verwaltung von Gruppenrichtlinienobjekten<br />
Wie in Kapitel 9, „Entwerfen der <strong>Active</strong> <strong>Directory</strong>-Domänendienstestruktur“, besprochen, ist einer<br />
der Hauptvorteile von <strong>Active</strong> <strong>Directory</strong> die Möglichkeit, viele der administrativen Aufgaben innerhalb<br />
des Unternehmens zu delegieren. Die Verwaltung von Gruppenrichtlinien bildet keine Ausnahme,<br />
denn Sie können auch die Verwaltung dieses wichtigen Verwaltungsinstruments delegieren.<br />
Für die Delegierung der Verwaltung von Gruppenrichtlinien gibt es drei Optionen. Erstens können Sie<br />
die Berechtigung zum Erstellen, Löschen und Ändern von Gruppenrichtlinienobjekten delegieren.<br />
Standardmäßig haben nur die Gruppen Domänen-Admins und Richtlinien-Ersteller-Besitzer und das<br />
Konto System dieses Recht. Für die Gruppe Richtlinien-Ersteller-Besitzer gilt die zusätzliche Einschränkung,<br />
dass die Mitglieder dieser Gruppe nur die Einstellungen von Gruppenrichtlinienobjekten<br />
ändern können, die sie selbst erstellen.<br />
Sie können das Recht zum Erstellen und Löschen von Gruppenrichtlinienobjekten anderen Gruppen<br />
oder Benutzern erteilen, indem Sie auf der Registerkarte Delegierung des Containers Gruppenrichtlinienobjekte<br />
auf Hinzufügen klicken. Abbildung 11.24 zeigt die Registerkarte Gruppenrichtlinienobjekte.<br />
Die zweite Option zum Delegieren der Verwaltung von Gruppenrichtlinien ist die Delegierung des<br />
Rechts zum Verwalten von Gruppenrichtlinienobjekt-Verknüpfungen. Diese Option erteilt nicht die<br />
Administratorberechtigung zum Ändern von Gruppenrichtlinienobjekten, sondern das Recht zum<br />
Hinzufügen oder Entfernen von Gruppenrichtlinienobjekt-Verknüpfungen für ein Containerobjekt.<br />
Die einfachste Möglichkeit zum Erteilen dieser Berechtigungsstufe bietet der Assistent zum Zuweisen<br />
der Objektverwaltung. Klicken Sie in der Konsole <strong>Active</strong> <strong>Directory</strong>-Benutzer und -Computer mit<br />
der rechten Maustaste auf das Objekt, dessen Verwaltung delegiert werden soll, und klicken Sie<br />
anschließend auf Objektverwaltung zuweisen, um den Assistenten zu starten.
430 Kapitel 11: Einführung in Gruppenrichtlinien<br />
Wenn Sie den Assistenten auf einer Organisationseinheitsebene starten, ist eine der Standardaufgaben,<br />
die delegiert werden kann, die Berechtigung zum Verwalten von Gruppenrichtlinienverknüpfungen.<br />
Die Benutzeroberfläche wird in Abbildung 11.25 gezeigt.<br />
Abbildung 11.24<br />
Delegieren der Berechtigung zum Verwalten von Gruppenrichtlinienobjekten<br />
Die dritte Möglichkeit zum Delegieren der Verwaltung von Gruppenrichtlinien besteht darin, Benutzern<br />
das Recht zum Generieren von Richtlinienergebnissatz-Informationen zu erteilen. Sie können<br />
wiederum den Assistenten zum Zuweisen der Objektverwaltung verwenden, um das Recht zum<br />
Generieren von Richtlinienergebnissätzen im Protokollier- oder Planungsmodus zu erteilen.<br />
Abbildung 11.25 zeigt diese Delegierungsoption.<br />
Abbildung 11.25 Delegieren der Berechtigung zum Verwalten von Gruppenrichtlinienverknüpfungen und Erstellen<br />
von Richtlinienergebnissätzen
Implementieren von Gruppenrichtlinien 431<br />
Sie können auch in der Konsole Gruppenrichtlinienverwaltung das Recht zum Verwalten von<br />
Gruppenrichtlinienobjekt-Verknüpfungen, der Gruppenrichtlinienmodellierung und von Gruppenrichtlinienergebnissen<br />
delegieren. Die Registerkarte Delegierung für die Domänen- oder Organisationseinheitscontainer<br />
bietet die Möglichkeit, Benutzer und Gruppen hinzuzufügen und zu entfernen<br />
sowie eine bestimmte Berechtigung anzuwenden (siehe Abbildung 11.26).<br />
Abbildung 11.26 Delegieren der Berechtigung zum Verwalten von Gruppenrichtlinienverknüpfungen und<br />
Richtlinienergebnissätzen in der Konsole Gruppenrichtlinienverwaltung<br />
Implementieren von Gruppenrichtlinien zwischen Domänen und<br />
Gesamtstrukturen<br />
Mithilfe von Gruppenrichtlinien können Sie Richtlinieneinstellungen zwischen Domänen und sogar<br />
zwischen vertrauenswürdigen Gesamtstrukturen erzwingen. In beiden Fällen gibt es verschiedene<br />
signifikante Einschränkungen und Problematiken, mit denen Sie sich von der Implementierung solcher<br />
Richtlinieneinstellungen beschäftigen müssen.<br />
Nach Erstellen eines Gruppenrichtlinienobjekts in einem Windows Server 2008 <strong>Active</strong> <strong>Directory</strong> können<br />
Sie das Gruppenrichtlinienobjekt mit beliebigen Standorten, Domänen oder Organisationseinheiten<br />
in der Gesamtstruktur verknüpfen. Die Haupteinschränkung beim Verknüpfen von Gruppenrichtlinienobjekten<br />
zwischen Domänen besteht darin, dass die Gruppenrichtlinienobjekte nur auf den<br />
Domänencontrollern in der Domäne gespeichert werden, auf denen Sie erstellt wurden. Wenn Sie ein<br />
Gruppenrichtlinienobjekt mit einem Container in einer anderen Domäne verknüpfen möchten, sehen<br />
Sie sich ggf. signifikanten Problemen bei Netzwerkbandbreite und Sicherheit gegenüber. Beispiel:<br />
Wenn ein Gruppenrichtlinienobjekt mit einer Organisationseinheit in einer Domäne verknüpft ist, die<br />
sich von der unterscheidet, in der das Gruppenrichtlinienobjekt erstellt wurde, müssen alle Computer<br />
in der Organisationseinheit in der Lage sein, sich mit einem Domänencontroller in der Quelldomäne<br />
des Gruppenrichtlinienobjekts zu verbinden, um die Gruppenrichtlinie herunterzuladen. Wenn einer<br />
dieser Domänencontroller sich am selben Standort wie die Clientcomputer befindet, wird die Netzwerkbandbreite<br />
nicht wesentlich beeinträchtigt.
432 Kapitel 11: Einführung in Gruppenrichtlinien<br />
Wenn sich dagegen alle Domänencontroller, die über eine Kopie des Gruppenrichtlinienobjekts verfügen,<br />
an verschiedenen Standorten befinden und über eine langsame WAN-Verbindung verbunden<br />
sind, kann die Anwendung der Richtlinieneinstellungen sehr langsam erfolgen und die verfügbare<br />
Bandbreite beträchtlich beeinträchtigen. Wenn zudem die Benutzer in einer Domäne ein Gruppenrichtlinienobjekt<br />
aus einer anderen Domäne anwenden müssen, benötigen die Benutzer und Computer<br />
in der Zieldomäne Lesezugriff auf sowohl den Gruppenrichtliniencontainer in <strong>Active</strong> <strong>Directory</strong> als<br />
auch die Gruppenrichtlinienvorlage im Ordner SYSVOL. In den meisten Fällen ist es besser, Gruppenrichtlinienobjekte<br />
für jede einzelne Domäne zu erstellen, anstatt ein Gruppenrichtlinienobjekt in<br />
mehreren Domänen einzusetzen.<br />
Diese Probleme gelten auch bei Verwenden von Gruppenrichtlinien zwischen vertrauenswürdigen<br />
Gesamtstrukturen. Windows Server 2008 <strong>Active</strong> <strong>Directory</strong> bietet die Möglichkeit, dass vertrauenswürdige<br />
Gesamtstrukturen Gruppenrichtlinienobjekte gemeinsam nutzen. Diese Option kann hilfreich<br />
sein, wenn mobile Benutzer an verschiedenen Unternehmensstandorten in getrennten Gesamtstrukturen<br />
arbeiten. In diesem Szenario können für Benutzer, die sich an einem Computer in einer<br />
anderen Gesamtstruktur anmelden, weiterhin die Gruppenrichtlinieneinstellungen ihrer Stammdomäne<br />
gelten. Es folgen andere Features, die zwischen Gesamtstrukturen zur Verfügung stehen:<br />
• Die für die Softwareverteilung verwendeten Freigaben können sich in einer getrennten Gesamtstruktur<br />
befinden.<br />
• Anmeldeskripts auf einem Domänencontroller in einer anderen Gesamtstruktur können gelesen<br />
werden.<br />
• Umgeleitete Ordner und servergespeicherte Benutzerprofile können sich auf einem Computer in<br />
einer anderen Gesamtstruktur befinden.<br />
In allen Fällen können die Probleme bei Netzwerkbandbreite und Sicherheit bedeuten, dass es sinnvoller<br />
ist, in jeder Gesamtstruktur eigene Gruppenrichtlinienobjekte einzurichten, anstatt diese<br />
gesamtstrukturübergreifend zu implementieren.<br />
Verwalten von Gruppenrichtlinienobjekten<br />
In der Konsole Gruppenrichtlinienverwaltung können verschiedene Aufgaben zum Verwalten und<br />
Pflegen der Gruppenrichtlinieninfrastruktur ausgeführt werden, so z.B. die Folgenden:<br />
• Sichern und Wiederherstellen von Gruppenrichtlinienobjekten<br />
• Kopieren von Gruppenrichtlinienobjekten<br />
• Importieren von Einstellungen aus einem Gruppenrichtlinienobjekt<br />
• Modellieren von und Erstellen von Berichten zu Gruppenrichtlinienergebnissen<br />
Sichern und Wiederherstellen von Gruppenrichtlinienobjekten<br />
Sicherheit und Verwaltung Ihrer <strong>Active</strong> <strong>Directory</strong>-Infrastruktur hängen sehr stark von der Gruppenrichtlinienfunktion<br />
ab. Aus diesem Grund müssen Sie eine Sicherungsstrategie für die Gruppenrichtlinienobjekte<br />
in Ihrer Umgebung einrichten und verwalten. Die Konsole Gruppenrichtlinienverwaltung<br />
bietet eine Sicherungsfunktion, mit der Sie einzelne Gruppenrichtlinienobjekte bzw. alle in Ihrer<br />
Domäne konfigurierten Gruppenrichtlinienobjekte sichern können. Die Sicherungsfunktion kann auch<br />
zum Exportieren von Gruppenrichtlinienobjekten verwendet werden, die in andere Domänen oder<br />
<strong>Active</strong> <strong>Directory</strong>-Gesamtstrukturen migriert oder importiert werden sollen.
Verwalten von Gruppenrichtlinienobjekten 433<br />
Die Sicherungsfunktion in der Konsole Gruppenrichtlinienverwaltung sichert Gruppenrichtlinienobjekte<br />
in einem Ordner, der während des Sicherungsprozesses angegeben wird. Um die Sicherung<br />
durchführen zu können, benötigen Sie Leseberechtigungen für das Gruppenrichtlinienobjekt und<br />
Schreibberechtigungen für den Ordner, den die Sicherung als Zielspeicherort verwendet.<br />
Wichtig Es wird empfohlen, dass der Zielordner abgesichert wird und nur autorisierte Administratoren<br />
Zugriff auf die gesicherten Gruppenrichtlinienobjekte erhalten.<br />
Führen Sie die folgenden Schritte aus, um ein einzelnes Gruppenrichtlinienobjekt bzw. alle Gruppenrichtlinienobjekte<br />
in der Domäne zu sichern:<br />
1. Wechseln Sie in der Konsole Gruppenrichtlinienverwaltung zum Container Gruppenrichtlinienobjekte.<br />
2. Zum Sichern aller Gruppenrichtlinienobjekte in der Domäne klicken Sie mit der rechten Maustaste<br />
auf den Container Gruppenrichtlinienobjekte und wählen Alle sichern aus. Um nur ein<br />
einzelnes Gruppenrichtlinienobjekt zu sichern, klicken Sie mit der rechten Maustaste auf das<br />
Gruppenrichtlinienobjekt, und wählen anschließend Sichern aus. Bei beiden Vorgehensweisen<br />
wird das in Abbildung 11.27 gezeigte Dialogfeld geöffnet.<br />
Abbildung 11.27<br />
Sichern von Gruppenrichtlinienobjekten in der Konsole Gruppenrichtlinienverwaltung<br />
3. Geben Sie in das Feld Pfad den Pfad des Ordners ein, in dem die Gruppenrichtlinienobjekt-Sicherung<br />
gespeichert wird. Sie können auch eine Beschreibung des Sicherungsauftrags eingeben.<br />
4. Klicken Sie auf die Schaltfläche Sichern, um den Sicherungsvorgang zu starten.<br />
Über die Konsole Gruppenrichtlinienverwaltung können Sie Gruppenrichtlinienobjekte verwalten<br />
und wiederherstellen. Technisch wird jedes Gruppenrichtlinienobjekt mit Versionsinformationen,<br />
Zeitstempel der Sicherung und einer Beschreibung einzeln gesichert. Dadurch können Sie entweder<br />
die neueste Version eines bestimmten Gruppenrichtlinienobjekts oder bei Bedarf frühere Versionen<br />
wiederherstellen. Um ein Gruppenrichtlinienobjekt wiederherstellen zu können, benötigen Sie<br />
Berechtigungen zum Erstellen von Gruppenrichtlinienobjekten in der Domäne und Leseberechtigungen<br />
für den Ordner mit den gesicherten Gruppenrichtlinienobjekten.
434 Kapitel 11: Einführung in Gruppenrichtlinien<br />
Führen Sie zum Wiederherstellen von Gruppenrichtlinienobjekten in der Domäne die folgenden<br />
Schritte aus:<br />
1. Wechseln Sie in der Konsole Gruppenrichtlinienverwaltung zum Container Gruppenrichtlinienobjekte.<br />
2. Um die gesicherten Gruppenrichtlinienobjekte zu verwalten, klicken Sie mit der rechten Maustaste<br />
auf den Container Gruppenrichtlinienobjekte, und wählen Sie Sicherungen verwalten. Das in<br />
Abbildung 11.28 gezeigte Dialogfeld Sicherungen verwalten wird geöffnet.<br />
3. Wählen Sie das wiederherzustellende Gruppenrichtlinienobjekt aus, und klicken Sie dann auf die<br />
Schaltfläche Wiederherstellen. Sie können auch auf die Schaltfläche Einstellungen anzeigen klicken,<br />
um einen Bericht zu den Einstellungen anzuzeigen, die im Gruppenrichtlinienobjekt konfiguriert<br />
sind.<br />
Hinweis Sie können auch mit der rechten Maustaste auf ein einzelnes Gruppenrichtlinienobjekt klicken<br />
und dann auf Von Sicherung wiederherstellen klicken, wodurch der Assistent zum Wiederherstellen<br />
von Gruppenrichtlinienobjekten gestartet wird. Der einzige Unterschied ist, dass der Assistent nur<br />
das Gruppenrichtlinienobjekt wiederherstellt, das Sie ausgewählt hatten, und nicht das Dialogfeld Sicherungen<br />
verwalten anzeigt.<br />
Abbildung 11.28 Verwalten der Sicherungen von Gruppenrichtlinienobjekten in der Konsole<br />
Gruppenrichtlinienverwaltung
Kopieren von Gruppenrichtlinienobjekten<br />
Verwalten von Gruppenrichtlinienobjekten 435<br />
Über die in die Konsole Gruppenrichtlinienverwaltung integrierte Funktion Kopieren können Sie<br />
Gruppenrichtlinieneinstellungen aus einer Domäne in eine andere überführen. Für Kopiervorgänge<br />
benötigen Sie Leseberechtigungen für das Gruppenrichtlinienobjekt in der Quelldomäne und Schreibberechtigungen<br />
in der Zieldomäne zum Erstellen des neuen Gruppenrichtlinienobjekts. Klicken Sie<br />
zum Kopieren eines Gruppenrichtlinienobjekts mit der rechten Maustaste auf dasselbige, und klicken<br />
Sie anschließend auf Kopieren. Wechseln Sie anschließend zur Zieldomäne, klicken Sie mit der rechten<br />
Maustaste auf den Container Gruppenrichtlinienobjekte, und wählen Sie Einfügen aus. Der Assistent<br />
zum domänenübergreifenden Kopieren unterstützt Sie anschließend beim Kopiervorgang. Der<br />
Assistent befragt Sie ggf. nach der Konfiguration einer Migrationstabelle, um den Kopiervorgang in<br />
eine andere Domäne abzuschließen. Eine Migrationstabelle dient zum Übersetzen bestimmter Gruppenrichtlinienobjekt-Informationen,<br />
die ggf. in der neuen Domäne nicht geeignet sind. Sie können<br />
beispielsweise über ein Gruppenrichtlinienobjekt verfügen, das die Ordnerumleitung für Benutzer in<br />
der Quelldomäne ermöglicht. Wenn Sie versuchen, das Gruppenrichtlinienobjekt in eine neue Zieldomäne<br />
zu kopieren, kann eine Migrationstabelle zum Angeben neuer URL-Informationen für die<br />
Anforderungen an die Ordnerumleitung in der neuen Domäne verwendet werden.<br />
Importieren der Einstellungen von Gruppenrichtlinienobjekten<br />
In bestimmten Situationen müssen Sie ggf. Konfigurationen von Gruppenrichtlinienobjekten zwischen<br />
zwei nicht miteinander verbundenen Umgebungen kopieren. Um beispielsweise Gruppenrichtlinien<br />
in einer Testumgebung zu testen, müssen Sie ggf. die genehmigten Konfigurationen von Gruppenrichtlinienobjekten<br />
in Ihre Produktionsumgebung überführen. Der erste Schritt ist das Erstellen<br />
einer Sicherung der Gruppenrichtlinienobjekte (siehe „Sichern und Wiederherstellen von Gruppenrichtlinienobjekten“<br />
weiter oben in diesem Kapitel). Anschließend können Sie die Sicherungsdateien<br />
auf einen Wechseldatenträger oder an einen freigegebenen Netzwerkspeicherort kopieren. Der letzte<br />
Schritt besteht im Erstellen eines neuen Gruppenrichtlinienobjekts oder Überschreiben eines vorhandenen<br />
Gruppenrichtlinienobjekts, indem die gesicherten Gruppenrichtlinienobjekt-Einstellungen vom<br />
Wechseldatenträger oder aus dem freigegebenen Netzwerkspeicherort importiert werden. In diesem<br />
Szenario wird u. U. auch eine Migrationstabelle zum Angeben domänenspezifischer Einstellungen<br />
wie Sicherheitsgruppen und UNC-Pfade verwendet.<br />
Modellieren von und Erstellen von Berichten zu<br />
Gruppenrichtlinienergebnissen<br />
Windows Server 2008 erfasst Daten zur Gruppenrichtlinienverarbeitung und speichert diese in einer<br />
WMI-Datenbank auf dem lokalen Computer. Diese Daten enthalten die Liste, den Inhalt und Protokollinformationen<br />
jedes verarbeiteten Gruppenrichtlinienobjekts und dienen zum Bestimmen, wie<br />
Richtlinieneinstellungen auf Benutzer und Computer angewendet werden. Das dazugehörige Feature<br />
heißt Richtlinienergebnissatz. Richtlinienergebnissatz kann im Protokollierungsmodus und im Planungsmodus<br />
ausgeführt werden. Der Protokollierungsmodus liefert Informationen zu allgemeinen<br />
Richtlinienergebniseinstellungen, die für einen vorhandenen Benutzer oder Computer gelten. Der<br />
Planungsmodus ermöglicht das Simulieren der Richtlinienergebniseinstellungen, die basierend auf<br />
bestimmten Variablen ggf. auf einen Benutzer oder Computer angewendet werden sollen.<br />
Die Konsole Gruppenrichtlinienverwaltung integriert die Protokollier- und Planungsmodi von Richtlinienergebnissatz.<br />
Der Planungsmodus wird als Gruppenrichtlinienmodellierung, der Protokolliermodus<br />
als Gruppenrichtlinienergebnisse bezeichnet.
436 Kapitel 11: Einführung in Gruppenrichtlinien<br />
Gruppenrichtlinienmodellierung<br />
Das Feature Gruppenrichtlinienmodellierung ermöglicht basierend auf Ihrer aktuellen Gruppenrichtlinieninfrastruktur<br />
„Was-wäre-wenn?-Szenarien“. Angenommen, ein Benutzer wird innerhalb Ihres<br />
Unternehmens in eine andere Abteilung versetzt. Sie möchten vorab bestimmen, was mit dem Benutzerobjekt<br />
geschieht, wenn es aus der aktuellen Organisationseinheit in die der neuen Abteilung verschoben<br />
wird. Der Gruppenrichtlinienmodellierungs-Assistenten dient zum Simulieren und Melden<br />
der Richtlinienergebnisse, ohne dass Sie die Verschiebung tatsächlich mit dem realen Konto durchführen<br />
müssen.<br />
Um mit Gruppenrichtlinienmodellierung arbeiten zu können, benötigen Sie die Berechtigung Richtlinienergebnissatz<br />
erstellen für die Domäne oder Organisationseinheit mit den Objekten, auf die Sie<br />
die Abfrage anwenden möchten. Ein Domänencontroller mit mindestens Windows Server 2003 muss<br />
außerdem in der Umgebung vorhanden sein, um die für die Abfrage benötigten Informationen bereitzustellen.<br />
Es gibt zwei Wege, ein Modellierungsszenario einzuleiten. Der erste sieht das Verwenden der Konsole<br />
<strong>Active</strong> <strong>Directory</strong>-Benutzer und -Computer vor, in der Sie mit der rechten Maustaste auf die<br />
Domäne oder Organisationseinheit klicken, dann auf Alle Aufgaben zeigen und schließlich auf Richtlinienergebnissatz<br />
erstellen (Planung) klicken. Der zweite sieht den Einsatz der Konsole Gruppenrichtlinienverwaltung<br />
vor. Klicken Sie mit der rechten Maustaste auf Gruppenrichtlinienmodellierung,<br />
und klicken Sie auf Gruppenrichtlinienmodellierungs-Assistent, um den Assistenten zu starten.<br />
Anschließend wird jeweils ein einleitendes Dialogfeld angezeigt, in das Sie die Benutzer- und Computerinformationen<br />
eingeben können, die an der Simulation teilnehmen sollen. Abbildung 11.29 zeigt,<br />
dass der Benutzer Adatum\Don und der Computer Adatum\SEA-CL1 an der Modellierungssimulation<br />
teilnehmen.<br />
Abbildung 11.29<br />
Konfigurieren der Gruppenrichtlinienmodellierung
Verwalten von Gruppenrichtlinienobjekten 437<br />
Beim Durchlaufen des Modellierungsszenarios fordert der Assistent verschiedene Angaben an, z.B.:<br />
• Möchten Sie eine langsame Netzwerkverbindung simulieren?<br />
• Möchten Sie die Loopbackverarbeitung aktivieren?<br />
• Den neuen Speicherort, der für Benutzer- und Computerkonten simuliert werden soll<br />
• Änderungen an der Mitgliedschaft des Benutzers in Sicherheitsgruppen<br />
• Änderungen an der Mitgliedschaft des Computers in Sicherheitsgruppen<br />
• WMI-Filter, die für Benutzer und Computer verknüpft werden sollen<br />
Die Ergebnisse des Szenarios für die Gruppenrichtlinienmodellierung werden in einem ausführlichen<br />
Berichtsformat angezeigt (siehe Abbildung 11.30).<br />
Der Bericht Gruppenrichtlinienmodellierung enthält drei Registerkarten, die jeweils detaillierte Informationen<br />
zu den Ergebnissen des Szenarios enthalten. Der Registerkarte Zusammenfassung enthält<br />
allgemeine Details zur Computer- und Benutzerkonfiguration, z.B. die basierend auf der Simulation<br />
angewendeten und verweigerten Gruppenrichtlinienobjekt-Einstellungen. Die Registerkarte Einstellungen<br />
zeigt eine Liste aller Einstellungen, die von den simulierten Gruppenrichtlinienobjekten angewendet<br />
wurden. Die Registerkarte Abfrage bietet statistische Informationen, z.B. Zeitpunkt der Ausführung<br />
der letzten Abfrage, Domänencontroller, der die Simulation verarbeitet hat, und für die<br />
Simulation verwendete Kriterien.<br />
Abbildung 11.30<br />
Anzeigen der Ergebnisse der Gruppenrichtlinienmodellierung<br />
Gruppenrichtlinienergebnisse<br />
Das Feature Gruppenrichtlinienergebnisse bietet eine nützliche Methode zum Beheben von Problemen<br />
bei der Anwendung von Richtlinieneinstellungen für einen bestimmten Benutzer oder Computer.<br />
Wenn beispielsweise ständig die falschen Richtlinieneinstellungen auf einen Benutzer angewendet<br />
werden, können mithilfe von Gruppenrichtlinienergebnisse die angewendeten Richtlinieneinstellungen<br />
samt Reihenfolge der Anwendung überprüft werden.
438 Kapitel 11: Einführung in Gruppenrichtlinien<br />
Gruppenrichtlinienergebnisse kann über die Konsolen <strong>Active</strong> <strong>Directory</strong>-Benutzer und -Computer oder<br />
Gruppenrichtlinienverwaltung gestartet werden. Klicken Sie in <strong>Active</strong> <strong>Directory</strong>-Benutzer und -Computer<br />
mit der rechten Maustaste auf ein bestimmtes Computer- oder Benutzerobjekt, zeigen Sie auf<br />
Alle Aufgaben und klicken Sie auf Richtlinienergebnissatz erstellen (Protokollierung). Klicken Sie in<br />
der Konsole Gruppenrichtlinienverwaltung mit der rechten Maustaste auf Gruppenrichtlinienergebnisse,<br />
und klicken Sie auf Gruppenrichtlinienergebnis-Assistent, um den Assistenten zu starten. Im<br />
gestarteten Assistenten müssen Sie den abzufragenden Computer (lokal oder remote) angeben.<br />
Anschließend wird eine Liste mit auf dem Computer zwischengespeicherten Benutzerkonten angezeigt,<br />
für die Sie Richtlinieneinstellungen abrufen können.<br />
Achtung Vorzugsweise sollten Sie in der Konsole Gruppenrichtlinienverwaltung den Ergebnissatz der<br />
Richtlinieneinstellungen überprüfen, da das Tool in <strong>Active</strong> <strong>Directory</strong>-Benutzer und -Computer ggf. nicht alle<br />
Ergebnisse für sämtliche Erweiterungen anzeigt.<br />
Der Bericht Gruppenrichtlinienergebnisse enthält drei Registerkarten zu den Verarbeitungsergebnissen<br />
von Gruppenrichtlinienobjekten. Auf der Registerkarte Zusammenfassung finden Sie eine allgemeine<br />
Übersicht zu den Gruppenrichtlinienobjekten, die für den getesteten Benutzer bzw. Computer<br />
angewendet oder verweigert wurden. Die Registerkarte Einstellungen zeigt eine Liste aller Einstellungen,<br />
die über Gruppenrichtlinien angewendet wurden. Die Registerkarte Richtlinienereignisse enthält<br />
Ereignisinformationen zu Gruppenrichtlinien, die auf dem Zielcomputer gemeldet wurden.<br />
Um Gruppenrichtlinienergebnis-Informationen erfolgreich abzurufen, müssen folgende Anforderungen<br />
erfüllt sein:<br />
• Sie benötigen die Berechtigung Gruppenrichtlinienergebnisse lesen für die Domäne oder Organisationseinheit<br />
mit dem Computer bzw. Benutzer oder müssen Mitglied der lokalen Gruppe Administratoren<br />
auf dem Zielcomputer sein.<br />
• Der abgefragte Computer muss das Betriebssystem Windows XP, Windows Vista, Windows 2003<br />
oder Windows Server 2008 haben.<br />
• Der abgefragte Computer muss eingeschaltet und an das Netzwerk angeschlossen sein.<br />
• Der Dienst Windows Management Instrumentation muss aktiviert sein.<br />
• Um Gruppenrichtlinienergebnisse remote zu generieren, muss die Ausnahme Remoteverwaltung<br />
in den Windows Firewall-Einstellungen des Zielcomputers aktiviert sein.<br />
• Der Benutzer, dessen Probleme Sie behandeln oder dessen Daten Sie abfragen, muss sich mindestens<br />
einmal am Zielcomputer angemeldet haben.<br />
Hinweis Sie können die Ergebnisse für Gruppenrichtlinienmodellierung und Gruppenrichtlinienergebnisse<br />
als eigenständige interaktive und webbasierte Berichte speichern. Dadurch können Sie Informationen zur<br />
Modellierung und Verarbeitung mühelos in Ihrem Unternehmen verteilen. Die einzige Anforderung für die<br />
Anzeige der gespeicherten Berichte ist Microsoft Internet Explorer 6 oder höher.<br />
Hinweis Gruppenrichtlinienergebnisse können auch mit dem Befehlszeilenprogramm Gpresult für einen<br />
lokalen oder Remotecomputer abgerufen werden. Geben Sie an der Eingabeaufforderung gpresult ein, um<br />
weitere Informationen zu erhalten.
Verwalten von Gruppenrichtlinienobjekten 439<br />
So funktioniert es: Gpresult.exe<br />
Gpresult.exe zeigt Gruppenrichtlinieneinstellungen und den Richtlinienergebnissatz für einen<br />
Benutzer oder Computer an. Wählen Sie auf einem lokalen Computer folgende Syntax:<br />
gpresult [/s Computer [/u Domäne\Benutzer [/p Kennwort]]] [/scope {user|computer]<br />
[/user Zielbenutzername] [/r | /v | /z] [/x | /h Dateiname [/f]]<br />
Parameter:<br />
Parameter<br />
Beschreibung<br />
/s Gibt den Namen oder die IP-Adresse eines Remotecomputers an. Verwenden Sie<br />
keine umgekehrten Schrägstriche. Die Standardeinstellung ist der lokale Computer.<br />
/u Führt den Befehl unter Verwendung der Kontoberechtigungen des Benutzers aus,<br />
der durch Benutzer oder Domäne\Benutzer angegeben ist. Per Voreinstellung werden<br />
die Berechtigungen des am Computer angemeldeten Benutzers verwendet,<br />
der den Befehl aufruft.<br />
/p Gibt das Kennwort des Benutzerkontos an, das mit dem Parameter /u angegeben<br />
wird.<br />
/scope {user|computer}<br />
Zeigt entweder Benutzer- oder Computerergebnisse an. Gültige Werte für den Parameter<br />
/scope sind user oder computer. Wenn Sie den Parameter /scope weglassen,<br />
zeigt Gpresult.exe sowohl Benutzer- als auch Computereinstellungen an.<br />
/user <br />
Gibt den Namen des Benutzers an, für den die Richtlinienergebnissatz-Daten angezeigt<br />
werden.<br />
/r Zeigt eine Zusammenfassung der Richtlinienergebnissatz-Daten an.<br />
/v Legt fest, dass die Ausgabe ausführliche Richtlinieninformationen enthält.<br />
/z Legt fest, dass die Ausgabe alle verfügbaren Informationen über Gruppenrichtlinien<br />
umfasst. Da dieser Parameter mehr Informationen als der Parameter /v generiert,<br />
sollten Sie bei Verwenden dieses Parameters die Ausgabe in eine Textdatei<br />
umleiten, z.B. gpresult /z >policy.txt).<br />
/x Speichert den Bericht im XML-Format im Pfad und mit dem Dateinamen, der vom<br />
Parameter angegeben wird (gilt für Windows Server 2008 und Windows<br />
Vista mit Service Pack 1).<br />
/h Speichert den Bericht im HTML-Format im Pfad und mit dem Dateinamen, der vom<br />
Parameter angegeben wird (gilt für Windows Server 2008 und Windows<br />
Vista mit Service Pack 1).<br />
/f Zwingt Gpresult zum Überschreiben des im Parameter /x oder /h angegebenen<br />
Dateinamens.<br />
/? Zeigt an der Eingabeaufforderung Hilfeinformationen an.<br />
Beispiele<br />
Die folgenden Beispiele zeigen, wie Sie mit Gpresult.exe arbeiten können:<br />
gpresult /user Zielbenutzername /scope Computer<br />
gpresult /s srvmain /u maindom\hiropln /p p@ssW23 /user Zielbenutzername /scope USER gpresult /s srvmain /<br />
u maindom\hiropln /p p@ssW23 /user Zielbenutzername /z >policy.txt gpresult /h gpresult.html /f<br />
Judith Herman, Group Policy Programming Writer<br />
Windows Enterprise Management Division UA
440 Kapitel 11: Einführung in Gruppenrichtlinien<br />
Erstellen von Skripts für die Gruppenrichtlinienverwaltung<br />
Die Konsole Gruppenrichtlinienverwaltung bietet COM-Schnittstellen, die den Einsatz verschiedener<br />
Skripttechnologien bzw. Skriptsprachen wie JScript, VBScript, Visual Basic und VC++ ermöglichen.<br />
Dank dieser Funktionalität können Sie viele der Standardverwaltungsaufgaben für Gruppenrichtlinien<br />
automatisieren:<br />
• Erstellen, Löschen und Umbenennen von Gruppenrichtlinienobjekten<br />
• Verknüpfen von Gruppenrichtlinienobjekten und WMI-Filtern bzw. Aufheben der Verknüpfung<br />
• Delegieren der Sicherheitsadministration<br />
• Erstellen von Berichten zu Gruppenrichtlinienobjekt-Einstellungen<br />
• Erstellen von Berichten zu Richtlinienergebnissatz-Daten<br />
• Sichern und Wiederherstellen/Importieren von Gruppenrichtlinienobjekten<br />
• Kopieren und Einfügen von Gruppenrichtlinienobjekten<br />
• Suchen nach Gruppenrichtlinienobjekten, WMI-Filtern und Sicherungen<br />
Hinweis Sie können nur basierend auf gesamten Gruppenrichtlinienobjekten Skripts für Verwaltungsaufgaben<br />
und nicht zum Ändern von Richtlinieneinstellungen in Gruppenrichtlinienobjekten erstellen.<br />
Auf der DVD Auf der Begleit-CD zu diesem Buch finden Sie die ausführbare Datei GPMCSample-<br />
Scripts.msi, die verschiedene Skripts zum Verwalten von Gruppenrichtlinien enthält.<br />
Die Beispielskripts in GPMCSampleScripts.msi auf der Begleit-CD zu diesem Buch müssen in einer<br />
Testumgebung getestet werden, bevor Sie sie in Ihre Produktionsumgebung implementieren. Die enthaltenen<br />
Beispielskripts werden in Tabelle 11.6 vorgestellt.<br />
Tabelle 11.6<br />
Beispielskripts in GPMCSampleScripts.msi<br />
Verwaltungsaufgabe Skriptname Beschreibung<br />
Sichern eines Gruppenrichtlinienobjekts<br />
BackupGPO.wsf<br />
Dient zum Sichern aller Gruppenrichtlinienobjekte in einer<br />
Domäne im angegebenen<br />
Sicherungsverzeichnis.<br />
Sichern aller Gruppenrichtlinienobjekte<br />
in einer Domäne<br />
Erstellen eines Gruppenrichtlinienobjekts<br />
mit Standardoptionen<br />
BackupAllGPOs.wsf<br />
CreateGPO.wsf<br />
Sichert bei Angabe von Gruppenrichtlinienobjekt-Name bzw.<br />
-GUID das Gruppenrichtlinienobjekt im angegebenen Sicherungsverzeichnis.<br />
Dient zum Erstellen eines Gruppenrichtlinienobjekts mit dem<br />
angegebenen Namen in der aktuellen Domäne unter Verwendung<br />
der Standardoptionen.<br />
Erstellen einer Migrationstabelle CreateMigrationTable.wsf Füllt die Einträge einer Migrationstabelle mit Sicherheitsprinzipalen<br />
und UNC-Pfaden auf, auf die in einem Gruppenrichtlinienobjekt<br />
oder einer Sicherung verwiesen wird.<br />
Kopieren eines Gruppenrichtlinienobjekts<br />
CopyGPO.wsf<br />
Dient zum Erstellen eines neuen Gruppenrichtlinienobjekts<br />
und Kopieren der Einstellungen aus dem Quell-Gruppenrichtlinienobjekt<br />
in das neue Ziel-Gruppenrichtlinienobjekt bei<br />
Angabe des Namens oder der GUID des Quell-Gruppenrichtlinienobjekts<br />
und dem eines neuen Ziel-Gruppenrichtlinienobjekts.
Erstellen von Skripts für die Gruppenrichtlinienverwaltung 441<br />
Tabelle 11.6<br />
Beispielskripts in GPMCSampleScripts.msi (Fortsetzung)<br />
Verwaltungsaufgabe Skriptname Beschreibung<br />
Erstellen einer Richtlinienumgebung<br />
mithilfe einer XML-Abbildung<br />
Erstellen einer XML-Abbildung<br />
einer Richtlinienumgebung<br />
Löschen eines Gruppenrichtlinienobjekts<br />
Gewährt Berechtigungen für alle<br />
Gruppenrichtlinienobjekte in einer<br />
Domäne<br />
Erstellen eines Berichts für ein<br />
Gruppenrichtlinienobjekt<br />
Erstellt einen Bericht für alle<br />
Gruppenrichtlinienobjekte in der<br />
Domäne<br />
Importieren von Einstellungen in<br />
ein Gruppenrichtlinienobjekt<br />
Importieren mehrerer Gruppenrichtlinienobjekte<br />
in eine Domäne<br />
Wiederherstellen eines Gruppenrichtlinienobjekts<br />
Wiederherstellen aller Gruppenrichtlinienobjekte<br />
Erteilen von Berechtigungen für mit<br />
einer Domäne, einer Organisationseinheit<br />
oder einem Standort<br />
verknüpfte Gruppenrichtlinienobjekte.<br />
CreateEnvironment-<br />
FromXML.wsf<br />
CreateXMLFromEnvironment.wsf<br />
DeleteGPO.wsf<br />
GrantPermissionOn-<br />
AllGPOs.wsf<br />
GetReportsForGPO.wsf<br />
GetReportsFor-<br />
AllGPOs.wsf<br />
ImportGPO.wsf<br />
ImportAllGPOs.wsf<br />
RestoreGPO.wsf<br />
RestoreAllGPOs.wsf<br />
SetGPOSecurity-<br />
BySOM.wsf<br />
Liest eine XML-Datei, die eine Richtlinienumgebung angibt,<br />
z.B. Organisationseinheiten, Gruppenrichtlinienobjekte, Links<br />
und Sicherheitsgruppen. Das Skript kann entweder die Umgebung<br />
in einer Domäne einrichten, indem die Objekte erstellt<br />
werden, oder die Umgebung löschen, indem in der<br />
XML-Datei angegebene Objekte gelöscht werden.<br />
Liest eine vorhandene Richtlinienumgebung und erstellt<br />
eine XML-Datei, die diese Umgebung abbildet. In der XML-<br />
Datei werden Informationen zu Organisationseinheiten,<br />
Gruppenrichtlinienobjekten und Gruppenrichtlinienobjekt-Verknüpfungen<br />
sowie Sicherheitseinstellungen für Gruppenrichtlinienobjekte<br />
erfasst. Sie können dieses Skript zusammen mit<br />
dem Skript CreateEnvironmentFromXML.wsf verwenden, um<br />
für Bereitstellungszwecke ein Replikat der Domäne zu erstellen.<br />
Löscht das Gruppenrichtlinienobjekt mit dem angegebenen<br />
Namen bzw. der angegebenen GUID. Das Skript löscht standardmäßig<br />
Verknüpfungen mit diesem Gruppenrichtlinienobjekt<br />
in derselben Domäne.<br />
Gewährt einem Benutzer oder einer Gruppe den angegebenen<br />
Berechtigungsgrad für alle Gruppenrichtlinienobjekte<br />
in der angegebenen Domäne.<br />
Erstellt einen HTML- und XML-Bericht für ein angegebenes<br />
Gruppenrichtlinienobjekt an einem angegebenen Speicherort<br />
im Dateisystem.<br />
Erstellt HTML- und XML-Berichte für alle Gruppenrichtlinienobjekte<br />
in der Domäne an einem angegebenen Speicherort<br />
im Dateisystem.<br />
Importiert die Einstellungen aus der angegebenen Sicherung<br />
in ein in der Domäne vorhandenes Gruppenrichtlinienobjekt.<br />
Erstellt ein neues Gruppenrichtlinienobjekt und importiert Einstellungen<br />
in dieses Gruppenrichtlinienobjekt für jedes gesicherte<br />
Gruppenrichtlinienobjekt, das an einem bestimmten<br />
Speicherort im Dateisystem gespeichert ist.<br />
Stellt ein gesichertes Gruppenrichtlinienobjekt wieder her.<br />
Stellt alle Gruppenrichtlinienobjekte wieder her, die an einem<br />
angegebenen Speicherort im Dateisystem gespeichert sind.<br />
Gewährt einem Benutzer oder einer Gruppe den angegebenen<br />
Berechtigungsgrad für alle Gruppenrichtlinienobjekte,<br />
die mit einer angegebenen Domäne, Organisationseinheit<br />
oder einem Standort verknüpft sind. Sie können als Berechtigungsgrad<br />
Read, Apply, EditFullEdit oder None angeben.
442 Kapitel 11: Einführung in Gruppenrichtlinien<br />
Tabelle 11.6<br />
Beispielskripts in GPMCSampleScripts.msi (Fortsetzung)<br />
Verwaltungsaufgabe Skriptname Beschreibung<br />
SetGPOPermissions.wsf<br />
Festlegen von Berechtigungen für<br />
Gruppenrichtlinienobjekte<br />
Auflisten von Informationen zum<br />
Verwaltungsbereich<br />
Auflisten von Gruppenrichtlinienobjekten<br />
nach Sicherheitsgruppe<br />
Auflisten von Gruppenrichtlinienobjekten<br />
mit doppelt vorhandenen<br />
Namen<br />
Auflisten von Gruppenrichtlinienobjekten<br />
ohne die Berechtigung<br />
Übernehmen<br />
Auflisten von in SYSVOL verwaisten<br />
Gruppenrichtlinienobjekten<br />
Festlegen von Berechtigungen zum<br />
Erstellen von Gruppenrichtlinienobjekten<br />
Festlegen richtlinienbezogener Berechtigungen<br />
für eine angegebene<br />
Domäne, Organisationseinheit oder<br />
einen Standort<br />
Auflisten aller Gruppenrichtlinienobjekte<br />
in einer Domäne<br />
Auflisten deaktivierter Gruppenrichtlinienobjekte<br />
Auflisten von Gruppenrichtlinienobjekt-Informationen<br />
SetGPOCreation-<br />
Permissions.wsf<br />
SetSOMPermissions.wsf<br />
ListAllGPOs.wsf<br />
FindDisabledGPOs.wsf<br />
DumpGPOInfo.wsf<br />
DumpSOMInfo.wsf<br />
Auflisten von Gruppenrichtlinienobjekten<br />
nach Richtlinienerweiterung<br />
FindGPOsByPolicy-<br />
Extension.wsf<br />
FindGPOsBySecurity-<br />
Group.wsf<br />
FindDuplicateNamed-<br />
GPOs.wsf<br />
GPOsWithNoSecurity-<br />
Filtering.wsf<br />
FindOrphanedGPOs-<br />
InSYSVOL.wsf<br />
Legt den Berechtigungsgrad eines Sicherheitsprinzipals für<br />
ein angegebenes Gruppenrichtlinienobjekt fest. Sie können<br />
als Berechtigungsgrad Read, Apply, EditFullEdit oder None<br />
angeben.<br />
Erteilt oder entfernt die Berechtigung zum Erstellen von Gruppenrichtlinienobjekten<br />
in einer Domäne für einen angegebenen<br />
Sicherheitsprinzipal.<br />
Legt richtlinienbezogene Berechtigungen für einen angegebenen<br />
Verwaltungsbereich fest. Ein Verwaltungsbereich ist<br />
eine beliebige Domäne, Organisationseinheit oder ein<br />
Standort.<br />
Listet alle Gruppenrichtlinienobjekte in der angegebenen<br />
Domäne auf.<br />
Listet alle Gruppenrichtlinienobjekte in der angegebenen<br />
Domäne auf, die deaktiviert oder teilweise deaktiviert sind.<br />
Gibt Informationen zu einem bestimmten Gruppenrichtlinienobjekt<br />
aus. Dazu zählen Erstellungszeitpunkt, Änderungszeitpunkt,<br />
Besitzer, Status, Versionsnummer, Verknüpfungen,<br />
Sicherheitsgruppen zum Filtern des Gruppenrichtlinienobjekts<br />
und Sicherheitsgruppen mit Vollzugriffs-, Bearbeitungs-,<br />
Lese- oder benutzerdefinierten Berechtigungen.<br />
Gibt alle Informationen zu einem bestimmten Verwaltungsbereich<br />
aus, einschließlich Gruppenrichtlinienobjekt-Verknüpfungen<br />
und richtlinienbezogener Berechtigungen für den<br />
Verwaltungsbereich.<br />
Gibt alle Gruppenrichtlinienobjekte in der angegebenen<br />
Domäne aus, für die eine bestimmte Richtlinienerweiterung<br />
konfiguriert ist. Findet z.B. alle Gruppenrichtlinienobjekte<br />
mit Richtlinieneinstellungen für Softwareinstallation und<br />
Ordnerumleitung.<br />
Gibt alle Gruppenrichtlinienobjekte aus, für die ein angegebener<br />
Sicherheitsprinzipal über die angegebene Berechtigung<br />
für das jeweilige Gruppenrichtlinienobjekt verfügt. Sie<br />
können als Berechtigungsgrad Read, Apply, Edit, FullEdit<br />
oder None angeben.<br />
Listet alle Gruppenrichtlinienobjekte in der angegebenen<br />
Domäne mit doppelten Namen auf.<br />
Gibt alle Gruppenrichtlinienobjekte in der angegebenen Domäne<br />
aus, die für niemanden gelten, da die Berechtigung<br />
Übernehmen nicht im Gruppenrichtlinienobjekt festgelegt ist.<br />
Dient zum Suchen und Ausgeben aller Gruppenrichtlinienobjekte<br />
in SYSVOL ohne entsprechende Komponente in<br />
<strong>Active</strong> <strong>Directory</strong>.
Planen einer Gruppenrichtlinienimplementierung 443<br />
Tabelle 11.6<br />
Beispielskripts in GPMCSampleScripts.msi (Fortsetzung)<br />
Verwaltungsaufgabe Skriptname Beschreibung<br />
Ausgeben der Richtlinienstruktur<br />
des Verwaltungsbereichs<br />
Auflisten von Sicherungen von<br />
Gruppenrichtlinienobjekten an<br />
einem angegebenen Speicherort<br />
im Dateisystem<br />
Auflisten von Domänen und Organisationseinheiten<br />
mit externen<br />
Gruppenrichtlinienobjekt-Verknüpfungen<br />
Auflisten unverknüpfter Gruppenrichtlinienobjekte<br />
in einer Domäne<br />
FindSOMsWithExternal-<br />
GPOLinks.wsf<br />
FindUnlinkedGPOs.wsf<br />
ListSOMPolicyTree.wsf<br />
QueryBackup-<br />
Location.wsf<br />
Gibt alle Domänen und Organisationseinheiten in der angegebenen<br />
Domäne aus, die mit einem Gruppenrichtlinienobjekt<br />
in einer anderen Domäne verknüpft sind.<br />
Listet alle Gruppenrichtlinienobjekte in der angegebenen Domäne<br />
ohne Verknüpfungen auf. Verknüpfungen außerhalb<br />
der Domäne, einschließlich Standortverknüpfungen, werden<br />
nicht überprüft.<br />
Gibt alle Verwaltungsbereiche in der angegebenen Domäne<br />
mit einer Liste der Gruppenrichtlinienobjekte aus, die mit der<br />
Domäne und einzelnen Organisationseinheiten verknüpft<br />
sind.<br />
Gibt Informationen zu allen gesicherten Gruppenrichtlinienobjekten<br />
an dem vom Benutzer angegebenen Speicherort im<br />
Dateisystem aus.<br />
Planen einer Gruppenrichtlinienimplementierung<br />
Das Feature Gruppenrichtlinien ist ein leistungsstarkes Tool zum Verwalten von Computerkonfigurationen<br />
in Ihrem Netzwerk. Das Implementieren von Gruppenrichtlinien kann leider sehr kompliziert<br />
sein und sich bei fehlerhafter Vorgehensweise sehr nachteilig auf die Arbeitsumgebung aller Benutzer<br />
im Unternehmen auswirken. In diesem Abschnitt werden die empfohlenen Vorgehensweisen zum Entwerfen<br />
der Gruppenrichtlinienimplementierung in Ihrem Netzwerk beschrieben.<br />
Weitere Informationen Weitere Informationen zum Verwenden von Gruppenrichtlinien zum Verwalten von<br />
Computerkonfigurationen finden Sie in Kapitel 12, „Einsetzen von Gruppenrichtlinien zum Verwalten von<br />
Benutzerdesktops“, und Kapitel 13, „Einsetzen von Gruppenrichtlinien zum Verwalten der Sicherheit“, in<br />
denen weitere empfohlene Vorgehensweisen zum Verwenden dieses leistungsstarken Tools beschrieben<br />
werden.<br />
Einer der wichtigsten Punkte beim Entwerfen einer Gruppenrichtlinienstrategie ist die Anzahl der zu<br />
implementierenden Gruppenrichtlinienobjekte. Da in jedem Gruppenrichtlinienobjekt sämtliche<br />
Richtlinieneinstellungen verfügbar sind, können Sie theoretische alle erforderlichen Einstellungen in<br />
einem einzigen Gruppenrichtlinienobjekt konfigurieren. Oder Sie können ein eigenes Gruppenrichtlinienobjekt<br />
für jede Einstellung bereitstellen, die Sie konfigurieren möchten. Doch fast immer liegt<br />
die optimale Anzahl von Gruppenrichtlinienobjekten irgendwo in der Mitte, und es gibt keine Lösung,<br />
die in allen Situationen richtig ist. Nach dem Start des Clientcomputers und der Anmeldung des<br />
Benutzers müssen alle in Frage kommenden Gruppenrichtlinienobjekte verarbeitet und auf den lokalen<br />
Computer angewendet werden. Demzufolge beschleunigt eine niedrige Anzahl von Gruppenrichtlinienobjekten<br />
zumeist den Computerstart und die Benutzeranmeldung. Doch wenn Sie nur mit wenigen<br />
Gruppenrichtlinienobjekten arbeiten, die verschiedene Aufgaben erledigen müssen, kann die<br />
Dokumentation und Verwaltung schwieriger werden. Außerdem bietet sich bei Verwenden von Gruppenrichtlinienobjekten<br />
mit nur einigen wenigen Einstellungen deren Wiederverwendung für andere<br />
Organisationseinheiten an.
444 Kapitel 11: Einführung in Gruppenrichtlinien<br />
Allgemein wird empfohlen, mithilfe eines Gruppenrichtlinienobjekts nur eine Einstellungsgruppe zu<br />
konfigurieren. Sie können beispielsweise ein Gruppenrichtlinienobjekt zum Festlegen der Sicherheitskonfiguration,<br />
ein anderes zum Bestimmen der administrativen Vorlagen und ein weiteres zum Installieren<br />
eines Softwarepakets verwenden.<br />
Ein weiterer Entwurfsaspekt dreht sich darum, wo die Richtlinienobjekte bereitgestellt werden sollen.<br />
Sie können Gruppenrichtlinienobjekte entweder hoch in der Organisationseinheitsstruktur zuweisen<br />
und anschließend mit der Sicherheitsfilterung oder Deaktivierung arbeiten, um sicherzustellen, dass<br />
die Richtlinieneinstellungen auf die entsprechenden Computer oder Benutzer angewendet werden.<br />
Oder Sie können die Mehrzahl der Gruppenrichtlinienobjekte auf einer niedrigen Ebene der Hierarchie<br />
verknüpfen, damit Sie jede Richtlinie am gewünschten Punkt in der Hierarchie anwenden und<br />
eine komplizierte Vererbungskonfiguration vermeiden können. In den meisten Fällen ist ein Mittelweg<br />
ratsam. Wenn es Richtlinieneinstellungen gibt, die für alle Benutzer in der Domäne gelten sollen,<br />
legen Sie diese Richtlinien so hoch wie möglich fest, denn je weiter Sie in der Hierarchie nach<br />
unten gelangen, desto spezifischer werden die Richtlinieneinstellungen.<br />
Fehlerbehebung bei Gruppenrichtlinien<br />
Windows Server 2008 und Windows Vista bieten neue Methoden zum Beheben von Problemen bei<br />
der Anwendung von Gruppenrichtlinieneinstellungen. Eine davon ist der Einsatz des Gruppenrichtlinien-Ereignisprotokolls<br />
Betriebsbereit für die Erstellung von Ereignisberichten. Dieses Protokoll<br />
ersetzt die USERENV-Protokollierung in früheren Windows-Versionen.<br />
Sie können das Gruppenrichtlinienprotokoll Betriebsbereit anzeigen, indem Sie die Ereignisanzeige<br />
öffnen, zu Anwendungs- und Dienstprotokolle\Microsoft\Windows\Gruppenrichtlinie wechseln und<br />
Betriebsbereit auswählen. Abbildung 11.31 zeigt die Ereignisanzeige mit ausgewähltem Gruppenrichtlinienprotokoll<br />
Betriebsbereit.<br />
Abbildung 11.31<br />
Anzeigen des Gruppenrichtlinienprotokolls Betriebsbereit
Fehlerbehebung bei Gruppenrichtlinien 445<br />
GPLogView.msi ist ein Tool zur Fehlerbehebung unter Windows Vista, mit dem Sie eine Ausgabedatei<br />
für gruppenrichtlinienbezogene Ereignisse erstellen können, die im Ereignisprotokoll System<br />
und im Gruppenrichtlinien-Ereignisprotokoll Betriebsbereit aufgezeichnet werden. Das Tool kann von<br />
der Website http://go.microsoft.com/fwlink/?LinkID7500475627 heruntergeladen werden.<br />
Das Beheben spezifischer Gruppenrichtlinienprobleme kann aufgrund der schieren Anzahl von Komponenten<br />
recht schwierig sein, die an diesem Kontext beteiligt sind. Doch die meisten Probleme können<br />
den folgenden Punkten zugeordnet werden, über die Sie meist zur Ursache des Problems gelangen:<br />
• Status von Gruppenrichtlinienobjekt und -verknüpfung Stellen Sie sicher, dass das Gruppenrichtlinienobjekt<br />
bzw. die Gruppenrichtlinienobjekt-Verknüpfung aktiviert ist und eine Verknüpfung<br />
zur/m entsprechenden Domäne, Organisationseinheit oder Standort besteht. Vergegenwärtigen Sie<br />
sich auch, dass bei Aktualisierungen nur geänderte Gruppenrichtlinienobjekte tatsächlich verarbeitet<br />
werden.<br />
• Pfad des Benutzer- bzw. Computerobjekts Sorgen Sie dafür, dass sich das Benutzer- oder<br />
Computerobjekt im Container befindet, mit dem das Gruppenrichtlinienobjekt verknüpft ist.<br />
• Replikationsproblem Falls das Gruppenrichtlinienobjekt kurz zuvor erstellt wurde, haben einige<br />
Domänencontroller möglicherweise die replizierten Informationen von Gruppenrichtlinienvorlage<br />
und -container noch nicht empfangen. Sie müssen ggf. auch DFS- oder FRS-Replikationsprobleme<br />
beheben, wenn Sie bemerken, dass die SYSVOL-Informationen nicht wie erwartet<br />
repliziert werden.<br />
• Vererbung von Gruppenrichtlinienobjekten Über das Feature Gruppenrichtlinienergebnisse können<br />
Sie prüfen, wie Gruppenrichtlinieneinstellungen für einen bestimmte Benutzer vererbt werden.<br />
Überprüfen Sie sehr sorgfältig die Erzwingung bzw. Deaktivierung der Vererbung sowie die Verknüpfungsreihenfolge,<br />
um sicherzustellen, dass Gruppenrichtlinienobjekte wie erwartet verarbeitet<br />
werden.<br />
• Sicherheitsfilterung Überprüfen Sie die Sicherheitsfilterung für das Gruppenrichtlinienobjekt<br />
sorgfältig. Denken Sie daran, dass dem Filter standardmäßig authentifizierte Benutzer hinzugefügt<br />
werden, wozu Standardbenutzer, -computer und -administratoren zählen. Sie müssen ggf. die<br />
Benutzer oder Gruppen für den Filter ändern, um eine ordnungsgemäße Verarbeitung zu gewährleisten.<br />
• Verarbeitung bei langsamen Verbindungen und Loopbackverarbeitung Sie müssen ggf. prüfen, ob<br />
der Clientcomputer mit den Problemen über eine langsame Netzwerkanbindung verfügt. Wie Sie<br />
wissen, werden nicht alle clientseitigen Erweiterungen von Gruppenrichtlinien über langsame<br />
Verbindungen verarbeitet. Außerdem muss bestimmt werden, ob sich der Computer im Loopbackverarbeitungsmodus<br />
befindet. Beides lässt sich mit Gruppenrichtlinienergebnisse feststellen,<br />
wenn der Computer mit dem Problem im Fokus dieses Tools ist.<br />
• Netzwerkverbindungen Damit die Liste der Gruppenrichtlinienobjekte abgerufen wird und Gruppenrichtlinieneinstellungen<br />
ordnungsgemäß verarbeitet werden, müssen alle Computer den <strong>Active</strong><br />
<strong>Directory</strong>-Domänencontroller kontaktieren können. Um einen Domänencontroller finden zu können,<br />
muss DNS in der Netzwerkumgebung ordnungsgemäß funktionieren. Stellen Sie sicher, dass<br />
Ihre Netzwerkumgebung wie erwartet funktioniert. Sorgen Sie ferner dafür, dass die Uhrzeit auf<br />
allen Computern synchron ist. Eine fehlende Synchronisierung kann auch die Ursache von Problemen<br />
bei der Gruppenrichtlinienverarbeitung sein (ebenso wie viele andere Probleme mit der Netzwerkkonnektivität).
446 Kapitel 11: Einführung in Gruppenrichtlinien<br />
Zusammenfassung<br />
Dieses Kapitel bildet die Grundlage für die nächsten beiden Kapitel und beschäftigte sich mit der<br />
Architektur und den Konfigurationsoptionen für Gruppenrichtlinien unter Windows Server 2008. In<br />
diesem Kapitel wurde beschrieben, wie Gruppenrichtlinienobjekte mithilfe der Konsole Gruppenrichtlinienverwaltung<br />
erstellt und verwaltet werden. Weiterhin wurde erklärt, wie Richtlinieneinstellungen<br />
vererbt und auf Benutzer- und Computerobjekte in der <strong>Active</strong> <strong>Directory</strong>-Struktur angewendet<br />
werden. Außerdem haben Sie erfahren, dass Sie die Standardvererbung bei der Richtlinienverarbeitung<br />
durch Deaktivieren oder Filtern der Vererbung ändern können. In den Kapiteln 12 und 13 wird<br />
erläutert, was mit Gruppenrichtlinieneinstellungen erreicht werden kann. Kapitel 12 beschäftigt sich<br />
damit, wie mit Gruppenrichtlinien Clientcomputer verwaltet werden. In Kapitel 13 wird erklärt, wie<br />
Sie mithilfe von Gruppenrichtlinien die Sicherheit in der gesamten <strong>Active</strong> <strong>Directory</strong>-Umgebung verwalten<br />
können.<br />
Zusätzliche Ressourcen<br />
Die folgenden Ressourcen enthalten zusätzliche Informationen und Tools im Zusammenhang mit diesem<br />
Kapitel.<br />
Verwandte Informationen<br />
• In Kapitel 5, „Entwerfen der <strong>Active</strong> <strong>Directory</strong>-Domänendienstestruktur“, finden Sie Einzelheiten<br />
zum Planen der <strong>Active</strong> <strong>Directory</strong>-Struktur, d.h. Entwürfe für Standorte, Domänen, Organisationseinheiten<br />
und Gesamtstrukturen.<br />
• In Kapitel 9, „Delegieren der <strong>Active</strong> <strong>Directory</strong>-Domänendiensteverwaltung“, finden Sie weitere<br />
Einzelheiten zum Verwenden des Assistenten zum Zuweisen der Objektverwaltung zum Delegieren<br />
von Verwaltungsaufgaben in <strong>Active</strong> <strong>Directory</strong>.<br />
• „Windows Server Group Policy“ (englischsprachig) unter http://technet.microsoft.com/en-us/<br />
windowsserver/grouppolicy/default.aspx<br />
• „Loopbackverarbeitung von Gruppenrichtlinien“ unterhttp://support.microsoft.com/?id=231287<br />
• „Group Policy Wiki“ (englischsprachig) unter http://grouppolicy.editme.com/<br />
• „Group Policy Team Blog“ (englischsprachig) unter http://blogs.technet.com/GroupPolicy/<br />
• „HOWTO: Leverage Group Policies with WMI Filters“ (englischsprachig) unter http://support.microsoft.com/kb/555253<br />
• „WMI Filters“ (englischsprachig) unterhttp://technet2.microsoft.com/windowsserver/en/library/<br />
dfba1dc6-6848-4ed8-96da-f4241c1acfbd1033.mspx?mfr=true<br />
• „Scriptomatic Tool“ (englischsprachig) unter http://www.microsoft.com/technet/scriptcenter/tools/<br />
wmimatic.mspx<br />
• „Writing WMI Scripts Using the Scriptomatic Utility“ (englischsprachig) unter http://www.micro-<br />
soft.com/downloads/details.aspx?displaylang=en&familyid=9ef05cbd-c1c5-41e7-9da8-<br />
212c414a7ab0<br />
• „Troubleshooting Group Policy Using Event Logs“ (englischsprachig) unter http://technet2.microsoft.com/WindowsVista/en/library/7e940882-33b7-43db-b097-f3752c84f67f1033.mspx?mfr=true<br />
• “„Group Policy Script Center“ (englischsprachig) unter http://www.microsoft.com/technet/scriptcenter/<br />
hubs/gp.mspx
Zusätzliche Ressourcen 447<br />
• „Introduction to Group Policy in Windows Server 2003“ (englischsprachig) unter<br />
http://www.microsoft.com/windowsserver2003/techinfo/overview/gpintro.mspx<br />
• „Microsoft IT Showcase: Group Policy Object Infrastructure Management“ (englischsprachig)<br />
unter http://www.microsoft.com/downloads/details.aspx?FamilyID=43090fae-e22a-4b6f-abc7-<br />
487a58b303a5&DisplayLang=en<br />
• „Administering Group Policy with Group Policy Management Console“ (englischsprachig) unter<br />
http://www.microsoft.com/downloads/details.aspx?familyid=D8291B79-922A-439C-88E9-<br />
54041A2953DD&displaylang=en<br />
• „Migrating GPOs Across Domains with GPMC“ (englischsprachig) unter http://www.microsoft.com/windowsserver2003/gpmc/migrgpo.mspx
449<br />
K A P I T E L 1 2<br />
Einsetzen von Gruppenrichtlinien zum<br />
Verwalten von Benutzerdesktops<br />
Inhalt dieses Kapitels:<br />
Desktopverwaltung mithilfe von Gruppenrichtlinien . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 450<br />
Verwalten von Benutzerdaten und Profileinstellungen. . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 452<br />
Administrative Vorlagen . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 471<br />
Verwalten der Benutzerumgebung mithilfe von Skripts . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 477<br />
Bereitstellen von Software mithilfe von Gruppenrichtlinien . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 478<br />
Übersicht über Gruppenrichtlinieneinstellungen. . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 496<br />
Zusammenfassung. . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 503<br />
Zusätzliche Ressourcen. . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 504<br />
Einer der Hauptvorteile von Gruppenrichtlinien ist die Möglichkeit, Desktops in der <strong>Active</strong> <strong>Directory</strong>-<br />
Umgebung zentral zu verwalten. Bislang wurde die Gruppenrichtlinienfunktion hauptsächlich zum<br />
Vereinfachen von Verwaltungsaufgaben, z.B. Verwalten der Konfiguration von Windows-Komponenten,<br />
Implementieren von Sicherheitseinstellungen, Steuern von Benutzereinstellungen und Datenzugriff<br />
sowie für die Softwarebereitstellung und -wartung genutzt. Windows Server 2008 erweitert diese<br />
Funktionalität und bietet zusätzliche Verwaltungsoptionen durch Einführung neuer Benutzerprofilformate,<br />
neuer XML-basierter administrativer Vorlagendateien, verschiedener neuer und aktualisierter<br />
Richtlinieneinstellungen und der neuen Gruppenrichtlinienfunktion Gruppenrichtlinieneinstellungen.<br />
In diesem Kapitel wird erläutert, wie Sie mit Gruppenrichtlinien Desktopkonfigurationseinstellungen<br />
verwalten können. Ferner werden neue Features hinsichtlich Gruppenrichtlinienverwaltung und -funktionalität<br />
behandelt.<br />
Hinweis Gruppenrichtlinieneinstellungen können sowohl auf Benutzerdesktops als auch auf Server angewendet<br />
werden. In diesem Kapitel liegt der Schwerpunkt ausschließlich auf der Verwaltung von Benutzerdesktops<br />
in der <strong>Active</strong> <strong>Directory</strong>-Umgebung.
450 Kapitel 12: Einsetzen von Gruppenrichtlinien zum Verwalten von Benutzerdesktops<br />
0<br />
Vergleich zwischen der individuellen und zentralen Steuerung von Computerdesktops<br />
Die Verwaltung von Benutzerdesktops erfordert eine kritische Abwägung zwischen einer streng<br />
zentralen Steuerung von Computern und den Benutzern, die zur Anpassung ihres eigenen Desktops<br />
einen Vollzugriff benötigen. Wenn Sie alle in der Gruppenrichtlinienfunktion verfügbaren<br />
Richtlinieneinstellungen implementieren würden, könnten Sie Benutzerdesktops umfassend sperren<br />
und sicherstellen, dass Benutzer nur autorisierte Änderungen vornehmen. Viele Administratoren<br />
sind der Ansicht, dass das Bereitstellen von Möglichkeiten zum Ändern von Einstellungen für<br />
die Benutzer nur dazu führt, dass diese Einstellungen falsch konfigurieren, was wiederum mehr<br />
Arbeit für die Administratoren bedeutet. Viele Benutzer betrachten dagegen sämtliche Versuche zur<br />
Übernahme der Steuerung ihrer Desktops als überflüssige Einflussnahme. Aus Sicht der Benutzer<br />
ist der Computer ein wichtiger Teil ihrer individuellen Arbeitsumgebung, weshalb alle Versuche,<br />
die Verwaltung dieser Arbeitsumgebung zu übernehmen, strikt abgelehnt werden.<br />
Das Finden der richtigen Balance zwischen zentraler Desktopsteuerung und Steuerung durch den<br />
Endbenutzer erfolgt in jedem Unternehmen anders. In einigen wurden Gruppenrichtlinien ggf. in<br />
<strong>Active</strong> <strong>Directory</strong>-Umgebungen unter Windows 2000 und Windows Server 2003 genutzt, weshalb<br />
die Endbenutzer bereits an einen gewissen Grad von Desktopsteuerung gewohnt sind. In diesen<br />
Umgebungen können Sie neue Einschränkungen ohne große Umschweife implementieren. In anderen<br />
Unternehmen wurden ggf. noch keine Einschränkungen implementiert. In diesen Umgebungen<br />
kann der erste Versuch zur Einführung von Einschränkungen auf große Widerstände stoßen.<br />
Der beste Ansatz bei der Einführung der Desktopsteuerung ist ein behutsamer Start, um einen<br />
guten ersten Eindruck zu erwecken. Dies bedeutet in der Regel, dass Sie mithilfe von Gruppenrichtlinien<br />
bestimmte Problemstellungen angehen. Wenn Sie für die Endbenutzer nachvollziehbar<br />
machen können, dass die Desktopverwaltung ihnen die Arbeit erleichtert, werden sie diese zusätzlichen<br />
Verwaltungseingriffe schneller akzeptieren. Wenn Sie dagegen versuchen, die Desktopsteuerung<br />
einzufügen und der erste Versuch zu Hunderten von Anrufen beim Helpdesk führt, wird Ihnen<br />
keine Unterstützung bei der Implementierung der zentralen Desktopverwaltung gewiss sein. Ein<br />
weiterer wichtiger Bestandteil einer erfolgreichen Implementierung von Gruppenrichtlinien ist die<br />
Unterstützung durch die Unternehmensführung. In den meisten Unternehmen unterstützt die Führungsebene<br />
alle Anstrengungen, die zu einer Senkung der Verwaltungskosten von Arbeitsstationen<br />
beitragen. Wenn Sie aufzeigen können, dass das Ergebnis der Implementierung der Desktopverwaltung<br />
sinkende Kosten sind, können Sie mit überaus großer Wahrscheinlichkeit bei Beschwerden<br />
von Mitarbeitern, die nicht wollen, dass Sie ihren Desktop verwalten, auf Unterstützung seitens der<br />
Unternehmensführung setzen.<br />
Desktopverwaltung mithilfe von Gruppenrichtlinien<br />
Ein großer Teil einer effektiven Desktopverwaltung ist die Einführung einer Standardrichtlinie dazu,<br />
wie Desktops in Ihrer <strong>Active</strong> <strong>Directory</strong>-Umgebung konfiguriert werden sollen. Eine Standardisierung<br />
kann mithilfe verschiedener Gruppenrichtlinienfeatures erreicht werden. In der Konsole Gruppenrichtlinienverwaltung<br />
können Sie die verschiedenen Features und Komponenten anzeigen, die in<br />
einem Gruppenrichtlinienobjekt verwaltet werden können. Wenn Sie ein Gruppenrichtlinienobjekt<br />
bearbeiten möchten, wird das Fenster Gruppenrichtlinienverwaltungs-Editor geöffnet. Wie<br />
Abbildung 12.1 zeigt, ist das Fenster Gruppenrichtlinienverwaltungs-Editor in verschiedene Bereiche<br />
entsprechend den computer- oder benutzerbasierten Richtlinien und Einstellungen unterteilt.
Desktopverwaltung mithilfe von Gruppenrichtlinien 451<br />
Abbildung 12.1<br />
Anzeigen der Komponenten für die Gruppenrichtlinienverwaltung<br />
In Tabelle 12.1 werden kurz die Container auf oberster Ebene erläutert, die im Fenster Gruppenrichtlinienverwaltungs-Editor<br />
angezeigt werden.<br />
Tabelle 12.1<br />
Gruppenrichtliniencontainer<br />
Container auf oberster Ebene Untergeordnete Container Inhalt<br />
Computerkonfiguration und<br />
Benutzerkonfiguration<br />
Richtlinien<br />
Enthält die Container Softwareeinstellungen,<br />
Windows-Einstellungen und Administrative Vorlagen<br />
zum Konfigurieren standardmäßiger<br />
Gruppenrichtlinieneinstellungen.<br />
Computerkonfiguration und<br />
Benutzerkonfiguration<br />
Computerkonfiguration und<br />
Benutzerkonfiguration<br />
Computerkonfiguration und<br />
Benutzerkonfiguration<br />
Richtlinien\Softwareeinstellungen<br />
Richtlinien\Windows-Einstellungen\<br />
Skripts<br />
Richtlinien\Windows-Einstellungen\<br />
Sicherheitseinstellungen<br />
Enthält die Konfiguration für zu verteilende Softwarepakete.<br />
Enthält die Skripts zum Starten und Herunterfahren<br />
von Computern und An- und Abmelden<br />
von Benutzern.<br />
Enthält die Einstellungen zum Konfigurieren der<br />
Computersicherheit. Einige Einstellungen gelten<br />
spezifisch auf Domänenebene, andere können<br />
auf Containerebene festgelegt werden. Die<br />
meisten Sicherheitseinstellungen werden unter<br />
Computerkonfiguration festgelegt.
452 Kapitel 12: Einsetzen von Gruppenrichtlinien zum Verwalten von Benutzerdesktops<br />
Tabelle 12.1<br />
Gruppenrichtliniencontainer (Fortsetzung)<br />
Container auf oberster Ebene Untergeordnete Container Inhalt<br />
Computerkonfiguration und<br />
Benutzerkonfiguration<br />
Benutzerkonfiguration<br />
Benutzerkonfiguration<br />
Benutzerkonfiguration<br />
Computerkonfiguration und<br />
Benutzerkonfiguration<br />
Computerkonfiguration und<br />
Benutzerkonfiguration<br />
Computerkonfiguration und<br />
Benutzerkonfiguration<br />
Computerkonfiguration und<br />
Benutzerkonfiguration<br />
Richtlinien\Windows-Einstellungen\<br />
Richtlinienbasierter QoS<br />
Richtlinien\Windows-Einstellungen\<br />
Ordnerumleitung<br />
Richtlinien\Windows-Einstellungen\<br />
Remoteinstallationsdienste<br />
Richtlinien\Windows-Einstellungen\<br />
Internet Explorer-Wartung<br />
Richtlinien\Administrative Vorlagen<br />
Einstellungen<br />
Enthält die Einstellungen zum Konfigurieren benutzer-<br />
oder computerbasierter Datenverkehrspriorisierungen<br />
und -einschränkungen für<br />
bestimmte Anwendungen, IP-Adressen, Protokolle<br />
und Ports.<br />
Enthält Einstellungen zum Umleiten von Benutzerordnern,<br />
z.B. des Ordners Dokumente, zu<br />
einer Netzwerkfreigabe.<br />
Enthält eine einzelne Konfigurationsoption für<br />
die Remoteinstallationsdienste.<br />
Enthält Einstellungen zum Verwalten der Konfiguration<br />
von Microsoft Internet Explorer auf<br />
Benutzerdesktops.<br />
Enthält viele Konfigurationseinstellungen zum<br />
Konfigurieren der Registrierung auf Zielcomputern.<br />
Ermöglicht die Konfiguration von Windows- und<br />
Systemsteuerungseinstellungen.<br />
Enthält Einstellungen für Windows-Konfigurationen,<br />
z.B. Umgebungsvariablen, Verknüpfungen,<br />
Registrierungs- und INI-Dateien,<br />
Laufwerkzuordnungen (nur Benutzer), Anwendungseinstellungen<br />
(nur Benutzer) sowie viele<br />
andere Einstellungen.<br />
Enthält Einstellungen für die Windows-<br />
Systemsteuerung, z.B. zum Steuern von lokalen<br />
Benutzern und Gruppen, Energieverwaltungsoptionen,<br />
Druckern, Ordneroptionen und<br />
vielen weiteren Einstellungen.<br />
Einstellungen\Windows-<br />
Einstellungen<br />
Einstellungen\Systemsteuerungseinstellungen<br />
Der Rest dieses Kapitels bietet Details zu vielen dieser übergeordneten Container.<br />
Verwalten von Benutzerdaten und Profileinstellungen<br />
Eine häufig anspruchsvolle Aufgabe vieler Netzwerkadministratoren ist die Verwaltung von Benutzerdaten<br />
und Profileinstellungen. Endbenutzer erwarten zumeist, dass ihre Computerumgebung unabhängig<br />
davon, wie und wann sie sich am Netzwerk anmelden, immer gleich aussieht und dass ihre<br />
Daten zur Verfügung stehen, wenn sie diese benötigen.<br />
Die Daten, mit denen Benutzer arbeiten, sind oft geschäftswichtig und müssen ordnungsgemäß abgesichert<br />
und verwaltet werden. In vielen Fällen werden Unternehmensdaten zentral in freigegebenen<br />
Netzwerkordnern gespeichert und regelmäßig gesichert. Die Benutzer werden aufgefordert, alle<br />
Unternehmensdaten in diesen freigegebenen Ordnern zu speichern. Doch bei steigender Mobilität der<br />
Mitarbeiterschaft speichern viele Benutzer Daten auch lokal auf ihren tragbaren Computern, um<br />
Zugriff darauf zu haben, wenn sie nicht mit dem Netzwerk verbunden sind.
Verwalten von Benutzerdaten und Profileinstellungen 453<br />
Die Verwaltung von Benutzerprofilen beschäftigt Endbenutzer meist mehr als Administratoren.<br />
Einige Benutzer wenden recht viel Zeit auf, um Anwendungen und Desktop ihren Vorstellungen entsprechend<br />
zu konfigurieren. Für diese Benutzer sind ihre persönlichen Einstellungen wichtig, und sie<br />
möchten, dass unabhängig davon, an welchem Computer sie sich anmelden, die Desktopkonfiguration<br />
stets identisch ist. Um dies zu ermöglichen, haben viele Unternehmen servergespeicherte Benutzerprofile<br />
eingeführt, bei denen das Benutzerprofil in einer Netzwerkfreigabe gespeichert wird, auf<br />
die von allen Computern in der Domäne aus zugegriffen werden kann. Um standardisierte Desktopkonfigurationen<br />
zu erreichen, legen einige Unternehmen ihren Benutzerprofilen Einschränkungen<br />
auf, indem verbindliche Profile implementiert werden. Bei einem verbindlichen Profil kann ein Administrator<br />
ein Standardprofil für einen Benutzer oder eine Benutzergruppe erstellen und das Profil<br />
anschließend so konfigurieren, dass die Benutzer keine Änderungen am Profil speichern können. Dies<br />
gewährleistet, dass die IT-Umgebung für alle Benutzer einheitlich bleibt, denen ein bestimmtes Profil<br />
zugewiesen ist.<br />
Servergespeicherte und verbindliche Benutzerprofile können mithilfe von <strong>Active</strong> <strong>Directory</strong> eingeführt<br />
werden, und einige der Einstellungen zu deren Steuerung können mithilfe von Gruppenrichtlinien<br />
konfiguriert werden. Zusätzlich zu Benutzerprofilen bietet <strong>Active</strong> <strong>Directory</strong> Funktionen für die<br />
Ordnerumleitung und Offlinedateien, um die Verwaltung von Benutzerdaten und -einstellungen zu<br />
optimieren. Die Ordnerumleitung bietet einige signifikante Vorteile bei der Verwaltung von Größe<br />
und Verfügbarkeit bestimmter herkömmlicher Ordner in Benutzerprofilen, während Offlinedateien<br />
von Nutzen für mobile Benutzer sind, die vom Netzwerk getrennt sind.<br />
Verwalten von Benutzerprofilen<br />
Windows Server 2008 und Windows Vista zeichnen sich bei durch wesentliche Änderungen an der<br />
Struktur von Benutzerprofilen aus. Diese Änderungen müssen sorgfältig berücksichtigt werden, wenn<br />
servergespeicherte Benutzerprofile in einer heterogenen Umgebung mit Computern mit Windows<br />
Server 2008, Windows Vista und früheren Windows-Versionen bereitgestellt werden.<br />
Ein Benutzerprofil enthält Informationen, die der Struktur HKEY_CURRENT_USER in der Registrierung<br />
zugeordnet sind, und wird am Stamm des Benutzerprofilordners als NTUSER.DAT gespeichert.<br />
Diese Datei dient der Verwaltung verschiedener Informationstypen wie Anwendungs- und Desktopkonfigurationseinstellungen.<br />
Ein Benutzerprofil enthält ferner verschiedene sichtbare und ausgeblendete<br />
Ordner, in denen Informationen wie Anwendungseinstellungen, die Konfiguration des Menüs<br />
Start und des Desktops und verschiedene Ordnertypen für persönliche Daten gespeichert werden.<br />
Abbildung 12.2 zeigt den Inhalt eines Benutzerprofils auf einem Server mit Windows Server 2008.<br />
In früheren Windows-Versionen wurden Benutzerprofile im Ordner Dokumente und Einstellungen<br />
gespeichert. Unter Windows Server 2008 heißt dieser Ordner nun Benutzer. Im Benutzerprofilordner<br />
wurden viele Namen und Pfade bestimmter profilbezogener Ordner ebenfalls geändert. In<br />
Tabelle 12.2 finden Sie die Unterschiede zwischen früheren Windows-Versionen und Windows<br />
Server 2008.<br />
Hinweis<br />
Die für Windows Server 2008 genannten Profiländerungen gelten auch für Windows Vista.<br />
Zusätzlich zu den Standardprofilordnern gibt es verschiedene ausgeblendete Ordner mit Verknüpfungspfeilen<br />
(siehe Abbildung 12.2). Diese Verknüpfungspunkte genannten Ordner werden von<br />
älteren Anwendungen zum Auflösen des Speicherortes der in früheren Windows-Versionen verwendeten<br />
allgemeinen Ordner verwendet und sind in Tabelle 12.3 beschrieben.
454 Kapitel 12: Einsetzen von Gruppenrichtlinien zum Verwalten von Benutzerdesktops<br />
Abbildung 12.2<br />
Das Benutzerprofil enthält sämtliche Benutzerdesktopeinstellungen und Ordner für Benutzerdaten<br />
Tabelle 12.2<br />
Vergleichen von Profilordnern zwischen Windows-Versionen<br />
Windows Server 2008/<br />
Vista<br />
Windows 2003/<br />
XP<br />
Beschreibung<br />
AppData – Dieser ausgeblendete Ordner dient als Standardspeicherort für Benutzeranwendungsdaten<br />
und enthält die folgenden Ordner:<br />
Local: Dient zum Speichern computer- und benutzerspezifischer Anwendungseinstellungen,<br />
die bei Implementierung servergespeicherter Profile nicht<br />
auf dem Server gespeichert werden sollen.<br />
Roaming: Dient zum Speichern von Anwendungsdaten und -einstellungen,<br />
die bei Implementierung servergespeicherter Profile auf dem Server gespeichert<br />
werden sollen.<br />
LocalLow: Dient zum Speichern von Daten und Einstellungen für Prozesse<br />
mit niedriger Integritätsebene, z.B. der geschützte Modus in Internet Explorer.<br />
Diese Daten werden bei Implementierung servergespeicherter Profile<br />
nicht auf dem Server gespeichert.
Verwalten von Benutzerdaten und Profileinstellungen 455<br />
Tabelle 12.2<br />
Vergleichen von Profilordnern zwischen Windows-Versionen (Fortsetzung)<br />
Windows Server 2008/<br />
Vista<br />
Windows 2003/<br />
XP<br />
Beschreibung<br />
Kontakte – Dies ist der Standardspeicherort für Benutzerkontakte.<br />
Desktop Desktop Dient zum Speichern von Elementen, die auf dem Desktop angezeigt werden,<br />
z.B. Verknüpfungen und Dateien.<br />
Dokumente Eigene Dateien Dies ist der Standardspeicherort für alle vom Benutzer erstellten Dokumente.<br />
Downloads – Dies ist der Standardspeicherort für alle vom Benutzer heruntergeladenen<br />
Dateien.<br />
Favoriten – Internet Explorer-Favoriten.<br />
Links – Internet Explorer-Linkfavoriten.<br />
Musik Eigene Musik Standardspeicherort für vom Benutzer gespeicherte Musikdateien.<br />
Bilder Eigene Bilder Standardspeicherort für vom Benutzer gespeicherte Bilddateien.<br />
Gespeicherte Spiele – Standardspeicherort für vom Benutzer gespeicherte Spiele.<br />
Suchen – Standardspeicherort für gespeicherte Suchen.<br />
Videos Eigene Videos Standardspeicherort für vom Benutzer gespeicherte Videos.<br />
Tabelle 12.3<br />
Windows Server 2008-Verknüpfungspunkte<br />
Verknüpfungspunkt<br />
Anwendungsdaten<br />
Cookies<br />
Lokale Einstellungen<br />
Eigene Dateien<br />
Netzwerkumgebung<br />
Druckumgebung<br />
Recent<br />
SendTo<br />
Menü Start<br />
Vorlagen<br />
Zeigt auf neuen Speicherort unter Windows Server 2008/Vista<br />
.. \AppData\Roaming<br />
.. \AppData\Roaming\Microsoft\Windows\Cookies<br />
…\AppData\Local<br />
…\AppData\Local\Microsoft\Windows\History<br />
…\AppData\Local\Temp<br />
…\AppData\Local\Microsoft\Windows\Temporary Internet Files<br />
...\Documents<br />
…\AppData\Roaming\Microsoft\Windows\Network Shortcuts<br />
…\AppData\Roaming\Microsoft\Windows\Printer Shortcuts<br />
…\AppData\Roaming\Microsoft\Windows\Recent<br />
…\AppData\Roaming\Microsoft\Windows\Send To<br />
…\AppData\Roaming\Microsoft\Windows\Start Menu<br />
…\AppData\Roaming\Microsoft\Windows\Templates<br />
Die neue Ordnerstruktur bietet ein übersichtlicheres und logischeres Format, aus dem Zweck und<br />
Funktion jedes Ordners eindeutig hervorgeht. Die neue Struktur optimiert ferner Aufgaben bei der<br />
Ordnerumleitung, indem die Menge der mit servergespeicherten Profilen übertragenen Daten minimiert<br />
wird.
456 Kapitel 12: Einsetzen von Gruppenrichtlinien zum Verwalten von Benutzerdesktops<br />
So funktioniert es: Verknüpfungspunkte und ihre Ziele<br />
Die neue Ordnerstruktur für Benutzerprofile mit servergespeicherten Profilen der Version 2 unter<br />
Windows Server 2008 und Windows Vista vereinfacht das Auffinden von Benutzerdaten. Doch<br />
Anwendungen, die vor Windows Server 2008 und Windows Vista entwickelt wurden, enthalten<br />
ggf. hart codierte Namen in der Ordnerstruktur, die vor Windows Server 2008 und Windows Vista<br />
verwendet wurde. Profilentwickler haben vorausschauend versucht, Probleme bei der Kompatibilität<br />
von Anwendungen zwischen Benutzerprofilen der Versionen 1 und 2 abzufedern, indem Verknüpfungspunkte<br />
mit den Namen von Benutzerdatenordnern in früheren Windows-Versionen<br />
erstellt wurden.<br />
Verknüpfungspunkte sehen in Windows Explorer wie Ordner aus. Sie enthalten jedoch eigentlich<br />
einen Link, der die Dateianforderung an eine andere Stelle auf der Festplatte umleitet. Verknüpfungspunkte<br />
ermöglichen Anwendungen, die mit früheren Namen von Benutzerdatenordner arbeiten,<br />
das Schreiben von Daten in Ordner, welche die neuen Namen von Benutzerdatenordnern in<br />
Benutzerprofilen der Version 2 verwenden. Windows Server 2003 und Windows XP verwenden<br />
beispielsweise beide Benutzerprofile der Version 1. Der Ordner Eigene Dateien ist einer der Benutzerdatenordner<br />
im Benutzerprofil der Version 1. Windows Server 2008 und Windows Vista (mit<br />
Benutzerprofilen der Version 2) verwenden jedoch den Ordner Dokumente als Gegenstück des<br />
Benutzerdatenordners Eigene Dateien. Windows Server 2008 erstellt einen ausgeblendeten Verknüpfungspunkt<br />
in Benutzerprofilen der Version 2 mit dem Namen Eigene Dateien. Das Ziel des<br />
Verknüpfungspunkts Eigene Dateien ist der Speicherort des neuen Benutzerdatenordners Dokumente.<br />
Eine Anwendung, die spezifisch für das Schreiben von Daten in den Ordner Eigene Dateien<br />
erstellt wurde, würde unter Windows Vista fehlschlagen, gäbe es nicht den Verknüpfungspunkt, der<br />
den Dateivorgang zum ordnungsgemäßen Benutzerdatenordner umleitet.<br />
Sie können die Verknüpfungpunkte in Benutzerprofilen der Version 2 durch Eingeben von Dir an<br />
der Eingabeaufforderung anzeigen. Öffnen Sie dazu eine Eingabeaufforderung. Das Eingabeaufforderungsfenster<br />
wird im Benutzerprofilordner des aktuell angemeldeten Benutzers geöffnet. Geben<br />
Sie Dir /al ein, und drücken Sie die EINGABETASTE. Windows zeigt die Liste der ausgeblendeten<br />
Verknüpfungspunkte im Benutzerprofilordner und deren Zielspeicherorte an.<br />
Mike Stephens<br />
Support Escalation Engineer<br />
Funktionsweise lokaler Profile<br />
Ein lokales Profil wird standardmäßig auf jedem Computer erstellt, wenn sich ein Benutzer erstmals<br />
an dem Computer anmeldet. Das Anfangsprofil basiert auf dem versteckten Profil Default, das im<br />
Ordner %SystemDrive%\Benutzer gespeichert wird. Wenn ein Computer einer Domäne beitritt, prüft<br />
er zuerst, ob eine Netzwerkversion des Standardbenutzerprofils vorhanden ist, die in der Freigabe<br />
NETLOGON von Domänencontrollern enthalten ist.<br />
Wenn sich der Benutzer abmeldet, werden sein Profil sowie etwaige Änderungen daran in einem Ordner<br />
gespeichert, dessen Name dem Anmeldenamen des Benutzers im Ordner Benutzer entspricht.<br />
Wenn sich der Benutzer nochmals am selben Computer anmeldet, wird das Profil abgerufen und dem<br />
Benutzer derselbe Desktop angezeigt, der bei der Abmeldung gespeichert wurde. Benutzerprofile sind<br />
mit der Sicherheits-ID des Benutzers verknüpft. Aus diesem Grund wird bei zwei Benutzern mit demselben<br />
Anmeldenamen nicht dasselbe Profil geladen. Jedem Benutzer wird ein eigenes Profil zugewiesen.
Verwalten von Benutzerdaten und Profileinstellungen 457<br />
Der Hauptvorteil eines lokalen Profils ist, dass jeder Benutzer, der sich an dem Computer anmeldet,<br />
seine persönlichen Einstellungen behält. Benutzer, die wechselweise an mehreren Arbeitsstationen<br />
tätig sind, müssen hingegen mit mehreren Profilen arbeiten, die getrennt auf jeder einzelnen Arbeitsstation<br />
gespeichert werden. Um dieses Problem in den Griff zu bekommen, arbeiten viele Unternehmen<br />
mit servergespeicherten Benutzerprofilen.<br />
Funktionsweise servergespeicherter Profile<br />
Servergespeicherte Benutzerprofile werden in einer Netzwerkfreigabe gespeichert, damit das Profil<br />
zur Verfügung steht, wenn der Benutzer an mehreren Arbeitsstationen arbeitet. Aufgrund der Änderungen<br />
an der Profilordnerstruktur unter Windows Server 2008 und Windows Vista müssen bei der<br />
Implementierung servergespeicherter Profile in einer heterogenen Umgebung bestimmte Aspekte<br />
berücksichtigt werden. Denn für Clients mit Windows Vista oder Windows Server 2008 erstellte servergespeicherte<br />
Profile sind nicht mit servergespeicherten Profilen für Windows XP und Windows<br />
Server 2003 kompatibel.<br />
Hinweis Windows Vista und Windows Server 2008 können Windows XP- und Windows 2003-Benutzerprofile<br />
der Version 1 nicht lesen. Dies ist im Vergleich zu früher, als das neuere Betriebssystem die servergespeicherten<br />
Profile des älteren Betriebssystems lesen konnte und einfache Updates möglich waren, ein<br />
wesentlicher Unterschied. Bei Benutzerprofilen der Version 2 ist dies nicht mehr möglich.<br />
Wenn sich ein Benutzer, der sich mit einem unter Windows Server 2008/Windows Vista servergespeicherten<br />
Profil erstmals an einem Computer anmeldet, wird ein Standardprofil basierend auf einem von<br />
zwei Elementen generiert und auf den Computer angewendet:<br />
• Einem vorkonfigurierten Benutzerprofil in der Freigabe NETLOGON Wenn Sie ein Standardbenutzerprofil<br />
wünschen, das bereits mit bestimmten Voreinstellungen vorkonfiguriert ist, können Sie auf<br />
einem Computer mit Windows Server 2008 oder Windows Vista ein Benutzerprofil mit eindeutigen<br />
Benutzereinstellungen wie Hintergrundfarben, Bildschirmschoner und Desktopeinstellungen<br />
konfigurieren. Sie können dieses Profil anschließend in den Ordner Default User.v2 der<br />
Freigabe NETLOGON eines Domänencontrollers kopieren. Das Suffix v2 bedeutet, dass es sich<br />
um ein unter Windows Vista und Windows Server 2008 verwendetes Benutzerprofil der Version 2<br />
handelt.<br />
• Dem lokalen Standardprofil Falls der Ordner Default User.v2 nicht in der Freigabe NETLOGON<br />
vorhanden oder der Computer keiner Domäne beigetreten ist, wird das lokale Standardprofil als<br />
Ausgangsprofil des Benutzers verwendet.<br />
Wenn sich der Benutzer abmeldet, werden die Änderungen am Benutzerprofil ausgewertet und zurück<br />
in die Netzwerkfreigabe NETLOGON kopiert. Eine Kopie des Profils wird außerdem standardmäßig<br />
auf der lokalen Arbeitsstation gespeichert. Wenn sich ein Benutzer zuvor an einer Arbeitsstation<br />
angemeldet hat, wird der Zeitstempel der lokalen Arbeitsstation mit dem Zeitstempel des Profils<br />
verglichen, das in der Netzwerkfreigabe NETLOGON gespeichert ist. Der Zeitstempel für einzelne<br />
Dateien dient zum Bestimmen, welche Dateien im Profil neuer sind. Ist das Profil auf dem Server<br />
neuer als das lokale Profil, wird das gesamte Profil vom Server auf die lokale Arbeitsstation kopiert.<br />
Konfigurieren servergespeicherte Profile<br />
Zum Konfigurieren servergespeicherter Profile müssen Sie einen Netzwerkspeicherort einrichten, an<br />
dem die einzelnen Benutzerprofile gespeichert werden sollen. Als Nächstes müssen Sie die einzelnen<br />
Benutzerkonten mit einer Zuordnung zu diesem Netzwerkspeicherort konfigurieren, damit das jeweilige<br />
Profil abgerufen wird und Änderungen daran gespeichert werden.
458 Kapitel 12: Einsetzen von Gruppenrichtlinien zum Verwalten von Benutzerdesktops<br />
Führen Sie zum Konfigurieren servergespeicherter Benutzerprofile die folgenden Schritte aus:<br />
1. Erstellen Sie auf einem Datei- oder Profilserver für die Speicherung servergespeicherter Profile<br />
einen freigegebenen Ordner. In vielen Fällen wird der Ordner Profile genannt.<br />
2. Geben Sie den Ordner so frei, dass die Gruppe Authentifizierte Benutzer die Berechtigung Vollzugriff<br />
für die Freigabe hat. Dies stellt sicher, dass sowohl Computer als auch Benutzer auf diese<br />
Freigabe zugreifen können, um den Anforderungen entsprechend Profilordner zu erstellen. Sie<br />
müssen ferner sicherstellen, dass in den lokalen (NTFS-) Berechtigungen für die Gruppe Benutzer<br />
die Berechtigungen Zulassen: Ändern festgelegt sind.<br />
3. Erstellen Sie optional ein Standardnetzwerkprofil, und speichern Sie es in der Freigabe NET-<br />
LOGON auf einem Domänencontroller. Der Ordner, in dem das benutzerdefinierte Profil gespeichert<br />
wird, muss den Namen Default User.v2 tragen. Die Gruppe Jeder benötigt Vollzugriff auf<br />
das Standardbenutzerprofil. Wenn Sie kein Standardnetzwerkprofil erstellen, wird stattdessen das<br />
Profil %SystemRoot%\Users\Default verwendet.<br />
4. In der Konsole <strong>Active</strong> <strong>Directory</strong>-Benutzer und -Computer können Sie den Profilpfad für jeden<br />
Benutzer konfigurieren, der das servergespeicherte Profil nutzen soll. Wie Abbildung 12.3 zeigt,<br />
müssen Sie den Server und freigegebenen Ordner angeben, in dem die Profile gespeichert werden.<br />
Sie können auch die Umgebungsvariable %UserName% als Platzhalter für den im Profilpfad<br />
angegebenen Anmeldenamen verwenden. Nachdem sich der Benutzer angemeldet hat, wird der<br />
Profilordner automatisch im Benutzername.v2-Format erstellt, und die entsprechenden Berechtigungen<br />
werden automatisch zugewiesen.<br />
Abbildung 12.3<br />
Konfigurieren eines servergespeicherten Benutzerprofils
Verwalten von Benutzerdaten und Profileinstellungen 459<br />
Verbindliche und „superverbindliche“ Profile<br />
Verbindliche Profile werden in Kombination mit servergespeicherten Profilen zum Erstellen einer<br />
gespeicherten Standarddesktopkonfiguration für eine Benutzergruppe genutzt. Angenommen, Sie<br />
haben eine Gruppe von Benutzern, die alle dieselben Aufgaben ausführen und nur eine sehr begrenzte<br />
Desktopkonfiguration benötigen. Sie können einen Standarddesktop für diese Benutzergruppe erstellen<br />
und mit verbindlichen Profilen arbeiten, um die Benutzer am Ändern der Konfiguration zu<br />
hindern. Um verbindliche Profile zu aktivieren, müssen Sie zuerst das standardmäßige servergespeicherte<br />
Benutzerprofil erstellen und über die Registerkarte Profile im Dialogfeld Computereigenschaften<br />
das Profil in die Freigabe NETLOGON kopieren und für die Profilnutzung die entsprechenden<br />
Berechtigungen zuweisen. Anschließend müssen Sie die Datei NTUSER.DAT in<br />
NTUSER.MAN umbenennen und als schreibgeschützt konfigurieren. Schließlich müssen Sie alle vorgesehenen<br />
Benutzer für die Verwendung dieses Profils als servergespeichertes Benutzerprofil einrichten.<br />
Wenn sich ein mit dem verbindlichen Profil konfigurierter Benutzer am Netzwerk anmeldet, wird<br />
das Profil angewendet. Da es als verbindliches Profil konfiguriert ist, werden Änderungen am Profil<br />
bei der Abmeldung des Benutzers nicht im Profilserver gespeichert.<br />
Hinweis Für Ordner für die Speicherung verbindlicher Profile müssen Freigabeberechtigungen gelten, die<br />
der Gruppe Authentifizierte Benutzer die Berechtigung Lesen und der Gruppe Administratoren die Berechtigung<br />
Vollzugriff zuweisen.<br />
Wenn ein servergespeichertes Profil bzw. verbindliches Benutzerprofil aufgrund von Netzwerkproblemen<br />
nicht verfügbar ist, erstellt Windows normalerweise basierend auf dem standardmäßigen Netzwerk-<br />
oder lokalen Profil ein temporäres Profil, das bei der Abmeldung des Benutzers gelöscht wird.<br />
Wenn jedoch angefordert wird, dass verbindliche Profile stets zu verwenden sind, wird die Anmeldung<br />
nicht zugelassen, wenn die Profile nicht verfügbar sind. Hierfür müssen Sie ein sogenanntes<br />
„superverbindliches“ Profil erzeugen. Superverbindliche Profile lassen die Benutzeranmeldung an<br />
einer Arbeitsstation nicht zu, wenn das servergespeicherte Profil nicht verfügbar ist. Dies kann die<br />
Sicherheit der Arbeitsstation weiter verbessern, aber auch zu erhöhtem Aufwand bei der Fehlerbehebung<br />
und einem Verlust an Benutzerproduktivität führen, wenn ein Benutzer nicht auf das servergespeicherte<br />
Profil zugreifen kann.<br />
Führen Sie zum Konfigurieren superverbindlicher servergespeicherter Benutzerprofile die folgenden<br />
Schritte aus:<br />
1. Erstellen Sie, wie zuvor erklärt, ein verbindliches Benutzerprofil.<br />
2. Verbinden Sie sich mit der Netzwerkfreigabe, in der der Benutzerprofilordner gespeichert ist.<br />
Benennen Sie den Benutzerordner, der ein superverbindliches Benutzerprofil enthalten soll, durch<br />
Hinzufügen von .man.v2 am Ende des Ordnernamens um.<br />
3. In der Konsole <strong>Active</strong> <strong>Directory</strong>-Benutzer und -Computer können Sie den Profilpfad für jeden<br />
Benutzer konfigurieren, der das superverbindliche servergespeicherte Profil nutzen soll. Fügen<br />
Sie .man am Ende des Profilpfads hinzu. Der Pfad in Abbildung 12.3 würde dann \\SEA-DC1\<br />
Profiles\Don.man lauten.<br />
Mit einem superverbindlichen Benutzerprofil konfigurierte Benutzer können keine Einstellungen auf<br />
den Profilserver zurückspeichern. Darüber hinaus lässt Windows nicht die Benutzeranmeldung am<br />
Computer zu, wenn das verbindliche Benutzerprofil nicht geladen werden kann.
460 Kapitel 12: Einsetzen von Gruppenrichtlinien zum Verwalten von Benutzerdesktops<br />
Einsetzen von Gruppenrichtlinien zum Verwalten servergespeicherter<br />
Benutzerprofile<br />
Mithilfe von Gruppenrichtlinien können Sie viele Aspekte von Benutzerprofilen verwalten. Beim<br />
Bearbeiten eines domänenbasierten Gruppenrichtlinienobjekts finden Sie Benutzerprofileinstellungen<br />
an folgenden Stellen:<br />
• Computerkonfiguration\Richtlinien\Administrative Vorlagen\System\Benutzerprofile<br />
• Benutzerkonfiguration\Richtlinien\Administrative Vorlagen\System\Benutzerprofile<br />
In Tabelle 12.4 werden die Konfigurationsoptionen an diesen beiden Stellen erläutert.<br />
Tabelle 12.4<br />
Konfigurieren von Benutzerprofilen mithilfe von Gruppenrichtlinieneinstellungen<br />
Richtlinieneinstellung<br />
Sicherheitsgruppe Administratoren zu<br />
servergespeicherten Profilen hinzufügen<br />
Benutzerprofile, die älter als eine bestimmte<br />
Anzahl von Tagen sind, beim<br />
Systemneustart löschen<br />
Eigentümer von servergespeicherten<br />
Profilen nicht prüfen<br />
Zwischengespeicherte Kopien von servergespeicherten<br />
Profilen löschen<br />
Die Registrierung der Benutzer bei der<br />
Benutzerabmeldung nicht zwangsweise<br />
entladen<br />
Langsame Netzwerkverbindungen nicht<br />
erkennen<br />
Erläuterung<br />
Über diese Option können Sie die Sicherheitsgruppe Administratoren zur Profilfreigabe<br />
des servergespeicherten Benutzerprofils hinzufügen und die Berechtigung<br />
Vollzugriff erteilen. Ist diese Einstellung nicht konfiguriert bzw. deaktiviert, hat nur<br />
der Benutzer Vollzugriff auf sein Profil (Standardeinstellung). Diese Einstellung<br />
muss vor Erstellung des Profils aktiviert werden. Wird sie anschließend aktiviert,<br />
hat sie keine Auswirkung.<br />
Hinweis: Diese Einstellung muss auf dem Clientcomputer, nicht auf dem Profilserver<br />
konfiguriert werden. Der Clientcomputer legt die Dateifreigabeberechtigungen<br />
für das servergespeicherte Profil zum Zeitpunkt der Erstellung fest.<br />
Diese Windows Vista-Einstellung ermöglicht das automatische Löschen von Windows<br />
Vista-Clientbenutzerprofilen, die eine angegebene Anzahl von Tagen nicht<br />
genutzt wurden, beim Neustart des Systems.<br />
Über diese Option können Sie die auszuführende Aktion bestimmen, wenn ein servergespeicherter<br />
Benutzerprofilordner bereits vorhanden ist und die Arbeitsstationen<br />
auf Microsoft Windows 2000 Service Pack 4 oder Microsoft Windows XP<br />
Professional Service Pack 1 aktualisiert wurden. Diese aktuellen Service Packs<br />
verbessern die Standardsicherheitseinstellungen für die Benutzerprofile. Durch<br />
Aktivieren dieser Option bleiben die früheren Sicherheitseinstellungen erhalten.<br />
Aktivieren Sie diese Option, um die lokale zwischengespeicherte Kopie des servergespeicherten<br />
Benutzerprofils bei Abmeldung des Benutzers zu löschen. Aktivieren<br />
Sie diese Option nicht, wenn Sie mit der Windows 2000- oder Windows XP<br />
Professional-Funktion zur Erkennung langsamer Verbindungen arbeiten, da diese<br />
eine lokale zwischengespeicherte Kopie des Benutzerprofils benötigt.<br />
Unter Windows Vista wird die Registrierung des Benutzers bei der Benutzerabmeldung<br />
zwangsweise entladen. Diese Richtlinieneinstellung kann Windows daran<br />
hindern. Diese Einstellung darf nur aktiviert werden, um Probleme bei der Kompatibilität<br />
von Anwendungen im Zusammenhang mit diesem Standardverhalten zu<br />
beheben.<br />
Bei Aktivierung dieser Option arbeitet der Computer bei der Konfiguration der Verwaltung<br />
servergespeicherter Benutzerprofile nicht mit der Erkennung langsamer<br />
Verbindungen. Wenn Sie diese Option aktivieren, werden servergespeicherte Benutzerprofile<br />
unabhängig von der Netzwerkgeschwindigkeit stets heruntergeladen.
Verwalten von Benutzerdaten und Profileinstellungen 461<br />
Tabelle 12.4<br />
Konfigurieren von Benutzerprofilen mithilfe von Gruppenrichtlinieneinstellungen (Fortsetzung)<br />
Richtlinieneinstellung<br />
Benutzer bei langsamer Netzwerkverbindung<br />
zum Bestätigen auffordern<br />
Windows Installer- und Gruppenrichtliniensoftware-Installationsdaten<br />
belassen<br />
Nur lokale Benutzerprofile zulassen<br />
Pfad des servergespeicherten Profils für<br />
alle Benutzer festlegen, die sich an<br />
diesem Computer anmelden<br />
Zeitlimit für Dialogfelder<br />
Benutzer mit temporären Profilen nicht<br />
anmelden<br />
Maximale Wiederholungsversuche zum<br />
Entladen und Aktualisieren des Benutzerprofils<br />
Erläuterung<br />
Aktivieren Sie diese Option, um dem Benutzer anzuzeigen, dass eine langsame<br />
Netzwerkverbindung erkannt wurde, und ihm eine Wahlmöglichkeit zu geben, entweder<br />
das lokale oder das Serverprofil zu laden. Wird diese Option nicht aktiviert,<br />
wird das lokale Profil ohne Nachfrage beim Benutzer geladen.<br />
Beim Löschen eines Benutzerprofils werden alle profilbezogenen Informationen<br />
wie Benutzererstellungen, Daten, Windows Installer-Informationen und Installationsdaten<br />
der Gruppenrichtliniensoftware standardmäßig gelöscht. Wenn sich ein<br />
Benutzer anschließend an dem Computer anmeldet, dessen Profil zuvor gelöscht<br />
wurde, müssen alle über Gruppenrichtlinien installierte Anwendungen erneut installiert<br />
werden. Bei Aktivierung dieser Richtlinieneinstellung löscht Windows beim<br />
Löschen eines servergespeicherten Benutzerprofils nicht die Windows Installer-<br />
Daten und Installationsdaten der Gruppenrichtliniensoftware. Dies optimiert die<br />
Systemleistung und verkürzt die Anmeldedauer, wenn sich ein Benutzer später an<br />
dem Computer anmeldet.<br />
Aktivieren Sie diese Option, um zu bestimmen, ob servergespeicherte Benutzerprofile<br />
auf einem bestimmten Computer verfügbar sein sollen. Wenn Sie diese<br />
Option aktivieren, wird das servergespeicherte Benutzerprofil nicht angewendet<br />
und nur das lokale Profil genutzt.<br />
Über diese Richtlinieneinstellung können Sie einen Netzwerkpfad angeben, um auf<br />
servergespeicherte Profile für alle Benutzer zuzugreifen, die sich an einem bestimmten<br />
Computer anmelden. Der Pfad muss das Format \\Computername\<br />
Freigabename\%USERNAME% aufweisen. Wichtig ist der Hinweis, dass es vier<br />
Möglichkeiten gibt, ein servergespeichertes Profil für einen Benutzer zu konfigurieren.<br />
Dabei wird folgende Reihenfolge beachtet und die erste konfigurierte Einstellung<br />
verwendet:<br />
1. Pfad eines servergespeicherten Terminaldiensteprofils, der von einer Terminaldienste-Richtlinieneinstellung<br />
angegeben wird<br />
2. Pfad eines servergespeicherten Terminaldiensteprofils, der in den Eigenschaften<br />
des Benutzerobjekts angegeben wird<br />
3. Pfad eines computerbezogenen servergespeicherten Profils, der in dieser<br />
Richtlinieneinstellung angegeben wird<br />
4. Pfad eines benutzerbezogenen servergespeicherten Profils, der in den Eigenschaften<br />
des Benutzerobjekts angegeben wird<br />
Über diese Option können Sie festlegen, wie lange das System warten soll, nachdem<br />
der Benutzer informiert wurde, dass eine langsame Netzwerkverbindung<br />
erkannt wurde. Wenn das Zeitlimit überschritten werden darf, werden der Standardwert<br />
bzw. die Standardaktion des Dialogfelds angewendet.<br />
Diese Richtlinieneinstellung sorgt automatisch für eine Abmeldung von Benutzern,<br />
wenn Windows ihr Profil nicht laden kann. Wenn Windows nicht auf den Benutzerprofilordner<br />
zugreifen oder das Profil nicht gefunden werden kann, erlaubt Windows<br />
dem Benutzer standardmäßig die Anmeldung mit einem temporären<br />
Benutzerprofil.<br />
Legen Sie über diese Einstellung fest, wie oft das System versuchen soll, die Datei<br />
NTUSER.DAT zu aktualisieren, wenn sich der Benutzer abmeldet und die Aktualisierung<br />
fehlschlägt. Standardmäßig versucht das System, die Datei einmal alle<br />
60 Sekunden zu aktualisieren.
462 Kapitel 12: Einsetzen von Gruppenrichtlinien zum Verwalten von Benutzerdesktops<br />
Tabelle 12.4<br />
Konfigurieren von Benutzerprofilen mithilfe von Gruppenrichtlinieneinstellungen (Fortsetzung)<br />
Richtlinieneinstellung<br />
Propagierung von Änderungen an servergespeicherten<br />
Profilen auf den Server<br />
verhindern<br />
Remotebenutzerprofil abwarten<br />
Zeitlimit für langsame Verbindungen für<br />
Benutzerprofile<br />
Maximale Wartezeit für das Netzwerk<br />
festlegen, wenn ein Benutzer über ein<br />
servergespeichertes Benutzerprofil oder<br />
ein Remotestammverzeichnis verfügt<br />
Basisverzeichnis mit dem Freigabestamm<br />
verbinden (unter Benutzerkonfiguration)<br />
Nur bei der An-/Abmeldung zu synchronisierende<br />
Netzwerkverzeichnisse<br />
(unter Benutzerkonfiguration)<br />
Verzeichnisse aus servergespeichertem<br />
Profil ausschließen (unter Benutzerkonfiguration)<br />
Profilgröße beschränken (unter Benutzerkonfiguration)<br />
Erläuterung<br />
Über diese Option können Sie bestimmen, was passieren soll, wenn sich der Benutzer<br />
vom Computer abmeldet. Ist diese Option aktiviert, wird das servergespeicherte<br />
Profil auf dem Server bei Abmeldung des Benutzers nicht aktualisiert.<br />
Aktivieren Sie diese Option, damit das servergespeicherte Benutzerprofil stets vom<br />
Server geladen wird. Bei Aktivierung dieser Option lädt die Arbeitsstation das Benutzerprofil<br />
auch dann, wenn eine langsame Netzwerkverbindung erkannt wird.<br />
Aktivieren Sie diese Option, um eine langsame Netzwerkverbindung zu bestimmen.<br />
Wenn Sie diese Option aktivieren, beträgt die Standarddefinition einer langsamen<br />
Netzwerkverbindung weniger als 500 KBit/s und für Nicht-IP-Computer<br />
120 Millisekunden, bis der Server reagiert.<br />
Wenn der Benutzer ein servergespeichertes Benutzerprofil oder Remotestammverzeichnis<br />
hat und das Netzwerk nicht verfügbar ist, wartet Windows 30 Sekunden<br />
ab. Steht das Netzwerk nach Ablauf der maximalen Wartezeit nicht zur Verfügung,<br />
wird der Benutzer ohne Netzwerkverbindung angemeldet. Sie können die standardmäßige<br />
Wartezeit mithilfe dieser Richtlinie ändern, was bei langsameren Verbindungen<br />
wie drahtlosen Verbindungen nützlich sein kann.<br />
Bei Aktivierung dieser Option ist das Stammverzeichnis aller Benutzer die Netzwerkfreigabe,<br />
in der sich die Stammordner der Benutzer befinden. Wenn Sie die<br />
Option nicht aktivieren (Standardeinstellung), werden die Stammlaufwerke dem<br />
benutzerbezogenen Ordner und nicht der übergeordneten Freigabe zugeordnet.<br />
Über diese Richtlinieneinstellung können Sie angeben, welche Netzwerkverzeichnisse<br />
nur bei der An- und Abmeldung mithilfe von Offlinedateien synchronisiert<br />
werden.<br />
Wählen Sie diese Option aus, um zu verhindern, dass angegebene Benutzerverzeichnisse<br />
in das servergespeicherte Benutzerprofil einbezogen werden.<br />
Über diese Option können Sie die maximale Größe des servergespeicherten Profils<br />
eines Benutzers festlegen. Außerdem können Sie hiermit bestimmen, welche<br />
Eingabeaufforderung dem Benutzer angezeigt wird, wenn der Profilspeicherplatz<br />
überschritten wird.<br />
Ordnerumleitung<br />
Bei einem servergespeicherten Profil ist die Arbeitsumgebung des Benutzers unabhängig vom Computer,<br />
an dem er sich anmeldet, stets gleich. Doch servergespeicherte Benutzerprofile unterliegen auch<br />
gewissen Einschränkungen. Das größte Problem ist zumeist, dass das Benutzerprofil sehr groß werden<br />
kann, wenn der Benutzer beispielsweise sehr viele Daten im Ordner Dokumente oder große<br />
Dateien auf dem Desktop speichert. Häufig haben Dateien in den Ordnern Musik und Videos eine<br />
Größe von mehreren Megabytes. Alle diese Dateien werden im Benutzerprofil gespeichert. Das Problem<br />
bei großen servergespeicherten Profilen ist, dass das gesamte Profil immer dann auf die lokale<br />
Arbeitsstation kopiert werden muss, wenn sich der Benutzer anmeldet und der Computer erkennt,<br />
dass das Profil auf dem Server neuer als das Profil auf der lokalen Arbeitsstation ist. Wenn der Benutzer<br />
Änderungen an den Profildaten vornimmt, muss das Profil bei Abmeldung des Benutzers zurück<br />
auf den Server kopiert werden. Dieser Vorgang kann sehr viel Netzwerkdatenverkehr verursachen und<br />
die Anmeldezeiten verlängern.
Verwalten von Benutzerdaten und Profileinstellungen 463<br />
Die Gruppenrichtlinienfunktion bietet die Ordnerumleitung als Möglichkeit an, in den Genuss einiger<br />
Vorteile servergespeicherter Profile zu kommen und gleichzeitig die Nachteile für Netzwerkbandbreite<br />
und Anmeldegeschwindigkeit zu minimieren. Bei Aktivierung der Ordnerumleitung werden<br />
Ordner, die normalerweise Teil des lokalen Benutzerprofils sind, aus dem Profil umgeleitet und in<br />
einer Netzwerkfreigabe gespeichert. Einer der gängigsten Ordner für die Ordnerumleitung ist beispielsweise<br />
der Ordner Dokumente, was logisch ist, denn dies ist der Standardspeicherort, an dem die<br />
meisten Benutzer Dateien speichern. Wenn Sie die Ordnerumleitung konfigurieren, können Sie den<br />
Ordner Dokumente auf einem Computer zu einer Netzwerkfreigabe umleiten, in der er zentral gesichert<br />
werden kann. Diese Ordnerumleitung erfolgt für den Endbenutzer nahezu unbemerkt. Die einzige<br />
Möglichkeit festzustellen, dass der Ordner umgeleitet wurde, ist die Untersuchung der Eigenschaften<br />
zum Bestimmen des Pfades des Ordners Dokumente.<br />
Ein weiterer Grund für die Verwendung der Ordnerumleitung ist, dass Sie über diese Option eine<br />
standardmäßige Desktopumgebung bereitstellen können, ohne verbindliche Benutzerprofile zu verwenden.<br />
Sie können beispielsweise Ordner wie Startmenü oder Desktop zu einer Netzwerkfreigabe<br />
umleiten. Anschließend können Sie eine Benutzergruppe für die Nutzung derselben Ordner konfigurieren.<br />
Indem Sie allen Benutzern nur Leseberechtigungen für diese Ordner erteilten, können Sie<br />
einen standardmäßigen verbindlichen Desktop für eine Benutzergruppe konfigurieren.<br />
Wie Abbildung 12.4 zeigt, bieten Windows Server 2008 und Windows Vista sehr viele Ordner, die<br />
aus dem Benutzerprofil umgeleitet werden können.<br />
Abbildung 12.4<br />
Für die Ordnerumleitung verfügbare Ordner
464 Kapitel 12: Einsetzen von Gruppenrichtlinien zum Verwalten von Benutzerdesktops<br />
Konfigurieren der Ordnerumleitung<br />
Die Ordnerumleitung wird in einem domänenbasierten Gruppenrichtlinienobjekt unter Benutzerkonfiguration\Windows-Einstellungen\Ordnerumleitung<br />
konfiguriert.<br />
Zum Einrichten eines bestimmten Ordners für die Umleitung klicken Sie mit der rechten Maustaste<br />
auf den Ordner, um anschließend Eigenschaften auszuwählen. Die erste Seite der Eigenschaftenseite<br />
des Objekts ist die Seite Ziel mit folgenden Optionen:<br />
• Nicht konfiguriert Die Option Einstellung ist standardmäßig auf Nicht konfiguriert festgelegt, was<br />
bedeutet, dass der Ordner nicht zu einer Netzwerkfreigabe umgeleitet wird.<br />
• Standard - Leitet alle Ordner auf den gleichen Pfad um Diese Einstellung wird verwendet, wenn Sie<br />
einen zentralen Speicherort erstellen möchten, an den alle Ordner umgeleitet werden. Sie können<br />
beispielsweise festlegen, dass sich die Ordner aller von dieser Richtlinie betroffenen Benutzer in<br />
der Netzwerkfreigabe \\Servername\Freigabename befinden sollen.<br />
• Erweitert - Gibt Pfade für verschiedene Benutzergruppen an Diese Einstellung dient zum Konfigurieren<br />
alternativer Speicherorte für den umgeleiteten Ordner abhängig von der <strong>Active</strong> <strong>Directory</strong>-<br />
Sicherheitsgruppe, zu welcher der Benutzer gehört. Bei Wahl dieser Option können Sie jeder<br />
Sicherheitsgruppe einen anderen Zielordner zuweisen.<br />
Konfigurieren der Standardumleitung Bei Wahl der Option Standard können Sie anschließend den<br />
Zielordner konfigurieren. Für die Speicherung des Ordners gibt es mehrere Optionen:<br />
• In das Basisverzeichnis des Benutzers kopieren Diese Einstellung dient zum Umleiten des Ordners<br />
Dokumente zum Basisverzeichnis des Benutzers, das in den Benutzerkontoeigenschaften angegeben<br />
ist. Wählen Sie diese Option nur dann, wenn Sie für das Benutzerobjekt bereits das Basisverzeichnis<br />
konfiguriert haben. Wurde das Basisverzeichnis noch nicht erstellt, wird durch<br />
Konfigurieren dieser Option kein Basisverzeichnis eingerichtet. Diese Option steht nur für den<br />
Ordner Eigene Dateien zur Verfügung.<br />
• Einen Ordner für jeden Benutzer im Stammpfad erstellen Diese Einstellung dient zum Angeben<br />
eines Stammpfads, in dem Ordner gespeichert werden sollen. Bei Wahl dieser Option wird unter<br />
dem Stammpfad jedes Benutzers ein Ordner erstellt. Der Ordnername basiert auf der Umgebungsvariablen<br />
%username%.<br />
• An folgenden Pfad umleiten Diese Einstellung dient zum Angeben eines Stamm- und Ordnerpfads<br />
für jeden Benutzer. Sie können einen UNC- (Universal Naming Convention) oder lokalen Laufwerkspfad<br />
wählen. Mithilfe der Variablen %username% können Sie einzelne Ordner erstellen.<br />
Diese Option kann auch zum Umleiten mehrerer Benutzer zum selben Ordner verwendet werden.<br />
Wenn Sie beispielsweise ein standardmäßiges Startmenü für eine Benutzergruppe einrichten<br />
möchten, müssen Sie alle auf dieselbe Datei verweisen.<br />
• An lokalen Benutzerprofilpfad umleiten Dies ist die Standardeinstellung, wenn keine Richtlinien<br />
aktiviert sind. Bei Festlegung dieser Option werden die Ordner nicht zu einer Netzwerkfreigabe<br />
umgeleitet.<br />
Abbildung 12.5 zeigt ein Beispiel des Ordners Dokumente mit ausgewählter Option Standard.
Verwalten von Benutzerdaten und Profileinstellungen 465<br />
Abbildung 12.5<br />
Konfigurieren der Standardordnerumleitung<br />
Zusätzlich zum Konfigurieren des Zielpfads für die umgeleiteten Ordner können Sie noch weitere<br />
Einstellungen für die umgeleiteten Ordner festlegen. Klicken Sie dazu in der Eigenschaftenseite des<br />
Objekts auf die Registerkarte Einstellungen (siehe Abbildung 12.6).<br />
Abbildung 12.6<br />
Konfigurieren der Ordnerumleitungseinstellungen
466 Kapitel 12: Einsetzen von Gruppenrichtlinien zum Verwalten von Benutzerdesktops<br />
Die Registerkarte Einstellungen bietet mehrere Konfigurationsoptionen:<br />
• Dem Benutzer exklusive Zugriffsrechte für Ordnername erteilen Diese Einstellung erteilt dem Benutzer-<br />
und dem Systemkonto Vollzugriff auf den Ordner. Administratorkonten haben keinen Zugriff.<br />
Wenn Sie das Kontrollkästchen deaktivieren, werden die Ordnerberechtigungen basierend auf den<br />
vererbten Berechtigungen konfiguriert.<br />
Hinweis Diese Einstellung steuert die Berechtigungen für neu erstellte Ordner. Wenn der Zielordner<br />
nicht vorhanden ist, erstellt die Funktion Ordnerumleitung den Ordner und legt die Berechtigungen so<br />
fest, dass nur das Benutzer- und lokale Systemkonto Vollzugriffsberechtigungen haben. Das heißt, dass<br />
der Administrator und andere Benutzer keine Berechtigungen für den Ordner haben. Ist der Zielordner<br />
vorhanden, überprüft die Funktion Ordnerumleitung den Besitzer des Ordners. Wenn der Ordner im<br />
Besitz eines anderen Benutzers ist, schlägt die Ordnerumleitung für den angegebenen Ordner fehl. Die<br />
Funktion Ordnerumleitung überprüft bei Deaktivierung dieses Kontrollkästchens nicht den Besitzer des<br />
Ordners.<br />
• Den Inhalt von Ordnername an den neuen Ort verschieben Diese Einstellung verschiebt den aktuellen<br />
Inhalt des umgeleiteten Ordners an den Zielspeicherort. Wird diese Option nicht ausgewählt,<br />
wird der Inhalt des aktuellen Ordners nicht an den Zielspeicherort verschoben.<br />
• Umleitungsrichtlinie auch auf die Betriebssysteme Windows 2000, Windows 2000 Server, Windows XP<br />
und Windows Server 2003 anwenden Diese Option bietet die Möglichkeit, Ordner in früheren Versionen<br />
von Windows umzuleiten, z.B. Eigene Dateien, Eigene Bilder, Desktop, Startmenü und<br />
Anwendungsdaten. Bei Aktivierung dieser Option können frühere Windows-Versionen diese<br />
bekannten Ordner umleiten.<br />
• Richtlinienentfernung Über diese Einstellung können Sie festlegen, was bei Entfernen der Richtlinie<br />
passieren sollen. Wenn Sie die Standardeinstellung Ordner nach Entfernen der Richtlinie<br />
am neuen Ort belassen übernehmen, wird bei Entfernen der Richtlinie der Inhalt des umgeleiteten<br />
Ordners nicht in das lokale Benutzerprofil verschoben. Bei Wahl von Ordner nach Entfernen<br />
der Richtlinie zurück an den Ort des lokalen Benutzerprofils umleiten wird der<br />
Ordnerinhalt bei Entfernung der Richtlinie verschoben.<br />
Konfigurieren der erweiterten Ordnerumleitung Bei Wahl der Option Erweitert können Sie anschließend<br />
den Zielordner basierend auf der Mitgliedschaft in Sicherheitsgruppen konfigurieren (siehe<br />
Abbildung 12.7).<br />
Wenn Sie auf die Schaltfläche Hinzufügen klicken, können Sie (wie zuvor erwähnt) die Sicherheitsgruppe<br />
auswählen und den Zielordner konfigurieren. Das entsprechende Dialogfeld wird in<br />
Abbildung 12.8 gezeigt.
Verwalten von Benutzerdaten und Profileinstellungen 467<br />
Abbildung 12.7<br />
Konfigurieren der erweiterten Ordnerumleitung<br />
Abbildung 12.8<br />
Auswählen der Mitgliedschaft in Sicherheitsgruppen und des Zielordnerpfads
468 Kapitel 12: Einsetzen von Gruppenrichtlinien zum Verwalten von Benutzerdesktops<br />
Verwalten von Offlinedateien für die Ordnerumleitung<br />
Bei der Implementierung der Ordnerumleitung stehen alle umgeleiteten Ordner standardmäßig offline<br />
zur Verfügung. Nachdem die Ordnerumleitung implementiert wurde und ein Benutzer sich an<br />
einem Computer mit Windows Vista angemeldet hat, wird im Benachrichtigungsbereich des Synchronisierungscenters<br />
die Meldung angezeigt, dass Offlinedateien für die Synchronisierung konfiguriert<br />
wurden. Durch Doppelklicken auf das Benachrichtigungssymbol wird das Synchronisierungscenter<br />
geöffnet, in dem Sie Synchronisierungsoptionen konfigurieren und Synchronisierungsergebnisse<br />
anzeigen können. Abbildung 12.9 zeigt das Synchronisierungscenter von Windows Vista.<br />
Abbildung 12.9<br />
Anzeigen des Synchronisierungscenters von Windows Vista nach Aktivierung der Ordnerumleitung<br />
Wenn auf einem Clientcomputer mit Windows Vista ein umgeleiteter Ordner geöffnet wird, zeigen<br />
Informations- und Synchronisierungsindikatoren den Status und die Verfügbarkeit von Daten im Ordner<br />
an. Sie können auch die Synchronisierung erzwingen und zwischen dem Offline- und Onlinemodus<br />
umschalten (siehe Abbildung 12.10).<br />
Abbildung 12.10<br />
Ordnerumleitung<br />
Anzeigen des Synchronisierungscenters von Windows Vista nach Aktivierung der
Verwalten von Benutzerdaten und Profileinstellungen 469<br />
Gruppenrichtlinieneinstellungen für die Ordnerumleitung<br />
Windows Server 2008 bietet zusätzliche Gruppenrichtlinieneinstellungen für die Ordnerumleitung<br />
(siehe Tabelle 12.5), die Sie im Gruppenrichtlinienverwaltungs-Editor an folgenden Stellen finden:<br />
• Computerkonfiguration\Richtlinien\Administrative Vorlagen\System\Ordnerumleitung<br />
• Benutzerkonfiguration\Richtlinien\Administrative Vorlagen\System\Ordnerumleitung<br />
Tabelle 12.5<br />
Richtlinien für die Ordnerumleitung<br />
Richtlinieneinstellung<br />
Bei der Umleitung von Start und Eigene<br />
Dateien lokalisierte Unterordnernamen<br />
verwenden<br />
Umgeleitete Ordner nicht automatisch<br />
offline verfügbar machen (unter Benutzerkonfiguration)<br />
Erläuterung<br />
Diese Windows Vista-Richtlinie ermöglicht die Festlegung, ob bei der Ordnerumleitung<br />
lokalisierte Namen für die Unterordner Alle Programme, Autostart,<br />
Eigene Musik, Eigene Bilder und Eigene Videos verwendet werden sollen, wenn<br />
das übergeordnete Menü Start und ältere Ordner vom Typ Eigene Dateien umgeleitet<br />
werden.<br />
Wenn Sie diese Einstellung deaktivieren oder nicht konfigurieren, werden standardmäßige<br />
englische Namen für diese Unterordner verwendet.<br />
Über diese Einstellung kann verhindert werden, dass die umgeleiteten Ordner<br />
automatisch offline zur Verfügung stehen. Die Benutzer können jedoch die<br />
Dateien und Ordner weiterhin manuell verfügbar machen.<br />
Direkt von der Quelle: Arbeiten mit der Ordnerumleitung für die Interoperabilität von<br />
Benutzerprofilen<br />
In Windows Server 2008 wurden Benutzerprofile der Version 2 eingeführt, was zu Problemen bei<br />
der Bereitstellung von Benutzerdaten für Benutzer führen kann, die vorübergehend mit Benutzerprofilen<br />
der Version 2 und der Version 1 (Windows Server 2003) arbeiten müssen. Sie können diese<br />
Probleme teilweise abfedern, indem Sie mit der Gruppenrichtlinienfunktion Ordnerumleitung von<br />
Windows Server 2008 arbeiten, um Benutzerdatenordner in Benutzerprofile der Version 1 umzuleiten.<br />
Anwendungsdaten<br />
Wählen Sie die Option An folgenden Pfad umleiten aus, und leiten Sie Anwendungsdaten an \\Servername\Freigabename\%username%\Anwendungsdaten<br />
um, den zentralen Speicherort der Benutzerprofile<br />
der Version 1 des Benutzers. Wenn Sie den Ordner Anwendungsdaten bereits umgeleitet<br />
haben, stellen Sie sicher, dass der eingegebene Pfad dem des vorhandenen umgeleiteten Ordners<br />
Anwendungsdaten entspricht.<br />
Desktop<br />
Wählen Sie die Option An folgenden Pfad umleiten aus, und leiten Sie den Ordner Desktop an \\<br />
Servername\Freigabename\%username%\Desktop um, den zentralen Speicherort der Benutzerversion<br />
des Benutzerprofils. Wenn Sie den Ordner Desktop bereits umgeleitet haben, stellen Sie sicher,<br />
dass der eingegebene Pfad dem des vorhandenen umgeleiteten Ordners Desktop entspricht. Aktivieren<br />
Sie außerdem das Kontrollkästchen Umleitungsrichtlinie auch auf die Betriebssysteme Windows<br />
2000, Windows 2000 Server, Windows XP und Windows Server 2003 anwenden.
470 Kapitel 12: Einsetzen von Gruppenrichtlinien zum Verwalten von Benutzerdesktops<br />
Dokumente<br />
Wählen Sie die Option An folgenden Pfad umleiten aus, und leiten Sie den Ordner Dokumente zu<br />
einem zentralen Speicherort um, der sich nicht im Benutzerprofil der Version 1 befindet. Wenn Sie<br />
den Ordner Dokumente bereits umgeleitet haben, stellen Sie sicher, dass der eingegebene Pfad dem<br />
des vorhandenen umgeleiteten Ordners Dokumente entspricht. Aktivieren Sie außerdem das Kontrollkästchen<br />
Umleitungsrichtlinie auch auf die Betriebssysteme Windows 2000, Windows 2000<br />
Server, Windows XP und Windows Server 2003 anwenden.<br />
Favoriten<br />
Wählen Sie die Option An folgenden Pfad umleiten aus, und leiten Sie Favoriten an \\Servername\<br />
Freigabename\%username%\Favoriten um, den zentralen Speicherort des Benutzerprofils der<br />
Version 1 des Benutzers.<br />
Musik<br />
Wählen Sie Einstellung: Folgen Sie dem Ordner "Dokumente", um sicherzustellen, dass Sie den<br />
Ordner Musik als Unterordner des Ordners Dokumente umleiten.<br />
Bilder<br />
Wählen Sie Einstellung: Folgen Sie dem Ordner "Dokumente", um sicherzustellen, dass Sie den<br />
Ordner Bilder als Unterordner des Ordners Dokumente umleiten. Wenn Sie den Ordner Bilder<br />
bereits umgeleitet haben, stellen Sie sicher, dass der eingegebene Pfad dem des vorhandenen umgeleiteten<br />
Ordners Bilder entspricht.<br />
Startmenü<br />
Wählen Sie die Option An folgenden Pfad umleiten aus, und leiten Sie den Ordner Startmenü zu an<br />
\\Servername\Freigabename\%username%\Startmenü um, den zentralen Speicherort des Benutzerprofils<br />
der Version 1 des Benutzers. Wenn Sie den Ordner Startmenü bereits umgeleitet haben, stellen<br />
Sie sicher, dass der eingegebene Pfad dem des vorhandenen umgeleiteten Ordners Startmenü<br />
entspricht.<br />
Videos<br />
Wählen Sie Einstellung: Folgen Sie dem Ordner "Dokumente", um sicherzustellen, dass Sie den<br />
Ordner Videos als Unterordner des Ordners Videos umleiten.<br />
Das Umleiten von Benutzerdatenordner der Version 2 in Benutzerprofile der Version 1 bietet eine<br />
gewissen Grad an Interoperabilität, unterliegt aber auch bestimmten Einschränkungen. Windows<br />
lädt beispielsweise servergespeicherte Benutzerprofile bei der Anmeldung herunter und gleicht die<br />
Dateien bei der Abmeldung ab. Daten, die während der Anmeldung mit einem Benutzerprofil der<br />
Version 1 geändert wurden, stehen über die Umleitung erst dann zur Verfügung, wenn Windows<br />
das Profil der Version 1 bei der Abmeldung abgleicht.<br />
Weitere englischsprachige Informationen zur Interoperabilität von Profilen finden Sie im „Managing<br />
Roaming User Data Deployment Guide“ unter http://go.microsoft.com/fwlink/?LinkId=73760.<br />
Mike Stephens<br />
Support Escalation Engineer
Administrative Vorlagen<br />
Administrative Vorlagen 471<br />
Unter dem Knoten Administrative Vorlagen befinden sich über 1300 registrierungsbasierte Richtlinieneinstellungen<br />
zum Verwalten verschiedener Komponenten wie Systemsteuerung, Desktop, Netzwerk-<br />
und Druckereinstellungen, Menü Start, Taskleiste u.v.m. Eine vollständige Liste aller Richtlinieneinstellungen<br />
finden Sie in der Referenztabelle zu den Gruppenrichtlinieneinstellungen unter<br />
http://www.microsoft.com/downloads/details.aspx?familyid=2043b94e-66cd-4b91-9e0f-<br />
68363245c495&displaylang=en.<br />
Diese Referenztabelle beschreibt Richtlinieneinstellungen für Windows Server 2008, Windows Vista,<br />
Windows Server 2003, Windows XP Professional und Windows 2000 und enthält für die meisten<br />
Kategorien unter dem Knoten Sicherheitseinstellungen eine Erläuterung.<br />
Wenn eine auf administrativen Vorlagen basierende Gruppenrichtlinieneinstellung angewendet<br />
wird, werden die Änderungen in bestimmte Unterschlüssel in der Registrierung geschrieben.<br />
Änderungen an der Benutzerkonfiguration werden in HKEY_CURRENT_USER geschrieben und<br />
entweder unter \Software\Policies oder \Software\Microsoft\Windows\CurrentVersion\Policies gespeichert.<br />
Änderungen an der Computerkonfiguration werden unter denselben Unterschlüsseln unter<br />
HKEY_LOCAL_MACHINE gespeichert. Wenn der Computer gestartet wird und der Benutzer sich<br />
anmeldet, werden die normalen Registrierungseinstellungen geladen und diese Schlüssel anschließend<br />
auf zusätzliche Einstellungen untersucht. Wenn diese Stellen zusätzliche Einstellungen aufweisen,<br />
werden diese in die Registrierung geladen, wobei, falls vorhanden, bestehende Einträge überschrieben<br />
werden. Wenn die administrative Vorlage entfernt oder der Computer bzw. Benutzer in<br />
einen anderen Container verschoben wird, in dem die Vorlage nicht gilt, werden die Informationen in<br />
dem entsprechenden Schlüssel vom Typ Policies gelöscht. Dieses Entfernen der Informationen aus<br />
den Policies-Schlüsseln bedeutet, dass die administrativen Vorlagen nicht mehr gelten, während die<br />
normalen Registrierungseinstellungen weiter gelten.<br />
Grundlegendes zu administrativen Vorlagendateien<br />
Administrative Vorlagendateien dienen zum Angeben der Richtlinieneinstellungsinformationen für<br />
alle Elemente unter dem Knoten Administrative Vorlagen. In früheren Microsoft Windows-Versionen<br />
wurden mehrere ADM-Dateien zum Offenlegen der verschiedenen registrierungsbasierten Konfigurationseinstellungen<br />
verwendet, die sich standardmäßig im Ordner %SystemRoot%\Inf befinden.<br />
Tabelle 12.6 enthält die administrativen Vorlagendateien, die unter Windows Server 2003 standardmäßig<br />
installiert und verwendet werden.<br />
Tabelle 12.6<br />
Unter Windows Server 2003 geladene Standardvorlagen<br />
Administrative Vorlage<br />
System.adm<br />
Inetres.adm<br />
Wmplayer.adm<br />
Conf.adm<br />
Wuau.adm<br />
Konfigurationseinstellungen<br />
Systemeinstellungen<br />
Internet Explorer-Einstellungen<br />
Microsoft Windows Media Player-Einstellungen<br />
Microsoft NetMeeting-Einstellungen<br />
Windows Update-Einstellungen<br />
Die administrativen Vorlagendateien bestehen aus einer Folge von Einträgen, welche die Optionen<br />
bestimmen, die über die Vorlage verfügbar sind. Jeder Eintrag in der ADM-Datei sieht wie in<br />
Abbildung 12.11 gezeigt aus.
472 Kapitel 12: Einsetzen von Gruppenrichtlinien zum Verwalten von Benutzerdesktops<br />
Abbildung 12.11<br />
Struktur einer ADM-Vorlagendatei<br />
In Tabelle 12.7 wird die Struktur einer typischen ADM-Vorlage erläutert.<br />
Tabelle 12.7<br />
Komponenten einer Vorlagenoption<br />
Vorlagenkomponente<br />
POLICY<br />
KEYNAME<br />
SUPPORTED<br />
EXPLAIN<br />
PART<br />
VALUENAME<br />
Erläuterung<br />
Gibt den Richtliniennamen an.<br />
Gibt den von dieser Einstellung geänderten Registrierungsschlüssel an.<br />
Gibt die unterstützten Arbeitsstationen bzw. die erforderliche Softwareversion für diese Einstellung<br />
an. Zu den Beispielen gehören Windows XP Professional, Windows 2000, Windows<br />
2000 mit angegebenem Service Pack und Microsoft Windows Media Player 9.<br />
Gibt den Text an, der die Richtlinieneinstellung erläutert. Der tatsächliche Text wird später in<br />
der ADM-Datei aufgelistet.<br />
Gibt die Einträge an, die für diese Richtlinie konfiguriert werden können.<br />
Gibt den Registrierungsschlüssel an, der mit den Informationen aus dieser Einstellung aufgefüllt<br />
wird.<br />
Windows Server 2008 und Windows Vista bieten neue XML-basierte ADMX-Vorlagen, welche die<br />
ADM-Vorlagen in früheren Windows-Versionen ersetzen. ADMX-Vorlagen bieten Vorteile bei der<br />
Vorlagenverwaltung und -entwicklung sowie neue Sprachlokalisierungsfunktionen.<br />
ADMX-Vorlagen bestehen aus zwei Hauptkomponenten, die zum Anzeigen von Registrierungseinstellungen<br />
im Gruppenrichtlinienverwaltungs-Editor verwendet werden:<br />
• ADMX-Dateien ADMX-Dateien sind die primären sprachneutralen Dateien, die über die Konsole<br />
Gruppenrichtlinienverwaltung Zugriff auf die registrierungsbasierten Richtlinieneinstellungen<br />
bieten. Diese Dateien befinden sich im Ordner %SystemRoot%\PolicyDefinitions.<br />
• ADML-Dateien ADML-Dateien sind sprachspezifische Dateien, die es Tools für die Gruppenrichtlinienverwaltung<br />
ermöglichen, die lokalisierte Sprache der grafischen Benutzeroberfläche basierend<br />
auf der für den Administrator konfigurierten Sprache anzupassen. Jeder ADMX-Datei<br />
können eine oder mehrere ADML-Dateien für jede Sprache zugewiesen sein, die von den Gruppenrichtlinienadministratoren<br />
benötigt werden. ADML-Dateien befinden sich im Ordner<br />
%SystemRoot%\PolicyDefinitions\[MUIculture].
Administrative Vorlagen 473<br />
Abbildung 12.12 zeigt den Ordner PolicyDefinitions auf einem Computer mit Windows Server 2008.<br />
Wie Sie sehen, gibt es für viele der Windows-Komponenten spezifische ADMX-Dateien. Der Unterordner<br />
en-US enthält die entsprechenden englischsprachigen ADML-Dateien.<br />
Abbildung 12.12<br />
Anzeigen des Ordners PolicyDefinitions<br />
Wenn Sie auf einem Computer mit Windows Server 2008 oder Windows Vista in der Konsole Gruppenrichtlinienverwaltung<br />
ein domänenbasiertes Gruppenrichtlinienobjekt bearbeiten, liest der Editor<br />
automatisch alle im lokalen Ordner PolicyDefinitions gespeicherten ADMX-Dateien und zeigt<br />
anschließend die Richtlinienkategorien und -einstellungen unter dem Knoten Richtlinien\Administrative<br />
Vorlagen für die Computer- und Benutzerkonfigurationsabschnitte der Richtlinie an. Wie in<br />
Abbildung 12.13 zu sehen, zeigt der Gruppenrichtlinienverwaltungs-Editor an, dass die Richtliniendefinitionen<br />
(ADMX-Dateien) gegenwärtig vom lokalen Computer abgerufen werden.<br />
Hinweis Unter Windows Vista RTM wird die Konsole Gruppenrichtlinienverwaltung im Gegensatz zu Windows<br />
Vista SP1 installiert. Sie müssen die Remoteserver-Verwaltungstools unter Windows Vista SP1 installieren,<br />
um die Konsole Gruppenrichtlinienverwaltung verwenden zu können.<br />
Beachten Sie ferner, dass sich die Konsole Gruppenrichtlinienverwaltung unter Windows Vista RTM von der<br />
Konsole Gruppenrichtlinienverwaltung unterscheidet, die über die Remoteserver-Verwaltungstools installiert<br />
wird. Die Konsole Gruppenrichtlinienverwaltung von Windows Vista RTM bietet keine Filter, Kommentare,<br />
Starter-Gruppenrichtlinienobjekte und nicht die Funktion Einstellungen.
474 Kapitel 12: Einsetzen von Gruppenrichtlinien zum Verwalten von Benutzerdesktops<br />
Abbildung 12.13<br />
Bestimmen des Speicherorts, aus dem die ADMX-Dateien abgerufen werden<br />
Windows Server 2008 enthält keine vorherigen ADM-Dateien. Die Windows Server 2008- und Windows<br />
Vista-Versionen des Gruppenrichtlinienobjekt-Editors können dennoch weiter verwendet werden,<br />
um alle früheren Betriebssysteme mit Gruppenrichtlinienunterstützung zu verwalten, z.B. Windows<br />
2000, Windows Server 2003 und Windows XP. Über die Option Vorlagen hinzufügen/entfernen<br />
können Sie ein Gruppenrichtlinienobjekt bearbeiten, d.h. benutzerdefinierte ADM-Dateien hinzufügen<br />
oder entfernen. Es gibt jedoch keine grafische Benutzeroberfläche zum Hinzufügen oder<br />
Entfernen von ADMX-Dateien. Selbstdefinierte ADMX-Dateien können manuell in den Ordner<br />
%SystemRoot%\PolicyDefinitions kopiert werden, in dem sie beim Neustart der Konsole Gruppenrichtlinienverwaltung<br />
automatisch erkannt werden.<br />
Verwalten domänenbasierter Vorlagendateien<br />
In den meisten Großunternehmen sind mehrere Mitarbeiter für die Konfiguration und Bereitstellung<br />
von Gruppenrichtlinieneinstellungen in der <strong>Active</strong> <strong>Directory</strong>-Umgebung zuständig. Um sicherzustellen,<br />
dass alle Administratoren Zugriff auf dieselben ADMX-Dateien haben, können Sie im Verzeichnis<br />
SYSVOL eines Domänencontrollers für jede Domäne im Unternehmen einen zentralen Speicher<br />
einrichten. Der zentrale Speicher wird anschließend auf alle Domänencontroller in der Domäne repliziert.
Administrative Vorlagen 475<br />
Hinweis Es wird empfohlen, dass Sie den zentralen Speicher auf dem Domänencontroller mit der Rolle<br />
PDC-Emulator einrichten. Die Konsole Gruppenrichtlinienverwaltung verbindet sich standardmäßig mit dem<br />
PDC-Emulator, der ein schnelleres Lesen der ADMX-Dateien ermöglicht, ohne auf den Abschluss von Replikationsaufgaben<br />
warten zu müssen.<br />
Führen Sie zum Konfigurieren eines zentralen ADMX-Speichers die folgenden Schritte aus:<br />
1. Erstellen Sie auf einem Domänencontroller unter %SystemRoot%\sysvol\domain\policies\Policy-<br />
Definitions den Stammordner für den zentralen Speicher.<br />
2. Erstellen Sie auf dem Domänencontroller im Ordner PolicyDefinitions einen Unterordner für jede<br />
Sprache, die von Ihren Gruppenrichtlinienadministratoren benötigt wird. Jeder Unterordner muss<br />
gemäß der ISO-Sprachkonvention benannt werden. Der Unterordner für US-Englisch heißt beispielsweise<br />
%SystemRoot%\sysvol\domain\policies\PolicyDefinitions\EN-US.<br />
3. Kopieren Sie auf Ihrer Arbeitsstation mit Windows Vista mit folgendem Befehl alle ADMX-<br />
Dateien in den Ordner PolicyDefinitions auf dem Domänencontroller:<br />
copy %systemroot%\PolicyDefinitions\*%logonserver%\sysvol\%userdnsdomain%\policies\PolicyDefinitions\<br />
4. Kopieren Sie auf Ihrer Verwaltungsarbeitsstation mit Windows Vista mit folgendem Befehl alle<br />
ADML-Dateien in den Sprachunterordner auf dem Domänencontroller:<br />
copy %systemroot%\PolicyDefinitions\[MUIculture]\*%logonserver%\sysvol\%userdnsdomain%\policies\<br />
PolicyDefinitions\[MUIculture]\<br />
Wenn ein Administrator die Konsole Gruppenrichtlinienverwaltung auf einem Computer mit Windows<br />
Vista oder Windows Server 2008 öffnet, werden automatisch alle im zentralen Speicher gespeicherten<br />
ADMX-Dateien gelesen und alle Richtlinieneinstellungen in der entsprechenden Sprache der<br />
Arbeitsstation angezeigt. Nach der Konfiguration eines zentralen Speichers im Ordner SYSVOL lesen<br />
die Tools zur Gruppenrichtlinienverwaltung nur die ADMX-Dateien im zentralen Speicher und ignorieren<br />
die lokal auf der Verwaltungsarbeitsstation gespeicherten ADMX-Dateien.<br />
Empfohlene Vorgehensweisen für die Verwaltung von ADMX-<br />
Vorlagendateien<br />
Berücksichtigen Sie beim Verwenden von ADMX-Vorlagendateien zum Bereitstellen von Gruppenrichtlinieneinstellungen<br />
die folgenden Empfehlungen:<br />
• Verwenden Sie nur die Konsole Gruppenrichtlinienverwaltung unter Windows Vista SP1 (Remoteserver-Verwaltungstools)<br />
und Windows Server 2008 zum Konfigurieren domänenbasierter<br />
Gruppenrichtlinieneinstellungen. Dies stellt sicher, dass alle Einstellungen angezeigt und in Gruppenrichtlinienobjekten<br />
genutzt werden können. Außerdem können Sie dadurch die Größe der einzelnen<br />
Gruppenrichtlinienobjekt-Ordner im Ordner SYSVOL verringern. Wenn Sie beispielsweise<br />
auf einem Computer mit Windows Vista SP1 mithilfe der Konsole Gruppenrichtlinienverwaltung<br />
in den Remoteserver-Verwaltungstools ein neues Gruppenrichtlinienobjekt erstellen und anschließend<br />
dieses Gruppenrichtlinienobjekt unter einer früheren Windows-Version bearbeiten, werden<br />
die ADM-Vorlagendateien im Ordner %Windir%\inf in den Gruppenrichtlinienobjekt-Ordner<br />
kopiert und auf alle Domänencontroller in der Domäne repliziert. Dadurch kann sich die Größe<br />
der einzelnen Gruppenrichtlinienobjekt-Ordner um ca. 4 MB pro Gruppenrichtlinienobjekt erhöhen.
476 Kapitel 12: Einsetzen von Gruppenrichtlinien zum Verwalten von Benutzerdesktops<br />
• Viele Anwendungen enthalten ADM-Dateien für die Verwaltung von Anwendungseinstellungen<br />
mithilfe von Gruppenrichtlinien. Über den Befehl Vorlagen hinzufügen/entfernen können Sie<br />
diese Dateien weiterhin in den Ordner %Windir%\inf auf der Verwaltungsarbeitsstation importieren.<br />
Die Office 2003-ADM-Vorlagen stehen unter folgender Adresse zum Download bereit:<br />
http://www.microsoft.com/downloads/details.aspx?FamilyID=BA8BC720-EDC2-479B-B115-<br />
5ABB70B3F490&displaylang=en<br />
• Wenn Sie Gruppenrichtlinieneinstellungen für das 2007 Microsoft Office System verwalten müssen,<br />
können Sie ADM- bzw. ADMX-Vorlagendateien an folgender Internetadresse herunterladen:<br />
http://www.microsoft.com/downloads/details.aspx?displaylang=de&FamilyID=92d8519a-e143-<br />
4aee-8f7a-e4bbaeba13e7<br />
• Mit dem ADMX Migrator können Sie benutzerdefinierte ADM-Dateien in das neue ADMX-Format<br />
umwandeln. Sie können den ADMX Migrator auch als Editor mit grafischer Benutzeroberfläche<br />
nutzen, um eigene administrative Vorlagen besser erstellen und bearbeiten zu können. Der<br />
ADMX Migrator steht unter folgender Adresse zum Download bereit: http://www.microsoft.com/<br />
downloads/details.aspx?familyid=0F1EEC3D-10C4-4B5F-9625-97C2F731090C&displaylang=en<br />
Direkt von der Quelle: Verwalten von ADMX-/ADM-Dateien in einer heterogenen<br />
Betriebssystemumgebung<br />
Die Konsole Gruppenrichtlinienverwaltung dient zum Auslesen und Anzeigen der Richtlinieneinstellungen<br />
in Administrative Vorlagen in den ADMX-Dateien, die entweder lokal oder im zentralen<br />
ADMX-Speicher gespeichert sind. Wenn Sie eigene ADM-Dateien entwickelt haben, kann die<br />
Konsole Gruppenrichtlinienverwaltung zum automatischen Lesen und Anzeigen der Richtlinieneinstellungen<br />
in Administrative Vorlagen in selbstdefinierten ADM-Dateien verwendet werden, die<br />
im Gruppenrichtlinienobjekt gespeichert sind. Alle Gruppenrichtlinieneinstellungen, die zur Zeit in<br />
ADM-Dateien enthalten sind und die von Windows Server 2003, Windows XP und Windows 2000<br />
zur Verfügung gestellt werden, stehen auch in ADMX-Dateien unter Windows Vista und Windows<br />
Server 2008 zur Verfügung.<br />
Neue auf Windows Vista oder Windows Server 2008 basierende Richtlinieneinstellungen können<br />
nur über Verwaltungscomputer mit Windows Vista oder Windows Server 2008 verwaltet werden,<br />
auf denen die Konsole Gruppenrichtlinienverwaltung ausgeführt wird. Solche Richtlinieneinstellungen<br />
werden nur in ADMX-Dateien definiert, die als solche nicht in den Windows Server 2003-,<br />
Windows XP- und Windows 2000-Versionen dieser Tools offen gelegt werden.<br />
Die Windows Vista- und Windows Server 2008-Versionen der Konsole Gruppenrichtlinienverwaltung<br />
dienen zum Verwalten aller Betriebssysteme mit Gruppenrichtlinienunterstützung (Windows<br />
Vista, Windows Server 2008, Windows Server 2003, Windows XP und Windows 2000).<br />
Die Windows Vista- und Windows Server 2008-Versionen des Gruppenrichtlinienobjekt-Editors<br />
und der Konsole Gruppenrichtlinienverwaltung unterstützen die Interoperabilität mit Versionen<br />
dieser Tools unter Windows Server 2003 und Windows XP. In Gruppenrichtlinienobjekten gespeicherte<br />
benutzerdefinierte ADM-Dateien werden beispielsweise vom Gruppenrichtlinienobjekt-Editor<br />
und der Konsole Gruppenrichtlinienverwaltung unter Windows Vista, Windows Server 2008,<br />
Windows Server 2003 und Windows XP genutzt.
Verwalten der Benutzerumgebung mithilfe von Skripts 477<br />
Die Windows Vista- und Windows Server 2008-Versionen des Gruppenrichtlinienobjekt-Editors<br />
unterstützen die Interoperabilität mit Versionen des Gruppenrichtlinienobjekt-Editors unter Windows<br />
Server 2000. In Gruppenrichtlinienobjekten gespeicherte benutzerdefinierte ADM-Dateien<br />
werden vom Gruppenrichtlinienobjekt-Editor und unter Windows Vista, Windows Server 2008 und<br />
Windows Server 2003 genutzt. (Die Konsole Gruppenrichtlinienverwaltung kann unter Windows<br />
2000 nicht ausgeführt werden.)<br />
Christiane Soumahoro<br />
Microsoft Consulting Services<br />
Verwalten der Benutzerumgebung mithilfe von Skripts<br />
Schon seit geraumer Zeit nutzen Administratoren Anmeldeskripts, um die Benutzerumgebung besser<br />
zu konfigurieren und zu verwalten. Der gängigste Zweck von Skripts war stets, den Benutzern eine<br />
unkomplizierte Arbeitsumgebung zur Verfügung zu stellen, z.B. durch zugeordnete Netzwerklaufwerke<br />
und Drucker. Windows Server 2008 bietet die folgenden Möglichkeiten für den Einsatz von<br />
Skripts mit Gruppenrichtlinieneinstellungen:<br />
• Möglichkeit der Zuweisung von Skripts zum Starten und Herunterfahren Mithilfe von Gruppenrichtlinien<br />
können Sie Skripts so zuweisen, dass sie beim Hoch- und Herunterfahren von Computern<br />
im Sicherheitskontext des Kontos LocalSystem ausgeführt werden.<br />
• Möglichkeit der Zuweisung von Skripts für die An- und Abmeldung von Benutzern Unter Windows<br />
Server 2008 können Sie Skripts für die An- und Abmeldung von Benutzern zuweisen.<br />
• Möglichkeit, Skripts Containern anstatt Einzelpersonen zuzuweisen Einer der größten Vorteile beim<br />
Arbeiten mit domänenbasierten Gruppenrichtlinien für die Zuweisung von Skripts besteht darin,<br />
dass Sie ein Skript einem Containerobjekt wie beispielsweise einer Organisationseinheit zuweisen<br />
können. Wenn Sie ein Skript einem Container in <strong>Active</strong> <strong>Directory</strong> zuweisen, gilt das Skript für<br />
alle Benutzer bzw. Computer im Container.<br />
• Systeminhärente Unterstützung von Windows Script Host-Skripts Die meisten Windows-Clients bieten<br />
eine systeminhärente Unterstützung von WSH-Skripts (Windows Script Host), die bei der<br />
Konfiguration von Benutzerdesktops mithilfe von Skripts wesentlich flexibler und leistungsfähiger<br />
sind. Bei Verwenden von WSH können Skripts für weitaus komplexere Aufgaben als das<br />
Zuordnen von Netzwerklaufwerken genutzt werden.<br />
Die <strong>Active</strong> <strong>Directory</strong>-Domänendienste unter Windows Server 2008 unterstützen weiterhin persönliche<br />
Anmeldeskripts, die den einzelnen Benutzerkonten zugewiesen sind. Wenn Sie noch über einzelne<br />
Anmeldeskripts verfügen, die Benutzerkonten zugewiesen sind, werden diese ausgeführt, nachdem<br />
die von Gruppenrichtlinien zugewiesenen Benutzeranmeldeskripts ausgeführt wurden.<br />
Zum Bereistellen auf Gruppenrichtlinien basierender Skripts müssen Sie die Skripts zuerst in einer<br />
unterstützten Skriptsprache erstellen, z.B. als Batchdateien (.cmd) oder in Microsoft JScript oder<br />
VBScript, und die Skripts anschließend auf die Domänencontroller kopieren. Sie können die Skripts<br />
in einem beliebigen Speicherort auf dem Server speichern, solange die Clients auf diesen zugreifen<br />
können. Ein gängiger Ablageort zum Speichern eines Skripts ist der Ordner %SystemRoot%\SYSVOL\<br />
sysvol\Domänenname\Globale_Richtlinien-GUIDS\Machine\Scripts oder der Ordner %SystemRoot%\<br />
SYSVOL\sysvol\Domänenname\Globale_Richtlinien-GUIDS\User\Scripts. Sie können die Anmeldeskripts<br />
auch im Ordner %SystemRoot%\SYSVOL\sysvol\Domänenname\scripts speichern.
478 Kapitel 12: Einsetzen von Gruppenrichtlinien zum Verwalten von Benutzerdesktops<br />
Dieser Ordner wird mit dem Freigabenamen NETLOGON freigeben und dient als Standardspeicherort,<br />
den untergeordnete Clients auf Anmeldeskripts durchsuchen. Erstellen oder ändern Sie nach dem<br />
Kopieren der Skriptdateien auf den Server das Gruppenrichtlinienobjekt, und suchen Sie unter dem<br />
Ordner Computerkonfiguration\Richtlinien\Windows-Einstellungen den Ordner Skripts (Starten/<br />
Herunterfahren) oder unter dem Ordner Benutzerkonfiguration\Richtlinien\Windows-Einstellungen<br />
den Ordner Skripts (Anmelden/Abmelden).<br />
Sie können beispielsweise zum Erstellen eines Eintrags für ein Startskript den Ordner Skripts (Starten/<br />
Herunterfahren) erweitern und auf Starten doppelklicken. Anschließend können Sie dem Gruppenrichtlinienobjekt<br />
die gewünschten Startskripts hinzufügen.<br />
Windows Server 2008 bietet eine Vielzahl administrativer Vorlagen zum Konfigurieren, wie Skripts<br />
auf Clientarbeitsstationen verarbeitet werden sollen. Die meisten Einstellungen finden Sie unter Computerkonfiguration\Richtlinien\Administrative<br />
Vorlagen\System\Skripts, einige wenige unter Benutzerkonfiguration\Richtlinien\Administrative<br />
Vorlagen\System\Skripts. In den Konfigurationsoptionen<br />
können Sie auswählen, ob Startskripts asynchron ausgeführt werden sollen oder nicht. Bei Wahl der<br />
asynchronen Option können mehrere Startskripts gleichzeitig ausgeführt werden. Wenn Sie sich für<br />
die synchrone Ausführung von Anmeldeskripts entscheiden, müssen alle Startskripts ausgeführt worden<br />
sein, bevor dem Benutzer der Windows-Desktop angezeigt wird. Sie können auch eine maximale<br />
Wartezeit für das Abschließen der Ausführung aller Skripts festlegen. Und schließlich können Sie<br />
bestimmen, ob die Skripts unsichtbar im Hintergrund oder sichtbar im Vordergrund ausgeführt werden<br />
sollen.<br />
Hinweis Windows Server 2008 bietet mit Gruppenrichtlinieneinstellungen ein neues Feature, über das<br />
Aufgaben erledigt werden können, die bislang von Anmeldeskripts übernommen wurden. Mithilfe dieses<br />
Features können Sie Anmeldeskripts ggf. vollständig oder teilweise überflüssig machen. Das entsprechende<br />
Feature Gruppenrichtlinieneinstellungen wird weiter unten in diesem Kapitel behandelt.<br />
Bereitstellen von Software mithilfe von Gruppenrichtlinien<br />
Das Verwalten der Software auf Benutzerdesktops kann sehr arbeitsintensiv sein, wenn sich ein<br />
Administrator immer dann zu jedem einzelnen Desktopcomputer begeben muss, wenn ein Softwarepaket<br />
installiert oder aktualisiert werden muss. Das Feature Gruppenrichtlinie für die Softwareinstallation<br />
kann den Verwaltungsaufwand für Benutzerdesktops spürbar verringern. Und tatsächlich ergibt<br />
sich eine der größten Kosteneinsparungen, die sich durch eine Bereitstellung von <strong>Active</strong> <strong>Directory</strong>-<br />
Domänendiensten und Gruppenrichtlinien erzielen lassen, im Bereich der Softwareverwaltung.<br />
Das Verwalten von Software in einer Unternehmensumgebung umfasst weitaus mehr als das reine<br />
Bereitstellen von Software. Viele Unternehmen arbeiten mit einem klar definierten Lebenszyklus-Verwaltungsprozess<br />
für Software, der den Erwerb bzw. das Entwickeln und Testen der Anwendung, den<br />
Piloteinsatz der Anwendung in einer kleinen Benutzergruppe, die großflächige Bereitstellung der<br />
Anwendung, die Wartung der Anwendung nach der Bereitstellung und schließlich die Entfernung der<br />
Anwendung vorsieht. Dank dem Feature Gruppenrichtlinie für die Softwareinstallation können viele<br />
dieser Aufgaben effizienter erfolgen.<br />
Windows Installer-Technologie<br />
Zumeist basiert die Softwareverwaltung mithilfe von Gruppenrichtlinien auf Microsoft Windows<br />
Installer-Technologie, die zum Installieren, Verwalten und Entfernen von Software auf Windows-<br />
Arbeitsstationen genutzt wird. Die Windows Installer-Technologie umfasst zwei Komponenten:
Bereitstellen von Software mithilfe von Gruppenrichtlinien 479<br />
• Eine Paketdatei für die Softwareinstallation (MSI-Datei) Die MSI-Paketdatei enthält sämtliche<br />
Anweisungen zum Installieren und Entfernen von Anwendungen.<br />
• Den Windows Installer-Dienst (Msiexec.exe) Dieser Dienst verwaltet die eigentliche Installation von<br />
Software auf der Arbeitsstation. Der Dienst nutzt die DLL-Datei (Dynamic Link Library) Msi.dll<br />
zum Lesen der MSI-Paketdateien. Basierend auf dem Inhalt der Paketdatei für die Softwareinstallation<br />
kopiert der Dienst anschließend die Anwendungsdateien auf die lokale Festplatte, erstellt<br />
Verknüpfungen, ändert Registrierungseinträge und führt alle in der MSI-Datei enthaltenen Anweisungen<br />
aus.<br />
Windows Installer-Technologie bietet diverse Vorteile. Einer davon ist, dass Anwendungen größtenteils<br />
selbstreparierend sein können. Da die MSI-Datei sämtliche für die Installation der Anwendung<br />
benötigten Informationen enthält, kann dieselbe Datei auch zum Reparieren einer fehlerhaften<br />
Anwendung genutzt werden. Wenn eine Anwendung beispielsweise fehlerhaft wird, weil eine wichtige<br />
Datei gelöscht wurde, kann die Anwendung beim nächsten Öffnungsversuch durch den Benutzer<br />
nicht gestartet werden. Wurde die Anwendung mit Windows Installer installiert, kann die MSI-Datei,<br />
die zum Installieren der Anwendung genutzt wurde, auch zum Reparieren der Anwendung verwendet<br />
werden, indem die fehlende Datei neu installiert wird. Die MSI-Datei ermöglicht auch einen besseren<br />
Deinstallationsprozess für Anwendungen, die Sie von einer Clientarbeitsstation entfernen möchten.<br />
Die meisten Softwarehersteller stellen mittlerweile mit neuer Software eine MSI-Paketdatei für die<br />
Softwareinstallation zur Verfügung, die als systemeigene Windows Installer-Datei bezeichnet wird.<br />
Enthält die Software eine MSI-Datei, können Sie mit deren Hilfe die Software installieren. Wenn Sie<br />
keine systemeigene Windows Installer-Datei haben, können Sie sich ein Tool zum Erstellen von Softwarepaketen<br />
beschaffen, um eine MSI-Datei zu erstellen, die für die Bereitstellung mithilfe von Gruppenrichtlinien<br />
verwendet werden kann.<br />
Bereitstellen von Anwendungen<br />
Mithilfe von Gruppenrichtlinie für die Softwareinstallation können Sie die Installation einer Anwendung<br />
ankündigen oder die Installation Computern bzw. Benutzern zur Verfügung stellen. Nachdem<br />
Sie die Richtlinieneinstellung für die Softwareinstallation konfiguriert haben, wird die Information,<br />
dass das neue Softwarepaket verfügbar ist, dem Computer angekündigt, wenn dieser das nächste Mal<br />
gestartet wird oder der Benutzer sich das nächste Mal anmeldet. Die Anwendung ist dann zur Installation<br />
auf diesem Computer bereit.<br />
Bevor Sie Benutzern im Netzwerk eine Anwendung ankündigen können, müssen Sie die Softwareinstallationsdateien<br />
samt MSI-Datei in eine Netzwerkfreigabe kopieren, auf die alle Benutzer Zugriff<br />
haben. Wenn Sie die Netzwerkfreigabe erstellen, müssen Sie sicherstellen, dass alle Benutzer bzw.<br />
Computer Zugriff darauf haben. Wenn Sie Anwendungen Computern zuweisen, müssen die Computerkonten<br />
Lesezugriff haben. Wenn Sie für Benutzer Anwendungen zuweisen oder veröffentlichen,<br />
müssen die Benutzerkonten Lesezugriff haben.<br />
Nach Erstellen der Netzwerkfreigabe und Kopieren der Installationsdateien in die Freigabe können<br />
Sie das Gruppenrichtlinienobjekt implementieren, das den Clients die Anwendung ankündigt. Sie<br />
können ein neues Gruppenrichtlinienobjekt erstellen oder ein vorhandenes Gruppenrichtlinienobjekt<br />
bearbeiten. Beim Konfigurieren des Gruppenrichtlinienobjekts müssen Sie zuerst entscheiden, ob die<br />
Anwendung Computern oder Benutzern angekündigt werden soll. Wenn Sie die Anwendung Computern<br />
ankündigen wollen, müssen Sie den Container Computerkonfiguration\Richtlinien\Softwareeinstellungen<br />
im Gruppenrichtlinienverwaltungs-Editor verwenden. Die Anwendung wird anschließend<br />
auf der Arbeitsstation installiert, wenn sie das nächste Mal neu gestartet wird.
480 Kapitel 12: Einsetzen von Gruppenrichtlinien zum Verwalten von Benutzerdesktops<br />
Wenn Sie die Anwendung Benutzern ankündigen wollen, müssen Sie den Container Benutzerkonfiguration\Richtlinien\Softwareeinstellungen<br />
im Gruppenrichtlinienverwaltungs-Editor verwenden. Die<br />
Anwendung steht dem Benutzer nach seiner nächsten Anmeldung zur Verfügung.<br />
Bei Verwenden der Gruppenrichtlinie für die Softwareinstallation zur Bereitstellung von Anwendungen<br />
gibt es zwei Optionen, wie die Anwendung dem Client angekündigt werden soll. Die erste<br />
Option ist das Zuweisen der Anwendung zu entweder einem Computer oder einem Benutzer. Die<br />
zweite Option ist das Veröffentlichen, bei dem die Anwendung ausschließlich Benutzerkonten zur<br />
Verfügung gestellt wird.<br />
Beim Zuweisen einer Anwendung zu einem Computer wird die Anwendung beim nächsten Neustart<br />
des Computers vollständig installiert, was bedeutet, dass die Anwendung für alle Benutzer eines<br />
Computers installiert wird, wenn sie sich das nächste Mal an diesem Computer anmelden.<br />
Wenn Sie eine Anwendung einem Benutzer zuweisen, wird sie dem Benutzer angekündigt, wenn er<br />
sich das nächste Mal am Netzwerk anmeldet. Sie können festlegen, wie die Anwendung angekündigt<br />
wird, doch zumeist wird sie dem Menü Start hinzugefügt. Die Anwendung wird ferner der Liste Programme<br />
beziehen in der Windows Vista- und Windows Server 2008-Anwendung Programme und<br />
Funktionen hinzugefügt. Die Anwendung wird standardmäßig nicht installiert, wenn der Benutzer<br />
sich anmeldet, wird aber installiert, wenn der Benutzer die Anwendung im Menü Start aktiviert oder<br />
sich für die Installation der Anwendung über Programme und Funktionen entscheidet. Sie können die<br />
Installationslogik auch so konfigurieren, dass eine Anwendung installiert werden kann, wenn der<br />
Benutzer versucht, eine Datei mit einer Erweiterung zu öffnen, die der Anwendung zugeordnet ist.<br />
Wenn beispielsweise Microsoft Word gegenwärtig nicht auf dem Computer des Benutzers installiert<br />
ist, wird bei einem Doppelklick des Benutzers auf eine Datei mit der Erweiterung .doc Word automatisch<br />
installiert. Dieser Vorgang wird auch als Erweiterungsaktivierung bezeichnet.<br />
Ein Feature, das unter Windows Server 2003 und Windows Server 2008, jedoch nicht unter Windows<br />
2000 zur Verfügung steht, ist die vollständige Installation der Softwareanwendung, wenn sich der<br />
Benutzer anmeldet, anstatt nach Aktivierung durch den Benutzer. Die Wahl dieser Option bedeutet,<br />
dass der Anmeldeprozess länger dauert, da die Anwendung installiert wird, doch die Anwendung<br />
steht anschließend dem Client zur Verfügung. Diese Option ist nur verfügbar, wenn die Anwendung<br />
einem Benutzer zugewiesen ist. Veröffentlichte Anwendungen können erst vollständig installiert werden,<br />
nachdem sie über die Systemsteuerungsoption Software (unter Windows Vista Programme beziehen)<br />
oder die Erweiterungsaktivierung installiert wurden. Diese Option entfällt auch, wenn die<br />
Anwendung Computern zugewiesen ist, da sie beim nächsten Neustart des Computers vollständig<br />
installiert wird.<br />
Wenn Sie eine Anwendung für einen Benutzer veröffentlichen, wird sie dem Benutzer angekündigt,<br />
wenn er sich das nächste Mal am Netzwerk anmeldet. In diesem Fall wird die Anwendung allerdings<br />
nur in der Systemsteuerungsoption Software angekündigt. Um die Anwendung zu installieren, müssen<br />
die Benutzer diese Option in Software auswählen. Veröffentlichte Anwendungen werden standardmäßig<br />
auch über die Erweiterungsaktivierung installiert.<br />
Meist empfiehlt sich die Veröffentlichung einer Anwendung, wenn nur bestimmte Benutzer diese<br />
benötigen. Angenommen, Sie haben eine Anwendung wie Microsoft Visio, die nur von Netzwerkarchitekten<br />
ständig und von anderen Benutzern gegebenenfalls benötigt wird. Durch Veröffentlichen der<br />
Anwendung für Benutzer wird diese nicht auf deren Desktops installiert oder ihren Verknüpfungen<br />
hinzugefügt, sondern den Benutzern zur Verfügung gestellt, die sie benötigen.<br />
Führen Sie zum Ankündigen einer Anwendung mithilfe von Gruppenrichtlinien die folgenden<br />
Schritte aus:
Bereitstellen von Software mithilfe von Gruppenrichtlinien 481<br />
1. Kopieren Sie die Softwareinstallationsdateien in eine Netzwerkfreigabe. Legen Sie die Berechtigungen<br />
für die Freigabe so fest, dass alle betreffenden Benutzer und Computer Lesezugriff auf die<br />
Installationsdateien haben.<br />
2. In der Konsole Gruppenrichtlinienverwaltung müssen Sie ein neues Gruppenrichtlinienobjekt<br />
erstellen oder ein vorhandenes bearbeiten. Verknüpfen Sie das Gruppenrichtlinienobjekt den<br />
Anforderungen entsprechend.<br />
3. Wenn Sie die Anwendung Benutzern ankündigen, erweitern Sie im Gruppenrichtlinienverwaltungs-Editor<br />
den Container Benutzerkonfiguration\Richtlinien\Softwareeinstellungen. Klicken Sie<br />
mit der rechten Maustaste auf Softwareinstallation, klicken Sie auf Neu und anschließend auf<br />
Paket. Wenn Sie die Anwendung Computerkonten ankündigen, erweitern Sie den Container Computerkonfiguration\Richtlinien\Softwareeinstellungen.<br />
Klicken Sie mit der rechten Maustaste auf<br />
Softwareinstallation, klicken Sie auf Neu und anschließend auf Paket.<br />
4. Wechseln Sie zum Netzwerkspeicherort, oder geben Sie den Netzwerkpfad ein, in dem sich die<br />
Installationsdateien befinden. Sie müssen einen Netzwerkpfad und dürfen keinen lokalen Laufwerksbuchstaben<br />
auf dem Server auswählen, da der Netzwerkpfad den Clientcomputern angekündigt<br />
wird. Wählen Sie die entsprechende MSI-Datei aus.<br />
Hinweis Wenn Sie den falschen Netzwerkpfad auswählen oder den Netzwerkpfad nach der Bereitstellung<br />
ändern möchten, müssen Sie das Softwarepaket neu erstellen, da es keine Möglichkeit gibt,<br />
den Installationspfad des Softwarepakets zu ändern.<br />
5. Bei Wahl der MSI-Datei können Sie angeben, wie Sie das Softwarepaket ankündigen möchten.<br />
Abbildung 12.14 zeigt die Optionen, wenn Sie die Anwendung Benutzerkonten ankündigen.<br />
Wenn Sie die Anwendung Computern ankündigen, können Sie die Anwendung nur zuweisen.<br />
Abbildung 12.14<br />
Optionen für die Ankündigung des Softwarepakets<br />
6. Wenn Sie die Anwendung zuweisen oder veröffentlichen möchten, klicken Sie auf OK. Bei Wahl<br />
der Option Erweitert wird die Eigenschaftenseite für das Paket angezeigt, das weiter unten in diesem<br />
Kapitel im Abschnitt „Konfigurieren von Softwarepaketeigenschaften“ besprochen wird.<br />
Nachdem das Gruppenrichtlinienobjekt konfiguriert und mit dem gewünschten Container verknüpft<br />
wurde, wird die Anwendung allen Clients im Containerobjekt angekündigt. Standardmäßig wird die<br />
Softwareinstallationskomponente eines Gruppenrichtlinienobjekts nur angewendet, wenn sich der<br />
Benutzer anmeldet (wenn die Richtlinie für Benutzerkonten gilt) oder der Computer neu startet (wenn<br />
die Richtlinie für Computerkonten gilt).
482 Kapitel 12: Einsetzen von Gruppenrichtlinien zum Verwalten von Benutzerdesktops<br />
Mit dem Befehlszeilenprogramm GPUpdate kann eine Abmeldung oder ein Neustart im Rahmen der<br />
Gruppenrichtlinienaktualisierung auf der Arbeitsstation erzwungen werden. Um eine Abmeldung oder<br />
einen Neustart zu erzwingen, wählen Sie den Befehl gpupdate /force /logoff oder gpupdate /force /<br />
boot.<br />
Softwareverteilung und Netzwerkbandbreite<br />
Einer der schwierigsten Aspekte bei der Verwaltung der Softwareverteilung mithilfe von Gruppenrichtlinien<br />
ist die Nutzung der Netzwerkbandbreite. Wenn Sie eine Anwendung mit Hunderten von<br />
Megabytes einer großen Benutzergruppe zuweisen und alle Benutzer die Anwendung gleichzeitig<br />
installieren, kann die Installation aufgrund des drastisch ansteigenden Netzwerkdatenverkehrs<br />
Stunden dauern. Es gibt verschiedene Möglichkeiten, die Netzwerkbandbreite überlegt zu nutzen.<br />
Eine Option ist das Zuweisen von Anwendungen zu Computern und die Benutzer zu bitten, ihre<br />
Computer am Ende des Tages neu zu starten. Über den Befehl GPUpdate können Sie auch einen<br />
Neustart der Arbeitsstation erzwingen. Wenn Sie diesen Befehl auf nur wenige Arbeitsstationen<br />
gleichzeitig anwenden, kann die Auswirkung auf das Netzwerk minimiert werden.<br />
Eine weitere Möglichkeit ist das gleichzeitige Zuweisen von Anwendungen zu kleinen Benutzergruppen.<br />
Zumeist ist es auch ratsam, das Zuweisen von Anwendungen zu vermeiden, die vollständig<br />
installiert werden, wenn der Benutzer sich anmeldet. Wenn Sie eine Anwendung ankündigen,<br />
dem Benutzer aber erlauben, die Installation auszulösen, können Sie die Softwareinstallation über<br />
einen gewissen Zeitraum verteilen. Wenngleich keine dieser Optionen ideal ist, können Sie die<br />
Nutzung der Netzwerkbandbreite zu einem bestimmten Grad steuern.<br />
Eine weitere Möglichkeit zur Steuerung der Netzwerknutzung, wenn es mehrere Standorte gibt,<br />
bietet das verteilte Dateisystem (Distributed File System, DFS). Mithilfe des DFS können Sie eine<br />
logische Verzeichnisstruktur einrichten, die unabhängig von den tatsächlichen Speicherortorten der<br />
Dateien im Netzwerk ist. Sie können beispielsweise einen DFS-Stammordner mit dem Namen \\<br />
Server1\softinst einrichten und anschließend unter diesem Freigabepunkt Unterverzeichnisse für<br />
sämtliche Anwendungen erstellen. Im DFS können Sie die Unterverzeichnisse auf mehreren Servern<br />
finden und mehrere physische Verknüpfungen zu denselben logischen Verzeichnissen konfigurieren.<br />
Bei Verwenden der DFS-Replikation können Sie sogar eine automatische Replikation des<br />
Ordnerinhalts zwischen Kopien desselben Verzeichnisses konfigurieren. Das DFS ist eine standortabhängige<br />
Anwendung, was bei mehreren Standorten bedeutet, dass sich die Clientcomputer stets<br />
mit einer Kopie des DFS-Ordners an ihrem Standort anstatt über eine WAN-Verbindung verbinden,<br />
um auf den Ordner an einem anderen Standort zuzugreifen.<br />
Die genauen Auswirkungen einer Installation über das Netzwerk sind schwer vorherzusagen. Einer<br />
der Vorteile von Gruppenrichtlinien für das Installieren von Software ist, dass Sie mühelos einen<br />
Test durchführen können, um die voraussichtlichen Auswirkungen zu ermitteln. Sie können beispielsweise<br />
ein Gruppenrichtlinienobjekt mit dem Softwarepaket konfigurieren und dafür sorgen,<br />
dass das Gruppenrichtlinienobjekt mit keiner Organisationseinheit verbunden ist. Sie können<br />
anschließend eine temporäre Organisationseinheit erstellen, dieser einige Benutzer- oder Computerkonten<br />
hinzufügen und das Gruppenrichtlinienobjekt mit der Organisationseinheit verknüpfen.<br />
Anhand dieser Konfiguration kann getestet werden, wie lange es dauert, bis die Anwendungen in<br />
einer kleinen Benutzergruppe installiert sind. Sie können auch einen Pilottest für die Softwareverteilung<br />
einrichten, indem Sie das Gruppenrichtlinienobjekt mit einer Organisationseinheit in der<br />
Produktionsumgebung verknüpfen und anschließend über die Gruppenrichtlinienfilterung<br />
beschränken, auf welche Benutzer oder Computer das Gruppenrichtlinienobjekt angewendet<br />
werden soll.
Bereitstellen von Software mithilfe von Gruppenrichtlinien 483<br />
Ungeachtet der Anstrengungen, die Sie zum Minimieren der Auswirkungen auf das Netzwerk<br />
unternehmen, hat die Bereitstellung einer großen Anwendung für sehr viele Benutzer stets Einfluss<br />
auf das Netzwerk. Da dies unabänderlich ist, sollten Sie die Installation auf mehrere Tage verteilen.<br />
Verteilen von nicht mit Windows Installer installierten Anwendungen<br />
mithilfe von Gruppenrichtlinien<br />
Mitunter möchten Sie ggf. nicht den Aufwand betreiben, eine MSI-Datei zum Installieren einer<br />
Anwendung zu erstellen, diese aber dennoch mit Gruppenrichtlinien verteilen. Angenommen, Sie<br />
haben eine einfache Anwendung, die auf mehreren Arbeitsstationen installiert werden muss, jedoch<br />
keine Anpassungen erfordert und auch nicht aktualisiert wird. In diesem Fall können Sie zum Installieren<br />
dieser Anwendung eine ZAP-Datei (Zero Administration for Windows [ZAW] Down-Level<br />
Applications Package) erstellen und verwenden.<br />
Eine ZAP-Datei ist eine Textdatei mit Setupanweisungen zum Installieren einer Anwendung. Eine<br />
ZAP-Datei enthält zumeist nur die folgenden Zeilen:<br />
[Application] FriendlyName = "Anwendungsname" SetupCommand = ""\\Servername\Freiagabename\<br />
installapplication.exe""<br />
Der Wert FriendlyName ist der Name, der in der Systemsteuerungsoption Software auf dem Clientcomputer<br />
angezeigt wird. Der Wert SetupCommand ist der Pfad zur Installationsdatei der Anwendung.<br />
Für SetupCommand können Sie einen UNC-Pfad (Universal Naming Convention) oder ein<br />
zugeordnetes Laufwerk wählen. Falls die Anwendung eine Möglichkeit zum Anpassen der Installation<br />
mithilfe von Setupparametern bietet, können Sie im Anschluss an die schließenden doppelten<br />
Anführungszeichen des Setuppfads die Parameter dem Wert SetupCommand hinzufügen. Der Wert<br />
kann beispielsweise wie folgt aussehen:<br />
SetupCommand = "\\Servername\Freigabename\setup.exe" /parameter<br />
Wenn die Befehlszeile einen Parameter aufweist, enthält der Setuppfad einen einzelnen Satz doppelter<br />
Anführungszeichen anstatt die beiden Sätze doppelter Anführungszeichen, die im vorherigen Beispiel<br />
erforderlich waren.<br />
Nach Erstellen der ZAP-Datei und Kopieren der Anwendungsinstallationsdateien in die Netzwerkfreigabe,<br />
können Sie die Anwendung für Benutzer veröffentlichen. Die Anwendung wird in der Systemsteuerungsoption<br />
Software der Liste der verfügbaren Anwendungen hinzugefügt. Die Benutzer können<br />
anschließend die zu installierende Anwendung auswählen. Anwendungen, die über ZAP-Dateien<br />
verteilt werden, können weder Computern noch Benutzern zugewiesen werden und werden nicht über<br />
die Erweiterungsaktivierung installiert.<br />
ZAP-Dateien unterliegen im Vergleich mit Windows Installer-Dateien mehreren wesentlichen Einschränkungen.<br />
Erstens wird bei der Installation der Anwendung mithilfe der ZAP-Datei das normale<br />
Installationsprogramm der Anwendung ausgeführt, was bedeutet, dass Sie die Installation nur dann<br />
anpassen können, wenn die Anwendung Setupparameter zum Anpassen der Installation bietet. Zweitens<br />
kann die Installation mithilfe von ZAP-Dateien nicht mit erhöhten Berechtigungen ausgeführt<br />
werden, was bedeutet, dass ein Benutzer zum Installieren der Anwendung lokale Administratorrechte<br />
benötigt. Drittens sind über ZAP-Dateien installierte Anwendungen nicht selbstreparierend. Wenn die<br />
Anwendung ausfällt, weil eine Datei zuvor beschädigt oder gelöscht wurde, muss der Benutzer zur<br />
Neuinstallation der Anwendung die ursprüngliche Installationsprozedur nochmals manuell ausführen.<br />
Viertens kann eine mithilfe einer ZAP-Datei installierte Anwendung nicht ohne weiteres aktualisiert<br />
oder mit Patches versehen werden.
484 Kapitel 12: Einsetzen von Gruppenrichtlinien zum Verwalten von Benutzerdesktops<br />
Aufgrund dieser Nachteile ist diese Methode der Softwareinstallation nur bedingt brauchbar und<br />
sollte auf einfache Anwendungen beschränkt werden, die voraussichtlich nicht aktualisiert werden.<br />
Konfigurieren von Softwarepaketeigenschaften<br />
Nachdem Sie das Softwarepaket erstellt haben, können Sie die Paketeigenschaften ändern.<br />
Klicken Sie dazu mit der rechten Maustaste auf das Paket, und wählen Sie Eigenschaften aus.<br />
Abbildung 12.15 zeigt die Registerkarte Bereitstellung. In Tabelle 12.8 werden die verfügbaren<br />
Optionen auf dieser Registerkarte erläutert.<br />
Abbildung 12.15<br />
Ändern der Bereitstellungseigenschaften eines Softwarepakets<br />
Tabelle 12.8<br />
Bereitstellungsoptionen für ein Softwarepaket<br />
Einstellung<br />
Bereitstellungsart<br />
Automatisch installieren, wenn die<br />
Dateierweiterung aktiviert wird<br />
Anwendung deinstallieren, wenn<br />
sie außerhalb des Verwaltungsbereichs<br />
liegt<br />
Paket in der Systemsteuerung<br />
unter Software nicht anzeigen<br />
Erläuterung<br />
Dient zum Angeben, wie die Anwendung Clients angekündigt wird.<br />
Dient zum Aktivieren oder Deaktivieren der Option zum Installieren von Software, wenn<br />
ein Benutzer eine Datei mit einer ausgewählten Erweiterung öffnet. Diese Option ist nicht<br />
verfügbar, wenn Sie eine Anwendung zuweisen.<br />
Über diese Option können Sie bestimmen, was passieren soll, wenn die Gruppenrichtlinie<br />
nicht mehr für den Benutzer oder Computer gilt. Wenn die Gruppenrichtlinie beispielsweise<br />
mit Benutzerkonten in einer Organisationseinheit verknüpft ist, bedeutet die<br />
Wahl dieser Option, dass die Anwendung deinstalliert wird, wenn das Benutzerkonto aus<br />
der Organisationseinheit verschoben wird.<br />
Dient zum Festlegen, ob die Anwendung in der Systemsteuerungsoption Software angezeigt<br />
wird oder nicht.
Bereitstellen von Software mithilfe von Gruppenrichtlinien 485<br />
Tabelle 12.8<br />
Bereitstellungsoptionen für ein Softwarepaket (Fortsetzung)<br />
Einstellung<br />
Anwendung bei Anmeldung<br />
installieren<br />
Benutzeroberflächenoptionen für<br />
die Installation<br />
Erweitert<br />
Erläuterung<br />
Dient zum vollständigen Installieren einer Anwendung, wenn sich der Benutzer anmeldet,<br />
anstatt abzuwarten, dass der Benutzer die Installation auslöst. Diese Option ist nicht verfügbar,<br />
wenn Sie eine Anwendung veröffentlichen.<br />
Über diese Option können Sie bestimmen, was dem Benutzer angezeigt werden soll,<br />
wenn die Software installiert wird. Bei Wahl von Standard werden nur Fehler- und Fertigstellungsmeldungen<br />
angezeigt. Bei Wahl von Maximal werden alle Bildschirme zum<br />
Setup der Software angezeigt.<br />
Dient zum Konfigurieren weiterer Einstellungen für das Softwarepaket. Zu den Optionen<br />
zählen die Installation von 32-Bit-Anwendungen unter 64-Bit-Betriebssystemen, die Installation<br />
einer Anwendung mit im Vergleich zum Zielbetriebssystem anderer Sprache und<br />
die Einbeziehung von COM-Komponenten (Component Object Model) in das Paket, damit<br />
der Client die Komponenten aus <strong>Active</strong> <strong>Directory</strong> installieren kann. Abbildung 12.16<br />
zeigt das Dialogfeld.<br />
Abbildung 12.16 Konfigurieren der gruppenrichtlinienbasierten Softwareinstallation auf der Seite Erweiterte<br />
Bereitstellungsoptionen<br />
Festlegen der standardmäßigen Softwareinstallationseigenschaften<br />
Wenn Sie die Bereitstellung von Software mithilfe von Gruppenrichtlinien vorbereiten, können Sie<br />
die Standardeinstellungen für alle Softwarepakete konfigurieren, die mithilfe eines bestimmten Gruppenrichtlinienobjekts<br />
bereitgestellt werden. Sie können auf dieses Dialogfeld zugreifen, indem Sie mit<br />
der rechten Maustaste auf den Container Softwareinstallation klicken und dann Eigenschaften auswählen.<br />
Abbildung 12.17 zeigt das Dialogfeld.
486 Kapitel 12: Einsetzen von Gruppenrichtlinien zum Verwalten von Benutzerdesktops<br />
Abbildung 12.17<br />
Festlegen der standardmäßigen Softwareinstallationseigenschaften<br />
Befolgen Sie dieses Verfahren, um die Optionen festzulegen, die angezeigt werden, wenn Sie in diesem<br />
Gruppenrichtlinienobjekt ein neues Softwarepaket erstellen. Sie können ferner den Standardpfad<br />
für die Softwareinstallationsdateien festlegen und die Benutzeroberflächeneinstellungen für die Installation<br />
konfigurieren.<br />
Installieren angepasster Softwarepakete<br />
Es kann vorkommen, dass Sie die Installation eines Windows Installer-Softwarepakets anpassen müssen.<br />
So kann es beispielsweise erforderlich sein, dass Sie eine angepasste Installation Ihrer Textverarbeitungsanwendung<br />
erstellen müssen, die benutzerdefinierte Wörterbücher oder Vorlagen umfasst.<br />
Oder Sie müssen ggf. die Installation von Microsoft Office so anpassen, dass auf jedem Desktopcomputer<br />
nur Microsoft Word und Microsoft Excel installiert werden, während das komplette Office-<br />
Paket nur ausgewählten Benutzern bereitgestellt wird. Wenn Sie für ein internationales Unternehmen<br />
arbeiten, müssen Sie ggf. dieselbe Anwendung in mehreren Sprachen bereitstellen.<br />
Sie können die Installation eines Softwarepakets anpassen, indem Sie eine Transformationsdatei (mit<br />
der Erweiterung .mst) erstellen oder abrufen. Die Transformationsdatei enthält zusätzlich zur MSI-<br />
Datei Anweisungen, mit denen die Installation angepasst wird. Die einfachste Möglichkeit zum<br />
Erstellen einer MST-Datei ist das Verwenden einer Softwarepaket- oder benutzerdefinierten Anwendung,<br />
die vom Softwarehersteller bereitgestellt wird. Microsoft bietet beispielsweise für die meisten<br />
Versionen von Microsoft Office (vor Office 2007) in den Tools zur technischen Referenz einen Assistenten<br />
für benutzerdefinierte Installationen. Nach Start dieses Assistenten wählen Sie eine MSI-Datei,<br />
einen Namen und einen Pfad für die MST-Datei aus. Anschließend zeigt der Assistent sämtliche<br />
Optionen für die Anpassung der Standardinstallation der Software an. Sie können nahezu jeden<br />
Aspekt der Installation anpassen, so z.B. frühere Versionen von Office entfernen lassen, die zu installierenden<br />
Komponenten auswählen und den Pfad dieser Komponenten bestimmen.
Bereitstellen von Software mithilfe von Gruppenrichtlinien 487<br />
Sie können Benutzereinstellungen migrieren, falls die Installation vorhandene Software aktualisiert,<br />
oder Sie können persönliche und Sicherheitseinstellungen nach Wunsch konfigurieren. Sie können der<br />
Installation weitere Dateien hinzufügen (z.B. benutzerdefinierte Vorlagen), Registrierungsschlüssel<br />
hinzufügen oder entfernen, Verknüpfungen zu Office-Anwendungen hinzufügen oder entfernen sowie<br />
E-Mail-Clienteinstellungen konfigurieren.<br />
Nach Erstellung der Transformationsdatei müssen Sie ein neues Softwarepaket erstellen, um die<br />
benutzerdefinierte Installation bereitzustellen. Wenn Sie das neue Softwarepaket erstellen, wählen Sie<br />
bei Auswahl der Bereitstellungsmethode die Option Erweitert aus, damit Sie die Transformationsdatei<br />
hinzufügen können, bevor das Paket fertiggestellt wird. Klicken Sie in der Eigenschaftenseite des<br />
Softwarepakets auf die Registerkarte Änderungen, und fügen Sie anschließend die Transformationsdateien<br />
hinzu. Abbildung 12.18 zeigt die Registerkarte Änderungen.<br />
Abbildung 12.18<br />
Hinzufügen von Transformationsdateien zu einem Softwarepaket<br />
Wenn Sie die Transformationsdatei auf das Softwarepaket anwenden, wird auf allen Clients im Geltungsbereich<br />
des Gruppenrichtlinienobjekts, auf denen die Anwendung installiert wird, die angepasste<br />
Version installiert. Sie können dem Softwarepaket mehrere Transformationsdateien hinzufügen.<br />
In diesem Fall werden die Transformationsdateien von oben nach unten in der Liste angewendet,<br />
was bedeutet, dass im Installationsprozess später angewendete Transformationsdateien frühere Änderungen<br />
ggf. überschreiben.<br />
Aktualisieren eines vorhandenen Softwarepakets<br />
Eine weitere nützliche Funktion bei Verwenden von Gruppenrichtlinien zum Bereitstellen von Software<br />
ist die Möglichkeit der Aktualisierung vorhandener Softwarepakete. Es gibt in Wesentlichen<br />
zwei Methoden zum Aktualisieren vorhandener Softwarepakete: Aktualisieren oder Installieren eines<br />
Service Pack für eine vorhandene Anwendung oder Aktualisieren einer Anwendung auf eine neue<br />
Version.
488 Kapitel 12: Einsetzen von Gruppenrichtlinien zum Verwalten von Benutzerdesktops<br />
Für beide Methoden zur Softwareaktualisierung sind unterschiedliche Vorgehensweisen erforderlich.<br />
Wenn Sie auf eine vorhandene Anwendung Updates oder ein Service Pack anwenden, müssen Sie<br />
zuerst eine MSI-Datei oder Patchdatei (.msp) für die zu aktualisierende Anwendung abrufen. (Im Idealfall<br />
stammt diese Datei vom Softwarehersteller, Sie können aber auch eine eigene erstellen.) Kopieren<br />
Sie die neue MSI-Datei und die anderen neuen Softwareinstallationsdateien in den Ordner der<br />
ursprünglichen MSI-Dateien, und überschreiben Sie duplizierte Dateien. Stellen Sie anschließend die<br />
Anwendung erneut bereit. Klicken Sie dazu im Gruppenrichtlinienverwaltungs-Editor mit der rechten<br />
Maustaste auf das Softwarepaket, wählen Sie Alle Aufgaben, und klicken Sie anschließend auf<br />
Anwendung erneut bereitstellen. Das Softwarepaket wird für alle Benutzer und Computer erneut<br />
bereitgestellt, die mit dem Gruppenrichtlinienobjekt verknüpft sind.<br />
Wenn Sie eine vorhandene Anwendung auf eine neue Version der Software aktualisieren, müssen Sie<br />
eine andere Methode wählen. In diesem Fall müssen Sie ein neues Softwarepaket erstellen, um die<br />
Anwendung bereitzustellen. Sie können anschließend auf die Eigenschaften des Softwarepakets für<br />
die neue Anwendung zugreifen und die Registerkarte Aktualisierungen öffnen. Mithilfe der Einstellungen<br />
auf dieser Registerkarte können Sie eine Verknüpfung zwischen dem neuen Softwareverteilungspaket<br />
und einem vorhandenen Paket herstellen. Wenn Sie auf der Registerkarte Aktualisierungen<br />
auf Hinzufügen klicken, können Sie auswählen, welches Softwarepaket von diesem Paket<br />
aktualisiert werden soll. Sie können außerdem angeben, ob die alte Anwendung zuerst deinstalliert<br />
werden muss, bevor die neue Anwendung installiert wird. Abbildung 12.19 zeigt ein Beispiel für die<br />
Aktualisierung von Microsoft Office Excel Viewer 2003.<br />
Abbildung 12.19<br />
Aktualisieren eines vorhandenen Softwarepakets<br />
Nachdem Sie die Aktualisierungsverknüpfung erstellt haben, zeigt die Registerkarte Aktualisierungen<br />
neue Informationen an (siehe Abbildung 12.20). Auf der Registerkarte Aktualisierungen können Sie<br />
auch die Option Vorhandene Pakete aktualisieren auswählen. Bei Wahl dieser Option wird sämtliche<br />
vom vorherigen Gruppenrichtlinienobjekt verteilte Software beim nächsten Mal aktualisiert, wenn der<br />
Computer neu gestartet wird oder der Benutzer sich anmeldet. Wenn Sie diese Option nicht aktivieren,<br />
kann der Benutzer auswählen, wann die neue Anwendung installiert werden soll: Entweder durch<br />
Aktivieren der Anwendung über das Menü Start oder über die Systemsteuerungsoption Programme<br />
und Funktionen.
Bereitstellen von Software mithilfe von Gruppenrichtlinien 489<br />
Wenn Sie für die Aktualisierung des Softwarepakets das Gruppenrichtlinienobjekt verwenden, das Sie<br />
auch für die vorherigen Anwendungsinstallation genutzt haben, zeigt das ursprüngliche Softwarepaket<br />
an, das es vom neuen Paket aktualisiert wird.<br />
Abbildung 12.20<br />
Die Registerkarte Aktualisierungen in der Eigenschaftenseite eines Softwarepakets<br />
Hinweis Die Tatsache, dass die Aktualisierung einer Anwendung mithilfe von Gruppenrichtlinien so einfach<br />
ist, heißt nicht, dass die Aktualisierung auf die leichte Schulter genommen werden sollte. Vor Bereitstellung<br />
der Aktualisierung müssen Sie diese testen, um sicherzustellen, dass keine Probleme mit vorhandenen<br />
Anwendungen vorliegen. Außerdem müssen Sie auch den Aktualisierungsprozess testen, um sicherzustellen,<br />
dass alles reibungslos funktioniert. Nachdem dies sichergestellt wurde, müssen Sie auch noch die<br />
Bereitstellung verwalten. Wenn die Anwendung, die Sie aktualisieren, Tausenden von Benutzer bereitgestellt<br />
wurde, und Sie festlegen, dass die Aktualisierung eine erforderliche Aktualisierung ist, müssen die<br />
Benutzer ggf. lange warten, bis die Installation abgeschlossen ist. Sie müssen weiterhin die Bereitstellung<br />
der Aktualisierung sorgfältig betreuen, um negative Auswirkungen auf die Netzwerkbandbreite zu minimieren.<br />
Konfigurieren der Dateierweiterungsaktivierung<br />
Eine Möglichkeit, die ein Benutzer zum Auslösen der Installation einer Anwendung hat, ist die Dateierweiterungsaktivierung.<br />
Es gibt meist nur eine Anwendung, die einer bestimmten Dateierweiterung<br />
zugeordnet ist. Es gibt jedoch auch Ausnahmen. Angenommen, Sie aktualisieren Word 2000 auf<br />
Word 2003 und für mehrere Monate stehen ggf. beide Versionen der Software zur Installation zur Verfügung.<br />
In diesem Fall können Sie konfigurieren, welche der Anwendungsversionen installiert werden<br />
soll, wenn ein Benutzer die Installation über die Dateierweiterungsaktivierung auslöst.<br />
Öffnen Sie zum Konfigurieren dieser Option im Gruppenrichtlinienverwaltungs-Editor die Eigenschaftenseite<br />
Softwareinstallation unter Computerkonfiguration oder Benutzerkonfiguration. Klicken<br />
Sie auf die Registerkarte Dateierweiterungen (siehe Abbildung 12.21). Die zuerst aufgeführte<br />
Anwendung wird installiert, wenn die Dateierweiterung aktiviert wird.
490 Kapitel 12: Einsetzen von Gruppenrichtlinien zum Verwalten von Benutzerdesktops<br />
Abbildung 12.21<br />
Konfigurieren der Dateierweiterungsaktivierung<br />
Weitere Informationen Bei Verwenden der Gruppenrichtlinie für die Softwareinstallation für die Bereitstellung<br />
von 2007 Office System müssen verschiedene wichtige Aspekte beachtet werden. Weitere (englischsprachige)<br />
Informationen finden Sie in „Use Group Policy Software Installation to Deploy the 2007 Office<br />
System“ unter http://technet2.microsoft.com/Office/en-us/library/efd0ee45-9605-42d3-9798-<br />
3b698fff3e081033.mspx?mfr=true.<br />
Entfernen von mit Gruppenrichtlinien bereitgestellter Software<br />
Die Gruppenrichtlinie für die Softwareinstallation kann zum Bereitstellen von Anwendungen und<br />
Entfernen zuvor installierter Anwendungen genutzt werden. Für die Entfernung von Software mithilfe<br />
von Gruppenrichtlinien gibt es drei Optionen:<br />
• Entfernen von Software als einleitender Schritt zum Installieren einer neueren Version der Software<br />
• Entfernen von Software, wenn der Benutzer oder Computer den Verwaltungsbereich verlässt<br />
• Entfernen von Software bei Entfernung des Softwarepakets<br />
Die ersten beiden Optionen wurden bereits zuvor in diesem Kapitel behandelt. Die letzte Option muss<br />
näher erklärt werden. Wenn Sie ein Softwarepaket aus einem Gruppenrichtlinienobjekt entfernen,<br />
können Sie bestimmen, wie die vom Gruppenrichtlinienobjekt installierte Software verwaltet werden<br />
soll. Klicken Sie dazu in der Auflistung Softwareinstallation mit der rechten Maustaste auf das Softwarepaket,<br />
wählen Sie Alle Aufgaben, und klicken Sie anschließend auf Entfernen. Abbildung 12.22<br />
zeigt das Dialogfeld, das geöffnet wird, wenn Sie ein Softwareinstallationspaket entfernen möchten.<br />
Bei Wahl von Software sofort von Benutzern und Computern deinstallieren wird die Software beim<br />
nächsten Neustart des Computers bzw. der nächsten Anmeldung des Benutzers deinstalliert. Bei Wahl<br />
von Benutzer dürfen die Software weiterhin verwenden, aber Neuinstallationen sind nicht zugelassen<br />
steht die Anwendung auf den Arbeitsstationen weiter zur Verfügung, doch neue Benutzer können die<br />
Anwendung nicht weiter mithilfe dieses Gruppenrichtlinienobjekts installieren.
Bereitstellen von Software mithilfe von Gruppenrichtlinien 491<br />
Abbildung 12.22<br />
Konfigurieren der Entfernung von Software bei Entfernung eines Softwarepakets<br />
Konfigurieren von Windows Installer mithilfe von Gruppenrichtlinien<br />
Da die meisten Anwendungen, die Sie über das Feature Gruppenrichtlinie für die Softwareinstallation<br />
installieren, mit der Windows Installer-Technologie arbeiten, müssen Sie auch bestimmen, wie<br />
Windows Installer-Anwendungen installiert werden sollen, wozu mehrere Richtlinieneinstellungen<br />
genutzt werden. Die meisten dieser Einstellungen finden Sie an folgenden Stellen:<br />
• Computerkonfiguration\Richtlinien\Administrative Vorlagen\Windows-Komponenten\Windows<br />
Installer<br />
• Benutzerkonfiguration\Richtlinien\Administrative Vorlagen\Windows-Komponenten\Windows<br />
Installer<br />
In Tabelle 12.9 werden die konfigurierbaren Optionen an diesen beiden Stellen erläutert.<br />
Tabelle 12.9<br />
Gruppenrichtlinieneinstellungs-Optionen für Windows Installer<br />
Einstellung<br />
Durchsuchen für Benutzer mit erhöhten<br />
Rechten aktivieren (nur Computerkonfiguration)<br />
Verwenden von Medienquellen für Benutzer<br />
mit erhöhten Rechten aktivieren (nur Computerkonfiguration)<br />
Patchverwendung für Programme mit erhöhter<br />
Sicherheit zulassen (nur Computerkonfiguration)<br />
Administrator erlauben, Installationen von<br />
Terminaldienstesitzungen auszuführen (nur<br />
Computerkonfiguration)<br />
Immer mit erhöhten Rechten installieren<br />
(Computerkonfiguration und Benutzerkonfiguration)<br />
Windows Installer deaktivieren (nur<br />
Computerkonfiguration)<br />
Erläuterung<br />
Über diese Option können Sie nach anderen Installationsquellen suchen,<br />
wenn die Anwendung mit erhöhten Berechtigungen installiert wird.<br />
Über diese Option können Sie dem Benutzer erlauben, Wechseldatenträger<br />
als Installationsquelle zu nutzen, wenn die Anwendung mit erhöhten Berechtigungen<br />
installiert wird.<br />
Über diese Option können Sie dem Benutzer die Installation von Patches erlauben,<br />
wenn die Anwendung mit erhöhten Berechtigungen ausgeführt wird.<br />
Über diese Optionen können Sie Administratoren von Terminaldiensten erlauben,<br />
Software im Rahmen einer Terminaldienstesitzung zu installieren und zu<br />
konfigurieren.<br />
Über diese Option können Sie Benutzern erlauben, Anwendungen zu installieren,<br />
die Zugriff auf Verzeichnisse oder Registrierungsschlüssel benötigen, auf<br />
die der Benutzer normalerweise nicht zugreifen kann. Das Aktivieren dieser<br />
Option bedeutet, dass Windows Installer die Systemberechtigungen für die<br />
Installation von Software nutzt.<br />
Diese Option ermöglicht das Aktivieren bzw. Deaktivieren der Installation von<br />
Software mit Windows Installer. Bei Aktivierung der Richtlinie können Sie Windows<br />
Installer vollständig deaktivieren, Windows Installer für alle Anwendungen<br />
aktivieren oder Windows Installer für die Anwendungen deaktivieren,<br />
die nicht über Gruppenrichtlinien verteilt werden.
492 Kapitel 12: Einsetzen von Gruppenrichtlinien zum Verwalten von Benutzerdesktops<br />
Tabelle 12.9<br />
Gruppenrichtlinieneinstellungs-Optionen für Windows Installer (Fortsetzung)<br />
Einstellung<br />
Zurücksetzen nicht zulassen (Computerkonfiguration<br />
und Benutzerkonfiguration)<br />
Dialog Durchsuchen für die Suche nach einer<br />
neuen Quelle entfernen (nur Computerkonfiguration)<br />
Patchverwendung nicht zulassen (nur<br />
Computerkonfiguration)<br />
IE-Sicherheitshinweis für Windows Installer-<br />
Skripts deaktivieren (nur Computerkonfiguration)<br />
Benutzersteuerung bei Installationen zulassen<br />
(nur Computerkonfiguration)<br />
Transformationen an einem sicheren Ort auf<br />
der Arbeitsstation zwischenspeichern (nur<br />
Computerkonfiguration)<br />
Protokollierung (nur Computerkonfiguration)<br />
Benutzerinstallationen nicht zulassen (nur<br />
Computerkonfiguration)<br />
Erstellung von Systemwiederherstellungsprüfpunkten<br />
deaktivieren (nur Computerkonfiguration)<br />
Suchreihenfolge (nur Benutzerkonfiguration)<br />
Wechselmedienquellen für alle Installationen<br />
verhindern (nur Benutzerkonfiguration)<br />
Erläuterung<br />
Über diese Option können Sie das standardmäßige Windows Installer-Verhalten<br />
beim Erstellen von Dateien deaktivieren, über das eine unvollständige Installation<br />
zurückgesetzt werden kann.<br />
Über diese Option können Sie die Schaltfläche Durchsuchen deaktivieren,<br />
wenn ein Benutzer ein neues Feature mithilfe von Windows Installer installieren<br />
möchte. Bei Aktivierung dieser Option wird die Schaltfläche Durchsuchen<br />
deaktiviert, was bedeutet, dass der Benutzer Features nur aus vom Administrator<br />
konfigurierten Quellen installieren kann.<br />
Diese Option hindert den Benutzer an der Installation von Patches für Programme<br />
mithilfe von Windows Installer. Die Aktivierung dieser Option erhöht<br />
die Sicherheit, da Benutzer am Installieren von Patches gehindert werden, die<br />
ggf. Systemdateien verändern.<br />
Über diese Option können Sie die Warnung deaktivieren, die dem Client angezeigt<br />
wird, wenn Software über eine Browseroberfläche wie beispielsweise<br />
Microsoft Internet Explorer installiert wird. Sie können diese Option verwenden,<br />
wenn Ihre Software zumeist über eine Website verteilt wird.<br />
Diese Option versieht den Benutzer mit mehr Steuerungsmöglichkeiten bei<br />
der Installation von Anwendungen. Bei Aktivierung dieser Option wird der Installationsvorgang<br />
bei jedem Installationsbildschirm angehalten, sodass der<br />
Benutzer die Einstellungen ändern kann.<br />
Über diese Option können die Transformationsdateien zwischengespeichert<br />
werden, um auf der lokalen Arbeitsstation eine angepasste Anwendung zu installieren.<br />
Diese Transformationsdatei wird zum Reparieren oder Wiederholen<br />
der Softwareinstallation benötigt.<br />
Über diese Option können Sie Windows Installer so konfigurieren, dass die<br />
Standardstufe der Protokollierung der Softwareinstallation erhöht wird.<br />
Über diese Option können Sie festlegen, ob die einem Benutzer zugewiesenen<br />
Anwendungen installiert werden oder nicht. Wenn Sie diese Option<br />
aktivieren, können Sie die Einstellung so konfigurieren, dass nur dem Computer<br />
zugewiesene Anwendungen installiert werden. Diese Einstellung ist auf öffentlich<br />
zugänglichen und freigegebenen Computern nützlich. Sie gilt nur für<br />
Clients mit installiertem Windows Installer 2.0 oder höher.<br />
Mit dieser Option können Sie das Standardverhalten von Computern mit Windows<br />
XP Professional ändern, gemäß dem ein Systemwiederherstellungsprüfpunkt<br />
automatisch erstellt wird, bevor eine Anwendung installiert wird.<br />
Über diese Option können Sie die standardmäßige Suchreihenfolge ändern,<br />
gemäß der Windows Installer nach Installationsdateien sucht. Windows Installer<br />
durchsucht standardmäßig zuerst das Netzwerk, dann Wechseldatenträger<br />
und schließlich eine Internet-URL.<br />
Über diese Option können Sie Benutzer am Verwenden von Windows Installer<br />
hindern, um Anwendungen von Wechseldatenträgern zu installieren.
Bereitstellen von Software mithilfe von Gruppenrichtlinien 493<br />
Planen der Gruppenrichtlinie für die Softwareinstallation<br />
Der Einsatz von Gruppenrichtlinien zum Bereistellen und Verwalten von Softwareinstallationen kann<br />
den Aufwand zur Verteilung und Wartung von Software auf Clientcomputern stark mindern. Doch die<br />
Nutzung dieses Instruments kann kompliziert sein, insbesondere in Großunternehmen mit vielen verschiedenen<br />
Softwarekonfigurationen für Benutzerdesktops. Die effektive Verwaltung von Software<br />
mithilfe von Gruppenrichtlinien erfordert eine sorgfältige Planung. In diesem Abschnitt werden verschiedene<br />
Aspekte behandelt, die Sie beim Planen von Gruppenrichtlinien für die Softwareinstallation<br />
berücksichtigen müssen.<br />
Einer der zu berücksichtigenden Aspekte bei der Bereitstellung von Anwendungen ist, ob die Anwendungen<br />
Benutzern oder Computern angekündigt werden sollen. Wenn die meisten Computer von<br />
mehreren Benutzern genutzt werden und jeder Benutzer ein bestimmtes Softwarepaket benötigt, sollten<br />
Sie die Richtlinie Computern zuweisen. Durch Zuweisen der Richtlinie zu Computern wird die<br />
Software beim nächsten Neustart der Arbeitsstation vollständig installiert und allen Benutzern zur<br />
Verfügung gestellt. Das Zuweisen des Softwarepakets zu Computern bietet auch mehr Optionen für<br />
das Steuern der Netzwerkbandbreite. Bei Wahl dieser Option können Sie ein Gruppenrichtlinienobjekt<br />
für die Softwareinstallation am Tag konfigurieren und anschließend die Benutzer auffordern,<br />
die Arbeitsstationen nach der Bürozeit neu zu starten (oder dazu ein Remotetool einsetzen).<br />
Wenn nur einige Benutzer ein Softwarepaket benötigen, bietet es sich meist an, die Anwendung<br />
Benutzerkonten zuzuweisen oder für diese zu veröffentlichen. Mitunter muss ein Softwarepaket an<br />
Benutzer in mehreren Organisationseinheiten verteilt werden. Die beste Möglichkeit ist hierzu das<br />
Zuweisen eines Gruppenrichtlinienobjekts an einer hohen Stelle in der <strong>Active</strong> <strong>Directory</strong>-Hierarchie<br />
und anschließende Filtern der Anwendung des Gruppenrichtlinienobjekts mithilfe von Sicherheitsgruppen.<br />
Eine weitere wichtige Entscheidung beim Planen der Softwareverteilung ist die Anzahl der zu<br />
verwendenden Gruppenrichtlinienobjekte. Das eine Extrem ist der Einsatz nur eines Gruppenrichtlinienobjekts<br />
zum Verteilen sämtlicher Software für einen bestimmten Container, wodurch die<br />
Clientanmeldezeiten beschleunigt werden, was aber zu umfangreichen und komplizierten Gruppenrichtlinienobjekt-Konfigurationen<br />
führen kann. Das andere Extrem ist der Einsatz vieler Gruppenrichtlinienobjekte,<br />
wobei mit jedem nur eine Anwendung verteilt wird. In diesem Fall wird ggf. die<br />
Clientanmeldung verlangsamt, da der Computer viele Gruppenrichtlinienobjekte lesen muss. Unternehmen<br />
arbeiten mit verschiedenen Ansätzen, um den passenden Mittelweg zu finden. Einer davon ist<br />
die Einrichtung eines Gruppenrichtlinienobjekts zum Installieren eines Standardsatzes von Anwendungen,<br />
die alle Benutzer benötigen und die selten geändert werden. Zusätzliche Gruppenrichtlinienobjekte<br />
werden für Anwendungen erstellt, die häufig aktualisiert (z.B. Antivirensoftware) bzw. von<br />
kleinen Benutzergruppen verwendet werden.<br />
Sie müssen ggf. auch die Softwareverteilung über langsame Netzwerkverbindungen planen. In vielen<br />
Unternehmen gibt es Zweigstellen mit Benutzern, die sich über langsame Netzwerkverbindungen mit<br />
<strong>Active</strong> <strong>Directory</strong> verbinden. Standardmäßig kommt die Softwareverteilungskomponente von Gruppenrichtlinien<br />
nicht zum Einsatz, wenn sich der Client über eine Netzwerkverbindung mit weniger als<br />
500 KBit/s verbindet. Falls sich die Arbeitsstationen in Ihrem Netzwerk normalerweise mit einem<br />
lokalen Netzwerk (LAN) und nur gelegentlich über eine langsame Netzwerkverbindung verbinden, ist<br />
diese Standardeinstellung meist akzeptabel. Wenn es hingegen Netzwerkclients gibt, die sich nahezu<br />
immer über eine langsame Verbindung mit dem Netzwerk verbinden, können Sie diese Clients gesondert<br />
konfigurieren.
494 Kapitel 12: Einsetzen von Gruppenrichtlinien zum Verwalten von Benutzerdesktops<br />
Eine Möglichkeit besteht darin, die standardmäßige Softwareverteilung zu belassen wie sie ist, jedoch<br />
eine vollständige Installation der Software zu erzwingen, wenn sich der Benutzer mit dem LAN<br />
verbindet. Sie können diese Option wählen, wenn sich Clients gelegentlich mit Ihrem LAN verbinden.<br />
Wenn sich Clients nie mit dem LAN verbinden, müssen Sie zur Verteilung von Software eine<br />
Methode außerhalb von <strong>Active</strong> <strong>Directory</strong> wählen. Sie können beispielsweise Software mithilfe von<br />
Wechseldatenträgern oder über eine sichere Website verteilen, wenn die Clients eine schnelle Internetverbindung<br />
haben und sich normalerweise über eine langsame VPN-Verbindung (Virtuelles privates<br />
Netzwerk) mit <strong>Active</strong> <strong>Directory</strong> verbinden.<br />
Die meisten Großunternehmen verfügen für die Einrichtung von Arbeitsstationen über einen automatisierten<br />
Prozess. Zum schnellen Einrichten eines Standarddesktops für Benutzer können Technologien<br />
zum Klonen von Datenträgern oder die Windows-Bereitstellungsdienste eingesetzt werden. Sie<br />
können diesen Ansatz mit Gruppenrichtlinien kombinieren, um die Verteilung von Software umfassend<br />
zu optimieren. Wenn Sie beispielsweise mit einem Tool zum Klonen von Datenträgern zum Einrichten<br />
von Clientarbeitsstationen arbeiten, können Sie den Clientcomputer einrichten und anschließend<br />
mithilfe eines Gruppenrichtlinienobjekts auf jeder Arbeitsstation einen Standardsatz von<br />
Anwendungen installieren. Wenn dieses Image auf Arbeitsstationen bereitgestellt wird, können diese<br />
Anwendungen mithilfe von Gruppenrichtlinien verwaltet werden. Wenn Sie Clientcomputer über die<br />
Windows-Bereitstellungsdienste installieren, können Sie die verwaltete Anwendung in das dazugehörige<br />
Image für jede Abteilung einbeziehen.<br />
Der wichtigste Schritt bei der Vorbereitung eines Gruppenrichtlinienobjekts zum Bereitstellen von<br />
Software ist das sorgfältige Testen jeder Softwareverteilung vor der Bereitstellung. Viele Unternehmen,<br />
die Software mithilfe von Gruppenrichtlinien verteilen, arbeiten mit einer Verteilungstestumgebung<br />
mit Arbeitsstationen, die für die Arbeitsstationen in der Produktionsumgebung repräsentativ<br />
sind. Sie können in <strong>Active</strong> <strong>Directory</strong> problemlos eine Testorganisationseinheit erstellen und diese<br />
Computerkonten und verschiedene Testbenutzerkonten in diese Organisationseinheit verschieben.<br />
Anschließend können Sie in dieser Testumgebung jede Softwareverteilung testen.<br />
Einschränkungen beim Einsatz von Gruppenrichtlinien zum Verwalten<br />
von Software<br />
Wenngleich Gruppenrichtlinien leistungsstarke Instrumente zum Verwalten von Software auf Clientcomputern<br />
sind, unterliegt diese Technologie gewissen Einschränkungen, die insbesondere beim Vergleich<br />
mit Softwareverwaltungstools wie Microsoft Systems Management Server (SMS) oder System<br />
Center Configuration Manager (SCCM) offenkundig werden.<br />
Eine der stärksten Einschränkungen für viele Unternehmen ist, dass Gruppenrichtlinien nur zum Verteilen<br />
von Software an <strong>Active</strong> <strong>Directory</strong>-fähige Windows-Betriebssysteme genutzt werden können.<br />
Wenngleich diese Einschränkung immer weniger einschneidend ist, da viele Unternehmen zu den<br />
neuesten Betriebssystemen wechseln, gibt es in vielen Großunternehmen immer noch Clientcomputer<br />
mit Windows NT Workstation, Windows 95 oder Windows 98. Wenn Unternehmen mit solchen<br />
Clientcomputern Software mithilfe von Gruppenrichtlinien an neuere Clients verteilen möchten,<br />
benötigen sie weiterhin eine alternative Methode für ältere Clients.<br />
Eine weitere bedeutende Einschränkung für Unternehmen, die über die benötigten Clients verfügen,<br />
ist der Mangel an Flexibilität beim zeitlichen Planen einer Softwareinstallation. Anwendungen werden<br />
der Arbeitsstation erst angekündigt, nachdem sich der Benutzer erneut angemeldet hat oder der<br />
Computer neu gestartet wurde. Vollständig ausgestattete Softwareverteilungsprogramme wie SCCM<br />
bieten da andere Optionen.
Bereitstellen von Software mithilfe von Gruppenrichtlinien 495<br />
Sie können SCCM beispielsweise so konfigurieren, dass ein Computer nachts mithilfe der Remoteaktivierung<br />
über LAN gestartet, die Software installiert und der Computer danach wieder heruntergefahren<br />
wird. Oder die Softwareverteilung kann für einen beliebigen Zeitpunkt am Tag geplant werden,<br />
ohne dass sich der Benutzer abmelden muss oder unbedingt merkt, dass die Softwareverteilung<br />
stattfindet.<br />
Eine weitere Einschränkung beim Arbeiten mit Gruppenrichtlinien zum Verteilen von Software ist,<br />
dass die Multicastingfähigkeiten des Netzwerks nicht unterstützt werden. Der meiste Netzwerkdatenverkehr<br />
erfolgt „unicast“, d.h. zwischen zwei bestimmten Computern. Beim Multicasting kann ein<br />
Server einen Datenstrom über das Netzwerk senden, der von mehreren Clientcomputern empfangen<br />
werden kann. Da die Softwareverteilung von einer Aktion auf dem Client ausgelöst wird, kann bei der<br />
Verteilung von Software mithilfe einer Gruppenrichtlinie Multicasting nicht verwendet werden. Durch<br />
Arbeiten mit Multicasting kann die Bandbreite besser genutzt werden. Wenn es beispielsweise Tausende<br />
von Clients in Ihrem Unternehmen gibt und Sie ein dringendes Virenschutzupdate schnell verteilen<br />
müssen, wird bei Wahl einer Unicastlösung auch bei einem noch so schnellen Netzwerk die<br />
gesamte Bandbreite belegt. Beim Multicasting wird das Softwarepaket nur einmal gesendet, woraufhin<br />
alle Clients im Netzwerk das Update empfangen.<br />
Das Nutzen eines Gruppenrichtlinienobjekts zum Verteilen von Software unterliegt ferner der<br />
Beschränkung, dass nur über die Zuweisung des Gruppenrichtlinienobjekts auf Containerebene oder<br />
durch eine auf Gruppen basierende Filterung bestimmt werden kann, welche Clients ein Softwarepaket<br />
empfangen sollen. Vollständig ausgestattete Softwareverteilungsprogramme wie SCCM erstellen<br />
eine Bestandsliste aller Clientcomputer. Diese Bestandsliste enthält Computerattribute wie Festplattenspeicher,<br />
CPUs und Arbeitsspeicher sowie auf den Computern installierte Software. Sie können<br />
anschließend mithilfe dieser Bestandsliste bestimmen, welche Clientcomputer ein bestimmtes Softwarepaket<br />
empfangen sollen. Sie können beispielsweise die neueste Version von Office ausschließlich<br />
auf den Arbeitsstationen installieren, die die Anforderung an Festplatten- und Arbeitsspeicher<br />
erfüllen.<br />
Ein weiterer wichtiger Aspekt bei der Softwareverteilung ist in einigen Unternehmen der Umgang mit<br />
vom Netzwerk getrennten Clients. Diese Unternehmen haben sehr viele Clientcomputer, die sich nur<br />
gelegentlich mit dem Unternehmensnetzwerk verbinden, und zwar nur über eine DFÜ- oder VPN-<br />
Verbindung. Ein vollständig ausgestattetes Softwareverteilungstool kann mit diesen Clients auf verschiedene<br />
Weisen umgehen. Eine Option ist das Bereitstellen einer Website, die zum Installieren der<br />
Software und ihrer Verwaltung nach der Installation genutzt werden kann. Eine weitere Möglichkeit<br />
ist das Bereitstellen einer sehr intelligenten Verwaltung der Softwareverteilung, wenn der Client mit<br />
dem Netzwerk verbunden ist. Sie können beispielsweise Software an alle DFÜ-Clients verteilen und<br />
damit die Größe der Bandbreite strikt begrenzen, die der Softwareverteilungsprozess nutzen kann.<br />
Der Softwareverteilungsprozess kann ferner erkennen, ob die Netzwerkverbindung unterbrochen ist,<br />
und die Softwareverteilung an der Stelle neu starten, an der die Verbindung unterbrochen wurde,<br />
wenn sich der Benutzer das nächste Mal mit dem Netzwerk verbindet.<br />
Wie diese Übersicht der Einschränkungen zeigt, steht beim Einsatz von Gruppenrichtlinien zur Verwaltung<br />
von Software nicht die umfassende Funktionalität zur Verfügung, die Sie sich ggf. von einem<br />
Tool für die Softwareverteilung wünschen. Doch in kleinen und mittelgroßen Unternehmen können<br />
mit Gruppenrichtlinien viele Softwareverteilungsaufgaben erledigt werden. In vielen Unternehmen<br />
steht deshalb der Kosten-/Nutzen-Aspekt von Gruppenrichtlinien im Vordergrund, insbesondere im<br />
Vergleich zu den rechten hohen Clientlizenzierungskosten der beiden anderen Tools.
496 Kapitel 12: Einsetzen von Gruppenrichtlinien zum Verwalten von Benutzerdesktops<br />
Übersicht über Gruppenrichtlinieneinstellungen<br />
Gruppenrichtlinieneinstellungen ist eine Zusammenstellung verschiedener neuer clientseitiger Erweiterungen<br />
unter Windows Server 2008, die eine zentrale Konfiguration und Verwaltung von Betriebssystem-<br />
und Anwendungseinstellungen ermöglicht. Viele dieser Einstellungen wurden bislang nicht<br />
mithilfe von Gruppenrichtlinien konfiguriert und mussten über andere Methoden wie Anmeldeskripts<br />
aktiviert werden. Wenn Sie beispielsweise eine Laufwerkzuordnung zu einer Netzwerkfreigabe konfigurieren<br />
oder einer Arbeitsstation bestimmte Umgebungsvariablen zuweisen wollten, mussten Sie<br />
Anmeldeskripts erstellen, testen und anschließend Benutzerkonten zuweisen oder ein Gruppenrichtlinienobjekt<br />
für die Skripterstellung mit einem <strong>Active</strong> <strong>Directory</strong>-Container verknüpfen. Der Hauptnachteil<br />
von Skripts ist, dass viele Unternehmen am Ende mit komplexen Anmeldeskripts dastehen,<br />
die ständig geändert und korrigiert werden müssen. Und in den meisten Unternehmen gibt es meist<br />
nur ein oder zwei Mitarbeiter, die überhaupt wissen, welche Aufgaben die Skripts haben, sowie nur<br />
eine sehr minimale Dokumentation zur Beschreibung der Skriptaktionen. Das Feature Gruppenrichtlinieneinstellungen<br />
hat die Aufgabe, Anmeldeskripts in Ihrem Unternehmen vollständig oder zumindest<br />
teilweise überflüssig zu machen.<br />
Das Feature Gruppenrichtlinieneinstellungen im Vergleich zu<br />
Richtlinieneinstellungen<br />
Um bestimmen zu können, ob die Funktion Einstellungen oder die Funktion Richtlinieneinstellungen<br />
zum Verwalten eines Clientcomputers verwendet werden soll, müssen Sie mit den Unterschieden zwischen<br />
diesen Funktionen vertraut sein, die sich vor allem auf zwei Bereiche beziehen:<br />
• Erzwingung Wenn Sie eine Gruppenrichtlinieneinstellung konfigurieren, wird sie für alle dem<br />
Gruppenrichtlinienobjekt zugewiesenen Benutzer bzw. Computer erzwungen. In der Regel deaktiviert<br />
jedes gruppenrichtlinienfähige Anwendungs- oder Betriebssystemfeature die Benutzeroberfläche<br />
so, dass Benutzer am Ändern der verwalteten Einstellungen gehindert werden. Diese<br />
Erzwingung wird in regelmäßigen Abständen aktualisiert. Wenn Sie hingegen eine Einstellung in<br />
Gruppenrichtlinieneinstellung konfigurieren, wird die Konfiguration nicht streng erzwungen,<br />
sodass Benutzer ihren Anforderungen entsprechend Änderungen vornehmen können. Sie können<br />
Einstellungen so konfigurieren, dass sie einmal angewendet oder während des standardmäßigen<br />
Aktualisierungsintervalls des Features Gruppenrichtlinie erneut angewendet werden.<br />
• Zielgruppenadressierung Eine der Einschränkungen von Gruppenrichtlinieneinstellungen besteht<br />
darin, dass Sie in einem Gruppenrichtlinienobjekt einzelne Einstellungen nicht filtern können. Die<br />
einzige Möglichkeit ist das Erstellen spezifischer Gruppenrichtlinienobjekte pro Richtlinieneinstellung<br />
und anschließende Anwenden des Gruppenrichtlinienobjekts über die WMI- (Windows<br />
Management Instrumentation) oder Sicherheitsgruppenfilterung. Das Feature Einstellungen bietet<br />
jedoch die Möglichkeit, die Zielgruppe auf Elementebene zu bestimmen. Angenommen, Sie<br />
haben eine Einstellung, über die Laufwerkzuordnungen zwei getrennten Abteilungen zugewiesen<br />
werden sollen. Sie können in einem einzelnen Gruppenrichtlinienobjekt eine Einstellung für die<br />
eine Abteilung und eine zweite Einstellung für die zweite Abteilung konfigurieren.
Übersicht über Gruppenrichtlinieneinstellungen 497<br />
Tabelle 12.10 zeigt eine Übersicht der Unterschiede zwischen Richtlinieneinstellungen und der<br />
Funktion Einstellungen.<br />
Tabelle 12.10<br />
Vergleich zwischen Richtlinieneinstellungen und der Funktion Einstellungen<br />
Funktionalität Richtlinieneinstellungen Einstellungen<br />
Erzwingung<br />
• Einstellungen werden erzwungen<br />
• Die Benutzeroberfläche wird deaktiviert<br />
• Einstellungen werden aktualisiert<br />
• Erfordert gruppenrichtlinienfähige<br />
Features und Anwendungen<br />
• Einstellungen werden nicht erzwungen<br />
• Die Benutzeroberfläche wird nicht<br />
deaktiviert<br />
• Kann so konfiguriert werden, dass die<br />
Einstellungen nur einmal angewendet<br />
oder in regelmäßigen Abständen aktualisiert<br />
werden<br />
• Erfordert keine gruppenrichtlinienfähigen<br />
Features und Anwendungen<br />
Unterstützung lokaler Gruppenrichtlinienobjekte<br />
Zielgruppenadressierung und<br />
Filterung<br />
Lokale Gruppenrichtlinien werden unterstützt<br />
Unterstützt die Filterung nur auf Gruppenrichtlinienobjekt-Ebene<br />
(über WMIoder<br />
Sicherheitsgruppenfilterung)<br />
Gruppenrichtlinieneinstellungen in Einstellungen<br />
Lokale Gruppenrichtlinien werden nicht<br />
unterstützt<br />
Unterstützt die Zielgruppenadressierung<br />
auf Elementebene<br />
Gruppenrichtlinieneinstellungen stellen Windows- und Systemsteuerungseinstellungen bereit.<br />
Windows-Einstellungen bestehen aus vielen Optionen, die zuvor mithilfe von Skripts konfiguriert<br />
wurden, z.B. Laufwerkzuordnungen, Registrierungseinstellungen und Umgebungsvariablen. Systemsteuerungseinstellungen<br />
sind Optionen, die normalerweise in der Systemsteuerung eines Windows-<br />
Computers konfiguriert werden, z.B. Ordner- und Energieverwaltungsoptionen, lokale Benutzer und<br />
Gruppen sowie Einstellungen im Menü Start.<br />
Windows-Einstellungen<br />
In Tabelle 12.11 und Abbildung 12.23 finden Sie eine Beschreibung und Darstellung der unter Windows-Einstellungen<br />
verfügbaren Einstellungen.<br />
Tabelle 12.11<br />
Einstellung<br />
Umgebung<br />
Dateien<br />
Ordner<br />
Für Windows-Einstellungen verfügbare Einstellungen<br />
Beschreibung<br />
Dient zum Erstellen von Benutzer- oder Systemumgebungsvariablen sowie zum<br />
Ändern oder Ersetzen vorhandener Umgebungsvariablen.<br />
Dient zum Kopieren von Dateien an einen neuen Speicherort und Konfigurieren<br />
von Attributen. Sie können auch vorhandene Dateien und Dateiattribute ändern<br />
oder löschen.<br />
Dient zum Erstellen, Ändern oder Löschen von Ordnern und Ordnerattributen. Sie<br />
können diese Einstellung so konfigurieren, dass alle Dateien in einem bestimmten<br />
Ordner gelöscht werden, ohne den Ordner zu löschen (nützlich für das Verwalten<br />
des Ordners mit den temporären Dateien).
498 Kapitel 12: Einsetzen von Gruppenrichtlinien zum Verwalten von Benutzerdesktops<br />
Tabelle 12.11<br />
Für Windows-Einstellungen verfügbare Einstellungen (Fortsetzung)<br />
Einstellung<br />
INI-Dateien<br />
Registrierung<br />
Netzwerkfreigaben (nur unter Computerkonfiguration)<br />
Verknüpfungen<br />
Anwendungen (nur unter Benutzerkonfiguration)<br />
Laufwerkzuordnungen (nur unter Benutzerkonfiguration)<br />
Beschreibung<br />
Dient zum Hinzufügen, Ersetzen oder Löschen von Abschnitten oder Eigenschaften<br />
in bestimmten INI- oder INF-Dateien. Über diese Einstellung können Sie<br />
auch eine gesamte INI- oder INF-Datei löschen.<br />
Diese Einstellung dient zum Kopieren, Erstellen, Ersetzen oder Löschen von Registrierungsschlüsseln<br />
oder -werten.<br />
Diese Einstellung dient zum Erstellen, Ändern oder Angeben von Einstellungen<br />
wie Benutzerbegrenzungen, zugriffsbasierte Aufzählung und Kommentare für<br />
Netzwerkfreigaben.<br />
Dient zum Erstellen, Ändern oder Löschen von Verknüpfungen auf dem Computer<br />
eines Benutzers. Verknüpfungen können herkömmliche Verknüpfungen, URLs<br />
oder Verknüpfungen zu Shellobjekten wie der Systemsteuerung enthalten.<br />
Ermöglich die Konfiguration von Einstellungen für Anwendungen. Diese Einstellung<br />
erfordert ein vom Anwendungshersteller bereitgestelltes oder Ihrem Softwareentwickler<br />
entwickeltes Anwendungs-Plug-In.<br />
Ermöglicht das Erstellen, Ändern oder Löschen von Laufwerkzuordnungen.<br />
Abbildung 12.23<br />
Anzeigen von Einstellungen unter Windows-Einstellungen
Übersicht über Gruppenrichtlinieneinstellungen 499<br />
Systemsteuerungseinstellungen<br />
Tabelle 12.12 und Abbildung 12.24 zeigen die unter Systemsteuerungseinstellungen verfügbaren Einstellungen.<br />
Tabelle 12.12<br />
Für Systemsteuerungseinstellungen verfügbare Einstellungen<br />
Einstellung<br />
Datenquellen<br />
Geräte<br />
Ordneroptionen<br />
Interneteinstellungen (nur Benutzerkonfiguration)<br />
Lokale Benutzer und Gruppen<br />
Netzwerkoptionen<br />
Energieoptionen<br />
Drucker<br />
Regionale Einstellungen (nur Benutzerkonfiguration)<br />
Geplante Aufgaben<br />
Startmenü (nur Benutzerkonfiguration)<br />
Dienste (nur Computerkonfiguration)<br />
Beschreibung<br />
Ermöglicht die zentrale Konfiguration von ODBC-Datenquellennamen (Open<br />
Database Connectivity) für Benutzer oder Computer.<br />
Ermöglicht das Aktivieren bzw. Deaktivieren bestimmter Typen von Hardwaregeräten,<br />
z.B. USB-Ports oder Diskettenlaufwerke.<br />
Ermöglicht die Konfiguration verschiedener Windows Explorer-Einstellungen,<br />
z.B. Dateiverknüpfungen und Ordneransichtsoptionen.<br />
Dient zum Konfigurieren von Ausgangseinstellungen für Internet Explorer.<br />
Ermöglicht die zentrale Verwaltung lokaler Benutzer sowie von Mitgliedern<br />
lokaler Gruppen auf Domänenmitgliedscomputern.<br />
Dient zum Konfigurieren von VPN- und DFÜ-Netzwerkverbindungseinstellungen.<br />
Dient zum Konfigurieren von Windows Server 2003- und Windows XP-Energieverwaltungseinstellungen.<br />
Dient zum Erstellen, Konfigurieren und Löschen von lokalen, freigegebenen<br />
und Netzwerkdruckern.<br />
Ermöglicht die Konfiguration regionaler Einstellungen für Anwendungen, z.B.<br />
Zahlen-, Währungs-, Datums- und Uhrzeitformate.<br />
Ermöglicht das Erstellen, Ändern oder Löschen einer geplanten Aufgabe. Sie<br />
können auch angeben, dass beim nächsten Aktualisierungsintervall von<br />
Gruppenrichtlinien oder bei jedem Aktualisierungszyklus ein Befehl ausgeführt<br />
werden soll.<br />
Dient zum Konfigurieren von Startmenüeinstellungen für Windows XP- und<br />
Windows Vista-Computer.<br />
Dient zum Konfigurieren und Verwalten von Diensten, die auf dem Computer<br />
verfügbar sind.
500 Kapitel 12: Einsetzen von Gruppenrichtlinien zum Verwalten von Benutzerdesktops<br />
Abbildung 12.24<br />
Anzeigen von Einstellungen unter Systemsteuerungseinstellungen<br />
Optionen für das Feature Gruppenrichtlinieneinstellungen<br />
Viele der Objekte in Gruppenrichtlinieneinstellungen enthalten allgemeine Aktionen und Optionen<br />
zur Verarbeitung des jeweiligen Einstellungselements. Sie können beispielsweise Einstellungselemente<br />
erstellen, die bei Verarbeitung während des Aktualisierungszyklus von Gruppenrichtlinieneinstellungen<br />
eine der folgenden Aktionen ausführen:<br />
• Erstellen Ein neues Element bzw. eine neue Einstellung wird erstellt und angewendet.<br />
• Ersetzen Ein vorhandenes Element wird entfernt und durch das konfigurierte Einstellungselement<br />
ersetzt.<br />
• Aktualisieren Ein vorhandenes Einstellungselement wird geändert bzw. erstellt, falls es nicht vorhanden<br />
ist.<br />
• Löschen Ein vorhandenes Element bzw. eine vorhandene Einstellung wird entfernt.<br />
Jedes Einstellungselement weist auch die Registerkarte Gemeinsam auf, die verschiedene Optionen<br />
für die Verarbeitung enthält (siehe Abbildung 12.25).
Übersicht über Gruppenrichtlinieneinstellungen 501<br />
Abbildung 12.25<br />
Anzeigen der Einstellungen auf der Registerkarte Gemeinsam<br />
Tabelle 12.13 beschreibt die Optionen auf der Registerkarte Gemeinsam, die es für jedes Einstellungselement<br />
gibt.<br />
Tabelle 12.13<br />
Gemeinsame Optionen für Gruppenrichtlinieneinstellungen<br />
Option<br />
Elementverarbeitung in dieser Erweiterung<br />
bei Fehler stoppen<br />
Im Sicherheitskontext des angemeldeten Benutzers<br />
ausführen (Benutzerrichtlinienoption)<br />
Element entfernen, wenn es nicht mehr angewendet<br />
wird<br />
Nur einmalig anwenden<br />
Beschreibung<br />
Diese Option beendet die Verarbeitung dieser bestimmten Erweiterung, wenn<br />
ein Fehler im Gruppenrichtlinienobjekt selbst auftritt. Wenn eine bestimmte<br />
Erweiterung nicht verarbeitet werden kann, werden alle anderen Erweiterungen<br />
standardmäßig der Konfiguration entsprechend weiter verarbeitet.<br />
Das lokale Konto System wird standardmäßig als Sicherheitskontext für die<br />
Verarbeitung von Gruppenrichtlinienobjekten verwendet. Wenn Sie Zugriff auf<br />
Umgebungsvariablen und Netzwerkressourcen benötigen, müssen Sie diese<br />
Option für die Ausführung im Sicherheitskontext des angemeldeten Benutzers<br />
aktivieren.<br />
Einstellungen werden standardmäßig nicht entfernt, wenn ein Gruppenrichtlinienobjekt<br />
nicht mehr für den Benutzer oder Computer gilt. Bei Wahl dieser<br />
Option ändert sich dieses Verhalten.<br />
Gruppenrichtlinieneinstellungen werden standardmäßig alle 90 Minuten aktualisiert.<br />
Demzufolge werden sämtliche Richtlinieneinstellungen bzw. Einstellungen<br />
während des Aktualisierungszyklus erneut angewendet. Bei Wahl<br />
dieser Option wird das Einstellungselement nur während des ersten Richtlinienaktualisierungszyklus<br />
und anschließend nicht noch einmal angewendet.<br />
Dadurch können die Endbenutzer die Einstellungen ihren Vorstellungen entsprechend<br />
ändern.
502 Kapitel 12: Einsetzen von Gruppenrichtlinien zum Verwalten von Benutzerdesktops<br />
Tabelle 12.13<br />
Gemeinsame Optionen für Gruppenrichtlinieneinstellungen (Fortsetzung)<br />
Option<br />
Zielgruppenadressierung auf Elementebene<br />
Beschreibung<br />
Die Zielgruppenadressierung auf Elementebene ermöglicht das Erstellen von<br />
Filtern basierend auf verschiedenen Attributen wie Benutzername, Speicherplatz<br />
und Betriebssystem. Abbildung 12.26 zeigt ein Beispiel eines Ziels für<br />
alle Computer mit mindestens 80 GB freiem Speicherplatz auf Laufwerk C.<br />
Abbildung 12.26<br />
Konfigurieren der Zielgruppenadressierung auf Elementebene<br />
Hinweis Sie können die clientseitige Erweiterung Gruppenrichtlinieneinstellungen auf allen Computern<br />
bereitstellen, auf denen Sie diese Einstellungen nutzen möchten. Die clientseitige Erweiterung ist in Windows<br />
Server 2008 bereits enthalten, muss aber für Microsoft Windows XP mit SP2, Windows Vista und<br />
Windows Server 2003 mit SP1 getrennt heruntergeladen werden.<br />
Hinweis In vielen Feldern in Gruppenrichtlinieneinstellungen können Umgebungsvariablen angegeben<br />
werden. Sie können eine Liste verfügbarer Variablen anzeigen, indem Sie den Cursor in einem Feld platzieren<br />
und F3 drücken. Das in Abbildung 12.27 gezeigte Dialogfeld Variable auswählen wird geöffnet.
Zusammenfassung 503<br />
Abbildung 12.27<br />
Auswählen vom System definierter Variablen<br />
Zusammenfassung<br />
Windows Server 2008 bietet zahlreiche aktualisierte und verbesserte Features für die Verwaltung von<br />
Benutzerdesktops. Mithilfe von Gruppenrichtlinien können Benutzerdaten und Profile so verwaltet<br />
werden, dass den Benutzern bei zentraler Verwaltung eine vertraute Arbeitsumgebung zur Verfügung<br />
gestellt wird. Gruppenrichtlinien sind außerdem leistungsstarke Instrumente für die Bereitstellung und<br />
Verwaltung von Software auf Arbeitsstationen. Mithilfe der Gruppenrichtlinien- und Windows Installer-Technologie<br />
können Sie Software auf Arbeitsstationen bereitstellen und diese Software anschließend<br />
in ihrem gesamten Lebenszyklus verwalten. Gruppenrichtlinieneinstellungen bieten eine einfache<br />
Möglichkeit zum Konfigurieren von Betriebssystem- und Anwendungseinstellungen, die zuvor<br />
mithilfe von Anmeldeskripts angewendet werden mussten. Dieses Kapitel bot einen Überblick darüber,<br />
wie Sie diese Optionen zur Verwaltung von Benutzerdesktops implementieren können.
504 Kapitel 12: Einsetzen von Gruppenrichtlinien zum Verwalten von Benutzerdesktops<br />
Zusätzliche Ressourcen<br />
Die folgenden Ressourcen enthalten zusätzliche Informationen und Tools im Zusammenhang mit diesem<br />
Kapitel.<br />
Verwandte Informationen<br />
• Kapitel 11, „Einführung in Gruppenrichtlinien“, bietet Einzelheiten zur Architektur und Konfiguration<br />
von Gruppenrichtlinienobjekten.<br />
• „Managing Group Policy ADMX Files Step-by-Step Guide“ (englischsprachig) unter<br />
http://go.microsoft.com/fwlink/?LinkId=75124<br />
• „Group Policy Preferences Overview“ (englischsprachig) unter http://www.microsoft.com/downloads/details.aspx?familyid=42E30E3F-6F01-4610-9D6E-F6E0FB7A0790&displaylang=en<br />
• „Group Policy Wiki“ (englischsprachig) unter http://grouppolicy.editme.com/<br />
• „Group Policy Team Blog“ (englischsprachig) unter http://blogs.technet.com/GroupPolicy/<br />
• „Deploying a Managed Software Environment“ (englischsprachig) unter http://technet2.microsoft.com/windowsserver/en/library/3ddda5bf-cf67-4408-b68c-7e1fcb5e47ee1033.mspx?mfr=true<br />
• „Use Group Policy Software Installation to Deploy the 2007 Office System“ (englischsprachig)<br />
unter http://technet2.microsoft.com/Office/en-us/library/efd0ee45-9605-42d3-9798-<br />
3b698fff3e081033.mspx?mfr=true<br />
• „Managing Roaming User Data Deployment Guide“ (englischsprachig) unter http://www.micro-<br />
soft.com/downloads/details.aspx?\1displaylang=en&familyid=311f4be8-9983-4ab0-9685-<br />
f1bfec1e7d62&displaylang=en<br />
• „Windows Server Group Policy“ (englischsprachig) unter http://technet.microsoft.com/en-us/<br />
windowsserver/grouppolicy/default.aspx<br />
• „ADMX Migrator“ (englischsprachig) unter http://www.microsoft.com/downloads/<br />
details.aspx?FamilyId=0F1EEC3D-10C4-4B5F-9625-97C2F731090C&displaylang=en<br />
Auf der Begleit-CD<br />
• LonghornGPSettings.xls: Enthält alle Gruppenrichtlinieneinstellungen, die seit Windows Server<br />
2008 Beta 3 zur Verfügung stehen.
505<br />
K A P I T E L 1 3<br />
Einsetzen von Gruppenrichtlinien zum<br />
Verwalten der Sicherheit<br />
Inhalt dieses Kapitels:<br />
Konfigurieren der Domänensicherheit mit Gruppenrichtlinien . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 505<br />
Verstärken der Serversicherheit mithilfe von Gruppenrichtlinien . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 522<br />
Konfigurieren der Netzwerksicherheit mit Gruppenrichtlinien . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 528<br />
Konfigurieren von Sicherheitseinstellungen anhand von Sicherheitsvorlagen. . . . . . . . . . . . . . . . . . . . . . . . 534<br />
Zusammenfassung. . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 539<br />
Zusätzliche Ressourcen. . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 539<br />
Eine der wichtigsten Verwaltungsaufgaben in der Desktop- und Serververwaltung ist das Konfigurieren<br />
sowie Gewährleisten der Sicherheit. Die Gewährleistung einer konsistenten Sicherheitskonfiguration<br />
für Tausende von Computern innerhalb einer Organisation ist ohne eine Form der zentralen Verwaltung<br />
nahezu unmöglich. Mithilfe der Gruppenrichtlinien kann diese zentrale Verwaltung zum<br />
Schützen der Einstellungen auf Domänenebene, serverbasierter Sicherheitseinstellungen und Netzwerkkommunikations-Sicherheitseinstellungen<br />
eingerichtet werden.<br />
In diesem Kapitel erfahren Sie, wie Sie die Gruppenrichtlinien zum Konfigurieren und Bereitstellen<br />
domänenbasierter Sicherheitseinstellungen wie etwa Konto- und Kennwortrichtlinien einsetzen können.<br />
Zunächst werden die Standarddomänenrichtlinie sowie die Standardrichtlinie für Domänencontroller<br />
beschrieben. Anschließend wird erörtert, wie Sicherheit und Verwaltbarkeit mithilfe fein<br />
abgestimmter Kennwortrichtlinien gesteigert werden. Darüber hinaus werden in diesem Kapitel<br />
zusätzliche Sicherheitsszenarien auf Gruppenrichtlinienbasis beschrieben, z.B. das Sichern von verkabelten<br />
und drahtlosen Netzwerken sowie das Konfigurieren von Windows-Firewall und IPsec-Sicherheitsfunktionen.<br />
Schließlich liefert dieses Kapitel Informationen zum Konfigurieren und Bereitstellen<br />
von Sicherheitsvorlagen zur Unterstützung der Verwaltung von Sicherheitseinstellungen in der<br />
gesamten Netzwerkumgebung.<br />
Konfigurieren der Domänensicherheit mit Gruppenrichtlinien<br />
Während der Installation der <strong>Active</strong> <strong>Directory</strong>-Domänendienste werden zwei standardmäßige Gruppenrichtlinienobjekte<br />
(Group Policy Objects, GPOs) zum Bereitstellen der anfänglichen Sicherheitskonfigurationen<br />
für die Domäne und die Domänencontroller in der Umgebung erstellt. In den nächsten<br />
beiden Abschnitten werden die innerhalb dieser Gruppenrichtlinienobjekte konfigurierten<br />
Sicherheitseinstellungen beschrieben.
506 Kapitel 13: Einsetzen von Gruppenrichtlinien zum Verwalten der Sicherheit<br />
Übersicht über die Standarddomänenrichtlinie<br />
Das GPO Default Domain Policy liefert die anfänglichen Sicherheitseinstellungen für die gesamte<br />
Domäne. Diese anfänglichen Sicherheitseinstellungen beziehen sich speziell auf die Knoten Kontorichtlinien<br />
und Lokale Richtlinien unter Computerkonfiguration\Richtlinien\Windows-Einstellungen\<br />
Sicherheitseinstellungen. Abbildung 13.1 zeigt die in diesen beiden Knoten enthaltenen Einstellungen<br />
an.<br />
Abbildung 13.1<br />
Anzeigen der Knoten Kontorichtlinien und Lokale Richtlinien<br />
Kontorichtlinien<br />
Der Abschnitt Kontorichtlinien umfasst drei Kategorien: Kennwortrichtlinie, Kontosperrungsrichtlinie<br />
und Kerberos-Richtlinie. Mit Ausnahme der Kerberos-Richtlinie gelten diese Richtlinien für alle<br />
Benutzer in der Domäne, unabhängig davon, an welchem Arbeitsstationstyp sich die Benutzer anmelden.<br />
Die Kerberos-Richtlinieneinstellungen gelten nur für Computer in der Domäne, auf denen<br />
Windows 2000, Windows XP Professional, Windows Server 2003/2008 sowie Business- und Enterprise-Versionen<br />
von Windows Vista ausgeführt werden.<br />
Kennwortrichtlinie<br />
Die Konfigurationsoptionen für die Kennwortrichtlinie enthalten in der gesamten Domäne gültige<br />
Einstellungen für Kennwortchronik, Alter, Länge und Komplexität der Kennwörter. In Tabelle 13.1<br />
wird jede Einstellung beschrieben.<br />
Tabelle 13.1<br />
Kennwortrichtlinie<br />
Konfigurationseinstellung Beschreibung Standardwert<br />
Kennwortchronik erzwingen Definiert die Anzahl neuer Kennwörter, die eindeutig<br />
sein müssen, bevor ein Benutzer ein altes<br />
Kennwort wiederverwenden kann.<br />
Mögliche Werte: 0 bis 24<br />
24 gespeicherte Kennwörter für<br />
Domänencontroller und Computer von<br />
Mitgliedern der Domäne; 0 für eigenständige<br />
Server.<br />
Maximales Kennwortalter Legt fest, wie viel Tage ein Kennwort verwendet<br />
werden kann, bevor der Benutzer es ändern<br />
muss. Um Kennwörter zu konfigurieren, die nie<br />
ablaufen, setzen Sie die Anzahl der Tage auf 0.<br />
Mögliche Werte: 0 bis 999<br />
42 Tage
Konfigurieren der Domänensicherheit mit Gruppenrichtlinien 507<br />
Tabelle 13.1<br />
Kennwortrichtlinie (Fortsetzung)<br />
Konfigurationseinstellung Beschreibung Standardwert<br />
Minimales Kennwortalter<br />
Minimale Kennwortlänge<br />
Kennwörter müssen den<br />
Komplexitätsanforderungen<br />
entsprechen<br />
Kennwort mit umkehrbarer<br />
Verschlüsselung speichern<br />
Legt fest, wie viel Tage ein Kennwort verwendet<br />
werden muss, bevor ein Benutzer es ändern<br />
kann. Um sofortige Änderungen zu ermöglichen,<br />
legen Sie den Wert 0 fest.<br />
Mögliche Werte: 0 bis 998<br />
Definiert die minimale Zeichenanzahl für Kennwörter.<br />
Ist kein Kennwort erforderlich, setzen Sie<br />
den Wert auf 0.<br />
Mögliche Werte: 0 bis 14<br />
Steigert die Kennwortkomplexität, indem erzwungen<br />
wird, dass Kennwörter keinen Teil des Benutzerkontennamens<br />
oder Teile des vollständigen<br />
Benutzernamens enthalten, die aus mehr als zwei<br />
aufeinander folgenden Zeichen bestehen; Kennwörter<br />
mindestens 6 Zeichen lang sind und Zeichen<br />
aus drei der vier folgenden Kategorien<br />
enthalten:<br />
Großbuchstaben (A-Z)<br />
Kleinbuchstaben (a-z)<br />
Ziffern zur Basis 10 (0-9)<br />
Sonderzeichen (z.B.: !, $, #, %)<br />
Die Anforderungen werden beim Erstellen oder<br />
Ändern von Kennwörtern erzwungen.<br />
Die Verwendung dieser Einstellung entspricht<br />
dem Speichern von Kennwörtern in Klartext.<br />
Diese Richtlinie unterstützt Anwendungen mit<br />
Verwendung von Protokollen, die zur Authentifizierung<br />
Zugriff auf Benutzerkennwörter erfordern.<br />
Diese Einstellung wird in der Regel bei der Implementierung<br />
von CHAP (Challenge-Handshake<br />
Authentication Protocol) mittels Remotezugriff<br />
oder Internetauthentifizierungsdiensten verwendet<br />
und ist ebenfalls erforderlich, wenn Sie in<br />
den Internetinformationsdiensten (Internet<br />
Information Services, IIS) die Digestauthentifizierung<br />
verwenden.<br />
1 Tag für Domänencontroller und Mitgliedscomputern<br />
der Domäne; 0 für<br />
eigenständige Server.<br />
7 Zeichen für Domänencontroller und<br />
Mitgliedscomputer der Domäne; 0 für<br />
eigenständige Server.<br />
Für Domänencontroller und Mitgliedscomputer<br />
der Domäne; für eigenständige<br />
Server deaktiviert.<br />
Deaktiviert<br />
Direkt von der Quelle: Verwenden benutzerdefinierter Kennwortfilter<br />
Sie können benutzerdefinierte Kennwortfilter verwenden, um zu definieren, was ein komplexes<br />
Kennwort ausmacht. Sie können z.B. verhindern, dass bestimmte Schlüsselwörter (etwa Name<br />
oder Standort eines Unternehmens) in Kennwörter einbezogen werden. Sie können ferner den<br />
Komplexitätsgrad zur Definition eines komplexen Kennworts steigern oder senken.
508 Kapitel 13: Einsetzen von Gruppenrichtlinien zum Verwalten der Sicherheit<br />
Diese Kennwortfilter sind mit den in Windows Server 2008 neu eingeführten fein abgestimmten<br />
Kennwortrichtlinien einsetzbar. Das Plattform-SDK umfasst eine Beispiel-DLL für benutzerdefinierte<br />
Kennwörter. Weitere Informationen (in englischer Sprache) finden Sie im Artikel unter http:/<br />
/msdn2.microsoft.com/en-us/library/ms721884.aspx.<br />
Gautam Anand<br />
Technical Lead – <strong>Directory</strong> Services<br />
Premier Enterprise Platforms Support<br />
Kontosperrungsrichtlinien Die Konfigurationsoptionen der Kontosperrungsrichtlinien enthalten Einstellungen<br />
für die Kennwortsperrdauer und den Schwellenwert sowie für das Zurücksetzen des Kontosperrungszählers.<br />
In Tabelle 13.2 wird jede Einstellung beschrieben.<br />
Tabelle 13.2<br />
Kontosperrungsrichtlinien<br />
Konfigurationseinstellung Beschreibung Standardwert<br />
Kontosperrdauer<br />
Legt fest, für wie viel Minuten ein gesperrtes<br />
Konto gesperrt bleibt. Nach Ablauf der festgelegten<br />
Anzahl an Minuten wird das Konto automatisch<br />
entsperrt. Um festzulegen, dass ein<br />
Nicht definiert<br />
Legen Sie als Wert 30 Minuten fest,<br />
falls Kontensperrungsschwelle auf 1<br />
oder höher gesetzt ist.<br />
Administrator das Konto entsperren muss, setzen<br />
Sie den Wert auf 0. Jeder Wert ungleich Null<br />
muss mindestens so groß sein wie der Wert für<br />
Kontosperrungszähler zurücksetzen nach.<br />
Mögliche Werte: 0 bis 99.999<br />
Kontensperrungsschwelle Legt die Anzahl zulässiger fehlgeschlagener<br />
Anmeldeversuche vor dem Sperren eines Benutzerkontos<br />
fest. Der Wert 0 bedeutet, dass das<br />
Konto nie gesperrt wird.<br />
Mögliche Werte: 0 bis 999<br />
0 ungültige Anmeldeversuche<br />
Kontosperrungszähler zurücksetzen<br />
nach<br />
Legt fest, wie viel Minuten nach einem fehlgeschlagenen<br />
Anmeldeversuch verstreichen<br />
müssen, bevor der Zähler für ungültige Anmeldeversuche<br />
auf 0 zurückgesetzt wird. Jeder Wert<br />
ungleich Null darf höchstens so groß sein wie<br />
der Wert für Kontosperrdauer.<br />
Mögliche Werte: 1 bis 99.999<br />
Nicht definiert<br />
Legen Sie als Wert 30 Minuten fest,<br />
falls Kontensperrungsschwelle auf 1<br />
oder höher gesetzt ist.<br />
Kerberos-Richtlinie Die Konfigurationsoptionen für die Kerberos-Richtlinie enthalten Einstellungen<br />
für das Kerberos-TGT (Ticket-Granting Ticket) sowie die Gültigkeitsdauer von Sitzungstickets und<br />
Zeitstempeleinstellungen. In Tabelle 13.3 wird jede Einstellung beschrieben.<br />
Tabelle 13.3<br />
Kerberos-Richtlinien<br />
Konfigurationseinstellung Beschreibung Standardwert<br />
Benutzeranmeldeeinschränkungen<br />
erzwingen<br />
Weist das Schlüsselverteilungscenter (Key Distribution<br />
Center, KDC) zum Überprüfen jeder Anforderung eines<br />
Sitzungsticket anhand der Richtlinie Benutzerrechte des<br />
Zielcomputers an.<br />
Aktiviert
Konfigurieren der Domänensicherheit mit Gruppenrichtlinien 509<br />
Tabelle 13.3<br />
Kerberos-Richtlinien (Fortsetzung)<br />
Konfigurationseinstellung Beschreibung Standardwert<br />
600 Minuten (10 Stunden)<br />
Maximale Gültigkeitsdauer des<br />
Diensttickets<br />
Max. Gültigkeitsdauer des<br />
Benutzertickets<br />
Max. Zeitraum, in dem ein<br />
Benutzerticket erneuert werden<br />
kann<br />
Max. Toleranz für die Synchronisation<br />
des Computertakts<br />
Legt fest, wie viel Minuten lang ein Dienstticket maximal<br />
für den Zugriff auf eine Ressource gültig ist. Mögliche<br />
Werte: mehr als 10 Minuten bis zu einem Wert, der (in Minuten)<br />
höchstens der Einstellung Maximale Gültigkeitsdauer<br />
des Benutzertickets entspricht, jedoch 99.999 nicht<br />
übersteigt. Die Festlegung des Wertes 0 hat zur Folge,<br />
dass das Ticket niemals abläuft, der Wert für Maximale<br />
Gültigkeitsdauer des Benutzertickets auf 1 und Max. Zeitraum,<br />
in dem ein Benutzerticket erneuert werden kann auf<br />
23 gesetzt wird.<br />
Legt den maximalen Zeitraum für die Nutzung eines TGT<br />
in Stunden fest. Nach Ablauf muss die Arbeitsstation ein<br />
neues TGT abrufen.<br />
Mögliche Werte: 0 bis 99.999<br />
Der Wert 0 gibt an, dass das Ticket nicht abläuft, und<br />
setzt Max. Zeitraum, in dem ein Benutzerticket erneuert<br />
werden kann auf Nicht definiert.<br />
Legt den maximalen Zeitraum für die Erneuerung des<br />
TGT eines Benutzers in Tagen fest. Während dieses Zeitraums<br />
kann ein TGT erneuert werden, sodass kein neues<br />
Ticket erforderlich ist. Der Wert 0 gibt an, dass die Ticketerneuerung<br />
deaktiviert ist.<br />
Legt in Minuten fest, welchen Zeitunterschied Kerberos<br />
zwischen der Uhr des Clientcomputers und der Uhr des<br />
Domänencontrollers toleriert. Beachten Sie, dass diese<br />
Einstellung bei jedem Neustart des Computers auf den<br />
Standardwert zurückgesetzt wird.<br />
10 Stunden<br />
7 Tage<br />
5 Minuten<br />
Kontorichtlinien, die im GPO Default Domain Policy konfiguriert werden, betreffen alle Benutzer<br />
und Computer in der Domäne. Es ist möglich, ein mit Kontorichtlinieneinstellungen konfiguriertes<br />
benutzerdefiniertes GPO zu erstellen und mit einer Organisationseinheit (Organization Unit, OU) zu<br />
verknüpfen; die konfigurierten Einstellungen wirken sich jedoch nicht auf Benutzer aus, die sich an<br />
der Domäne anmelden. Falls Sie die Kontorichtlinieneinstellungen in einem spezifischen GPO konfigurieren<br />
und dieses mit einer OU verknüpfen, werden die Einstellungen nur auf die lokale Sicherheitsdatenbank<br />
für die Computer in der OU angewendet. Bei einer Konfiguration auf OU-Ebene werden<br />
Kontorichtlinieneinstellungen nur angewendet, wenn ein Benutzer sich lokal an einem Computer<br />
anmeldet. Meldet sich ein Benutzer an einer Domäne an, setzt das GPO Default Domain Policy stets<br />
die lokalen Richtlinieneinstellungen außer Kraft.<br />
Lokale Richtlinien<br />
Der Abschnitt Lokale Richtlinien steuert die lokalen Sicherheitseinstellungen für Computer, die sich<br />
innerhalb des GPOs befinden. Dazu zählen die folgenden Sicherheitseinstellungen:<br />
• Überwachungsrichtlinie Dieser Knoten wird zum Konfigurieren von Überwachungseinstellungen<br />
verwendet. Sie können Überwachungsrichtlinien für Optionen wie Kontenverwaltungsaktivitäten,<br />
Anmeldeereignisse, Richtlinienänderungen, Rechteverwendung und Systemereignisse festlegen.
510 Kapitel 13: Einsetzen von Gruppenrichtlinien zum Verwalten der Sicherheit<br />
• Zuweisen von Benutzerrechten Dieser Knoten wird zum Konfigurieren der Rechte verwendet, die<br />
Benutzer auf von dieser Richtlinie betroffenen Computern haben. Sie können zahlreiche Einstellungen<br />
vornehmen, z.B. können Sie festlegen, welche Benutzer Aktionen wie lokale Anmeldung,<br />
Netzwerkzugriff auf den Computer, Sichern von Dateien und Ordnern, Anmeldung als Dienst<br />
usw. durchführen können.<br />
• Sicherheitsoptionen Dieser Knoten wird zum Konfigurieren der Sicherheitsoptionen für von dieser<br />
Richtlinie betroffene Computer verwendet. Sie können Optionen wie die Umbenennung der<br />
lokalen Administrator- oder Gastkonten, die Verwaltung der zum Installieren von Druckertreibern<br />
berechtigten Benutzer, die Steuerung der Genehmigung zum Installieren nicht signierter Treiber<br />
sowie die Art und Weise der Verwaltung der Benutzerkontensteuerung auf Computern konfigurieren.<br />
Die Standarddomänenrichtlinie enthält nur einen kleinen Teilsatz der im Knoten Lokale Richtlinien<br />
definierten Einstellungen. Diese Standardeinstellungen befinden sich im Knoten Computerkonfiguration\Richtlinien\Windows-Einstellungen\Sicherheitseinstellungen\Lokale<br />
Richtlinien\Sicherheitsoptionen<br />
und umfassen die folgenden Einstellungen:<br />
• Netzwerkzugriff: Anonyme SID-/Namensübersetzung zulassen Diese Einstellung ist standardmäßig<br />
definiert und deaktiviert. Ist diese Richtlinie aktiviert, kann ein anonymer Benutzer SID-Informationen<br />
über einen anderen Benutzer anfordern und dann die Sicherheitskennung (Security<br />
Identifier, SID) dazu verwenden, den Namen des Benutzers zu ermitteln. Dies kann zu einem<br />
Sicherheitsproblem werden und dazu führen, dass Informationen zu Verwaltungskonten offengelegt<br />
werden.<br />
• Netzwerksicherheit: Keine LAN Manager-Hashwerte für nächste Kennwortänderung speichern Diese<br />
Einstellung ist standardmäßig definiert und aktiviert. Diese Einstellung ist aktiviert, um die<br />
Sicherheit zu steigern und zu verhindern, dass der LM-Hash zum Speichern von Kennwortinformationen<br />
verwendet wird. Beachten Sie, dass diese Einstellung die Fähigkeit zur Kommunikation<br />
mit Windows 95- und Windows 98-Computern beeinträchtigen kann.<br />
• Netzwerksicherheit: Abmeldung nach Ablauf der Anmeldezeit erzwingen Diese Einstellung ist standardmäßig<br />
definiert und deaktiviert. Mit dieser Einstellung werden Benutzer getrennt, die nach<br />
Ablauf ihrer gültigen Anmeldezeiten mit dem lokalen Computer verbunden sind. Ist die Richtlinie<br />
(wie standardmäßig) deaktiviert, kann eine eingerichtete Clientsitzung nach Ablauf der<br />
Anmeldezeiten aufrechterhalten werden.<br />
Denken Sie daran, dass auf Domänenebene konfigurierte Einstellungen alle Computer in der Domäne<br />
betreffen. Die meisten Organisationen benötigen unterschiedliche Überwachungsrichtlinien, Benutzerrechtezuweisungen<br />
oder Sicherheitsoptionen gemäß Rolle oder Typ des Computers. Aus diesem<br />
Grund werden die lokalen Richtlinien in der Regel auf OU-Ebene konfiguriert, damit sie ausschließlich<br />
auf spezifische Computer in der Domäne angewendet werden. Der nächste Abschnitt erläutert,<br />
wie im GPO Default Domain Controllers Policy spezifische lokale Richtlinien konfiguriert werden,<br />
damit diese auf alle Domänencontroller in der Domäne angewendet werden.<br />
Hinweis Für die domänenbasierten Sicherheitseinstellungen sollte ausschließlich die Standarddomänenrichtlinie<br />
(GPO Default Domain Policy) verwendet werden. Falls Sie zusätzliche Richtlinieneinstellungen auf<br />
Domänenebene hinzufügen müssen, erstellen und verknüpfen Sie neue, die erforderlichen Richtlinieneinstellungen<br />
enthaltende GPOs auf Aufgabenebene.
Konfigurieren der Domänensicherheit mit Gruppenrichtlinien 511<br />
Übersicht über die Standardrichtlinie für Domänencontroller<br />
Das GPO Default Domain Controllers Policy stellt die anfänglichen Sicherheitseinstellungen für alle<br />
Domänencontroller in der OU Domain Controllers bereit. Im Einzelnen stellt dieses GPO Sicherheitseinstellungen<br />
in Verbindung mit den Knoten Zuweisen von Benutzerrechten und Sicherheitsoptionen<br />
unter Computerkonfiguration\Richtlinien\Windows-Einstellungen\Sicherheitseinstellungen\Lokale<br />
Richtlinien bereit. Abbildung 13.2 zeigt das GPO Default Domain Controllers Policy, wobei der Knoten<br />
Zuweisen von Benutzerrechten hervorgehoben ist.<br />
Abbildung 13.2<br />
Anzeigen des Knotens Zuweisen von Benutzerrechten der Standardrichtlinie für Domänencontroller<br />
Zuweisen von Benutzerrechten<br />
Über die Einstellungen im Knoten Zuweisen von Benutzerrechten wird definiert, welche Konten spezifische<br />
Aufgaben auf dem Computer ausführen können. Wenn ein Benutzer bzw. eine Sicherheitsgruppe<br />
die Möglichkeit haben soll, sich lokal an Domänencontrollern anzumelden, können Sie dies<br />
innerhalb dieses Knotens konfigurieren. Tabelle 13.4 enthält eine Übersicht der unter Zuweisen von<br />
Benutzerrechten verfügbaren Richtlinien sowie der Standardrichtlinieneinstellungen für das GPO<br />
Default Domain Controllers Policy.<br />
Tabelle 13.4<br />
Richtlinieneinstellungen im Knoten Zuweisen von Benutzerrechten<br />
Richtlinie Beschreibung Standardeinstellung für das GPO<br />
Default Domain Controllers Policy<br />
Auf Anmeldeinformations-Manager als<br />
vertrauenswürdigem Aufrufer zugreifen<br />
Wird nur von der Anmeldeinformationsverwaltung<br />
für Sicherungs- und Wiederherstellungsverfahren<br />
verwendet. Kein Konto sollte dieses<br />
Benutzerrecht erhalten.<br />
Nicht definiert
512 Kapitel 13: Einsetzen von Gruppenrichtlinien zum Verwalten der Sicherheit<br />
Tabelle 13.4<br />
Richtlinieneinstellungen im Knoten Zuweisen von Benutzerrechten (Fortsetzung)<br />
Richtlinie Beschreibung Standardeinstellung für das GPO<br />
Default Domain Controllers Policy<br />
Auf diesen Computer vom Netzwerk<br />
aus zugreifen<br />
Einsetzen als Teil des Betriebssystems<br />
Hinzufügen von Arbeitsstationen zur<br />
Domäne<br />
Anpassen von Speicherkontingenten<br />
für einen Prozess<br />
Lokal anmelden zulassen<br />
Anmelden über Terminaldienste<br />
zulassen<br />
Sichern von Dateien und<br />
Verzeichnissen<br />
Auslassen der durchsuchenden Überprüfung<br />
Legt fest, welche Benutzer und Gruppen sich<br />
mit diesem Computer über das Netzwerk verbinden<br />
können. Beachten Sie, dass Terminaldienste<br />
von diesem Benutzerrecht nicht<br />
betroffen sind.<br />
Ermöglicht einem Prozess, ohne Authentifizierung<br />
die Identität jedes Benutzers anzunehmen<br />
und Zugriff auf lokale Ressourcen zu<br />
erhalten. Wird nur verwendet, wenn Ihre Organisation<br />
Windows NT- oder Windows 2000-Server<br />
einsetzt, die Legacyanwendungen<br />
enthalten.<br />
Legt fest, welche Gruppen oder Benutzer einer<br />
Domäne Arbeitsstationen hinzufügen dürfen.<br />
Beachten Sie, dass diese Einstellung nur auf<br />
Domänencontrollern gültig ist. Benutzer, die<br />
dieses Recht erhalten, können bis zu zehn<br />
Computerkonten in der Domäne erstellen.<br />
Legt fest, wer die Größe des einem Prozess<br />
zugewiesenen Arbeitsspeichers ändern darf.<br />
Legt fest, welche Benutzer sich interaktiv am<br />
Server anmelden können.<br />
Legt fest, welche Benutzer oder Gruppen sich<br />
an einem Terminaldiensteclient anmelden<br />
können.<br />
Legt fest, welche Benutzer andere<br />
Objektberechtigungen zum Zweck der<br />
Systemsicherung umgehen können.<br />
Legt fest, welche Benutzer auch dann innerhalb<br />
einer Verzeichnisstruktur auf Ordner zugreifen<br />
können, wenn spezifische Berechtigungen nicht<br />
auf übergeordnete Ordner innerhalb der Struktur<br />
angewendet werden können.<br />
Administratoren<br />
Authentifizierte Benutzer<br />
Domänencontroller der Organisation<br />
Jeder<br />
Prä-Windows 2000-kompatibler<br />
Zugriff<br />
Nicht definiert<br />
Authentifizierte Benutzer<br />
Administratoren<br />
Lokaler Dienst<br />
Netzwerkdienst<br />
Konten-Operatoren<br />
Administratoren<br />
Sicherungs-Operatoren<br />
Druck-Operatoren<br />
Server-Operatoren<br />
Nicht definiert<br />
Administratoren<br />
Sicherungs-Operatoren<br />
Server-Operatoren<br />
Administratoren<br />
Authentifizierte Benutzer<br />
Jeder<br />
Lokaler Dienst<br />
Netzwerkdienst<br />
Prä-Windows 2000-kompatibler<br />
Zugriff
Konfigurieren der Domänensicherheit mit Gruppenrichtlinien 513<br />
Tabelle 13.4<br />
Richtlinieneinstellungen im Knoten Zuweisen von Benutzerrechten (Fortsetzung)<br />
Richtlinie Beschreibung Standardeinstellung für das GPO<br />
Default Domain Controllers Policy<br />
Ändern der Systemzeit<br />
Ändern der Zeitzone<br />
Erstellen einer Auslagerungsdatei<br />
Erstellen eines Tokenobjekts<br />
Erstellen globaler Objekte<br />
Erstellen von dauerhaft freigegebenen<br />
Objekten<br />
Erstellen symbolischer Verknüpfungen<br />
Debuggen von Programmen<br />
Zugriff vom Netzwerk auf diesen Computer<br />
verweigern<br />
Anmelden als Batchauftrag verweigern<br />
Anmelden als Dienst verweigern<br />
Lokal anmelden verweigern<br />
Anmelden über Terminaldienste<br />
verweigern<br />
Ermöglichen, dass Computer- und Benutzerkonten<br />
für Delegierungszwecke<br />
vertraut wird<br />
Legt fest, welcher Benutzer oder welche Gruppe<br />
die Systemzeit auf dem Server ändern kann.<br />
Legt fest, welcher Benutzer oder welche Gruppe<br />
die Zeitzone auf dem Server ändern kann.<br />
Legt fest, welcher Benutzer oder welche Gruppe<br />
eine API zum Erstellen einer Auslagerungsdatei<br />
aufrufen kann.<br />
Legt fest, welche Konten von spezifischen<br />
Prozessen zum Erstellen eines Zugriffstokenobjekts<br />
verwendet werden können. Wird in der<br />
Regel nur vom Betriebssystem verwendet.<br />
Legt fest, welcher Benutzer oder welche<br />
Gruppen globale Objekte während<br />
Terminaldienstesitzungen erstellen können.<br />
Legt fest, welche Konten von Prozessen zum<br />
Erstellen eines Verzeichnisobjekts verwendet<br />
werden können. Wird in der Regel nur vom<br />
Betriebssystem verwendet.<br />
Legt fest, welcher Benutzer oder welche Gruppen<br />
eine symbolische Verknüpfung von dem<br />
Computer erstellen können, an dem der Benutzer<br />
angemeldet ist.<br />
Legt fest, welche Benutzer einen Debugger<br />
einem Prozess oder Kernel zuordnen können.<br />
Dieses Recht bietet vollständigen Zugriff auf<br />
wichtige Betriebssystemkomponenten und<br />
sollte mit Vorsicht genutzt werden.<br />
Legt fest, welche Benutzer oder Computer nicht<br />
vom Netzwerk auf diesen Computer zugreifen<br />
dürfen.<br />
Legt fest, welche Konten sich nicht als Stapelverarbeitungsauftrag<br />
anmelden dürfen.<br />
Legt fest, welche Konten sich nicht als Dienst<br />
anmelden dürfen.<br />
Legt fest, welche Konten sich nicht interaktiv<br />
am Computer anmelden dürfen.<br />
Legt fest, welche Konten sich nicht als Terminaldiensteclient<br />
anmelden dürfen.<br />
Ein Prozess, dem für Delegierungszwecke vertraut<br />
wird, kann mithilfe der Anmeldeinformationen<br />
eines Clients auf einen anderen<br />
Computer zugreifen.<br />
Administratoren<br />
Lokaler Dienst<br />
Server-Operatoren<br />
Nicht definiert<br />
Administratoren<br />
Nicht definiert<br />
Nicht definiert<br />
Nicht definiert<br />
Nicht definiert<br />
Administratoren<br />
Nicht definiert<br />
Nicht definiert<br />
Nicht definiert<br />
Nicht definiert<br />
Nicht definiert<br />
Administratoren
514 Kapitel 13: Einsetzen von Gruppenrichtlinien zum Verwalten der Sicherheit<br />
Tabelle 13.4<br />
Richtlinieneinstellungen im Knoten Zuweisen von Benutzerrechten (Fortsetzung)<br />
Richtlinie Beschreibung Standardeinstellung für das GPO<br />
Default Domain Controllers Policy<br />
Erzwingen des Herunterfahrens von<br />
einem Remotesystem aus<br />
Generieren von Sicherheitsüberwachungen<br />
Annehmen der Clientidentität nach<br />
Authentifizierung<br />
Arbeitssatz eines Prozesses<br />
vergrößern<br />
Anheben der Zeitplanungspriorität<br />
Laden und Entfernen von Gerätetreibern<br />
Sperren von Seiten im Speicher<br />
Anmelden als Stapelverarbeitungsauftrag<br />
Anmelden als Dienst<br />
Verwalten von Überwachungs- und<br />
Sicherheitsprotokollen<br />
Legt fest, welcher Benutzer oder welche Gruppe<br />
einen Computer von einem Remotestandort<br />
aus über das Netzwerk herunterfahren kann.<br />
Legt fest, welche Konten von einem Prozess<br />
zum Hinzufügen von Einträgen zum Sicherheitsprotokoll<br />
verwendet werden können.<br />
Legt fest, welche Konten ein Programm verwenden<br />
kann, um die Identität eines Clients<br />
anzunehmen. Verwenden Sie dieses Recht mit<br />
Vorsicht, da es ein Sicherheitsrisiko darstellen<br />
kann.<br />
Legt fest, welche Benutzerkonten die Größe<br />
des Arbeitssatzes eines Prozesses, d.h. des<br />
Satzes derzeit im physischen RAM sichtbarer<br />
Speicherseiten, heraufsetzen bzw. reduzieren<br />
können.<br />
Legt fest, welche Konten einen Prozess verwenden<br />
können, der Eigenschaftenschreibzugriff<br />
auf einen anderen Prozess besitzt, um die<br />
dem anderen Prozess zugewiesene Ausführungspriorität<br />
zu steigern. Die Änderung der<br />
Planungspriorität wird in der Regel vom Task-<br />
Manager durchgeführt.<br />
Legt fest, welche Konten dynamisch Gerätetreiber<br />
in den Kernelmodus laden und daraus entfernen<br />
können. Beachten Sie, dass dies nicht<br />
für Plug & Play-Gerätetreiber gilt.<br />
Legt fest, welche Konten einen Prozess verwenden<br />
können, um Daten im physischen<br />
Speicher des Computers zu halten und das<br />
Auslagern der Daten in den virtuellen Speicher<br />
auf der Festplatte zu verhindern.<br />
Ermöglicht einem Benutzer, als Stapelverarbeitungs-<br />
anstatt als interaktiver Benutzer angemeldet<br />
zu sein. Wird in der Regel nur mit<br />
älteren Versionen von Windows verwendet.<br />
Legt fest, welche Konten einen Prozess als<br />
Dienst registrieren können.<br />
Legt fest, welche Benutzer Überwachungsoptionen<br />
für den Objektzugriff konfigurieren und<br />
das Sicherheitsprotokoll anzeigen und löschen<br />
können.<br />
Administratoren<br />
Server-Operatoren<br />
Lokaler Dienst<br />
Netzwerkdienst<br />
Nicht definiert<br />
Nicht definiert<br />
Administratoren<br />
Administratoren<br />
Druck-Operatoren<br />
Nicht definiert<br />
Administratoren<br />
Sicherungs-Operatoren<br />
Leistungsprotokollbenutzer<br />
Nicht definiert<br />
Administratoren
Konfigurieren der Domänensicherheit mit Gruppenrichtlinien 515<br />
Tabelle 13.4<br />
Richtlinieneinstellungen im Knoten Zuweisen von Benutzerrechten (Fortsetzung)<br />
Richtlinie Beschreibung Standardeinstellung für das GPO<br />
Default Domain Controllers Policy<br />
Verändern einer Objektbezeichnung<br />
Verändern der Firmwareumgebungsvariablen<br />
Durchführen von Volumewartungsaufgaben<br />
Erstellen eines Profils für einen Einzelprozess<br />
Erstellen eines Profils der Systemleistung<br />
Entfernen des Computers von der<br />
Dockingstation<br />
Ersetzen eines Tokens auf<br />
Prozessebene<br />
Wiederherstellen von Dateien und<br />
Verzeichnissen<br />
Herunterfahren des Systems<br />
Synchronisieren von Verzeichnisdienstdaten<br />
Übernehmen des Besitzes von Dateien<br />
und Objekten<br />
Sicherheitsoptionen<br />
Legt fest, welches Benutzerkonto die Integritätsbezeichnung<br />
von Objekten wie Dateien, Registrierungsschlüsseln<br />
oder im Besitz anderer<br />
Benutzer befindlicher Prozesse ändern kann.<br />
Legt fest, welche Konten Firmwareumgebungswerte<br />
wie z.B. im nicht flüchtigen Arbeitsspeicher<br />
(RAM) gespeicherte Einstellungen ändern<br />
können.<br />
Legt fest, welche Benutzer oder Gruppen Wartungsaufgaben<br />
wie die Remotedefragmentierung<br />
auf einem Volume ausführen können.<br />
Legt fest, welche Konten Leistungsüberwachungstools<br />
zur Überwachung der Leistung<br />
nicht systembezogener Prozesse verwenden<br />
können.<br />
Legt fest, welche Konten Leistungsüberwachungstools<br />
zur Überwachung der Leistung von<br />
Systemprozessen verwenden können.<br />
Legt fest, welche Konten einen Computer von<br />
seiner Dockingstation abdocken können.<br />
Legt fest, welches Konto die CreateProcess-<br />
AsUser()-API aufrufen kann, damit ein Dienst<br />
einen anderen Dienst starten kann.<br />
Legt fest, welche Konten Datei- und Objektberechtigungen<br />
umgehen können, um Wiederherstellungsaufgaben<br />
an gesicherten Daten<br />
durchzuführen.<br />
Legt fest, welche Konten den Computer mithilfe<br />
des Befehls Herunterfahren herunterfahren<br />
können.<br />
Legt fest, welche Konten die <strong>Active</strong> <strong>Directory</strong>-<br />
Synchronisierung durchführen dürfen.<br />
Legt fest, welche Konten den Besitz für zu<br />
schützende Objekte übernehmen können.<br />
Nicht definiert<br />
Administratoren<br />
Nicht definiert<br />
Administratoren<br />
Administratoren<br />
Administratoren<br />
Netzwerkdienst<br />
Lokaler Dienst<br />
Administratoren<br />
Sicherungs-Operatoren<br />
Server-Operatoren<br />
Administratoren<br />
Sicherungs-Operatoren<br />
Druck-Operatoren<br />
Server-Operatoren<br />
Nicht definiert<br />
Administratoren<br />
Der Knoten Sicherheitsoptionen des GPOs Default Domain Controllers Policy enthält eine Reihe<br />
definierter Standardeinstellungen. Die meisten Standardeinstellungen beziehen sich darauf, wie der<br />
Domänencontroller Einstellungen in Bezug auf Netzwerksicherheit und die Kommunikation mit<br />
Clients anwendet. In Tabelle 13.5 sind die standardmäßig im GPO Default Domain Controllers Policy<br />
definierten Sicherheitsoptionen aufgelistet.
516 Kapitel 13: Einsetzen von Gruppenrichtlinien zum Verwalten der Sicherheit<br />
Tabelle 13.5<br />
Im GPO Default Domain Controllers Policy definierte Sicherheitsoptionen<br />
Sicherheitsoption Beschreibung Standardeinstellung<br />
Domänencontroller: Signaturanforderungen Legt fest, ob ein LDAP-Server Signierungsverhandlungen<br />
Keine<br />
für LDAP-Server<br />
mit einem LDAP-Client durchführen<br />
muss.<br />
Domänenmitglied: Daten des sicheren<br />
Kanals digital verschlüsseln oder signieren<br />
(immer)<br />
Microsoft-Netzwerk (Server): Kommunikation<br />
digital signieren (immer)<br />
Microsoft-Netzwerk (Server): Kommunikation<br />
digital signieren (wenn Client zustimmt)<br />
Netzwerksicherheit: LAN Manager-<br />
Authentifizierungsebene<br />
Legt fest, ob der gesamte vom Domänenmitglied initiierte<br />
Datenverkehr über einen sicheren Kanal signiert<br />
oder verschlüsselt werden muss.<br />
Legt fest, ob die SMB-Komponente (Server Message<br />
Block) eine Paketsignatur erfordert.<br />
Legt fest, ob die Paketsignierung auf Anforderung<br />
des Clients ausgehandelt wird.<br />
Legt fest, welches Herausforderung/Antwort-Authentifizierungsprotokoll<br />
für Netzwerkanmeldungen verwendet<br />
wird.<br />
Neuerstellen der Standard-GPOs für eine Domäne<br />
Aktiviert<br />
Aktiviert<br />
Aktiviert<br />
Nur NTLMv2-<br />
Antwort senden<br />
Falls undokumentierte Änderungen auf die Standard-GPOs angewendet wurden und Sie die Standardeinstellungen<br />
wiederherstellen müssen, haben Sie zwei Möglichkeiten. Wenn Sie das Sicherungsfeature<br />
aus der Konsole Gruppenrichtlinienverwaltung zum Sichern der GPOs Default Domain Policy<br />
und Default Domain Controllers Policy verwendet haben, können Sie die GPOs anhand der Sicherung<br />
wiederherstellen. Voraussetzung ist, dass die gesicherten Versionen die ursprünglichen Einstellungen<br />
enthalten, die Sie benötigen. Die zweite Option ist der Einsatz des Befehlszeilentools Dcgpofix.<br />
Dieses Befehlszeilentool ermöglicht, die ursprünglichen Einstellungen der GPOs Default Domain<br />
Policy oder Default Domain Controllers Policy bzw. beide GPOs wiederherzustellen. Sie können z.B.<br />
die Standardrichtlinie für Domänencontroller durch Eingabe des folgenden Befehls wiederherstellen:<br />
dcgpofix /Target: Domäne<br />
Weitere Informationen über den Befehl Dcgpofix erhalten Sie bei Eingabe von dcgpofix /? (wie in<br />
Abbildung 13.3 gezeigt).<br />
Abbildung 13.3<br />
Anzeigen der Dcgpofix-Befehlszeilenoptionen
Konfigurieren der Domänensicherheit mit Gruppenrichtlinien 517<br />
Direkt von der Quelle: Auswirkung der Verwendung von Dcgpofix<br />
Sichern Sie vor der Ausführung von Dcgpofix unbedingt die GPOs Default Domain Policy und<br />
Default Domain Controllers Policy. Unter anderem in folgenden Fällen kann die Verwendung von<br />
Dcgpofix unbeabsichtigte Auswirkungen haben:<br />
• Der in der Standarddomänenrichtlinie gespeicherte EFS-Datenwiederherstellungs-Agent geht<br />
verloren. Der Datenwiederherstellungs-Agent wird am folgenden Speicherort des Gruppenrichtlinienobjekts<br />
angegeben: Computerkonfiguration\Richtlinien\Sicherheitseinstellungen\<br />
Richtlinien für öffentliche Schlüssel\Verschlüsseltes Dateisystem.<br />
Weitere Informationen finden Sie in „Sichern des privaten EFS-Schlüssels für den Wiederherstellungs-Agent<br />
in Windows Server 2003, Windows 2000 und Windows XP“ unter http://support.microsoft.com/kb/241201.<br />
Darüber hinaus können benutzerdefinierte Einstellungen in Einstellungen der automatischen<br />
Zertifikatanforderung, Vertrauenswürdige Stammzertifizierungsstellen, Organisationsvertrauen<br />
und Einstellung für die automatische Registrierung verloren gehen, die im GPO Default<br />
Domain Controllers Policy und/oder im GPO Default Domain Policy konfiguriert wurden.<br />
• Die Verwendung von Dcgpofix zum Neuerstellen des GPOs Default Domain Controllers Policy<br />
kann Auswirkungen auf Exchange 2000 und 2003 haben. Das Exchange Server-Tool Domain-<br />
Prep fügt der Benutzerrechtezuweisung Verwalten von Überwachungs- und Sicherheitsprotokollen<br />
für das GPO Default Domain Controllers Policy die Sicherheitsgruppe Exchange<br />
Enterprise Servers für die Domäne hinzu. Ist diese nicht vorhanden, werden Informationsspeicher<br />
und MTA auf Exchange-Servern nicht gestartet Als Lösung können Sie setup /domainprep<br />
erneut ausführen oder die Einträge nach Neuerstellung der Richtlinie manuell wieder<br />
hinzufügen.<br />
• Dienste auf Domänencontrollern, die als Domänenbenutzer ausgeführt werden, starten möglicherweise<br />
nicht. Anwendungen wie IIS erstellen Konten auf Domänencontrollern und fügen<br />
Benutzerrechtszuweisungen für diese Konten hinzu, sodass diese als Dienst ausgeführt werden,<br />
über das Netzwerk zugreifen usw. Falls diese Einträge nicht vorhanden sind, starten die<br />
Dienste möglicherweise nicht. Dies kann sowohl das GPO Default Domain Policy als auch das<br />
GPO Default Domain Controllers Policy betreffen.<br />
• Überwachungseinstellungen und Benutzerrechte werden geändert. Weitere Informationen über<br />
diese Änderungen finden Sie (in englischer Sprache) im Knowledge Base-Artikel 833783 unter<br />
http://support.microsoft.com/default.aspx?scid=kb;EN-US;833783.<br />
Michael Hunter<br />
Support Escalation Engineer<br />
<strong>Directory</strong> Services Team<br />
Fein abgestimmte Kennwortrichtlinien<br />
In früheren Versionen von <strong>Active</strong> <strong>Directory</strong> müssen domänenbasierte Kontorichtlinien über das GPO<br />
Default Domain Policy konfiguriert werden. Daraus resultiert, dass jeder Benutzer in der Domäne über<br />
dieselbe Kennwortrichtlinie und dieselben Kontosperrrichtlinien verfügt. Es kann jedoch vorkommen,<br />
dass Sie für eine bestimmte Benutzergruppe (z.B. die Domänenadministratoren) eine striktere Kennwortrichtlinie<br />
anwenden möchten als für normale Domänenbenutzer. Frühere Implementierungen von<br />
<strong>Active</strong> <strong>Directory</strong> boten nur sehr begrenzte Optionen, um dieser Anforderung gerecht zu werden.
518 Kapitel 13: Einsetzen von Gruppenrichtlinien zum Verwalten der Sicherheit<br />
Mit den <strong>Active</strong> <strong>Directory</strong>-Domänendiensten von Windows Server 2008 werden die sogenannten fein<br />
abgestimmten Kennwortrichtlinien eingeführt. Sie können mittels dieser Funktion in einer Domäne<br />
mehrere Kennwortrichtlinien und Kontosperreinstellungen für verschiedene Benutzer oder Sicherheitsgruppen<br />
festlegen. Jetzt ist es möglich, eine striktere Kennwortrichtlinie für einzelne Sicherheitsgruppen<br />
oder Benutzer anzuwenden, ohne die Kennwort- oder Kontosperreinstellungen der Standardbenutzer<br />
in der übrigen Domäne zu ändern.<br />
Planen von fein abgestimmten Kennwortrichtlinien<br />
Um fein abgestimmte Kennwortrichtlinien zu implementieren, sind einige Überlegungen anzustellen:<br />
• Fein abgestimmte Kennwortrichtlinien können sowohl auf Benutzerobjekte als auch auf globale<br />
Sicherheitsgruppen angewendet werden.<br />
• Sie können eine fein abgestimmte Kennwortrichtlinie nicht auf eine Organisationseinheit anwenden.<br />
Es ist jedoch eine gängige Vorgehensweise, eine globale Sicherheitsgruppe zu erstellen, die<br />
denselben Namen und dieselbe Mitgliedschaft wie eine spezifische OU enthält (üblicherweise als<br />
Schattengruppe bezeichnet). Anschließend können Sie die fein abgestimmte Kennwortrichtlinie<br />
auf die Sicherheitsgruppe anwenden.<br />
• Wenn Sie benutzerdefinierte Kennwortfilter in einer Domäne bereitgestellt haben, können Sie<br />
diese Filter weiterhin im Rahmen der zusätzlichen, durch die fein abgestimmten Kennwortrichtlinien<br />
gebotenen Sicherheit verwenden.<br />
• Die Funktionsebene der Domäne muss auf Windows Server 2008 festgelegt werden.<br />
Darüber hinaus sollten Sie einen dokumentierten Plan entwickeln, der folgende Fragen behandelt:<br />
• Wie viele verschiedene Kennwortrichtlinien sind erforderlich? Dies ist nicht nur zur Bestimmung der<br />
zusätzlichen Sicherheitsgruppen wichtig, die möglicherweise in ihrer <strong>Active</strong> <strong>Directory</strong>-Umgebung<br />
erstellt werden müssen, sondern spielt außerdem für die Anwendungsreihenfolge eine Rolle,<br />
wenn mehrere Kennwortrichtlinien für einen spezifischen Benutzer ausgewertet werden.<br />
• Welche spezifischen Kennwort- und Kontosperreinstellungen sind erforderlich? Im Rahmen der Konfiguration<br />
der Kennwortrichtlinie werden Sie gemäß der Liste in Tabelle 13.6 zur Eingabe verschiedener<br />
Attribute aufgefordert.<br />
• Welche Sicherheitsgruppen werden mit den neuen Kennwortrichtlinien verknüpft? Sie müssen spezifische<br />
Sicherheitsgruppen mit den Benutzern erstellen, die eindeutige Kennwortrichtlinien benötigen.<br />
Implementieren fein abgestimmter Kennwortrichtlinien<br />
Zur Unterstützung fein abgestimmter Kennwortrichtlinien enthält Windows Server 2008 <strong>Active</strong><br />
<strong>Directory</strong> zwei zusätzliche Objekttypen:<br />
• Container für Kennworteinstellungen Dieser standardmäßig erstellte Container trägt den Namen<br />
Password Settings Container und kann unterhalb des Containers System in der Domäne angezeigt<br />
werden. Er wird zum Speichern der Kennworteinstellungsobjekte verwendet, die Sie erstellen und<br />
mit globalen Sicherheitsgruppen oder Benutzern verknüpfen.<br />
• Kennworteinstellungsobjekt Kennworteinstellungsobjekte (Password Settings Objects, PSOs)<br />
werden von Mitgliedern der Gruppe Domänen-Admins erstellt und zum Definieren spezifischer<br />
Kennwort- und Kontosperreinstellungen verwendet, die mit einer spezifischen Sicherheitsgruppe<br />
oder einem spezifischen Benutzer verknüpft werden.
Konfigurieren der Domänensicherheit mit Gruppenrichtlinien 519<br />
Wie in Abbildung 13.4 gezeigt, speichert der Password Settings Container alle für die Domäne konfigurierten<br />
benutzerdefinierten Kennworteinstellungsobjekte. In diesem Beispiel werden die leitenden<br />
Angestellten der Personalabteilung mit spezifischen Kennworteinstellungen konfiguriert, die vom<br />
übrigen Teil der Domäne abweichen.<br />
Abbildung 13.4<br />
Anzeigen des Containers für Kennworteinstellungen<br />
Mit dem ADSI-Editor (<strong>Active</strong> <strong>Directory</strong> Services Interfaces Editor, ADSI Edit) erhalten Sie eine grafische<br />
Benutzeroberfläche zum Erstellen der PSOs. Sie können auch mithilfe des Befehls Ldifde in<br />
Form eines Skripts mehrere PSOs zum Password Settings Container hinzufügen.<br />
Weitere Informationen Weitere Informationen zum Erstellen von PSOs mittels eines Skripts mithilfe von<br />
Ldifde finden Sie (in englischer Sprache) in „Creating a PSO using Ldifde“ unter http://technet2.microsoft.com/windowsserver2008/en/library/67dc7808-5fb4-42f8-8a48-7452f59672411033.mspx?mfr=true.<br />
Führen Sie zum Erstellen und Konfigurieren von PSOs mit ADSI Edit die folgenden Schritte aus:<br />
1. Öffnen Sie ADSI Edit, und verbinden Sie sich mit dem vollständig qualifizierten Domänennamen<br />
der Domäne, in der Sie das PSO erstellen möchten.<br />
2. Wechseln Sie zu DC=\CN=System\CN=Password Settings Container.<br />
3. Klicken Sie mit der rechten Maustaste auf CN=Password Settings Container, zeigen Sie auf Neu,<br />
und klicken Sie auf Objekt.<br />
4. Stellen Sie im Feld Objekt erstellen sicher, dass msDS-PasswordSettings ausgewählt ist, und klicken<br />
Sie auf Weiter.<br />
5. Tragen Sie die entsprechenden Werte für jedes der Attribute ein, wie in Tabelle 13.6 beschrieben.
520 Kapitel 13: Einsetzen von Gruppenrichtlinien zum Verwalten der Sicherheit<br />
Tabelle 13.6<br />
PSO-Attribute<br />
Attributname Beschreibung Wertebereich<br />
Common-Name Name für das neue PSO. Standardmäßige Unicode-Zeichenfolge<br />
msDS-PasswordSettingsPrecedence<br />
msDS-PasswordReversible<br />
EncryptionEnabled<br />
msDS-PasswordHistoryLength<br />
Rangfolge der Kennworteinstellung, die<br />
verwendet wird, wenn Benutzer mehreren<br />
PSOs zugewiesen werden.<br />
Kennwort hat für Benutzer den Status<br />
umkehrbarer Verschlüsselung.<br />
Länge der Kennwortchronik für Benutzer.<br />
Kennwortkomplexitätsstatus.<br />
msDS-Passwordcomplexity-<br />
Enabled<br />
Jeder Wert höher als 10.<br />
Niedrigere Werte haben<br />
Vorrang gegenüber höheren Werten.<br />
FALSE/TRUE<br />
Empfohlen: FALSE<br />
0–1024<br />
FALSE/TRUE<br />
Empfohlen: TRUE<br />
msDS-MinimumPasswordLength Minimale Kennwortlänge. 0–255<br />
msDS-MinimumPasswordAge Minimales Kennwortalter für Änderung<br />
des Kennworts durch Benutzer.<br />
Beachten Sie, dass dieser Wert höchstens<br />
dem Wert von msDS-<br />
MaximumPasswordAge entsprechen<br />
darf.<br />
(Keine)<br />
00:00:00:00 bis Wert von<br />
msDS-MaximumPasswordAge<br />
Beispiel 1:00:00:00 (1 Tag)<br />
msDS-MaximumPasswordAge<br />
msDS-LockoutThreshold<br />
msDS-LockoutObservationWindow<br />
msDS-LockoutDuration<br />
msDS-PSOAppliesTo<br />
Maximales Kennwortalter für Änderung<br />
des Kennworts durch Benutzer.<br />
Beachten Sie, dass dieser Wert nicht<br />
auf Null gesetzt werden kann.<br />
Schwellenwert, ab dem ein Benutzer<br />
gesperrt wird.<br />
Zeit, die vor dem Zurücksetzen der<br />
Sperrungsschwelle verstreicht.<br />
Beachten Sie, dass dieser Wert nicht<br />
kleiner sein darf als der Wert von<br />
msDS-LockoutDuration.<br />
Zeitraum, für den ein Benutzer gesperrt<br />
ist.<br />
Wird verwendet, um das PSO mit<br />
Sicherheitsgruppen oder Benutzern zu<br />
verknüpfen.<br />
(Nie)<br />
Wert von msDS-MinimumPassword-<br />
Age bis (Nie)<br />
Beispiel: 30:00:00:00 (30 Tage)<br />
0–65535<br />
(Keine)<br />
00:00:00:01 bis Wert von<br />
msDS-LockoutDuration<br />
Beispiel 0:00:30:00 (30 Minuten)<br />
(Keine)<br />
(Nie)<br />
Wert von msDS-Lockout Observation-<br />
Window bis (Nie)<br />
Beispiel: 0:00:30:00<br />
(30 Minuten)<br />
0 oder mehrere definierte Namen von<br />
Benutzern oder globalen Sicherheitsgruppen.
Konfigurieren der Domänensicherheit mit Gruppenrichtlinien 521<br />
Hinweis Geben Sie beim Erstellen von PSOs mittels ADSI Edit die Werte für msDS-Maximum-<br />
PasswordAge, msDS-MinimumPasswordAge, msDS-LockoutObservationWindow und msDS-Lockout-<br />
Duration im Format T:HH:MM:SS ein.<br />
6. Ändern Sie Eigenschaften durch Klicken auf die Schaltfläche Weitere Attribute.<br />
Grundlegendes zum resultierenden PSO für einen Benutzer<br />
Ein Benutzer oder eine Sicherheitsgruppe kann mit mehr als einem PSO verknüpft sein. Dies kann der<br />
Fall sein, wenn ein Benutzer Mitglied mehrerer Sicherheitsgruppen ist, denen jeweils ein PSO zugewiesen<br />
ist, oder wenn einem Benutzerobjekt mehrere PSOs direkt zugewiesen wurden. In jedem Fall<br />
ist es wichtig zu wissen, dass nur ein einziges PSO als effektive Kennwortrichtlinie angewendet werden<br />
kann.<br />
Erinnern Sie sich daran, dass in Tabelle 13.6 ein PSO-Attribut mit Namen msDS-PasswordSettingsPrecedence<br />
aufgeführt wird. Wenn mehrere PSOs einem Benutzer oder einer Gruppe zugewiesen<br />
wurden, hilft dieses Attribut beim Bestimmen des resultierenden PSOs. Ein PSO mit niedrigerem<br />
Wert hat Vorrang vor einem PSO mit einem höheren Wert.<br />
Wenn mehrere PSOs mit einem Benutzer oder einer Gruppe verknüpft sind, wird das resultierende<br />
PSO auf die folgende Weise bestimmt:<br />
1. Jedes direkt mit einem Benutzerobjekt verknüpfte PSO ist das resultierende PSO. Sind mehrere<br />
PSOs direkt mit dem Benutzerobjekt verknüpft, wird das PSO mit dem niedrigsten Wert fürmsDS-<br />
PasswordSettingsPrecedence das resultierende PSO.<br />
2. Sind keine PSOs direkt mit dem Benutzer verknüpft, werden die PSOs für alle globalen Sicherheitsgruppen<br />
verglichen, die den Benutzer enthalten. Das PSO mit dem niedrigsten Wert für<br />
msDS-PasswordSettingsPrecedence wird das resultierende PSO.<br />
Hinweis Werden nach Schritt 1 und 2 weiterhin mehrere PSOs mit identischem Wert für msDS-PasswordSettingsPrecedence<br />
ermittelt, wird das PSO mit der kleinsten global eindeutigen Kennung (Globally<br />
Unique Identifier, GUID) angewendet.<br />
3. Sind keine PSOs direkt oder indirekt (durch Gruppenmitgliedschaft) mit dem Benutzer verknüpft,<br />
finden die Einstellungen der Standarddomänenrichtlinie (GPO Default Domain Policy) Anwendung.<br />
Alle Benutzerobjekte enthalten ein neues Attribut mit Namen msDS-ResultantPSO. Mithilfe dieses<br />
Attributs kann der definierte Name des auf den Benutzer angewendeten PSOs bestimmt werden. Ist<br />
kein PSO-Objekt mit dem Benutzer verknüpft, enthält dieses Attribut keinen Wert. In diesem Fall<br />
wird die im GPO Default Domain Policy enthaltene Richtlinie zur effektiven Kennwortrichtlinie.<br />
Sie können das Attibut msDS-ResultantPSO mithilfe einer der beiden folgenden Methoden anzeigen:<br />
• Windows-Oberfläche Stellen Sie in der Konsole <strong>Active</strong> <strong>Directory</strong>-Benutzer und -Computer sicher,<br />
dass im Menü Ansicht die Option Erweiterte Features aktiviert ist, und öffnen Sie die Eigenschaften<br />
eines Benutzerkontos. Das Attribut msDS-ResultantPSO wird auf der Registerkarte<br />
Attribut-Editor angezeigt. Möglicherweise müssen Sie im Filter die Option Schreibgeschützte<br />
Attribute anzeigen\Erzeugt aktivieren.
522 Kapitel 13: Einsetzen von Gruppenrichtlinien zum Verwalten der Sicherheit<br />
• Befehlszeilentool DSGET Öffnen Sie eine Eingabeaufforderung, und geben Sie folgenden Befehl<br />
ein:<br />
dsget user -effectivepso<br />
Abbildung 13.5 zeigt das Attribut msDS-ResultantPSO für Don Hall. Beachten Sie, dass das PSO für<br />
die leitenden Angestellten der Personalabteilung die effektive, auf dieses Benutzerobjekt angewendete<br />
Richtlinie ist.<br />
Abbildung 13.5<br />
Anzeigen des resultierenden PSOs<br />
Verstärken der Serversicherheit mithilfe von<br />
Gruppenrichtlinien<br />
Ergänzend zu Sicherheitsrichtlinien auf Domänenebene bieten die Gruppenrichtlinien eine Vielzahl<br />
von Einstellungen, die die Verstärkung der Sicherheitseinstellungen für Domänenmitglieder unterstützen.<br />
Ebenso wie die Kontorichtlinien und die lokalen Richtlinien werden viele dieser Einstellungen in<br />
Computerkonfiguration\Richtlinien\Windows-Einstellungen\Sicherheitseinstellungen konfiguriert.<br />
Zusätzliche Einstellungen werden in Benutzerkonfiguration\Richtlinien\Windows-Einstellungen\<br />
Sicherheitseinstellungen festgelegt. Abbildung 13.6 zeigt die jeweiligen Optionen in den Ordnern<br />
Sicherheitseinstellungen. In Tabelle 13.7 werden die Konfigurationsoptionen unter der jeweiligen<br />
Überschrift zusammengefasst.
Verstärken der Serversicherheit mithilfe von Gruppenrichtlinien 523<br />
Abbildung 13.6<br />
Unterhalb von Sicherheitseinstellungen verfügbare zusätzliche Richtlinien<br />
Wenn Sie die Sicherheitseinstellungen für die Computer in ihrem Netzwerk mit Gruppenrichtlinien<br />
verstärken, ist es weitaus leichter, eine sichere Netzwerkumgebung zu erstellen und zu verwalten. Die<br />
Konfiguration der Sicherheit mittels Gruppenrichtlinieneinstellungen ist einfacher, als sich mit jeder<br />
einzelnen Arbeitsstation zu befassen. Sie müssen lediglich die zentralen Sicherheitsrichtlinien erstellen,<br />
in einem GPO konfigurieren und das GPO mit einem <strong>Active</strong> <strong>Directory</strong>-Containerobjekt verknüpfen.<br />
Bei der nächsten Anwendung des GPOs wird die Sicherheit auf allen Computern im Container<br />
konfiguriert. Die Nutzung von Gruppenrichtlinien erleichtert auch die kontinuierliche Verwaltung der<br />
Sicherheitseinstellungen für Ihre Computer. Die Sicherheitseinstellungen der Richtlinie werden fortlaufend<br />
aktualisiert. Auch wenn ein Benutzer die Sicherheitskonfiguration auf einer Arbeitsstation<br />
ändern könnte, würde die Richtlinie beim nächsten Aktualisierungszyklus erneut angewendet.<br />
Tabelle 13.7<br />
Zusätzliche Einstellungen zur Verstärkung der Sicherheit in Gruppenrichtlinien<br />
Konfigurationsoption<br />
Lokale Richtlinien\<br />
Überwachungsrichtlinie<br />
Erläuterung<br />
Wird zum Konfigurieren der Überwachungseinstellungen verwendet. Sie können Überwachungsrichtlinien<br />
für Optionen wie Kontenverwaltungsaktivitäten, Anmeldeereignisse,<br />
Richtlinienänderungen, Rechteverwendung und Systemereignisse festlegen. Weitere Informationen<br />
zur Konfiguration von Überwachungsrichtlinieneinstellungen finden Sie im Abschnitt<br />
„Überwachen der Verwendung von Administratorrechten“ in Kapitel 9, „Delegieren<br />
der <strong>Active</strong> <strong>Directory</strong>-Domänendiensteverwaltung.“
524 Kapitel 13: Einsetzen von Gruppenrichtlinien zum Verwalten der Sicherheit<br />
Tabelle 13.7<br />
Zusätzliche Einstellungen zur Verstärkung der Sicherheit in Gruppenrichtlinien (Fortsetzung)<br />
Konfigurationsoption<br />
Ereignisprotokoll<br />
Eingeschränkte Gruppen<br />
Systemdienste<br />
Registrierung<br />
Dateisystem<br />
Richtlinien für Softwareeinschränkung<br />
(Diese Einstellung ist<br />
sowohl im Knoten Computerkonfiguration<br />
als auch im Knoten Benutzerkonfiguration<br />
enthalten.)<br />
Erläuterung<br />
Wird zum Konfigurieren von Ereignisprotokolleinstellungen für alle Computer im Rahmen<br />
der Richtlinienverwaltung verwendet. Sie können Optionen wie etwa die maximale Größe<br />
für Ereignisprotokolle, die Berechtigung zur Anzeige von Ereignisprotokollen und die Beibehaltung<br />
aller Ereignisprotokolle konfigurieren.<br />
Wird zur Einschränkung der Mitgliedschaft lokaler Gruppe auf Computern verwendet, die<br />
von der Richtlinie betroffen sind. Diese Einstellung wird am häufigsten zur Konfiguration<br />
der Mitgliedschaft des lokalen Administratorkontos auf Computern verwendet, auf denen<br />
Windows 2000 oder höher ausgeführt wird. Wenn Sie diese Option zur Konfiguration der<br />
Mitgliedschaft der lokalen Gruppe verwenden, werden alle Benutzer oder Gruppen, die<br />
zur lokalen Gruppe gehören, aber nicht in der Mitgliederliste dieser Richtlinie enthalten<br />
sind, bei der nächsten Aktualisierung der Richtlinie entfernt.<br />
Wird zur Verwaltung von Diensten auf Computern verwendet. Sie können mithilfe dieser<br />
Richtlinie definieren, welche Dienste automatisch auf den Computern starten, oder Sie<br />
können Dienste deaktivieren.<br />
Wird zum Konfigurieren der Sicherheit in Registrierungsschlüsseln verwendet. Sie können<br />
der Richtlinie beliebige Registrierungsschlüssel hinzufügen und dann spezifische<br />
Sicherheitseinstellungen auf den Schlüssel anwenden.<br />
Wird zum Konfigurieren der Sicherheit in Dateien und Ordnern verwendet. Sie können der<br />
Richtlinie beliebige Dateien oder Ordner hinzufügen und dann Zugriffssteuerung und<br />
Überwachung auf diese Dateisystemobjekte anwenden.<br />
Hiermit wird gesteuert, welche Programme oder Dateien auf einem Computer ausgeführt<br />
werden können. Weitere Informationen zu dieser Richtlinieneinstellung finden Sie im<br />
nächsten Abschnitt.<br />
Direkt von der Quelle: Gruppenrichtlinieneinstellungen<br />
Mit Windows Server 2008 führt Microsoft Gruppenrichtlinieneinstellungen ein, die im Wesentlichen<br />
eine Erweiterung der vormals verfügbaren clientseitigen Erweiterungen (Client-side Extensions,<br />
CSE) für Gruppenrichtlinien darstellen. Mit Gruppenrichtlinieneinstellungen können Sie<br />
die Gesamtbetriebskosten (Total Cost of Ownership, TCO) Ihrer Windows-Server durch Erweiterung<br />
der Gruppenrichtlinienverwaltbarkeit weiter reduzieren. Nachstehend finden Sie einige der<br />
vielen verfügbaren Einstellungen:<br />
• Laufwerkzuordnungen Erstellen, ändern oder löschen Sie zugeordnete Laufwerke, und konfigurieren<br />
Sie die Sichtbarkeit aller Laufwerke.<br />
• Umgebung Erstellen, ändern oder löschen Sie Umgebungsvariablen.<br />
• Netzwerkfreigaben Erstellen, ändern oder löschen Sie Freigaben.<br />
• Geräte Aktivieren bzw. deaktivieren Sie Hardwaregeräte oder Geräteklassen.<br />
• Lokale Benutzer und Gruppen Erstellen, ändern oder löschen Sie lokale Benutzer und Gruppen.<br />
• Energieoptionen Ändern Sie Energieoptionen und erstellen, ändern oder löschen Sie Energieschemata.
Verstärken der Serversicherheit mithilfe von Gruppenrichtlinien 525<br />
Weitere Informationen über Gruppenrichtlinieneinstellungen finden Sie (in englischer Sprache) im<br />
Whitepaper unter http://go.microsoft.com/fwlink/?LinkId=103735.<br />
Gautam Anand<br />
Technical Lead – <strong>Directory</strong> Services<br />
Premier Enterprise Platforms Support<br />
Richtlinien für Softwareeinschränkung<br />
Eines der größten Sicherheitsrisiken stellen in den letzten Jahren Benutzer dar, die unbekannte oder<br />
nicht vertrauenswürdige Software auf ihren Computern ausführen. In vielen Fällen führen die Benutzer<br />
versehentlich potenziell unsichere Software aus. Millionen von Benutzern haben z.B. Viren<br />
gestartet oder Trojaneranwendungen installiert, ohne absichtlich unsichere Software ausführen zu<br />
wollen. Die Richtlinien für die Softwareeinschränkung sollen dies verhindern.<br />
Die Richtlinien zur Softwareeinschränkung schützen Ihre Benutzer vor der Ausführung unsicherer<br />
Software, indem sie definieren, welche Anwendungen auf ihren Arbeitsstationen ausgeführt werden<br />
dürfen und welche nicht. Über eine Richtlinie für Softwareeinschränkung können Sie eine Richtlinie<br />
definieren, welche die Ausführung sämtlicher Software mit Ausnahme der von Ihnen spezifisch blockierten<br />
zulässt. Oder Sie definieren, dass die Richtlinie für Softwareeinschränkung nur die Ausführung<br />
der explizit von Ihnen erlaubten Software zulässt. Die zweite Option ist zwar sicherer, doch der<br />
zur Definition aller zur Ausführung in einer komplexen Unternehmensumgebung zugelassenen<br />
Anwendungen erforderliche Aufwand könnte zu groß sein. Die meisten Unternehmen entscheiden<br />
sich für die weniger sichere, jedoch verwaltungsfreundlichere Option, sämtliche Software zuzulassen<br />
und nur ausgewählte Software zu blockieren. Wenn Sie jedoch eine Gruppe von Arbeitsstationen in<br />
einer Umgebung mit hohen Sicherheitsanforderungen einsetzen, sollten Sie möglicherweise die<br />
sicherere Option wählen.<br />
Wenn Sie eine Richtlinie für Softwareeinschränkung erstellen, können Sie fünf Typen von Regeln<br />
konfigurieren, um die von der Richtlinie betroffenen Anwendungen zu bestimmen:<br />
• Hashregeln Eine Hashregel ist eine kryptografische Kennung, die eine spezifische Anwendungsdatei<br />
unabhängig von Dateiname oder Speicherort eindeutig identifiziert. Wurde im Ordner<br />
Sicherheitsstufen die Option Nicht eingeschränkt als Standardsicherheitsstufe ausgewählt, und<br />
möchten Sie die Ausführung einer bestimmten Anwendung einschränken, können Sie mithilfe der<br />
Richtlinie für Softwareeinschränkung eine Hashregel erstellen. Wenn ein Benutzer versucht, die<br />
Anwendung auszuführen, führt die Arbeitsstation eine Hashüberprüfung durch und verhindert die<br />
Ausführung der Anwendung. Wenn Sie die Richtlinie für Softwareeinschränkung so konfiguriert<br />
haben, dass die Ausführung aller Anwendungen blockiert wird (durch Konfiguration der Sicherheitsstufe<br />
Nicht erlaubt), können Sie die Hashregel zum Aktivieren einer spezifischen Anwendung<br />
verwenden.<br />
• Zertifikatregeln Sie können Zertifikatregeln erstellen, sodass die Auswahlkriterien für Anwendungen<br />
auf dem Softwareherausgeberzertifikat basieren. Wenn Sie z.B. eine benutzerdefinierte<br />
Anwendung entwickelt haben, können Sie dieser Anwendung ein Zertifikat zuweisen und die<br />
Softwareeinschränkungsregel dann so konfigurieren, dass dem entsprechenden Zertifikat vertraut<br />
wird.
526 Kapitel 13: Einsetzen von Gruppenrichtlinien zum Verwalten der Sicherheit<br />
• Pfadregeln Sie können Regeln basierend auf dem Pfad erstellen, in dem sich die ausführbare<br />
Datei der Anwendung befindet. Wenn Sie einen Ordner auswählen, sind alle Anwendungen in<br />
dem Ordner von der Regel betroffen. Sie können auch Umgebungsvariablen (z.B. %systemroot%)<br />
zur Angabe von Pfaden verwenden. Darüber hinaus können Sie Platzhalter in der Pfadregel<br />
verwenden (z.B. *.vbs).<br />
• Registrierungspfadregeln Sie können Regeln auch basierend auf den Speicherorten der Registrierung<br />
erstellen, welche die Anwendung verwendet. Nahezu jede Anwendung hat in der Registrierung<br />
einen Standardspeicherort, in dem sie anwendungsspezifische Informationen speichert. Dies<br />
ermöglicht Ihnen das Erstellen einer Regel, die eine Anwendung auf der Basis dieser Registrierungsschlüssel<br />
blockiert oder aktiviert. Im Menü zum Erstellen der Registrierungspfadregeln wird<br />
keine registrierungsspezifische Option angezeigt, aber die Option Neue Pfadregel ermöglicht<br />
Ihnen, diesen eindeutigen Satz von Regeln zu erstellen. Wenn Sie eine neue Richtlinie für Softwareeinschränkung<br />
erstellen, werden vier standardmäßige Registrierungspfadregeln erstellt. Diese<br />
Regeln konfigurieren eine uneingeschränkte Softwarerichtlinie für Anwendungen im Systemstammordner<br />
und dem standardmäßigen Verzeichnis der Programmdateien.<br />
• Netzwerkzonenregeln Der letzte Regeltyp basiert auf der Internetzone, aus der die Software heruntergeladen<br />
wurde. Vielleicht möchten Sie z.B. eine Regel konfigurieren, um die Ausführung<br />
aller aus der Zone der vertrauenswürdigen Sites heruntergeladenen Anwendungen zuzulassen,<br />
oder eine Regel, um die Ausführung aller aus der Zone der eingeschränkten Sites heruntergeladenen<br />
Anwendungen zu verhindern.<br />
Wenn Sie Ihre standardmäßige Softwareeinschränkung so konfigurieren, dass alle Anwendungen mit<br />
Ausnahme bestimmter Anwendungen ausgeführt werden sollten, definieren diese Regeln, welche<br />
Anwendungen nicht ausgeführt werden. Falls Sie die restriktivere Regel zur Deaktivierung aller<br />
Anwendungen festgelegt haben, bestimmen diese Regeln, welche Anwendungen ausgeführt werden<br />
dürfen.<br />
Standardmäßig werden mit <strong>Active</strong> <strong>Directory</strong> keine Richtlinien zur Softwareeinschränkung konfiguriert.<br />
Klicken Sie zum Definieren einer Richtlinie mit der rechten Maustaste auf den Ordner Richtlinien<br />
für Softwareeinschränkung, und wählen Sie Neue Richtlinien für Softwareeinschränkung. Auf<br />
diese Weise wird eine Standardrichtlinie erstellt. Abbildung 13.7 zeigt die erstellten Objekte.<br />
Der Ordner Sicherheitsstufen wird zum Definieren der Standardsicherheitsstufe verwendet. Der Ordner<br />
enthält drei Objekte: Nicht erlaubt, Standardbenutzer und Nicht eingeschränkt. Wenn Sie die<br />
Sicherheit so konfigurieren möchten, dass alle Anwendungen mit Ausnahme der angegebenen<br />
Anwendung ausgeführt werden können, klicken Sie mit der rechten Maustaste auf das Objekt Nicht<br />
eingeschränkt, und klicken Sie auf Als Standard. Wenn Sie die Ausführung aller Software mit Ausnahme<br />
der angegebenen Anwendungen verhindern möchten, klicken Sie mit der rechten Maustaste<br />
auf Nicht erlaubt und legen diese Einstellung als Standard fest. Die Sicherheitsstufe Nicht eingeschränkt<br />
ist die Standardeinstellung.<br />
Der Ordner Zusätzliche Regeln wird zum Konfigurieren der Softwareeinschränkungsregeln verwendet.<br />
Klicken Sie zum Konfigurieren einer Regel mit der rechten Maustaste auf den Ordner Zusätzliche<br />
Regeln, und wählen Sie den Typ der Regel aus, die Sie erstellen möchten. Wenn Sie zum Beispiel<br />
eine neue Hashregel erstellen möchten, wählen Sie Neue Hashregel. Klicken Sie zum Erstellen<br />
der neuen Hashregel auf Durchsuchen, und wählen Sie die Datei, die Sie mit dem Hash identifizieren<br />
möchten. Wenn Sie die Datei auswählen, wird der Dateihash automatisch erstellt. Dann können Sie<br />
konfigurieren, ob diese Anwendung Nicht eingeschränkt oder Nicht erlaubt ist oder mit der Sicherheitsstufe<br />
Standardbenutzer ausgeführt werden kann. Die Oberfläche zum erneuten Konfigurieren<br />
einer vorhandenen Hashregel ist in Abbildung 13.8 dargestellt.
Verstärken der Serversicherheit mithilfe von Gruppenrichtlinien 527<br />
Abbildung 13.7<br />
Erstellen einer neuen Richtlinie für die Softwareeinschränkung<br />
Abbildung 13.8<br />
Konfigurieren einer Hashregel<br />
Das Objekt Erzwingen wird zum spezifischeren Definieren der betroffenen Anwendungen verwendet.<br />
Sie können konfigurieren, dass die Regeln für alle Anwendungen oder alle Anwendungen mit Ausnahme<br />
von DLLs gelten. Außerdem können Sie festlegen, dass die Regeln für alle Benutzer oder alle<br />
Benutzer mit Ausnahme lokaler Administratoren gelten.
528 Kapitel 13: Einsetzen von Gruppenrichtlinien zum Verwalten der Sicherheit<br />
Das Objekt Designierte Dateitypen definiert alle Dateinamenerweiterungen, die potenziell ausführbaren<br />
Code enthalten und deshalb unter dieser Richtlinie verwaltet werden. Sie können dieser Liste<br />
Dateierweiterungen hinzufügen oder Erweiterungen daraus entfernen.<br />
Über das Objekt Vertrauenswürdige Herausgeber wird definiert, wer festlegen kann, ob ein Herausgeber<br />
vertrauenswürdig ist oder nicht. Sie können alle Benutzer, nur lokale Administratoren oder nur<br />
Organisationsadministratoren auswählen. Ferner können Sie festlegen, ob eine Arbeitsstation ein<br />
angebotenes Zertifikat vor Ausführung der Anwendung auf eine Sperrung prüfen soll.<br />
Konfigurieren der Netzwerksicherheit mit Gruppenrichtlinien<br />
Die in einer Windows Server 2008 <strong>Active</strong> <strong>Directory</strong>-Infrastruktur implementierten Gruppenrichtlinien<br />
sind ein leistungsfähiges Instrument zum Zentralisieren der Netzwerksicherheit für Ihre<br />
Netzwerkclients. Tabelle 13.8 bietet eine Übersicht der Richtlinieneinstellungen, die mit der Netzwerksicherheit<br />
in Zusammenhang stehen.<br />
Tabelle 13.8<br />
Netzwerksicherheitseinstellungen in der Gruppenrichtlinienkonsole<br />
Konfigurationsoption<br />
Richtlinien für verkabelte Netzwerke<br />
(IEEE 802.3)<br />
Windows-Firewall mit erweiterter<br />
Sicherheit<br />
Netzwerklisten-Manager-Richtlinien<br />
Drahtlosnetzwerkrichtlinien (IEEE<br />
802.11)<br />
Richtlinien für öffentliche Schlüssel<br />
(Diese Einstellung ist sowohl in Computerkonfiguration<br />
als auch in Benutzerkonfiguration<br />
enthalten. Die<br />
Benutzerkonfiguration enthält eine<br />
kleinere Teilmenge von Optionen.)<br />
Network Access Protection (Netzwerkzugriffsschutz)<br />
IP-Sicherheitsrichtlinien auf <strong>Active</strong><br />
<strong>Directory</strong> (Domänenname)<br />
Erläuterung<br />
Wird zur Bereitstellung von Netzwerkkonnektivität und Sicherheitseinstellungen für<br />
Computer verwendet, die über einen 802.1X-kompatiblen Switch mit dem Netzwerk<br />
verbunden sind.<br />
Wird zur zentralen Konfiguration der integrierten Features in Zusammenhang mit<br />
Windows-Firewall und IPSec verwendet.<br />
Wird zum Angeben von Standardspeicherort und Benutzerberechtigungen für verschiedene<br />
Netzwerkstatus verwendet. Verfügbare Einstellungen lauten Netzwerke<br />
werden identifiziert, Nicht identifizierte Netzwerke und Alle Netzwerke.<br />
Wird zum Erstellen von Richtlinien für Drahtlosnetzwerke verwendet. Anschließend<br />
können die Richtlinien zum Steuern der Sicherheitsanforderungen für Computer verwendet<br />
werden, die drahtlose Netzwerkverbindungen nutzen.<br />
Wird zum Konfigurieren einiger Richtlinien im Zusammenhang mit digitalen Zertifikaten<br />
und der Zertifikatverwaltung verwendet. Sie können diese Richtlinien auch zum<br />
Erstellen von Datenwiederherstellungs-Agents zum Wiederherstellen von Dateien verwenden,<br />
die auf lokalen Arbeitsstationen mittels des verschlüsselnden Dateisystems<br />
(Encrypting File System, EFS) verschlüsselt wurden.<br />
Wird zum zentralen Konfigurieren der NAP Client-Einstellungen wie beispielsweise<br />
zum Aktivieren und Verwalten von NAP-Erzwingungsclients, zum Konfigurieren von<br />
Benutzeroberflächeneinstellungen und zum Konfigurieren von Einstellungen für vertrauenswürdige<br />
Servergruppen verwendet.<br />
Wird zum Konfigurieren der IPSec-Richtlinien (IP Security) für frühere Versionen von<br />
Windows (vor Windows Vista und Windows Server 2008) verwendet. Sie können<br />
Richtlinien konfigurieren, die präzise definieren, welcher Netzwerkdatenverkehrstyp<br />
mit IPSec geschützt werden muss, und Sie können festlegen, für welche Computer<br />
die Richtlinie erzwungen werden soll. Für Windows Vista und Windows Server 2008<br />
sollten Sie für IPsec-bezogene Einstellungen die Richtlinie Windows-Firewall mit erweiterter<br />
Sicherheit verwenden.
Konfigurieren der Netzwerksicherheit mit Gruppenrichtlinien 529<br />
Konfigurieren der Sicherheit für verkabelte Netzwerke<br />
Windows Server 2008 enthält eine neue Funktion Richtlinien für verkabelte Netzwerke (IEEE 802.3),<br />
um die automatisierte Konfiguration für Windows Vista- oder Windows Server 2008-Computer zu<br />
ermöglichen, die über einen 802.1X-kompatiblen Switch mit dem Netzwerk verbunden sind. Diese<br />
Funktion bietet nicht nur eine komfortable Möglichkeit, 802.1X-basierte Konnektivität zu konfigurieren,<br />
sondern bietet darüber hinaus zusätzliche Sicherheitsvorteile durch Integration in die neue Funktion<br />
Netzwerkzugriffsschutz (Network Access Protection, NAP) von Windows Server 2008.<br />
Um eine neue Richtlinie für verkabelte Netzwerke zu erstellen, klicken Sie mit der rechten Maustaste<br />
auf den Knoten Richtlinien für verkabelte Netzwerke (IEEE 802.3) und wählen die Option Eine neue<br />
Windows Vista-Richtlinie erstellen. Wie in Abbildung 13.9 gezeigt, können Sie dann einen Namen<br />
und eine Beschreibung für die Richtlinie für verkabelte Netzwerke angeben.<br />
Abbildung 13.9 Konfigurieren des Features Richtlinien für verkabelte Netzwerke (IEEE 802.3)<br />
Die Option Windows-Dienst für automatische Konfiguration verkabelter Netzwerke für Clients verwenden<br />
ist ein wichtiges Feature, das die eigentliche Konfiguration durchführt und Clients mit dem<br />
verkabelten 802.3-Netzwerk verbindet. Wenn Sie diese Option deaktivieren, führt Windows keine<br />
Steuerung der verkabelten LAN-Verbindung durch, und die Richtlinieneinstellungen haben keine<br />
Wirkung.<br />
Schutz des Dienstes für die automatische Konfiguration von Kabelnetzwerken<br />
Das Implementieren der Sicherheitseinstellungen für verkabelte Netzwerke mithilfe von Gruppenrichtlinien<br />
basiert auf dem Dienst für die automatische Konfiguration von Kabelnetzwerken<br />
(dot3svc).
530 Kapitel 13: Einsetzen von Gruppenrichtlinien zum Verwalten der Sicherheit<br />
Dieser Dienst (im System unter dem Dienstnamen Automatische Konfiguration (verkabelt) angezeigt)<br />
verwaltet Verbindungen mit Ethernet-Netzwerken über 802.1X-kompatible Switches sowie<br />
das zum Konfigurieren eines Netzwerkclients für den authentifizierten Netzwerkzugriff verwendete<br />
Profil. Um eine ordnungsgemäße Authentifizierung und Sicherheit für Ihre Netzwerkclients zu<br />
gewährleisten, müssen Sie verhindern, dass Mitglieder der Domäne den Startmodus des Dienstes<br />
für die automatische Konfiguration von Kabelnetzwerken ändern. Mit den Einstellungen der Gruppenrichtlinien<br />
können Sie den Starttyp des Dienstes für die automatische Konfiguration von Kabelnetzwerken<br />
festlegen. Wechseln Sie zum Zugriff auf diese Einstellung zu Computerkonfiguration\<br />
Richtlinien\Windows-Einstellungen\Sicherheitseinstellungen\Systemdienste. Anschließend können<br />
Sie die Sicherheitsrichtlinieneinstellung wie in Abbildung 13.10 gezeigt konfigurieren.<br />
Abbildung 13.10<br />
Konfigurieren der Eigenschaften für den Dienst Automatische Konfiguration (verkabelt)<br />
Auf der Registerkarte Sicherheit können Sie Konfigurationseinstellungen für die Authentifizierungsmethode<br />
und den Modus für die Kabelverbindung festlegen. Tabelle 13.9 beschreibt die Optionen<br />
ausführlicher.<br />
Tabelle 13.9<br />
Optionen der Richtlinie für verkabelte Netzwerke<br />
Element<br />
IEEE 802.1X-Authentifizierung<br />
für Netzwerkzugriff aktivieren<br />
Netzwerkauthentifizierungsmethode<br />
auswählen<br />
Beschreibung<br />
Wird zum Aktivieren bzw. Deaktivieren der 802.1X-Authentifizierung für den Netzwerkzugriff<br />
verwendet. Diese Einstellung ist standardmäßig aktiviert.<br />
Über diese Dropdownliste kann die zum Authentifizieren von Netzwerkclients verwendeten<br />
Methode festgelegt werden.<br />
Zu den verfügbaren Optionen zählen:<br />
Microsoft: Geschütztes EAP (PEAP). Auf der Eigenschaftenseite für diese Option können<br />
Sie Konfigurationseinstellungen im Zusammenhang mit der Authentifizierungsmethode sowie<br />
Quarantäneprüfungen zur Nutzung mit NAP aktivieren.<br />
Microsoft: Smartcard- oder anderes Zertifikat. Auf der Eigenschaftenseite für diese Option<br />
können Sie u.a. das beim Herstellen der Verbindung zu verwendende Zertifikat sowie eine<br />
Liste der vertrauenswürdigen Stammzertifizierungsstellen festlegen.
Konfigurieren der Netzwerksicherheit mit Gruppenrichtlinien 531<br />
Tabelle 13.9<br />
Optionen der Richtlinie für verkabelte Netzwerke<br />
Element<br />
Authentifizierungsmodus<br />
Beschreibung<br />
Über diese Einstellung können Sie festlegen, wie die Netzwerkauthentifizierung durchgeführt<br />
wird. Zu den verfügbaren Optionen zählen:<br />
Wiederholte Benutzerauthentifizierung. Diese Einstellung gewährleistet, dass Sicherheitsanmeldeinformationen<br />
auf Basis des aktuellen Status des Computers ausgewertet werden.<br />
Ist kein Benutzer angemeldet, werden die Computeranmeldeinformationen authentifiziert.<br />
Wenn sich ein Benutzer anmeldet, werden die Benutzeranmeldeinformationen ausgewertet.<br />
Diese Einstellung wird empfohlen.<br />
Nur Computer. Nur die Computeranmeldeinformationen werden zur Authentifizierung herangezogen.<br />
Benutzerauthentifizierung. Diese Einstellung erzwingt nur dann die Benutzerauthentifizierung,<br />
wenn der Benutzer sich mit einem neuen 802.1X-kompatiblen Gerät verbindet.<br />
Andernfalls basiert die Authentifizierung hauptsächlich auf den Computeranmeldeinformationen.<br />
Gastauthentifizierung. Ermöglicht Verbindungen auf Basis des Benutzerkontos Gast.<br />
Konfigurieren der Sicherheit für drahtlose Netzwerke<br />
Ähnlich wie Windows Server 2008 Features für die Sicherheit verkabelter Netzwerke bietet, ermöglicht<br />
Windows Server 2008 Gruppenrichtlinieneinstellungen zur Konfiguration von Clients für die<br />
sichere Verbindung mit 802.1X-kompatiblen drahtlosen Zugriffspunkten. Dieses Feature verhindert,<br />
dass unberechtigte und nicht authentifizierte Benutzer und Computer sich mit Ihrem drahtlosen Netzwerk<br />
verbinden, und unterstützt Computer, auf denen Windows XP, Windows Server 2003, Windows<br />
Vista und Windows Server 2008 ausgeführt wird.<br />
Um eine Richtlinie für Drahtlosnetzwerke zu erstellen, klicken Sie mit der rechten Maustaste auf den<br />
Knoten Drahtlosnetzwerkrichtlinien (IEEE 802.11). Beachten Sie, dass Sie zwei Typen von Netzwerkrichtlinien<br />
erstellen können. Die Option Eine neue Windows XP-Richtlinie erstellen ähnelt den in<br />
früheren Versionen von Windows verfügbaren Konfigurationsmethoden und Funktionen. Die Option<br />
Eine neue Windows Vista-Richtlinie erstellen ermöglicht es, Einstellungen für drahtlose Netzwerke,<br />
Sicherheit und Verwaltung zu konfigurieren, die nur in Windows Vista verfügbar sind.<br />
Die Richtlinien für Windows Vista-Drahtlosnetzwerke (IEEE 802.11) bieten unter anderem die folgenden<br />
Verbesserungen:<br />
• Möglichkeit zum Konfigurieren mehrerer Profile unter Angabe derselben SSID (Service Set<br />
Identifier), aber mit verschiedenen Authentifizierungsmethoden<br />
• Möglichkeit zum Konfigurieren des Zulassens und Ablehnens von Listen für drahtlose Netzwerke,<br />
die nicht vom Administrator kontrolliert werden<br />
• Unterstützung der aktuellsten Authentifizierungsoptionen inklusive WPA2 (Wi-Fi Protected<br />
Access 2)<br />
• Integration in den Netzwerkzugriffsschutz (Network Access Protection, NAP) zur Einschränkung<br />
von drahtlosen Clients, die spezifischen Konfigurations- oder Statusanforderungen nicht gerecht<br />
werden
532 Kapitel 13: Einsetzen von Gruppenrichtlinien zum Verwalten der Sicherheit<br />
Konfigurieren von Windows-Firewall und IPsec-Sicherheit<br />
Windows Server 2008 und Windows Vista weisen eine bedeutende Verbesserung bezüglich der Verwendung<br />
der Richtlinien für Windows-Firewall und IPsec für die sichere Netzwerkkommunikation auf. Die<br />
Windows-Firewall mit erweiterter Sicherheit kombiniert die Funktionalität einer Hostfirewall mit den<br />
Authentifizierungs- und Verschlüsselungsfunktionen von IPsec. Dieses Features bietet eine leistungsfähige<br />
Hostfirewall, die zum Prüfen und Filtern des ein- und abgehenden IPv4- und IPv6-Datenverkehrs<br />
verwendet werden kann. IPsec-Funktionen beinhalten die Möglichkeit zur Anforderung einer<br />
gegenseitigen Authentifizierung von Computern vor der Kommunikation sowie die Verwendung von<br />
Datenintegrität oder -verschlüsselung bei der Kommunikation mit anderen Netzwerkhosts.<br />
Die Windows-Firewall mit erweiterter Sicherheit weist drei Hauptkomponenten auf, die direkt auf<br />
dem Hostcomputer konfiguriert und verwaltet oder zentral konfiguriert und mittels eines Gruppenrichtlinienobjekts<br />
auf einen <strong>Active</strong> <strong>Directory</strong>-Container angewendet werden können. Zu diesen Komponenten<br />
gehören:<br />
• Firewallregeln Firewallregeln können sowohl für den ein- als auch für den ausgehenden Datenverkehr<br />
erstellt werden. Sie können Regeln erstellen, die bestimmen, welche Computer, Benutzer,<br />
Programme, Dienste, Ports oder Protokolle sich mit dem geschützten Computer verbinden können.<br />
Außerdem können Sie festlegen, auf welche Netzwerkverbindung die Regel angewendet<br />
wird, z.B. auf ein lokales Netzwerk, ein drahtloses LAN, ein virtuelles privates Netzwerk oder<br />
alle Typen.<br />
• Verbindungssicherheitsregeln Verbindungssicherheitsregeln werden zum Konfigurieren von<br />
IPsec-Einstellungen für die Verbindung zwischen dem Hostcomputer und anderen Computern verwendet.<br />
Die Verbindungssicherheit bezieht sich in der Regel auf die Authentifizierung zwischen<br />
zwei Computern, bevor diese beginnen, Daten auszutauschen. Sie können jedoch auch Datenintegrität<br />
und -verschlüsselung konfigurieren, um zusätzliche Sicherheit zu gewährleisten.<br />
• Profile Dem Hostcomputer wird ein spezifisches Profil zugewiesen, um eindeutige Firewall- und<br />
Verbindungssicherheitsregeln bereitzustellen. Maßgeblich für das Profil ist, von wo aus der Computer<br />
die Verbindung herstellt. Drei Profilen von Windows Vista und Windows Server 2008 können<br />
Firewall- und Verbindungssicherheitsregeln zugewiesen werden:<br />
Domäne Dieses Profil wird angewendet, wenn ein Computer mit der zugehörigen Unternehmensdomäne<br />
verbunden wird.<br />
Privat Dieses Profil wird angewendet, wenn ein Computer mit einem Netzwerk verbunden<br />
wird, welches nicht das residente Domänenkonto des Computers enthält (z.B. ein Heimnetzwerk).<br />
Diese Einstellung ist restriktiver als das Domänenprofil.<br />
Öffentlich Dieses Profil wird angewendet, wenn ein Computer mit einem öffentlichen Netzwerk<br />
verbunden wird (z.B. einem Flughafen oder Café). Diese Profileinstellung muss so restriktiv<br />
wie möglich sein.<br />
Wie in Abbildung 13.11 gezeigt, bietet der Knoten Windows-Firewall mit erweiterter Sicherheit im<br />
Gruppenrichtlinienverwaltungs-Editor eine allgemeine Übersicht der aktuellen GPO-Konfiguration<br />
für jedes Profil und eine assistentenbasierte Methode zum Konfigurieren von Verbindungssicherheitsregeln<br />
sowie eingehenden und ausgehenden Regeln.
Konfigurieren der Netzwerksicherheit mit Gruppenrichtlinien 533<br />
Abbildung 13.11<br />
Konfigurieren der Windows-Firewall mit erweiterter Sicherheit<br />
Sie können den Standardstatus jedes Profils konfigurieren, indem Sie mit der rechten Maustaste auf<br />
Windows-Firewall mit erweiterter Sicherheit klicken und dann Eigenschaften wählen. Wie in<br />
Abbildung 13.12 gezeigt, hat jedes Profil spezifische Einstellungen hinsichtlich Firewallstatus, Einstellungen<br />
sowie Protokollierung. Die standardmäßigen IPsec-Einstellungen wie Schlüsselaustausch-,<br />
Datenschutz- und Authentifizierungsmodus können auch zur Anwendung auf gruppenrichtlinienbasierte<br />
Clients konfiguriert werden.<br />
Weitere Informationen Weitere Informationen zum Erstellen von Firewall- und Verbindungssicherheitsregeln<br />
finden Sie (in englischer Sprache) im Artikel „Introduction to Windows Firewall with Advanced<br />
Security“ unter http://www.microsoft.com/downloads/details.aspx?familyid=df192e1b-a92a-4075-9f69-<br />
c12b7c54b52b&displaylang=en.
534 Kapitel 13: Einsetzen von Gruppenrichtlinien zum Verwalten der Sicherheit<br />
Abbildung 13.12<br />
Konfigurieren von Profil- und IPsec-Standardeinstellungen<br />
Konfigurieren von Sicherheitseinstellungen anhand von<br />
Sicherheitsvorlagen<br />
Wie bereits erörtert, stehen Hunderte von Optionen zur Konfiguration der Sicherheit mit Gruppenrichtlinien<br />
zur Verfügung. Auf den ersten Blick wirken die Optionen in ihrer Vielzahl vielleicht überwältigend,<br />
sodass der Benutzer kaum erkennt, wo er mit der Konfiguration der Sicherheitsoptionen<br />
beginnen kann. Glücklicherweise erlaubt Microsoft das Erstellen und Anwenden von Sicherheitsvorlagen,<br />
um diese Aufgabe ein wenig zu erleichtern.<br />
Hinweis Frühere Versionen von Windows Server enthalten Beispiele vordefinierter Sicherheitsvorlagen.<br />
Windows Server 2008 enthält keine Beispielvorlagen.<br />
Sicherheitsvorlagen sind vordefinierte Sätze von Sicherheitskonfigurationen, die Sie auf Computer in<br />
Ihrem Netzwerk anwenden können. Anstatt jede der in diesem Kapitel erläuterten Sicherheitseinstellungen<br />
erneut durchgehen zu müssen, können Sie eine Ihrem Vorhaben entsprechende Sicherheitsvorlage<br />
auswählen und diese Vorlage mithilfe von Gruppenrichtlinien anwenden. Wenn Sie z.B. Arbeitsstationen<br />
in einer Umgebung einrichten, wo Sie strikte Sicherheitseinstellungen umsetzen möchten,<br />
können Sie eine Sicherheitsvorlage mit Hochsicherheitseinstellungen anwenden. Wenn Sie Arbeitsstationen<br />
mit geringerer Sicherheitsstufe einrichten, können Sie eine andere Vorlage anwenden, die<br />
weniger strikte Sicherheitseinstellungen für diese Arbeitsstationen konfiguriert. Sicherheitsvorlagen<br />
können den spezifischen Anforderungen Ihres Unternehmens angepasst werden.<br />
Sicherheitsvorlagen enthalten nicht alle, jedoch die gängigsten Sicherheitseinstellungen, die viele<br />
Unternehmen als Standardeinstellungen anwenden. Diese Optionen können in einer Sicherheitsvorlage<br />
konfiguriert werden:
Konfigurieren von Sicherheitseinstellungen anhand von Sicherheitsvorlagen 535<br />
• Kontorichtlinien<br />
• Lokale Richtlinien<br />
• Ereignisprotokoll<br />
• Eingeschränkte Gruppen<br />
• Systemdienste<br />
• Registrierung<br />
• Dateisystem<br />
Sie können Ihre eigene Sicherheitsvorlage erstellen oder eine vordefinierte Vorlage aus Drittanbieterquellen<br />
verwenden. Wenn Sie eine neue Vorlage erstellen, können Sie diese als textbasierte .inf-Datei<br />
speichern, sodass sie zur Anwendung auf Computer in ein Gruppenrichtlinienobjekt importiert werden<br />
kann. Öffnen Sie zum Erstellen einer neuen Sicherheitsvorlage eine MMC-Konsolenshell, und<br />
fügen Sie das Snap-In Sicherheitsvorlagen hinzu. Anschließend können Sie mit der rechten Maustaste<br />
auf den Pfadknoten klicken und Neue Vorlage wählen. Abbildung 13.13 zeigt zwei in der Konsole<br />
Sicherheitsvorlagen erstellte benutzerdefinierte Vorlagen. Beachten Sie, dass jede Vorlage auf<br />
den Anforderungen der Vorlage basierende eindeutige Einstellungen für jede Konfigurationseinstellung<br />
aufweisen kann.<br />
Abbildung 13.13<br />
Erstellen einer benutzerdefinierten Sicherheitsvorlage<br />
Hinweis Der Windows Server 2008 Security Guide bietet spezifische Anleitungen und Beispielvorlagen<br />
zum Schutz von Serverrollen mithilfe von Sicherheitsvorlagen. Sie können den in englischer Sprache bereitgestellten<br />
Windows Server 2008 Security Guide unter http://www.microsoft.com/downloads/<br />
details.aspx?familyid=FB8B981F-227C-4AF6-A44B-B115696A80AC&displaylang=en herunterladen.
536 Kapitel 13: Einsetzen von Gruppenrichtlinien zum Verwalten der Sicherheit<br />
Bereitstellen von Sicherheitsvorlagen<br />
Nachdem Sie eine Sicherheitsvorlage erhalten oder erstellt haben, können Sie sie mittels verschiedener<br />
Methoden bereitstellen:<br />
• Importieren der Sicherheitsvorlage in ein Gruppenrichtlinienobjekt<br />
• Verwenden des Tools Sicherheitskonfiguration und -analyse<br />
• Verwenden des Befehlszeilentools Secedit.exe<br />
• Verwenden des Sicherheitskonfigurations-Assistenten<br />
Verwenden von Gruppenrichtlinien zum Bereitstellen von Sicherheitsvorlagen<br />
Gruppenrichtlinien bieten eine praktische Möglichkeit, benutzerdefinierte Sicherheitsvorlagen für<br />
Ziel-OUs in <strong>Active</strong> <strong>Directory</strong> bereitzustellen. Die folgenden Schritte zeigen, wie Sicherheitsvorlagen<br />
mithilfe von GPOs bereitgestellt werden:<br />
1. Bearbeiten oder erstellen Sie von der Konsole Gruppenrichtlinienverwaltung aus eine neue GPO.<br />
2. Wechseln Sie zu Computerkonfiguration\Richtlinien\Windows-Einstellungen\Sicherheitseinstellungen.<br />
3. Klicken Sie mit der rechten Maustaste auf Sicherheitseinstellungen, und klicken Sie dann auf<br />
Richtlinie importieren.<br />
4. Wählen Sie im Feld Richtlinie importieren von die Sicherheitsrichtlinie aus, die Sie importieren<br />
möchten, und klicken Sie auf Öffnen.<br />
5. Vergewissern Sie sich, dass die Sicherheitseinstellungen im GPO richtig sind, schließen Sie das<br />
GPO, und verknüpfen sie es mit dem entsprechenden Container in <strong>Active</strong> <strong>Directory</strong>.<br />
Verwenden des Tools Sicherheitskonfiguration und -analyse zum Anwenden von<br />
Sicherheitsvorlagen<br />
Das Tool Sicherheitskonfiguration und -analyse kann zum Erstellen bzw. Ändern bestehender Sicherheitsvorlagen<br />
verwendet werden. Eine Sicherheitsvorlage kann in das Tool Sicherheitskonfiguration<br />
und -analyse geladen und zum Analysieren und Vergleichen eines Zielcomputers verwendet werden.<br />
Sie können z.B. eine vorkonfigurierte Vorlage laden und dann einen Computer analysieren, um die<br />
Unterschiede zwischen der Vorlage und der aktuellen Computerkonfiguration festzustellen.<br />
Abbildung 13.14 zeigt ein Beispiel dieses Analyseergebnisses.<br />
Sie können mithilfe dieses Tools auch die Sicherheitsvorlage auf den Computer anwenden. Falls Sie<br />
sich dazu entschließen, die benutzerdefinierte Vorlage auf den Computer anzuwenden, können Sie mit<br />
der rechten Maustaste auf Sicherheitskonfiguration und -analyse klicken und Computer jetzt konfigurieren<br />
auswählen. Alle Sicherheitseinstellungen des Computers werden dann entsprechend der Sicherheitsvorlage<br />
geändert.<br />
Das Tool Sicherheitskonfiguration und -analyse ist nicht zur Verwendung mit Gruppenrichtlinien<br />
bestimmt. Dieses Tool kann dieselben vordefinierten Sicherheitsvorlagen wie der Gruppenrichtlinienverwaltungs-Editor<br />
verwenden, bietet jedoch eine alternative Möglichkeit zum Bereitstellen der Vorlage.<br />
Es ist primär zur Verwendung mit eigenständigen Computern vorgesehen.
Konfigurieren von Sicherheitseinstellungen anhand von Sicherheitsvorlagen 537<br />
Abbildung 13.14<br />
-analyse<br />
Analyse einer Computersicherheitskonfiguration mithilfe des Tools Sicherheitskonfiguration und<br />
Verwenden des Tools Secedit.exe zum Anwenden von Sicherheitsvorlagen<br />
Das Befehlszeilentool Secedit weist eine ähnliche Funktionalität auf wie das Tool Sicherheitskonfiguration<br />
und -analyse. Mit Secedit können Sie die Computereinstellungen auf der Basis einer Vorlage<br />
analysieren und dann anwenden. Eine der nützlichen Features des Befehlszeilentools Secedit ist, dass<br />
Sie mit seiner Hilfe eine Rollbackkonfiguration generieren können, bevor Sie eine Sicherheitsvorlage<br />
anwenden. Diese Option ermöglicht das mühelose Wiederherstellen der vorherigen Einstellungen für<br />
den Fall, dass die von Ihnen angewendete Sicherheitsvorlage nicht geeignet ist. Wie das Tool Sicherheitskonfiguration<br />
und -analyse wird Secedit in der Regel nicht in einer <strong>Active</strong> <strong>Directory</strong>-Umgebung,<br />
sondern in eigenständigen Konfigurationen verwendet. Sie können Secedit jedoch in Anmelde- oder<br />
Startskripts verwenden, um spezifische sicherheitsbezogene Einstellungen auf eine Arbeitsstation<br />
anzuwenden.<br />
Integrieren des Sicherheitskonfigurations-Assistenten in Sicherheitsvorlagen und<br />
Gruppenrichtlinien<br />
Wie in Kapitel 8, „<strong>Active</strong> <strong>Directory</strong>-Domänendienstsicherheit,“ beschrieben, kann der Sicherheitskonfigurations-Assistent<br />
(Security Configuration Wizard, SCW) zum Generieren und Konfigurieren<br />
XML-basierter Richtliniendateien verwendet werden, um zur Reduzierung der Angriffsfläche eines<br />
Domänencontrollers beizutragen.
538 Kapitel 13: Einsetzen von Gruppenrichtlinien zum Verwalten der Sicherheit<br />
Der Sicherheitskonfigurations-Assistent verfügt über einige zusätzliche Features, die zum Integrieren<br />
in Sicherheitsvorlagen und Gruppenrichtlinieneinstellungen verwendet werden können:<br />
• Einbeziehen vorkonfigurierter Sicherheitsvorlagen in die SCW-generierte Richtlinie<br />
• Möglichkeit zur Verwendung des Befehlszeilentools Scwcmd zum Umwandeln einer SCW-generierten<br />
Richtlinie in ein Gruppenrichtlinienobjekt<br />
Wenn Sie die Konfiguration einer Sicherheitsrichtlinie mit dem Sicherheitskonfigurations-Assistenten<br />
abschließen, müssen Sie einen Richtliniendateinamen und eine Beschreibung der Richtlinie angeben<br />
sowie vorkonfigurierte Sicherheitsvorlagen einbeziehen. Wenn Sie der SCW-Richtlinie Sicherheitsvorlagen<br />
hinzufügen, werden alle konfigurierten Einstellungen zusammen mit den weiteren<br />
Inhalten der SCW-Richtlinie angewendet. Sie müssen unbedingt beachten, dass jegliche auf die<br />
Registrierung oder Dateisystemobjekte bezogenen, in der Sicherheitsvorlage definierten Sicherheitsinformationen<br />
nicht mittels der SCW-Rollbackfunktion entfernt werden können, sobald sie angewendet<br />
wurden. Abbildung 13.15 zeigt ein Beispiel der Einbeziehung von Sicherheitsvorlagen in eine<br />
Richtlinie des Sicherheitskonfigurations-Assistenten.<br />
Abbildung 13.15<br />
Einbeziehen von Sicherheitsvorlagen in eine SCW-Sicherheitsrichtlinie<br />
Auch im Sicherheitskonfigurations-Assistenten ist das Befehlszeilentool Scwcmd verfügbar, das zum<br />
Konvertieren einer SCW-basierten Richtlinie in ein nicht verknüpftes Gruppenrichtlinienobjekt verwendet<br />
werden kann. Führen Sie die Konvertierung mittels folgender Syntax durch:<br />
scwcmd transform /p:Richtliniendatei.xml /g:g:GPO-Anzeigename<br />
Das konvertierte GPO wird im Container Gruppenrichtlinienobjekte gespeichert und kann mithilfe<br />
der Konsole Gruppenrichtlinienverwaltung angezeigt und verwaltet werden. Anschließend können<br />
Sie das GPO über die Konsole Gruppenrichtlinienverwaltung mit <strong>Active</strong> <strong>Directory</strong>-Zielcontainern<br />
verknüpfen.
Zusammenfassung<br />
Zusammenfassung 539<br />
Der <strong>Active</strong> <strong>Directory</strong>-Domänendienst stützt sich darauf, dass mithilfe von Gruppenrichtlinien Standardsicherheitseinstellungen<br />
sowohl für die Domäne als auch die Domänencontroller innerhalb der<br />
Domäne bereitgestellt werden. Ein von Domänenadministratoren sicherlich begrüßtes neues Feature<br />
ist die Möglichkeit zur Implementierung fein abgestimmter Kennwortrichtlinien. Es ermöglicht die<br />
Implementierung verschiedener Kennworteinstellungen (z.B. Alter oder Länge des Kennworts) auf<br />
der Basis von Abteilungen oder Rollen innerhalb der Organisation. Neben domänenbasierten Sicherheitseinstellungen<br />
bieten die Gruppenrichtlinien auch eine Möglichkeit, die Verstärkung der Serversicherheit<br />
sowie Konfigurations- und Sicherheitseinstellungen für verkabelte und drahtlose Netzwerkkonfigurationen<br />
zentral zu verwalten. Zur Unterstützung der Verwaltung und Bereitstellung<br />
bestimmter Sicherheitseinstellungen können Sicherheitsvorlagen konfiguriert und entweder direkt auf<br />
einen Computer angewendet oder zur Anwendung auf mehrere Computer in ein Gruppenrichtlinienobjekt<br />
importiert werden.<br />
Zusätzliche Ressourcen<br />
Die folgenden Ressourcen enthalten zusätzliche Informationen und Tools im Zusammenhang mit diesem<br />
Kapitel.<br />
Verwandte Informationen<br />
• In Kapitel 8, „<strong>Active</strong> <strong>Directory</strong>-Domänendienstsicherheit“, finden Sie nähere Informationen zum<br />
Schutz von <strong>Active</strong> <strong>Directory</strong> sowie zusätzliche Details zur Domänencontrollersicherheit.<br />
• Kapitel 9, „Delegieren der <strong>Active</strong> <strong>Directory</strong>-Domänendiensteverwaltung“, enthält Einzelheiten<br />
zur Überwachung von <strong>Active</strong> <strong>Directory</strong>-Objekten.<br />
• Kapitel 11, „Einführung in Gruppenrichtlinien“, stellt Einzelheiten zur Architektur und Konfiguration<br />
von Gruppenrichtlinienobjekten bereit.<br />
• Kapitel 12, „Einsetzen von Gruppenrichtlinien zum Verwalten von Benutzerdesktops“, enthält<br />
detaillierte Informationen zu verschiedenen Gruppenrichtlinieneinstellungen.<br />
• „Step-by-Step Guide for Fine-Grained Password and Account Lockout Policy Configuration“ in<br />
englischer Sprache unter http://technet2.microsoft.com/windowsserver2008/en/library/2199dcf7-<br />
68fd-4315-87cc-ade35f8978ea1033.mspx?mfr=true.<br />
• „SO WIRD'S GEMACHT: Verwendung von Richtlinien für Softwareeinschränkung in Windows<br />
Server 2003“ unter http://support.microsoft.com/kb/324036.<br />
• „Introduction to Windows Firewall with Advanced Security“ in englischer Sprache unter http://<br />
www.microsoft.com/downloads/details.aspx?familyid=df192e1b-a92a-4075-9f69-<br />
c12b7c54b52b&displaylang=en.<br />
• „Group Policy Wiki“ in englischer Sprache unter http://grouppolicy.editme.com/.<br />
• „Group Policy Team Blog“ in englischer Sprache unter http://blogs.technet.com/GroupPolicy/.<br />
• „Windows Server Group Policy“ in englischer Sprache unter http://technet.microsoft.com/en-ca/<br />
windowsserver/grouppolicy/default.aspx.<br />
• „Windows Server 2008 Security Guide“ in englischer Sprache unter http://www.microsoft.com/<br />
downloads/details.aspx?familyid=FB8B981F-227C-4AF6-A44B-B115696A80AC&displaylang=en.
T E I L I V<br />
Warten von Windows Server 2008 <strong>Active</strong><br />
<strong>Directory</strong><br />
Inhalt dieses Teils:<br />
Kapitel 14: Überwachen und Warten von <strong>Active</strong> <strong>Directory</strong>. . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 543<br />
Kapitel 15: <strong>Active</strong> <strong>Directory</strong>-Notfallwiederherstellung. . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 575
543<br />
K A P I T E L 1 4<br />
Überwachen und Warten von <strong>Active</strong> <strong>Directory</strong><br />
Inhalt dieses Kapitels:<br />
Überwachen von <strong>Active</strong> <strong>Directory</strong> . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 543<br />
Verwalten der <strong>Active</strong> <strong>Directory</strong>-Datenbank. . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 566<br />
Zusammenfassung. . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 572<br />
Zusätzliche Ressourcen. . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 572<br />
Ein wichtiger Bestandteil einer umsichtig entworfenen, geplanten und implementierten <strong>Active</strong> <strong>Directory</strong>-Infrastruktur<br />
und gleichzeitig die Voraussetzung zur Optimierung der Leistung und Zuverlässigkeit<br />
ist eine regelmäßige Überwachung und Wartung von <strong>Active</strong> <strong>Directory</strong>. Bei den <strong>Active</strong> <strong>Directory</strong>-<br />
Domänendiensten (<strong>Active</strong> <strong>Directory</strong> Domain Services, AD DS) handelt es sich um einen verteilten<br />
Netzwerkdienst, der in größeren Unternehmen sehr komplex sein kann und an dem täglich Tausende<br />
Änderungen vorgenommen werden, wie z.B. das Erstellen oder Löschen von Benutzerkonten oder<br />
das Ändern von Objektattributen, Gruppenmitgliedschaften und Berechtigungen. Um sicherzustellen,<br />
dass sich diese Änderungen sowie die sich stets ändernde Netzwerk- und Serverumgebung, in welcher<br />
der Dienst ausgeführt wird, nicht negativ auf die Leistung von <strong>Active</strong> <strong>Directory</strong> auswirken,<br />
müssen proaktive Maßnahmen ergriffen werden. In diesem Kapitel werden die beiden wesentlichen<br />
Bestandteile der Unterstützung Ihrer AD DS-Infrastruktur erläutert: die Überwachung von Domänencontrollern<br />
und die Wartung der <strong>Active</strong> <strong>Directory</strong>-Datenbank.<br />
Überwachen von <strong>Active</strong> <strong>Directory</strong><br />
Um in Ihrer Organisation stets einen zuverlässigen Verzeichnisdienst bereitzustellen, ist die Überwachung<br />
des AD DS-Status unerlässlich. Ihre Benutzer vertrauen auf die effiziente Ausführung des Verzeichnisdienstes<br />
– sei es zur Anmeldung am Netzwerk, zum Zugreifen auf freigegebene Ressourcen<br />
oder zum Abrufen und Versenden von E-Mails. Sämtliche Aktivitäten, die Ihre Benutzer als kritisch<br />
einstufen würden, sind vom Status und der Verfügbarkeit von <strong>Active</strong> <strong>Directory</strong> abhängig.<br />
Die Überwachung der AD DS umfasst mehrere Aufgaben, die alle mit dem gleichen Ziel durchgeführt<br />
werden: die Messung des aktuellen Status und der Leistung verschiedener Schlüsselkomponenten<br />
(Speicherkapazität, Prozessorauslastung, Konfiguration usw.) im Vergleich zu einer sogenannten<br />
Baseline, welche die Standardanforderungen darstellt. Jede einzelne Komponente kann unterschiedliche<br />
Indikatoren umfassen, beispielsweise Leistungsindikatoren, Systemereignisse und -protokolle<br />
(auch als Ablaufverfolgungsdaten bezeichnet) sowie Konfigurationsinformationen. Angesichts dieses<br />
großen Umfangs an Informationen, die zusammengetragen werden können, ist die Implementierung<br />
einer Überwachungslösung für die Zusammenführung all dieser Indikatoren erforderlich, um Informationen<br />
bereitzustellen, mit denen Sie Ihre Servicelevelziele vorausschauend und effizient umsetzen<br />
können. Windows Server 2008 stellt zu diesem Zweck einen verbesserten Toolsatz bereit, die Zuverlässigkeits-<br />
und Leistungsüberwachung.
544 Kapitel 14: Überwachen und Warten von <strong>Active</strong> <strong>Directory</strong><br />
Diese neue Überwachungskonsole kann für die Untersuchung vieler unterschiedlicher Komponenten<br />
verwendet werden, die mit der Serverleistung verbunden sind. Diese Untersuchungen können entweder<br />
in Echtzeit durchgeführt werden, oder es werden Protokolldaten für eine spätere Analyse gesammelt.<br />
Hinweis Viele auf dem Markt erhältliche und für große Unternehmen wohl unerlässliche Dienstprogramme<br />
ermöglichen eine Überwachung dieser Schlüsselindikatoren über eine einfach zu verwaltende<br />
Schnittstelle. Diese Dienstprogramme sind jedoch häufig nicht nur kosten- und ressourcenintensiv, sondern<br />
auch sehr komplex. Die Zuverlässigkeits- und Leistungsüberwachung von Windows umfasst zahlreiche<br />
wesentliche Features, wodurch für kleinere Unternehmen nicht mehr unbedingt die Notwendigkeit zum<br />
Erwerb hochentwickelter Überwachungslösungen von Drittanbietern besteht.<br />
Für ein umfassendes Verständnis der <strong>Active</strong> <strong>Directory</strong>-Überwachung ist es unerlässlich zu wissen, aus<br />
welchem Grund eine Überwachung erforderlich ist, auf welche Weise <strong>Active</strong> <strong>Directory</strong> überwacht<br />
wird und welche Komponenten innerhalb der <strong>Active</strong> <strong>Directory</strong>-Umgebung überwacht werden sollten.<br />
Um Ihren Verzeichnisdienst auch bei höchsten Leistungsanforderungen weiterhin zuverlässig ausführen<br />
zu können, müssen Sie außerdem wissen, welche Maßnahmen Sie im Rahmen der Überwachung<br />
ggf. ergreifen müssen. Dieses Kapitel liefert Antworten auf diese Fragen und unterstützt Sie dabei, die<br />
beste Methode zum Überwachen und Warten Ihrer AD DS-Umgebung zu ermitteln.<br />
Direkt von der Quelle: Überwachen von <strong>Active</strong> <strong>Directory</strong>, Teil 1<br />
Ein umfassendes Verständnis für die Bedeutung der Überwachung von <strong>Active</strong> <strong>Directory</strong> in einem<br />
Verwaltungszusammenhang ist unerlässlich. Beispielsweise kann das Messen der LDAP-Lookupleistung<br />
nützlich sein, bietet jedoch keinen vollständigen Überblick. In diesem Zusammenhang<br />
bedeutet ein erfolgreicher LDAP-Lookup nicht, dass das erwartete Gruppenrichtlinienobjekt angewendet<br />
werden kann oder dass Sie den nächstgelegenen <strong>Active</strong> <strong>Directory</strong>-Domänencontroller zum<br />
Authentifizieren ermitteln können. Die Verwendungsweise von <strong>Active</strong> <strong>Directory</strong> bietet viele Funktionalitäten,<br />
die über das gesamte Windows-System verteilt und eng mit dem <strong>Active</strong> <strong>Directory</strong>-<br />
Inhalt verknüpft sind. Beispielsweise werden durch eine Authentifizierungsanforderung nachfolgende<br />
Prozesse gestartet und zahlreiche Features in <strong>Active</strong> <strong>Directory</strong> oder in Zusammenhang mit<br />
<strong>Active</strong> <strong>Directory</strong> genutzt, wie z.B. DNS-Lookups, LDAP-Anforderungen, Kerberos-Anforderungen,<br />
Gruppenrichtlinienobjekteinstellungen, Netzwerkzugriffe auf SYSVOL und Basisverzeichnisse<br />
usw. Daher ist es wichtig, dass die Überwachung von <strong>Active</strong> <strong>Directory</strong> auf ganzheitlicher<br />
Basis und nicht komponentenbasiert durchgeführt wird, auch wenn es letztlich die Summe und<br />
Korrelation der überwachten Komponenten ist, die eine ganzheitliche Überwachung und den Status<br />
von <strong>Active</strong> <strong>Directory</strong> als Ganzes ausmacht. Durch eine ganzheitliche Überwachung des <strong>Active</strong><br />
<strong>Directory</strong>-Status erhalten Sie einen realistischen Überblick über die Verfügbarkeit und Zuverlässigkeit<br />
Ihrer <strong>Active</strong> <strong>Directory</strong>-Implementierung zur Unterstützung Ihres gesamten Unternehmens.<br />
Alain Lissoir<br />
Senior Program Manager<br />
<strong>Active</strong> <strong>Directory</strong> – Connected System Division<br />
Gründe für die Überwachung von <strong>Active</strong> <strong>Directory</strong><br />
Ein guter Grund für die Überwachung von <strong>Active</strong> <strong>Directory</strong> besteht darin, dass mögliche Probleme<br />
erkannt werden, bevor diese lange Dienstunterbrechungen verursachen.
Überwachen von <strong>Active</strong> <strong>Directory</strong> 545<br />
Aus geschäftlicher Sicht ermöglicht Ihnen die Überwachung die Einhaltung Ihrer Vereinbarung zum<br />
Servicelevel (Service Level Agreement, SLA) mit Ihren Kunden (den Netzwerkbenutzern). Sie sollten<br />
auf jeden Fall den Status von <strong>Active</strong> <strong>Directory</strong> überwachen, um Probleme schnellstmöglich vor<br />
dem Auftreten von Dienstunterbrechungen zu ermitteln.<br />
Hinweis Bei einer SLA handelt es sich um einen Vertrag zwischen einem Dienstanbieter (Ihnen) und den<br />
Benutzergruppen, in dem die Verantwortlichkeiten jeder Partei definiert werden und aus dem sich die Verpflichtung<br />
zur Bereitstellung eines bestimmten Servicelevels in festgelegtem Umfang und zu festgelegter<br />
Qualität ergibt. Im Kontext von <strong>Active</strong> <strong>Directory</strong> würde eine SLA zwischen der IT-Abteilung und den Benutzergruppen<br />
den höchsten Grad an annehmbaren Systemausfallzeiten sowie Leistungsmesswerte umfassen, wie<br />
beispielsweise die Zeit, die bei Supportanforderungen zwischen Anmeldung und Antwort vergeht. Als Gegenleistung<br />
dazu, dass sich der Dienstanbieter zur Einhaltung bestimmter Leistungs- und Betriebsstandards verpflichtet,<br />
erklären sich die Benutzergruppen dazu bereit, einen bestimmten Grad an Auslastung einzuhalten,<br />
z.B. dass die <strong>Active</strong> <strong>Directory</strong>-Gesamtstruktur nicht mehr als 10.000 Benutzer umfassen kann.<br />
Die Möglichkeit, Änderungen an der Infrastruktur nachverfolgen zu können, ist ein weiterer Grund,<br />
der für die Überwachung des Systemstatus von <strong>Active</strong> <strong>Directory</strong> spricht. Hat die Größe Ihrer <strong>Active</strong><br />
<strong>Directory</strong>-Datenbank seit dem vergangenen Jahr zugenommen? Sind alle Ihre globalen Katalogserver<br />
(Global Catalog, GC) online? Wie lange dauert es, bis an einem Domänencontroller in Frankreich<br />
vorgenommene Änderungen auf einen Domänencontroller in Australien repliziert werden? Antworten<br />
auf all diese Fragen können zwar nicht verhindern, dass heute ein Fehler auftritt, Sie erhalten<br />
jedoch wertvolle Informationen, die Sie für zukünftige Planungen verwenden können.<br />
Vorteile der Überwachung von AD DS<br />
Die Überwachung von <strong>Active</strong> <strong>Directory</strong> bringt zahlreiche Vorteile mit sich:<br />
• Die Möglichkeit zur Einhaltung der mit Benutzern geschlossenen SLAs durch die Vermeidung<br />
von Dienstausfallzeiten<br />
• Erhöhte Leistungsfähigkeit von <strong>Active</strong> <strong>Directory</strong> durch die Behebung ansonsten unentdeckter<br />
Dienstengpässe<br />
• Geringere Verwaltungskosten durch proaktive Systemwartung<br />
• Verbesserte Möglichkeiten zum Skalieren und Planen zukünftiger Infrastrukturänderungen durch<br />
ein fundiertes Wissen über Komponenten, Kapazitäten und Auslastung von <strong>Active</strong> <strong>Directory</strong><br />
• Erhöhte Wertschätzung der IT-Abteilung aufgrund von Kundenzufriedenheit<br />
Kosten der <strong>Active</strong> <strong>Directory</strong>-Überwachung<br />
Die Überwachung Ihrer <strong>Active</strong> <strong>Directory</strong>-Infrastruktur ist mit Kosten verbunden. Im Folgenden werden<br />
einige Kostenfaktoren aufgeführt, die mit der Implementierung einer effektiven Überwachungslösung<br />
verbunden sind:<br />
• Arbeitsstunden, die für Entwurf, Bereitstellung und Verwaltung einer Überwachungslösung anfallen.<br />
• Ausreichend finanzielle Mittel, die für den Erwerb der erforderlichen Verwaltungstools, Schulungen<br />
und der zum Implementieren der Dienstüberwachung benötigten Hardware erforderlich sind.<br />
• Ein Teil der Netzwerkbandbreite wird für die Überwachung des <strong>Active</strong> <strong>Directory</strong>-Status auf allen<br />
Domänencontrollern im Unternehmen genutzt.<br />
• Speicher- und Prozessorressourcen werden zum Ausführen von Agent-Anwendungen auf<br />
Zielservern und auf dem Computer der zentralen Überwachungskonsole genutzt.
546 Kapitel 14: Überwachen und Warten von <strong>Active</strong> <strong>Directory</strong><br />
Es sollte ebenfalls erwähnt werden, dass ein Wechsel auf eine unternehmensweite Überwachungsplattform<br />
wie beispielsweise Microsoft System Center Operations Manager mit relativ hohen<br />
Anfangskosten verbunden ist. Bei einer solchen Lösung fallen zusätzliche Softwarekosten an, es sind<br />
Operatorschulungen erforderlich, und unter Umständen werden mehr Systemressourcen genutzt, als<br />
bei vielen systemeigenen Windows Server 2008-Überwachungstools. Dennoch handelt es sich bei<br />
diesen Unternehmensüberwachungssystemen um bewährte, integrierte sowie unterstützte Produkte<br />
mit Features, die langfristig eine Kosteneinsparung und eine erhöhte Betriebseffizienz für die Verwaltungs-<br />
und Überwachungsumgebung sicherstellen.<br />
In welchem Umfang Sie Ihre Überwachung planen, ist von Ihrer Kosten-Nutzen-Analyse abhängig.<br />
Die für die Überwachungslösung bereitgestellten Ressourcen sollten allerdings nicht die Einsparungen<br />
übersteigen, die Sie voraussichtlich durch die Überwachung erzielen. Aus diesem Grund stellt<br />
für größere Unternehmen die Investition in Unternehmensüberwachungslösungen die kosteneffektivste<br />
Möglichkeit dar. Für kleinere Unternehmen ist es jedoch oftmals sinnvoller, die in Windows<br />
Server 2008 integrierten Überwachungstools zu verwenden.<br />
Hinweis System Center Operations Manager bietet eine Ereignisverwaltung, Dienstüberwachung und ein<br />
Warnungssystem, eine Berichterstellung sowie Trendanalysen. Diese Lösung arbeitet mit Agents, die auf<br />
den verwalteten Knoten (überwachte Server) ausgeführt werden und Daten zur Analyse, Verfolgung und<br />
Anzeige an eine zentrale Verwaltungskonsole senden. Durch diese Zentralisierung kann ein Netzwerkadministrator<br />
die Verwaltung einer umfassenden Sammlung an unterschiedlichsten Servern von einem einzigen<br />
Standort mithilfe von leistungsstarken Verwaltungstools zur Remoteverwaltung bewerkstelligen. Operations<br />
Manager verwendet Management Packs, um die Knowledge Base für Daten bestimmter Netzwerkdienste<br />
sowie serverbasierter Anwendungen zu erweitern. Management Packs sind für viele Dienste und Anwendungen<br />
erhältlich, wie beispielsweise für <strong>Active</strong> <strong>Directory</strong>, DNS (Domain Name System), die Microsoft<br />
Internetinformationsdienste (Internet Information Services, IIS) und Microsoft Exchange Server. Weitere<br />
Informationen zu Operations Manager finden Sie unter http://www.microsoft.com/systemcenter/opsmgr/<br />
default.mspx (in englischer Sprache).<br />
Überwachen von Serverzuverlässigkeit und -leistung<br />
Windows Server 2008 umfasst die Zuverlässigkeits- und Leistungsüberwachung, die zum Analysieren<br />
der Systemleistung sowie zum Bereitstellen von Informationen zur Zuverlässigkeit zahlreicher<br />
Windows- und anwendungsbezogener Komponenten verwendet wird. Die Zuverlässigkeits- und Leistungsüberwachung<br />
wird über das Menü Verwaltung gestartet und umfasst drei Überwachungstools,<br />
die im Rahmen bestimmter Überwachungs- und Fehlerbehebungsanforderungen genutzt werden können:<br />
den Ressourcenmonitor, den Systemmonitor sowie die Zuverlässigkeitsüberwachung.<br />
Ressourcenübersicht<br />
Auf der Startseite der Ressourcenübersicht wird eine Zusammenfassung der Auslastung und Leistung<br />
von CPU, Festplatte, Netzwerk und Arbeitsspeicher des Servers angezeigt. Die Daten werden in Echtzeit<br />
bereitgestellt und in Form von vier Diagrammen dargestellt. Wie in Abbildung 14.1 dargestellt,<br />
wird bei Auswahl des Stammknotens in der Zuverlässigkeits- und Leistungsüberwachung die Ressourcenübersicht<br />
dargestellt. Sie können zusätzliche Informationen zu jeder Komponente anzeigen,<br />
indem Sie die den jeweiligen Detailbereich erweitern. Wenn Sie beispielsweise ermitteln möchten,<br />
welche Prozesse derzeit ausgeführt werden und welche durchschnittliche CPU-Auslastung jeder Prozess<br />
erzeugt, können Sie den Bereich CPU erweitern, in dem Ihnen die erforderlichen Informationen<br />
bereitgestellt werden.
Überwachen von <strong>Active</strong> <strong>Directory</strong> 547<br />
Abbildung 14.1<br />
Anzeigen von Details in der Ressourcenübersicht<br />
Hinweis Sie können den Ressourcenmonitor in einem eigenständigen Fenster öffnen, indem Sie über das<br />
Startmenü den Befehl perfmon /res eingeben. Wenn in der Ressourcenübersicht keine Echtzeitdaten angezeigt<br />
werden, starten Sie den Monitor durch Klicken auf die grüne Startschaltfläche (nur in der Konsole<br />
Zuverlässigkeit und Leistung) oder indem Sie im Menü Überwachen auf Starten klicken (nur in der Darstellung<br />
Ressourcenmonitor).<br />
Systemmonitor<br />
Der Systemmonitor kann zur Echtzeitanzeige von Leistungsdaten auf einem lokalen Computer oder<br />
mehreren Remotecomputern verwendet werden. Darüber hinaus können Sie den Systemmonitor zur<br />
Anzeige gespeicherter Protokolldateien verwenden, was die Ermittlung von Leistungstrends erheblich<br />
vereinfacht. Die Grundfunktionen des Systemmonitors haben sich im Vergleich zu Windows-Vorgängerversionen<br />
nur wenig verändert, es werden unter anderem die folgenden nützlichen Optionen<br />
bereitgestellt:<br />
• Wählen Sie zum Anpassen der Ansicht eines bestimmten Indikators den Indikator im unteren<br />
Bereich des Detailbereichs aus, und klicken Sie in der Symbolleiste auf die Schaltfläche Markierung<br />
(oder drücken Sie STRG + H). Dadurch wird die Diagrammlinie des ausgewählten Indikators<br />
hervorgehoben und ist innerhalb des Diagramms leichter erkennbar.
548 Kapitel 14: Überwachen und Warten von <strong>Active</strong> <strong>Directory</strong><br />
• Sie können zwischen den Ansichten Linie, Histogrammleiste oder Bericht wechseln, indem Sie<br />
auf der Symbolleiste die entsprechende Schaltfläche auswählen.<br />
• Sie können Diagrammeinstellungen des Systemmonitors als .html-Seite speichern. Konfigurieren<br />
Sie hierzu ein Diagramm mit den erforderlichen Indikatoren, klicken Sie mit der rechten Maustaste<br />
auf das Diagramm, und wählen Sie Einstellungen speichern unter. Das Diagramm wird als<br />
.html-Datei gespeichert, die Sie in einem Browser öffnen können. Beim Öffnen der .html-Version<br />
des Diagramms ist die Anzeige fixiert. Klicken Sie in der Leistungssymbolleiste des Browsers auf<br />
die Schaltfläche Fixierung der Anzeige aufheben, um die Überwachung erneut zu starten.<br />
• Sie können ein gespeichertes Diagramm in den Systemmonitor importieren, indem Sie die .html-<br />
Datei auf das Fenster des Systemmonitors ziehen. Auf diese Weise können Sie häufig verwendete<br />
Leistungsdiagramme einfach speichern und erneut laden.<br />
• Durch die beiden neuen Sicherheitsgruppen in Windows Server 2008 wird sichergestellt, dass nur<br />
vertrauenswürdige Benutzer auf vertrauliche Leistungsdaten zugreifen und diese bearbeiten können:<br />
Die Gruppe Leistungsprotokollbenutzer und die Gruppe Systemmonitorbenutzer.<br />
Hinweis Sie können den Systemmonitor in einem eigenen Fenster öffnen, indem Sie über das Startmenü<br />
den Befehl perfmon /sys eingeben.<br />
Standardmäßig ist der Indikator Prozessorzeit (%) im Systemmonitor geladen. Um der Systemmonitorkonsole<br />
zusätzliche Indikatoren hinzuzufügen, führen Sie die folgenden Schritte aus:<br />
1. Klicken Sie mit der rechten Maustaste auf den Detailbereich des Systemmonitors, und klicken Sie<br />
auf Leistungsindikatoren hinzufügen.<br />
2. Klicken Sie im Dialogfeld Leistungsindikatoren hinzufügen auf , um den<br />
Computer zu überwachen, auf dem die Überwachungskonsole ausgeführt wird. Um einen<br />
bestimmten Computer unabhängig vom Standort der Überwachungskonsole zu überwachen, klicken<br />
Sie auf Durchsuchen, um einen Computernamen anzugeben.<br />
3. Erweitern Sie das gewünschte Leistungsobjekt, und klicken Sie dann auf den gewünschten Indikator.<br />
4. Klicken Sie auf Hinzufügen und dann auf OK.<br />
Wenngleich sich die grundlegenden Funktionen nicht verändert haben, wurden einige Verbesserungen<br />
an der Leistungskonsole vorgenommen. In Abbildung 14.2 werden einige dieser Verbesserungen<br />
dargestellt:<br />
• Verbesserte Indikatoroptionen Der Systemmonitor stellt verbesserte Steuermöglichkeiten für die<br />
Anzeige der Indikatoren innerhalb des Detailbereichs bereit. Für die beiden Balkendiagrammtypen<br />
Linie und Histogrammleiste haben Sie die Möglichkeit, ausgewählte Indikatoren schnell<br />
anzuzeigen oder auszublenden, indem Sie einfach das Kontrollkästchen unterhalb der Spalte<br />
Anzeigen aktivieren. Darüber hinaus können Sie ausgewählte Indikatoren einfach skalieren, um<br />
sicherzustellen, dass Daten innerhalb des Diagramms weiterhin angezeigt werden. In<br />
Abbildung 14.2 wurde für den Indikator Prozessorzeit (%) der Skalierungswert 10 festgelegt.<br />
• QuickInfos In Liniendiagrammen können Sie mithilfe des Mauszeigers genaue Leistungsindikatordaten<br />
ermitteln. In Abbildung 14.2 wird dargestellt, wie in einer QuickInfo Indikatorname,<br />
Wert und Zeit für den Datenpunkt angezeigt wird, auf den der Mauszeiger gerichtet ist.
Überwachen von <strong>Active</strong> <strong>Directory</strong> 549<br />
• Zoom Im Systemmonitor können Sie durch Vergrößern eines bestimmten Zeitraums detailliertere<br />
Informationen zu Protokolldaten anzeigen. Beachten Sie, dass das Zoomfeature beim Erfassen<br />
von Daten in Echtzeit nicht zur Verfügung steht.<br />
• Vergleich mehrerer Protokolldateien In der eigenständigen Version des Systemmonitors wird ein<br />
Feature bereitgestellt, mit dem Sie anhand einer transparenten Überlagerung mehrere Protokolldateien<br />
mit einer Standardansicht vergleichen können. Öffnen Sie hierzu mehrere eigenständige<br />
Fenster des Systemmonitors, fügen Sie die Protokolldateien für den Vergleich zu jedem Fenster<br />
hinzu, und wählen Sie dann die Optionen im Menü Vergleichen aus.<br />
Abbildung 14.2<br />
Anzeigen von Leistungsdaten<br />
Zuverlässigkeitsüberwachung<br />
In der Zuverlässigkeitsüberwachung werden Informationen zur Gesamtstabilität eines Servers bereitgestellt.<br />
Ein Systemstabilitätsindex wird auf der Grundlage von Daten berechnet, die beim Auftreten<br />
bestimmter Ereignisse innerhalb eines Servers während eines bestimmten Zeitraums gesammelt wurden.<br />
Zu diesen Ereignissen zählen:<br />
• Softwareinstallationen und -deinstallationen In dieser Kategorie werden Anwendungen aufgeführt,<br />
die mithilfe eines .msi-Installationspakets, einer Treiberinstallation und -deinstallation oder einer<br />
Softwareupdateinstallation oder -deinstallation installiert bzw. deinstalliert wurden, sowie<br />
Betriebssystemupdates wie beispielsweise Service Packs oder Hotfixes.
550 Kapitel 14: Überwachen und Warten von <strong>Active</strong> <strong>Directory</strong><br />
• Anwendungsfehler In dieser Kategorie wird über Ereignisse berichtet, die mit Anwendungsabstürzen<br />
in Zusammenhang stehen.<br />
• Hardwarefehler In dieser Kategorie wird über Ereignisse berichtet, die mit Festplatten- und Speicherfehlern<br />
in Zusammenhang stehen.<br />
• Windows-Fehler In dieser Kategorie wird über Startfehler, Betriebssystemabstürze und über Fehler<br />
im Ruhezustand berichtet.<br />
• Verschiedene Fehler In dieser Kategorie wird festgehalten, wenn das System unerwartet heruntergefahren<br />
wurde.<br />
• Systemzeitänderungen In dieser Kategorie wird über Änderungen an der Systemuhr des Servers<br />
berichtet. Diese Kategorie wird nicht im Systemstabilitätsbericht aufgeführt – es sei denn, Sie<br />
wählen einen Tag aus, an dem eine bedeutende Uhrzeitänderung vorgenommen wurde. Im Diagramm<br />
werden Tage mit einer bedeutenden Uhrzeitänderung mit einem Informationssymbol<br />
gekennzeichnet.<br />
Hinweis Sie können die Zuverlässigkeitsüberwachung in einem eigenen Fenster öffnen, indem Sie über<br />
das Startmenü den Befehl perfmon /rel eingeben.<br />
Abbildung 14.3<br />
Anzeigen von Daten in der Zuverlässigkeitsüberwachung
Überwachen von <strong>Active</strong> <strong>Directory</strong> 551<br />
Die Gesamtsystemstabilität kann ermittelt werden, indem Sie entweder das Systemstabilitätsdiagramm<br />
anzeigen oder mehrere Systemstabilitätsberichte überprüfen. Im Systemstabilitätsdiagramm wird täglich<br />
ein Stabilitätsindex mit einer Bewertung im Bereich von 1 bis 10 angezeigt. Eine Bewertung von<br />
10 verweist auf ein stabiles System, eine Bewertung von 1 verweist hingegen auf ein sehr instabiles System.<br />
Wenn Sie einen bestimmten Tag innerhalb des Diagramms hervorheben, können Sie den Durchschnittsindex<br />
anzeigen. In den im unteren Bereich des Detailbereichs aufgeführten Berichten werden ausführliche<br />
Informationen bereitgestellt.<br />
Wie in Abbildung 14.3 dargestellt, weist das hervorgehobene Datum einen Index von 8,81 auf, was im<br />
Vergleich zu den vorangegangenen Tagen, die im Systemstabilitätsdiagramm aufgeführt werden, auf<br />
eine Systeminstabilität hinweist. Für die Kategorie Softwareinstallationen/-deinstallationen wird ein<br />
Warnindikator angezeigt, und für die Kategorien Anwendungsfehler und Verschiedene Fehler wird ein<br />
Fehlerindikator angezeigt. Im Abschnitt Systemstabilitätsbericht werden die Informationen zu den an<br />
diesem speziellen Tag aufgetretenen Fehlern aufgeführt.<br />
Hinweis Bevor der Systemstabilitätsindex berechnet oder Informationen für den Systemstabilitätsbericht<br />
erstellt werden können, muss die Zuverlässigkeitsüberwachung über 24 Stunden hinweg Daten sammeln.<br />
Überblick über Sammlungssätze und Berichte<br />
Windows Server 2008 (wie auch Windows Vista) führt das Konzept der Sammlungssätze ein. Ein<br />
Sammlungssatz kann mehrere Datensammelpunkte (auch als Datensammler bezeichnet) enthalten,<br />
um eine einzelne konfigurierbare Komponente zu bilden. Diese Komponente kann dann konfiguriert<br />
werden, um Einstellungen bereitzustellen, wie z.B. das Planen des vollständigen Sammlungssatzes,<br />
die Sicherheit zum Ausführen oder Anzeigen des Sammlungssatzes sowie zum Ausführen bestimmter<br />
Aufgaben, nachdem der Sammlungssatz die Datenerfassung beendet hat.<br />
Ein Sammlungssatz kann viele unterschiedliche Datensammlertypen umfassen:<br />
• Leistungsindikatoren Dienen der Protokollierung von Systemleistungsdaten. Sie können die gleichen<br />
Indikatoren hinzufügen, die auch für die Anzeige von Echtzeitdaten im Systemmonitor verwendet<br />
werden.<br />
• Daten der Ereignisablaufverfolgung Dienen der Protokollierung von Informationen auf Grundlage<br />
von system- und anwendungsbasierten Ereignissen. Ereignisablaufverfolgungsanbieter werden in<br />
der Regel mit dem Betriebssystem installiert. Sie können außerdem von Anwendungsherstellern<br />
bereitgestellt werden.<br />
• Systemkonfigurationsinformationen Dienen der Protokollierung von Informationen, die mit der<br />
Konfiguration und Änderungen an Registrierungsschlüsseln in Zusammenhang stehen. Sie müssen<br />
genau wissen, welche Registrierungsschlüssel Sie in den zu überwachenden Sammlersatz<br />
integrieren möchten.<br />
• Leistungsindikatorenwarnungen Dienen der Konfiguration von Warnereignissen, die ausgelöst<br />
werden, wenn ein bestimmter Leistungsindikator einen festgelegten Schwellenwert erreicht oder<br />
diesen überschreitet. Sie können beispielsweise eine Warnung zum Durchführen einer Warnungsaktion<br />
oder -task konfigurieren, für den Fall, dass der Wert für % freier Speicherplatz auf einem<br />
Laufwerk 20 % unterschreitet. Eine Warnungsaktion kann einfach darin bestehen, einen Eintrag<br />
im Anwendungsereignisprotokoll zu protokollieren, oder sie kann darin bestehen, einen nachfolgenden<br />
Sammlungssatz zu starten, um zusätzliche Überwachungs- und Nachverfolgungsmöglichkeiten<br />
bereitzustellen.
552 Kapitel 14: Überwachen und Warten von <strong>Active</strong> <strong>Directory</strong><br />
So können auch einen Warnungstask konfigurieren, um eine bestimmte Anwendung beim Auslösen<br />
einer Warnung auszuführen, wie beispielsweise eine E-Mail-Benachrichtigung oder ein Verwaltungsdienstprogramm.<br />
Beachten Sie, dass diese Option beim manuellen Erstellen eines<br />
Sammlungssatzes verfügbar ist.<br />
Der Knoten Sammlungssätze befindet sich in der Zuverlässigkeits- und Leistungsüberwachung und<br />
besteht aus vier Containern, die zum Speichern unterschiedlicher Typen von Sammlungssätzen verwendet<br />
werden:<br />
• Benutzerdefiniert In diesem Container können Sie benutzerdefinierte Sammlungssätze entweder<br />
manuell oder anhand von vordefinierten Vorlagen erstellen und speichern.<br />
• System Abhängig von den dem Server hinzugefügten Serverrollen werden in diesem Container<br />
systembasierte Standardsammlungssätze gespeichert, die für die Bereitstellung von <strong>Active</strong> <strong>Directory</strong>-Diagnose,<br />
LAN-Diagnose, Systemdiagnose oder Systemleistung verwendet werden. An diesen<br />
Datensammlersätzen können zwar keine direkten Änderungen vorgenommen werden, aber sie<br />
können als Vorlage zum Erstellen eines neuen benutzerdefinierten Sammlungssatzes verwendet<br />
werden.<br />
• Ereignisablaufverfolgungssitzungen Dienen der Speicherung von Sammlungssätzen auf Grundlage<br />
von aktivierten Ereignisablaufverfolgungsanbietern.<br />
• Startereignis-Ablaufverfolgungssitzungen Dienen zum Speichern von Sammlungssätzen, die Ereignisablaufverfolgungsanbieter<br />
zum Überwachen von Startereignissen enthalten.<br />
In Abbildung 14.4 wird ein benutzerdefinierter Sammlungssatz dargestellt. In diesem Sammlungssatz<br />
sind zwei Sammlungen enthalten, die für die Basisleistungsermittlung für zahlreiche Indikatoren und<br />
NT-Kernel-Verfolgungsdaten verwendet werden.<br />
Abbildung 14.4<br />
Anzeigen eines benutzerdefinierten Sammlungssatzes
Überwachen von <strong>Active</strong> <strong>Directory</strong> 553<br />
Die folgenden Schritte beschreiben das Verfahren zum Erstellen eines Sammlungssatzes:<br />
1. Klicken Sie in der Zuverlässigkeits- und Leistungsüberwachung mit der rechten Maustaste auf<br />
Benutzerdefiniert, wählen Sie Neu, und klicken Sie dann auf Sammlungssatz.<br />
2. Geben Sie einen Namen für den Sammlungssatz an, und legen Sie fest, ob Sie den Sammlungssatz<br />
anhand einer Vorlage oder manuell erstellen möchten.<br />
3. Wenn Sie sich für die Verwendung einer Vorlage entscheiden, können Sie eine auf den Systemdatensammlungssätzen<br />
basierende Vorlage auswählen, oder Sie klicken auf Durchsuchen und<br />
wählen eine vorkonfigurierte .xml-basierte Vorlage aus.<br />
4. Wenn Sie sich für die manuelle Erstellung eines neuen Sammlungssatzes entscheiden, können Sie<br />
auswählen, welche Datenprotokolltypen Sie einschließen möchten (Leistungsindikator, Ereignisablaufverfolgung<br />
oder Systemkonfigurationsinformationen). Sie können außerdem eine Leistungsindikatorenwarnung<br />
erstellen. Abhängig von den gewählten Optionen werden bestimmte<br />
Konfigurationsseiten für jeden Datenprotokolltyp angezeigt.<br />
5. Wählen Sie ein Verzeichnis zum Speichern des neuen Sammlungssatzes. Standardmäßig werden<br />
Sammlungssätze unter %systemdrive%\PerfLogs\Admin\ gespeichert.<br />
6. Geben Sie das Konto an, das zum Ausführen des Sammlungssatzes verwendet werden soll. Standardmäßig<br />
werden Sammlungssätze als Systembenutzer ausgeführt.<br />
7. Klicken Sie auf Fertig stellen, um zur Konsole Zuverlässigkeits- und Leistungsüberwachung<br />
zurückzukehren.<br />
Abbildung 14.5<br />
Berichtsergebnisse einer Datenerfassungsaufgabe
554 Kapitel 14: Überwachen und Warten von <strong>Active</strong> <strong>Directory</strong><br />
8. Klicken Sie mit der rechten Maustaste auf den Sammlungssatz, und klicken Sie anschließend auf<br />
Eigenschaften, um Änderungen an den Einstellungen für die gesamte Sammlung vorzunehmen.<br />
Sie können beispielsweise einen Zeitplan oder eine Stoppbedingung festlegen, um die Datenerfassung<br />
nach einem bestimmten Zeitraum anzuhalten.<br />
9. Um den Sammlungssatz zu starten, klicken Sie mit der rechten Maustaste auf den Sammlungssatz,<br />
und klicken Sie dann auf Starten. Die Sammlungen innerhalb des Satzes beginnen entsprechend<br />
der Konfiguration mit der Informationserfassung. Nach Ablauf des Zeitraums für die<br />
Datenerfassung wird automatisch ein Bericht erstellt und unterhalb des Knotens Berichte aufgeführt,<br />
wie in Abbildung 14.5 dargestellt.<br />
Überwachen von <strong>Active</strong> <strong>Directory</strong><br />
In der Zuverlässigkeits- und Leistungsüberwachung werden viele <strong>Active</strong> <strong>Directory</strong>-Indikatoren und<br />
Ablaufverfolgungsereignisse aufgeführt, mit der eine effektive Systemüberwachung erzielt werden<br />
kann. Der <strong>Active</strong> <strong>Directory</strong>-Überwachungsvorgang besteht darin, die wichtigsten Leistungsindikatoren<br />
zu verfolgen und diese mit einer Baseline zu vergleichen, welche die Serviceausführung im<br />
Rahmen normaler Parameter darstellt. Anhand der Unterschiede zwischen den aktuellen Überwachungsergebnissen<br />
im Vergleich zu den Baselinewerten können Sie aktuelle oder potenzielle Probleme<br />
im Zusammenhang mit dem Verzeichnisdienst ermitteln.<br />
Wie bereits erwähnt, kann ein Sammlungssatz auch Leistungsindikatorenwarnungen enthalten. Wenn<br />
ein Leistungsindikator einen festgelegten Schwellenwert überschreitet, kann eine Warnung konfiguriert<br />
werden, um den Netzwerkadministrator (oder in größeren Unternehmen die für die Überwachung<br />
zuständige Person) über den Zustand zu informieren. Durch das Überschreiten eines Schwellenwerts<br />
kann auch ein innerhalb des Sammlungssatzes konfigurierter automatischer Vorgang<br />
gestartet werden, um das Problem zu beheben oder um eine weitere Verschlechterung der Leistung<br />
oder des Systemstatus weitestgehend einzuschränken.<br />
Im Folgenden werden die wesentlichen Schritte des <strong>Active</strong> <strong>Directory</strong>-Überwachungsverfahrens<br />
beschrieben:<br />
1. Ermitteln Sie, welche Sammlungen Sie für die Überwachung benötigen und welche Messwerte in<br />
Ihrem Unternehmen erforderlich sind. Dazu gehören Leistungsindikatoren, Ablaufverfolgungsinformationen<br />
und Registrierungseinstellungen. Die SLA Ihres Unternehmens stellt einen guten<br />
Anfang für die Bereitstellung von Informationen zu erwarteten Mess- und Schwellenwerten für<br />
die Leistungsindikatoren dar.<br />
2. Erstellen Sie einen Sammlungssatz, in dem alle erforderlichen Sammlungen enthalten sind.<br />
3. Führen Sie den Sammlungssatz aus, um eine Baseline zur Leistung zu ermitteln und zu dokumentieren.<br />
4. Ermitteln Sie die Schwellenwerte für diese Leistungsindikatoren. (Anders ausgedrückt: Ermitteln<br />
Sie, ab wann Maßnahmen erforderlich sind, um eine Dienstunterbrechung zu verhindern.)<br />
5. Entwerfen Sie das erforderliche Warnsystem, um bei Erreichen von Schwellenwerten entsprechende<br />
Maßnahmen einzuleiten. Ihr Warnsystem sollte folgende Komponenten umfassen:<br />
Operatorbenachrichtigungen<br />
Automatische Vorgänge, sofern geeignet<br />
Operator-initiierte Vorgänge
Überwachen von <strong>Active</strong> <strong>Directory</strong> 555<br />
6. Entwerfen Sie ein Berichtssystem, um Verlaufsdaten zum Systemstatus von <strong>Active</strong> <strong>Directory</strong> zu<br />
erfassen. Sie können im Knoten Berichte Berichte auf Grundlage des Datums speichern, an dem<br />
der Sammlungssatz ausgeführt wurde.<br />
7. Implementieren Sie Ihre Überwachungslösung zum Messen der Leistung dieser Schlüsselindikatoren<br />
basierend auf einer Planung, die der Variabilität dieser Indikatoren und den Auswirkungen<br />
jedes einzelnen dieser Indikatoren auf den <strong>Active</strong> <strong>Directory</strong>-Status Rechnung trägt.<br />
Im verbleibenden Teil dieses Abschnitts werden die Einzelheiten des Überwachungsprozesses erläutert.<br />
Festlegen von Baselines und Schwellenwerten<br />
Nachdem Sie ermittelt haben, welche Sammlungen und Leistungsindikatoren für die Überwachung<br />
benötigt werden, sollten Sie Baselinedaten für diese Indikatoren sammeln, indem Sie einen Baselinesammlungssatz<br />
erstellen und ausführen. Der Baselinesammlungssatz stellt jeden Sammlungstyp dar, der<br />
im Rahmen des normalen Betriebs ausgeführt wird. Der Betrieb innerhalb normaler Parameter sollte<br />
sowohl die zu erwartenden niedrigsten als auch die höchsten Werte für einen bestimmten Leistungsindikator<br />
oder ein bestimmtes Ablaufverfolgungsereignis umfassen. Für die Erfassung besonders präziser<br />
Baselinedaten sollten Sie Leistungsinformationen über einen angemessenen Zeitraum hinweg sammeln,<br />
um den Wertebereich für einen bestimmten Parameter während ausgeprägter und geringer Aktivität zu<br />
erfassen. Wenn Sie beispielsweise die Baseline für die Authentifizierungsanforderungsleistung ermitteln,<br />
stellen Sie sicher, dass der Indikator während eines Zeitraums überwacht wird, in dem sich die<br />
meisten Benutzer anmelden.<br />
Zeichnen Sie während der Ermittlung der Baselinewerte diese Informationen auf, und vermerken Sie<br />
das Erstellungsdatum des Dokuments. Diese Werte werden nicht nur zum Festlegen von Schwellenwerten<br />
verwendet, sondern darüber hinaus auch zum Ermitteln von Leistungstrends über die Zeit. Zu<br />
diesem Zweck eignet sich besonders ein Tabellenkalkulationsblatt mit Spalten für Niedrig-, Durchschnitts-<br />
und Höchstwerten für jeden Indikator sowie für Schwellenwerte für Warnungen.<br />
Hinweis Legen Sie bei Änderungen an Ihrer <strong>Active</strong> <strong>Directory</strong>-Umgebung (wenn z.B. die Anzahl an Benutzern<br />
zunimmt oder Hardwareänderungen am Domänencontroller vorgenommen werden) Ihre Baselines<br />
erneut fest. Die Baseline sollte immer dem aktuellen Stand von <strong>Active</strong> <strong>Directory</strong> im Rahmen der normalen<br />
Leistungsgrenzen entsprechen. Für die Analyse aktueller Leistungsdaten ist eine veraltete Baseline nicht<br />
hilfreich.<br />
Nach der Ermittlung der Baseline werden als Nächstes die Schwellenwerte zum Erstellen eines Warnungs-<br />
oder Ereignistasks festgelegt. Abgesehen von den Empfehlungen von Microsoft gibt es keine<br />
allgemeinem Formel zum Ermitteln von Schwellenwerten. Da die jeweiligen Situationen sehr unterschiedlich<br />
sein können, ist es erforderlich, auf Grundlage Ihrer Netzwerkinfrastruktur zu ermitteln,<br />
welcher Leistungsgrad für einen Leistungsindikator auf eine Entwicklung in Richtung Serviceunterbrechung<br />
hinweist. Verfolgen Sie bei der Festlegung der Schwellenwerte einen konservativen Ansatz.<br />
(Verwenden Sie die von Microsoft empfohlenen oder sogar niedrigere Werte.) Auf diese Weise werden<br />
zunächst sehr viele Warnungen erzeugt. Wenn Sie im Laufe der Zeit mehr Daten über einen Indikator<br />
gesammelt haben, können Sie den Schwellenwert nach oben setzen, um die Anzahl an Warnungen<br />
zu verringern. Dieses Verfahren kann einige Monate dauern, ist schließlich jedoch genau auf<br />
Ihre Implementierung von <strong>Active</strong> <strong>Directory</strong> abgestimmt.
556 Kapitel 14: Überwachen und Warten von <strong>Active</strong> <strong>Directory</strong><br />
Es ist unerlässlich, im Voraus zu planen, welche Maßnahmen als Reaktion auf eine Warnung zu<br />
ergreifen sind. Stellen Sie sicher, dass Sie während der Festlegung Ihrer Indikatoren, Baselines und<br />
Schwellenwerte festlegen, welche Abhilfemaßnahme ergriffen wird, um den Indikator in seine normalen<br />
Grenzen zurückzubringen. Diese Maßnahmen können die Korrektur einer Fehlerbedingung (wie<br />
z.B. das erneute Onlineschalten eines Domänencontrollers) oder die Übertragung einer Betriebsmasterrolle<br />
umfassen. Wenn Ihr System die Höchstkapazität erreicht hat, ist zum Beheben der Bedingung<br />
eventuell eine Erweiterung des Festplatten- oder Arbeitsspeichers erforderlich. Durch andere Warnungen<br />
werden Sie aufgefordert, eine <strong>Active</strong> <strong>Directory</strong>-Wartung durchzuführen, beispielsweise durch<br />
die Defragmentierung Ihrer <strong>Active</strong> <strong>Directory</strong>-Datenbankdatei. Solche Situationen werden in diesem<br />
Kapitel im Abschnitt „Offlinedefragmentierung der <strong>Active</strong> <strong>Directory</strong>-Datenbank“ erläutert.<br />
Leistungsindikatoren und Schwellenwerte<br />
In den folgenden Tabellen werden die wichtigsten Leistungsindikatoren und Schlüsselwerte aufgeführt,<br />
die für die Überwachung und Protokollierung der <strong>Active</strong> <strong>Directory</strong>-Leistung hilfreich sind. Da<br />
jede Unternehmensumgebung eigene Besonderheiten aufweist, sind diese Werte nicht immer allgemein<br />
anwendbar. Diese Schwellenwerte sollten als Startpunkt betrachtet werden, die im Rahmen Ihrer<br />
Anforderungen für Ihre Umgebung weiter angepasst werden müssen.<br />
<strong>Active</strong> <strong>Directory</strong>-Leistung Anhand der in Tabelle 14.1 aufgeführten Leistungsindikatoren werden die<br />
wichtigsten <strong>Active</strong> <strong>Directory</strong>-Funktionen und -Dienste überwacht. Sofern nicht anderweitig angegeben,<br />
werden Schwellenwerte durch eine Baselineüberwachung ermittelt. Diese Indikatoren können für<br />
die Bereitstellung von Echtzeitdaten zum Systemmonitor hinzugefügt werden, oder Sie können eine<br />
Leistungsindikatorsammlung oder eine Leistungsindikatorwarnung zu einem Sammlungssatz hinzufügen,<br />
um eine <strong>Active</strong> <strong>Directory</strong>-Leistungsprotokollierung und Warnungsfunktionen zu ermöglichen.<br />
Tabelle 14.1<br />
Wichtige <strong>Active</strong> <strong>Directory</strong>-Funktionen und -Dienste<br />
Objekt Leistungsindikator Intervall Bedeutung des Leistungsindikators<br />
Verzeichnisdienste/NTDS DS-Suchunteroperationen/s<br />
Alle 15 Minuten Unterstruktursuchanforderungen sind besonders<br />
systemressourcenintensiv. Jeder bedeutende Anstieg<br />
kann auf Leistungsprobleme des Domänencontrollers<br />
hinweisen. Überprüfen Sie, ob<br />
Anwendungen diesen Domänencontroller fälschlicherweise<br />
adressieren.<br />
Prozess Prozessorzeit (%)<br />
(Instanz=lsass)<br />
Jede<br />
Minute<br />
Durch diesen Indikator wird die vom <strong>Active</strong> <strong>Directory</strong>-Dienst<br />
genutzte CPU-Zeit in Prozent angegeben.<br />
Verzeichnisdienste/NTDS LDAP-Suchzugriffe/s Alle 15 Minuten Dieser Indikator ist gut geeignet, um die Gesamtnutzung<br />
eines Domänencontrollers anzugeben.<br />
Im Idealfall ist der Wert für diesen Indikator für alle<br />
Domänencontroller nahezu gleich. Ein Anstieg<br />
dieses Indikatorwerts kann darauf hinweisen,<br />
dass eine neue Anwendung diesen Domänencontroller<br />
adressiert oder dass diesem Netzwerk<br />
mehrere Clients hinzugefügt wurden.
Überwachen von <strong>Active</strong> <strong>Directory</strong> 557<br />
Tabelle 14.1<br />
Wichtige <strong>Active</strong> <strong>Directory</strong>-Funktionen und -Dienste (Fortsetzung)<br />
Objekt Leistungsindikator Intervall Bedeutung des Leistungsindikators<br />
Verzeichnisdienste/NTDS LDAP-Clientsitzungen Alle 5 Minuten Dieser Indikator gibt die Anzahl an Clients an, die<br />
derzeit mit dem Domänencontroller verbunden<br />
sind. Ein erheblicher Anstieg kann darauf hinweisen,<br />
dass andere Computer zu diesem Domänencontroller<br />
wechseln. Wenn Sie für diesen Indikator<br />
eine Hochrechnung erstellen, können Sie nützliche<br />
Informationen dazu erhalten, zu welcher Tageszeit<br />
Mitarbeiter Verbindungen herstellen oder<br />
zur Höchstzahl an täglich verbundenen Clients.<br />
Prozess<br />
Prozess<br />
Prozess<br />
Private Bytes<br />
(Instanz=lsass)<br />
Handleanzahl<br />
(Instanz=lsass)<br />
Virtuelle Bytes<br />
(Instanz=lsass)<br />
Alle 15 Minuten<br />
Alle 15 Minuten<br />
Alle 15 Minuten<br />
Dieser Indikator ist zum Hochrechnen des<br />
Speicherbedarfs von Domänencontrollern geeignet.<br />
Eine stetige Zunahme des Indikators weist<br />
entweder auf einen gestiegenen Bedarf an Arbeitsstationen,<br />
mehr Anwendungsfehlfunktionen<br />
(nicht schließende Handles) oder eine gestiegene<br />
Anzahl an Arbeitsstationen hin, die diesen Domänencontroller<br />
adressieren. Weichen die Werte für<br />
diesen Indikator wesentlich vom gewöhnlichen<br />
Wert anderer Peerdomänencontroller ab, sollten<br />
Sie die Ursache für diesen Bedarf ermitteln.<br />
Diese Trendstatistik ist hilfreich bei der Ermittlung,<br />
ob Anwendungen sich erwartungsgemäß<br />
verhalten und Handles nicht ordnungsgemäß geschlossen<br />
werden. Der Wert dieses Indikators<br />
steigt durch das Hinzufügen von Clientarbeitsstationen<br />
linear an.<br />
Dieser Indikator kann verwendet werden, um zu<br />
ermitteln, ob die Kapazitäten des virtuellen Speicheradressbereichs<br />
von <strong>Active</strong> <strong>Directory</strong> gering<br />
sind, da dies auf ein Speicherleck hinweisen<br />
kann. Überprüfen Sie, ob Sie das aktuelle Service<br />
Pack ausführen, und planen Sie einen Neustart<br />
außerhalb der Geschäftszeiten, um einen<br />
Systemausfall zu verhindern. Mithilfe dieses Indikators<br />
können Sie ermitteln, ob weniger als 2 GB<br />
an virtuellem Speicher verfügbar sind.<br />
Replikationsleistungsindikatoren Die in Tabelle 14.2 aufgeführten Leistungsindikatoren werden für<br />
die Überwachung der Menge an Replikationsdaten verwendet. Schwellenwerte werden durch die von<br />
Ihnen zuvor festgelegten Baselines bestimmt, sofern nicht anderweitig angegeben.
558 Kapitel 14: Überwachen und Warten von <strong>Active</strong> <strong>Directory</strong><br />
Tabelle 14.2<br />
Replikationsleistungsindikatoren<br />
Objekt Leistungsindikator Empfohlenes<br />
Intervall<br />
Verzeichnisdienste/NTDS Eingehende komprimierte<br />
Alle 15 Minuten<br />
DRA-Bytes<br />
(zwischen Standorten,<br />
vor Komprimierung)/<br />
Sek.<br />
Verzeichnisdienste/NTDS<br />
Verzeichnisdienste/NTDS<br />
Verzeichnisdienste/NTDS<br />
Ausgehende komprimierte<br />
DRA-Bytes<br />
(zwischen Standorten,<br />
nach Komprimierung)/<br />
s.<br />
Ausgehende nicht<br />
komprimierte DRA-<br />
Bytes<br />
Ausgehende DRA-<br />
Bytes insgesamt/s<br />
Alle 15 Minuten<br />
Alle 15 Minuten<br />
Alle 15 Minuten<br />
Bedeutung des Leistungsindikators<br />
Gibt die Menge an Replikationsdaten an, die an<br />
diesen Standort gesendet werden. Eine wesentliche<br />
Änderung dieses Indikators weist auf eine<br />
Änderung der Replikationstopologie hin oder dass<br />
dem <strong>Active</strong> <strong>Directory</strong> Daten in erheblichem Umfang<br />
hinzugefügt wurden bzw. dass sich Daten in<br />
erheblichem Umfang geändert haben.<br />
Gibt die Menge an Replikationsdaten an, die von<br />
diesem Standort gesendet werden. Eine wesentliche<br />
Änderung dieses Indikators weist auf eine<br />
Änderung der Replikationstopologie hin oder darauf,<br />
dass <strong>Active</strong> <strong>Directory</strong> Daten in erheblichem<br />
Umfang hinzugefügt wurden bzw. dass sich Daten<br />
in erheblichem Umfang geändert haben.<br />
Gibt die Menge an Replikationsdaten an, die von<br />
diesem Domänencontroller an Ziele innerhalb des<br />
Standorts gesendet werden.<br />
Gibt die Menge an Replikationsdaten an, die von<br />
diesem Domänencontroller gesendet werden.<br />
Eine wesentliche Änderung dieses Indikators<br />
weist auf eine Änderung der Replikationstopologie<br />
hin oder darauf, dass <strong>Active</strong> <strong>Directory</strong> Daten in<br />
erheblichem Umfang hinzugefügt wurden bzw.<br />
dass sich Daten in erheblichem Umfang geändert<br />
haben. Die Überwachung dieses Leistungsindikators<br />
ist besonders wichtig.<br />
Leistung des Sicherheitssubsystems Mithilfe der in Tabelle 14.3 aufgeführten Indikatoren werden die<br />
wichtigsten Sicherheitsvolumes überwacht. Sofern nicht anderweitig angegeben, werden Schwellenwerte<br />
durch Baselineüberwachung ermittelt.<br />
Tabelle 14.3<br />
Wichtige Sicherheitsvolumes<br />
Objekt Leistungsindikator Empfohlenes<br />
Intervall<br />
Sicherheitssystemweite<br />
Statistiken<br />
Sicherheitssystemweite<br />
Statistiken<br />
NTLM-<br />
Authentifizierung<br />
KDC-AS-<br />
Anforderungen<br />
Alle 15 Minuten<br />
Alle 15 Minuten<br />
Bedeutung des Leistungsindikators<br />
Gibt die Anzahl an Clients an, die pro Sekunde<br />
mithilfe von NTLM und nicht mit Kerberos (Clients<br />
vor Windows 2000 oder Authentifizierungen innerhalb<br />
der Gesamtstruktur) eine Authentifizierung<br />
am Domänencontroller durchführen.<br />
Gibt die Anzahl an Sitzungstickets an, die pro<br />
Sekunde durch das Schlüsselverteilungscenter<br />
(Key Distribution Center, KDC) ausgegeben werden.<br />
Dieser Indikator ist besonders geeignet, um<br />
die Auswirkungen einer Änderung der Ticketgültigkeitsdauer<br />
zu ermitteln.
Überwachen von <strong>Active</strong> <strong>Directory</strong> 559<br />
Tabelle 14.3<br />
Wichtige Sicherheitsvolumes (Fortsetzung)<br />
Objekt Leistungsindikator Empfohlenes<br />
Intervall<br />
Sicherheitssystemweite<br />
Statistiken<br />
Sicherheitssystemweite<br />
Statistiken<br />
Kerberos-Authentifizierungen<br />
KDC-TGS-<br />
Anforderungen<br />
Alle 15 Minuten<br />
Alle 15 Minuten<br />
Bedeutung des Leistungsindikators<br />
Gibt die Authentifizierungslast für das KDC an.<br />
Dieser Indikator ist besonders geeignet, um Entwicklungen<br />
vorherzusagen.<br />
Gibt die Anzahl der vom KDC ausgegebenen<br />
ticketerteilenden Tickets (Ticket Granting Tickets,<br />
TGT) an. Dieser Indikator ist besonders geeignet,<br />
um die Auswirkungen einer Änderung der Ticketgültigkeitsdauer<br />
zu ermitteln.<br />
Leistung des Betriebssystems Anhand der in Tabelle 14.4 aufgeführten Leistungsindikatoren werden<br />
die wichtigsten Betriebssystemindikatoren überwacht, die direkte Auswirkung auf die <strong>Active</strong> <strong>Directory</strong>-Leistung<br />
haben.<br />
Tabelle 14.4<br />
Wichtige Betriebssystemindikatoren<br />
Objekt Leistungsindikator Intervall Schwellenwert Bedeutung der Überschreitung des<br />
Schwellenwerts<br />
Arbeitsspeicher<br />
Physikalischer<br />
Datenträger<br />
Seitenfehler/s Alle 5 Minuten 700/Sekunde Eine hohe Anzahl an Seitenfehlern weist<br />
auf unzureichenden physischen Arbeitsspeicher<br />
hin.<br />
Aktuelle Warteschlangenlänge<br />
Prozessor DPC-Zeit (%)<br />
(Instanz=_Gesamt)<br />
System<br />
Arbeitsspeicher<br />
Prozessor-Warteschlangenlänge<br />
Jede Minute Durchschnittlich 2<br />
über 3 Intervalle<br />
Überwachung von Volumes, die die Datei<br />
Ntds.dit und Protokolldateien enthalten.<br />
Durch diesen Indikator wird angegeben,<br />
dass ein Rückstand der E/A-Anforderungen<br />
der Festplatte besteht. In diesem<br />
Fall ist eine Erhöhung des Festplatten- und<br />
Controllerdurchsatzes empfehlenswert.<br />
Alle 15 Minuten 10 Weist auf die Arbeit hin, die aufgrund des<br />
überlasteten Domänencontrollers zurückgestellt<br />
wurde. Eine Überschreitung des<br />
Schwellenwerts weist auf eine mögliche<br />
Prozessorüberlastung hin.<br />
Jede Minute Durchschnittlich 6<br />
über 5 Intervalle<br />
Die CPU ist zum Verarbeiten der Anforderungen<br />
bei deren Auftreten nicht schnell<br />
genug. Wenn die Replikationstopologie<br />
keine Fehler aufweist und die Bedingung<br />
nicht durch einen Ausfall eines anderen<br />
Domänencontrollers verursacht wurde,<br />
sollten Sie ein Upgrade der CPU in Betracht<br />
ziehen.<br />
Verfügbare MB Alle 15 Minuten 4 MB Gibt an, dass für das System kein Arbeitsspeicher<br />
mehr verfügbar ist. Es ist ein<br />
Dienstausfall zu erwarten.
560 Kapitel 14: Überwachen und Warten von <strong>Active</strong> <strong>Directory</strong><br />
Tabelle 14.4<br />
Wichtige Betriebssystemindikatoren (Fortsetzung)<br />
Objekt Leistungsindikator Intervall Schwellenwert Bedeutung der Überschreitung des<br />
Schwellenwerts<br />
Prozessor Prozessorzeit (%)<br />
(Instanz=_Gesamt)<br />
Jede Minute<br />
Durchschnittlich<br />
85 % über<br />
3 Intervalle<br />
Überwachen von <strong>Active</strong> <strong>Directory</strong> mit der Ereignisanzeige<br />
Weist auf eine Überlastung der CPU hin.<br />
Ermitteln Sie, ob die CPU-Last durch<br />
<strong>Active</strong> <strong>Directory</strong> verursacht wird, indem Sie<br />
das Prozessobjekt, den Indikator Prozessorzeit<br />
(%) und die lsass-Instanz überprüfen.<br />
System Kontextwechsel/s Alle 15 Minuten 70,000 Weist auf besonders viele Transaktionen<br />
hin. Unter Umständen werden zu viele Anwendungen<br />
oder Dienste ausgeführt, oder<br />
deren Systembelastung ist zu hoch. Es<br />
empfiehlt sich, einen Teil dieser Anforderung<br />
auszulagern.<br />
System Systembetriebszeit Alle 15 Minuten Wesentlicher Indikator für die Messung der<br />
Domänencontrollerzuverlässigkeit.<br />
Neben der Überwachung von <strong>Active</strong> <strong>Directory</strong> mithilfe der Zuverlässigkeits- und Leistungsüberwachung<br />
sollten Sie den Inhalt der Ereignisprotokolle ebenfalls mithilfe des Verwaltungsprogramms<br />
Ereignisanzeige überprüfen. Standardmäßig werden in der Ereignisanzeige die folgenden fünf Protokolle<br />
angezeigt:<br />
• Anwendung Enthält Ereignisse, die von Anwendungen oder Programmen protokolliert wurden.<br />
• Sicherheit Enthält Ereignisse wie beispielsweise gültige und ungültige Anmeldeversuche sowie<br />
Ereignisse, die mit einer Ressourcennutzung wie z.B. dem Erstellen, Öffnen oder Löschen von<br />
Dateien oder anderen Objekten verbunden sind.<br />
• Einrichtung Enthält Ereignisse, die während der Einrichtung von Betriebssystem und Anwendungen<br />
protokolliert wurden.<br />
• System Enthält Ereignisse, die von Windows-Systemkomponenten protokolliert wurden.<br />
• Weitergeleitete Ereignisse Wird zum Speichern von Ereignissen verwendet, die von anderen<br />
Remotecomputern gesammelt wurden. Um Ereignisse von Remotecomputern zu sammeln, ist die<br />
Konfiguration eines Abonnements erforderlich.<br />
Zusätzlich zu Servern, die unter Windows Server 2008 ausgeführt werden und als Domänencontroller<br />
konfiguriert wurden, werden die folgenden Ereignisprotokolle unterhalb des Knotens Anwendungsund<br />
Dienstprotokolle der Ereignisanzeige angezeigt:<br />
• Verzeichnisdienst Enthält Ereignisse, die von <strong>Active</strong> <strong>Directory</strong> protokolliert wurden.<br />
• DFS-Replikation Enthält Ereignisse, die vom verteilten Dateisystem protokolliert wurden. In diesem<br />
Protokoll werden mit der Replikation des Ordners SYSVOL verbundene Informationen aufgeführt.
Überwachen von <strong>Active</strong> <strong>Directory</strong> 561<br />
Fungiert der Windows Server 2008-Domänencontroller ebenfalls als DNS-Server, wird zusätzlich das<br />
folgende Protokoll angezeigt:<br />
• DNS-Server Enthält Ereignisse, die durch den DNS-Serverdienst protokolliert wurden.<br />
Klicken Sie zum Anzeigen der Protokolle im Ordner Verwaltung auf Ereignisanzeige. Wählen Sie das<br />
Ereignisprotokoll für den Dienst, den Sie überwachen möchten. Im linken Fensterbereich von<br />
Abbildung 14.6 werden alle Ereignisprotokolle für einen Domänencontroller aufgeführt, der unter<br />
Windows Server 2008 ausgeführt wird und als DNS-Server fungiert.<br />
Abbildung 14.6<br />
Die Ereignisanzeige mit Ereignisprotokollen<br />
Überprüfen Sie im Ereignisprotokoll die Ereignistypen Fehler und Warnung. Um Details zu einem<br />
Ereignis im Protokoll anzuzeigen, doppelklicken Sie auf das Ereignis. In Abbildung 14.7 werden die<br />
Details zu einem Warnungsereignis (Ereigniskennung 2886) aus dem Verzeichnisdienstprotokoll dargestellt.
562 Kapitel 14: Überwachen und Warten von <strong>Active</strong> <strong>Directory</strong><br />
Abbildung 14.7<br />
Die Seite Ereigniseigenschaften eines Ereignisprotokolleintrags<br />
Zu überwachende Elemente<br />
Für die Überwachung des gesamten Systemstatus von <strong>Active</strong> <strong>Directory</strong> sollten Sie dienstbezogene<br />
und serverbezogene Leistungsindikatoren überwachen. Sie müssen sicherstellen, dass <strong>Active</strong> <strong>Directory</strong><br />
und die Domänencontroller, auf denen <strong>Active</strong> <strong>Directory</strong> ausgeführt wird, die optimale Leistung<br />
erbringen. Beziehen Sie beim Entwurf Ihrer Überwachungslösung die Überwachung der folgenden<br />
Leistungsbereiche mit ein:<br />
• <strong>Active</strong> <strong>Directory</strong>-Dienst Diese Leistungsindikatoren werden mithilfe der Verzeichnisdienstindikatoren<br />
überwacht und für die Ereignisverfolgung in der Zuverlässigkeits- und Leistungsüberwachung<br />
verwendet.<br />
• <strong>Active</strong> <strong>Directory</strong>-Replikation Die Replikationsleistung ist grundlegend, um die Aufrechterhaltung<br />
der Datenintegrität innerhalb der Domäne sicherzustellen.<br />
• <strong>Active</strong> <strong>Directory</strong>-Datenbankspeicher Die Volumes, auf denen die <strong>Active</strong> <strong>Directory</strong>-Datenbankdatei<br />
Ntds.dit sowie die Protokolldateien gespeichert sind, müssen über ausreichend Speicherplatz verfügen,<br />
um ein Wachstum im normalen Rahmen sowie den Betrieb zu ermöglichen.<br />
• DNS-Leistung und Serverstatus Da <strong>Active</strong> <strong>Directory</strong> für die Dienstermittlung auf DNS zurückgreift,<br />
müssen der DNS-Server und -Dienst für <strong>Active</strong> <strong>Directory</strong> innerhalb normaler Grenzen ausgeführt<br />
werden, um dessen Servicelevelanforderungen zu entsprechen.<br />
• Dateireplikationsdienst (File Replication Service, FRS) und die DFS-Replikation (Distributed File System<br />
Replication, DFSR) Der FRS muss im Rahmen normaler Grenzen ausgeführt werden, um sicherzustellen,<br />
dass das freigegebene Systemvolume (SYSVOL) innerhalb der Domäne repliziert wird.<br />
Wenn Sie die Funktionsebene Windows Server 2008 ausführen, können Sie DFSR für die Replikation<br />
des Ordners SYSVOL verwenden. Dieser Vorgang muss ebenfalls überwacht werden, um eine<br />
ordnungsgemäße Leistung sicherzustellen.
Überwachen von <strong>Active</strong> <strong>Directory</strong> 563<br />
• Systemstatus des Domänencontrollers Die Überwachung dieses Bereichs sollte den gesamten Serverstatus<br />
einschließlich Speicherindikatoren, Prozessorauslastung und Auslagerung umfassen.<br />
Darüber hinaus müssen Sie sicherstellen, dass die Uhrzeit- und Zeitzoneneinstellungen zwischen<br />
allen Servern ordnungsgemäß synchronisiert sind, da dies für die Replikation und ordnungsgemäße<br />
Authentifizierung besonders wichtig ist.<br />
• Gesamtstrukturstatus Dieser Bereich sollte überwacht werden, um Vertrauensstellungen sowie<br />
die Standortverfügbarkeit zu überprüfen.<br />
• Betriebsmaster- und globale Katalogrollen Überwachen Sie jede Betriebsmasterrolle, um den Serverstatus<br />
zu gewährleisten. Überwachen Sie darüber hinaus die globale Katalogverfügbarkeit, um<br />
eine Benutzeranmeldung sowie die Auflistung universeller Gruppenmitgliedschaften zu ermöglichen.<br />
Direkt von der Quelle: Überwachen von <strong>Active</strong> <strong>Directory</strong>, Teil 2<br />
Die Überwachung von <strong>Active</strong> <strong>Directory</strong> ist ein sehr vielschichtiges Thema. Wie bereits zuvor<br />
erläutert, ist die Überwachung von <strong>Active</strong> <strong>Directory</strong> auf ganzheitlicher Basis von zentraler Bedeutung.<br />
Wenngleich in diesem Kapitel hauptsächlich auf die von <strong>Active</strong> <strong>Directory</strong> bereitgestellten<br />
Informationen eingegangen wird, gibt es einige Elemente in Windows, die zwar nicht in direktem<br />
Zusammenhang mit <strong>Active</strong> <strong>Directory</strong> stehen, die aber dennoch überwacht werden sollten. Die<br />
Überwachung dieser zusätzlichen Elemente ermöglicht es Ihnen, den allgemeinen Status des <strong>Active</strong><br />
<strong>Directory</strong>-Ökosystems nachzuverfolgen. Beispielsweise sollten Sie die Uhrzeitsynchronisierung<br />
überwachen, um Zeitunterschiede von mehr als 5 Minuten zwischen Domänencontrollern zu verhindern<br />
(Zeitunterschiede von mehr als 5 Minuten können dazu führen, dass das Kerberos-Ticket<br />
ungültig wird und dass Domänencontroller und Benutzer keine Authentifizierung mehr durchführen<br />
können). Des Weiteren sollten Sie eine Überwachung von Diensten wie z.B. NTFRS, DFSR<br />
und KDC-W32Time erwägen, die für <strong>Active</strong> <strong>Directory</strong> von grundlegender Bedeutung sind. Sämtliche<br />
dieser Dienste bieten entweder Unterstützung für <strong>Active</strong> <strong>Directory</strong> oder sind von <strong>Active</strong><br />
<strong>Directory</strong> abhängig, und sie sind im Gesamtstatus des <strong>Active</strong> <strong>Directory</strong>-Ökosystems von zentraler<br />
Bedeutung. Darüber hinaus ist es ebenfalls ratsam, allgemeine Aspekte wie beispielsweise die<br />
Speicherkapazität der Systemfestplatte und die <strong>Active</strong> <strong>Directory</strong>-Datenbankgröße nachzuverfolgen.<br />
Ein Aspekt, der oftmals übersehen wird, dessen Überwachung jedoch unter Umständen nützlich<br />
sein kann – vor allem in besonders großen <strong>Active</strong> <strong>Directory</strong>-Infrastrukturen –, ist die KCC-CPU-<br />
Auslastung. Die Konsistenzüberprüfung (Knowledge Consistency Checker, KCC) ist verantwortlich<br />
für die Überprüfung und den Aufbau der <strong>Active</strong> <strong>Directory</strong>-Topologie, indem die erforderlichen<br />
Verbindungsobjekte erstellt werden. Wenngleich die KCC-Leistung seit Windows 2000<br />
erheblich verbessert wurde, kann die Überwachung der CPU-Auslastung Ihrer KCC auf Ihren<br />
Domänencontrollern von Interesse sein – dies gilt vor allem für die Domänencontroller, die sich an<br />
den Hubstandorten Ihrer <strong>Active</strong> <strong>Directory</strong>-Infrastruktur befinden.<br />
Sie können die KCC-Aktivität auf einfache Weise ermitteln, indem Sie für die KCC-Diagnoseebene<br />
den Wert 3 festlegen. Legen Sie hierfür für den Registrierungsschlüssel 1 Knowledge Consistency<br />
Checker den Wert 3 fest. Der Registrierungsschlüssel befindet sich in der Registrierungsstruktur<br />
unter HKLM\SYSTEM\CurrentControlSet\Services\NTDS\Diagnostics. Nachdem Sie den<br />
Wert auf 3 gesetzt haben, erstellt die KCC bei jeder Ausführung Ereignisprotokolleinträge im Verzeichnis<br />
für das Ereignisprotokoll des Dienstes.
564 Kapitel 14: Überwachen und Warten von <strong>Active</strong> <strong>Directory</strong><br />
Die Ereignisse 1009 und 1013 mit dem Namen NTDS-KCC als Quelle geben die KCC-Start- und<br />
Stoppzeit an. Wenn Sie gleichzeitig die CPU-Auslastung überwachen, können Sie überprüfen, welche<br />
Auswirkungen die KCC während ihrer Ausführung auf die CPU hat. Anhand dieser Informationen<br />
können Sie beispielsweise die Lastaufteilung zwischen den Servern für die Topologieberechnung<br />
und den Servern zur Verarbeitung von Authentifizierungsanforderungen ermitteln.<br />
Zusammengefasst gesagt, sollten Sie bei der Überwachung von <strong>Active</strong> <strong>Directory</strong> das Gesamtbild<br />
im Auge behalten. Sie ersparen sich böse Überraschungen, wenn Sie Ihr <strong>Active</strong> <strong>Directory</strong>-Ökosystem<br />
als Ganzes betrachten, statt mit einzelnen Softwarekomponenten zu arbeiten.<br />
Alain Lissoir<br />
Senior Program Manager<br />
<strong>Active</strong> <strong>Directory</strong> – Connected System Division<br />
Überwachen der Replikation<br />
Wenn Sie in Ihrem Unternehmen mehrere Domänencontroller ausführen, ist eine der wichtigsten<br />
Komponenten für die Überwachung die <strong>Active</strong> <strong>Directory</strong>-Replikation. Die Replikation zwischen<br />
Domänencontrollern wird für gewöhnlich mit Verwaltungsprogrammen wie beispielsweise Repadmin.exe,<br />
Dcdiag.exe und dem Verzeichnisdienstprotokoll (zuvor im Rahmen der Ereignisanzeige<br />
beschrieben) überwacht.<br />
Bei Repadmin handelt es sich um ein Befehlszeilenprogramm, das über Fehler in einer Replikationsverknüpfung<br />
zwischen zwei Replikationspartnern berichtet. Über den folgenden Befehl werden die<br />
Replikationspartner und alle Replikationsverknüpfungsfehler für den DC1-Domänencontroller in der<br />
Domäne Contoso.com aufgeführt:<br />
repadmin /showrepl dc1.contoso.com<br />
Das Befehlszeilenprogramm Dcdiag kann die DNS-Registrierung eines Domänencontrollers prüfen<br />
und feststellen, ob die Sicherheitskennungen (Security Identifiers, SIDs) im NC-Kopf (Naming Context,<br />
Namenskontext) über geeignete Replikationsberechtigungen verfügen. Außerdem kann es zur<br />
Analyse des Domänencontrollerstatus in einer Unternehmensgesamtstruktur verwendet werden. Um<br />
eine vollständige Liste der Dcdiag-Optionen zu erhalten, geben Sie die Zeichenfolge dcdiag /? ein.<br />
Mit dem folgenden Befehl wird auf Replikationsfehler zwischen Domänencontrollern geprüft:<br />
dcdiag /test:replications<br />
Das Verzeichnisdienstprotokoll schließlich berichtet über Replikationsfehler, die nach der Erstellung<br />
einer Replikationsverknüpfung aufgetreten sind. Sie sollten das Verzeichnisdienstprotokoll insbesondere<br />
auf Replikationsereignisse vom Typ Fehler oder Warnung prüfen. Im Folgenden werden zwei<br />
Beispiele für häufige Replikationsfehler und deren Anzeige im Verzeichnisdienstprotokoll dargestellt:<br />
• Ereignis-ID 1311 Die Replikationskonfigurationsinformationen im Verwaltungsprogramm <strong>Active</strong><br />
<strong>Directory</strong>-Standorte und -Dienste stellen die physische Netzwerktopologie nicht präzise dar. Dieser<br />
Fehler weist darauf hin, dass mindestens ein Domänencontroller oder Bridgeheadserver offline<br />
ist, oder dass die Bridgeheadserver nicht die erforderlichen NCs hosten.<br />
• Ereignis-ID 1265 (Zugriff verweigert) Dieser Fehler kann auftreten, wenn die Authentifizierung des<br />
Replikationspartners durch den Domänencontroller beim Erstellen der Replikationsverknüpfung<br />
oder bei dem Versuch, eine Replikation über eine bestehende Verknüpfung durchzuführen, fehlschlägt.
Überwachen von <strong>Active</strong> <strong>Directory</strong> 565<br />
Dieser Fehler tritt in der Regel dann auf, wenn die Verbindung des Domänencontrollers mit dem<br />
übrigen Netzwerk für lange Zeit unterbrochen wurde und das Kennwort des Computerkontos des<br />
Domänencontrollers nicht mit dem Kennwort des Computerkontos übereinstimmt, das im Verzeichnis<br />
des Replikationspartners gespeichert ist.<br />
Direkt von der Quelle: Überwachen der <strong>Active</strong> <strong>Directory</strong>-Replikation<br />
Eine <strong>Active</strong> <strong>Directory</strong>-Replikation kann auf verschiedene Weise überwacht werden. Wie in diesem<br />
Abschnitt beschrieben, können Sie eine Validierung der Konfiguration vornehmen, um sicherzustellen,<br />
dass <strong>Active</strong> <strong>Directory</strong> alle erforderlichen Bedingungen für eine erfolgreiche Replikation<br />
erfüllt. Wie bereits erwähnt, können Sie dies mithilfe von Tools wie Dcdiag erreichen. Hierbei handelt<br />
es sich eher um eine proaktive Verifizierung, bei der eine Überwachung vor dem Auftreten von<br />
Problemen durchgeführt wird. Sie können jedoch auch eine „problembasierte“ Überwachung der<br />
<strong>Active</strong> <strong>Directory</strong>-Replikation durchführen, indem Sie alle während der Replikation auftretenden<br />
Fehler überprüfen. Diese problembasierte Überwachung können Sie durchführen, indem Sie die<br />
im Ereignisprotokoll aufgeführten Ereignisse oder bestimmte Replikationsfehler mithilfe von<br />
REPADMIN prüfen.<br />
Eine weitere Möglichkeit zur Überprüfung der <strong>Active</strong> <strong>Directory</strong>-Replikation besteht darin, verschiedene<br />
gemeinsam genutzte Einstellungen eines <strong>Active</strong> <strong>Directory</strong>-Domänencontrollers zu untersuchen,<br />
wie beispielsweise die FSMO-Rollen. Im Idealfall sollten die für eine bestimmte Domäne<br />
in einer bestimmten Gesamtstruktur gemeldeten FSMO-Rollen für alle Domänencontroller innerhalb<br />
dieser Domäne in der Gesamtstruktur gleich sein. Wenn Sie diese Informationen für jeden<br />
Domänencontroller sammeln und an einer zentralen Stelle ausweisen (d.h. die gesammelten Ergebnisse<br />
in einer Freigabe ausgeben), kann die von allen Domänencontrollern gemeldete FSMO-Rolle<br />
einfach verglichen werden. Jede gemeldete Abweichung für die FSMO-Rolle weist auf einen Replikationsfehler<br />
für den Domänencontroller hin, der andere Ergebnisse gemeldet hat.<br />
Zu guter Letzt kann die <strong>Active</strong> <strong>Directory</strong>-Replikation auch basierend auf Änderungen überwacht<br />
werden. Bei diesem Ansatz wird ein vorgegebenes dediziertes AD-Objekt (<strong>Active</strong> <strong>Directory</strong>) zur<br />
Überwachung der Replikation geändert. Sie können z.B. ein ADSI-basiertes Skript schreiben, das<br />
Änderungen an einem AD-Objekt auf einem ausgewählten Domänencontroller vornimmt. (Dieses<br />
Skript kann im Rahmen der Aufgabenplanung regelmäßig ausgeführt werden.) Die Änderung kann<br />
beispielsweise einfach in einem Schreibvorgang von Datum und Uhrzeit in ein Zeichenfolgenattribut<br />
wie der Beschreibung eines Benutzerobjekts bestehen. Da diese Art von Änderung von <strong>Active</strong><br />
<strong>Directory</strong> automatisch repliziert wird, sollten diese Informationen zu einem gewissen Zeitpunkt auf<br />
allen anderen <strong>Active</strong> <strong>Directory</strong>-Domänencontrollern aktualisiert dargestellt werden. Gleichzeitig können<br />
Sie auf allen anderen Domänencontrollern regelmäßig ein zusätzliches Skript ausführen, das<br />
dieses Objekt liest und das Datum und die Uhrzeit des Attributs description mit dem Wert des Attributs<br />
whenChanged vergleicht.<br />
Anhand dieses Skripts können zwei Dinge ermittelt werden: Zum einen können Sie feststellen, ob<br />
die letzte Änderung erfolgreich repliziert wurde (Attribut description mit einem aktualisierten Wert<br />
für Datum/Uhrzeit). Zum anderen können Sie die Dauer der Replikationsänderung feststellen,<br />
indem Sie den Zeitunterschied zwischen dem Attribut description mit dem ursprünglichen Wert für<br />
Datum/Uhrzeit und dem Wert für Datum/Uhrzeit des Attributs whenChanged ermitteln.
566 Kapitel 14: Überwachen und Warten von <strong>Active</strong> <strong>Directory</strong><br />
Auf diese Weise können Sie die sogenannte Replikationsverzögerung des Verzeichnisses ermitteln.<br />
Neben der Bestätigung, dass die Replikationen funktioniert, können Sie anhand der Replikationsverzögerung<br />
außerdem feststellen, ob Ihr Entwurf und Ihre Infrastruktur von <strong>Active</strong> <strong>Directory</strong> im<br />
Hinblick auf die Schnelligkeit von Replikationsänderungen Ihren Erwartungen entspricht, denn<br />
dieser Aspekt wird beim <strong>Active</strong> <strong>Directory</strong>-Entwurf in der Regel als Anforderung festgelegt. Diese<br />
Methode ist daher geeignet, Ihre Entwurfsentscheidungen zu bewerten und ggf. Maßnahmen zu<br />
ergreifen, um Ihrer Replikations-SLA zu entsprechen.<br />
Für diese Überwachung ist natürlich die Erstellung eines Skripts erforderlich. Auf meiner Website<br />
http://www.lissware.net finden Sie im Bereich der Whitepaper einige ADSI-Skript-basierte Beispiele,<br />
die Sie als Vorlage für Ihre eigenen Skripts verwenden können.<br />
Darüber hinaus implementiert das Microsoft <strong>Active</strong> <strong>Directory</strong> Management Pack für Microsoft<br />
Operations Manager (MOM) 2005 und Operations Manager 2007 genau diese Logik und nutzt<br />
MOM zum Konsolidieren und Vergleichen der Ergebnisse, die von allen Domänencontrollern in<br />
Ihrer Gesamtstruktur zur Ermittlung der Replikationsverzögerung gesammelt werden.<br />
Alain Lissoir<br />
Senior Program Manager<br />
<strong>Active</strong> <strong>Directory</strong> – Connected System Division<br />
Verwalten der <strong>Active</strong> <strong>Directory</strong>-Datenbank<br />
Die Wartung der <strong>Active</strong> <strong>Directory</strong>-Datenbank ist ein besonders wichtiger Aspekt der <strong>Active</strong> <strong>Directory</strong>-Verwaltung.<br />
Unter normalen Umständen ist eine direkte Verwaltung der <strong>Active</strong> <strong>Directory</strong>-Datenbank<br />
eher unüblich, da der Status der Datenbank regelmäßig und automatisch überprüft wird. Diese<br />
automatischen Verfahren umfassen eine Onlinedefragmentierung der <strong>Active</strong> <strong>Directory</strong>-Datenbank<br />
sowie ein Verfahren zum Sammeln veralteter Objekte, um gelöschte Objekte zu entfernen. Für den<br />
Fall, dass eine direkte Verwaltung der <strong>Active</strong> <strong>Directory</strong>-Datenbank erforderlich ist, stellt Windows<br />
Server 2008 das Tool Ntdsutil bereit.<br />
Sammeln veralteter Objekte<br />
Eines der automatisierten Verfahren im Rahmen der <strong>Active</strong> <strong>Directory</strong>-Datenbankwartung ist die<br />
Sammlung veralteter Objekte. Bei der Sammlung veralteter Objekte handelt es sich um ein Verfahren,<br />
das im 12-Stunden-Takt für jeden Domänencontroller durchgeführt wird. Während des Sammelns<br />
veralteter Objekte wird freier Speicherplatz innerhalb der <strong>Active</strong> <strong>Directory</strong>-Datenbank wieder<br />
freigegeben.<br />
Das Verfahren wird gestartet, indem zunächst Tombstones aus der Datenbank entfernt werden. Als<br />
Tombstones werden die Artefakte von Objekten bezeichnet, die aus <strong>Active</strong> <strong>Directory</strong> gelöscht wurden.<br />
Beim Löschen eines Objekts, z.B. einem Benutzerkonto, wird dieses nicht sofort gelöscht. Vielmehr<br />
wird das Attribut isDeleted des Objekts auf den Wert true gesetzt, d.h. das Objekt wird als<br />
Tombstone markiert, und ein Großteil der Attribute für dieses Objekt werden aus dem Objekt entfernt.<br />
Es werden nur wenige Attribute beibehalten, die für die Ermittlung des Objekts benötigt werden,<br />
wie z.B. die GUID (Global Unique Identifier, Global eindeutige Kennung), die SID (Security ID,<br />
Sicherheitskennung), die USN (Update Sequence Number) sowie der DN (Distinguished Name, definierter<br />
Name). Dieser Tombstone wird dann auf alle weiteren Domänencontroller der Domäne repliziert.<br />
Jeder Domänencontroller behält bis zum Ablauf der Tombstone-Ablaufzeit eine Kopie des ver-
Verwalten der <strong>Active</strong> <strong>Directory</strong>-Datenbank 567<br />
alteten Objekts. Standardmäßig sind für die Tombstone-Ablaufzeit 180 Tage festgelegt. Bei der<br />
nächsten Sammlung veralteter Objekte nach der Tombstone-Ablaufzeit wird das Objekt aus der<br />
Datenbank gelöscht.<br />
Nach dem Löschen der Tombstones werden durch das Verfahren zum Sammeln veralteter Objekte alle<br />
unnötigen Transaktionsprotokolldateien gelöscht. Bei jeder an der <strong>Active</strong> <strong>Directory</strong>-Datenbank vorgenommenen<br />
Änderung wird diese zuerst in ein Transaktionsprotokoll geschrieben und dann in die<br />
Datenbank übernommen. Durch das Verfahren zum Sammeln veralteter Objekte werden alle Transaktionsprotokolle<br />
entfernt, in denen keine noch nicht übernommenen Transaktionen enthalten sind.<br />
Wie bereits erwähnt, wird das Verfahren zum Sammeln veralteter Objekte im 12-Stunden-Takt für<br />
jeden Domänencontroller durchgeführt. Dieses Intervall können Sie anpassen, indem Sie das Attribut<br />
garbageCollPeriod ändern. Sie können zum Ändern dieser Einstellung das Tool Adsiedit.msc verwenden.<br />
Öffnen Sie über das Menü Verwaltung den ADSI-Editor, und stellen Sie dann eine Verbindung<br />
mit dem Configuration-Namenskontext her. Erweitern Sie anschließend CN=Configuration, CN=Services<br />
und CN=Windows NT, und wählen Sie CN=<strong>Directory</strong> Service. Klicken Sie mit der rechten<br />
Maustaste auf CN=<strong>Directory</strong> Service, ermitteln Sie das Attribut garbageCollPeriod, und konfigurieren<br />
Sie den Wert entsprechend Ihren Anforderungen. In den meisten Fällen ist eine Änderung dieser<br />
Einstellung nicht erforderlich. In Abbildung 14.8 wird dieses Attribut im ADSI-Editor dargestellt.<br />
Abbildung 14.8<br />
Das Attribut garbageCollPeriod im ADSI-Editor<br />
Onlinedefragmentierung<br />
Als letzter Schritt des Verfahrens zum Sammeln veralteter Objekte wird eine Onlinedefragmentierung<br />
der <strong>Active</strong> <strong>Directory</strong>-Datenbank durchgeführt. Durch diese Onlinedefragmentierung wird Speicherplatz<br />
innerhalb der Datenbank freigegeben, und die Speicherplatzbelegung von <strong>Active</strong> <strong>Directory</strong>-<br />
Objekten innerhalb der Datenbank wird neu angeordnet, um die Effizienz der Datenbank zu verbessern.<br />
Die Onlinedefragmentierung ist aufgrund des Verfahrens erforderlich, das von <strong>Active</strong> <strong>Directory</strong><br />
beim Bearbeiten von Objekten in der Datenbank verwendet wird.
568 Kapitel 14: Überwachen und Warten von <strong>Active</strong> <strong>Directory</strong><br />
Während des normalen Betriebs ist das Datenbanksystem für <strong>Active</strong> <strong>Directory</strong> dahingehend optimiert,<br />
dass Änderungen an der <strong>Active</strong> <strong>Directory</strong>-Datenbank schnellstmöglich vorgenommen werden<br />
können. Wird ein Objekt aus <strong>Active</strong> <strong>Directory</strong> gelöscht, wird die Datenbankseite, auf der das Objekt<br />
gespeichert ist, in den Computerspeicher geladen und das Objekt von der Seite gelöscht. Beim Hinzufügen<br />
von Objekten zu <strong>Active</strong> <strong>Directory</strong> werden diese auf Datenbankseiten geschrieben, ohne dabei<br />
eine Speicheroptimierung zum späteren Abrufen dieser Informationen zu berücksichtigen. Wenn auf<br />
diese Weise über mehrere Stunden hinweg schnellstmöglich Änderungen an der Datenbank vorgenommen<br />
wurden, ist der Datenbankspeicher unter Umständen nicht optimiert. Die Datenbank kann<br />
beispielsweise leere Seiten enthalten, von denen Objekte gelöscht wurden, es können zahlreiche Seiten<br />
vorhanden sein, von denen Objekte gelöscht wurden, oder es sind <strong>Active</strong> <strong>Directory</strong>-Objekte vorhanden,<br />
die logisch gemeinsam gespeichert werden sollten, sich aber auf mehreren Seiten innerhalb<br />
der Datenbank befinden.<br />
Durch das Verfahren der Onlinedefragmentierung wird die Datenbank bereinigt und in einen optimierten<br />
Zustand überführt. Wurden einige der Einträge auf einer Datenbankseite gelöscht, können<br />
Einträge von anderen Seiten auf diese Seite verschoben werden, um das Speichern und Abrufen von<br />
Informationen zu optimieren. Objekte, die logisch gemeinsam gespeichert werden sollten, da sie<br />
gemeinsam angezeigt werden, werden auf die gleiche oder nebeneinanderliegende Datenbankseiten<br />
verschoben. Eine Beschränkung des Onlinedefragmentierungsverfahrens besteht darin, dass die Größe<br />
der <strong>Active</strong> <strong>Directory</strong>-Datenbank nicht verringert werden kann. Wenn Sie viele Objekte aus <strong>Active</strong><br />
<strong>Directory</strong> gelöscht haben, ergeben sich durch das Verfahren zur Onlinedefragmentierung unter<br />
Umständen viele leere Seiten in der Datenbank, da Objekte innerhalb der Datenbank verschoben werden.<br />
Diese leeren Seiten können jedoch durch die Onlinedefragmentierung nicht aus der Datenbank<br />
entfernt werden. Um diese leeren Seiten zu entfernen, ist die Durchführung einer Offlinedefragmentierung<br />
erforderlich.<br />
Abbildung 14.9<br />
Meldung im Verzeichnisdienstprotokoll zur Angabe einer erfolgreichen Onlinedefragmentierung
Verwalten der <strong>Active</strong> <strong>Directory</strong>-Datenbank 569<br />
Die Onlinedefragmentierung wird als Bestandteil der Sammlung veralteter Objekte alle 12 Stunden<br />
durchgeführt. Nach Abschluss der Onlinedefragmentierung wird ein Ereignis in das Verzeichnisdienstprotokoll<br />
geschrieben, um anzugeben, dass die Defragmentierung erfolgreich abgeschlossen<br />
wurde. In Abbildung 14.9 wird ein Beispiel einer solchen Ereignisprotokollmeldung dargestellt.<br />
Offlinedefragmentierung der <strong>Active</strong> <strong>Directory</strong>-Datenbank<br />
Wie zuvor bereits erwähnt, kann durch eine Onlinedefragmentierung die Größe der <strong>Active</strong> <strong>Directory</strong>-<br />
Datenbank nicht verringert werden. Unter normalen Umständen stellt dies kein Problem dar, da die<br />
während der Onlinedefragmentierung bereinigten Datenbankseiten beim erneuten Hinzufügen von<br />
Objekten zu <strong>Active</strong> <strong>Directory</strong> wieder verwendet werden. In einigenFällen kann es jedoch erforderlich<br />
sein, die Gesamtgröße der Datenbank durch eine Offlinedefragmentierung zu verringern. Wenn Sie<br />
z.B. einen globalen Katalog von einem Domänencontroller entfernen, sollten Sie eine Offlinedefragmentierung<br />
der Datenbank durchführen, um den zum Speichern der GC-Informationen in der Datenbank<br />
verwendeten Bereich zu bereinigen. Das Durchführen einer Offlinedefragmentierung nach dem<br />
Entfernen eines globalen Katalogs ist vor allem in einer Umgebung mit mehreren Domänen besonders<br />
wichtig, da ein GC in solchen Umgebungen sehr groß werden kann. Eine Offlinedefragmentierung<br />
kann auch empfehlenswert sein, wenn eine große Anzahl an Objekten aus der <strong>Active</strong> <strong>Directory</strong>-<br />
Domäne entfernt wurde.<br />
Führen Sie für eine Offlinedefragmentierung die folgenden Schritte aus:<br />
1. Sichern Sie die <strong>Active</strong> <strong>Directory</strong>-Informationen auf dem Domänencontroller. Dieses Verfahren<br />
wird in Kapitel 15, „<strong>Active</strong> <strong>Directory</strong>-Notfallwiederherstellung“, beschrieben.<br />
2. Öffnen Sie für Windows Server 2008-Domänencontroller die Konsole Dienste, und halten Sie den<br />
Dienst <strong>Active</strong> <strong>Directory</strong>-Domänendienste und bei Aufforderung alle verknüpften Dienste an<br />
(oder geben Sie an der Eingabeaufforderung die Zeichenfolge net stop ntds ein).<br />
Hinweis Starten Sie bei Verwendung von Windows Server 2000/2003 den Domänencontroller neu.<br />
Drücken Sie beim Neustart des Servers die Taste F8, um den Bildschirm Erweiterte Startoptionen<br />
anzuzeigen, und wählen Sie anschließend Verzeichnisdienstwiederherstellung. Melden Sie sich nach<br />
dem Serverneustart mit dem lokalen Administratorkonto an. Verwenden Sie das Kennwort, das Sie beim<br />
Heraufstufen des Domänencontrollers als Kennwort für den Wiederherstellungsmodus für Verzeichnisdienste<br />
eingegeben haben.<br />
3. Öffnen Sie eine Eingabeaufforderung, und geben Sie den Befehl ntdsutil ein.<br />
4. Geben Sie an der Ntdsutil-Eingabeaufforderung die Zeichenfolge Activate Instance NTDS ein.<br />
5. Geben Sie an der Ntdsutil-Eingabeaufforderung den Befehl files ein.<br />
6. Geben Sie an der File Maintenance-Eingabeaufforderung den Befehl info ein. Mithilfe dieser<br />
Option werden aktuelle Informationen zum Pfad und der Größe der <strong>Active</strong> <strong>Directory</strong>-Datenbank<br />
sowie der zugehörigen Protokolldateien angezeigt.<br />
7. Geben Sie den Befehl compact to Laufwerk:\Verzeichnis ein. Wählen Sie ein Laufwerk und Verzeichnis<br />
mit ausreichend Platz zum Speichern der gesamten Datenbank. Wenn im Namen des Verzeichnispfads<br />
Leerzeichen enthalten sind, muss der Pfad in Anführungszeichen stehen.<br />
8. Bei der Offlinedefragmentierung wird eine neue Datenbank mit dem Namen Ntds.dit in dem von<br />
Ihnen angegebenen Pfad erstellt. Sobald die Datenbank in das neue Verzeichnis kopiert wurde, ist<br />
sie defragmentiert.
570 Kapitel 14: Überwachen und Warten von <strong>Active</strong> <strong>Directory</strong><br />
9. Geben Sie, sobald die Defragmentierung abgeschlossen ist, zweimal quit ein, um zur Eingabeaufforderung<br />
zurückzugelangen.<br />
10. Kopieren Sie die defragmentierte Datei Ntds.dit über die alte Datei Ntds.dit im Pfad der <strong>Active</strong><br />
<strong>Directory</strong>-Datenbank, und löschen Sie die alten Protokolldateien.<br />
11. Starten Sie den Domänencontroller neu.<br />
Hinweis Wenn Sie eine Datenbankdefragmentierung durchführen, da Sie eine große Anzahl an Objekten<br />
aus <strong>Active</strong> <strong>Directory</strong> gelöscht haben, müssen Sie dieses Verfahren für jeden Domänencontroller durchführen.<br />
Verwalten der <strong>Active</strong> <strong>Directory</strong>-Datenbank mithilfe des Tools Ntdsutil<br />
Sie können Ntdsutil nicht nur zum Defragmentieren Ihrer <strong>Active</strong> <strong>Directory</strong>-Datenbank im Offlinestatus<br />
verwenden, sondern mit diesem Tool auch verschiedene Verwaltungsaufgaben für die <strong>Active</strong><br />
<strong>Directory</strong>-Datenbank ausführen. Das Tool Ntdsutil kann ferner zur Durchführung verschiedener<br />
<strong>Active</strong> <strong>Directory</strong>-Wiederherstellungsaufgaben verwendet werden. Die Optionen für die Datenbankwiederherstellung<br />
sind nicht destruktiv, d.h. es wird zwar der Versuch unternommen, vorliegende<br />
Probleme mit der <strong>Active</strong> <strong>Directory</strong>-Datenbank zu beheben, dies jedoch ohne dabei jemals Daten zu<br />
löschen.<br />
Wiederherstellen der Transaktionsprotokolle<br />
Bei der Wiederherstellung der Transaktionsprotokolle wird der Domänencontroller zum erneuten<br />
Ausführen der Transaktionsprotokolle gezwungen. Diese Option wird vom Domänencontroller automatisch<br />
beim Neustart des Domänencontrollers nach einem erzwungenen Herunterfahren ausgeführt.<br />
Sie können während der Wiederherstellung auch die Verwendung des Tools Ntdsutil erzwingen.<br />
Weitere Informationen In Kapitel 15 wird die Verwendungsweise von Transaktionsprotokollen in <strong>Active</strong><br />
<strong>Directory</strong> ausführlich beschrieben.<br />
Führen Sie für eine Wiederherstellung der Transaktionsprotokolle die folgenden Schritte aus:<br />
1. Starten Sie den Server neu, und wählen Sie die Option zum Starten im Wiederherstellungsmodus<br />
für Verzeichnisdienste. Optional können Sie den Dienst <strong>Active</strong> <strong>Directory</strong>-Domänendienste für<br />
Windows Server 2008-Domänencontroller anhalten. Es ist für alle Ntdsutil-Datenbankvorgänge<br />
erforderlich, die AD DS anzuhalten.<br />
2. Öffnen Sie eine Eingabeaufforderung, und geben Sie den Befehl ntdsutil ein.<br />
3. Geben Sie an der Ntdsutil-Eingabeaufforderung die Zeichenfolge Activate Instance NTDS ein.<br />
4. Geben Sie an der Ntdsutil-Eingabeaufforderung den Befehl files ein.<br />
5. Geben Sie an der File Maintenance-Eingabeaufforderung den Befehl recover ein.<br />
Die Wiederherstellungsoption sollte bei einer Datenbankwiederherstellung immer als Erstes ausgeführt<br />
werden, da so die Konsistenz der Datenbank mit den Transaktionsprotokollen gewährleistet<br />
wird. Nach Abschluss der Wiederherstellung können Sie bei Bedarf weitere Datenbankoptionen ausführen.<br />
Überprüfen der Datenbankintegrität<br />
Eine Integritätsüberprüfung der Datenbank bedeutet, dass die Datenbank bis zur untersten Ebene<br />
(Binärebene) auf Beschädigungen überprüft wird.
Verwalten der <strong>Active</strong> <strong>Directory</strong>-Datenbank 571<br />
Während dieses Verfahrens werden auch die Datenbankheader und alle Tabellen auf Konsistenz überprüft.<br />
Da diese Überprüfung jedes Byte der Datenbank einbezieht, kann dieses Verfahren für große<br />
Datenbanken sehr viel Zeit in Anspruch nehmen. Um eine Integritätsprüfung durchzuführen, geben<br />
Sie in Ntdsutil an der File Maintenance-Eingabeaufforderung den Befehl integrity ein.<br />
Semantische Datenbankanalyse<br />
Die semantische Datenbankanalyse unterscheidet sich von der Integritätsüberprüfung dahingehend,<br />
dass die Datenbank nicht auf Binärebene überprüft wird. Bei einer Semantikanalyse wird vielmehr die<br />
Konsistenz der Datenbank in Bezug auf die <strong>Active</strong> <strong>Directory</strong>-Semantik überprüft. Bei einer semantischen<br />
Datenbankanalyse wird jedes Objekt in der Datenbank überprüft, um sicherzustellen, dass<br />
jedes Objekt über eine GUID, eine eigene SID sowie über ordnungsgemäße Replikationsmetadaten<br />
verfügt.<br />
Führen Sie für eine semantische Datenbankanalyse die folgenden Schritte aus:<br />
1. Öffnen Sie eine Eingabeaufforderung, und geben Sie den Befehl ntdsutil ein.<br />
2. Geben Sie an der Ntdsutil-Eingabeaufforderung den Befehl Activate Instance NTDS ein.<br />
3. Geben Sie an der Ntdsutil-Eingabeaufforderung den Befehl semantic database analysis ein.<br />
4. Geben Sie an der semantic checker-Eingabeaufforderung den Befehl verbose on ein. Durch diese<br />
Einstellung wird Ntdsutil angewiesen, während der Semantikprüfung zusätzliche Informationen<br />
auf dem Bildschirm auszugeben.<br />
5. Geben Sie an der semantic checker-Eingabeaufforderung den Befehl go ein.<br />
Verschieben von Datenbank- und Transaktionsprotokollverzeichnissen<br />
Sie können das Tool Ntdsutil auch zum Verschieben von <strong>Active</strong> <strong>Directory</strong>-Datenbank- und Transaktionsprotokollen<br />
verwenden. Wenn sich die Transaktionsprotokolle und die Datenbank beispielsweise<br />
auf derselben Festplatte befinden, möchten Sie vielleicht eine der Komponenten auf einen anderen<br />
Datenträger verschieben. Wird der Speicherplatz auf der Festplatte mit der Datenbankdatei knapp, so<br />
muss die Datenbank verschoben werden.<br />
Führen Sie zum Verschieben der Datenbank und Transaktionsprotokolle in neue Verzeichnisse, während<br />
sich der Server im Wiederherstellungsmodus für Verzeichnisdienste befindet (oder der Dienst<br />
<strong>Active</strong> <strong>Directory</strong>-Domänendienste angehalten wurde), die folgenden Schritte aus:<br />
1. Öffnen Sie eine Eingabeaufforderung, und geben Sie den Befehl ntdsutil ein.<br />
2. Geben Sie an der Ntdsutil-Eingabeaufforderung den Befehl Activate Instance NTDS ein.<br />
3. Geben Sie an der Ntdsutil-Eingabeaufforderung den Befehl files ein.<br />
4. Um zu ermitteln, an welcher Stelle sich die Dateien derzeit befinden, geben Sie an der Ntdsutil-<br />
Eingabeaufforderung den Befehl info ein. Über diesen Befehl werden die Verzeichnisse der<br />
Datenbank und aller Protokolle aufgelistet.<br />
5. Um die Datenbankdatei zu verschieben, geben Sie an der File Maintenance-Eingabeaufforderung<br />
den Befehl move db to Verzeichnis ein, wobei Verzeichnis für das Zielverzeichnis der Dateien<br />
steht. Durch die Ausführung dieses Befehls wird die Datenbank in das angegebene Verzeichnis<br />
verschoben, und die Registrierung wird für den Zugriff auf die Datei im aktuellen Verzeichnis<br />
erneut konfiguriert.<br />
6. Um die Transaktionsprotokolle zu verschieben, geben Sie an der File Maintenance-Eingabeaufforderung<br />
den Befehl move logs to Verzeichnis ein.
572 Kapitel 14: Überwachen und Warten von <strong>Active</strong> <strong>Directory</strong><br />
Zusammenfassung<br />
In diesem Kapitel wurden die Verfahren und einige der erforderlichen Tools zum Überwachen von<br />
<strong>Active</strong> <strong>Directory</strong> und dem Systemstatus von Domänencontrollern vorgestellt. Durch die Implementierung<br />
einer Überwachungslösung können Sie mögliche Systemengpässe sowie Leistungsprobleme, die<br />
Unterbrechungen und hohe Kosten verursachen können, bereits vor deren Auftreten ermitteln. Durch<br />
eine effektive Überwachung von <strong>Active</strong> <strong>Directory</strong> können Sie darüber hinaus wertvolle Leistungstrenddaten<br />
sammeln, um sich auf zukünftige Systemverbesserungen vorzubereiten. Mithilfe der Überwachung<br />
können Sie die Supportmaßnahmen ergreifen, die zur Gewährleistung eines einwandfreien<br />
Status Ihrer <strong>Active</strong> <strong>Directory</strong>-Infrastruktur erforderlich sind. Auch wenn keine Ereignisprotokollfehler<br />
auftreten und keine Warnungsbenachrichtigungen ausgegeben werden, ist es dennoch erforderlich,<br />
eine regelmäßige Datenbankwartung durchzuführen, um die effiziente Funktion der <strong>Active</strong> <strong>Directory</strong>-<br />
Datenbank aufrechtzuerhalten. In diesem Kapitel wurden ferner die Verfahren zur Online- und Offlinedefragmentierung<br />
sowie zur Sammlung veralteter Objekte zum Entfernen gelöschter <strong>Active</strong><br />
<strong>Directory</strong>-Objekte (Tombstones) beschrieben.<br />
Zusätzliche Ressourcen<br />
Die folgenden Ressourcen enthalten zusätzliche Informationen und Tools im Zusammenhang mit<br />
diesem Kapitel.<br />
Verwandte Informationen<br />
• In Kapitel 15, „<strong>Active</strong> <strong>Directory</strong>-Notfallwiederherstellung“, werden Informationen zur <strong>Active</strong><br />
<strong>Directory</strong>-Datenspeicherung und zum Wiederherstellen der <strong>Active</strong> <strong>Directory</strong>-Datenbank bereitgestellt.<br />
• Der Artikel „Windows Reliability And Performance Monitor“ (in englischer Sprach) unter<br />
http://technet2.microsoft.com/windowsserver2008/en/library/ec5b5e7b-5d5c-4d04-98ad-<br />
55d9a09677101033.mspx?mfr=true<br />
• Der Artikel „AD DS: Restartable <strong>Active</strong> <strong>Directory</strong> Domain Services“ (in englischer Sprache)<br />
unter http://technet2.microsoft.com/windowsserver2008/en/library/822ff47d-bd55-4c08-abc1-<br />
2d66336e33e51033.mspx?mfr=true<br />
• Der Artikel „Windows Vista: Zuverlässigkeit und Leistung“ unter http://technet.microsoft.com/dede/windowsvista/aa905077.aspx<br />
• Der Artikel „<strong>Active</strong> <strong>Directory</strong> <strong>Directory</strong> Services Maintenance Utility (Ntdsutil.exe)“ (in englischer<br />
Sprache) unter http://technet2.microsoft.com/windowsserver/en/library/819bea8b-3889-<br />
4479-850f-1f031087693d1033.mspx?mfr=true<br />
• Der Artikel „Relocating <strong>Active</strong> <strong>Directory</strong> Database Files“ (in englischer Sprache) unter<br />
http://technet2.microsoft.com/windowsserver/en/library/af6646aa-2360-46e4-81cad51707bf01eb1033.mspx?mfr=true<br />
• Der Artikel „Relocating SYSVOL Manually“ (in englischer Sprache) unter http://technet2.microsoft.com/windowsserver/en/library/300796c6-8148-49af-a327-b5dca853ac4f1033.mspx?mfr=true<br />
• Der Artikel „Best Practices for SYSVOL Maintenance“ (in englischer Sprache) unter<br />
http://support.microsoft.com/kb/324175
Zusätzliche Ressourcen 573<br />
• Der Artikel „Microsoft <strong>Active</strong> <strong>Directory</strong> Management Pack-Handbuch“ unter http://www.microsoft.com/downloads/details.aspx?familyid=2B9D3613-5516-4F44-8550-B21E054F5047&displaylang=de<br />
• Der Artikel „Monitoring <strong>Active</strong> <strong>Directory</strong> with MOM“ (in englischer Sprache) unter<br />
http://download.microsoft.com/documents/uk/technet/downloads/technetmagazine/issue4/<br />
36_monitoring_ad_with_mom.<strong>pdf</strong>
575<br />
K A P I T E L 1 5<br />
<strong>Active</strong> <strong>Directory</strong>-Notfallwiederherstellung<br />
Inhalt dieses Kapitels:<br />
Vorbereiten auf einen Ausfall . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 576<br />
<strong>Active</strong> <strong>Directory</strong>-Datenspeicher . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 577<br />
Sichern von <strong>Active</strong> <strong>Directory</strong> . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 579<br />
Wiederherstellen von <strong>Active</strong> <strong>Directory</strong> . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 583<br />
Zusammenfassung. . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 606<br />
Empfohlene Vorgehensweisen. . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 606<br />
Zusätzliche Ressourcen. . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 607<br />
Die <strong>Active</strong> <strong>Directory</strong>-Domänendienste (<strong>Active</strong> <strong>Directory</strong> Domain Services, AD DS) sind wahrscheinlich<br />
die wichtigsten Netzwerkdienste, die in einem Netzwerk bereitgestellt werden. Bei einem<br />
Ausfall der <strong>Active</strong> <strong>Directory</strong>-Infrastruktur steht Benutzern im Netzwerk nur noch ein äußerst eingeschränkter<br />
Funktionsumfang zur Verfügung. Für beinahe alle Netzwerkdienste in einem Windows<br />
Server 2008-Netzwerk ist vor dem Zugriff auf eine Netzwerkressource eine Benutzerauthentifizierung<br />
gegenüber <strong>Active</strong> <strong>Directory</strong> erforderlich. Da <strong>Active</strong> <strong>Directory</strong> so wichtig ist, sind zumindest<br />
dieselben vorbeugenden Maßnahmen zur Vermeidung eines <strong>Active</strong> Directroy-Ausfalls und einer<br />
anschließenden Wiederherstellung zu treffen, wie dies auch bei jeder anderen Netzwerkressource der<br />
Fall ist. Bei der Bereitstellung von Windows Server 2008 <strong>Active</strong> <strong>Directory</strong> ist es unerlässlich, sich auf<br />
den Schutz der <strong>Active</strong> <strong>Directory</strong>-Datenbank vorzubereiten und einen Plan für die Notfallwiederherstellung<br />
der Datenbank zu erarbeiten, falls ein schwerwiegender Fehler auftritt.<br />
Zu Beginn dieses Kapitels werden einige empfohlene Vorgehensweisen beschrieben, über die Redundanz<br />
und Schutz für <strong>Active</strong> <strong>Directory</strong> sichergestellt werden kann. Anschließend werden die Komponenten<br />
der <strong>Active</strong> <strong>Directory</strong>-Datenbank sowie deren optimale Konfiguration zur Bereitstellung der<br />
Notfallwiederherstellungsfunktion erläutert. Optionen und Vorgehensweisen zur Sicherung und Wiederherstellung<br />
der <strong>Active</strong> <strong>Directory</strong>-Datenbank finden sich im Hauptteil dieses Kapitels.<br />
Weitere Informationen Dieses Kapitel enthält keine Informationen zur Wiederherstellung einer vollständigen<br />
<strong>Active</strong> <strong>Directory</strong>-Gesamtstruktur aus einer Sicherungsdatei, sondern lediglich zur Wiederherstellung<br />
einzelner Domänencontroller und <strong>Active</strong> <strong>Directory</strong>-Objekte in einer Domäne. Informationen zur Wiederherstellung<br />
einer vollständigen <strong>Active</strong> <strong>Directory</strong>-Gesamtstruktur finden Sie unter dem Titel „Planning for <strong>Active</strong><br />
<strong>Directory</strong> Forest Recovery“ im Microsoft Download Center auf der englischsprachigen Website unter<br />
http://www.microsoft.com/downloads/details.aspx?FamilyID=AFE436FA-8E8A-443A-9027-<br />
C522DEE35D85&displaylang=en.
576 Kapitel 15: <strong>Active</strong> <strong>Directory</strong>-Notfallwiederherstellung<br />
Vorbereiten auf einen Ausfall<br />
Lange bevor es zu einem Ausfall kommt, müssen bereits die Vorbereitungen für eine Notfallwiederherstellung<br />
getroffen werden. Wenn kein umfassender Plan für einen potenziellen Ausfall erarbeitet<br />
wurde, kann bereits ein Problem wie z.B. der Ausfall einer Hardwarekomponente auf einem Domänencontroller<br />
nicht nur zu Unannehmlichkeiten, sondern zu einer regelrechten Katastrophe führen.<br />
Bei der Vorbereitung auf einen Ausfall müssen alle Elemente einer normalen Netzwerkinfrastruktur<br />
sowie ein <strong>Active</strong> <strong>Directory</strong>-spezifischer Plan berücksichtigt werden. Die folgenden Vorgehensweisen<br />
werden dringend empfohlen:<br />
• Entwickeln Sie einen konsistenten Sicherungs- und Wiederherstellungsplans für die Domänencontroller.<br />
Der erste Schritt jedes Wiederherstellungsplans ist die Installation einer geeigneten<br />
Sicherungshardware und -software zur Sicherung der Domänencontroller. Als Nächstes sollte ein<br />
Sicherungs- und Wiederherstellungsplan erstellt und getestet werden. Darüber hinaus wird empfohlen,<br />
<strong>Active</strong> <strong>Directory</strong> vor jeder größeren Statusänderung, wie einem Schema-Update oder<br />
Massenimport, zu sichern.<br />
• Testen Sie Ihren Sicherungsplan vor der <strong>Active</strong> <strong>Directory</strong>-Bereitstellung, und führen Sie nach der<br />
Bereitstellung regelmäßige Tests durch. <strong>Active</strong> <strong>Directory</strong> muss nach der Bereitstellung für Benutzer<br />
jederzeit verfügbar sein. Der Wiederherstellungsplan sollte ebenfalls wiederholt getestet werden.<br />
Gut verwaltete Netzwerkumgebungen verfügen über ein einheitliche<br />
Testwiederherstellungsverfahren, bei denen jede Woche eine Komponente der Wiederherstellungsverfahren<br />
getestet wird. Bei einem tatsächlichen Ausfall besteht ein großer Zeitdruck, da<br />
<strong>Active</strong> <strong>Directory</strong> schnellstmöglich wiederhergestellt werden muss – bei dieser Gelegenheit sollte<br />
das <strong>Active</strong> <strong>Directory</strong>-Wiederherstellungsverfahren nicht zum ersten Mal angewendet werden.<br />
• Testen Sie Änderungen an <strong>Active</strong> <strong>Directory</strong> in einer Testumgebung. Auf diese Weise wird das<br />
Risiko minimiert, dass größere <strong>Active</strong> <strong>Directory</strong>-Updates zu Problemen in der Produktionsumgebung<br />
führen. Wurde das Update in der Testumgebung erfolgreich ausgeführt, kann es in der Produktionsumgebung<br />
implementiert werden.<br />
• Stellen Sie <strong>Active</strong> <strong>Directory</strong>-Domänencontroller mit Hardwareredundanz bereit. Die meisten<br />
Server bieten bei nur geringem Kostenaufschlag bereits einen gewissen Grad an Hardwareredundanz.<br />
Ein Server sollte zum Beispiel für Domänencontroller standardmäßig mit zwei Netzteilen,<br />
redundanten Netzwerkkarten und einem hardwarebasierten redundanten Festplattensystem ausgestattet<br />
sein. Wenn Ihnen diese Redundanz den Aufwand einer nächtlichen Wiederherstellung des<br />
Domänencontrollers erspart, hat sich die Investition in jedem Fall gelohnt. In vielen großen<br />
Umgebungen wird Hardwareredundanz auf einer höherer Ebene bereitgestellt, indem einzelne<br />
Domänencontroller an verschiedene Stromkreise und Ethernet-Switches oder Netzwerksegmente<br />
angeschlossen werden.<br />
• Stellen Sie – abgesehen von sehr kleinen Netzwerken – mindestens zwei Domänencontroller<br />
bereit. <strong>Active</strong> <strong>Directory</strong> verwendet eine zirkuläre Protokollierung für die Protokolldateien, und<br />
diese Standardeinstellung kann nicht geändert werden. Dies bedeutet Folgendes: Wenn Sie nur<br />
einen Domänencontroller einsetzen, können <strong>Active</strong> <strong>Directory</strong>-Daten verloren gehen, wenn der<br />
Domänencontroller ausfällt und die Daten aus einer Sicherung wiederhergestellt werden müssen.<br />
Selbst in einem kleinen Unternehmen ist die Verwendung mehrerer Domänencontroller unerlässlich.
<strong>Active</strong> <strong>Directory</strong>-Datenspeicher 577<br />
Sollen alle Benutzer vorwiegend nur einen Domänencontroller nutzen, kann in den DNS-Datensätzen<br />
(Domain Name System) für jeden Domänencontroller die gewünschte Priorität festgelegt<br />
werden. Der zweite Domänencontroller kann dann eine andere Funktion übernehmen und ausschließlich<br />
als Reservedomänencontroller eingesetzt werden, wenn der erste Domänencontroller<br />
ausfällt.<br />
<strong>Active</strong> <strong>Directory</strong>-Datenspeicher<br />
Die <strong>Active</strong> <strong>Directory</strong>-Datenbank wird in einer als Ntds.dit bezeichneten Datei gespeichert, die sich<br />
standardmäßig im Ordner %systemroot%\NTDS befindet. Die Dateien in diesem Ordner werden in<br />
Abbildung 15.1 dargestellt. Dieser Ordner enthält darüber hinaus die folgenden Dateien:<br />
• Edb.chk Bei dieser Datei handelt es sich um eine Prüfpunktdatei, die anzeigt, welche Transaktionen<br />
aus den Protokolldateien in die <strong>Active</strong> <strong>Directory</strong>-Datenbank geschrieben wurden.<br />
• Edb.log Diese Datei ist das aktuelle Transaktionsprotokoll, eine Datei fester Länge mit einer<br />
Größe von genau 10 MB (Megabyte).<br />
• Edbxxxxx.log Wenn <strong>Active</strong> <strong>Directory</strong> über einen längeren Zeitraum ausgeführt wurde, sind möglicherweise<br />
eine Protokolldatei oder mehrere Protokolldateien vorhanden, die nach dem Muster<br />
xxxxx Dateiname benannt sind. Hierbei steht xxxxx für einen aufsteigenden Wert im Hexadezimalformat.<br />
Diese Protokolldateien sind vorherige Protokolldateien. Sobald die maximale Größe<br />
der aktuellen Protokolldatei erreicht ist, wird diese in die nächste vorherige Protokolldatei<br />
umbenannt, und es wird eine neue Edb.log-Datei erstellt. Die alten Protokolldateien werden<br />
automatisch gelöscht, wenn die Änderungen in den Protokolldateien in die <strong>Active</strong> <strong>Directory</strong>-<br />
Datenbank übernommen wurden. Die Größe dieser Protokolldateien beträgt je 10 MB.<br />
• Edbtmp.log Dieses temporäre Protokoll wird verwendet, wenn die aktuelle Protokolldatei<br />
(Edb.log) voll ist. Zum Speichern der Transaktionen wird eine neue Datei mit dem Namen<br />
Edbtemp.log erstellt, und die Datei Edb.log wird in die nächste vorherige Protokolldatei<br />
umbenannt. Anschließend wird der Name der Datei Edbtemp.log in Edb.log geändert. Da dieser<br />
Dateiname vorübergehend verwendet wird, ist er normalerweise nicht sichtbar.<br />
• Edbres00001.jrs und edbres00002.jrs Diese reservierten Protokolldateien werden ausschließlich<br />
verwendet, wenn auf der Festplatte, auf der sich die Protokolldateien befinden, nicht mehr genügend<br />
Speicherplatz vorhanden ist. Wenn die aktuelle Protokolldatei voll ist und der Server aus<br />
Speicherplatzgründen keine neue Protokolldatei erstellen kann, werden alle derzeit gespeicherten<br />
<strong>Active</strong> <strong>Directory</strong>-Transaktionen in die beiden reservierten Protokolldateien verschoben. Anschließend<br />
wird <strong>Active</strong> <strong>Directory</strong> beendet. Die Größe dieser Protokolldateien beträgt je 10 MB.<br />
• Temp.edb Diese temporäre Datei wird während der Datenbankwartung verwendet, um Informationen<br />
zu derzeit ausgeführten Transaktionen zu speichern.<br />
Hinweis Wenn Sie bereits mit neueren Versionen von Microsoft Exchange Server vertraut sind, werden<br />
Ihnen die hier beschriebenen <strong>Active</strong> <strong>Directory</strong>-Datenbankkomponenten und -prozesse sehr bekannt vorkommen.<br />
Die <strong>Active</strong> <strong>Directory</strong>-Datenbank ist dieselbe Datenbank, die von Servern mit Exchange Server 4 oder<br />
höher bereitgestellt wird.
578 Kapitel 15: <strong>Active</strong> <strong>Directory</strong>-Notfallwiederherstellung<br />
Abbildung 15.1<br />
Im Ordner %systemroot%\NTDS gespeicherte <strong>Active</strong> <strong>Directory</strong>-Dateien<br />
Jede an der <strong>Active</strong> <strong>Directory</strong>-Datenbank vorgenommene Änderung wird als Transaktion bezeichnet.<br />
Eine Transaktion kann aus mehreren Schritten bestehen. Wenn ein Benutzer beispielsweise von einer<br />
Organisationseinheit (Organizational Unit, OU) in eine andere verschoben wird, muss das Objekt in der<br />
Zielorganisationseinheit erstellt und in der Quellorganisationseinheit gelöscht werden. Die Transaktion<br />
ist erst abgeschlossen, wenn beide Schritte erfolgreich durchgeführt wurden. Falls eine Schritt<br />
fehlschlägt, muss ein Rollback der Transaktion ausgeführt werden, um beide Schritte vollständig<br />
rückgängig zu machen. Wenn alle Schritte in einer Transaktion abgeschlossen wurden, wird die<br />
Transaktion übernommen bzw. es wird ein Commit ausgeführt. Durch die Verwendung eines transaktionsbasierten<br />
Modells in <strong>Active</strong> <strong>Directory</strong> wird sichergestellt, dass die Datenbank sich stets in einem<br />
konsistenten Zustand befindet.<br />
Jede an der <strong>Active</strong> <strong>Directory</strong>-Datenbank vorgenommene Änderung (z.B. eine geänderte Telefonnummer<br />
eines Benutzers) wird zunächst in eine Transaktionsprotokolldatei geschrieben. Bei der<br />
Transaktionsprotokolldatei handelt es sich im Grunde genommen um eine Textdatei, in der Änderungen<br />
nacheinander aufgelistet werden. Daher können Schreibvorgänge in einem Transaktionsprotokoll<br />
wesentlich schneller ausgeführt werden als in eine Datenbank. Folglich wird die Leistung des<br />
Domänencontrollers durch die Verwendung von Transaktionsprotokollen verbessert.<br />
Nach dem Erfassen der Transaktion im Transaktionsprotokoll lädt der Domänencontroller die Datenbankseite,<br />
die das Benutzerobjekt enthält, in den Arbeitsspeicher (falls sich diese noch nicht im<br />
Arbeitsspeicher befindet). Alle Änderungen an der <strong>Active</strong> <strong>Directory</strong>-Datenbank werden im Arbeitsspeicher<br />
des Domänencontroller erfasst. Der Domänencontroller verwendet hierbei so viel Arbeitsspeicher<br />
wie möglich und legt möglichst viele <strong>Active</strong> <strong>Directory</strong>-Datenbankdaten im Arbeitsspeicher<br />
ab. Datenbankseiten werden nur dann vom Domänencontroller aus dem Arbeitsspeicher gelöscht,<br />
wenn der verfügbare Arbeitsspeicher nicht mehr ausreicht oder der Domänencontroller heruntergefahren<br />
wird. Bei geringer Serverauslastung oder beim Herunterfahren des Servers werden Änderungen<br />
an den Datenbankseiten in der Datenbank gespeichert.<br />
Transaktionsprotokolle verbessern die Leistung des Domänencontrollers nicht nur, indem sie eine<br />
schnelle Erfassung von Änderungen, sondern ebenfalls bestimmte Systemwiederherstellungsfunktionen<br />
bei einem Serverausfall bieten. Werden beispielsweise Änderungen in <strong>Active</strong> <strong>Directory</strong> vorgenommen,<br />
werden diese in die Transaktionsprotokolle geschrieben und anschließend auf der Datenbankseite<br />
im Serverarbeitsspeicher erfasst.
Sichern von <strong>Active</strong> <strong>Directory</strong> 579<br />
Sollte der Server zu diesem Zeitpunkt unerwartet heruntergefahren werden, wurden die Änderungen<br />
im Serverarbeitsspeicher noch nicht in die Datenbank übernommen. Beim Neustart des Domänencontrollers<br />
überprüft dieser die Transaktionsprotokolle auf Transaktionen, die noch nicht in die Datenbank<br />
übernommen wurden. Diese Änderungen werden beim Neustart des Domänencontrollerdienstes<br />
auf die Datenbank angewendet. Für diesen Wiederherstellungsprozesses wird die Prüfpunktdatei verwendet.<br />
Bei dieser Prüfpunktdatei handelt es sich um einen Zeiger auf die Transaktionen in den<br />
Transaktionsprotokollen, die in die Datenbank geschrieben wurden. Während des Wiederherstellungsprozesses<br />
ermittelt der Domänencontroller beim Lesen der Prüfpunktdatei, welche Transaktionen<br />
bereits in die Datenbank übernommen wurden. Anschließend werden sämtliche Änderungen angewendet,<br />
die noch nicht übernommen wurden.<br />
Hinweis Die Verwendung von Transaktionsprotokollen verbessert die Leistung des Domänencontrollers<br />
sowie die Datenwiederherstellung beim unerwarteten Herunterfahren. Zur optimalen Nutzung dieser Vorteile<br />
sollten sich die Transaktionsprotokolle und die Datenbank auf separaten Festplatten befinden, da so Leistungsengpässe<br />
der Festplatten vermieden werden.<br />
<strong>Active</strong> <strong>Directory</strong> in Windows Server 2008 verwendet eine zirkuläre Protokollierung, und diese Standardeinstellung<br />
kann nicht geändert werden. Bei der zirkulären Protokollierung werden ausschließlich<br />
vorherige Protokolldateien beibehalten, die noch nicht in der Datenbank erfasste Transaktionen<br />
beinhalten. Sobald die Informationen aus der vorherigen Protokolldatei in die Datenbank übernommen<br />
wurden, wird die Protokolldatei gelöscht. Das wiederholte Übernehmen von Transaktionen aus<br />
Protokolldateien bei der Aktualisierung einer wiederhergestellten Datenbank lässt sich mithilfe der<br />
zirkulären Protokollierung vermeiden. Stattdessen wird die wiederhergestellte <strong>Active</strong> <strong>Directory</strong>-<br />
Datenbank mit einer auf einem zweiten Domänencontroller gespeicherten Kopie auf den aktuellen<br />
Stand gebracht.<br />
Sichern von <strong>Active</strong> <strong>Directory</strong><br />
Die Vorgehensweise zur Sicherung von <strong>Active</strong> <strong>Directory</strong> in Windows Server 2008 unterscheidet sich<br />
im Wesentlichen von der in Windows Server 2003 und Windows 2000 Server. Die Windows Server-<br />
Sicherung und das Befehlszeilenprogramm Wbadmin.exe ersetzen das Sicherungsdienstprogramm<br />
Ntbackup.exe. Im neuen Dienstprogramm für die Sicherung sind folgende Änderungen zu beachten:<br />
• Die Windows Server-Sicherung und Wbadmin.exe sind standardmäßig nicht installiert. Zur Verwendung<br />
dieser Dienstprogramme muss zunächst das Windows Server-Sicherungsfeature installiert<br />
werden.<br />
• Nur ganze Volumes können gesichert werden. Es gibt keine Option, über die ausschließlich Systemstatusdaten<br />
gesichert werden können, zu denen <strong>Active</strong> <strong>Directory</strong> gehört. Daher sollten wichtige<br />
Volumes gesichert werden, um die Systemstatusdaten zu sichern.<br />
• Sicherungen werden nur auf Festplatte oder DVD durchgeführt. Das Durchführen von Bandsicherungen<br />
ist mit der Windows Server-Sicherung nicht möglich. Hierzu muss eine Sicherungslösung<br />
eines Drittanbieters verwendet werden. Sicherungen können auf einer lokalen Festplatte, externen<br />
Festplatte, Remotefreigabe oder DVD gespeichert werden.<br />
• Sicherungen lassen sich schneller durchführen. Die Windows Server-Sicherung führt Sicherungen<br />
mit dem Volumeschattenkopie-Dienst (Volume Shadow Copy Service, VSS) durch und<br />
überwacht Änderungen auf Blockebene. Auf diese Weise lassen sich sowohl inkrementelle als<br />
auch vollständige Sicherungen schneller durchführen.
580 Kapitel 15: <strong>Active</strong> <strong>Directory</strong>-Notfallwiederherstellung<br />
Bei den Systemstatusdaten handelt es sich um eine Sammlung von Konfigurationsdaten auf einem<br />
Server. Diese Daten sind eng integriert und müssen als einzelne Einheit gesichert und wiederhergestellt<br />
werden. Unter Windows Server 2003 und Windows 2000 konnten ausschließlich Systemstatusdaten<br />
gesichert werden. Bei Verwendung der Windows Server-Sicherung oder des Dienstprogramms<br />
Wbadmin.exe unter Windows Server 2008 müssen wichtige Volumes gesichert werden, die Systemstatusdaten<br />
enthalten. Bei Aktivierung der Windows Server-Sicherungsoption Systemwiederherstellung<br />
aktivieren werden alle wichtigen Volumes automatisch ausgewählt (siehe Abbildung 15.2).<br />
Abbildung 15.2<br />
Sicherung wichtiger Volumes mithilfe der Windows Server-Sicherung<br />
Welche Volumes für einen Server wichtig sind, hängt von den auf dem Server installierten Rollen ab.<br />
Das Systemvolume, das als Host für die Startdateien, wie dem Startkonfigurations-Datenspeicher<br />
(Boot Configuration Data, BCD) und dem Start-Manager (Bootmgr) dient, ist ein wichtiges Volume.<br />
Das Startvolume mit dem Windows-Betriebssystem ist ebenfalls ein wichtiges Volume. Darüber<br />
hinaus befinden sich auf weiteren wichtigen Volumes die folgenden zusätzlichen Daten:<br />
• SYSVOL-Verzeichnis<br />
• <strong>Active</strong> <strong>Directory</strong>-Datenbank und Protokolldateien<br />
• Registrierung<br />
• COM+-Klassenregistrierungsdatenbank<br />
• Datenbank der <strong>Active</strong> <strong>Directory</strong>-Zertifikatdienste<br />
• Clusterdienstinformationen<br />
• Systemdateien, die dem Windows-Ressourcenschutz unterliegen<br />
Windows Server 2008 verfügt über ein IFM-Feature (Install From Media) zum Installieren von einem<br />
Medium, dass bei der Installation neuer Domänencontroller verwendet werden kann.
Sichern von <strong>Active</strong> <strong>Directory</strong> 581<br />
Anstatt die gesamte <strong>Active</strong> <strong>Directory</strong>-Datenbank zu replizieren, verwendet das IFM-Feature eine wiederhergestellte<br />
<strong>Active</strong> <strong>Directory</strong>-Kopie als Ausgangspunkt für die Replikation auf neuen Domänencontrollern.<br />
Dies ist besonders für Server in Zweigstellen mit einer niedrigen Breitbandverbindung<br />
sinnvoll. Der Sicherungssatz für das IFM-Feature wird nicht über die Windows Server-Sicherung oder<br />
Wbadmin.exe, sondern über Ntdsutil erstellt.<br />
Hinweis Mitglieder der Gruppen Administratoren und Sicherungs-Operatoren verfügen über die erforderlichen<br />
Rechte zur Durchführung einer manuellen Sicherung. Eine geplante Sicherung können ausschließlich<br />
Mitglieder der Gruppe Administratoren durchführen, da diese über die erforderlichen Rechte verfügen. Diese<br />
Rechte können nicht delegiert werden.<br />
Notwendigkeit von Sicherungen<br />
Das Standardverfahren bei der Sicherung von <strong>Active</strong> <strong>Directory</strong> ist die Replikation auf einem zweiten<br />
Domänencontroller. Beim Ausfall eines Domänencontrollers in einer Domäne verfügen die anderen<br />
Domänencontroller über dieselben Informationen und können die Aufgabe der Clientanmeldung oder<br />
eine Verarbeitung von Clientanforderungen übernehmen. Aus diesem Grund sollten stets mindestens<br />
zwei Domänencontroller pro Domäne vorhanden sein.<br />
Obwohl die Domäneninformationen zwischen Domänencontrollern repliziert werden, sollte ein Domänencontroller<br />
dennoch regelmäßig gesichert werden. In folgenden Fällen kann das Wiederherstellen<br />
von vorhandenen Domänencontrollern oder <strong>Active</strong> <strong>Directory</strong> erforderlich sein:<br />
• Anwendungen sind so konfiguriert, dass diese einen bestimmten Domänencontroller verwenden Einige<br />
Anwendungen sind so konfiguriert, dass diese für den Zugriff auf <strong>Active</strong> <strong>Directory</strong> einen<br />
bestimmten Domänencontroller verwenden. In einem solchen Fall wird durch das Wiederherstellen<br />
eines Domänencontrollers die Neukonfiguration der Anwendung vermieden.<br />
• Alle Domänencontroller einer Domäne sind ausgefallen Falls es zu einer größeren Katastrophe<br />
kommt, z.B. zu einem Feuer im Gebäude, können alle Domänencontroller einer Domäne ausfallen.<br />
In diesem Fall muss <strong>Active</strong> <strong>Directory</strong> über eine Sicherung wiederhergestellt werden.<br />
• Objekte werden gelöscht Falls <strong>Active</strong> <strong>Directory</strong>-Objekte versehentlich gelöscht werden, können<br />
die gelöschten Objekte über eine Sicherung wiederhergestellt werden. Abhängig von der Anzahl<br />
an Objekten ist diese Vorgehensweise möglicherweise schneller als das erneute Erstellen der<br />
Objekte.<br />
Tombstone-Ablaufzeit<br />
Die Tombstone-Ablaufzeit legt fest, wie lange ein gelöschtes Objekt in <strong>Active</strong> <strong>Directory</strong> gespeichert<br />
wird. Wie bereits in Kapitel 14, „Überwachen und Warten von <strong>Active</strong> <strong>Directory</strong>“, beschrieben, wird<br />
ein <strong>Active</strong> <strong>Directory</strong>-Objekt nach dem Löschen nicht aus <strong>Active</strong> <strong>Directory</strong> entfernt. Das Objekt wird<br />
stattdessen als gelöscht gekennzeichnet, die meisten Attribute werden entfernt, das Objekt wird<br />
umbenannt und schließlich in den Container Gelöschte Objekte verschoben. Anschließend wird dieses<br />
Objekt als Tombstone bezeichnet. Diese Änderungen werden auf alle anderen Domänencontroller<br />
repliziert, und der Tombstone wird erst nach der Tombstone-Ablaufzeit aus <strong>Active</strong> <strong>Directory</strong> entfernt.<br />
Eine Sicherung ist nur für die Dauer der in <strong>Active</strong> <strong>Directory</strong> festgelegten Tombstone-Ablaufzeit gültig.<br />
Nach der Tombstone-Ablaufzeit ist eine Wiederherstellung von <strong>Active</strong> <strong>Directory</strong>-Sicherungen nicht<br />
mehr möglich. Auf diese Weise wird sichergestellt, dass nicht autorisierende Wiederherstellungen von<br />
<strong>Active</strong> <strong>Directory</strong> wie erwartet funktionieren.
582 Kapitel 15: <strong>Active</strong> <strong>Directory</strong>-Notfallwiederherstellung<br />
Wenn zum Beispiel eine Sicherung, die den Benutzer Paul umfasst, zur Wiederherstellung eines<br />
Domänencontrollers verwendet wird, nachdem das Objekt Paul gelöscht wurde, wird der gelöschte<br />
Status von Paul zurück auf den wiederhergestellten Domänencontroller repliziert. Der gelöschte Status<br />
von Paul bleibt unverändert, da die Sicherung innerhalb der für <strong>Active</strong> <strong>Directory</strong> festgelegten<br />
Tombstone-Ablaufzeit durchgeführt wurde. Wäre der Domänencontroller nach der Tombstone-Ablaufzeit<br />
wiederhergestellt worden, wäre Paul wiederhergestellt worden. Der gelöschte Status von Paul<br />
wäre auf keinem anderen Domänencontroller vorhanden und könnte daher auch nicht zurück repliziert<br />
werden. Obwohl es gelöscht wurde, bleibt das Objekt Paul weiterhin in <strong>Active</strong> <strong>Directory</strong> erhalten.<br />
Dies führt zu einer Inkonsistenz in <strong>Active</strong> <strong>Directory</strong>, und das Objekt muss entfernt werden.<br />
Die Tombstone-Ablaufzeit wird für eine ganze Gesamtstruktur konfiguriert. Der Wert für die Tombstone-Ablaufzeit<br />
wird im Attribut tombstoneLifetime des Objekts CN=<strong>Directory</strong> Service,CN=<br />
Windows NT,CN=Services,CN=Configuration,DC=ForestRootDomain gespeichert, wie in<br />
Abbildung 15.3 gezeigt. Der Standardwert hängt vom Betriebssystem ab, auf dem sich die Gesamtstruktur<br />
befindet (siehe Tabelle 15.1). Diese Werte gelten nur beim Erstellen einer neuen <strong>Active</strong><br />
<strong>Directory</strong>-Gesamtstruktur. Upgrades oder Service Packs haben keine Auswirkungen auf die Werte.<br />
Der Standardwert für die Tombstone-Ablaufzeit lässt sich mithilfe von ADSIEdit.msc anpassen.<br />
Abbildung 15.3<br />
Das tombstoneLifetime-Attribut für eine <strong>Active</strong> <strong>Directory</strong>-Gesamtstruktur<br />
Tabelle 15.1<br />
Standard-Tombstone-Ablaufzeiten für neue <strong>Active</strong> <strong>Directory</strong>-Gesamtstrukturen<br />
Betriebssystem<br />
Windows 2000 Server<br />
Windows Server 2003 ohne Service Pack<br />
Windows Server 2003 SP1<br />
Windows Server 2003 R2<br />
Windows Server 2003 SP2<br />
Windows Server 2008<br />
Standard-Tombstone-Ablaufzeit<br />
60 Tage<br />
60 Tage<br />
180 Tage<br />
60 Tage<br />
180 Tage<br />
180 Tage
Sicherungshäufigkeit<br />
Wiederherstellen von <strong>Active</strong> <strong>Directory</strong> 583<br />
Wenngleich die Sicherungshäufigkeit durch die Tombstone-Ablaufzeit festgelegt ist, sollten die<br />
Domänencontroller während der Dauer der Tombstone-Ablaufzeit häufiger gesichert werden. Zusätzlich<br />
zum Tombstone-Problem muss eine Vielzahl an Aspekten berücksichtigt werden, wenn der<br />
Domänencontroller über eine Sicherung wiederhergestellt werden soll, die bereits älter als ein paar<br />
Tage ist. Da die Wiederherstellung von <strong>Active</strong> <strong>Directory</strong> alle Informationen auf wichtigen Volumes<br />
umfasst, werden diese mit einem vorherigen Status wiederhergestellt. Wenn auf dem Server die Rolle<br />
<strong>Active</strong> <strong>Directory</strong>-Zertifikatdienste installiert ist, wird keines der seit der Sicherung ausgegebenen Zertifikate<br />
in der Datenbank der <strong>Active</strong> <strong>Directory</strong>-Zertifikatdienste enthalten sein. Wenn Treiber aktualisiert<br />
oder neue Anwendungen installiert wurden, funktionieren diese möglicherweise nicht, da ein<br />
Rollback der Registrierung auf einen vorherigen Status durchgeführt wurde. Fast alle Unternehmen<br />
gehen nach einen Sicherungsplan vor, bei dem zumindest einige der Server nachts gesichert werden.<br />
Auch die Domänencontroller sollten Teil dieser nächtlichen Sicherungen sein.<br />
Wiederherstellen von <strong>Active</strong> <strong>Directory</strong><br />
Die Wiederherstellung von <strong>Active</strong> <strong>Directory</strong> kann aus zwei Gründen erforderlich sein. Der erste<br />
Grund ist eine unbrauchbare Datenbank. Die Ursache hierfür kann ein Festplattenausfall eines Domänencontrollers<br />
oder eine beschädigte Datenbank sein, die nicht mehr geladen werden kann. Als zweite<br />
Fehlerursache kommen menschliche Fehler in Betracht, die zu Problemen mit Verzeichnisinformationen<br />
führen. Wenn ein Benutzer zum Beispiel eine Organisationseinheit mit mehreren Hundert Benutzer-<br />
und Gruppenkonten gelöscht hat, sollten die Informationen nicht neu eingegeben werden müssen,<br />
sondern wiederhergestellt werden können.<br />
Bei einer <strong>Active</strong> <strong>Directory</strong>-Wiederherstellung, die auf eine unbrauchbare Datenbank auf einem der<br />
Domänencontroller zurückzuführen ist, gibt es zwei Möglichkeiten. Bei der ersten Möglichkeit wird<br />
<strong>Active</strong> <strong>Directory</strong> nicht auf dem ausgefallenen Server wiederhergestellt. Stattdessen wird ein anderer<br />
Domänencontroller erstellt, indem ein anderer Windows Server 2008-Server zu einem Domänencontroller<br />
heraufgestuft wird. Bei dieser Vorgehensweise stellen Sie nicht <strong>Active</strong> <strong>Directory</strong> auf einen<br />
bestimmten Domänencontroller, sondern die Domänencontrollerfunktionalität wieder her. Die zweite<br />
Wiederherstellungsmöglichkeit ist die Reparatur des ausgefallenen Servers und die anschließende<br />
Wiederherstellung der <strong>Active</strong> <strong>Directory</strong>-Datenbank auf diesem Server. In diesem Fall führen Sie eine<br />
nicht autorisierende Wiederherstellung aus. Bei einer nicht autorisierenden Wiederherstellung wird<br />
zunächst die <strong>Active</strong> <strong>Directory</strong>-Datenbank auf dem Domänencontroller wiederhergestellt. Im<br />
Anschluss werden alle seit der Sicherung an <strong>Active</strong> <strong>Directory</strong> vorgenommenen Änderungen auf den<br />
wiederhergestellten Domänencontroller repliziert.<br />
Beim Wiederherstellen von <strong>Active</strong> <strong>Directory</strong> aufgrund einer großen Anzahl an gelöschten Objekten<br />
gibt es nur eine Vorgehensweise. Sie stellen die <strong>Active</strong> <strong>Directory</strong>-Datenbank auf einem der Domänencontroller<br />
wieder her und verwenden hierbei eine Sicherung, welche die gelöschten Objekte enthält.<br />
Anschließend wird eine autorisierende Wiederherstellung durchgeführt. Während der autorisierenden<br />
Wiederherstellung werden die wiederhergestellten Daten gekennzeichnet, sodass deren<br />
Replikation auf alle anderen Domänencontroller den Löschvorgang der Informationen rückgängig<br />
macht.
584 Kapitel 15: <strong>Active</strong> <strong>Directory</strong>-Notfallwiederherstellung<br />
Wiederherstellen von <strong>Active</strong> <strong>Directory</strong> durch Erstellen eines neuen<br />
Domänencontrollers<br />
Bei der Wiederherstellung eines Domänencontrollers nach einem Ausfall gibt es die Möglichkeit,<br />
einen ausgefallenen Domänencontroller durch einen neu erstellten Domänencontroller zu ersetzen.<br />
Bei einem Domänencontrollerausfall kann entweder ein neuer Server, auf dem Windows Server 2008<br />
und <strong>Active</strong> <strong>Directory</strong> ausgeführt wird, eingerichtet oder ein vorhandener Server verwendet werden,<br />
der zu einem Domänencontroller heraufgestuft wurde. Anschließend kann die <strong>Active</strong> <strong>Directory</strong>-<br />
Datenbank auf dem neuen Domänencontroller mithilfe einer normalen <strong>Active</strong> <strong>Directory</strong>-Replikation<br />
gefüllt werden.<br />
Hinweis Beim Erstellen eines neuen Domänencontrollers, auf den die Replikation über eine langsame<br />
Verbindung erfolgt (z.B. in einer Zweigstelle), sollte zur Verkürzung der Replikationszeit eine IFM-Installation<br />
verwendet werden. Als Ausgangspunkt für die Replikation verwendet eine IFM-Installation eine über<br />
Ntdsutil erstellte <strong>Active</strong> <strong>Directory</strong>-Sicherung.<br />
In den folgenden Fällen ist das Erstellen eines neuen Domänencontrollers die beste Lösung:<br />
• Zusätzlich zum ausgefallenen Server ist ein verfügbarer Domänencontroller vorhanden. Dies ist<br />
eine absolute Voraussetzung. Wenn ein weiterer Domänencontroller vorhanden ist, der als Replikationspartner<br />
verwendet werden kann, lässt sich die <strong>Active</strong> <strong>Directory</strong>-Datenbank ausschließlich<br />
auf einem neuen oder reparierten Domänencontroller wiederherstellen.<br />
• Der zum Einrichten des neuen Domänencontrollers und Replizieren der Informationen von einem<br />
anderen Domänencontroller benötigte Zeitaufwand ist wesentlich geringer als der Zeitaufwand,<br />
der zur Reparatur des ausgefallenen Domänencontrollers und zur Wiederherstellung der Datenbank<br />
erforderlich wäre. Diese Rechnung hängt von der Größe der <strong>Active</strong> <strong>Directory</strong>-Datenbank,<br />
der Geschwindigkeit der Netzwerkverbindung zwischen den Domänencontrollern und dem Zeitaufwand<br />
zum erneuten Erstellen und Wiederherstellen eines Domänencontrollers ab. Wenn die<br />
<strong>Active</strong> <strong>Directory</strong>-Datenbank nicht sehr groß ist (kleiner als 100 MB) und sich ein anderer Domänencontroller<br />
im selben lokalen Netzwerk (Local Area Network, LAN) befindet, kann das Erstellen<br />
eines weiteren Domänencontrollers und die Datenbankreplikation schneller durchgeführt<br />
werden als die Reparatur und Wiederherstellung des ausgefallenen Domänencontrollers. Wenn es<br />
sich um eine große Datenbank handelt oder der einzige verfügbare Replikationspartner nur über<br />
eine langsame WAN-Verbindung (Wide Area Network) erreicht werden kann, ist die Reparatur<br />
des ausgefallenen Domänencontrollers und die Wiederherstellung der Datenbank üblicherweise<br />
die schnellere Methode.<br />
• Eine Reparatur des ausgefallenen Domänencontrollers ist nicht möglich. Obwohl Windows Server<br />
2008 und die <strong>Active</strong> <strong>Directory</strong>-Datenbank theoretisch auf einem Server mit einer anderen<br />
Hardware als der des ursprünglichen Domänencontroller wiederhergestellt werden können, gestaltet<br />
sich dieses Verfahren häufig schwierig und kann sehr zeitaufwendig sein. Wenn der ausgefallene<br />
Server mit ähnlicher Hardware nicht neu eingerichtet werden kann, ist das Erstellen eines<br />
anderen Domänencontrollers in der Regel schneller.<br />
Das Erstellen eines neuen Domänencontrollers wird nicht empfohlen, wenn zur Unterstützung des<br />
neuen Domänencontrollers weit reichende Änderungen vorgenommen werden müssen. Ein Beispiel<br />
hierfür wäre die Konfiguration einer Vielzahl von Anwendungen, die einen bestimmten Domänencontroller<br />
verwenden.
Wiederherstellen von <strong>Active</strong> <strong>Directory</strong> 585<br />
Die Neukonfiguration dieser Anwendungen, sodass diese einen neuen Domänencontroller verwenden,<br />
kann länger dauern als die Reparatur oder Wiederherstellung des Domänencontrollers. Anwendungskonfigurationsprobleme<br />
lassen sich durch die Verwendung eines Hostnamens anstelle einer<br />
IP-Adresse in der Anwendungskonfiguration vermeiden. Durch das Rekonfigurieren eines DNS-Eintrags<br />
für den Hostnamen kann die IP-Adresse eines neuen oder alternativen Domänencontrollers<br />
schnell eingesetzt werden.<br />
Um einen weiteren Domänencontroller als Ersatz für den ausgefallenen Server zu erstellen, kann ein<br />
vorhandener Server, auf dem Windows Server 2008 ausgeführt wird, (oder ein neuer Server) erstellt<br />
und anschließend zu einem Domänencontroller heraufgestuft werden. Beim Heraufstufen wird das Verzeichnis<br />
von einem der anderen Domänencontroller repliziert. Falls es sich bei dem ausgefallenen<br />
Domänencontroller um einen globalen Katalogserver oder einen Server mit Betriebsmasterrolle handelt,<br />
muss eine geeignete Methode gefunden werden, um diese Funktion wiederherzustellen. Die Wiederherstellung<br />
von globalen Katalogservern und Betriebsmasterservern wird in diesem Kapitel im<br />
Abschnitt „Wiederherstellen von Betriebsmastern und globalen Katalogservern“ beschrieben.<br />
Wenn die <strong>Active</strong> <strong>Directory</strong>-Funktionalität durch das Erstellen eines neuen Domänencontrollers wiederhergestellt<br />
werden soll, muss der alte Domänencontroller noch aus dem Verzeichnis und aus dem<br />
DNS entfernt werden. Um den Namen des ausgefallenen Domänencontrollers für den wiederhergestellten<br />
Domänencontroller verwenden zu können, muss vor der Wiederherstellung zunächst das Verzeichnis<br />
mithilfe von Ntdsutil bereinigt werden (siehe Abbildung 15.4). Das Verzeichnis kann nach<br />
der Installation bereinigt werden, wenn für den neuen Domänencontroller ein anderer Namen gewählt<br />
wird.<br />
Abbildung 15.4<br />
Verwenden von Ntdsutil<br />
So bereinigen Sie das Verzeichnis von einem ausgefallenen Domänencontroller:<br />
1. Öffnen Sie eine Eingabeaufforderung.<br />
2. Geben Sie ntdsutil ein, und drücken Sie die EINGABETASTE.<br />
3. Geben Sie an der Ntdsutil-Eingabeaufforderung den Befehl metadata cleanup ein, und drücken<br />
Sie die EINGABETASTE.<br />
4. Geben Sie an der Metadata Cleanup-Eingabeaufforderung den Befehl connections ein, und drücken<br />
Sie die EINGABETASTE. Über diesen Befehl wird die Verbindung mit einem aktuellen<br />
Domänencontroller hergestellt, um Änderungen an <strong>Active</strong> <strong>Directory</strong> vorzunehmen.
586 Kapitel 15: <strong>Active</strong> <strong>Directory</strong>-Notfallwiederherstellung<br />
5. Geben Sie an der Server Connections-Eingabeaufforderung den Befehl connect to server Servername<br />
ein, wobei Servername für den Namen eines verfügbaren Domänencontrollers steht, und<br />
drücken Sie anschließend die EINGABETASTE. Wenn Sie als Benutzer mit Administratorrechten<br />
an <strong>Active</strong> <strong>Directory</strong> angemeldet sind, wird eine Verbindung mit diesem Domänencontroller<br />
hergestellt. Falls Sie keine Administratorrechte besitzen, können Sie über den Befehl set creds<br />
Domäne Benutzername Kennwort die Anmeldeinformationen eines Benutzers mit Berechtigungen<br />
auf Domänenebene eingeben.<br />
6. Geben Sie an der Server Connections-Eingabeaufforderung den Befehl quit ein, und drücken Sie<br />
die EINGABETASTE. Auf diese Weise gelangen Sie zurück zur Metadata Cleanup-Eingabeaufforderung.<br />
7. Geben Sie an der Metadata Cleanup-Eingabeaufforderung den Befehl select operation target ein,<br />
und drücken Sie die EINGABETASTE. Über diesen Befehl werden die Domäne, der Standort und<br />
der Domänencontroller ausgewählt, sodass der Domänencontroller entfernt werden kann.<br />
8. Geben Sie an der Select Operations Target-Eingabeaufforderung den Befehl list domains ein, und<br />
drücken Sie die EINGABETASTE. Alle Domänen in der Gesamtstruktur werden mit der jeweils<br />
zugewiesenen Nummer aufgelistet.<br />
9. Geben Sie an der Select Operations Target-Eingabeaufforderung den Befehl select domainNummer<br />
ein, wobei Nummer für die Domäne mit dem ausgefallenen Domänencontroller steht, und<br />
drücken Sie die EINGABETASTE.<br />
10. Geben Sie an der Select Operations Target-Eingabeaufforderung den Befehl list sites ein, und drücken<br />
Sie die EINGABETASTE. Alle Standorte in der Gesamtstruktur werden mit der jeweils<br />
zugewiesenen Nummer aufgelistet.<br />
11. Geben Sie an der Select Operations Target-Eingabeaufforderung den Befehl select site Nummer<br />
ein, wobei Nummer für den Standort mit dem ausgefallenen Domänencontroller steht, und drücken<br />
Sie die EINGABETASTE.<br />
12. Geben Sie an der Select Operations Target-Eingabeaufforderung den Befehl list servers in site<br />
ein, und drücken Sie die EINGABETASTE.<br />
13. Geben Sie an der Select Operations Target-Eingabeaufforderung den Befehl select server Nummer<br />
ein, wobei Nummer für den ausgefallenen Domänencontroller steht, und drücken Sie die<br />
EINGABETASTE.<br />
14. Geben Sie quit ein, und drücken Sie die EINGABETASTE. Auf diese Weise gelangen Sie zurück<br />
zur Metadata Cleanup-Eingabeaufforderung.<br />
15. Geben Sie remove selected server ein, und drücken Sie die EINGABETASTE.<br />
16. Klicken Sie auf Ja, um das Entfernen des Servers zu bestätigen.<br />
17. Geben Sie an jeder Eingabeaufforderung quit ein, um Ntdsutil zu beenden.<br />
Hinweis Dieses Verfahren mit Ntdsutil wird ebenfalls verwendet, wenn das Entfernen von <strong>Active</strong> <strong>Directory</strong><br />
von einem Server über den Befehl Dcpromo /forceremoval erzwungen wurde. Durch diesen Befehl wird ein<br />
Domänencontroller ohne Bereinigung der <strong>Active</strong> <strong>Directory</strong>-Metadaten herabgestuft. Wird <strong>Active</strong> <strong>Directory</strong><br />
aus einem unbestimmten Grund unbrauchbar, stellt dieser Befehl eine Alternative zur vollständigen Neuerstellung<br />
eines Servers dar.
Wiederherstellen von <strong>Active</strong> <strong>Directory</strong> 587<br />
Mithilfe von Ntdsutil sollte nicht nur das Verzeichnisobjekt, sondern auch die DNS-Einträge für den<br />
ausgefallenen Domänencontroller bereinigt werden. Hierzu müssen alle DNS-Einträge, einschließlich<br />
aller Einträge des Domänencontrollers, globalen Katalogservers und primären Domänencontrollers,<br />
aus DNS entfernt werden. (Die letzten beiden sind nur dann vorhanden, wenn der Domänencontroller<br />
mit diesen Rollen konfiguriert wurde.) Werden die DNS-Einträge nicht bereinigt, erhalten Clients<br />
auch weiterhin die DNS-Informationen und versuchen, eine Verbindung mit dem Domänencontroller<br />
herzustellen. Da es den Clients nicht möglich ist, andere Domänencontroller zu verwenden, kann dies<br />
zu langsameren Verbindungen zu <strong>Active</strong> <strong>Directory</strong> führen.<br />
Einige <strong>Active</strong> <strong>Directory</strong>-Bereinigungsaufgaben, die in früheren Versionen manuell ausgeführt werden<br />
mussten, werden von der in Windows Server 2008 und Windows Server 2003 SP1enthaltenen<br />
Ntdsutil-Version automatisch ausgeführt:<br />
• Entfernen des NTDSA- oder NTDS-Einstellungsobjekts<br />
• Entfernen von Objekten für eingehende AD-Verbindungen für die Replikation<br />
• Entfernen des Computerkontos<br />
• Entfernen des vom Dateireplikationsdienst (File Replication Service, FRS) verwendeten FRS-<br />
Mitgliedobjekts<br />
• Entfernen des vom Dateireplikationsdienst verwendeten FRS-Abonnentenobjekts<br />
• Übernehmen von FSMO-Rollen des ausgefallenen Domänencontrollers<br />
Nicht autorisierende Wiederherstellung von <strong>Active</strong> <strong>Directory</strong><br />
Eine nicht autorisierende Wiederherstellung von <strong>Active</strong> <strong>Directory</strong> wird in zwei Fällen durchgeführt.<br />
Wenn die <strong>Active</strong> <strong>Directory</strong>-Datenbank auf einem Server beschädigt wird, kann die Datenbank anhand<br />
einer nicht autorisierende Wiederherstellung neu erstellt und wieder funktionstüchtig gemacht werden.<br />
Bei einer vollständigen Wiederherstellung eines Domänencontrollers wird ebenfalls eine nicht<br />
autorisierende Wiederherstellung von <strong>Active</strong> <strong>Directory</strong> durchgeführt. Eine vollständige Wiederherstellung<br />
eines Domänencontrollers ist beim Ausfall des einzigen Domänencontrollers in der Domäne<br />
erforderlich. Zudem kann eine vollständige Wiederherstellung eines Domänencontrollers durchgeführt<br />
werden, wenn die Identität eines ausgefallenen Domänencontrollers beibehalten werden soll.<br />
Wurden seit der Sicherung Änderungen in <strong>Active</strong> <strong>Directory</strong> vorgenommen, sind diese nicht auf dem<br />
Sicherungsband vorhanden. Die aktuellen Informationen sind jedoch auf den weiteren Domänencontrollern<br />
der Domäne gespeichert. Wenn der Domänencontroller aufgrund eines Serverausfalls neu<br />
erstellt wird, sollte dieser nach der Wiederherstellung die Änderungen von seinen Replikationspartnern<br />
übernehmen. Hierzu muss eine nicht autorisierende Wiederherstellung durchgeführt werden.<br />
Nicht autorisierende Wiederherstellung auf einem vorhandenen Server<br />
Für eine nicht autorisierende Wiederherstellung von <strong>Active</strong> <strong>Directory</strong> wird eine zuverlässige Sicherung<br />
der wichtigen Volumes auf dem Domänencontroller benötigt. Das System wird im Modus für die<br />
Verzeichnisdienstwiederherstellung (<strong>Directory</strong> Services Restore Mode, DSRM) gestartet (siehe<br />
Abbildung 15.5), der Systemstatus aus den wichtigen Volumes wird über Wbadmin.exe wiederhergestellt,<br />
und anschließend wird Windows Server 2008 normal neu gestartet. Nach dem Neustart des<br />
Domänencontrollers stellt dieser eine Verbindung zu seinen Replikationspartnern her, um die eigene<br />
Datenbank mit den seit der Sicherung geänderten Domäneninformationen zu aktualisieren.
588 Kapitel 15: <strong>Active</strong> <strong>Directory</strong>-Notfallwiederherstellung<br />
Abbildung 15.5<br />
Das Menü Erweiterte Startoptionen mit DSRM<br />
Der DSRM ist eine Version des abgesicherten Modus für Domänencontroller, bei dem <strong>Active</strong> <strong>Directory</strong><br />
angehalten wird. Dieser Modus wird für die Wiederherstellung von <strong>Active</strong> <strong>Directory</strong> benötigt.<br />
Die Anmeldung am DSRM ist nur über ein DSRM-Administratorkonto möglich, bei dem es sich um<br />
ein lokales Administratorkonto handelt, das während der <strong>Active</strong> <strong>Directory</strong>-Installation auf dem<br />
Domänencontroller erstellt wurde. Das bei der Installation festgelegte Kennwort ist mit dem Kennwort<br />
des Domänenadministrators nicht identisch.<br />
Hinweis Unter Windows Server 2003 und Windows Server 2008 wird Ntdsutil verwendet, um das Kennwort<br />
des DSRM-Administratorkontos zurückzusetzen. Verwenden Sie im Set Dsrm Password-Kontext den<br />
Befehl reset password of server Server, wobei Server für den Namen des Domänencontrollers steht, auf<br />
dem das Kennwort des DSRM-Administratorkontos zurückgesetzt werden soll. Der lokale Server kann durch<br />
den Wert null dargestellt werden.<br />
So führen Sie eine nicht autorisierende Wiederherstellung von <strong>Active</strong> <strong>Directory</strong> durch:<br />
1. Reparieren Sie den ausgefallenen Domänencontroller. Nun ist der Server, mit Ausnahme von<br />
<strong>Active</strong> <strong>Directory</strong>, funktionsfähig.<br />
2. Starten Sie den Server neu, und drücken Sie F8, um das Menü Erweiterte Startoptionen zu öffnen.<br />
3. Wählen Sie den Verzeichnisdienst-Wiederherstellungsmodus aus.
Wiederherstellen von <strong>Active</strong> <strong>Directory</strong> 589<br />
Hinweis Anstatt über das Menü Erweiterte Startoptionen kann die Standardstartoption auch über den<br />
Befehl bcdedit /set safeboot dsrepair auf den Verzeichnisdienst-Wiederherstellungsmodus gesetzt werden.<br />
Geben Sie nach Abschluss der Installation den Befehl bcdedit /deletevalue safeboot ein, und führen<br />
Sie einen Neustart durch, um Windows normal zu starten.<br />
4. Melden Sie sich über das DSRM-Administratorkonto an. Geben Sie hierzu als Benutzername .\<br />
Administrator ein.<br />
5. Öffnen Sie eine Eingabeaufforderung.<br />
6. Geben Sie wbadmin get versions –backuptarget:Speicherort_der_Sicherung ein, wobei<br />
Speicherort_der_Sicherung für den Laufwerkbuchstaben oder UNC-Pfad steht, unter dem die<br />
Sicherung gespeichert ist, und drücken Sie die EINGABETASTE. Anschließend wird die Liste<br />
der dort gespeicherten Sicherungsdateien angezeigt.<br />
7. Notieren Sie sich die Versionskennung der wiederherzustellenden Sicherung. Bei dieser Kennung<br />
handelt es sich um den Zeitpunkt, an dem die Sicherung durchgeführt wurde.<br />
8. Geben Sie wbadmin start systemstaterecovery –version:Kennung –backuptarget:<br />
Speicherort_der_Sicherung ein, wobei Kennung für die in Schritt 7 notierte Versionskennung<br />
und Speicherort_der_Sicherung für den Laufwerkbuchstaben oder UNC-Pfad steht, unter dem die<br />
Sicherung gespeichert ist, und drücken Sie die EINGABETASTE. Abbildung 15.6 zeigt eine Systemstatuswiederherstellung<br />
über Wbadmin.<br />
Abbildung 15.6<br />
Systemstatuswiederherstellung über Wbadmin.exe<br />
9. Geben Sie Y ein, und drücken Sie die EINGABETASTE, um mit der Systemstatuswiederherstellung<br />
zu beginnen.<br />
10. Starten Sie den Domänencontroller nach Abschluss der Wiederherstellung neu.<br />
Vollständige Serverwiederherstellung eines Domänencontrollers<br />
Bei der vollständigen Serverwiederherstellung eines Domänencontrollers handelt es sich ebenfalls um<br />
eine nicht autorisierende Wiederherstellung von <strong>Active</strong> <strong>Directory</strong>. Zusätzlich umfasst diese jedoch<br />
eine vollständige Wiederherstellung des Betriebssystems sowie anderen Daten.
590 Kapitel 15: <strong>Active</strong> <strong>Directory</strong>-Notfallwiederherstellung<br />
Dies ist sinnvoll, wenn der Systemdatenträger verloren gegangen ist und das Betriebssystem nicht<br />
mehr funktioniert. Für eine vollständige Serverwiederherstellung eines Domänencontrollers wird eine<br />
vollständige Sicherung des Servers benötigt.<br />
In einigen Fällen kann es erforderlich sein, den Domänencontroller auf einem Server wiederherzustellen,<br />
der eine andere Hardware als der Ausgangsserver verwendet. Wenngleich die Wiederherstellung<br />
von Windows Server 2008 auch auf einer anderen Hardware als der des Servers möglich ist, auf dem<br />
die Sicherung durchgeführt wurde, können bei diesem Vorgang Probleme auftreten. Falls die Wiederherstellung<br />
von Windows Server 2008 dennoch auf einem Server mit anderer Hardware durchgeführt<br />
werden muss, sollte möglichst kompatible Hardware gewählt werden. Darüber hinaus müssen Sie<br />
sicherstellen, dass die Festplattenkonfiguration auf dem neuen Server mit der auf dem ausgefallenen<br />
Server übereinstimmt.<br />
Bei einer vollständigen Serverwiederherstellung ist das Betriebssystem des Servers nicht funktionsfähig.<br />
Die für eine Wiederherstellung erforderlichen Funktionen werden über die Windows-Wiederherstellungsumgebung<br />
bereitgestellt. Die Windows-Wiederherstellungsumgebung kann von der<br />
Windows Server 2008-Installations-DVD gestartet werden. Um die Windows-Wiederherstellungsumgebung<br />
unabhängig von der Windows Server 2008-Installations-DVD verwenden zu können, kann sie<br />
auf der lokalen Festplatte installiert und im Menü Erweiterte Startoptionen als Option hinzugefügt<br />
werden, damit diese während des Startvorgangs ausgewählt werden kann.<br />
So führen Sie eine vollständige Serverwiederherstellung auf einem Domänencontroller durch:<br />
1. Starten Sie den Computer mit eingelegter Windows Server 2008-Installations-DVD, und drücken<br />
Sie eine Taste, um von der DVD zu starten.<br />
2. Wählen Sie die entsprechenden Spracheinstellungen, Datums- und Zeitformat, Währungsformat<br />
und Tastaturlayout, und klicken Sie anschließend auf Weiter.<br />
3. Klicken Sie im Dialogfeld Windows installieren auf Computer reparieren.<br />
4. Laden Sie im Dialogfeld Systemwiederherstellungsoptionen ggf. erforderliche Festplattentreiber,<br />
und klicken Sie anschließend auf Weiter.<br />
5. Klicken Sie auf Windows Complete PC-Wiederherstellung (siehe Abbildung 15.7).<br />
Hinweis Falls keine lokale Sicherung gefunden werden kann, werden Fehlermeldungen ausgegeben.<br />
Dies ist normalerweise beim Wiederherstellen aus einem Netzwerkspeicherort der Fall.<br />
Abbildung 15.7<br />
Systemwiederherstellungsoptionen in der Windows-Wiederherstellungsumgebung
Wiederherstellen von <strong>Active</strong> <strong>Directory</strong> 591<br />
6. Wählen Sie den Speicherort der Sicherung, die Sie wiederherstellen möchten. Dieser kann eine<br />
DVD, eine lokale Festplatte oder ein Netzwerkspeicherort sein.<br />
7. Aktivieren Sie das Kontrollkästchen Datenträger formatieren und neu partitionieren, um alle vorhandenen<br />
Daten vom Server zu löschen.<br />
8. Um das Löschen und Neuerstellen von Datenträgern zu verhindern, die nicht Teil der Wiederherstellung<br />
sind, klicken Sie auf Datenträger ausschließen, und wählen die auszuschließenden<br />
Datenträger aus.<br />
9. Klicken Sie auf Weiter und dann auf Fertig stellen.<br />
10. Aktivieren Sie das Kontrollkästchen Ich bestätige, dass ich die Datenträger formatieren und die<br />
Sicherung wiederherstellen möchte., und klicken Sie anschließend auf OK.<br />
Autorisierendes Wiederherstellen von <strong>Active</strong> <strong>Directory</strong><br />
Eine autorisierende Wiederherstellung ist erforderlich, um gelöschte Objekte wiederherzustellen.<br />
Wenn ein Benutzer beispielsweise eine Organisationseinheit gelöscht hat, die mehrere Hundert Benutzer<br />
enthält, soll der Domänencontroller nach der Wiederherstellung nicht lediglich neu gestartet werden<br />
und mit der Replikation der Informationen von anderen Domänencontrollern beginnen. In diesem<br />
Fall würde der Domänencontroller von seinen Replikationspartnern die Information erhalten,<br />
dass die Organisationseinheit gelöscht wurde, und beim Öffnen des Verwaltungstools <strong>Active</strong> <strong>Directory</strong>-Benutzer<br />
und -Computer würde die Organisationseinheit erneut gelöscht.<br />
In diesem Szenario muss eine autorisierende Wiederherstellung durchgeführt werden, um sicherzustellen,<br />
dass die Organisationseinheit auf den weiteren Domänencontrollern wiederhergestellt wird.<br />
Bei einer autorisierende Wiederherstellung wird eine Sicherungskopie von <strong>Active</strong> <strong>Directory</strong> wiederhergestellt,<br />
die vor dem Löschen der Daten erstellt wurde. Anschließend wird eine Replikation der<br />
Daten auf alle anderen Domänencontroller erzwungen. Eine erzwungene Replikation lässt sich durch<br />
das Ändern des USN-Wertes (Update Sequence Number) der wiederhergestellten Informationen<br />
durchführen. Standardmäßig wird bei einer autorisierenden Wiederherstellung der USN-Wert der wiederhergestellten<br />
Objekte um 100.000 erhöht, sodass das wiederhergestellte Objekt zu einer autorisierenden<br />
Kopie für die ganze Domäne wird.<br />
Wiederherstellen von Computerkonten<br />
Eine autorisierende Wiederherstellung kann zu fehlerhaften Vertrauensstellungen zwischen Domänen<br />
und Computerkonten führen. Beim Hinzufügen eines Microsoft Windows NT-, Windows 2000-,<br />
Windows XP Professional- oder Windows Server 2003-Computers zur Domäne wird ein nur den<br />
Domänencontrollern und dem Mitgliedscomputer bekanntes Kennwort erstellt. Dieses Kennwort wird<br />
verwendet, um die Vertrauensstellung zwischen dem Computer und der Domäne zu erhalten. Dieses<br />
Kennwort wird jedoch standardmäßig alle 30 Tage geändert.<br />
Wenn Sie eine autorisierende Wiederherstellung durchführen, werden die Vertrauensstellungskennwörter<br />
wiederhergestellt, die zum Zeitpunkt der Sicherungserstellung gültig waren. Wenn der Mitgliedscomputer<br />
ein anderes Kennwort für die Vertrauensstellung verwendet, schlägt die Vertrauensstellung<br />
zwischen der Domäne und dem Mitgliedscomputer fehl. Für NTLM-Vertrauensstellungen<br />
(NT LAN Manager) zwischen <strong>Active</strong> <strong>Directory</strong>-Domänen und Windows NT-Domänen wird ein ähnliches<br />
Verfahren verwendet, um die Vertrauensstellung zu erhalten. Auch diese Vertrauensstellungen<br />
können fehlschlagen, wenn das ältere Kennwort wiederhergestellt wurde. In beiden Fällen muss die<br />
Vertrauensstellung neu erstellt werden. Eine Domänenvertrauensstellung kann neu erstellt werden,<br />
indem die Domänenvertrauensstellung gelöscht und anschließend neu erstellt wird.
592 Kapitel 15: <strong>Active</strong> <strong>Directory</strong>-Notfallwiederherstellung<br />
Vertrauensstellungen mit der Domäne können über das Befehlszeilenprogramm NetDom oder durch<br />
Entfernen der Arbeitsstation aus der Domäne und erneutes Hinzufügen zur Domäne wiederhergestellt<br />
werden.<br />
Durchführen einer autorisierenden Wiederherstellung<br />
Die grundlegende Vorgehensweise bei einer autorisierenden Wiederherstellung von <strong>Active</strong> <strong>Directory</strong><br />
entspricht der einernicht autorisierenden Wiederherstellung, mit Ausnahme eines Schrittes. Nach der<br />
<strong>Active</strong> <strong>Directory</strong>-Wiederherstellung im DSRM werden mithilfe von Ntdsutil die autorisierenden<br />
Objekte festgelegt (siehe Abbildung 15.8). Hierbei können einzelne Objekte oder eine Unterstruktur<br />
in der Domäne angegeben werden.<br />
Abbildung 15.8<br />
Verwenden von Ntdsutil zur Angabe autorisierender Objekte nach einer Wiederherstellung<br />
Gruppenmitgliedschaften werden nach einer autorisierenden Wiederherstellung nicht ordnungsgemäß<br />
aktualisiert. Eine Beschreibung der Vorgehensweise finden Sie im nächsten Abschnitt, „Wiederherstellen<br />
von Gruppenmitgliedschaften“. Ntdsutil erstellt eine für diesen Vorgang erforderliche LDIF-Datei<br />
(LDAP Interchange Format). Während der autorisierenden Wiederherstellung sollte dieser Dateiname<br />
notiert werden.<br />
Die Inhalte des SYSVOL-Ordners werden beim Durchführen einer autorisierenden Wiederherstellung<br />
von <strong>Active</strong> <strong>Directory</strong> nicht als autorisierend gekennzeichnet. Anweisungen zum Durchführen<br />
einer autorisierenden Wiederherstellung von SYSVOL-Inhalten finden Sie im Abschnitt „Wiederherstellen<br />
von SYSVOL-Informationen“.
Wiederherstellen von <strong>Active</strong> <strong>Directory</strong> 593<br />
So führen Sie eine autorisierende Wiederherstellung durch:<br />
1. Reparieren Sie den ausgefallenen Domänencontroller. Der Server sollte zu diesem Zeitpunkt – mit<br />
Ausnahme von <strong>Active</strong> <strong>Directory</strong> – funktionsfähig sein.<br />
2. Starten Sie den Server neu, und drücken Sie F8, um das Menü Erweiterte Startoptionen zu öffnen.<br />
3. Wählen Sie den Modus für die Verzeichnisdienstwiederherstellung aus.<br />
4. Melden Sie sich über das DSRM-Administratorkonto an. Geben Sie hierzu als Benutzername .\<br />
Administrator ein.<br />
5. Öffnen Sie eine Eingabeaufforderung.<br />
6. Geben Sie wbadmin get versions –backuptarget:Speicherort_der_Sicherung ein, wobei<br />
Speicherort_der_Sicherung für den Laufwerkbuchstaben oder UNC-Pfad steht, unter dem die<br />
Sicherung gespeichert ist, und drücken Sie die EINGABETASTE. Anschließend wird die Liste<br />
der gespeicherten Sicherungsdateien angezeigt.<br />
7. Notieren Sie sich die Versionskennung der wiederherzustellenden Sicherung. Die Kennung gibt<br />
an, wann die Sicherung durchgeführt wurde.<br />
8. Geben Sie wbadmin start systemstaterecovery –version:Kennung –backuptarget:<br />
Speicherort_der_Sicherung ein, wobei Kennung für die in Schritt 7 notierte Versionskennung und<br />
Speicherort_der_Sicherung für den Laufwerkbuchstaben oder UNC-Pfad steht, unter dem die<br />
Sicherung gespeichert ist, und drücken Sie die EINGABETASTE.<br />
9. Geben Sie Y ein, und drücken Sie die EINGABETASTE, um mit der Systemstatuswiederherstellung<br />
zu beginnen.<br />
10. Geben Sie nach der Wiederherstellung den Befehl ntdsutil ein, und drücken Sie die<br />
EINGABETASTE.<br />
11. Geben Sie an der Ntdsutil-Eingabeaufforderung den Befehl activate instance ntds ein, und<br />
drücken Sie die EINGABETASTE.<br />
12. Geben Sie an der Ntdsutil-Eingabeaufforderung den Befehl authoritative restore ein, und<br />
drücken Sie die EINGABETASTE.<br />
13. Geben Sie zur Wiederherstellung eines einzelnen Objekts an der Authoritative Restore-Eingabeaufforderung<br />
den Befehl restore object "DN" ein, wobei DN für den definierten Namen (Distinguished<br />
Name, DN) des Objekts steht, das autorisierend wiederhergestellt werden soll. Bei der<br />
Wiederherstellung wird der Speicherort einer LDIF-Datei für die Reparatur von Backlink-<br />
Objekten festgelegt, falls solche Objekte wiederhergestellt werden.<br />
14. Geben Sie zur Wiederherstellung einer Hierarchie aus Organisationseinheiten an der Authoritative<br />
Restore-Eingabeaufforderung den Befehl restore subtree "DN" ein, wobei DN für den definierten<br />
Namen (Distinguished Name, DN) der ersten Organisationseinheit der Hierarchie steht,<br />
die autorisierend wiederhergestellt werden soll. Bei der Wiederherstellung wird der Speicherort<br />
einer LDIF-Datei für die Reparatur von Backlink-Objekten festgelegt, falls solche Objekte wiederhergestellt<br />
werden.<br />
15. Beenden Sie Ntdsutil, und starten Sie den Server neu.<br />
Hinweis<br />
Eine autorisierende Wiederherstellung der Schemapartition ist nicht möglich.
594 Kapitel 15: <strong>Active</strong> <strong>Directory</strong>-Notfallwiederherstellung<br />
Wiederherstellen von Gruppenmitgliedschaften<br />
Die Wiederherstellung von Gruppenmitgliedschaften in <strong>Active</strong> <strong>Directory</strong> ist ein komplexer Vorgang.<br />
Dieser Vorgang wurde seit Einführung von Windows Server 2003 verbessert, dennoch müssen Sie<br />
weiterhin darauf achten, wo sich die Gruppenmitglieder befinden und wie die Funktionsebene der<br />
Gesamtstruktur beim Zuweisen der Gruppenmitglieder aufgebaut war. Um den Wiederherstellungsvorgang<br />
zu verstehen, müssen Sie ebenfalls wissen, wie Gruppenmitglieder verwaltet und Gruppenmitgliedschaften<br />
repliziert werden.<br />
Verwaltung von Gruppenmitgliedschaften<br />
In <strong>Active</strong> <strong>Directory</strong> werden Gruppenmitgliedschaften durch Links zwischen dem Benutzerobjekt und<br />
dem Gruppenobjekt verwaltet. Diese Links werden basierend auf einem DNT (Distinguished Name<br />
Tag) erstellt. Das DNT ist eine lokal eindeutige Kennung für jedes Domänenobjekt auf einem Domänencontroller.<br />
Da es sich um eine lokale Kennung handelt, ist das DNT für das jeweilige Objekte auf<br />
jedem Domänencontroller unterschiedlich.<br />
Die Mitgliederliste eines Gruppenobjekts umfasst die DNTs für Mitglieder der Gruppe. Da die Links<br />
anfangs auf dem Gruppenobjekt erstellt wurden, werden diese als Forwardlinks bezeichnet. Um auf<br />
die Gruppe zu verweisen, wird auf dem Benutzerobjekt ein Backlink erstellt. Backlinks werden von<br />
<strong>Active</strong> <strong>Directory</strong> verwaltet und können von Administratoren nicht geändert werden. Darüber hinaus<br />
werden Backlinks, im Gegensatz zu Forwardlinks, nicht repliziert. Jeder Domänencontroller verfügt<br />
über einen eigenen Satz an auf den Forwardlinks basierenden Backlinks.<br />
Enthält eine Gruppenmitgliederliste ein Mitglied, das nicht zur lokalen Domäne gehört, wird in der<br />
lokalen Kopie von <strong>Active</strong> <strong>Directory</strong> ein Phantomobjekt erstellt. Das Phantomobjekt umfasst die Gruppenmitgliedsattribute<br />
objectGUID, SID und DN. Dieses Objekt ermöglicht die DNT-Erstellung. Das<br />
DN-Attribut des Phantomobjekts wird in regelmäßigen Abständen von der FSMO-Rolle Infrastrukturmaster<br />
in der Domäne aktualisiert. Das Phantomobjekt wird nicht auf Domänencontrollern erstellt,<br />
bei denen es sich um globale Kataloge handelt, die bereits über Kopien des ursprünglichen Mitgliedobjekts<br />
verfügen.<br />
Weitere Informationen Weitere Informationen zu Links und Phantomobjekten finden Sie im Artikel „Notfallwiederherstellung:<br />
<strong>Active</strong> <strong>Directory</strong>-Benutzer und -Gruppen“ auf der Technet Magazine-Website unter<br />
http://www.microsoft.com/technet/technetmag/issues/2007/04/ADRecovery/.<br />
Replikation verknüpfter Werte<br />
Unter Windows Server 2003 wurde die Replikation verknüpfter Werte (Linked Value Replication,<br />
LVR) für mehrwertige Attribute eingeführt, die nach dem Heraufstufen der Gesamtstrukturfunktionsebene<br />
auf Windows Server 2003 oder Windows Server 2003-interim verwendet werden kann. Die<br />
Replikation verknüpfter Werte ermöglicht das Replizieren einzelner Änderungen an Gruppenmitgliedschaften<br />
anstelle der gesamten Gruppenmitgliederliste. Auf diese Weise wird der Datenverkehr bei<br />
der Replikation verringert, und es werden zusätzliche Metadaten gespeichert, welche die Wiederherstellung<br />
von Gruppenmitgliedschaften vereinfachen.<br />
Wenn die Gesamstrukturfunktionsebene zur LVR-Unterstützung angehoben wird, werden die Mitgliedschaften<br />
vorhandener Gruppen für die Replikation verknüpfter Werte nicht automatisch aktualisiert.<br />
Bei der Replikation verknüpfter Werte werden nur Änderungen an Gruppenmitgliedschaften<br />
aktualisiert. Beispielsweise wird ein neues Gruppenmitglied über die Replikation verknüpfter Werte<br />
gespeichert, wohingegen bestehende Mitglieder nicht gespeichert werden.
Wiederherstellen von <strong>Active</strong> <strong>Directory</strong> 595<br />
Bei der autorisierende Wiederherstellung eines Benutzers verwenden die Ntdsutil-Versionen in Windows<br />
Server 2003 SP1 und Windows Server 2008 das Backlink-Attribut des wiederhergestellten<br />
Benutzerobjekts, um die Mitgliedschaft in Gruppen zu aktualisieren, die nach Aktivierung der Replikation<br />
verknüpfter Werte erstellt wurden. Wenn die Mitgliedschaft des wiederhergestellten Benutzers<br />
ohne Aktivierung der Replikation verknüpfter Werte gespeichert wurde, wird die Gruppenmitgliedschaft<br />
nicht automatisch durch Ntdsutil aktualisiert. Stattdessen erstellt Ntdsutil eine Textdatei mit<br />
einer Liste der wiederhergestellten Backlink-Objekte sowie eine LDIF-Datei, die zur entsprechenden<br />
Aktualisierung der lokalen Domäne für diese Backlink-Objekte verwendet werden kann. Vor Windows<br />
Server 2003 SP1 waren noch keine Ntdsutil-Funktionen zum Speichern von Backlink-Objekten<br />
verfügbar.<br />
Wichtig Beim Durchführen einer autorisierenden Wiederherstellung auf einem globalen Katalogserver werden<br />
mehrere LDIF-Dateien erstellt. Dabei wird eine LDIF-Datei für die domänenlokale Gruppe und eine weitere<br />
für jede Domäne erstellt, in der der Benutzer Mitglied einer universellen Gruppe war.<br />
Wiederherstellen von Gruppenmitgliedschaften aus Backlinks<br />
Nach einer autorisierenden Wiederherstellung kann die Gruppenmitgliedschaft für Benutzer wiederhergestellt<br />
werden, die bereits vor Aktivierung der Replikation verknüpfter Werte Mitglieder in Gruppen<br />
waren. Hierzu werden die durch Ntdsutil erstellten LDIF-Dateien verwendet. Dieser Vorgang<br />
wird erst im Anschluss an die Replikation der autorisierenden Wiederherstellung auf allen Replikationspartnern<br />
durchgeführt. Dabei werden nicht nur die mit der Gruppenmitgliedschaft verknüpften,<br />
sondern alle Backlinks wiederhergestellt.<br />
Hinweis Bei diesem Vorgang werden keine Backlinks für domänenlokale Gruppen in anderen Domänen<br />
wiederhergestellt. Gruppen in der lokalen Domäne und universelle Gruppen werden repariert.<br />
Führen Sie zum Wiederherstellen von Gruppenmitgliedschaften aus Backlinks die folgenden Schritte<br />
aus:<br />
1. Öffnen Sie nach einer autorisierenden Wiederherstellung und dem normalen Neustart des Domänencontrollers<br />
eine Eingabeaufforderung.<br />
2. Geben Sie an der Eingabeaufforderung den Befehl repadmin /syncall DC-Name /a /d /A /P /q<br />
ein, wobei DC-Name für den Namen des wiederhergestellten Domänencontrollers steht, und drücken<br />
Sie anschließend die EINGABETASTE. Auf diese Weise wird die Replikation auf allen<br />
Replikationspartnern erzwungen.<br />
3. Wechseln Sie zum Verzeichnis mit der LDIF-Datei, die von Ntdsutil während der autorisierenden<br />
Wiederherstellung erstellt wurde.<br />
4. Geben Sie an der Eingabeaufforderung den Befehl ldifde –i –k –f Dateiname ein, wobei<br />
Dateiname für die von Ntdsutil erstellte LDIF-Datei steht, und drücken Sie anschließend die<br />
EINGABETASTE. Wiederholen Sie diesen Schritt für alle von Ntdsutil erstellten LDIF-Dateien.<br />
Hinweis In Versionen vor Windows Server 2003 SP1 wurden zur Wiederherstellung von Backlinks die<br />
Dienstprogramme Groupadd und Ldifde verwendet.
596 Kapitel 15: <strong>Active</strong> <strong>Directory</strong>-Notfallwiederherstellung<br />
Wiederherstellen der Mitgliedschaften domänenlokaler Gruppen in Remotedomänen<br />
Um Mitgliedschaften von domänenlokalen Gruppen in Remotedomänen wiederherzustellen, sind<br />
in jeder Remotedomäne weitere Schritte erforderlich. Dabei wird die Textdatei verwendet, die von<br />
Ntdsutil in der Domäne erstellt wurde, in der der Benutzer autorisierend wiederhergestellt wurde.<br />
Diese Textdatei enthält eine Liste der Backlink-Objekte. Anhand dieser Liste wird, speziell für diese<br />
Domäne, in der Remotedomäne eine LDIF-Datei generiert. Zudem ist eine nicht autorisierende Wiederherstellung<br />
eines Domänencontrollers in der Remotedomäne erforderlich.<br />
Führen Sie zum Wiederherstellen von Mitgliedschaften der domänenlokalen Gruppen in einer<br />
Remotedomäne die folgenden Schritte aus:<br />
1. Kopieren Sie die Textdatei, die von Ntdsutil in der Domäne erstellt wurde, in der die Benutzerkonten<br />
autorisierend wiederhergestellt wurden, auf einen Domänencontroller in einer Remotedomäne.<br />
2. Führen Sie auf dem Domänencontroller in der Remotedomäne eine nicht autorisierende Wiederherstellung<br />
durch, und starten Sie den Server neu.<br />
3. Öffnen Sie im DSRM eine Eingabeaufforderung.<br />
4. Geben Sie an der Eingabeaufforderung den Befehl ntdsutil ein, und drücken Sie die<br />
EINGABETASTE.<br />
5. Geben Sie an der Ntdsutil-Eingabeaufforderung den Befehl authoritative restore ein, und<br />
drücken Sie die EINGABETASTE.<br />
6. Geben Sie an der Authoritative Restore-Eingabeaufforderung den Befehl create ldif file from<br />
Dateiname ein, wobei Dateiname für den Namen der kopierten Textdatei auf dem Domänencontroller<br />
in der Remotedomäne steht, und drücken Sie die EINGABETASTE.<br />
7. Lesen Sie die in Schritt 6 erzeugte Ausgabe, und notieren Sie den LDIF-Dateinamen.<br />
8. Starten Sie den Domänencontroller in der Remotedomäne neu, und starten Sie Windows normal.<br />
9. Öffnen Sie eine Eingabeaufforderung, und wechseln Sie zum Verzeichnis, indem sich die in<br />
Schritt 6 von Ntdsutil erstellte LDIF-Datei befindet.<br />
10. Geben Sie an der Eingabeaufforderung den Befehl ldifde –i –k –f Dateiname ein, wobei<br />
Dateiname für die von Ntdsutil erstellte LDIF-Datei steht, und drücken Sie anschließend die<br />
EINGABETASTE. Wiederholen Sie diesen Schritt für alle von Ntdsutil erstellten LDIF-Dateien.<br />
Wiederherstellen von Gruppen<br />
Beim autorisierenden Wiederherstellen von Gruppen wird die Gruppenmitgliedschaft auf den Status<br />
zurückgesetzt, in dem sie sich bei Erstellung der Sicherung befand. Alle seit der Sicherung vorgenommenen<br />
Änderungen werden durch die autorisierend wiederhergestellte Gruppenmitgliedschaft überschrieben.<br />
Dies kann dazu führen, dass Benutzer über andere Rechte und Berechtigungen verfügen als<br />
erwartet. Daher sollten die Gruppenmitgliedschaften nach einer Wiederherstellung überprüft werden.<br />
Bei einer gleichzeitigen autorisierenden Wiederherstellung von Benutzern und Gruppen kann es vorkommen,<br />
dass die Gruppenmitgliedschaft fehlerhaft ist. Die geschieht, wenn die Gruppeninformationen<br />
auf einem Zieldomänencontroller vor der Replikation der Benutzerinformationen wiederhergestellt<br />
wurden. Empfängt der Zieldomänencontroller eine Gruppe und ermittelt, dass in der Gruppe<br />
aufgelistete Benutzer über nicht zulässige Benutzerkonten verfügen, werden diese Benutzer aus der<br />
Gruppe gelöscht. Bei der anschließenden Replikation des Benutzerkontos auf den Zieldomänencontroller<br />
wird dieses nicht wieder zur Gruppe hinzugefügt.
Wiederherstellen von <strong>Active</strong> <strong>Directory</strong> 597<br />
Erfolgt die Replikation der Benutzerinformationen vor der Replikation der Gruppeninformationen, werden<br />
die Gruppenmitgliedschaften ordnungsgemäß zugewiesen. Leider kann nicht gesteuert werden,<br />
welche Objekte zuerst repliziert werden.<br />
Um eine ordnungsgemäße Gruppenmitgliedschaft sicherzustellen, sollten zwei autorisierende Wiederherstellungen<br />
durchgeführt werden. Die erste autorisierende Wiederherstellung gewährleistet, dass alle<br />
Benutzer- und Gruppenobjekte vorhanden sind. Nach der Replikation der ersten Wiederherstellung ist<br />
eine zweite autorisierende Wiederherstellung der Gruppenobjekte erforderlich, bei der die ordnungsgemäße<br />
Gruppenmitgliedschaft sichergestellt wird.<br />
Weitere Informationen Weitere Informationen zum Wiederherstellen von Benutzern und Gruppen finden<br />
Sie im Microsoft Knowledge Base-Artikel „Wiederherstellen gelöschter Benutzerkonten und ihrer Gruppenmitgliedschaften<br />
in <strong>Active</strong> <strong>Directory</strong>“ unter http://support.microsoft.com/kb/840001/.<br />
Wiederbeleben von Tombstone-Objekten<br />
Das Wiederbeleben eines Tombstone-Objekts ermöglicht die Wiederherstellung eines <strong>Active</strong> <strong>Directory</strong>-Objekts,<br />
ohne dass dieses über eine Sicherung wiederhergestellt werden muss. Auf diese Weise<br />
muss der Domänencontroller nicht offline geschaltet werden. Beim Erstellen eines Tombstone-<br />
Objekts werden jedoch Attribute entfernt. Folglich verfügt ein wiederbelebtes Tombstone-Objekt<br />
nicht über alle Attribute, die in einem autorisierend wiederhergestellten Objekt vorhanden wären. Beispielsweise<br />
werden beim Löschen eines Benutzerobjekts verschiedene Attribute wie z.B. Adressinformationen<br />
entfernt. Diese Informationen werden durch das Wiederbeleben eines Tombstone-Benutzerobjekts<br />
nicht wiederhergestellt.<br />
Beim Wiederbeleben eines Benutzerobjekts bleibt eine Vielzahl an wichtigen Attributen erhalten. Die<br />
Beibehaltung des objectSID-Attributs bietet die Möglichkeit, alle dem Benutzer direkt zugewiesenen<br />
Berechtigungen beizubehalten. Dies ist ein entscheidender Vorteil gegenüber der Neuerstellung eines<br />
gelöschten Benutzerkontos. Zudem wird das objectGUID-Attribut beibehalten, das jedes <strong>Active</strong><br />
<strong>Directory</strong>-Objekt eindeutig identifiziert. Dieses Attribut wird zum Erhalten der Beziehungen zwischen<br />
Objekten und für Anwendungen benötigt, die dieses Attribut verwenden.<br />
Die in Tombstone-Objekten beibehaltenen Attribute lassen sich durch Änderungen am Schema festlegen.<br />
Für jedes zu speichernde Attribut muss das dritte Bit des searchFlags-Attributs des entsprechendenattributeSchema-Objekts<br />
gesetzt werden. Verknüpfte Attribute wie Gruppenmitgliedschaften<br />
können jedoch nicht beibehalten werden, selbst wenn dieses Bit gesetzt wurde.<br />
Wichtig Bei der Wiederbelebung eines Tombstone-Benutzerobjekts werden keine Gruppenmitgliedschaften<br />
wiederhergestellt. Zum Wiederherstellen von Gruppenmitgliedschaften muss eine andere Methode verwendet<br />
werden. Wenn Gruppenmitgliedschaften in der Organisation dokumentiert wurden, können diese manuell neu<br />
erstellt werden.<br />
Der Wiederbelebungsvorgang<br />
An einem wiederbelebten Tombstone-Objekt müssen verschiedene Änderungen vorgenommen werden.<br />
Zunächst muss das idDeleted-Attribut entfernt werden. Anschließend muss das distinguishedName-<br />
Attribut geändert werden, über das das Objekt an den neuen Speicherort verschoben wird. Typischerweise<br />
basiert der neue Speicherort des Objekts auf dem lastKnownParent-Attribut, über das das<br />
Objekt wieder derselben Organisationseinheit zugewiesen wird, aus der es gelöscht wurde. Das<br />
objectCategory-Attribut für das neue Objekt wird als spezifisches objectClass -Attribut im Tombstone-Objekt<br />
konfiguriert.
598 Kapitel 15: <strong>Active</strong> <strong>Directory</strong>-Notfallwiederherstellung<br />
Zur Wiederbelebung eines Tombstone-Objekt wird ein Tool benötigt, mit dem <strong>Active</strong> <strong>Directory</strong>-<br />
Objekte bearbeitet werden können. Mit dem Programm Ldp.exe lassen sich sowohl <strong>Active</strong> <strong>Directory</strong>-<br />
Objekte bearbeiten als auch Tombstone-Objekte wiederbeleben (siehe Abbildung 15.9). Zusätzlich<br />
steht AdRestore zur Verfügung, das speziell zur Wiederbelebung von Objekten konzipiert ist. Mit diesem<br />
Tool wird die Wiederbelebung so ausgeführt, dass sich die Objekte anschließend stets an dem<br />
Speicherort befinden, der im lastKnownParent-Attribut festgelegt wurde.<br />
Hinweis AdRestore steht auf der Windows Sysinternals-Website unter<br />
http://www.microsoft.com/technet/sysinternals/utilities/AdRestore.mspx zum Download zur Verfügung.<br />
Abbildung 15.9<br />
Verwenden von Ldp.exe zum Wiederbeleben eines Tombstone-Objekts<br />
Hinweis In älteren Versionen von Windows Server war der Download von Ldp.exe erforderlich. In Windows<br />
Server 2008 wird Ldp.exe zusammen mit der Rolle <strong>Active</strong> <strong>Directory</strong>-Domänendienste installiert.<br />
So führen Sie mit Ldp.exe die Wiederbelebung eines Tombstone-Objekts durch:<br />
1. Klicken Sie auf Start und Ausführen, geben Sie ldp ein, und drücken Sie die EINGABETASTE.<br />
2. Klicken Sie auf das Menü Remotedesktopverbindung und anschließend auf Verbinden.<br />
3. Geben Sie den Servernamen ein, und klicken Sie auf OK.<br />
4. Klicken Sie auf das Menü Remotedesktopverbindung und anschließend auf Gebunden.<br />
5. Aktivieren Sie die Option Bindung mit Anmeldeinformationen, und wählen Sie ein Anmeldekonto<br />
mit ausreichenden Rechten zur Durchführung einer Wiederbelebung. Klicken Sie<br />
anschließend auf OK.<br />
6. Klicken Sie auf das Menü Optionen und anschließend auf Steuerelemente.<br />
7. Wählen Sie in der Dropdownliste Vordefiniert laden die Option Return Deleted Objects, und<br />
klicken Sie auf OK. Dies ist erforderlich, um den Container Gelöschte Objekte anzuzeigen.<br />
8. Klicken Sie auf das Menü Ansicht und anschließend auf Struktur.
Wiederherstellen von <strong>Active</strong> <strong>Directory</strong> 599<br />
9. Wählen Sie in der Dropdownliste Basis-DN die Domäne aus, und klicken Sie auf OK.<br />
10. Erweitern Sie die Domäne, und doppelklicken Sie auf CN=Deleted Objects. Es werden alle<br />
gelöschten Objekte in der Domäne aufgelistet. Diese Suche können Sie auch auf z.B. Benutzerobjekte<br />
einschränken.<br />
11. Klicken Sie mit der rechten Maustaste auf das wiederzubelebende Objekt, und klicken Sie auf<br />
Ändern.<br />
12. Geben Sie im Feld Attribut den Wert isDeleted ein, klicken Sie auf Löschen und anschließend auf<br />
die Schaltfläche Eingabe.<br />
13. Geben Sie im Feld Attribut distinguishedName ein.<br />
14. Geben Sie im Feld Werte den neuen definierten Namen des Benutzerobjekts ein. Beispiel:<br />
CN=Paul West,OU=Buchhaltung,DC=Adatum,DC=com.<br />
15. Klicken Sie auf Ersetzen und anschließend auf Eingabe.<br />
16. Aktivieren Sie das Kontrollkästchen Erweitert. Diese Einstellung ist für die Bearbeitung<br />
gelöschter Objekte erforderlich.<br />
17. Klicken Sie auf Ausführen, um das Objekt zu bearbeiten.<br />
18. Klicken Sie auf Schließen, und schließen Sie das Ldp-Programm.<br />
So führen Sie mit AdRestore die Wiederbelebung eines Tombstone-Objekts durch:<br />
1. Öffnen Sie eine Eingabeaufforderung.<br />
2. Geben Sie adrestore ein, und drücken Sie die EINGABETASTE. Es werden alle Objekte aufgelistet,<br />
die wiederhergestellt werden können.<br />
3. Geben Sie adrestore Text ein, wobei Text für einen Bestandteil des Objektnamens steht. Drücken<br />
Sie die EINGABETASTE. Dieser Befehl zur Suche nach bestimmten Objekten verwendet.<br />
4. Geben Sie adrestore –r Text ein, wobei Text für einen Bestandteil des Objektnamens steht.<br />
Drücken Sie dann die EINGABETASTE.<br />
5. Bei jedem von AdRestore gefundene Objekt müssen Sie angeben, ob das Objekt wiederbelebt<br />
werden soll.<br />
Weitere Informationen Weitere Informationen zum Wiederbeleben von Tombstone-Objekten finden Sie<br />
im Artikel „Tombstone-Wiederbelebung in <strong>Active</strong> <strong>Directory</strong>“ auf der Technet Magazine-Website unter<br />
http://www.microsoft.com/technet/technetmag/issues/2007/09/Tombstones/default.aspx.<br />
Verwenden des <strong>Active</strong> <strong>Directory</strong>-Datenbankbereitstellungstools<br />
Windows Server 2008 umfasst ein neues <strong>Active</strong> <strong>Directory</strong>-Datenbankbereitstellungstool<br />
(Dsamain.exe). Mit diesem Tool wird ein Snapshot von <strong>Active</strong> <strong>Directory</strong> angezeigt, ohne dass hierfür<br />
ein Domänencontroller im DSRM neu gestartet werden muss. Das <strong>Active</strong> <strong>Directory</strong>-Datenbankbereitstellungstool<br />
fungiert als LDAP-Server (Lightweight <strong>Directory</strong> Access Protocol), um den<br />
Zugriff auf den Snapshot zu ermöglichen. LDAP-Anzeigetools wie Ldp.exe und ADSI Edit werden<br />
zur Anzeige von Snapshotinhalten verwendet.<br />
Wenn <strong>Active</strong> <strong>Directory</strong>-Informationen gespeichert werden, muss möglicherweise der Inhalt mehrerer<br />
Sicherungen überprüft werden, um zu bestimmen, welche Sicherung am besten geeignet ist. Die<br />
Durchsicht mehrerer Sicherungen kann zum Beispiel erforderlich sein, um den Zeitpunkt festzustellen,<br />
an dem ein bestimmtes Objekt gelöscht wurde.
600 Kapitel 15: <strong>Active</strong> <strong>Directory</strong>-Notfallwiederherstellung<br />
Unter den Vorgängerversionen von Windows Server mussten die Systemstatusdaten im DSRM wiederhergestellt<br />
werden, um den Inhalt einer <strong>Active</strong> <strong>Directory</strong>-Sicherung anzuzeigen. Mit Windows<br />
Server 2008 ist es möglich, die <strong>Active</strong> <strong>Directory</strong>-Datenbank an einem anderen Speicherort wiederherzustellen<br />
und den Datenbankinhalt mit dem <strong>Active</strong> <strong>Directory</strong>-Datenbankbereitstellungstool anzuzeigen.<br />
Darüber hinaus lassen sich mit Ntdsutil Snapshots von <strong>Active</strong> <strong>Directory</strong> erstellen und anschließend<br />
mit Dsamain.exe anzeigen. Ein auf diese Weise erstellter Snapshot nimmt weitaus weniger Speicherplatz<br />
in Anspruch als die Sicherung eines wichtigen Volumes. Zudem sind Snapshots zur Überwachung<br />
bearbeiteter und gelöschter Objekte hilfreich. Mit Ntdsutil erstellte Snapshots können zum<br />
Wiederherstellen von <strong>Active</strong> <strong>Directory</strong>-Objekten verwendet werden. Um Informationen über einen<br />
längeren Zeitraum zu überwachen, können <strong>Active</strong> <strong>Directory</strong>-Snapshots mithilfe einer geplanten Aufgabe<br />
automatisch erstellt werden.<br />
Verwalten von <strong>Active</strong> <strong>Directory</strong>-Snapshots<br />
<strong>Active</strong> <strong>Directory</strong>-Snapshots lassen sich mit Ntdsutil erstellen und verwalten. Zur Verwaltung der<br />
Snapshots wird der Snapshotkontext genutzt. Snapshots können auf Domänencontrollern und <strong>Active</strong><br />
<strong>Directory</strong> Lightweight <strong>Directory</strong> Services-Servern erstellt werden.<br />
Führen Sie zum Erstellen eines <strong>Active</strong> <strong>Directory</strong>-Snapshots mit Ntdsutil die folgenden Schritte aus:<br />
1. Öffnen Sie eine Eingabeaufforderung.<br />
2. Geben Sie an der Eingabeaufforderung den Befehl ntdsutil ein, und drücken Sie die<br />
EINGABETASTE.<br />
3. Geben Sie an der Ntdsutil-Eingabeaufforderung den Befehl snapshot ein, und drücken Sie die<br />
EINGABETASTE.<br />
4. Geben Sie an der Snapshot-Eingabeaufforderung den Befehl activate instance ntds ein, und<br />
drücken Sie die EINGABETASTE.<br />
5. Geben Sie an der Snapshot-Eingabeaufforderung den Befehl create ein, und drücken Sie die EIN-<br />
GABETASTE. Auf diese Weise wird eine neuer Snapshot erstellt. Eine Kennung wird aufgelistet.<br />
Führen Sie zum Bereitstellen eines <strong>Active</strong> <strong>Directory</strong>-Snapshots mit Ntdsutil die folgenden Schritte<br />
aus:<br />
1. Öffnen Sie eine Eingabeaufforderung.<br />
2. Geben Sie an der Eingabeaufforderung den Befehl ntdsutil ein, und drücken Sie die EINGABE-<br />
TASTE.<br />
3. Geben Sie an der Ntdsutil-Eingabeaufforderung den Befehl snapshot ein, und drücken Sie die<br />
EINGABETASTE.<br />
4. Geben Sie an der Snapshot-Eingabeaufforderung den Befehl activate instance ntds ein, und<br />
drücken Sie die EINGABETASTE.<br />
5. Geben Sie an der Snapshot-Eingabeaufforderung den Befehl list all ein, und drücken Sie die<br />
EINGABETASTE. Auf diese Weise werden alle verfügbaren Snapshots angezeigt.<br />
6. Geben Sie an der Snapshot-Eingabeaufforderung den Befehl mount Nummer ein, wobei Nummer<br />
für den Snapshot steht, der mit dem <strong>Active</strong> <strong>Directory</strong>-Datenbankbereitstellungstool angezeigt<br />
werden soll. Drücken Sie anschließend die EINGABETASTE.<br />
7. Notieren Sie die für den bereitgestellten Snapshot angezeigte Update-Nummer. Diese wird zur<br />
Anzeige des Snapshots mit dem <strong>Active</strong> <strong>Directory</strong>-Datenbankbereitstellungstool benötigt.
Anzeigen von und Zugreifen auf <strong>Active</strong> <strong>Directory</strong>-Snapshots<br />
Wiederherstellen von <strong>Active</strong> <strong>Directory</strong> 601<br />
Hinweis Über den Befehl unmount Nummer command wird die Bereitstellung der Datenbank nach<br />
Überprüfung der Daten aufgehoben. Um einen nicht mehr benötigten Snapshot zu löschen, wird der Befehl<br />
delete Nummer verwendet.<br />
Mit dem <strong>Active</strong> <strong>Directory</strong>-Datenbankbereitstellungstool können die <strong>Active</strong> <strong>Directory</strong>-Snapshots<br />
angezeigt werden, die entweder mit Ntdsutil erstellt und bereitgestellt oder über die Windows Server-<br />
Sicherung an einem anderen Speicherort wiederhergestellt wurden. In beiden Fällen ist die Angabe<br />
des Pfades zu Ntds.dit sowie eine Portnummer für den LDAP-Server erforderlich. Die Portnummer<br />
darf nicht von anderen auf dem Server ausgeführten Diensten verwendet werden. Normalerweise ist<br />
Port 51389 verfügbar.<br />
Standardmäßig können ausschließlich Mitglieder der Gruppen Organisations-Admins und Domänen-<br />
Admins auf die mit dem <strong>Active</strong> <strong>Directory</strong>-Datenbankbereitstellungstool angezeigten Daten zugreifen.<br />
Diese Einstellung kann über den Parameter /allowNonAdminAccess überschrieben werden.<br />
Dsamain.exe verwendet die folgende Syntax:<br />
Dsamain /dbpath Pfad_zur_Datenbankdatei /ldapport Portnummer<br />
Beim Zugriff auf den mit dem <strong>Active</strong> <strong>Directory</strong>-Datenbankbereitstellungstool angezeigten Datenbankinhalt<br />
muss eine Verbindung mit dem Port hergestellt werden, auf dem das <strong>Active</strong> <strong>Directory</strong>-<br />
Datenbankbereitstellungstool ausgeführt wird. Dies ist in der Regel ein nicht standardmäßiger Port,<br />
der in Ldp.exe oder ADSI Edit beim Erstellen der Verbindung manuell eingegeben werden muss. Zur<br />
Anzeige der Datenbank kann auch das Snap-In <strong>Active</strong> <strong>Directory</strong>-Benutzer und -Computer verwendet<br />
werden, indem zu einem bestimmten Domänencontroller gewechselt und die entsprechende Portnummer<br />
angegeben wird (siehe Abbildung 15.10).<br />
Abbildung 15.10<br />
Zugriff auf einen bereitgestellten Datenbanksnapshot<br />
Während das <strong>Active</strong> <strong>Directory</strong>-Datenbankbereitstellungstool ausgeführt wird, bleibt die Eingabeaufforderung<br />
geöffnet. Zum Schließen des <strong>Active</strong> <strong>Directory</strong>-Datenbankbereitstellungstool drücken Sie<br />
Strg+C.
602 Kapitel 15: <strong>Active</strong> <strong>Directory</strong>-Notfallwiederherstellung<br />
Wiederherstellen von SYSVOL-Informationen<br />
Bisher lag der Schwerpunkt in diesem Kapitel auf der Wiederherstellung der <strong>Active</strong> <strong>Directory</strong>-Datenbank<br />
– der Datenbank, in der sich die Konten und Einstellungen für die Domäne oder die Gesamtstruktur<br />
befinden. Der SYSVOL-Ordner auf jedem Domänencontroller enthält jedoch ebenfalls wichtige<br />
Informationen, wie Gruppenrichtlinienvorlagen und Skripts, die von Computern oder Benutzern<br />
im Netzwerk verwendet werden. Deshalb kann die Wiederherstellung der SYSVOL-Informationen<br />
genauso entscheidend sein wie die Wiederherstellung der <strong>Active</strong> <strong>Directory</strong>-Datenbank.<br />
Die Wiederherstellung von Systemstatusinformationen wichtiger Volumes umfasst auch den SYS-<br />
VOL-Ordner. Dieser SYSVOL-Ordner wird jedoch nicht von <strong>Active</strong> <strong>Directory</strong> repliziert und wird<br />
bei Bedarf über einen separaten Vorgang als autorisierend festgelegt. SYSVOL kann als autorisierend<br />
gekennzeichnet werden, wenn beispielsweise nicht autorisierte Gruppenrichtlinienänderungen zurückgenommen<br />
werden müssen oder Anmeldeskripts gelöscht wurden.<br />
In allen Vorgängerversionen von Windows Server 2008 wird SYSVOL durch den Dateireplikationsdienst<br />
repliziert und in gemischten Umgebungen mit Windows Server 2008-Domänencontrollern<br />
verwendet. Windows Server 2008 verwendet zur SYSVOL-Replikation das verteilte Dateisystem<br />
(Distributed File System, DFS), wenn die Domäne die Funktionsebene Windows Server 2008 aufweist.<br />
Erfolgt die SYSVOL-Replikation über den Dateireplikationsdienst, wird der BurFlags-Registrierungsschlüssel<br />
automatisch so konfiguriert, dass die wiederhergestellten replizierten Ordner als<br />
autorisierend gekennzeichnet werden. Wenn die SYSVOL-Replikation über DFS durchgeführt wird,<br />
werden die wiederhergestellten replizierten Ordner durch die Verwendung der<br />
–authsysvol-Option mit Wbadmin.exe als autorisierend gekennzeichnet. Die Option –authsysvol wird<br />
während der nicht autorisierenden Wiederherstellung von <strong>Active</strong> <strong>Directory</strong> verwendet. In beiden Fällen<br />
wird nicht nur der SYSVOL-Ordner als autorisierend gekennzeichnet, sondern auch andere replizierte<br />
Dateien, die gleichzeitig wiederhergestellt wurden.<br />
Weitere Informationen Weitere Informationen zum BurFlags-Registrierungsschlüssel und zum Dateireplikationsdienst<br />
(FRS) finden Sie im Artikel „Verwenden des BurFlags-Registrierungsschlüssels zur erneuten<br />
Initialisierung der Replikatsätze des Dateireplikationsdiensts“ auf der Hilfe- und Supportwebsite von Microsoft<br />
unter http://support.microsoft.com/default.aspx/kb/290762.<br />
In einigen Fällen ist nur die Wiederherstellung bestimmter Dateien aus dem SYSVOL-Ordner erforderlich,<br />
z.B. ein Anmeldeskript. Hierbei wird empfohlen, nicht den gesamten SYSVOL-Ordner als<br />
autorisierend zu kennzeichnen, sondern nur die benötigten Dateien wiederherzustellen. Dies ist möglich,<br />
indem SYSVOL an einem anderen Speicherort wiederhergestellt und anschließend die erforderlichen<br />
Dateien in den SYSVOL-Ordner kopiert werden. In den SYSVOL-Ordner kopierte Dateien<br />
werden wie normale Änderungen behandelt und auf andere Domänencontroller repliziert.<br />
Wiederherstellen von Betriebsmaster- und globalen Katalogservern<br />
Die Betriebsmasterrollen müssen bei der Planung einer Notfallwiederherstellung besonders berücksichtigt<br />
werden. Die Betriebsmasterrollen können auf mehrere Domänencontroller verteilt sein, jede<br />
Rolle kann jedoch nur von jeweils einem Domänencontroller in einer Domäne oder Gesamtstruktur<br />
übernommen werden. Daher unterscheidet sich der Wiederherstellungsvorgang für diese Rollen von<br />
der Wiederherstellung der Domänencontroller, die keine dieser Rollen innehaben. Die eigentliche<br />
Vorgehensweise zur Wiederherstellung der Domänencontroller entspricht im Wesentlichen der eines<br />
beliebigen Domänencontrollers – diese muss jedoch in der Notfallwiederherstellung eingeplant werden.
Wiederherstellen von <strong>Active</strong> <strong>Directory</strong> 603<br />
Da zum Beispiel nur ein Domänencontroller eine bestimmte Rolle innehaben kann, muss die mögliche<br />
Betriebsdauer des Netzwerks ohne diesen Betriebsmaster ermittelt werden. In einigen Fällen treten<br />
selbst durch eine mehrtägige Abwesenheit des Betriebsmasters möglicherweise keine Probleme<br />
auf; in anderen Fällen kann ein Ausfall jedoch nahezu sofortige Auswirkungen haben. Wenn der<br />
Domänencontroller wiederhergestellt werden kann, bevor die Betriebsmasterrolle benötigt wird, kann<br />
der Domänencontroller repariert und eine nicht autorisierende Wiederherstellung des Servers durchgeführt<br />
werden. Bei der Wiederherstellung des Servers wird auch der Betriebsmaster wiederhergestellt.<br />
In einigen Situationen würde die Wiederherstellung des ausgefallenen Domänencontrollers länger<br />
dauern, als das Netzwerk ohne Betriebsmaster betrieben werden könnte. Oder Sie haben möglicherweise<br />
entschieden, den Domänencontroller nicht wiederherzustellen, sondern stattdessen einen neuen<br />
Domänencontroller zu erstellen und die Betriebsmasterrolle auf den neuen Domänencontroller zu<br />
übertragen. Wenn beide Domänencontroller online sind, stellt die Übertragung der Betriebsmasterrolle<br />
stellt kein Problem dar, da die Domänencontroller sicherstellen können, dass die Replikation vor<br />
dem Übertragen der Rolle abgeschlossen wurde. Wenn der Betriebsmaster jedoch ausgefallen ist und<br />
die Rolle auf einen anderen Domänencontroller verschoben werden muss, muss die Rolle übernommen<br />
werden.<br />
Platzierung der Betriebsmaster<br />
Da die Betriebsmasterserver im Netzwerk eine wichtige Rolle spielen, sollte deren Platzierung und<br />
Verwaltung sorgfältig geplant werden. Die Betriebsmaster sollten in einem regulären Sicherungsplan<br />
stets enthalten sein. Zudem sollten sich die Betriebsmaster sowie mindestens ein anderer<br />
Domänencontroller am selben Standort befinden, um sicherzustellen, dass mindestens ein anderer<br />
Domänencontroller dieselben Informationen wie der Betriebsmaster enthält.<br />
Wenn beispielsweise ein Benutzer sein oder ihr Kennwort auf einem kompatiblen Client geändert<br />
hat, wird diese Änderung auf dem PDC-Emulator erfasst. Diese Änderung wird anschließend innerhalb<br />
von 15 Sekunden durch den PDC-Emulator auf einen Replikationspartner am selben Standort<br />
repliziert. Befindet sich am selben Standort kein Replikationspartner, findet die Kennwortreplikation<br />
erst bei der nächsten geplanten Replikation zwischen Standorten statt. Wenn der Domänencontroller<br />
vor diesem geplanten Zeitpunkt ausfällt, ist die Replikation der Kennwortänderung zwischen<br />
den Standorten nicht mehr möglich. Das Risiko einer unvollständigen Replikation ist<br />
wesentlich geringer, wenn sich der Domänencontroller und der Betriebsmasterserver an einem<br />
Standort befinden. Darüber hinaus ist der Domänencontroller am Standort des Betriebsmasterservers<br />
am besten für die Übernahme der Betriebsmasterrolle geeignet, da er über die neuesten Informationen<br />
vom Betriebsmaster verfügt. Wenn sich am Standort des ausgefallenen Betriebsmasters<br />
mehr als ein weiterer Domänencontroller befindet, kann mithilfe des Befehls repadmin /showvector<br />
namingcontext ermittelt werden, welcher Domänencontroller über die aktuellen Updates vom<br />
ausgefallenen Domänencontroller verfügt.<br />
Führen Sie zum Übernehmen von Betriebsmasterrollen mit Ntdsutil die folgenden Schritte aus:<br />
1. Öffnen Sie eine Eingabeaufforderung.<br />
2. Geben Sie an der Eingabeaufforderung den Befehl ntdsutil ein, und drücken Sie die EINGABE-<br />
TASTE.<br />
3. Geben Sie an der Ntdsutil-Eingabeaufforderung den Befehl roles ein, und drücken Sie die<br />
EINGABETASTE.
604 Kapitel 15: <strong>Active</strong> <strong>Directory</strong>-Notfallwiederherstellung<br />
4. Geben Sie an der Fsmo Maintenance-Eingabeaufforderung den Befehl connections ein, und drücken<br />
Sie die EINGABETASTE.<br />
5. Geben Sie an der Server Connections-Eingabeaufforderung den Befehl connect to server Servername<br />
ein, wobei Servername für den Namen des Servers steht, auf dem die Betriebsmasterrolle<br />
platziert werden soll. Drücken Sie anschließend die EINGABETASTE.<br />
6. Geben Sie an der Server Connection-Eingabeaufforderung den Befehl quit ein, und drücken Sie<br />
die EINGABETASTE.<br />
7. Geben Sie an der Fsmo Maintenance-Eingabeaufforderung den Befehl seize Rolle ein, wobei<br />
Rolle für die zu übernehmende Betriebsmasterrolle steht, und drücken Sie die EINGABETASTE.<br />
Die zulässigen Werte für Rolle sind schema master, domain naming master, infrastructure master,<br />
RID master, and PDC.<br />
8. Akzeptieren Sie die Warnung. Der Server versucht zunächst, eine normale Übertragung der angegebenen<br />
Betriebsmasterrolle durchzuführen. Sollte dieser Vorgang fehlschlagen, da keine Verbindung<br />
mit dem Domänencontroller hergestellt werden kann, wird die Rolle übernommen.<br />
9. Verwenden Sie den Befehl quit, um Ntdsutil zu beenden.<br />
Hinweis Zum Übernehmen der Betriebsmasterrollen PDC-Emulator und Infrastrukturmaster kann auch<br />
das Snap-In <strong>Active</strong> <strong>Directory</strong>-Benutzer und -Computer verwendet werden.<br />
PDC-Emulator<br />
Bei einem Ausfall des PDC-Emulators können Benutzer nahezu sofort betroffen sein. Aus diesem<br />
Grund sollte die Rolle des PDC-Emulators schnell übernommen werden, wenn diese voraussichtlich<br />
für einen bestimmten Zeitraum nicht verfügbar ist. Ist der PDC-Emulator nicht verfügbar, können die<br />
Windows NT 4.0-Reservedomänencontroller keine Synchronisierung von Verzeichnisänderungen und<br />
Prä-Windows 2000-Clients keine Kennwortänderungen durchführen. Der PDC-Emulator ist zudem<br />
der bevorzugte Speicherort für Gruppenrichtlinienänderungen und wird für die Replikation von Kennwortänderungen<br />
verwendet.<br />
Das Übernehmen des PDC-Emulators hat keine negativen Auswirkungen. Wenn Sie den ursprünglichen<br />
PDC-Emulator und dessen Verbindung zum Netzwerk wiederherstellen, erkennt dieser den<br />
neuen PDC-Emulator gibt die Rolle als PDC-Emulator auf. Nach der Wiederherstellung kann die<br />
Rolle des PDC-Emulators wieder auf den ursprünglichen Server zurückübertragen werden, dies ist<br />
jedoch nicht erforderlich.<br />
Schemamaster<br />
Der Schemamaster spielt in einer Windows Server 2008-Domäne eine entscheidende Rolle, wenngleich<br />
er nur selten verwendet wird. Der Schemamaster ist der einzige Domänencontroller, auf dem<br />
das Schema geändert werden kann. Bei einem Ausfall dieses Servers können Änderungen am Schema<br />
erst wieder vorgenommen werden, wenn der Server wiederhergestellt oder die Rolle von einem anderen<br />
Domänencontroller übernommen wurde.<br />
Auf Benutzer hat der Ausfall eines Schemamasters keine Auswirkungen. In den meisten Fällen ist es<br />
sinnvoll, nicht die Schemamasterrolle zu übernehmen, sondern zu warten und den Schemamaster wiederherzustellen.<br />
Wenn die Schemamasterrolle von einem anderen Domänencontroller übernommen<br />
wird, sollte der ursprüngliche Schemamaster nicht mehr im Netzwerk wiederhergestellt werden.
Wiederherstellen von <strong>Active</strong> <strong>Directory</strong> 605<br />
Domänennamenmaster<br />
Der Domänennamenmaster ist eine weitere, selten verwendete Rolle. Dieser Betriebsmaster wird nur<br />
zum Hinzufügen oder Entfernen von Domänen benötigt. Auf Benutzer hat der Ausfall dieser Rolle<br />
keine Auswirkungen. Administratoren sind nur betroffen, wenn eine neue Domäne zur Gesamtstruktur<br />
hinzugefügt oder eine alte Domäne aus dieser entfernt wird.<br />
In den meisten Fällen ist es sinnvoll, zu warten, bis der ursprüngliche Domänennamenmaster wiederhergestellt<br />
ist. Die Rolle kann jedoch auch übernommen werden, wenn das Hinzufügen oder Entfernen<br />
einer Domäne erforderlich und für die Wiederherstellung des Domänennamenmasters keine Zeit<br />
ist. Wenn die Rolle des Domänennamenmasters von einem anderen Domänencontroller übernommen<br />
wird, sollte der ursprüngliche Domänennamenmaster nicht mehr im Netzwerk wiederhergestellt werden.<br />
Infrastrukturmaster<br />
In Hinblick auf eine Notfallwiederherstellung hat die Infrastrukturmasterrolle wahrscheinlich die<br />
niedrigste Priorität. Über den Infrastrukturmaster werden Änderungen von Anzeigenamen für Benutzer-<br />
und Gruppenkonten in mehreren Domänen überwacht. Dies stellt nur dann ein Problem dar, wenn<br />
Administratoren Gruppenmitgliedschaften anzeigen möchten. Selbst Netzwerkadministratoren stellen<br />
den Ausfall wahrscheinlich erst dann fest, wenn eine große Anzahl an Konten verschoben oder<br />
umbenannt wurde.<br />
In den meisten Fällen ist es sinnvoll, nicht die Infrastrukturmasterrolle zu übernehmen, sondern zu<br />
warten und die Infrastrukturmasterrolle wiederherzustellen. Wenn die Infrastrukturmasterrolle in einer<br />
Umgebung mit mehreren Domänen von einem anderen Domänencontroller übernommen werden soll,<br />
darf der Zieldomänencontroller kein globaler Katalogserver sein. Ein auf einem globalen Katalogserver<br />
platzierter Infrastrukturmaster funktioniert nicht ordnungsgemäß. Wenn die Rolle übernommen wird,<br />
kann der ursprüngliche Infrastrukturmaster anschließend wiederhergestellt werden.<br />
RID-Master<br />
Der RID-Master (Relative ID, relative Kennungen) ist ein Betriebsmaster auf Domänenebene, der<br />
anderen Domänencontrollern RID-Pools zuweist, wenn neue Sicherheitsprinzipale erstellt werden.<br />
Wenn der RID-Master für einen längeren Zeitraum nicht verfügbar ist, stehen auf den Domänencontrollern<br />
möglicherweise keine RIDs mehr zur Verfügung, die neuen Sicherheitsprinzipals zugewiesen<br />
werden können.Sobald ein Domänencontroller keine RIDs mehr vergeben kann, ist das Erstellen<br />
neuer Sicherheitsprinzipale (z.B. Benutzer und Sicherheitsgruppen) nicht mehr möglich.<br />
Auf Benutzer hat der Ausfall eines RID-Masters keine Auswirkungen. Diese Rolle muss nur dann<br />
übernommen werden, wenn eine große Anzahl an Sicherheitsprinzipalen erstellt werden soll, bevor der<br />
ursprüngliche RID-Master wiederhergestellt wird, oder der ursprüngliche RID-Master nicht wiederhergestellt<br />
werden soll. Wenn die RID-Masterrolle von einem anderen Domänencontroller übernommen<br />
wird, sollte der ursprüngliche RID-Master nicht mehr im Netzwerk wiederhergestellt werden.<br />
Globale Katalogserver<br />
Bei globalen Katalogservern müssen abgesehen von den Anforderungen in Bezug auf Domänencontroller<br />
keine zusätzlichen Sicherungs- und Wiederherstellungsaspekte berücksichtigt werden. Nach<br />
der Wiederherstellung eines ausgefallenen Domänencontrollers, der als globaler Katalog konfiguriert<br />
ist, fungiert dieser weiterhin als globaler Katalogserver, ohne dass eine zusätzliche Konfiguration<br />
erforderlich ist.
606 Kapitel 15: <strong>Active</strong> <strong>Directory</strong>-Notfallwiederherstellung<br />
Für einige Anwendungen und Anmeldeprozesse ist ein schneller Zugriff auf globale Katalogserver<br />
entscheidend. Wenn ein Standort über keinen globalen Katalogserver verfügt, führt dies zu einem Leistungsabfall<br />
und möglicherweise zu Fehlern. Idealerweise befinden sich an einem Standort mehrere<br />
globale Katalogserver. In diesem Fall verwenden Clients automatisch die verbleibenden globalen Katalogserver,<br />
sobald ein globaler Katalog ausfällt. Darüber hinaus können Sie nach einem Ausfall manuell<br />
einen weiteren Domänencontroller als globalen Katalogserver hinzufügen.<br />
Zusammenfassung<br />
In diesem Kapitel wurden die grundlegenden Schritte und Aspekte einer Notfallwiederherstellung in<br />
Windows Server 2008 <strong>Active</strong> <strong>Directory</strong> beschrieben. Die Notfallwiederherstellung ist eine der Netzwerkadministrationsaufgaben,<br />
die Sie hoffentlich nie benötigen werden. Dennoch kann ein solcher<br />
Fall eintreten, und Sie müssen als Administrator wissen, welche Maßnahmen im Notfall einzuleiten<br />
sind. Zu Beginn dieses Kapitels wurden zunächst die grundlegenden Datenelemente in <strong>Active</strong> <strong>Directory</strong><br />
und anschließend die Vorgehensweisen bei der Sicherung von <strong>Active</strong> <strong>Directory</strong> beschrieben. Im<br />
verbleibenden Teil dieses Kapitels wurden die Vorgehensweisen bei der Wiederherstellung von <strong>Active</strong><br />
<strong>Directory</strong> sowohl im autorisierenden als auch im nicht autorisierenden Modus erläutert. Zudem wurde<br />
die Wiederbelebung von Tombstone-Objekten und die SYSVOL-Wiederherstellung beschrieben. Den<br />
Abschluss bildeten die Verwaltung der Betriebsmasterrollen und besondere Planungsaspekte bei der<br />
Wiederherstellung dieser Rollen im Netzwerk.<br />
Empfohlene Vorgehensweisen<br />
• Um die Größe wichtiger Volumesicherungen zu minimieren, sollten Sie auf wichtigen Volumes<br />
keine Anwendungs- oder Benutzerdaten speichern.<br />
• Führen Sie in regelmäßigen Abständen Sicherungen von wichtigen Volumes auf Domänencontrollern<br />
durch. Auf diese Weise können <strong>Active</strong> <strong>Directory</strong>- oder SYSVOL-Informationen wiederhergestellt<br />
werden. Planen Sie Sicherungen, um sicherzustellen, dass diese durchgeführt werden.<br />
• Verwenden Sie für Sicherungen ein bestimmtes Volume oder eine bestimmte interne oder externe<br />
Festplatte.<br />
• Installieren Sie die Windows-Wiederherstellungsumgebung auf einer separaten Partition, um die<br />
Wiederherstellung zu vereinfachen. Wenn die Windows-Wiederherstellungsumgebung auf dem<br />
lokalen Server installiert ist, benötigen Sie für eine vollständige Wiederherstellung keine CD.<br />
• Testen Sie Ihre Wiederherstellungsstrategie in einer Testumgebung, um vor einem Ausfall sicherzustellen,<br />
dass diese ordnungsgemäß funktioniert.<br />
• Geben Sie eine angemessene Tombstone-Ablaufzeit für die Umgebung an. Die Tombstone-<br />
Ablaufzeit legt die Gültigkeitsdauer einer <strong>Active</strong> <strong>Directory</strong>-Sicherung fest.<br />
• Implementieren Sie mehrere Domänencontroller in jeder Domäne, damit keine autorisierende<br />
Wiederherstellung von <strong>Active</strong> <strong>Directory</strong> durchgeführt werden muss.<br />
• Verwenden Sie das <strong>Active</strong> <strong>Directory</strong>-Datenbankbereitstellungswerkzeug, um den Inhalt von<br />
<strong>Active</strong> <strong>Directory</strong>-Sicherungen anzuzeigen, ohne eine Wiederherstellung durchführen zu müssen.
Zusätzliche Ressourcen<br />
Zusätzliche Ressourcen 607<br />
Die folgenden Ressourcen enthalten zusätzliche Informationen und Tools im Zusammenhang mit<br />
diesem Kapitel.<br />
Verwandte Informationen<br />
• Informationen zur Wiederherstellung einer vollständigen <strong>Active</strong> <strong>Directory</strong>-Gesamtstruktur finden<br />
Sie unter dem Titel „Planning for <strong>Active</strong> <strong>Directory</strong> Forest Recovery“ im Microsoft Download<br />
Center auf der englischsprachigen Website unter http://www.microsoft.com/downloads/<br />
details.aspx?FamilyID=AFE436FA-8E8A-443A-9027-C522DEE35D85&displaylang=en.<br />
• Weitere Informationen zu Links und Phantomobjekten finden Sie im Artikel „Notfallwiederherstellung:<br />
<strong>Active</strong> <strong>Directory</strong>-Benutzer und -Gruppen“ auf der Technet Magazine-Website unter<br />
http://www.microsoft.com/technet/technetmag/issues/2007/04/ADRecovery/.<br />
• Weitere Informationen zum Wiederherstellen von Benutzern und Gruppen finden Sie im Microsoft<br />
Knowledge Base-Artikel „Wiederherstellen gelöschter Benutzerkonten und ihrer Gruppenmitgliedschaften<br />
in <strong>Active</strong> <strong>Directory</strong>“ unter http://support.microsoft.com/kb/840001/.<br />
• Weitere Informationen zum Wiederbeleben von Tombstone-Objekten finden Sie im Artikel<br />
„Tombstone-Wiederbelebung in <strong>Active</strong> <strong>Directory</strong>“ auf der Technet Magazine-Website unter<br />
http://www.microsoft.com/technet/technetmag/issues/2007/09/Tombstones/default.aspx<br />
• Weitere Informationen zum BurFlags-Registrierungsschlüssel und zum Dateireplikationsdienst<br />
(FRS) finden Sie im Artikel „Verwenden des BurFlags-Registrierungsschlüssels zur erneuten Initialisierung<br />
der Replikatsätze des Dateireplikationsdiensts“ auf der Hilfe- und Supportwebsite von<br />
Microsoft unter http://support.microsoft.com/default.aspx/kb/290762.<br />
Verwandte Tools<br />
Windows Server 2008 stellt verschiedene Tools bereit, die bei der <strong>Active</strong> <strong>Directory</strong>-Notfallwiederherstellung<br />
eingesetzt werden können. In Tabelle 15.2 finden Sie einige dieser Tools und ihre Einsatzmöglichkeiten.<br />
Tabelle 15.2<br />
Tools für die <strong>Active</strong> <strong>Directory</strong>-Notfallwiederherstellung<br />
Toolname<br />
<strong>Active</strong> <strong>Directory</strong>-Datenbankbereitstellungstool<br />
(Dsamain.exe)<br />
AdRestore<br />
ADSIEdit.msc<br />
Ldifde.exe<br />
Beschreibung und Zweck<br />
Wird als LDAP-Server zum Bereitstellen von <strong>Active</strong> <strong>Directory</strong>-Sicherungen und -Snapshots<br />
verwendet. Dieses Tool kann zur Anzeige von Sicherungsinhalten ohne Durchführung einer<br />
Wiederherstellung verwendet werden.<br />
Wird zur Wiederbelebung von Tombstone-Objekten verwendet. Dieses Tool steht auf der<br />
Windows Sysinternals-Website unter http://www.microsoft.com/technet/sysinternals/utilities/<br />
AdRestore.mspx zum Download zur Verfügung.<br />
Ein MMC-Snap-In (Microsoft Management Console) zur Anzeige von <strong>Active</strong> <strong>Directory</strong>. Es<br />
dient auch zur Anzeige der Inhalte von <strong>Active</strong> <strong>Directory</strong>-Snapshots, die mit dem <strong>Active</strong><br />
<strong>Directory</strong>-Datenbankbereitstellungstool bereitgestellt werden.<br />
Wird zum Importieren und Exportieren von LDIF-Dateien aus <strong>Active</strong> <strong>Directory</strong> verwendet.
608 Kapitel 15: <strong>Active</strong> <strong>Directory</strong>-Notfallwiederherstellung<br />
Tabelle 15.2<br />
Tools für die <strong>Active</strong> <strong>Directory</strong>-Notfallwiederherstellung (Fortsetzung)<br />
Toolname<br />
Ldp.exe<br />
Ntdsutil.exe<br />
Repadmin.exe<br />
Wbadmin.exe<br />
Windows-Wiederherstellungsumgebung<br />
(Windows RE)<br />
Beschreibung und Zweck<br />
Ein Tool, das LDAP für den Zugriff auf <strong>Active</strong> <strong>Directory</strong> verwendet. Über dieses Tool können<br />
Objekteigenschaften angezeigt und geändert werden, auf die mit dem Snap-In <strong>Active</strong> <strong>Directory</strong>-Benutzer<br />
und -Computer nicht zugegriffen werden kann. Es dient insbesondere der<br />
Wiederbelebung von Tombstone-Objekten. Zudem ermöglicht Ldp.exe die Anzeige der Inhalte<br />
von <strong>Active</strong> <strong>Directory</strong>-Snapshots, die mit dem <strong>Active</strong> <strong>Directory</strong>-Datenbankbereitstellungstool<br />
bereitgestellt werden.<br />
Wird zur Verwaltung von <strong>Active</strong> <strong>Directory</strong> über eine Befehlszeile verwendet. Es ermöglicht<br />
das Kennzeichnen einer <strong>Active</strong> <strong>Directory</strong>-Wiederherstellung als autorisierend, das Entfernen<br />
von <strong>Active</strong> <strong>Directory</strong>-Objekten nach Domänencontrollerausfällen sowie das Übertragen<br />
von Betriebsmasterrollen.<br />
Dient der Überwachung und Verwaltung von <strong>Active</strong> <strong>Directory</strong>-Replikationen.<br />
Wird zur Sicherung und Wiederherstellung von Windows Server 2008 verwendet. Dieses<br />
Tool wird für Systemstatuswiederherstellungen benötigt und zusammen mit dem Windows<br />
Server-Sicherungsfeature installiert.<br />
Eine Wiederherstellungsumgebung für Windows Server 2008, mit deren Hilfe eine vollständige<br />
Wiederherstellung von Windows Server 2008 über eine Sicherung durchgeführt werden<br />
kann. Die Windows-Wiederherstellungsumgebung kann von der Windows Server 2008-<br />
Installations-DVD oder von einer lokalen Festplatte gestartet werden, wenn diese vorinstalliert<br />
wurde.<br />
Windows Server-Sicherung Ein grafisches Tool, das zur Sicherung und Wiederherstellung von Windows Server 2008<br />
verwendet wird. Dieses Tool ist erst nach der Installation des Windows Server-Sicherungsfeatures<br />
funktionsbereit.
T E I L V<br />
Identitäts- und Zugriffsverwaltung mit <strong>Active</strong><br />
<strong>Directory</strong><br />
Inhalt dieses Teils:<br />
Kapitel 16: <strong>Active</strong> <strong>Directory</strong> Lightweight <strong>Directory</strong> Services. . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 611<br />
Kapitel 17: <strong>Active</strong> <strong>Directory</strong>-Zertifikatdienste . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 649<br />
Kapitel 18: <strong>Active</strong> <strong>Directory</strong>-Rechteverwaltungsdienste. . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 691<br />
Kapitel 19: <strong>Active</strong> <strong>Directory</strong>-Verbunddienste . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 731
611<br />
K A P I T E L 1 6<br />
<strong>Active</strong> <strong>Directory</strong> Lightweight <strong>Directory</strong><br />
Services<br />
Inhalt dieses Kapitels:<br />
AD LDS – Übersicht . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 612<br />
AD LDS – Architektur und Komponenten. . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 614<br />
Implementieren der AD LDS . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 630<br />
Konfigurieren der AD DS- und AD LDS-Synchronisierung. . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 643<br />
Zusammenfassung. . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 646<br />
Empfohlene Vorgehensweisen. . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 646<br />
Zusätzliche Ressourcen. . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 647<br />
Die <strong>Active</strong> <strong>Directory</strong>-Domänendienste (AD DS) stellen einen flexiblen und leistungsstarken Verzeichnisdienst<br />
dar, mit dem viele Verzeichnisdienstanforderungen von Unternehmen erfüllt werden<br />
können. Die AD DS weisen jedoch zahlreiche Abhängigkeiten auf, wodurch ihre Bereitstellung und<br />
Verwaltung zu einer komplexen Aufgabe wird. Da die AD DS die zentralen Authentifizierungs- und<br />
Autorisierungsdienste für die meisten Unternehmen bereitstellen, können Änderungen, z.B. am<br />
Schema des Verzeichnisses, sehr schwierig werden. Zugleich führen viele Unternehmen Anwendungen<br />
ein, die einen externen Verzeichnisdienst nutzen. Diese Anwendungen machen es ggf. erforderlich,<br />
dass der Verzeichnisdienst Authentifizierungsdienste bereitstellt oder Anwendungskonfigurationsinformationen<br />
speichert.<br />
Obwohl die AD DS zur Unterstützung dieser Anwendung konfiguriert werden können, ist dies nicht<br />
unbedingt die optimale Lösung aufgrund von Problemen hinsichtlich inkompatibler Schemaänderungen,<br />
des Replikationsdatenverkehrs oder der Risiken von Änderungen am Infrastrukturverzeichnis.<br />
Als Alternative bietet Windows Server 2008 die Serverrolle <strong>Active</strong> <strong>Directory</strong> Lightweight <strong>Directory</strong><br />
Services (AD LDS), über die Sie einen LDAP–konformen (Lightweight <strong>Directory</strong> Access<br />
Protocol) Verzeichnisdienst bereitstellen können, um Unterstützung für diese verzeichnisfähigen<br />
Anwendungen zu bieten. Die AD LDS bieten nahezu dieselbe Verzeichnisdienstfunktionalität wie die<br />
AD DS, erfordern aber nicht die Bereitstellung von Domänen bzw. Domänencontrollern. Die AD<br />
LDS stellen ein wesentlich flexibleres Bereitstellungsmodell zur Verfügung, denn Sie können beispielsweise<br />
mehrere Instanzen der AD LDS gleichzeitig auf einem einzelnen Computer mit einem<br />
unabhängig verwalteten Schema für jede AD LDS-Instanz ausführen. Sie können ferner die AD LDS-<br />
Replikation so konfigurieren, dass dieselben AD LDS-Daten auf mehrere Computer verteilt werden.
612 Kapitel 16: <strong>Active</strong> <strong>Directory</strong> Lightweight <strong>Directory</strong> Services<br />
AD LDS – Übersicht<br />
Die AD LDS wurden speziell entwickelt, um verzeichnisfähigen Anwendungen Verzeichnisdienste<br />
bereitzustellen. Eine verzeichnisfähige Anwendung nutzt zum Speichern ihrer Daten ein Verzeichnis,<br />
anstatt (oder als Ergänzung) eine Datenbank, Flatfile oder andere Datenspeicherstruktur. Die Anwendung<br />
speichert ggf. Konfigurations- oder Anwendungsdaten im Verzeichnis oder nutzt das Verzeichnis<br />
für Authentifizierungszwecke. Die AD LDS stellen diese Funktionalität bereit.<br />
AD LDS – Features<br />
Um die von verzeichnisfähigen Anwendungen benötigten Features bereitzustellen, bieten die AD<br />
LDS Folgendes:<br />
• Dieselbe Architektur und Codebasis wie die AD DS Die AD LDS bieten einen hierarchischen Datenspeicher,<br />
eine Verzeichnisdienstkomponente und Schnittstellen, über die Clients mit dem Verzeichnisdienst<br />
kommunizieren können. Dies bedeutet, dass Entwickler und Administratoren,<br />
die das Arbeiten mit den AD DS gewöhnt sind, diese Kenntnisse auch bei den AD LDS nutzen<br />
können.<br />
• Unterstützung mehrerer AD LDS-Instanzen auf einem Computer Eine AD LDS-Instanz ist eine einzelne<br />
ausgeführte Kopie des AD LDS-Verzeichnisdienstes. Auf demselben Computer können<br />
mehrere Instanzen der AD LDS gleichzeitig ausgeführt werden. Jede Instanz des AD LDS-Verzeichnisdienstes<br />
hat einen eigenen Verzeichnisdatenspeicher, einen eindeutigen Dienstnamen, eine<br />
eindeutige Dienstbeschreibung und einen eindeutigen Port, damit Clients auf die jeweilige Instanz<br />
zugreifen können. Jede Instanz hat auch ein eigenes Schema, sodass Sie bei Bereitstellung<br />
mehrerer Instanzen mehrere Verzeichnisse mit unterschiedlichen Schemas auf einem einzelnen<br />
Server unterstützen können.<br />
• Unterstützung mehrerer Anwendungsverzeichnispartitionen Anwendungsverzeichnispartitionen<br />
enthalten die von Ihren Anwendungen verwendeten Daten. Sie können eine Anwendungsverzeichnispartition<br />
während des Setups der AD LDS oder zu einem beliebigen Zeitpunkt nach der<br />
Installation erstellen. Sie können mehrere Anwendungsverzeichnispartitionen in einer einzelnen<br />
Instanz speichern oder Kopien von Anwendungsverzeichnispartitionen auf mehrere Instanzen verteilen.<br />
• Unterstützung erweiterbarer Schemas Die AD LDS bieten mehrere Optionen für die Konfiguration<br />
des Schemas in den einzelnen AD LDS-Instanzen. Darüber hinaus können Sie das Schema<br />
jeder Instanz modifizieren, um Anforderungen von Anwendungen zu unterstützen.<br />
• Unterstützung der Verzeichnisreplikation Die AD LDS unterstützen die Replikation von Verzeichnisinformationen<br />
zwischen auf mehreren Computern installierten AD LDS-Instanzen. Auf diese<br />
Weise können Sie für eine hohe Verfügbarkeit sorgen oder an geografisch verteilten Standorten<br />
einen Zugriff auf Verzeichnisinformationen bereitstellen.<br />
AD LDS – Bereitstellungsszenarien<br />
Die AD LDS sind eher als Ergänzung zu den AD DS und nicht als Ersatz gedacht. Die AD DS stellen<br />
ein Netzwerkauthentifizierungs- und -verwaltungsverzeichnis zur Verfügung, während die AD LDS<br />
ausschließlich als Verzeichnisdienst für Anwendungen vorgesehen sind. Die AD LDS können in den<br />
folgenden Szenarien bereitgestellt werden:
AD LDS – Übersicht 613<br />
• Unternehmensverzeichnisspeicher Die AD LDS können Anwendungsdaten in einem lokalen Verzeichnisdienst<br />
entweder auf demselben Computer wie die Anwendung oder auf einem anderen<br />
Computer speichern. Ein Beispiel eines Anwendungstyps, der die AD LDS nutzen kann, ist eine<br />
Unternehmensanwendung, in der personalisierte Daten gespeichert werden, die mit Unternehmensbenutzern<br />
verknüpft sind, die auf eine Website zugreifen. Für die Speicherung dieser personalisierten<br />
Daten in den AD DS müsste das AD DS-Schema geändert werden. Durch Verwenden<br />
der AD LDS zum Speichern anwendungsspezifischer Daten und von Benutzerprinzipalnamen in<br />
den AD DS für die Authentifizierung und Steuerung des Zugriffs auf Objekte in den AD LDS<br />
können Sie die starke Zunahme von Benutzer-IDs und -kennwörtern für Endbenutzer vermeiden,<br />
wann immer eine neue verzeichnisfähige Anwendung in das Netzwerk eingeführt wird.<br />
• Authentifizierungsspeicher im Extranet Viele Unternehmen stellen Webportalanwendungen bereit,<br />
die einen Extranetzugriff auf Unternehmensanwendungen erfordern, jedoch einen Zugriff für<br />
unternehmensexterne Benutzer bereitstellen. Diese Server und Portalanwendungen benötigen<br />
einen Authentifizierungsspeicher zum Speichern der Authentifizierungsdaten der Benutzer. Die<br />
AD LDS können diesen Authentifizierungsspeicher bereitstellen, da Benutzerobjekte unterstützt<br />
werden können, die keine Windows-Sicherheitsprinzipale sind, jedoch mithilfe einfacher LDAP-<br />
Bindungen authentifiziert werden können.<br />
Sie können die AD LDS auch gemeinsam mit den <strong>Active</strong> <strong>Directory</strong>-Verbunddiensten (AD FS) als<br />
Authentifizierungsspeicher im Extranet bereitstellen. Diese Konfiguration ermöglicht Technologien<br />
für die einmalige Webanmeldung (Single-Sign-On, SSO) die Authentifizierung von Benutzern<br />
bei mehreren Webanwendungen über ein einzelnes Benutzerkonto.<br />
Sie können mithilfe der AD LDS auch ein Verzeichnis für verteilte Anwendungen bereitstellen,<br />
die einen Konfigurationsspeicher mit Multimasteraktualisierung und -replikation benötigen.<br />
Weitere Informationen Weitere Informationen zur Integration der AD LDS und AD FS finden Sie in<br />
Kapitel 19, „<strong>Active</strong> <strong>Directory</strong>-Verbunddienste“.<br />
• Als Teil einer Verzeichniskonsolidierungslösung In Großunternehmen sind häufig mehrere Verzeichnisse<br />
im Einsatz. Benutzerkonten können sich in mehreren <strong>Active</strong> <strong>Directory</strong>-Gesamtstrukturen,<br />
-Domänen und -Organisationseinheiten bzw. mehreren Identitätssystemen und anderen<br />
Verzeichnissen befinden, z.B. Personaldatenbanken, SAP-Datenbanken und Telefonbüchern. Um<br />
diese Vielzahl von Verzeichnissen in den Griff zu bekommen, haben viele Unternehmen die Identitäten<br />
durch Bereitstellung eines Metaverzeichnisses wie Microsoft Identity Integration Server<br />
(MIIS) oder Microsoft Identity Lifecycle Manager 2007 integriert, um die Benutzerumgebung und<br />
administrativen Prozesse zu vereinfachen. Die AD LDS können dahingehend mit einem Metaverzeichnis<br />
integriert werden, dass in den AD LDS erstellte Identitäten mit dem Metaverzeichnis<br />
synchronisiert werden können. Zudem können die AD LDS Anforderungen zur Identitätssynchronisierung<br />
vom Metaverzeichnis akzeptieren.<br />
• Als Entwicklungsumgebung für die AD DS und AD LDS Da die AD LDS dasselbe Programmiermodell<br />
wie die AD DS nutzen und praktisch dieselbe Verwaltungsumgebung wie die AD DS<br />
bereitstellen, können Entwickler die AD LDS für das Staging und Testen verschiedener mit<br />
<strong>Active</strong> <strong>Directory</strong> integrierten Anwendungen verwenden. Wenn eine in der Entwicklung befindliche<br />
Anwendung beispielsweise ein anderes Schema als das aktuelle AD DS-Schema benötigt,<br />
kann der Anwendungsentwickler mithilfe der AD LDS die Anwendung erstellen und einen Schemaaktualisierungsprozess<br />
testen. Nachdem die Anwendung und der Schemaaktualisierungsprozess<br />
sorgfältig getestet wurden, kann die Anwendung in die AD DS portiert werden.
614 Kapitel 16: <strong>Active</strong> <strong>Directory</strong> Lightweight <strong>Directory</strong> Services<br />
AD LDS – Architektur und Komponenten<br />
Da die AD LDS nahezu denselben Code wie die AD DS nutzen, sind sich viele AD LDS- und AD<br />
DS-Komponenten ähnlich.<br />
AD LDS – Server<br />
Ein Server mit Windows Server 2008 mit installierter Serverrolle AD LDS wird AD LDS-Server<br />
genannt. Die Serverrolle AD LDS kann unter den folgenden Betriebssystemen installiert werden:<br />
• Windows Server 2008, Standard Edition, Enterprise Edition und Datacenter Edition<br />
• Windows Server 2008 Server Core Installation Option, Standard Edition, Enterprise Edition und<br />
Datacenter Edition<br />
Die AD LDS können nicht unter Windows Server 2008 Web Edition oder Windows Server 2008 für<br />
Itanium-basierte Systeme installiert werden.<br />
Jeder AD LDS-Server dient als Host des AD LDS-Datenspeichers. Tabelle 16.1 enthält Beschreibungen<br />
der Datenspeicherkomponenten:<br />
Tabelle 16.1<br />
Datenspeicherkomponenten<br />
Komponente<br />
Schnittstellen<br />
Verzeichnisdienst-Agent<br />
(DSA) – (Adamdsa.dll)<br />
Beschreibung<br />
Clientcomputer, Administratoren und andere Server, auf denen die AD LDS ausgeführt werden,<br />
können nicht direkt mit dem Datenspeicher kommunizieren. Der Datenspeicher unterstützt die folgenden<br />
Schnittstellen für Verzeichnisclients und andere Verzeichnisserver zur Kommunikation mit<br />
dem Datenspeicher:<br />
• Lightweight <strong>Directory</strong> Access Protocol (LDAP) – LDAP v3 ist die von Verzeichnisclients am<br />
meisten verwendete Schnittstelle zum Auffinden von Informationen im Verzeichnisspeicher. Die<br />
LDAP-Schnittstelle ist Teil von Wldap32.dll. Die AD LDS unterstützen LDAP v2 („Request for<br />
Comments [RFC] 1777–Lightweight <strong>Directory</strong> Access Protocol“ unter http://www.ietf.org/rfc/<br />
rfc1777.txt) und LDAP v3 („RFC 2251–Lightweight <strong>Directory</strong> Access Protocol v3“ unter http://<br />
www.ietf.org/rfc/rfc2251.txt). Die AD LDS unterstützen sowohl LDAP- als auch SLDAP-Verbindungen<br />
(Secure LDAP). Für jede Instanz auf einem AD LDS-Server ist eine eindeutige Portnummer<br />
erforderlich. Wenn die Serverrolle AD LDS auf einem AD DS-Domänencontroller<br />
installiert ist, müssen sich die AD LDS-Portnummern von der AD DS-Portnummer unterscheiden.<br />
• REPL-Schnittstelle (Replikation) – Die REPL-Schnittstelle wird von den AD LDS während des<br />
Verwaltungszugriffs und zur Replikation zwischen Domänencontrollern verwendet. Auf diese<br />
Schnittstelle kann über RPCs (Remote Procedure Calls) zugegriffen werden.<br />
Der Verzeichnisdienst-Agent, der als Adamdsa.dll auf jeder AD LDS-Instanz ausgeführt wird, bietet<br />
die Schnittstellen, über die Verzeichnisclients und andere AD LDS-Instanzen Zugriff auf die Verzeichnisdatenbank<br />
erhalten. Darüber hinaus sorgt der Verzeichnisdienst-Agent für eine Erzwingung<br />
von Verzeichnissemantik, eine Verwaltung des Schemas, eine Sicherstellung der Objektidentität<br />
und die Anwendung bestimmter Datentypen auf Attribute.<br />
Wenn Clients oder andere AD LDS-Server auf den Verzeichnisspeicher zugreifen müssen, nutzen<br />
sie eine der unterstützten Schnittstellen zum Verbinden mit dem Verzeichnisdienst-Agent und zum<br />
anschließenden Suchen, Lesen und Schreiben von AD LDS-Objekten und ihrer Attribute.
AD LDS – Architektur und Komponenten 615<br />
Tabelle 16.1<br />
Datenspeicherkomponenten (Fortsetzung)<br />
Komponente<br />
Datenbankschicht<br />
ESE (Esent.dll)<br />
Datenbankdateien<br />
Beschreibung<br />
Die Datenbankschicht befindet sich in Adamdsa.dll und stellt eine Schnittstelle zwischen dem Verzeichnisdienst-Agent<br />
und der Verzeichnisdatenbank bereit. Der Verzeichnisdienst-Agent und andere<br />
Anwendungen können sich nicht direkt mit der Datenbank verbinden, sondern werden über die<br />
Datenbankschicht geleitet. Die Datenbankschicht bietet auch eine Objektansicht der Verzeichnisdatenbank,<br />
um dem Verzeichnisdienst-Agent den Zugriff auf Daten in Form hierarchischer Container<br />
zu ermöglichen.<br />
Die Datenbankschicht ist auch für das Erstellen, Abrufen und Löschen einzelner Datensätze<br />
(Objekte), von Attributen in Datensätzen und von Werten in Attributen zuständig.<br />
Die Extensible Storage Engine (ESE) ist eine Windows-Komponente, die von den AD LDS als<br />
Schnittstelle zur Datenbank verwendet wird. Die ESE ist zuständig für die Indizierung der Daten in<br />
der Datenbankdatei und die Übertragung der Daten in die und aus der Datenbank. Ihre Aufgabe ist<br />
es, Anwendungen das Speichern und Abrufen von Daten zu ermöglichen. Die ESE implementiert<br />
auch den Transaktionsprozess für das Übernehmen von Änderungen in die Datenbank.<br />
Der Datenspeicher speichert Verzeichnisinformationen in der Datenbankdatei Adamntds.dit. Darüber<br />
hinaus verwendet der Datenspeicher auch Protokolldateien, in die Transaktionen vorübergehend<br />
geschrieben werden, bevor sie in die Datenbank übernommen werden. AD LDS-Daten<br />
werden standardmäßig in %ProgramFiles%\Microsoft ADAM\Instanzname\data installiert, wobei<br />
Instanzname der AD LDS-Instanzname ist, den Sie beim Erstellen der Instanz angegeben haben.<br />
AD LDS – Instanzen<br />
Bei jeder Installation von AD LDS erstellen Sie eine eindeutige AD LDS-Instanz. Jede AD LDS-<br />
Instanz umfasst eine Konfigurations- und Schemapartition und kann ferner eine oder mehrere Anwendungspartitionen<br />
enthalten. Jede AD LDS-Instanz besteht aus Folgendem:<br />
• Programmdateien Nach der Installation der AD LDS befinden sich die Programmdateien und<br />
Tools einer AD LDS-Instanz im Verzeichnis %windir%\ADAM. Wenn Sie mehrere Instanzen der<br />
AD LDS auf einem einzelnen Computer installieren, werden die Programmdateien und Tools im<br />
Verzeichnis windir\ADAM von allen AD LDS-Instanzen gemeinsam genutzt, die auf diesem<br />
Computer ausgeführt werden. Dies bedeutet, dass beim Aufspielen eines Updates für die AD LDS<br />
alle AD LDS-Instanzen betroffen sind.<br />
• Datendateien Die Datendateien für eine AD LDS-Instanz werden standardmäßig in den Ordner<br />
%ProgramFiles%\Microsoft ADAM\Instanzname\Data installiert, wobei Instanzname der AD<br />
LDS-Instanzname ist, den Sie bei der Installation angegeben haben. Wenn Sie mehrere AD LDS-<br />
Instanzen auf einem einzelnen Computer installieren, verfügt jede installierte Instanz über ein<br />
eigenes Datenverzeichnis.<br />
• Registrierungsschlüssel Registrierungsschlüssel der AD LDS haben den folgenden Speicherort:<br />
HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\ADAM_Instanzname<br />
• Dienstname Während des Setups weisen Sie der AD LDS-Instanz einen Namen zu. Dieser Name<br />
wird bei der Erstellung der Dateiverzeichnisstruktur und Registrierungsschlüssel für die AD LDS<br />
verwendet. Darüber hinaus dient der zugewiesene Name zum Erstellen des Dienstnamens und<br />
Dienstanzeigenamens. Wenn Sie beispielsweise eine neue Instanz mit dem Name Anw1 erstellen,<br />
lauten der Dienstname Anw1 und der Dienstanzeigename ADAM_Anw1.
616 Kapitel 16: <strong>Active</strong> <strong>Directory</strong> Lightweight <strong>Directory</strong> Services<br />
• Dienstkonto Jede AD LDS-Instanz wird als Benutzerdienst im Sicherheitskontext des Dienstkontos<br />
ausgeführt, das für die jeweilige Instanz angegeben ist. Das Dienstkonto für eine AD LDS-<br />
Instanz wird bei der Installation angegeben und darf nur mit dem Befehlszeilenprogramm<br />
Dsdbutit geändert werden.<br />
Achtung Ändern Sie das AD LDS-Dienstkonto nur mit dem Befehlszeilenprogramm Dsdbutit, da beim<br />
Ändern des AD LDS-Dienstkontos über das Snap-In Dienste Fehler auftreten. Einzelheiten zu den für<br />
die Konfiguration von Dienstkonten verfügbaren Optionen finden Sie weiter unten in diesem Kapitel im<br />
Abschnitt „Implementieren der AD LDS“.<br />
• Ereignisprotokolle Jede AD LDS-Instanz, die auf einem Computer installiert ist, schreibt Ereignisse<br />
in ein eindeutiges Ereignisprotokoll. Diese Ereignisse werden in der Ereignisanzeige im<br />
Ordner Anwendungen und Dienste unter ADAM (Instanzname) angezeigt.<br />
• Name:Port Damit eine verzeichnisfähige Anwendung mit einer AD LDS-Instanz kommunizieren<br />
kann, muss die Anwendung den NetBIOS-Namen, DNS-Namen oder die IP-Adresse des Computers<br />
angeben, auf dem die AD LDS ausgeführt werden. Darüber hinaus muss die Anwendung den<br />
LDAP- oder SSL-Kommunikationsport (Secure Sockets Layer) angeben, der von der AD LDS-<br />
Instanz verwendet wird. Wenn Sie mehrere Instanzen der AD LDS auf einem Computer ausführen,<br />
müssen Sie für jede Instanz eindeutige Portnummern angeben.<br />
Verzeichnispartitionen<br />
Jede AD LDS-Instanz nutzt einen einzelnen Verzeichnisspeicher, der in logische Verzeichnispartitionen<br />
bzw. Namenskontexte unterteilt ist. Jeder AD LDS-Verzeichnisspeicher muss eine einzelne Konfigurationsverzeichnis-<br />
und eine einzelne Schemaverzeichnispartition enthalten. Der Verzeichnisspeicher<br />
kann keine bzw. mehrere Verzeichnispartitionen enthalten.<br />
Konfigurationsverzeichnispartition<br />
Die Konfigurationsverzeichnispartition enthält Informationen zur AD LDS-Replikationsplanung und<br />
-Replikatsätzen, zur Definition der anderen Partitionen im Replikatsatz, zu den Benutzern und Gruppen<br />
im Replikatsatz und weitere Informationen. In Tabelle 16.2 werden die Standardcontainer in der<br />
Konfigurationsverzeichnispartition beschrieben.<br />
Tabelle 16.2<br />
Standardcontainer in der Konfigurationsverzeichnispartition<br />
Container<br />
CN=<strong>Directory</strong>Updates,<br />
CN=Configuration,CN={GUID}<br />
CN=Extended-Rights,<br />
CN=Configuration,CN={GUID}<br />
CN=ForeignSecurityPrincipals,<br />
CN=Configuration,CN={GUID}<br />
CN=LostAndFoundConfig,<br />
CN=Configuration,CN={GUID}<br />
Zweck<br />
Gegenwärtig nicht verwendet.<br />
Speichert Objekte der Klasse controlAccessRight, über die Anwendungen die standardmäßige<br />
Zugriffssteuerung erweitern können.<br />
Speichert Proxyobjekte für Sicherheitsprinzipale aus AD DS-Domänen. Standardmäßig<br />
werden diesem Container die SID des Kontos Netzwerkdienst (wenn Sie<br />
dieses Konto als Instanzdienstkonto verwenden) und die SID des Administrators<br />
hinzugefügt, der die Instanz erstellt hat.<br />
Speichert Objekte in der Konfigurationsverzeichnispartition, die in Containern erstellt<br />
werden, die gleichzeitig aus anderen AD LDS-Instanzen im selben Konfigurationssatz<br />
gelöscht werden.
AD LDS – Architektur und Komponenten 617<br />
Tabelle 16.2<br />
Standardcontainer in der Konfigurationsverzeichnispartition (Fortsetzung)<br />
Container<br />
CN=NTDS Quotas,<br />
CN=Configuration,CN={GUID}<br />
CN=Partitions,<br />
CN=Configuration,CN={GUID}<br />
CN=Roles,<br />
CN=Configuration,CN={GUID}<br />
CN=Services,CN=Configuration,<br />
CN={GUID}<br />
CN=Sites,CN=Configuration,<br />
CN={GUID}<br />
Zweck<br />
Speichert Objekte der Klasse msDS-QuotaControl mit Kontingentzuweisungen für<br />
den Objektbesitz für die Konfigurationsverzeichnispartition. Kontingente begrenzen<br />
die Anzahl der Objekte eines Benutzers (einschließlich inetOrgPerson), einer Gruppe,<br />
eines Computers oder Dienstes in einer Konfigurations- oder Anwendungsverzeichnispartition.<br />
Speichert die Querverweise auf alle Verzeichnispartitionen im Konfigurationssatz,<br />
einschließlich der Konfigurationspartition, der Schemapartition und aller Anwendungspartitionen.<br />
Bei LDAP-Suchläufen verweisen diese Querverweise auf Verzeichnispartitionen<br />
auf andere mögliche Domänen.<br />
Speichert die Standardgruppen einer bestimmten Partition.<br />
Speichert Daten für verschiedene Netzwerkdienste und -anwendungen.<br />
Bestimmt alle Standorte im Netzwerk, die AD LDS-Instanzen an diesen Standorten<br />
und die Replikationstopologie. Der Inhalt dieses Containers sind Replikationstransporte,<br />
Subnetze sowie der erste erstellte Standort (Default-First-Site-Name) und die<br />
erste erstellte Standortverknüpfung (DEFAULTIPSITELINK).<br />
Hinweis Wenn Sie der Instanz das Schema Display Specifier hinzufügen, wird das weitere Containerobjekt<br />
CN=DisplaySpecifiers im Container Configuration erstellt. Dieser Container enthält die Informationen,<br />
die zum Anzeigen von AD LDS-Informationen in Verwaltungsprogrammen wie <strong>Active</strong> <strong>Directory</strong>-Standorte<br />
und -Dienste benötigt werden.<br />
Schemaverzeichnispartition<br />
Die Schemaverzeichnispartition enthält die Definitionen für die Datentypen, die in der Verzeichnisdatenbank<br />
enthalten sein dürfen. Die Definitionen in der Schemapartition erhalten die Datenkonsistenz<br />
des AD LDS-Verzeichnisdienstes. Sie können das Schema auch so erweitern, dass die AD LDS Daten<br />
enthalten, die für eine bestimmte Anwendung spezifisch sind.<br />
Wie das AD DS-Schema arbeitet das AD LDS-Schema mit Objektklassen und -attributen, um Objekttypen<br />
und Daten zu bestimmen, die in einem AD LDS-Verzeichnis erstellt und gespeichert werden<br />
können. Einer der wichtigen Unterschiede zwischen den AD DS und AD LDS ist jedoch, dass jede<br />
AD LDS-Instanz ein eindeutiges Schema haben kann. Das AD LDS-Basisschema enthält nur die<br />
Klassen und Attribute, die zum Starten einer AD LDS-Instanz benötigt werden. Da Schema kann von<br />
Administratoren oder den Anwendungen selbst durch neue Klassen und Attribute erweitert werden.<br />
Darüber hinaus können nicht benötigte Schemaklassen und -attribute deaktiviert werden. Wie bei<br />
allen Objekten im Verzeichnis werden Schemaobjekte durch Zugriffssteuerungslisten geschützt,<br />
sodass nur autorisierte Benutzer das Schema ändern können.<br />
Ebenso wie das AD DS-Schema kann das AD LDS-Schema manuell oder durch Importieren von<br />
LDF-Dateien in das Schema erweitert werden. Wenn Sie eine AD LDS-Instanz durch Ausführen des<br />
<strong>Active</strong> <strong>Directory</strong>-Anwendungsmodus-Setup-Assistenten erstellen, können Sie beim Erstellen der<br />
Instanz das Standardschema durch Importieren von LDF-Dateien ändern. In Tabelle 16.3 werden die<br />
optionalen LDF-Dateien für die AD LDS beschrieben.
618 Kapitel 16: <strong>Active</strong> <strong>Directory</strong> Lightweight <strong>Directory</strong> Services<br />
Tabelle 16.3<br />
LDF-Dateien für die AD LDS<br />
LDF-Dateiname<br />
MS-adamschemaw2k3.ldf<br />
MS-adamschemaw2k8.ldf<br />
MS-AdamSyncMetadata.ldf<br />
MS-ADLDS-DisplaySpecifiers.ldf<br />
MS-User.ldf<br />
MS-InetOrgPerson.ldf<br />
MS-UserProxy.ldf<br />
MS-UserProxyFull.ldf<br />
MS-AZMan.ldf<br />
Beschreibung<br />
Dient zum Importieren des gesamten Windows Server 2003-Schemas.<br />
Dient zum Importieren des gesamten Windows Server 2008-Schemas.<br />
Dient zum Vorbereiten des AD LDS-Schemas für die Synchronisierung mit den AD<br />
DS mithilfe von ADAMSync.<br />
Dient zum Hinzufügen von Display Specifier-Einträgen zum AD LDS-Schema. Erforderlich,<br />
wenn Sie Snap-Ins wie <strong>Active</strong> <strong>Directory</strong>-Standorte und -Dienste zum<br />
Verwalten der AD LDS verwenden möchten.<br />
Dient zum Erstellen von Benutzerobjekten im AD LDS-Verzeichnis.<br />
Dient zum Erstellen von Benutzerobjekten im AD LDS-Verzeichnis der Klasse<br />
inetOrgPerson.<br />
Dient zum Erstellen von Proxyobjekten in den AD LDS für die Verwendung bei der<br />
Bindungsumleitung.<br />
Dient zum Erstellen der vollständigen Proxyobjekte in den AD LDS für die Verwendung<br />
bei der Bindungsumleitung. Bei Auswahl dieser Datei müssen Sie auch entweder<br />
MS-User.ldf oder MS-InetOrgPerson.ldf auswählen.<br />
Dient zum Vorbereiten der AD LDS für die Verwendung mit dem Autorisierungs-<br />
Manager von Windows.<br />
Hinweis<br />
Diese LDF-Dateien befinden sich im Verzeichnis %windir%\ADAM auf dem AD LDS-Server.<br />
Sie können diese LDF-Dateien der AD LDS-Instanz hinzufügen, wenn Sie die Instanz mit dem Setup-<br />
Assistenten für <strong>Active</strong> <strong>Directory</strong> Lightweight <strong>Directory</strong> Services erstellen, oder Sie können die<br />
Dateien nach dem Erstellen der Instanz mit dem Dienstprogramm Ldifde importieren. Führen Sie zum<br />
Importieren der Dateien mit dem Dienstprogramm Ldifde folgenden Befehl aus:<br />
Ldifde –i –u –f LDF-Dateiname –s Servername:port –b Benutzername Domäne Kennwort<br />
–j . –c "cn=Configuration,dc=x" #configurationNamingContext<br />
Dieser Befehl führt einen LDF-Dateiimport (-i) im Unicode-Format (-u) aus und erzeugt<br />
eine Protokolldatei (-j) im aktuellen Verzeichnis. Der Servername und die Portnummer geben die<br />
Instanz an, die Sie bearbeiten. Wenn Sie den Befehl in einem anderen Kontext als dem Verzeichnis<br />
%windir%\ADAM ausführen, müssen Sie den vollständigen Pfad zur LDF-Datei angeben. Die Benutzeranmeldeinformationen<br />
sind nicht erforderlich, wenn Sie den Befehl ausführen und mit einem<br />
Konto angemeldet sind, das die Berechtigung zum Ändern des Schemas hat. Standardmäßig verfügt<br />
der Administrator, der die AD LDS-Instanz installiert hat, über das einzige Konto mit dieser Berechtigungsstufe.<br />
Der letzte Teil des Befehls ersetzt alle Vorkommen von cn=Configuration,dc=x durch den tatsächlichen<br />
Konfigurationsnamenskontext der AD LDS-Instanz. Mit AD LDS können Sie die Konstanten<br />
#schemaNamingContext und #configurationNamingContext anstelle der definierten Namen der<br />
Schema- und Konfigurationsverzeichnispartition beim Austauschen von Zeichenfolgen in LDF-<br />
Dateien verwenden.<br />
Die Befehlszeilensyntax zum Importieren der LDF-Dateien ist am Anfang aller LDF-Dateien ent-<br />
Hinweis<br />
halten.
AD LDS – Architektur und Komponenten 619<br />
Anwendungsverzeichnispartitionen<br />
Anwendungsverzeichnispartitionen enthalten die von Ihren Anwendungen verwendeten Daten. Sie<br />
können eine Anwendungsverzeichnispartition während des Setups der AD LDS oder zu einem beliebigen<br />
Zeitpunkt nach der Installation erstellen. Nach Erstellen der Anwendungsverzeichnispartition<br />
enthalten die AD LDS in CN=Configuration,CN=Partitions die Referenzobjekte der Anwendungspartition.<br />
Die eigentlichen Anwendungspartitionen werden anhand der vollständig qualifizierten<br />
Namen bestimmt, die Sie beim Erstellen der Partition zugewiesen haben.<br />
Jede AD LDS-Verzeichnispartition hat einen eigenen eindeutigen definierten Namen. Im Gegensatz<br />
zu den AD DS, die für Verzeichnispartitionen auf oberster Ebene nur Namen im DNS-Format (DC=)<br />
zulassen, unterstützen die AD LDS für Verzeichnispartitionen auf oberster Ebene Namen sowohl im<br />
DNS- als auch X.500-Format. Tabelle 16.4 enthält die von AD LDS-Partitionen unterstützten Typen<br />
definierter Namen.<br />
Tabelle 16.4<br />
AD LDS-Verzeichnispartitionsnamen<br />
Definierter Name<br />
Beschreibung<br />
C= Land/Region<br />
CN=<br />
Allgemeiner Name (Common Name)<br />
DC=<br />
Domänenkomponente<br />
L= Speicherort<br />
O= Organisation<br />
OU=<br />
Organisationseinheit (Hinweis: Organisationseinheitscontainer können nur in den Containern<br />
OU, C, O und DC und nicht im Container L erstellt werden.)<br />
Hinweis Wenn Sie die AD LDS zum Erstellen und Testen einer Anwendung einsetzen, die in den AD DS<br />
bereitgestellt werden soll, verwenden Sie in Verzeichnispartitionsnamen nur DC=-Benennungskomponenten.<br />
Das ausschließliche Verwenden von DC=-Benennungskomponenten bewirkt, dass die Benennung des<br />
Verzeichnisses konsistent bleibt, wenn Sie die Anwendung von den AD LDS auf die AD DS migrieren.<br />
Sie können in einer einzelnen AD LDS-Instanz eine oder mehrere Anwendungsverzeichnispartitionen<br />
erstellen. Wenn Sie mehrere Anwendungsverzeichnispartitionen in einer Instanz erstellen, stellen<br />
Sie sicher, dass die Anwendungen, welche die Instanz nutzen, ein kompatibles Schema benötigen. Da<br />
jede Instanz nur ein Schema hat, verwenden alle Anwendungspartitionen dieses eine Schema.<br />
Wenngleich Sie die Daten in der Anwendungspartition mit Tools wie ADSI Edit oder Ldp.exe erstellen<br />
und bearbeiten können, erstellen Sie die Anwendungspartition normalerweise in der Anwendung<br />
selbst, in der Sie auch die Daten in einer Anwendungsverzeichnispartition verwalten. Während der<br />
Installation der Anwendung muss diese eine LDF-Datei zum Erstellen der Anwendungspartition und<br />
Konfigurieren der benötigten Einstellungen für die Partitionsobjekte bereitstellen. Die Anwendung<br />
kann anschließend Partitionsdaten lesen und schreiben.<br />
Das Objekt rootDSE in den AD LDS<br />
Am Stamm der AD LDS-Verzeichnisstruktur befindet sich das Objekt rootDSE, das zu keiner Verzeichnispartition<br />
gehört. Das Objekt rootDSE repräsentiert das obere Ende des logischen Namespace<br />
einer AD LDS-Instanz.
620 Kapitel 16: <strong>Active</strong> <strong>Directory</strong> Lightweight <strong>Directory</strong> Services<br />
Die Attribute von rootDSE enthalten die folgenden Informationen zur AD LDS-Instanz:<br />
• Unterstützte LDAP-Versionen<br />
• Namenskontexte (Verzeichnispartitionen) auf dem Server<br />
• Alternative URLs für andere Server, sollte dieser Server nicht verfügbar sein<br />
• Unterstützte Erweiterungen, LDAP-Steuerelemente und SASL-Mechanismen (Simple Authentication<br />
and Security Layer)<br />
• Konfigurationsnamenskontext<br />
• Die höchste vergebene USN (Update Sequence Number) und andere Replikationsinformationen<br />
Zum Anzeigen des Objekts rootDSE können Sie sich über ADSI Edit mit rootDSE verbinden. Das<br />
in Abbildung 16.1 gezeigte Dialogfeld Eigenschaften von RootDSE wird geöffnet.<br />
Abbildung 16.1<br />
Das Objekt rootDSE enthält Konfigurationseinstellungen für die AD LDS-Instanz.<br />
Auf der DVD Um alle Namenskontexte auf einem Server anzuzeigen, auf dem die AD LDS ausgeführt werden,<br />
verwenden Sie das Skript DisplayADLDSInstances.ps1 auf der Begleit-CD.<br />
AD LDS – Replikation<br />
Wie in den AD DS können Sie mehrere AD LDS-Server bereitstellen und die Replikation zwischen<br />
Instanzen konfigurieren, die auf verschiedenen Servern ausgeführt werden. Über die Replikation<br />
kopieren die AD LDS Änderungen von Verzeichnisdaten in einer Verzeichnispartition in einer AD<br />
LDS-Instanz in andere AD LDS-Instanzen, die Kopien derselben Verzeichnispartition enthalten. Auf<br />
diese Weise können Sie für Fehlertoleranz und einen Lastenausgleich für Verzeichnisdienste sorgen<br />
und Anwendungen an verschiedenen Speicherorten ermöglichen, dieselben Verzeichnisinformationen<br />
zu verwenden.
AD LDS – Architektur und Komponenten 621<br />
Bei der AD LDS-Replikation werden dieselben zugrunde liegenden Prozesse und Konzepte wie bei<br />
der AD DS-Replikation verwendet:<br />
• Multimasterreplikation Über die Multimasterreplikation können Sie Änderungen an Verzeichnisdaten<br />
in beliebigen AD LDS-Instanzen vornehmen. AD LDS repliziert diese Änderungen automatisch<br />
in andere Mitglieder des Konfigurationssatzes.<br />
• Behebung von Replikationskonflikten Wenn zwei Benutzer Änderungen an denselben Daten in<br />
Replikaten derselben Verzeichnispartition in zwei verschiedenen AD LDS-Instanzen vornehmen,<br />
versuchen beide AD LDS-Instanzen, die Änderungen zu replizieren, was zu einem Konflikt führt.<br />
Um diesen Konflikt zu beheben, verwenden Replikationspartner, die diese in Konflikt stehenden<br />
Änderungen empfangen, die Version und einen Zeitstempel für die Änderung. AD LDS-Instanzen<br />
übernehmen die Änderung mit der höheren Version und verwerfen die andere Änderung. Sind die<br />
Versionen identisch, übernehmen AD LDS-Instanzen die Änderung mit dem neueren Zeitstempel.<br />
• Standortbasierte Replikation Wie die AD DS nutzen die AD LDS Standorte zum Definieren<br />
der Replikationstopologie zum Replizieren von Verzeichnisaktualisierungen unter den AD LDS-<br />
Instanzen in einem Konfigurationssatz. Wenn Sie eine AD LDS-Instanz installieren, wird standardmäßig<br />
ein Standardstandort mit dem Namen Default-First-Site-Name und ein Standortconnector<br />
mit dem Namen DEFAULTIPSITELINK erstellt. Alle AD LDS-Replikate werden am<br />
Standardstandort abgelegt. Die AD LDS erhalten die Bandbreite zwischen Standorten, indem die<br />
Häufigkeit der Replikation minimiert wird und Sie die Verfügbarkeit von Standortverknüpfungen<br />
für die Replikation zeitlich planen können. Standardmäßig erfolgt die Replikation zwischen<br />
Standorten über die einzelnen Standortverknüpfungen alle 180 Minuten (3 Stunden). Durch das<br />
Erstellen weiterer Standorte können Sie den Replikationsdatenverkehr zwischen Unternehmensstandorten<br />
steuern, indem Sie einen Replikationszeitplan einrichten und die Häufigkeit der Replikation<br />
festlegen.<br />
• Erstellen einer Replikationstopologie Ebenso wie die AD DS nutzen AD LDS-Server die Konsistenzprüfung<br />
(Knowledge Consistency Checker, KCC) und die Funktion Standortübergreifende<br />
Topologie erstellen (Inter-Site Topology Generator, ISTG) zum Erstellen der Replikationstopologie.<br />
Die Konsistenzprüfung erstellt die effizienteste Replikationstopologie für die standortinterne<br />
Replikation mittels einer bidirektionalen Ringtopologie. Diese bidirektionale Ringtopologie versucht<br />
(zu Fehlertoleranzzwecken), mindestens zwei Verbindungen mit jeder AD LDS-Instanz<br />
und nicht mehr als drei Hops zwischen beliebigen zwei AD LDS-Instanzen (zur Verkürzung der<br />
Wartezeiten bei der Replikation) herzustellen. Die Funktion Standortübergreifende Topologie<br />
erstellen, die auf einem Domänencontroller an einem Standort ausgeführt wird, erstellt die Replikationstopologie<br />
zwischen Standorten.<br />
Hinweis Ein AD LDS-Konfigurationssatz verwaltet seine eigene Replikationstopologie, die von der ggf.<br />
ebenfalls vorhandenen AD DS-Replikationstopologie getrennt ist. Verzeichnispartitionen können nicht zwischen<br />
AD LDS-Instanzen und AD DS-Domänencontrollern repliziert werden.<br />
• Optimieren der standortinternen Replikation Die standortinterne Replikation wurde hinsichtlich<br />
Geschwindigkeit und nicht Bandbreite optimiert, da die Bandbreite innerhalb eines Standorts<br />
ohnehin sehr hoch sein sollte. Die standortinterne Replikation erfolgt automatisch basierend auf<br />
Benachrichtigungen zu Änderungen und beginnt, wenn eine Verzeichnisaktualisierung stattfindet.<br />
Die AD LDS-Quellinstanz wartet standardmäßig 15 Sekunden und sendet anschließend eine<br />
Aktualisierungsbenachrichtigung an ihren geografisch nächsten Replikationspartner. Wenn die<br />
AD LDS-Quellinstanz mehrere Replikationspartner hat, gehen nachfolgende Benachrichtigungen<br />
standardmäßig alle drei Sekunden an jeden Partner heraus.
622 Kapitel 16: <strong>Active</strong> <strong>Directory</strong> Lightweight <strong>Directory</strong> Services<br />
Wenn keine Verzeichnisaktualisierungen in einem bestimmten Zeitraum vorkommen, erfolgt die<br />
standortinterne Replikation gemäß einem geplanten Intervall weiter. Dieses geplante Intervall ist<br />
standardmäßig einmal pro Stunde.<br />
Weitere Informationen Detaillierte Informationen zur AD DS-Replikation finden Sie in Kapitel 4, „<strong>Active</strong><br />
<strong>Directory</strong>-Domänendienstreplikation“. Mit Ausnahme von Konfigurationssätzen und der Replikationssicherheit<br />
sind die Replikationskonzepte und -prozesse in den AD DS und AD LDS identisch.<br />
Konfigurationssätze<br />
Einer der Unterschiede zwischen der AD LDS- und AD DS-Replikation besteht beim Festlegen des<br />
Replikationsbereichs für eine bestimmte Partition. In den AD DS wird die Domänenpartition automatisch<br />
auf alle Domänencontroller in derselben Domäne repliziert, und die Konfigurations- und Schemapartitionen<br />
werden automatisch auf alle Domänencontroller in derselben Gesamtstruktur repliziert.<br />
In den AD LDS verfügen Sie wie bei benutzerdefinierten Anwendungsverzeichnispartitionen in den<br />
AD DS über mehr Flexibilität beim Konfigurieren des Replikationsbereichs.<br />
In den AD LDS basiert der Replikationsbereich auf der Beteiligung an einem Konfigurationssatz. Ein<br />
Konfigurationssatz ist eine Gruppe von AD LDS-Instanzen, die eine gemeinsame Schema- und Konfigurationspartition<br />
replizieren. Sie können auch die AD LDS-Instanzen in einem Konfigurationssatz<br />
so konfigurieren, dass eine oder mehrere Anwendungsverzeichnispartitionen repliziert werden. Wenn<br />
die AD LDS-Instanzen mehrere Anwendungspartitionen enthalten, müssen Sie dem Konfigurationssatz<br />
nicht alle Anwendungspartitionen hinzufügen. Sie können jedoch keine Replikation zwischen<br />
Anwendungsverzeichnispartitionen in verschiedenen Konfigurationssätzen konfigurieren.<br />
Konfigurationssatz 1 Konfigurationssatz 2<br />
Konfigurationspartition<br />
Konfigurationspartition<br />
Konfigurationspartition<br />
Konfigurationspartition<br />
Schemapartition<br />
Schemapartition<br />
Schemapartition<br />
Schemapartition<br />
Anw1Partition<br />
Anw4Partition<br />
Anw2Partition<br />
Anw2Partition<br />
Anw3Partition<br />
Anw3Partition<br />
InstanzA<br />
InstanzB<br />
InstanzC<br />
InstanzD<br />
ADLDS-SVR1 ADLDS-SVR2 ADLDS-SVR3<br />
Abbildung 16.2<br />
Mithilfe von Konfigurationssätzen wird der Bereich der AD LDS-Replikation festgelegt.
AD LDS – Architektur und Komponenten 623<br />
Da Sie mehrere AD LDS-Instanzen auf einem Server installieren können, kann ein Server an mehreren<br />
Konfigurationssätzen mit Replikationsverbindungen zu mehreren anderen Servern mit gemeinsam<br />
genutzten Konfigurationssätzen beteiligt sein. Abbildung 16.2 zeigt ein Beispiel der Funktionsweise<br />
von Konfigurationssätzen.<br />
Wenn Sie eine AD LDS-Instanz mit dem <strong>Active</strong> <strong>Directory</strong>-Anwendungsmodus-Setup-Assistent<br />
installieren, können Sie eine eindeutige Instanz oder ein Replikat einer vorhandenen Instanz installieren.<br />
Beim Installieren eines Replikats einer vorhandenen Instanz fügen Sie diese Instanz einem auf<br />
einem anderen Server definierten Konfigurationssatz hinzu. Sie können eine AD LDS-Instanz nur<br />
während der Installation der Instanz einem Konfigurationssatz hinzufügen. Nachdem eine AD LDS-<br />
Instanz erstellt wurde, kann Sie einem Konfigurationssatz weder hinzugefügt noch aus diesem entfernt<br />
werden.<br />
Hinweis Konfigurationssätze sind dahingehend rein konzeptuell, dass Sie einem Konfigurationssatz keinen<br />
Namen zuweisen müssen und keinen Konfigurationssatz erstellen können, um ihm später Instanzen<br />
hinzuzufügen. Zum Verwalten von Konfigurationssätzen müssen Sie die Instanzen verwalten, die den Konfigurationssatz<br />
bilden.<br />
AD LDS – Replikationssicherheit<br />
Ein weiterer Punkt, bei dem sich die AD LDS- von der AD DS-Replikation unterscheidet, ist die<br />
Absicherung der Replikationsverbindungen und des dazugehörigen Datenverkehrs. Da sämtliche AD<br />
DS-Domänencontroller Mitglieder derselben Gesamtstruktur sind, können Sie das Kerberos-Sicherheitsprotokoll<br />
zum Authentifizieren und Absichern des Replikationsdatenverkehrs nutzen. Sie können<br />
die Serverrolle AD LDS auf Computern bereitstellen, die Mitglied derselben Domäne oder<br />
Gesamtstruktur sind, die sich in verschiedenen Gesamtstrukturen befinden oder die Mitglied keiner<br />
Domäne sind.<br />
Dies bedeutet, dass die AD LDS-Server ggf. in allen Szenarien nicht dieselben Authentifizierungsund<br />
Sicherheitsmechanismen nutzen können. Um die Sicherheit der Replikation zu gewährleisten,<br />
authentifizieren die AD LDS Replikationspartner vor der Replikation, wobei die Replikationsauthentifizierung<br />
stets über einen sicheren Kanal erfolgt. Nach der Authentifizierung der Replikationspartner<br />
wird der gesamte Replikationsdatenverkehr zwischen den beiden Partnern verschlüsselt. AD<br />
LDS-Replikationspartner authentifizieren sich gegenseitig über das Dienstkonto, das für die jeweilige<br />
AD LDS-Instanz angegeben ist. Die Methode, die zur Replikationsauthentifizierung innerhalb eines<br />
Konfigurationssatzes verwendet wird, hängt vom Wert des Attributs msDS-ReplAuthenticationMode<br />
für die Konfigurationsverzeichnispartition ab.<br />
Tabelle 16.5 enthält die verfügbaren Optionen für das Konfigurieren der Sicherheit für die AD LDS-<br />
Replikation und des entsprechenden Attributwerts (msDS-ReplAuthenticationMode) des Authentifizierungsmodus<br />
für die jeweilige Sicherheitsstufe. Die standardmäßige Replikationssicherheitsstufe für<br />
eine neue, eindeutige AD LDS-Instanz ist 1, es sei denn, als AD LDS-Dienstkonto ist ein lokales<br />
Benutzerkonto angegeben. In diesem Fall ist die Replikationssicherheitsstufe 0.
624 Kapitel 16: <strong>Active</strong> <strong>Directory</strong> Lightweight <strong>Directory</strong> Services<br />
Tabelle 16.5<br />
AD LDS – Replikationssicherheitsstufen<br />
Wert msDS-Repl<br />
AuthenticationMode<br />
AD LDS – Sicherheit<br />
Authentifizierungsmethode<br />
0 Ausgehandelter<br />
Durchsatz<br />
Beschreibung<br />
Alle ADAM-Instanzen im Konfigurationssatz verwenden als ADAM-<br />
Dienstkonto einen identischen Kontonamen mit identischem Kennwort.<br />
Der Konfigurationssatz kann Computer umfassen, die einer oder mehreren<br />
Arbeitsgruppen bzw. mehreren Domänen oder Gesamtstrukturen<br />
ohne Vertrauensstellungen beigetreten sind.<br />
1 Ausgehandelt Zuerst wird die Kerberos-Authentifizierung (mithilfe von Dienstprinzipalnamen,<br />
SPNs) versucht. Schlägt Kerberos fehl, wird die NTLM-Authentifizierung<br />
versucht. Schlägt NTLM fehl, werden die ADAM-Instanzen<br />
nicht repliziert.<br />
2 Gegenseitige Authentifizierung<br />
mit Kerberos<br />
Die Kerberos-Authentifizierung mithilfe von Dienstprinzipalnamen (Service<br />
Principal Names, SPNs) ist erforderlich. Schlägt die Kerberos-Authentifizierung<br />
fehl, werden die ADAM-Instanzen nicht repliziert. Der<br />
Konfigurationssatz muss vollständig in einer <strong>Active</strong> <strong>Directory</strong>-Domäne,<br />
-Gesamtstruktur oder -Gesamtstrukturvertrauensstellung enthalten<br />
sein.<br />
Eine der Anforderung an ein Anwendungsverzeichnis ist das Gewährleisten von Sicherheit. Anwendungen<br />
schreiben ggf. vertrauliche Informationen, z.B. Kundendaten, in das Verzeichnis, oder Unternehmen<br />
möchten Daten im Verzeichnis beschränken, die die Benutzer anzeigen oder bearbeiten können.<br />
Da die AD LDS auf demselben Code wie die AD DS basieren, gelten viele der Konzepte für<br />
Authentifizierung, Autorisierung, Benutzer, Gruppen, Zugriffssteuerungslisten und Sicherheitstoken<br />
für die AD DS ebenso für die AD LDS.<br />
Sicherheitsprinzipale in den AD LDS<br />
AD LDS-Sicherheitsprinzipale sind alle Objekte mit einer eindeutigen SID, denen Berechtigungen für<br />
Verzeichnisobjekte zugewiesen werden können. In den AD LDS sind folgende Sicherheitsprinzipale<br />
möglich:<br />
• AD LDS-Sicherheitsprinzipale, die in einer AD LDS-Verzeichnispartition erstellt werden. Ein AD<br />
LDS-Sicherheitsprinzipal ist ein Benutzer oder anderes Objekt mit möglichen Bindungen, das in<br />
den AD LDS erstellt wird. Das AD LDS-Schema enthält standardmäßig keine Benutzerobjektklassen,<br />
weshalb es keine AD LDS-Sicherheitsprinzipale enthalten kann. Wenn Sie die Datei msuser.ldf<br />
oder ms-inetorgperson.ldf dem Schema hinzufügen, können Sie andere Benutzer- oder<br />
inetOrgPerson-Objekte erstellen. Wenn Sie diese Objekte hinzufügen, wird ihnen automatisch<br />
eine SID zugewiesen.<br />
Hinweis In einer AD LDS-Instanz oder -Anwendungspartition werden standardmäßig keine AD LDS-<br />
Benutzerkonten erstellt. AD LDS-Benutzerkonten können nur in Anwendungsverzeichnispartitionen und<br />
nicht in Konfigurations- oder Schemapartitionen erstellt werden. Darüber hinaus können AD LDS-Benutzern<br />
nur Berechtigungen für Objekte in ihrer eigenen Verzeichnispartition zugewiesen werden. Diese<br />
Benutzer können ferner nur Mitglied der Gruppe in der Verzeichnispartition sein, in der ihr Benutzerkonto<br />
vorhanden ist.
AD LDS – Architektur und Komponenten 625<br />
• Auf einem lokalen Computer definierte Windows-Benutzer. Benutzerkonten auf dem lokalen<br />
Computer können Berechtigungen für AD LDS-Objekte zugewiesen werden und können AD<br />
LDS-Gruppen hinzugefügt werden.<br />
• In einer AD DS-Domäne definierte Windows-Benutzer. Benutzerkonten in der AD DS-Domäne,<br />
zu welcher der AD LDS-Server gehört, oder anderen vertrauenswürdigen Domänen können auch<br />
Berechtigungen für AD LDS-Objekte zugewiesen werden und können AD LDS-Gruppen hinzugefügt<br />
werden.<br />
Hinweis Das Windows-Konto des Administrators, der die AD LDS-Instanz installiert hat, wird der Gruppe<br />
Administratoren in der Partition Konfiguration hinzugefügt. Wenn Sie die AD LDS für die Verwendung eines<br />
Windows-Kontos als Dienstkonto einrichten, wird dieses Konto der Gruppe Instanzen im Container Konfiguration<br />
hinzugefügt.<br />
Windows-Benutzerkonten können Gruppen in mehreren Verzeichnispartitionen hinzugefügt werden,<br />
auch der Konfigurationsverzeichnispartition. Darüber hinaus können Windows-Benutzern Berechtigungen<br />
für Objekte in mehreren Partitionen zugewiesen werden.<br />
Hinweis Um einen AD LDS-Benutzer oder ein Windows-Benutzerkonto einer AD LDS-Gruppe hinzuzufügen,<br />
müssen Sie das Benutzerkonto dem Attribut multivalue member des entsprechenden Gruppenobjekts<br />
hinzufügen. Führen Sie diesen Schritt mit ADSI Edit aus. Weitere Informationen finden Sie im Artikel<br />
„Schrittweise Anleitung zu den ersten Schritten mit <strong>Active</strong> <strong>Directory</strong> Lightweight <strong>Directory</strong> Services“ unter<br />
http://technet2.microsoft.com/windowsserver2008/de/library/682674f4-a652-4772-8567-<br />
2f27417f4ec81031.mspx?mfr=true.<br />
Wie bei AD LDS-Benutzerkonten ist der Geltungsbereich einer AD LDS-Gruppe auf die Partition<br />
beschränkt, in der die Gruppe erstellt wurde. Die einzige Ausnahme dieser Regel ist die Gruppe<br />
Administratoren in der Konfigurationsverzeichnispartition, deren Mitglieder Vollzugriff auf alle<br />
Objekte in allen Partitionen haben.<br />
Standardgruppen in den AD LDS<br />
Wie die AD DS arbeiten die AD LDS mit Benutzerkonten und Gruppen, um einen Zugriff auf die<br />
Informationen im Verzeichnisspeicher bereitzustellen. Wenn Sie eine AD LDS-Instanz installieren<br />
und eine Anwendungspartition erstellen, wird standardmäßig in jeder Verzeichnispartition ein Satz<br />
mit Standardgruppen erstellt. Darüber hinaus können Sie benutzerdefinierte Gruppen erstellen oder<br />
AD DS-, lokale oder Gruppenkonten verwenden, um Berechtigungen für AD LDS-Daten zuzuweisen.<br />
Tabelle 16.6 enthält die in einer AD LDS-Instanz erstellten Standardgruppen.<br />
Tabelle 16.6<br />
AD LDS-Standardgruppen<br />
Partition Gruppe Zweck Standardmitglieder<br />
Konfiguration Administratoren Diese Gruppe hat Vollzugriffsberechtigungen<br />
für die Instanz sowie<br />
alle Verzeichnispartitionen in der<br />
Instanz.<br />
Konfiguration Leser Diese Gruppe hat Lesezugriff auf die<br />
Konfigurationspartition (einschließlich<br />
Schema).<br />
Der Administrator, der bei der Erstellung<br />
der Instanz zugewiesen wird. Dieses Konto<br />
muss ein Windows-Sicherheitsprinzipal<br />
(mit entweder einem AD DS- oder<br />
lokalem Konto) sein.<br />
Keine
626 Kapitel 16: <strong>Active</strong> <strong>Directory</strong> Lightweight <strong>Directory</strong> Services<br />
Tabelle 16.6<br />
AD LDS-Standardgruppen (Fortsetzung)<br />
Partition Gruppe Zweck Standardmitglieder<br />
Konfiguration Benutzer Diese Gruppe ist eine berechnete<br />
Gruppe, die zum Zuweisen von<br />
Berechtigungen zu allen Benutzerkonten<br />
dient.<br />
Alle AD LDS-Benutzer, die in einer beliebigen<br />
Anwendungsverzeichnispartition<br />
definiert sind.<br />
Konfiguration Instanzen Dient zur Replikation. Das AD LDS-Serverkonto und das AD<br />
LDS-Dienstkonto. Der Gruppe Instanzen<br />
dürfen keine Benutzer hinzugefügt werden.<br />
Anwendung Administratoren Diese Gruppe verwaltet die Anwendungspartition,<br />
in der sich die<br />
Gruppe befindet.<br />
Anwendung Leser Diese Gruppe hat Lesezugriff auf die<br />
Anwendungspartition, in der sich die<br />
Gruppe befindet.<br />
Mitglieder der Gruppe Administratoren in<br />
der Konfigurationspartition.<br />
Anwendung Benutzer Dies ist eine berechnete Gruppe. Alle AD LDS-Benutzer in der entsprechenden<br />
Anwendungsverzeichnispartition.<br />
Mit ADSI Edit können Sie die AD LDS-Gruppen im Container CN=Roles, CN=Configuration anzeigen.<br />
In Anwendungspartitionen können Sie zusätzliche Gruppen erstellen. In der Konfigurationspartition<br />
können Sie keine zusätzliche Gruppen erstellen.<br />
Zuweisen von Berechtigungen in den AD LDS<br />
Wie die AD DS arbeiten die AD LDS mit Sicherheitsprinzipalen und Zugriffssteuerungslisten, um<br />
den Zugriff auf Objekte in den AD LDS zu steuern. Wenn Sie die AD LDS installieren und Instanzen<br />
sowie Partitionen konfigurieren, wird der Partition ein Standardsatz mit Berechtigungen zugewiesen.<br />
Tabelle 16.7 enthält die Standardberechtigungen, die in der gesamten Partition vererbt werden.<br />
Keine<br />
Tabelle 16.7<br />
Partition<br />
Konfiguration<br />
Schema<br />
Anwendung<br />
Standardberechtigungen für AD LDS-Partitionen<br />
Standardberechtigungen<br />
Administratoren: Vollzugriff<br />
Leser: Lesen<br />
Instanzen: Fünf replikationsbezogene Zugriffssteuerungseinträge (Access Control Entries, ACEs)<br />
Administratoren (in der Konfigurationspartition): Vollzugriff<br />
Leser: Fünf replikationsbezogene Zugriffssteuerungseinträge (Access Control Entries, ACEs)<br />
Administratoren: Vollzugriff<br />
Leser: Lesen<br />
Instanzen: Fünf replikationsbezogene Zugriffssteuerungseinträge (Access Control Entries, ACEs)<br />
Um die für einen AD LDS-Container konfigurierte Zugriffsteuerungsliste anzuzeigen, können Sie die<br />
Befehle Dsacls.exe oder Ldp.exe aufrufen. Um Berechtigungen mithilfe des Befehls Dsacls.exe anzuzeigen,<br />
geben Sie den folgenden Befehl ein:<br />
Dsacls \\Servername:Portnummer\Partitionsname /a
AD LDS – Architektur und Komponenten 627<br />
Um beispielsweise die Zugriffsteuerungsliste für die Partition Anw2 für eine Instanz über Port 4389<br />
auf dem Server SEA-SVR1 anzuzeigen, geben Sie den folgenden Befehl ein:<br />
Dsacls \\sea-svr1:4389\CN=Anw2,dc=Adatum,dc=com /a<br />
Verbinden Sie sich zum Verwenden von Ldp.exe mit der AD LDS-Instanz, und stellen Sie eine Bindung<br />
mit einem Konto her, das über Berechtigungen zum Anzeigen der Zugriffsteuerungsliste verfügt.<br />
Klicken Sie mit der rechten Maustaste auf den anzuzeigenden Container, zeigen Sie auf Erweitert,<br />
und klicken Sie auf Sicherheitsbeschreibung. Abbildung 16.3 zeigt die Standardberechtigungen<br />
für eine Anwendungspartition.<br />
Weitere Informationen Einzelheiten zur Konfiguration von Berechtigungen in den AD LDS finden Sie weiter<br />
unten in diesem Kapitel im Abschnitt „Konfigurieren der Zugriffsteuerung“.<br />
Abbildung 16.3<br />
Ldp.exe kann zum Anzeigen von Berechtigungen in den AD LDS verwendet werden.<br />
In den AD LDS wird wie in den AD DS bei der Authentifizierung eines Benutzers von den AD LDS<br />
(oder der lokalen Sicherheitsautorität [Local Security Authority, LSA]) abhängig vom Typ des Sicherheitsprinzipals)<br />
ein Sicherheitszugriffstoken für den Benutzer erstellt. Ein Zugriffstoken enthält den<br />
Benutzernamen, die Gruppen, zu denen der Benutzer gehört, eine SID des Benutzers sowie alle SIDs<br />
für die Gruppen, denen der Benutzer angehört. Die Informationen im Zugriffstoken dienen zum<br />
Bestimmen des Zugriffsgrades des Benutzers auf Objekte, wenn der Benutzer versucht, auf diese<br />
zuzugreifen.
628 Kapitel 16: <strong>Active</strong> <strong>Directory</strong> Lightweight <strong>Directory</strong> Services<br />
Die SIDs im Zugriffstoken werden mit der Liste der SIDs verglichen, welche die Zugriffsteuerungslisten<br />
für das Objekt bilden, um sicherzustellen, dass der Benutzer über ausreichende Berechtigungen<br />
für den Zugriff auf das Objekt verfügt.<br />
Weitere Informationen Detaillierte Informationen zur Erstellung des Zugriffstoken finden Sie in Kapitel 8,<br />
„<strong>Active</strong> <strong>Directory</strong>-Domänendienstsicherheit“.<br />
Authentifizierung in den AD LDS<br />
Wie die AD DS implementieren die AD LDS eine Authentifizierung, um die Identität von Benutzern<br />
sicherzustellen. Wenn ein Benutzer versucht, sich bei den AD LDS zu authentifizieren, kann der<br />
Benutzer abhängig vom Typ von den AD LDS, der LSA oder von <strong>Active</strong> <strong>Directory</strong> authentifiziert<br />
werden. Tabelle 16.8 enthält die von den AD LDS unterstützten Authentifizierungstypen, die für jede<br />
Authentifizierungsmethode geeigneten Benutzertypen und die Authentifizierungsautorität, welche die<br />
Authentifizierung abwickelt.<br />
Tabelle 16.8<br />
Authentifizierungsmethoden in den AD LDS<br />
Authentifizierungstyp Benutzertyp Beschreibung<br />
Anonym Anonym Der Benutzer muss kein Kennwort angeben, weshalb er nicht authentifiziert<br />
wird. Das einzige Objekt in den AD LDS, auf das ein anonymer<br />
Benutzer standardmäßig Zugriff hat, istrootDSE.<br />
Einfache LDAP-<br />
Bindung<br />
SASL-Bindung (über<br />
Kerberos, NTLM oder<br />
Aushandeln)<br />
Bindungsumleitung<br />
(einfache LDAP-Bindung<br />
an die AD LDS,<br />
anschließende SASL-<br />
Bindung an die AD<br />
DS)<br />
AD LDS–Sicherheitsprinzipal<br />
Lokaler Windows- oder AD<br />
DS-Sicherheitsprinzipal<br />
AD LDS-Proxyobjekt<br />
AD LDS. AD LDS-Konten haben nur Zugriff auf Daten in derselben<br />
Anwendungspartition, in der sich das jeweilige Benutzerkonto<br />
befindet.<br />
LSA auf dem lokalen Computer oder AD DS. Windows-Konten können<br />
so konfiguriert werden, dass sie Zugriff auf Daten in allen Partitionen<br />
der AD LDS-Instanzen haben.<br />
LSA und AD DS. AD LDS-Proxyobjektkonten haben nur Zugriff auf<br />
Daten in derselben Anwendungspartition, in der sich das Proxyobjekt<br />
befindet.<br />
Einfache LDAP-Bildung für AD LDS-Sicherheitsprinzipale Die einfache LDAP-Bindung erfolgt, wenn ein<br />
Benutzer als AD LDS-Sicherheitsprinzipal eine Bindung zu den AD LDS herstellt. Diese Authentifizierungsmethode<br />
verwendet eine einfache LDAP-Bildung. Bei der Standardauthentifizierung sind<br />
keine SASL-Optionen verfügbar. Diese einfache LDAP-Bildung verwendet den definierten Namen<br />
oder Benutzerprinzipalnamen (User Principal Name, UPN) des Sicherheitsprinzipals. Bei einer einfachen<br />
LDAP-Bindung wird das Benutzerkennwort unverschlüsselt gesendet. Um den Authentifizierungsdatenverkehr<br />
zu schützen, müssen Sie SSL zwischen den Client und den AD LDS-Server schalten.<br />
Um SSL zu aktivieren, müssen Zertifikate auf dem Computer installiert werden, auf dem die AD<br />
LDS ausgeführt werden. Darüber hinaus müssen die Clients, die sich mit den AD LDS verbinden, der<br />
Zertifizierungsstelle vertrauen, die dem AD LDS-Server das Zertifikat ausstellt.
AD LDS – Architektur und Komponenten 629<br />
Sicherheitswarnung Sie können die SSL-Anforderung bei der Standardauthentifizierung über die Option<br />
ds-behavior des Befehlszeilenprogramms Dsmgmt.exe deaktivieren. Dies wird für Produktionsumgebungen<br />
jedoch nicht empfohlen, da dadurch alle Kennwörter unverschlüsselt gesendet werden.<br />
Bei Verwenden der Standardauthentifizierung unterstützen und erzwingen die AD LDS die Kennwortrichtlinien-<br />
und Kontosperreinstellungen von Windows Server 2008. Wenn für den Computer beispielsweise<br />
in der lokalen Sicherheitsrichtlinie eine Kennwortrichtlinie konfiguriert ist, oder über eine<br />
Domänensicherheitsrichtlinie werden Kennworteinstellungen wie minimales und maximales Kennwortalter,<br />
Komplexität und Kennwortchronik erzwungen, wenn Benutzer ihre Kennwörter ändern.<br />
Hinweis Sie können die Erzwingung von Kennwortrichtlinieneinstellungen in den AD LDS deaktivieren,<br />
indem Sie ADAMDisablePasswordPolicies, einen Wert des Attributs msDS-Other-Settings on CN=<strong>Directory</strong><br />
Service,CN=Windows NT,CN=Services,CN=Configuration,CN=GUID auf 1 festlegen.<br />
SASL-Bindung für Windows-Sicherheitsprinzipale Die integrierte Authentifizierung erfolgt, wenn ein<br />
Windows-Sicherheitsprinzipal versucht, eine Bindung zu einer AD LDS-Instanz herzustellen. Die AD<br />
LDS authentifizieren Windows-Benutzer nicht selbst. Stattdessen wird der Windows-Sicherheitsprozess<br />
zum Authentifizieren des Benutzers verwendet. Die integrierte Authentifizierung arbeitet mit<br />
SASL-Bindungen und unterstützt die Kerberos-, NTLM- und ausgehandelte Authentifizierung (Standardeinstellung)<br />
sowie die Verwendung des Domänen-\Benutzernamens, des Benutzerprinzipalnamens<br />
oder definierten Namens als Anmeldeinformationen für die Authentifizierung.<br />
Wenn die AD LDS eine SASL-Bindungsanforderung empfangen, wird die Anforderung an <strong>Active</strong><br />
<strong>Directory</strong> oder die LSA weitergeleitet. Wird die Bindungsanforderung erfolgreich authentifiziert,<br />
wird dem Benutzerkonto ein Sicherheitstoken zugewiesen. Die AD LDS verwenden dieses Token im<br />
internen Kontext, fügen die SIDs der AD LDS-Gruppen hinzu, zu denen der Benutzer gehört, und<br />
führen anschließend eine transitive Gruppenerweiterung in allen Anwendungspartitionen aus. Dies<br />
bedeutet, dass die AD LDS die Gruppenmitgliedschaften für den Windows-Benutzer bestimmen, die<br />
sich daraus ergeben, dass der Benutzer Mitglied einer Gruppe ist, die selbst zu einer anderen Gruppe<br />
gehört. Der Zugriff auf AD LDS-Objekte wird basierend auf dem Sicherheitstoken gewährt oder verweigert.<br />
Bindungsumleitung für AD LDS-Proxyobjekte Eine AD LDS-Bindungsumleitung erfolgt, wenn über ein<br />
besonderes, Proxyobjekt genanntes Objekt versucht wird, eine Bindung zu den AD LDS herzustellen.<br />
Ein Proxyobjekt ist ein Objekt in den AD LDS, das einen Sicherheitsprinzipal in <strong>Active</strong> <strong>Directory</strong><br />
abbildet. Jedes Proxyobjekt in den AD LDS enthält die SID eines Benutzers in <strong>Active</strong> <strong>Directory</strong>.<br />
Wenn ein Benutzer versucht, eine Bindung zu einem Proxyobjekt herzustellen, rufen die AD LDS die<br />
im Proxyobjekt gespeicherte SID sowie das zum Bindungszeitpunkt angegebene Kennwort ab und<br />
legen <strong>Active</strong> <strong>Directory</strong> die SID und das Kennwort zur Authentifizierung vor.<br />
Da die einleitende Bindungsanforderung eine einfache LDAP-Bindungsanforderung ist, wird das<br />
Kennwort den AD LDS unverschlüsselt vorgelegt. Um diese Authentifizierung abzusichern, fordern<br />
die AD LDS die Verwendung von SSL an. Da das Kennwort, das den AD LDS während der AD<br />
LDS-Bindungsumleitung vorgelegt wird, unverschlüsselt ist, darf die SSL-Anforderung bei Verwenden<br />
der Bindungsumleitung nicht aufgehoben werden.<br />
Die AD LDS-Bindungsumleitung wird verwendet, wenn eine Anwendung eine einfache LDAP-Bindung<br />
zu den AD LDS herstellen kann, die Anwendung jedoch weiterhin den Benutzer mit einem<br />
Sicherheitsprinzipal in <strong>Active</strong> <strong>Directory</strong> verknüpfen muss.
630 Kapitel 16: <strong>Active</strong> <strong>Directory</strong> Lightweight <strong>Directory</strong> Services<br />
Proxyobjekte (und Proxyobjektklassen) sind in den AD LDS nicht standardmäßig vorhanden. Während<br />
der AD LDS-Installation können Sie allerdings eine Proxyobjektklasse in das AD LDS-Schema<br />
importieren. Aus jeder Objektklasse, die die Erweiterungsklasse msDS-bindProxy enthält, kann ein<br />
Proxyobjekt erstellt werden. Die Klasse msds-BindProxy weist ein einzelnes Pflichtattribut auf<br />
(ObjectSid), das die SID des zugeordneten lokalen oder AD DS-Sicherheitsprinzipals enthält. Sie<br />
können den Wert von ObjectSid nur zum Zeitpunkt der Objekterstellung festlegen. Nach der Erstellung<br />
eines Proxyobjekts kann der Wert von dessen Attribut ObjectSid nicht geändert werden. Sie können<br />
den Wert von ObjectSid eines Proxyojekts auf die SID eines beliebigen lokalen Windows-Benutzers<br />
oder eines beliebigen Benutzers festlegen, der Mitglied einer Domäne oder Gesamtstruktur ist,<br />
der von dem Computer vertraut wird, auf dem die AD LDS ausgeführt werden.<br />
Weitere Informationen Detaillierte Anweisungen zum Konfigurieren von Benutzerkonten und Authentifizierungseinstellungen<br />
finden Sie in „Schritt 7: Verwalten der Authentifizierung (Übungen)“ unter „Schrittweise<br />
Anleitung zu den ersten Schritten mit <strong>Active</strong> <strong>Directory</strong> Lightweight <strong>Directory</strong> Services“ unter<br />
http://technet2.microsoft.com/windowsserver2008/de/library/682674f4-a652-4772-8567-<br />
2f27417f4ec81031.mspx?mfr=true.<br />
Implementieren der AD LDS<br />
Die AD LDS werden unter Windows Server 2008 als Serverrolle implementiert. Die Serverrolle kann<br />
über den Server-Manager hinzugefügt und installiert werden. Um die Serverrolle auf einem Computer<br />
mit Windows Server 2008 zu installieren, auf dem Server Core ausgeführt wird, führen Sie den<br />
Befehl start /w ocsetup <strong>Directory</strong>Services-ADAM-ServerCore aus. Während der Installation der Rolle<br />
müssen Sie außer der Auswahl der zu installierenden Serverrolle keine weiteren Installationsentscheidungen<br />
treffen. Um die AD LDS installieren zu können, muss Ihr Benutzerkonto der lokalen Gruppe<br />
Administratoren angehören.<br />
Konfigurieren von Instanzen und Anwendungspartitionen<br />
Nach der Installation der Serverrolle AD LDS erstellen Sie mit dem Setup-Assistenten für <strong>Active</strong><br />
<strong>Directory</strong> Lightweight <strong>Directory</strong> Services AD LDS-Dienstinstanzen. Auf demselben Computer können<br />
mehrere Instanzen der AD LDS gleichzeitig ausgeführt werden. Jede Instanz des AD LDS-Verzeichnisdienstes<br />
hat einen eigenen Verzeichnisdatenspeicher, einen eindeutigen Dienstnamen und eine<br />
eindeutige Dienstbeschreibung, die bei der Installation zugewiesen wird. Wenn Sie den Assistenten<br />
ausführen, können Sie auch eine Anwendungsverzeichnispartition anlegen.<br />
Führen Sie zum Erstellen einer neuen AD LDS-Instanz im Setup-Assistenten für <strong>Active</strong> <strong>Directory</strong><br />
Lightweight <strong>Directory</strong> Services die folgenden Schritte aus:<br />
1. Starten Sie den Setup-Assistenten für <strong>Active</strong> <strong>Directory</strong> Lightweight <strong>Directory</strong> Services. Sie können<br />
den Assistenten im Menü Verwaltung oder im Server-Manager starten.<br />
2. Klicken Sie auf dem Begrüßungsbildschirm auf Weiter.<br />
3. Auf der Seite Setupoptionen können Sie eine neue Instanz oder ein Replikat einer vorhandenen<br />
Instanz erstellen (siehe Abbildung 16.4). Klicken Sie auf Eine eindeutige Instanz installieren und<br />
anschließend auf Weiter.
Implementieren der AD LDS 631<br />
Abbildung 16.4<br />
Erstellen einer AD LDS-Instanz<br />
4. Geben Sie auf der Seite Instanzname einen Namen für zu installierende AD LDS-Instanz ein. Der<br />
gewählte Name muss die folgenden Anforderungen erfüllen:<br />
Der Name muss sich von dem anderer AD LDS-Instanzen unterscheiden, die auf demselben<br />
Computer ausgeführt werden<br />
Der Name darf maximal 44 Zeichen haben.<br />
Der Name darf nur Zeichen aus den Bereichen a bis z, A bis Z bzw. 0 bis 9 enthalten.<br />
Der Name ntds darf nicht gewählt werden.<br />
5. Geben Sie auf der Seite Ports die Kommunikationsports an, welche die AD LDS-Instanz für die<br />
Kommunikation verwendet. Die AD LDS können über LDAP und SSL (Secure Sockets Layer)<br />
kommunizieren.<br />
Hinweis Wenn Sie die AD LDS auf einem Computer installieren, auf dem einer der Standardports<br />
belegt sind, findet der Setup-Assistent für <strong>Active</strong> <strong>Directory</strong> Lightweight <strong>Directory</strong> Services automatisch<br />
den ersten verfügbaren Port (beginnend bei 50000). Wenn Sie die AD LDS auf einem AD DS-Domänencontroller<br />
installieren, können Sie die Ports 389 und 636 bzw. auf globalen Katalogservern die<br />
Ports 3268 und 3269 nicht verwenden, da diese Ports für AD DS-Domänencontroller und globale Katalogsuchen<br />
verwendet werden.<br />
6. Auf der Seite Anwendungsverzeichnispartition können Sie während der AD LDS-Installation eine<br />
Anwendungsverzeichnispartition erstellen (siehe Abbildung 16.5). Wenn Sie zu diesem Zeitpunkt<br />
keine Anwendungsverzeichnispartition installieren, müssen Sie diesen Schritt nach der Installation<br />
manuell ausführen. Beim Erstellen der Anwendungsverzeichnispartition müssen Sie einen<br />
vollständig qualifizierten Partitionsnamen angeben.
632 Kapitel 16: <strong>Active</strong> <strong>Directory</strong> Lightweight <strong>Directory</strong> Services<br />
Abbildung 16.5<br />
anlegen.<br />
Beim Erstellen einer AD LDS-Instanz können Sie eine Anwendungsverzeichnispartition<br />
7. Auf der Seite Speicherort können Sie die Installationsverzeichnisse für die AD LDS-Daten- und<br />
Wiederherstellungsdateien (Protokolldateien) anzeigen und ändern. AD LDS-Daten- und Wiederherstellungsdateien<br />
werden standardmäßig in %ProgramFiles%\Microsoft ADAM\Instanzname\<br />
data installiert, wobei Instanzname der AD LDS-Instanzname ist, den Sie auf der Seite Instanzname<br />
angegeben haben.<br />
8. Wählen Sie auf der Seite Dienstkontoauswahl ein Konto aus, das als AD LDS-Dienstkonto verwendet<br />
werden soll. Das ausgewählte Konto bestimmt den Sicherheitskontext, in dem die AD<br />
LDS-Instanz ausgeführt wird. Die Standardeinstellungen im Setup-Assistenten für <strong>Active</strong> <strong>Directory</strong><br />
Lightweight <strong>Directory</strong> Services ist das Konto Netzwerkdienst.<br />
Hinweis Wenn Sie die AD LDS auf einem Computer installieren, der zu einer Windows Server 2000-<br />
Domäne oder höher gehört, können Sie das Konto Netzwerkdienst auch verwenden, wenn die Implementierung<br />
der Replikation geplant ist. Wenn Sie die AD LDS auf einem Computer bereitstellen, der Mitglied<br />
einer Arbeitsgruppe ist, oder die Replikation zwischen AD LDS-Computern in verschiedenen nicht<br />
vertrauenswürdigen Domäne ermöglichen möchten, muss auf allen Computern ein mit dem AD LDS-<br />
Dienstkonto identisches Benutzerkonto verwendet werden.<br />
9. Wählen Sie auf der Seite AD LDS-Administratoren den Standardadministrator der AD LDS-<br />
Instanz (Benutzer oder Gruppe) aus. Der Benutzer oder die Gruppe, den/die Sie auswählen, verfügt<br />
über Vollzugriffsrechte für die AD LDS-Instanz. Standardmäßig wählt der Setup-Assistent<br />
für <strong>Active</strong> <strong>Directory</strong> Lightweight <strong>Directory</strong> Services den aktuell angemeldeten Benutzer aus. Sie<br />
können diese Auswahl in ein beliebiges lokales oder Domänenkonto bzw. eine beliebige Gruppe<br />
in Ihrem Netzwerk ändern.<br />
10. Auf der Seite Importieren von LDIF-Dateien können Sie LDF-Schemadateien in die AD LDS-<br />
Instanz importieren (siehe Abbildung 16.6).
Implementieren der AD LDS 633<br />
Abbildung 16.6<br />
Durch Hinzufügen von LDF-Dateien wird das AD LDS-Schema geändert<br />
11. Prüfen Sie auf der Seite Installationsbereit die gewählten Installationsoptionen. Nach Klicken auf<br />
Weiter kopiert der Setup-Assistent für <strong>Active</strong> <strong>Directory</strong> Lightweight <strong>Directory</strong> Services Dateien<br />
und richtet die AD LDS auf Ihrem Computer ein.<br />
Hinweis Wenn im Setup-Assistenten für <strong>Active</strong> <strong>Directory</strong> Lightweight <strong>Directory</strong> Services vor der Seite mit<br />
der Zusammenfassung ein Fehler auftritt, können Sie die angezeigte Fehlermeldung überprüfen. Darüber<br />
hinaus können Sie die Datei adamsetup.log und die adamsetup_loader.log-Dateien im Ordner %windir%\<br />
debug auf Gründe untersuchen, warum die Installation fehlgeschlagen ist.<br />
Hinweis Um eine AD LDS-Instanz zu entfernen, öffnen Sie in der Systemsteuerung die Konsole Programme<br />
und Funktionen. Alle AD LDS-Instanzen werden als installierte Programme angezeigt, die Sie wie<br />
andere Programme deinstallieren können.<br />
AD LDS-Verwaltungstools<br />
Nach der Installation einer AD LDS-Instanz installieren Sie zumeist die Anwendung, die die Instanz<br />
verwenden soll (wobei die Anwendung ggf. die AD LDS für Sie installiert und konfiguriert). Sie können<br />
AD LDS-Instanzen jedoch auch mithilfe der mit den AD LDS bereitgestellten Verwaltungstools<br />
verwalten.<br />
Das Tool ADSI Edit<br />
ADSI Edit ist ein MMC-Snap-In (Microsoft Management Console) für die allgemeine AD LDS-Verwaltung<br />
und wird als Teil der Serverrollen AD LDS und AD DS installiert. Um eine AD LDS-Instanz<br />
mit ADSI Edit zu verwalten, müssen Sie zuerst eine Verbindung zur Instanz herstellen. Nach dem ersten<br />
Öffnen ist ADSI Edit mit keinem Verzeichnis verbunden. Um eine Verbindung zu einem Verzeichnis<br />
herzustellen, klicken Sie im Menü Aktion auf Verbinden mit. Auf dem Bildschirm Verbindungseinstellungen<br />
(siehe Abbildung 16.7) müssen Sie die folgenden Informationen eingeben:<br />
• Einen Namen für diese Verbindung Wenn Sie einen der gängigen Namenskontexte auswählen, wird<br />
dieser Name für Sie eingegeben.
634 Kapitel 16: <strong>Active</strong> <strong>Directory</strong> Lightweight <strong>Directory</strong> Services<br />
• Einen Verbindungspunkt Dies kann ein gängiger Namenskontext wie die Konfigurations- oder<br />
Schemapartition, das Objekt rootDSE oder der Namenskontext Standard sein (was nur für AD<br />
DS-Domänen oder Anwendungsverzeichnispartitionen gilt). Wenn Sie eine Verbindung zu einer<br />
Anwendungsverzeichnispartition herstellen möchten, müssen Sie deren definierten Namen eingeben.<br />
• Den Server, zu dem Sie eine Verbindung herstellen Wenn Sie einen Port wählen, der nicht zu den<br />
LDAP-Standardports gehört, müssen Sie auch die Portnummer für die Verbindung angeben.<br />
Abbildung 16.7<br />
Verbinden mit einer AD LDS-Instanz mithilfe von ADSI Edit<br />
Das Tool Ldp.exe<br />
Ldp.exe ist ein Tool zum Verwalten von LDAP-Verzeichnisdiensten. Um eine AD LDS-Instanz mit<br />
Ldp.exe zu verwalten, müssen Sie eine Verbindung und eine Bindung mit der Instanz einrichten und<br />
anschließend die Hierarchie (Struktur) eines definierten Namens der Instanz anzeigen:<br />
1. Um sich über LDP mit einer Instanz zu verbinden, öffnen Sie eine Eingabeaufforderung, geben<br />
Ldp.exe ein und drücken die EINGABETASTE.<br />
2. Klicken Sie dann im Menü Remotedesktopverbindung auf Verbinden. Geben Sie den Servernamen<br />
und Port für die AD LDS-Instanz an, und wählen Sie, ob SSL verwendet werden soll.<br />
3. Nach dem Herstellen der Verbindung mit der Instanz müssen Sie Ihre Anmeldeinformationen<br />
angeben, um eine Bindung mit der Instanz einzurichten. Klicken Sie dann im Menü Remotedesktopverbindung<br />
auf Gebunden.<br />
Um eine Bindung mithilfe der Anmeldeinformationen einzurichten, mit denen Sie angemeldet<br />
sind, klicken Sie auf Bindung als aktuell angemeldeter Benutzer.<br />
Um eine Bindung über ein Domänenbenutzerkonto einzurichten, klicken Sie auf Bindung mit<br />
Anmeldeinformationen. Geben Sie anschließend den Benutzernamen, das Kennwort und den<br />
Domänennamen (bzw. den Computernamen, wenn Sie ein lokales Arbeitsstationskonto verwenden)<br />
Ihres Kontos ein.<br />
Um eine Bindung über einen Benutzernamen und ein Kennwort einzurichten, klicken Sie auf<br />
Einfache Bindung und geben anschließend den Benutzernamen und das Kennwort Ihres Kontos<br />
ein.
Implementieren der AD LDS 635<br />
Um eine Bindung mit einer erweiterten Methode einzurichten, (NTLM, verteilte Kennwortauthentifizierung<br />
[Distributed Password Authentication, DPA], Aushandeln oder Digest),<br />
klicken Sie auf Erweitert (DIGEST). Klicken Sie anschließend auf Erweitert, wählen Sie im<br />
Dialogfeld Bindungsoptionen die gewünschte Methode, und legen Sie weitere Optionen den<br />
Anforderungen entsprechend fest.<br />
4. Klicken Sie nach Ihrer Authentifizierung im Menü Ansicht auf Struktur. Sie können den definierten<br />
Namen für die Verzeichnispartition eingeben oder auswählen, mit der Sie sich verbinden<br />
möchten.<br />
5. Um Informationen zu den Objekten in der Verzeichnispartition anzuzeigen, klicken Sie auf das<br />
Objekt im linken Bereich. Detaillierte Informationen zum Objekt werden im rechten Bereich<br />
angezeigt (siehe Abbildung 16.8).<br />
Abbildung 16.8<br />
Sie können mit Ldp.exe Details aller Objekte in den AD LDS anzeigen.<br />
6. Um das Objekt zu bearbeiten, klicken Sie mit der rechten Maustaste auf das Objekt und wählen<br />
eine der Optionen zum Ändern des Objekts oder zum Hinzufügen untergeordneter Objekte.<br />
Weitere Informationen Einzelheiten zum Arbeiten mit ADSI Edit und Ldp.exe zum Verwalten von AD<br />
LDS-Objekten wie Organisationseinheiten, Benutzer- und Gruppenkonten finden Sie unter dem Thema zum<br />
Arbeiten mit Authentifizierung und Zugriffssteuerung in der AD LDS-Onlinehilfe oder „Schrittweise Anleitung<br />
zu den ersten Schritten mit <strong>Active</strong> <strong>Directory</strong> Lightweight <strong>Directory</strong> Services“ unter http://technet2.microsoft.com/windowsserver2008/de/library/682674f4-a652-4772-8567-2f27417f4ec81031.mspx?mfr=true.<br />
Das Tool Dsdbutil<br />
Dsdbutil ist Tool für die Verwaltung von Verzeichnisdiensten mit nahezu demselben Funktionsumfang<br />
wie Ntdsutil für die AD DS. Mit Dsdbutil können Sie Folgendes ausführen:<br />
• AD LDS-Daten sichern und autorisierende Wiederherstellungen ausführen<br />
• Die AD LDS-Datendateien verschieben<br />
• Das AD LDS-Dienstkonto und Portnummern ändern<br />
• Alle auf einem Server ausgeführten AD LDS-Instanzen auflisten
636 Kapitel 16: <strong>Active</strong> <strong>Directory</strong> Lightweight <strong>Directory</strong> Services<br />
Dsdbutil muss an einer Eingabeaufforderung gestartet werden. Verbinden Sie sich anschließend mit<br />
einer bestimmten Instanz durch Eingabe von Activate Instance Instanzname. Um alle in Dsdbutil<br />
verfügbaren Befehle anzuzeigen, geben Sie Help ein. Wie Ntdsutil bietet auch Dsdbutil kontextbezogene<br />
Hilfe, weshalb nach Eingabe von Help an einer beliebigen Eingabeaufforderung alle in diesem<br />
Kontext verfügbaren Optionen angezeigt werden.<br />
Hinweis Wenn Sie die Datei MS-ADLDS-DisplaySpecifiers.ldf hinzufügen können Sie AD LDS-Standorte<br />
mit dem Snap-In <strong>Active</strong> <strong>Directory</strong>-Standorte und -Dienste verwalten. Um sich mit einer AD LDS-Instanz zu<br />
verbinden, müssen Sie den Servernamen und die Portnummer eingeben.<br />
Konfigurieren der Zugriffssteuerung<br />
In den AD LDS gibt es für jedes Verzeichnisobjekt eine Zugriffsteuerungsliste, die bestimmt, welche<br />
Benutzer auf das jeweilige Objekt zugreifen dürfen. Zugriffsteuerungslisten werden standardmäßig<br />
ganz oben in jeder Verzeichnispartition zugewiesen und von allen Objekten in einer gegebenen Verzeichnispartition<br />
übernommen. Wenn Ihre Anwendung erfordert, dass spezifische Berechtigungen auf<br />
verschiedenen Ebenen der Verzeichnisstruktur zugewiesen werden, können Sie mit Dienstprogrammen<br />
wie Dsacls und Ldp.exe Berechtigungen anzeigen und zuweisen.<br />
Dsacls ist ein Befehlszeilenprogramm, mit dem Berechtigungen in einem Verzeichnis wie den AD<br />
LDS angezeigt und geändert werden können. Dsacls verwendet die folgende in Tabelle 16.9 beschriebene<br />
Syntax:<br />
dsacls Objekt [/a] [/d {Benutzer | Gruppe}:Berechtigungen [...]]<br />
[/g {Benutzer | Gruppe}:Berechtigungen [...]] [/i:{p |s|t}][/n] [/p:{y | n}]<br />
[/r {Benutzer | Gruppe} [...]] [/s [/t]]<br />
Tabelle 16.9<br />
Syntax von Dsacls<br />
Parameter<br />
Beschreibung<br />
Objekt<br />
Dies ist der Pfad zum Verzeichnisdienstobjekt, dessen Zugriffsteuerungslisten angezeigt oder geändert<br />
werden sollen. Sie müssen den vollständigen LDAP-Namen angeben. Beispiel: CN=App-<br />
Data,OU=Software,CN=App1,DC=AdatumApps. Um einen Server anzugeben, setzen Sie \\<br />
Servername:Portnummer\ vor das Objekt. Beispiel: \\SEA-SVR1:3389\ CN=AppData,OU=Software,CN=App1,DC=AdatumApps<br />
/a Zeigt die Überwachungsinformationen sowie Berechtigungs- und Besitzinformationen an.<br />
/d {Benutzer | Gruppen}:Berechtigungen:<br />
Verweigert die angegebenen Berechtigungen einem Benutzer oder einer Gruppe.<br />
/g {Benutzer | Gruppen}:Berechtigungen:<br />
Erteilt die angegebenen Berechtigungen einem Benutzer oder einer Gruppe.<br />
/i:{p | s | t} :<br />
Gibt eines der folgenden Vererbungskennzeichen an:<br />
• p: Dient zum Weitergeben vererbbarer Berechtigungen um nur eine Stufe.<br />
• s: Dient zum Weitergeben vererbbarer Berechtigungen nur an Unterobjekte.<br />
• t: Dient zum Weitergeben vererbbarer Berechtigungen an dieses Objekt und Unterobjekte.<br />
/n:<br />
Ersetzt den aktuellen Zugriff auf das Objekt, anstatt ihn zu bearbeiten.<br />
/p:{y | n}:<br />
Dieser Parameter bestimmt, ob das Objekt Berechtigungen von seinem übergeordneten Objekte<br />
erbt. Wenn Sie diesen Parameter weglassen, werden die Vererbungseigenschaften des Objekts<br />
nicht geändert.<br />
/r {Benutzer | Gruppe}: Entfernt alle Berechtigungen für den angegebenen Benutzer bzw. die angegebene Gruppe.
Implementieren der AD LDS 637<br />
Tabelle 16.9<br />
Parameter<br />
/s:<br />
/t:<br />
Syntax von Dsacls (Fortsetzung)<br />
Beschreibung<br />
Setzt die Sicherheitseinstellungen für das Objekt auf die Standardsicherheitseinstellungen für<br />
diese Objektklasse zurück.<br />
Dieser Parameter dient zum Zurücksetzen der Sicherheitseinstellungen der Objektstruktur auf die<br />
Standardeinstellungen für die einzelnen Objektklassen. Dieser Parameter ist nur gültig, wenn Sie<br />
auch den Parameter /s angeben.<br />
Dsacls verwendet zum Konfigurieren von Berechtigungen für ein Objekt Berechtigungsbits. Dsacls<br />
stellt beispielsweise die folgenden allgemeinen Berechtigungen bereit: GR – Generic Read (Lesen allgemein),<br />
GE – Generic Execute (Ausführen allgemein), GW – Generic Write (Schreiben allgemein)<br />
und GA – (Alle Aktionen allgemein).<br />
Weitere Informationen Detaillierte Informationen zum Verwenden von Dsacls zum Verwalten von Berechtigungen<br />
in einem Verzeichnis, einschließlich Einzelheiten zu den Berechtigungsbiteinstellungen, finden Sie<br />
im Knowledge Base-Artikel „Verwenden von Dsacls.exe in Windows Server 2003 und Windows 2000“ unter<br />
http://support.microsoft.com/kb/281146. Sie können dsacls /? auch an der Eingabeaufforderung eingeben.<br />
Einige Dsacls-Beispielbefehle werden in Tabelle 16.10 beschrieben.<br />
Tabelle 16.10<br />
Dsacls-Beispielbefehle<br />
Befehl<br />
dsacls \\SEA-SVR1:4389\O=App2, DC=Adatum,DC=com<br />
dsacls \\SEA-SVR1:4389\O=App2, DC=Adatum,DC=com /G “CN=<br />
Gregory Weber, OU=Users,O=App2, DC=Adatum,DC=com “:SD<br />
dsacls “\\SEA-SVR1:4389\O=App2, DC=Adatum,DC=com” /D “CN=<br />
Alice Ciccu, OU=Users,O=App2, DC=Adatum, DC=com “:SDDCDT<br />
Erläuterung<br />
Zeigt die der Referenzanwendungspartition zugewiesenen<br />
Berechtigungen.<br />
Erteilt dem Benutzer Gregory Weber die besondere<br />
Löschberechtigung für das Objekt O=App2.<br />
Verweigert der Benutzerin Alice Ciccu die Berechtigungen<br />
Löschen, Untergeordnetes Objekt löschen<br />
und Struktur löschen für das Objekt O=App2.<br />
Sie können mit Ldp.exe auch Berechtigungen für AD LDS-Objekte konfigurieren. Führen Sie dazu<br />
die folgenden Schritte aus:<br />
1. Öffnen Sie Ldp.exe, und stellen Sie eine Verbindung und Bindung mit einer AD LDS-Instanz her.<br />
2. Klicken Sie im Menü Ansicht auf Strukturansicht, und wählen Sie dann die Verzeichnispartition<br />
aus, mit der Sie sich verbinden möchten.<br />
3. Klicken Sie mit der rechten Maustaste auf die Verzeichnispartition, für die Sie die Berechtigungen<br />
ändern möchten, klicken Sie auf Erweitert, und klicken Sie dann auf Sicherheitsbeschreibung.<br />
Das Dialogfeld Sicherheitsbeschreibung enthält alle Zugriffsteuerungseinträge (Access<br />
Control Entries, ACEs) und deren erteilte Zugriffsrechte für das ausgewählte Verzeichnispartitionsobjekt.<br />
4. Klicken Sie auf eine beliebige Stelle der Zugriffsteuerungsliste und anschließend auf ACE hinzufügen.<br />
Geben Sie den definierten Namen des Benutzerkontos ein, und wählen Sie die gewünschten<br />
Berechtigungen aus. Sie können auch Berechtigungen zulassen oder verweigern und die<br />
Berechtigungsvererbung konfigurieren.
638 Kapitel 16: <strong>Active</strong> <strong>Directory</strong> Lightweight <strong>Directory</strong> Services<br />
Abbildung 16.9<br />
Konfigurieren von Berechtigungen mithilfe von Ldp.exe.<br />
Konfigurieren der Replikation<br />
Wie die AD DS arbeiten die AD LDS mit der Replikation, um Redundanz, eine geografische Verteilung<br />
und einen Lastenausgleich für AD LDS-Instanzen zu ermöglichen. Wie zuvor beschrieben, sind<br />
die Konzepte und Prozesse bei der Implementierung der Replikation bei den AD LDS und den AD<br />
DS sehr ähnlich.<br />
Erstellen von AD LDS-Replikaten<br />
Die Konfiguration der AD LDS-Replikation beginnt mit dem Erstellen weiterer Replikate der AD<br />
LDS-Instanz. Ein Replikat kann nur beim Erstellen einer Instanz konfiguriert werden. Alle AD LDS-<br />
Instanzen in einem Konfigurationssatz replizieren eine gemeinsame Konfigurationsverzeichnispartition<br />
und eine gemeinsame Schemaverzeichnispartition sowie beliebig viele Anwendungsverzeichnispartitionen.<br />
Um eine AD LDS-Instanz zu erstellen und einem vorhandenen Konfigurationssatz hinzuzufügen,<br />
müssen Sie mit dem Setup-Assistenten für <strong>Active</strong> <strong>Directory</strong> Lightweight <strong>Directory</strong> Services ein<br />
Replikat einer AD LDS-Instanz erstellen. Sie müssen den DSN-Namen des Servers, auf dem eine<br />
zum Konfigurationssatz gehörende AD LDS-Instanz ausgeführt wird, und die LDAP-Port kennen, der<br />
bei der Erstellung der Instanz angegeben wurde. Sie können auch die definierten Namen bestimmter<br />
Anwendungsverzeichnispartitionen angeben, die Sie aus dem Konfigurationssatz in die zu erstellende<br />
AD LDS-Instanz kopieren möchten.<br />
Führen Sie zum Erstellen eines Replikats einer AD LDS-Instanz im Setup-Assistenten für <strong>Active</strong><br />
<strong>Directory</strong> Lightweight <strong>Directory</strong> Services die folgenden Schritte aus:<br />
1. Starten Sie den Setup-Assistenten für <strong>Active</strong> <strong>Directory</strong> Lightweight <strong>Directory</strong> Services. Klicken<br />
Sie auf der Begrüßungsseite auf Weiter.<br />
2. Klicken Sie auf der Seite Setupoptionen auf Ein Replikat einer vorhandenen Instanz installieren<br />
(siehe Abbildung 16.4).<br />
3. Geben Sie auf der Seite Instanznamen einen Instanznamen ein. Die Namen von AD LDS-<br />
Instanzen müssen auf dem jeweiligen Computer eindeutig sein. Ferner kann der Instanzname dem<br />
Instanznamen anderer Replikate entsprechen.
Implementieren der AD LDS 639<br />
4. Legen Sie auf der Seite Ports die Portnummern der Instanz fest. Diese Portnummern geben die<br />
Ports an, über die sich Clients mit dem Server verbinden. Deshalb wird empfohlen (ohne dass es<br />
erforderlich ist), dass Sie dieselben Ports wie bei der vorhandenen Instanz angeben.<br />
5. Geben Sie auf der Seite Einem Konfigurationssatz beitreten den Host- oder DNS-Namen des<br />
Computers an, auf dem die erste AD LDS-Instanz installiert ist. Geben Sie anschließend die von<br />
der ersten AD LDS-Instanz verwendete LDAP-Portnummer ein. Diese Portnummer muss der für<br />
die vorhandene Instanz festgelegten Portnummer entsprechen.<br />
6. Klicken Sie auf der Seite Administratorberechtigungen für den Konfigurationssatz auf das Konto<br />
des AD LDS-Administrators der ersten AD LDS-Instanz.<br />
7. Wählen Sie auf der Seite Kopieren von Anwendungsverzeichnispartitionen die Anwendungsverzeichnispartitionen<br />
aus, die Sie in die neue AD LDS-Instanz replizieren möchten. Siehe<br />
Abbildung 16.10.<br />
Abbildung 16.10 Beim Erstellen eines AD LDS-Instanzreplikats können Sie diesem Anwendungsverzeichnispartitionen<br />
hinzufügen.<br />
8. Übernehmen Sie die Standardwerte auf den restlichen Seiten des Setup-Assistenten für <strong>Active</strong><br />
<strong>Directory</strong> Lightweight <strong>Directory</strong> Services, indem Sie auf jeder Seite auf Weiter und auf der Seite<br />
Fertigstellen des Assistenten auf Fertig stellen klicken.<br />
Hinweis Sie können eine AD LDS-Instanz auch über die Option Installieren von Medium installieren.<br />
Sichern Sie dazu eine Kopie des AD LDS-Datenspeichers auf dem AD LDS-Quellserver, und stellen Sie die<br />
Dateien an einem anderen Speicherort wieder her, der auf den Server, auf dem Sie ein Replikat konfigurieren,<br />
zugreifen kann. Starten Sie anschließend den Setup-Assistenten für <strong>Active</strong> <strong>Directory</strong> Lightweight <strong>Directory</strong><br />
Services, indem Sie an einer Eingabeaufforderung %windir%\adam\adaminstall /adv eingeben. Wenn<br />
Sie den Assistenten im erweiterten Modus starten, können Sie die Anwendungsinformationen aus einer wiederhergestellten<br />
Kopie des Datenspeichers kopieren.
640 Kapitel 16: <strong>Active</strong> <strong>Directory</strong> Lightweight <strong>Directory</strong> Services<br />
Konfigurieren von AD LDS-Standorten<br />
Wie bei den AD DS beginnt die Konsistenzprüfung, sobald Sie ein Replikat einer vorhandenen AD<br />
LDS-Instanz konfigurieren, auf beiden Servern mit der Einrichtung der Replikationstopologie und<br />
anschließend mit der Replikation. Und wie auch bei den AD DS können Sie zum Verwalten des<br />
Replikationsdatenverkehrs zwischen AD LDS-Instanzen Standorte verwenden. Wenn Sie AD LDS-<br />
Instanzen an geografisch verteilten Standorten bereitstellen, können Sie für jede Niederlassung einen<br />
eigenen Standort konfigurieren und anschließend Standortverknüpfungen zum Verwalten des Replikationsdatenverkehrs<br />
zwischen den Standorten verwenden.<br />
Wichtig Zwei wichtige Unterschiede bei der Verwendung von Standorten zwischen den AD LDS und den<br />
AD DS sind, dass AD LDS-Clients nicht standortabhängig sind und dass die AD LDS keine Möglichkeiten der<br />
Automatisierung von Clientverbindungen zu AD LDS-Instanzen am Standort des Clients bieten. Die AD LDS<br />
nutzen keine SRV-Einträge, um Clients beim Auffinden von AD LDS-Instanzen zu helfen. Wenngleich Sie Subnetze<br />
für AD LDS-Instanzen konfigurieren und Standorte mit Subnetzen verknüpfen können, sind Clients nicht<br />
fähig, diese Informationen zu nutzen. Wenn Sie demnach AD LDS-Instanzen an verschiedenen Standorten<br />
bereitstellen, müssen Sie die AD LDS-Clients so konfigurieren, dass sie sich mit der lokalen AD LDS-Instanz<br />
verbinden.<br />
Zum Verwalten von AD LDS-Standorten müssen Sie die Datei MS-ADLDS-DisplaySpecifiers.ldf in<br />
der Instanz installieren. Anschließend können Sie sich mit dem Snap-In <strong>Active</strong> <strong>Directory</strong>-Standorteund<br />
-Dienste mit Ihrer AD LDS-Instanz verbinden, um Standortobjekte zu definieren und Verzeichnisobjekte<br />
zwischen Standorten zu verschieben.<br />
Um sich über <strong>Active</strong> <strong>Directory</strong>-Standorte- und -Dienste mit einer AD LDS-Instanz zu verbinden, öffnen<br />
Sie die MMC, klicken mit der rechten Maustaste auf <strong>Active</strong> <strong>Directory</strong>-Standorte- und -Dienste<br />
und klicken anschließend auf Domänencontroller ändern. Geben Sie den Namen und die Portnummer<br />
des Servers an, auf dem sich die AD LDS-Instanzen in dem Konfigurationssatz befinden, für den<br />
Sie Standortobjekte erstellen möchten.<br />
Nach dem Herstellen der Verbindung zur AD LDS-Instanz können Sie Folgendes:<br />
• Standortobjekte erstellen<br />
• AD LDS-Instanzen zwischen Standorten verschieben<br />
• Die Replikationshäufigkeit innerhalb eines Standorts festlegen<br />
• Replikationszeitplan und -häufigkeit für die standortinterne Replikation durch Konfiguration von<br />
Standortverknüpfungen einrichten<br />
Hinweis Die Schritte zur Konfiguration dieser Objekte sind bei den AD LDS und den AD DS identisch.<br />
Weitere Informationen zu diesen Schritten finden Sie in der Onlinehilfe zu <strong>Active</strong> <strong>Directory</strong>-Standorte und<br />
-Dienste oder in Kapitel 4.<br />
Sichern und Wiederherstellen der AD LDS<br />
Nach der Bereitstellung enthalten die AD LDS wichtige Anwendungsdaten und Konfigurationsinformationen.<br />
Um sicherzustellen, dass Sie diese Daten nach einem Datenverlust oder Serverausfall wiederherstellen<br />
können, müssen Sie die AD LDS in Ihre regelmäßigen Sicherungsabläufe einbeziehen,<br />
um die AD LDS-Daten auf demselben oder einem anderen Server wiederherzustellen.
Implementieren der AD LDS 641<br />
Sichern der AD LDS<br />
Sie müssen die AD LDS-Daten und -Protokolldateien regelmäßig sichern, um bei einem Systemausfall<br />
die Verfügbarkeit von Daten für Anwendungen und Benutzern gewährleisten zu können.<br />
Hinweis Eine Möglichkeit zum Gewährleisten einer hohen Verfügbarkeit von AD LDS-Instanzen ist die<br />
Bereitstellung mehrerer Replikate derselben Instanz. Fällt ein Replikat aus, können sich Clients weiterhin mit<br />
dem zweiten Replikat verbinden. Darüber hinaus können Sie die AD LDS in einem Cluster mit Netzwerklastenausgleich<br />
bereitstellen, sodass Sie bei einem Serverausfall die AD LDS-Clients nicht neu konfigurieren<br />
müssen.<br />
Standardmäßig speichert jede auf einem AD LDS-Server ausgeführte AD LDS-Instanz ihre Datenbankdateien<br />
Adamntds.dit und die dazugehörigen Protokolldateien im Verzeichnis %Programme%\<br />
Microsoft ADAM\Instanzname\data, wobei Instanzname der Name der AD LDS-Instanz ist. Um<br />
sicherzustellen, dass die AD LDS-Daten ordnungsgemäß gesichert werden, beziehen Sie diese Daten<br />
in die regelmäßigen Sicherungen in Ihrem Unternehmen ein.<br />
Wichtig Die AD LDS sind weniger serverabhängig als die AD DS. Sie können AD LDS-Daten auf einem<br />
Server sichern und auf einem anderen Server wiederherstellen, sollte der ursprüngliche Server ausfallen.<br />
Außerdem müssen Sie auf einem Server keine Systemstatusdaten sichern oder wiederherstellen, um den AD<br />
LDS-Datenspeicher wiederherzustellen.<br />
Sie können das Windows Server-Sicherungsprogramm oder ein anderes Sicherungsprogramm einsetzen,<br />
mit dem Sie zum Sichern der AD LDS-Daten geöffnete Dateien sichern können. Während der<br />
Sicherung muss die AD LDS-Instanz weiter ausgeführt werden.<br />
Sie können die AD LDS-Instanz auch mit dem Befehlszeilenprogramm Dsdbutil.exe sichern. Mit<br />
Dsdbutil.exe können Sie Installationsmedien für einzelne AD LDS-Instanzen sichern und erstellen,<br />
anstatt lediglich die AD LDS-Dateien oder gesamte Volumes zu sichern, welche die AD LDS-Instanz<br />
enthalten.<br />
Hinweis Wenn Ntdsutil auf dem AD LDS-Server installiert ist, können Sie den Fokus für Ntdsutil auf eine<br />
AD LDS-Instanz festlegen, indem Sie die Instanz aktivieren. Anschließend können Sie die AD LDS-Instanz<br />
mit Ntdsutil verwalten.<br />
Führen Sie zum Sichern einer AD LDS-Instanz mithilfe von Dsdbutil.exe die folgenden Schritte aus:<br />
1. Öffnen Sie eine Eingabeaufforderung, geben Sie dsdbutil ein, und drücken Sie die EINGABE-<br />
TASTE.<br />
2. Geben Sie an der dsdbutil-Eingabeaufforderung Folgendes ein: activate instance Instanzname.<br />
Drücken Sie dann die EINGABETASTE. Instanzname ist der Name der AD LDS-Instanz, die Sie<br />
sichern oder für die Sie Installationsmedien erstellen möchten.<br />
3. Geben Sie an der dsdbutil-Eingabeaufforderung ifm ein, und drücken Sie die EINGABETASTE.<br />
4. Geben Sie an der ifm-Eingabeaufforderung createfull DateipfadName ein, und drücken Sie<br />
die EINGABETASTE. Dateipfad ist der Speicherort, an dem die Sicherung gespeichert wird.<br />
Dsbdutil erstellt einen Snapshot des AD LDS-Datenspeichers und sichert diesen am Speicherort<br />
der Sicherung. Die Dsbdutil-Sicherung besteht bloß aus der Datei Adamntds.dit.
642 Kapitel 16: <strong>Active</strong> <strong>Directory</strong> Lightweight <strong>Directory</strong> Services<br />
Wiederherstellen der AD LDS<br />
Wenn der AD LDS-Server ausfällt oder Datenspeicherdateien verloren gehen oder fehlerhaft sind,<br />
können Sie mit denselben Sicherungsprogrammen den Datenspeicher wiederherstellen. Je nach Situation<br />
müssen Sie zum Wiederherstellen der AD LDS-Instanzdaten geringfügig unterschiedliche Vorgehensweisen<br />
wählen.<br />
Wiederherstellen einer vorhandenen AD LDS-Instanz Wenn der AD LDS-Server bzw. die Datenbank auf<br />
dem Server ausfällt, können Sie eine herkömmliche Wiederherstellung der AD LDS-Daten zum Wiederherstellen<br />
der AD LDS-Instanz in den Zustand zum Zeitpunkt der Sicherung ausführen. Sollte der<br />
AD LDS-Server ausfallen, müssen Sie zuerst den Server reparieren und anschließend neu starten. Vor<br />
dem Wiederherstellungsvorgang müssen Sie die AD LDS-Instanz beenden. Da bei der AD LDS-Wiederherstellung<br />
außerdem alle Dateien im Instanzverzeichnis überschrieben werden, müssen Sie diese<br />
Dateien aus dem Verzeichnis herauskopieren, bevor Sie die Wiederherstellung ausführen.<br />
Achtung Sie können eine AD LDS-Instanz mit dem Windows Server-Sicherungsprogramm wiederherstellen,<br />
ohne die Instanz beenden zu müssen. Dabei belässt das Windows Server-Sicherungsprogramm die<br />
wiederhergestellten Daten allerdings in einem Schwebezustand und schreibt die Dateien erst nach einem<br />
Neustart des Computers auf die Festplatte. In diesem Fall gehen Verzeichnisänderungen an der ausgeführten<br />
AD LDS-Instanz nach Ausführung des Windows Server-Sicherungsprogramms verloren.<br />
Führen Sie zum Wiederherstellen einer AD LDS-Instanz die folgenden Schritte aus:<br />
1. Beenden Sie die wiederherzustellende AD LDS-Instanz. Sie können die Instanz im Snap-In<br />
Dienste oder durch einen Befehl wie sc stop Instanzname beenden. Instanzname ist der Name der<br />
AD LDS-Instanz.<br />
2. Stellen Sie die AD LDS-Dateien mit dem Sicherungsprogramm wieder her. Vergewissern Sie sich,<br />
dass die Dateien am Speicherort der Originaldateien wiederhergestellt und die Originaldateien<br />
überschrieben werden.<br />
3. Starten Sie die AD LDS-Instanz. Nach dem Neustart der Instanz werden die wiederhergestellten<br />
Dateien verwendet.<br />
Hinweis Mit dem Windows Server-Sicherungsprogramm können Sie keine AD LDS-Instanz wiederherstellen,<br />
deren Sicherung mit Dsdbutil.exe erstellt wurde. Um eine mit Dsdbutil.exe erstellte Sicherung wiederherzustellen,<br />
können Sie die AD LDS-Instanz beenden und die von der Dsdbutil-Sicherung erstellte Datei in das<br />
ursprüngliche Verzeichnis zurückkopieren.<br />
Wiederherstellen einer AD LDS-Instanz auf einem neuen Server Wenn der AD LDS-Server ausgefallen<br />
ist und Sie ihn nicht reparieren können, ist es möglich, die AD LDS-Daten auf einem neuen Server<br />
wiederherzustellen. Dazu müssen Sie zuerst eine neue AD LDS-Instanz auf dem Server mit exakt den<br />
Einstellungen der ursprünglichen AD LDS-Instanz erstellen. Dabei müssen Sie denselben Instanznamen<br />
und Speicherort für die Speicherung der Daten auswählen. Legen Sie beim Erstellen der Instanz<br />
keine Anwendungspartitionen für die Daten an.<br />
Beenden Sie die Instanz nach ihrer Erstellung, und stellen Sie anschließend mit dem Sicherungsprogramm<br />
den gesicherten Datenspeicher wieder her. Falls die Sicherung mit Dsbdutil erstellt wurde,<br />
kopieren Sie die von Dsbdutil erstellte Datei in das entsprechende Verzeichnis, und starten Sie die<br />
Instanz neu.
Konfigurieren der AD DS- und AD LDS-Synchronisierung 643<br />
Autorisierendes Wiederherstellen einer AD LDS-Instanz<br />
Wie bei den AD DS können Sie autorisierende Wiederherstellungen von AD LDS-Daten durchführen,<br />
die versehentlich gelöscht oder geändert wurden. Wenn die AD LDS-Daten nicht auf einen anderen<br />
Server repliziert werden, können Sie eine normale Wiederherstellung ausführen. Wenn die AD<br />
LDS-Daten allerdings auf einen anderen Server repliziert werden, müssen Sie diese Objekte autorisierend<br />
wiederherstellen, damit die ordnungsgemäße Version der Objekte repliziert wird.<br />
Führen Sie für eine autorisierende Wiederherstellung von Verzeichnisdaten zuerst eine normale Wiederherstellung<br />
aus. Führen Sie anschließend vor dem Neustart der AD LDS-Instanz das Programm<br />
Dsdbutil aus, um Verzeichnisobjekte für die autorisierende Wiederherstellung zu markieren. Wenn ein<br />
Objekt für die autorisierende Wiederherstellung markiert ist, ändert sich sein USN-Wert (Update<br />
Sequence Number), sodass der Wert höher als andere USN-Werte im Konfigurationssatz ist. Dies<br />
stellt sicher, dass Daten, die Sie wiederherstellen, im gesamten Konfigurationssatz ordnungsgemäß<br />
repliziert werden.<br />
Führen Sie für eine autorisierende Wiederherstellung die folgenden Schritte aus:<br />
1. Beenden Sie die AD LDS-Instanz, und stellen Sie die Daten wieder her. Je nachdem, wie die<br />
Sicherung erfolgt ist, können Sie die Daten mit Ihrem Sicherungsprogramm oder Dsbdutil wiederherstellen.<br />
2. Starten Sie vor dem Neustart der Instanz das Programm Dsbdutil, und aktivieren Sie die wiederherzustellende<br />
Instanz durch Eingeben von Dsbdutil activate Instanzname.<br />
3. Geben Sie authoritative restore ein.<br />
4. Geben Sie an der Eingabeaufforderung von authoritative restore einen der folgenden Befehle ein:<br />
restore object dn Dieser Befehl führt eine autorisierende Wiederherstellung eines Verzeichnisobjekts<br />
aus, dessen definierter Name von dn angegeben wird. Um z.B. ein bestimmtes<br />
Benutzerkonto wiederherzustellen, können Sie Folgendes eingeben: restore object<br />
"CN=Gregory Weber,OU=Users,O=App2,DC=Adatum,DC=com".<br />
restore subtree dn Dieser Befehl führt eine autorisierende Wiederherstellung einer Verzeichnisunterstruktur<br />
aus, deren definierter Name von dn angegeben wird. Um beispielsweise eine<br />
Organisationseinheit wiederherzustellen, können Sie Folgendes eingeben: restore subtree<br />
"OU=Users,O=App2,DC=Adatum,<br />
DC=com".<br />
5. Beenden Sie Dsdbutil, und starten Sie die AD LDS-Instanz neu.<br />
Konfigurieren der AD DS- und AD LDS-Synchronisierung<br />
Eine der gängigsten Möglichkeiten zum Integrieren der AD DS mit den AD LDS ist das Verwenden<br />
von AD DS-Benutzerkonten bei der Konfiguration der Autorisierung in den AD LDS. Um diesen<br />
Grad der Integration zu implementieren, müssen Sie außer der Installation der AD LDS auf einem<br />
Computer, der entweder Teil derselben AD DS-Domäne wie die Benutzerkonten ist oder sich in einer<br />
vertrauenswürdigen Domäne befindet, keine weiteren Schritte ausführen. Bei Installation als Domänenmitglied<br />
können die AD DS-Benutzerkonten Zugriffsteuerungslisten in den AD LSD direkt zugewiesen<br />
oder AD LDS-Gruppen hinzugefügt werden, die Zugriffsteuerungslisten zugewiesen sind.
644 Kapitel 16: <strong>Active</strong> <strong>Directory</strong> Lightweight <strong>Directory</strong> Services<br />
Eine weitere Möglichkeit der Integration der AD DS und AD LDS ist die Konfiguration der Synchronisierung<br />
zwischen den AD DS und AD LDS, wodurch der Verwaltungsaufwand für die AD DS-<br />
Instanz signifikant reduziert werden kann. Wenn Sie beispielsweise die AD LDS in einem Umkreisnetzwerk<br />
bereitstellen, sollten Sie die AD LDS nicht auf einem Server installieren, der Mitglied einer<br />
internen Domäne ist. Sie können jedoch weiter interne Benutzerkonten verwenden, um den AD LDS-<br />
Daten Berechtigungen zuzuweisen, oder die mit den AD LDS arbeitende Anwendung benötigt ggf.<br />
die internen Konten. Durch Konfigurieren der Synchronisierung zwischen den AD DS und AD LDS<br />
können Sie das Erstellen der Benutzerkonten in der AD LDS-Instanz automatisieren.<br />
Adamsync und Exchange Server 2007<br />
Eines der interessantesten Szenarien, in denen Adamsync implementiert werden kann, ist die<br />
Bereitstellung von Servern mit Exchange Server 2007, auf denen die Serverfunktion Edge-Transport<br />
ausgeführt wird. Die Serverfunktion Edge-Transport wird auf Servern im Umkreisnetzwerk<br />
und auf Servern bereitgestellt, die kein Mitglied Ihrer AD DS-Domäne sind. Die Edge-Transport-<br />
Server nutzen die AD LDS zum Speichern von Konfigurationsinformationen für die Implementierung<br />
der Spamfilterung sowie anderer Konfigurationsdaten.<br />
Um die Spamfilterung basierend auf bestimmten Benutzernamen oder von einzelnen Benutzern<br />
konfigurierten Listen sicherer Absender zu implementieren, müssen Sie Daten aus den AD DS in<br />
die AD LDS-Instanz replizieren, die von der Serverfunktion Edge-Transport verwendet werden.<br />
Hierzu können Sie Adamsync konfigurieren. Exchange Server 2007 bietet Windows PowerShell-<br />
Skripts für die Implementierung der Adamsync-Synchronisierung. Wenn Ihr Unternehmen die<br />
Implementierung der Adamsync-Synchronisierung für eine andere Anwendung plant und die<br />
Anwendung keine vergleichbaren Skripts bereitstellt, können Sie ggf. die Exchange-Skripts zum<br />
Automatisieren der Adamsync-Synchronisierung anpassen.<br />
Um eine AD LDS-Instanz für die Synchronisierung vorzubereiten, müssen Sie zuerst sicherstellen,<br />
dass die benötigten Schemaerweiterungen in die AD LDS-Instanz installiert wurden. Zum Ermöglichen<br />
der Synchronisierung müssen Sie die Datei MS-adamschemaw2k3.ldf (für die Synchronisierung<br />
mit Windows Server 2003 <strong>Active</strong> <strong>Directory</strong>) bzw. MS-adamschemaw2k8.ldf (für die Synchronisierung<br />
mit den Windows Server 2008-AD DS) hinzufügen. Außerdem müssen Sie dem AD LDS-<br />
Schema die Datei MS-AsamSyncMetadata.ldf hinzufügen.<br />
Aus der Praxis: Erstellen von LDF-Dateien mit ADSchemaAnaylzer<br />
Eines der Probleme, die bei der Implementierung von Adamsync auftreten können, ist, dass Sie<br />
ggf. das AD DS-Schema bearbeitet haben. Die Dateien MS-adamschemaw2k3.ldf und MSadamschemaw2k8.ldf<br />
enthalten nur die zu Windows Server 2003 bzw. Windows Server 2008 gehörenden<br />
Standardschemaobjekte. Wenn Sie Änderungen am AD DS-Schema vorgenommen oder<br />
verzeichnisfähige Anwendungen wie Exchange Server 2007 implementiert haben, können Sie diese<br />
Dateien nicht ohne Weiteres in die AD LDS importieren.<br />
Um eine LDF-Datei zu erstellen, die alle Schemaänderungen an Ihrer AD DS-Gesamtstruktur enthält,<br />
können Sie ADSchemaAnaylzer verwenden. Dieses Programm wird mit den AD LDS-Verwaltungsprogrammen<br />
installiert und befindet sich im Ordner %windir%/ADAM. Mit ADSchema-<br />
Anaylzer können Sie das Zielschema von einem Domänencontroller in Ihrer Domäne und<br />
anschließend das Basisschema aus der AD LDS-Instanz laden.
Konfigurieren der AD DS- und AD LDS-Synchronisierung 645<br />
Beim Import des AD LDS-Schemas werden beide von ADSchemaAnalyzer verglichen und auf<br />
Unterschiede untersucht. Fügen Sie anschließend über die Option Alle nicht vorhandenen Elemente<br />
als eingeschlossen markieren im Menü Schema die Unterschiede einer LDF-Datei hinzu. Sie<br />
können anschließend die Datei erstellen und speichern und über den Befehl Ldifde in die AD LDS-<br />
Instanz importieren.<br />
Weitere Einzelheiten zu ADSchemaAnalyzer finden Sie im ADSchemaAnalyzer-Artikel unter<br />
http://technet2.microsoft.com/windowsserver/de/library/7fac5191-27d3-43dd-99c6-<br />
bb8ad044e7b91031.mspx?mfr=true.<br />
Führen Sie zum Implementieren der Adamsync-Synchronisierung die folgenden Schritte aus:<br />
1. Um die LDF-Dateien dem Schema hinzuzufügen, öffnen Sie eine Eingabeaufforderung, wechseln<br />
zum Verzeichnis %windir%\ADAM und rufen dann den folgenden Befehl auf:<br />
ldifde -i -u -f LDF-Dateiname -s Server:Port -b Benutzername Domäne Kennwort<br />
-j . -c "cn=Configuration,dc=X" #configurationNamingContext<br />
Ersetzen Sie bei diesem Befehl Name der LDF-Datei durch MS-adamschemaw2k3.ldf (zum<br />
Import des Windows Server 2003-Schemas) oder MS-adamschemaw2k8.ldf (zum Import des<br />
Windows Server 2008-Schemas).<br />
2. Rufen Sie zum Hinzufügen der Datei
646 Kapitel 16: <strong>Active</strong> <strong>Directory</strong> Lightweight <strong>Directory</strong> Services<br />
Hinweis Sie können keine weitere Einstellungen in der Datei zum Festlegen der in die AD LDS zu<br />
replizierenden Attribute definieren. Eine vollständige Beschreibung der Dateisyntax finden Sie in „Referenz<br />
zu XML-Elementen der "Adamsync"-Konfigurationsdatei“ unter http://technet2.microsoft.com/WindowsServer/de/Library/d4b6dbdc-eb53-4229-9118-b7d80c9125671031.mspx?mfr=true.<br />
5. Der nächste Schritt ist die Vorbereitung der AD LDS-Instanzen auf die Replikation durch die<br />
Installation der Adamsync-Instanz. Geben Sie dazu an der Eingabeaufforderung den folgenden<br />
Befehl ein, wobei XML-Datei der Name der Datei ist, die Sie im vorherigen Schritt erstellt haben:<br />
adamsync /install Server:Port .\XML-Datei<br />
Befindet sich diese Datei nicht im Verzeichnis %windir%\ADAM, müssen Sie den vollständigen<br />
Pfad zu der Datei angeben.<br />
6. Geben Sie nach Ausführung des Befehls Adamsync /install den folgenden Befehl ein, wobei XML-<br />
Datei der Name der Datei ist, die Sie im vorherigen Schritt verwendet haben:<br />
adamsync /delete .\XML-Datei<br />
Dieser Befehl löscht die Konfigurationsdatei aus der ADAM-Instanz. Dies ist erforderlich, wenn<br />
der Benutzer die XML-Datei aktualisieren oder den Synchronisierungsprozess neu starten muss.<br />
7. Nach Vorbereitung der AD LDS-Instanz für die Synchronisierung können Sie die Synchronisierung<br />
aus der angegebenen AD DS-Gesamtstruktur in die AD LDS-Instanz einleiten. Geben Sie<br />
dazu den folgenden Befehl ein, wobei configuration_dn der Stamm der Anwendungsverzeichnispartition<br />
ist, mit der Sie die Datei synchronisieren:<br />
adamsync /sync Server:Port configuration_dn /log Adamsynclog.txt<br />
Hinweis Sie können weitere Synchronisierungsaufgaben ausführen, z.B. die AD LDS auf in den AD DS<br />
gelöschte Objekte durchsuchen oder nur bestimmte Objekte mit Adamsync synchronisieren. Um eine vollständige<br />
Liste der für Adamsync verfügbaren Optionen zu erhalten, geben Sie Adamsync /? in eine Eingabeaufforderung<br />
mit Fokus auf %windir%\ADAM ein, oder konsultieren Sie die Onlinehilfe zur AD LDS-<br />
Verwaltungskonsole.<br />
Zusammenfassung<br />
Die AD LDS sollen die Funktionalität der AD DS ergänzen, indem ein den AD DS sehr ähnlicher<br />
Verzeichnisdienst zur Verfügung gestellt wird, der ein anwendungsspezifisches Verzeichnis bereitstellt.<br />
Die AD LDS bieten wesentlich mehr Flexibilität als die AD DS, da Sie mehrere Instanzen auf<br />
einem einzelnen Computer ausführen können, wodurch mehrere Schema- und Anwendungspartitionen<br />
auf nur einem Server möglich werden.<br />
Empfohlene Vorgehensweisen<br />
• Um die AD LDS-Replikationssicherheit zu gewährleisten, wählen Sie die höchsten Grad an<br />
Replikationssicherheit, den Ihre Umgebung unterstützen kann. Wenn Sie als AD LDS-Dienstkonto<br />
das Domänenkonto verwenden, müssen Sie sicherstellen, dass es mit einem sehr komplexen<br />
Kennwort konfiguriert ist.<br />
• Führen Sie die AD LDS in AD DS-Umgebungen nach Möglichkeit auf Mitgliedsservern und<br />
nicht auf Domänencontrollern aus. Wenn Sie die AD LDS auf einem Domänencontroller in einer<br />
<strong>Active</strong> <strong>Directory</strong>-Umgebung ausführen, verwenden Sie als AD LDS-Dienstkonto nicht das Konto<br />
Netzwerkdienst. Wählen Sie stattdessen ein Domänenbenutzerkonto ohne Administratorrechte.
Zusätzliche Ressourcen<br />
Zusätzliche Ressourcen 647<br />
Die folgenden Ressourcen enthalten zusätzliche Informationen und Tools im Zusammenhang mit<br />
diesem Kapitel.<br />
• In Kapitel 4, „<strong>Active</strong> <strong>Directory</strong>-Domänendienstreplikation“, wird die AD DS-Replikation im<br />
Detail behandelt. Die meisten Konzepte und Konfigurationsaufgaben gelten auch für die Konfiguration<br />
der AD LDS-Replikation.<br />
• Die Unterwebsite <strong>Active</strong> <strong>Directory</strong> Lightweight <strong>Directory</strong> Services der technischen Bibliothek<br />
für Windows Server 2008 bietet technische Informationen und schrittweise Anleitungen zur<br />
Implementierung der AD LDS in einer Testumgebung. Diese Website finden Sie unter<br />
http://technet2.microsoft.com/windowsserver2008/de/library/9d4b4004-9f26-4545-a1e4-<br />
8e527102f0a71031.mspx?mfr=true.<br />
• Die technische Bibliothek zum <strong>Active</strong> <strong>Directory</strong>-Anwendungsmodus (ADAM) unter<br />
http://technet2.microsoft.com/WindowsServer/de/Library/d4b6dbdc-eb53-4229-9118-<br />
b7d80c9125671031.mspx?mfr=true bietet Einzelheiten zur Implementierung von ADAM unter<br />
Windows Server 2003. Die meisten dieser Konzepte wurden für Windows Server 2008 nicht<br />
wesentlich geändert.<br />
• Der Artikel „Schrittweise Anleitung zu den ersten Schritten mit <strong>Active</strong> <strong>Directory</strong> Lightweight<br />
<strong>Directory</strong> Services“ unter http://technet2.microsoft.com/windowsserver2008/de/library/9d4b4004-<br />
9f26-4545-a1e4-8e527102f0a71031.mspx?mfr=true enthält detailliert beschriebene Schritte zur<br />
Konfiguration von Benutzer- und Gruppenkonten in den AD LDS.<br />
• Der Knowledge Base-Artikel „Verwenden von Dsacls.exe unter Windows Server 2003 und<br />
Windows 2000“ unter http://support.microsoft.com/kb/281146, bietet detaillierte Informationen<br />
zum Verwalten von Berechtigungen mithilfe von Dsacls.exe.<br />
• Eine vollständige Beschreibung der Dateisyntax von Adamsync finden Sie in „Referenz zu XML-<br />
Elementen der "Adamsync"-Konfigurationsdatei“ unter http://technet2.microsoft.com/Windows-<br />
Server/de/Library/d4b6dbdc-eb53-4229-9118-b7d80c9125671031.mspx?mfr=true.<br />
Verwandte Tools<br />
Windows Server 2008 bietet mehrere Tools, die zur Verwaltung der AD LDS eingesetzt werden können.<br />
In Tabelle 16-11 finden Sie einige dieser Tools und ihre Einsatzmöglichkeiten.<br />
Tabelle 16.11<br />
AD LDS-Verwaltungstools<br />
Toolname<br />
Setup-Assistent für <strong>Active</strong> <strong>Directory</strong> Lightweight<br />
<strong>Directory</strong> Services<br />
<strong>Active</strong> <strong>Directory</strong>-Standorte und -Dienste<br />
Dsdbutil.exe<br />
ADSI Edit<br />
Ldp.exe<br />
Beschreibung und Zweck<br />
Dient zum Konfigurieren von AD LDS-Instanzen und -Replikaten<br />
Dient zum Konfigurieren von AD LDS-Standorten und -Replikation<br />
Dient zum Verwalten der AD LDS-Datenspeicherdateien und Verwalten der<br />
AD LDS-Servereinstellungen<br />
Dient zum Anzeigen und Ändern des Inhalts von AD LDS-Partitionen<br />
Dient zum Anzeigen und Ändern des Inhalts von AD LDS-Partitionen
648 Kapitel 16: <strong>Active</strong> <strong>Directory</strong> Lightweight <strong>Directory</strong> Services<br />
Ressourcen auf der CD<br />
• DisplayADLDSInstances.ps1 ist ein Windows PowerShell-Skript, das alle Namenskontexte bzw.<br />
Partitionen auf Ihrem AD LDS-Server angibt.<br />
• AdatumSync.xml ist eine vorkonfigurierte XML-Datei zur Veranschaulichung des Formats der<br />
AdamSync-Konfigurationsdatei.<br />
Verwandte Hilfethemen<br />
• „Prüfliste: Verwalten von Gruppenmitgliedschaften” in der <strong>Active</strong> <strong>Directory</strong> Lightweight <strong>Directory</strong><br />
Services-Hilfe<br />
• „Arbeiten mit Authentifizierung und Zugriffssteuerung“ in der <strong>Active</strong> <strong>Directory</strong> Lightweight<br />
<strong>Directory</strong> Services-Hilfe<br />
• „Prüfliste: Synchronisieren von Daten von AD DS nach AD LDS“ in der <strong>Active</strong> <strong>Directory</strong> Lightweight<br />
<strong>Directory</strong> Services-Hilfe
649<br />
K A P I T E L 1 7<br />
<strong>Active</strong> <strong>Directory</strong>-Zertifikatdienste<br />
Inhalt dieses Kapitels:<br />
<strong>Active</strong> <strong>Directory</strong>-Zertifikatdienste – Übersicht . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 649<br />
Implementieren der AD CS . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 658<br />
Verwalten von Zertifikaten in den AC CS . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 672<br />
Entwerfen einer AD CS-Implementierung . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 681<br />
Zusammenfassung. . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 687<br />
Empfohlene Vorgehensweisen. . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 688<br />
Zusätzliche Ressourcen. . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 688<br />
Die <strong>Active</strong> <strong>Directory</strong>-Zertifikatdienste (AD CS) sind die Microsoft-Implementierung einer Public<br />
Key-Infrastruktur (PKI). Die PKI ist die Basis der Komponenten und Prozesse zum Ausstellen und<br />
Verwalten digitaler Zertifikate für Verschlüsselungs- und Authentifizierungszwecke. Die AD CS müssen<br />
nicht als Teil einer Windows Server 2008-<strong>Active</strong> <strong>Directory</strong>-Struktur implementiert werden. Doch<br />
viele Unternehmen finden es nützlich, diese Dienste intern bereitzustellen, anstatt mit einem externen<br />
Anbieter zusammenzuarbeiten.<br />
Dieses Kapitel beginnt mit einer Übersicht über die AD CS und ihre Verwendungsmöglichkeiten.<br />
Anschließend wird die Implementierung der AD CS und die Verwaltung der von den AD CS ausgestellten<br />
Zertifikaten behandelt. Schließlich wird der allgemeine Entwurf einer AD CS-Implementierung<br />
untersucht.<br />
<strong>Active</strong> <strong>Directory</strong>-Zertifikatdienste – Übersicht<br />
Die AD CS sind eine Komponente von Windows Server 2008 zum Ausstellen und Verwalten digitaler<br />
Zertifikate. Die von den AD CS ausgestellten digitalen Zertifikate können für das verschlüsselnde<br />
Dateisystem (Encrypting File System, EFS), die E-Mail-Verschlüsselung, SSL (Secure Sockets<br />
Layer) und die Authentifizierung verwendet werden. Ein Server, auf dem die AD CS installiert sind,<br />
wird als Zertifizierungsstelle bezeichnet.<br />
Digitale Zertifikate werden für die asymmetrische Verschlüsselung verwendet, die zwei Schlüssel<br />
erfordert. Der erste Schlüssel ist der private Schlüssel, der vom Benutzer oder Computer, für den ein<br />
digitales Zertifikat ausgestellt wurde, sicher gespeichert wird. Der zweite Schlüssel ist der öffentliche<br />
Schlüssel, der an andere Benutzer und Computer verteilt wird. Die von dem einen Schlüssel verschlüsselten<br />
Daten können nur mit dem anderen Schlüssel entschlüsselt werden. Diese Beziehung<br />
gewährleistet den Schutz der verschlüsselten Daten. Jeder Schlüssel ist ausreichend groß, um die<br />
Berechnung des privaten Schlüssels bei Besitz des öffentlichen Schlüssels zu verhindern.
650 Kapitel 17: <strong>Active</strong> <strong>Directory</strong>-Zertifikatdienste<br />
Komponenten der Public Key-Infrastruktur<br />
Die Public Key-Infrastruktur (PKI) besteht im Allgemeinen aus verschiedenen Komponenten wie<br />
Zertifizierungsstellen, Verwaltungsprogrammen und Zertifikatsperrlisten. Zusätzlich zu diesen allgemeinen<br />
PKI-Komponenten bieten die AD CS auch Zertifikatvorlagen, die zum Automatisieren der<br />
Ausstellung von Zertifikaten an Benutzer und Computer verwendet werden können.<br />
Verwaltungsprogramme für Zertifikate und Zertifizierungsstellen<br />
Windows Server 2008 bietet verschiedene grafische und Befehlszeilenprogramme für die Verwaltung<br />
von Zertifikaten und Zertifizierungsstellen. Die meisten Aufgaben zur Verwaltung von Clientzertifikaten<br />
werden mit dem MMC-Snap-In Zertifikate ausgeführt (siehe Abbildung 17.1). Mit diesem<br />
Snap-In können die Zertifikate für Benutzer, den lokalen Computer oder Dienste verwaltet werden.<br />
Zu den Verwaltungsaufgaben zählen das Generieren einer Zertifikatsanforderung, das Installieren<br />
neuer Zertifikate, das Erneuern von Zertifikaten, das Installieren vertrauenswürdiger Stammzertifikate<br />
und das Exportieren zu sichernder Zertifikate. Das Befehlszeilenprogramm Certreq.exe dient<br />
zum Automatisieren der Generierung von Zertifikatanforderungen. Dieses Dienstprogramm kann<br />
auch in Skripts verwendet werden.<br />
Hinweis Das Snap-In Zertifikate steht auch auf Windows Vista- und Windows XP-Computern zur Verfügung.<br />
Das Dienstprogramm Certreq.exe gehört zum Funktionsumfang von Windows Vista und Windows<br />
Server 2003 Service Pack 1 Administration Tools Pack.<br />
Abbildung 17.1<br />
Das MMC-Snap-In Zertifikate
<strong>Active</strong> <strong>Directory</strong>-Zertifikatdienste – Übersicht 651<br />
Direkt von der Quelle: Aktivieren der CryptoAPI 2.0-Diagnoseprotokollierung<br />
Windows Vista und Windows Server 2008 bieten die neue integrierte Funktion CryptoAPI 2.0-<br />
Diagnose, mit der Probleme mit der Public Key-Infrastruktur behandelt werden können. In<br />
früheren Windows-Versionen wurden nur bestimmte Ereignisse hinsichtlich der PKI in den Ereignisprotokollen<br />
aufgezeichnet. Die neue Diagnoseprotokollierung ermöglicht PKI-Administratoren<br />
und Anwendungsentwicklern die Erfassung detaillierter Ereignisse bei den APIs (Application Programming<br />
Interfaces, Schnittstellen für Anwendungsprogrammierung), die von der PKI im Verlauf<br />
von Vorgängen wie u.a. der Prüfung auf Zertifikatsperren, Zertifikatsverkettung und Öffnung eines<br />
Zertifikatspeichers verwendet werden.<br />
Es gibt verschiedene Möglichkeiten zum Aktivieren der Diagnoseprotokollierung. In der Ereignisanzeige<br />
können Administratoren zum folgenden Speicherort wechseln:<br />
Klicken Sie hier mit der rechten Maustaste auf Betriebsbereit, und wählen Sie die Option Protokoll<br />
aktivieren aus.<br />
Eine weitere Methode zum Aktivieren bzw. Deaktivieren der Protokollierung bietet das Befehlszeilenprogramm<br />
Wevutil.exe. Um die Protokollierung zu aktivieren, geben Sie folgenden Befehl ein:<br />
Wevtutil.exe sl Microsoft-Windows-CAPI2/Operational /e:true<br />
Um die Protokollierung zu deaktivieren, geben Sie folgenden Befehl ein:<br />
Wevtutil.exe sl Microsoft-Windows-CAPI2/Operational /e:false<br />
Bei aktivierter Diagnoseprotokollierung werden im Betriebsprotokoll detaillierte Ereignisse angezeigt.<br />
Ein Administrator kann anschließend das Protokoll nach relevanten Ereignissen filtern oder<br />
es als benutzerdefinierte Ansicht speichern, um künftige Ereignisse zu überwachen.
652 Kapitel 17: <strong>Active</strong> <strong>Directory</strong>-Zertifikatdienste<br />
Weitere Informationen zu Wevtutil.exe finden Sie unter http://technet2.microsoft.com/<br />
windowsserver2008/en/library/d4c791e0-7e59-45c5-aa55-0223b77a48221033.mspx?mfr=true.<br />
Bob Drake<br />
Microsoft <strong>Directory</strong> Services Team<br />
Das in Abbildung 17.2 gezeigte Snap-In Zertifizierungsstelle dient zum Verwalten von Zertifizierungsstellen,<br />
die auf den AD CS basieren. In diesem Snap-In können Sie ausgestellte und gesperrte<br />
Zertifikate, ausstehende und fehlgeschlagene Zertifikatanforderungen und Zertifikatvorlagen anzeigen.<br />
Sie können auch ausstehende Zertifikatanforderungen anzeigen und genehmigen sowie Zertifikate<br />
sperren, deren Sicherheit gefährdet ist. Schließlich können Sie die Eigenschaften der Zertifizierungsstelle<br />
anzeigen und ändern.<br />
Abbildung 17.2<br />
Das MMC-Snap-In Zertifizierungsstelle<br />
Das in Abbildung 17.3 gezeigte Snap-In Unternehmens-PKI dient zum Anzeigen des Status von Zertifizierungsstellen<br />
in einem Unternehmen. Der Status mehrerer Zertifizierungsstelle kann schnell<br />
erfasst, und potenzielle Probleme können detailliert untersucht werden. Dieses Snap-In war in den<br />
Tools von „Windows Server 2003 – Die technische Referenz“ als PKIView enthalten.<br />
Mit dem Befehlszeilenprogramm Certutil.exe können Sie nahezu dieselben Aufgaben wie mit den<br />
Snap-Ins Zertifikate und Zertifizierungsstelle ausführen. Dieses Programm kann jedoch in Skripts eingesetzt<br />
werden, um die Zertifikatverwaltung auf Servern und Arbeitsstationen zu automatisieren. Mit<br />
Certutil.exe können auch Aufgaben zur Verwaltung von Zertifizierungsstellen ausgeführt werden.
<strong>Active</strong> <strong>Directory</strong>-Zertifikatdienste – Übersicht 653<br />
Abbildung 17.3<br />
Das MMC-Snap-In Unternehmens-PKI<br />
Digitale Zertifikate<br />
Während die PKI die Verwendung von sowohl einem öffentlichen als auch einem privaten Schlüssel<br />
erfordert, ist in einem Zertifikat nur der öffentliche Schlüssel enthalten. Dadurch kann das Zertifikat<br />
öffentlich verteilt und zur Überprüfung zur Verfügung gestellt werden. Der private Schlüssel befindet<br />
sich in der für öffentliche Schlüssel fähigen Anwendung oder auf dem lokalen Computer. Windows<br />
speichert private Schlüssel in Benutzerprofilen.<br />
Das digitale Zertifikat enthält Informationen zum Antragsteller, der das Zertifizierungsstelle angefordert<br />
hat. Dadurch können Zertifikate zum Überprüfen der Identität der Person oder des Computers<br />
verwendet werden, zu der/dem der private Schlüssel gehört. Ein digitales Zertifikat für einen Webserver<br />
enthält beispielsweise den Hostnamen oder die IP-Adresse des Webservers. Informationen zur<br />
Zertifizierungsstelle, die das Zertifikat ausgestellt hat, sind ebenfalls enthalten, um die Überprüfung<br />
der Gültigkeit dieser Zertifizierungsstelle zu ermöglichen.<br />
Zertifikate enthalten auch Informationen zu ihrem Zweck und zum Zeitraum, in dem sie gültig sind.<br />
Ein Zertifikat kann beispielsweise auf die Nutzung für das verschlüsselnde Dateisystem (EFS)<br />
beschränkt werden. Zertifikate sind nur für einen bestimmten Zeitraum gültig, der in der Regel<br />
maximal zwei Jahre beträgt. Nach Ablauf dieses Zeitraums kann ein Zertifikat nicht mehr verwendet<br />
werden.<br />
Weitere Informationen Das spezifische Format von Zertifikaten, die von einer Windows Server 2008-Zertifizierungsstelle<br />
ausgestellt werden, ist X.509, Version 3. Detaillierte Informationen zu X.509, Version 3, und<br />
zur PKI finden Sie in „RFC 3280: Internet X.509 Public Key Infrastructure Certificate and Certificate Revocation<br />
List (CRL) Profile“ unter http://www.ietf.org/rfc/rfc3280.txt.
654 Kapitel 17: <strong>Active</strong> <strong>Directory</strong>-Zertifikatdienste<br />
Zertifizierungsstellen<br />
Zertifizierungsstellen sind die PKI-Komponenten, die digitale Zertifikate für Benutzer und Computer ausstellen.<br />
Wenn Unternehmen digitale Zertifikate implementieren, muss festgelegt werden, ob mithilfe der<br />
AD CS eine interne Zertifizierungsstelle eingerichtet oder eine externe Zertifizierungsstelle eingesetzt<br />
werden soll. Der Hauptvorteil einer internen Zertifizierungsstelle ist die Wirtschaftlichkeit, da für jedes<br />
ausgestellte Zertifikat keine zusätzlichen Kosten anfallen. Im Gegensatz dazu wird bei Verwenden einer<br />
externen Zertifizierungsstelle eine Gebühr für jedes ausgestellte Zertifikat erhoben. Wenn Hunderte oder<br />
Tausende von Zertifikaten ausgestellt werden, kann dieser Faktor eine große Rolle spielen. Doch für einfache<br />
Anwendungsbereiche, z.B. ein SSL-Zertifikat für einen Einzelserver, übersteigen die Verwaltungskosten<br />
für den Betrieb einer Zertifizierungsstelle zumeist die Kosten des Zertifikats selbst.<br />
Wenn Sie Dienste unter Verwendung digitaler Zertifikate für externe Clients implementieren, wird einer<br />
internen Zertifizierungsstelle von externen Clients nicht automatisch vertraut. Wird einer internen Zertifizierungsstelle<br />
von externen Clients nicht vertraut, zeigt die Anwendung Warnmeldungen an oder funktioniert<br />
überhaupt nicht. Ein Beispiel einer Warnmeldung sehen Sie in Abbildung 17.4. Internen Zertifizierungsstellen<br />
wird von internen Clients automatisch vertraut, da das vertrauenswürdige Stammzertifikat der<br />
internen Zertifizierungsstelle an Domänenmitglieder verteilt wird. Interne und externe Clients vertrauen<br />
vielen externen Zertifizierungsstellen automatisch. Externe Zertifizierungsstellen, die zum Microsoft-<br />
Stammzertifikatsprogramm gehören, wird von Windows-Betriebssystemen automatisch vertraut.<br />
Abbildung 17.4<br />
Fehlermeldung aufgrund eines Zertifikats einer nicht vertrauenswürdigen Zertifizierungsstelle
Zertifikatsperrlisten<br />
<strong>Active</strong> <strong>Directory</strong>-Zertifikatdienste – Übersicht 655<br />
Hinweis Das vertrauenswürdige Stammzertifikat einer internen Zertifizierungsstelle wird bei Verwenden<br />
einer Stammzertifizierungsstelle des Unternehmens über Gruppenrichtlinien automatisch an Clients verteilt.<br />
Andernfalls können Sie eine Gruppenrichtlinie manuell so konfigurieren, dass das vertrauenswürdige<br />
Stammzertifikat verteilt wird.<br />
Eine Zertifikatsperrliste enthält Zertifikate, die vor ihrem Ablaufdatum von einem Administrator<br />
gesperrt wurden. Dies kann immer dann erfolgen, wenn ein Zertifikat nicht mehr vertrauenswürdig ist<br />
oder nicht mehr benötigt wird. Bei einem Geschäftspartner, der ein Zertifikat für Authentifizierungszwecke<br />
nutzt, kann das Zertifikat beispielsweise gesperrt werden, wenn die Geschäftsbeziehung nicht<br />
mehr besteht. Ein Zertifikat kann auch gesperrt werden, wenn die Sicherheit des privaten Schlüssels<br />
des Zertifikats gefährdet ist.<br />
Zertifikatvorlagen<br />
Zertifikatvorlagen dienen zum Steuern der Erstellung von Zertifikaten. Mithilfe von Zertifikatvorlagen<br />
wird eine Vielzahl von Zertifikateigenschaften festgelegt, z.B. Zweck, Gültigkeitszeitraum,<br />
Erneuerungszeitraum, Kryptografiedienstanbieter, Format des Antragstellernamens und hinzugefügte<br />
Erweiterungen. Zertifikatvorlagen können auch zum Automatisieren des Registrierungsprozesses für<br />
Zertifikate dienen, indem festgelegt wird, welche Benutzer Zugriff auf die Vorlage haben. Sie können<br />
auch Regeln für die Erneuerung festlegen.<br />
Verteilungspunkte für Zertifikate und Zertifikatsperrlisten<br />
Verteilungspunkte sind Stellen, an denen Benutzer und Computer auf Zertifikate und Zertifikatsperrlisten<br />
zugreifen können. Für Zertifikate kann <strong>Active</strong> <strong>Directory</strong> als Verteilungspunkt dienen, über den<br />
Zertifikate veröffentlicht werden. Wird das Snap-In Zertifikate zum Anfordern eines Zertifikats von<br />
einer Unternehmenszertifizierungsstelle verwendet, wird die Antwort automatisch abgerufen und von<br />
diesem Snap-In installiert. Wenn eine Zertifikatanforderung über die Webregistrierung erfolgt, wird<br />
die Antwort von der Zertifikatdienstwebsite abgerufen.<br />
Zertifikatsperrlisten werden regelmäßig von Computern heruntergeladen, um sicherzustellen, dass sie<br />
über eine aktuelle Liste gesperrter Zertifikate verfügen, denen nicht vertraut werden darf, auch wenn<br />
die Zertifikate nicht abgelaufen sind. Frühere Windows Server-Versionen verteilten die Zertifikatsperrliste,<br />
indem diese auf der Zertifikatdienstwebsite und in <strong>Active</strong> <strong>Directory</strong> zur Verfügung<br />
gestellt wurden. Die AD CS unter Windows Server 2008 unterstützen diese beiden Methoden sowie<br />
das OSCP (Online Certificate Status Protocol).<br />
Public Key-Infrastrukturfähige Anwendungen<br />
Um Zertifikate für die Verschlüsselung oder digitale Signaturen verwenden zu können, müssen Ihre<br />
Anwendungen die PKI unterstützen. Um beispielsweise E-Mails mit einer digitalen Signatur senden<br />
zu können, muss der E-Mail-Client Zertifikate unterstützen. Darüber hinaus muss der Webserver Zertifikate<br />
zum Verschlüsseln von Verbindungen mithilfe von SSL (Secure Sockets Layer) unterstützen.<br />
Ist eine Anwendung nicht PKI-fähig, können Sie für Verschlüsselung und digitale Signaturen keine<br />
Zertifikate nutzen.
656 Kapitel 17: <strong>Active</strong> <strong>Directory</strong>-Zertifikatdienste<br />
Zertifizierungsstellen<br />
Eine Zertifizierungsstelle ist für die Ausstellung von Zertifikaten zuständig. Im Rahmen dieses Prozesses<br />
wird die Identität des Anforderers überprüft, was manuell oder automatisch erfolgen kann. Die<br />
manuelle Überprüfung verhindert die automatische Ausstellung von Zertifikaten und erfordert das<br />
Eingreifen eines Administrators. Die manuelle Überprüfung kann beispielsweise erforderlich machen,<br />
dass ein Administrator vor Ausstellung eines Zertifikats das Beschäftigungsverhältnis überprüft. Windows<br />
Server 2008-Zertifizierungsstellen können (ebenso wie Windows 2000 Server- und Windows<br />
Server 2003-Zertifizierungsstellen) in Kombination mit Zertifikatvorlagen den Status automatisch<br />
überprüfen. Wenn sich ein Benutzer anmeldet und über die benötigten Berechtigungen für den Zugriff<br />
auf eine Vorlage verfügt, wird der Überprüfungsprozess für den Benutzer und Administrator automatisiert.<br />
Zertifizierungsstellen sind auch für die Verwaltung der Zertifikatsperrung zuständig. Das Sperren<br />
eines Zertifikats wird von einem Administrator manuell ausgelöst. Nachdem das Zertifikat gesperrt<br />
wurde, veröffentlicht die Zertifizierungsstelle diese Sperrung in der Zertifikatsperrliste und stellt den<br />
Zertifikatstatus über OCSP zur Verfügung.<br />
Hierarchie von Zertifizierungsstellen<br />
Das Thema „Vertrauen“ steht bei der Planung der Implementierung der PKI im Mittelpunkt. Insbesondere<br />
den Zertifikate ausstellenden Zertifizierungsstellen muss von den Clients vertraut werden, die<br />
diese Zertifikate verwenden. Windows-Clients führen eine Liste vertrauenswürdiger Stammzertifizierungsstellen.<br />
Von einer vertrauenswürdigen Stammzertifizierungsstelle ausgestellten Zertifikaten wird<br />
von Windows-Clients vertraut. Windows-Clients vertrauen außerdem Zertifikaten, die von den vertrauenswürdigen<br />
Stammzertifizierungsstellen autorisierten Zertifizierungsstellen ausgestellt werden.<br />
Die erste in Ihrem Unternehmen eingerichtete Windows Server 2008-Zertifizierungsstelle ist eine<br />
Stammzertifizierungsstelle. Wenn die Stammzertifizierungsstelle eine Unternehmenszertifizierungsstelle<br />
ist, wird das selbst signierte Zertifikat der Stammzertifizierungsstelle automatisch an die Windows-Clients<br />
in der <strong>Active</strong> <strong>Directory</strong>-Gesamtstruktur als vertrauenswürdiges Stammzertifikat verteilt.<br />
Deshalb vertrauen Windows-Clients in der <strong>Active</strong> <strong>Directory</strong>-Gesamtstruktur automatisch den<br />
von einer internen Zertifizierungsstelle ausgestellten Zertifikaten. Bei Verwenden einer eigenständigen<br />
Stammzertifizierungsstelle müssen Sie die Verteilung des vertrauenswürdigen Stammzertifikats<br />
für die Stammzertifizierungsstelle konfigurieren.<br />
In kleineren Unternehmen ist ggf. nur eine Zertifizierungsstelle erforderlich. In größeren Unternehmen<br />
sind u. U. viele Zertifizierungsstelle mit spezifischen Funktionen notwendig. Wird eine zweite<br />
Windows Server 2008 installiert, wird das Zertifizierungsstellenzertifikat für die zweite Zertifizierungsstelle<br />
von der vertrauenswürdigen Stammzertifizierungsstelle signiert. Deshalb vertrauen alle<br />
Windows-Clients in der <strong>Active</strong> <strong>Directory</strong>-Gesamtstruktur den von der zweiten Zertifizierungsstelle<br />
ausgestellten Zertifikaten. Die zweite Zertifizierungsstelle kann eine dritte Zertifizierungsstelle autorisieren,<br />
deren Zertifikaten auch von den Windows-Clients in der <strong>Active</strong> <strong>Directory</strong>-Gesamtstruktur<br />
vertraut wird. Über diesen Prozess können Sie eine Hierarchie aus Zertifizierungsstellen aufbauen,<br />
welche die Anforderungen Ihres Unternehmens erfüllt. Alle in einer Hierarchie nach der Stammzertifizierungsstelle<br />
installierten Zertifizierungsstellen sind untergeordnete Zertifizierungsstellen.<br />
Unternehmens- und eigenständige Zertifizierungsstellen<br />
Windows Server 2008-Zertifizierungsstellen können nur als eigenständige oder Unternehmenszertifizierungsstellen<br />
installiert werden, wobei der Hauptunterschied zwischen beiden die Integration in<br />
<strong>Active</strong> <strong>Directory</strong> ist.
<strong>Active</strong> <strong>Directory</strong>-Zertifikatdienste – Übersicht 657<br />
Eine Unternehmenszertifizierungsstelle wird automatisch mit <strong>Active</strong> <strong>Directory</strong> integriert. Dies ermöglicht<br />
die Automatisierung der Zertifikatregistrierung und Hinzufügung der Stamm- und untergeordneten<br />
Zertifizierungsstellen zu den ordnungsgemäßen Zertifizierungsstellenspeichern auf Domänencomputern.<br />
Eigenständige Zertifizierungsstellen können nur begrenzt mit <strong>Active</strong> <strong>Directory</strong> integriert<br />
werden (beispielsweise können Konfigurationsdaten in <strong>Active</strong> <strong>Directory</strong> veröffentlicht werden),<br />
wobei die Integration manuell erfolgen muss. Tabelle 17.1 zeigt die Eigenschaften im Detail.<br />
Tabelle 17.1<br />
Eigenschaften von Zertifizierungsstellen<br />
Eigenständige Zertifizierungsstelle<br />
Konfiguration kann in <strong>Active</strong> <strong>Directory</strong> gespeichert werden.<br />
Das Zertifikat der Zertifizierungsstelle und die Zertifikatsperrliste<br />
können manuell in <strong>Active</strong> <strong>Directory</strong> veröffentlich<br />
werden.<br />
Zertifikate werden standardmäßig nur über die Webregistrierung<br />
ausgestellt.<br />
Die Benutzerkennung wird manuell vom Benutzer eingegeben.<br />
Zertifikate werden manuell genehmigt.<br />
Zertifikate können nicht in <strong>Active</strong> <strong>Directory</strong> veröffentlicht<br />
werden.<br />
Eigenständige Server können verwendet werden.<br />
Zertifikatvorlagen werden nicht verwendet.<br />
Mitglieder der lokalen Gruppe Administratoren haben Installationsrechte.<br />
Unternehmenszertifizierungsstelle<br />
Konfiguration wird stets in <strong>Active</strong> <strong>Directory</strong> gespeichert.<br />
Das Zertifikat der Zertifizierungsstelle, die Zertifikatsperrliste<br />
und die Delta-Zertifikatsperrliste werden automatisch in <strong>Active</strong><br />
<strong>Directory</strong> veröffentlich.<br />
Zertifikate werden über die Webregistrierung oder das MMC-<br />
Snap-In Zertifikate ausgestellt.<br />
Die Benutzerkennung wird aus <strong>Active</strong> <strong>Directory</strong> abgerufen.<br />
Zertifikate können manuell oder automatisch genehmigt<br />
werden.<br />
Zertifikate können automatisch in <strong>Active</strong> <strong>Directory</strong> veröffentlicht<br />
werden.<br />
Domänenserver müssen verwendet werden.<br />
Zertifikatvorlagen werden verwendet.<br />
Nur Mitglieder der Gruppe Unternehmensadministratoren oder<br />
Domänen-Admins der Stammdomäne der Gesamtstruktur<br />
haben Installationsrechte.<br />
Offlinezertifizierungsstellen<br />
Ist die Sicherheit einer Zertifizierungsstelle gefährdet, gelten auch alle von der Zertifizierungsstelle<br />
ausgestellten Zertifikate als gefährdet, die deshalb gesperrt werden müssen. Demzufolge ist die<br />
Sicherheit einer Zertifizierungsstelle von sehr großer Bedeutung. Eine Offlinezertifizierungsstelle bietet<br />
ein Plus an Sicherheit, da sie nicht mit dem Netzwerk verbunden ist. Eine Offlinezertifizierungsstelle<br />
ist ferner auch kein Domänenmitglied und kann deshalb keine Unternehmenszertifizierungsstelle<br />
sein.<br />
Zertifikatanforderungen an eine Offlinezertifizierungsstelle müssen auf physischen Datenträgern wie<br />
einer Diskette oder einem USB-Laufwerk erfolgen. Aus diesem Grund ist eine Offlinezertifizierungsstelle<br />
für das Ausstellen von Zertifikaten an eine große Anzahl von Benutzern nicht sehr praktisch.<br />
Außerdem verhindert sie die automatische Registrierung bei bzw. Integration mit <strong>Active</strong> <strong>Directory</strong>.<br />
Die meisten Offlinezertifizierungsstellen sind Stammzertifizierungsstellen mit untergeordneten Zertifizierungsstellen<br />
für die Zertifikatregistrierung. Die untergeordneten Zertifizierungsstellen sind dann<br />
Unternehmenszertifizierungsstellen, die zum Vereinfachen der Zertifikatregistrierung <strong>Active</strong> <strong>Directory</strong><br />
und Zertifikatvorlagen verwenden können.<br />
Hinweis Offlinezertifikatanforderungen können mit Certreq.exe erstellt werden. Windows Vista und Windows<br />
Server 2008 bieten über das MMC-Snap-In Zertifikate Unterstützung für die Erstellung von Offlinezertifikatanforderungen.
658 Kapitel 17: <strong>Active</strong> <strong>Directory</strong>-Zertifikatdienste<br />
Szenarien für die Bereitstellung der Zertifikatdienste<br />
Die AD CS werden nur implementiert, wenn Sie eine oder mehrere interne Zertifizierungsstellen<br />
bereitstellen möchten. Wenn Sie Zertifikate einsetzen möchten, die von einer unternehmensexternen<br />
Zertifizierungsstelle ausgestellt werden, sind die AD CS nicht notwendig. Eine externe Zertifizierungsstelle<br />
wird zumeist genutzt, wenn Clients außerhalb des Unternehmens den Zertifikaten vertrauen<br />
müssen. Eine externe Zertifizierungsstelle kommt zumeist für folgende Zwecke zum Einsatz:<br />
• Absichern von E-Mail durch Verschlüsselung oder digitale Signaturen<br />
• Absichern von Websites mit SSL-Zertifikaten<br />
Eine interne Zertifizierungsstelle eignet sich gut für Clients, die es bereits im Unternehmen gibt<br />
und die problemlos so konfiguriert werden können, dass sie der internen Zertifizierungsstelle vertrauen.<br />
Für die folgenden Zwecke können die AD CS als interne Zertifizierungsstelle eingesetzt<br />
werden:<br />
Absichern von Dateien mit dem EFS Die AD CS können zum Ausstellen von Zertifikaten für<br />
alle EFS-Benutzer und zum Erstellen eines Wiederherstellungsschlüssels dienen. Die Schlüsselarchivierung<br />
und -wiederherstellung ist auch wichtig, wenn das EFS mithilfe der AD CS<br />
eingerichtet wird.<br />
Absichern interner Webanwendungen Mithilfe der AD CS können SSL-Zertifikate für interne<br />
Webserver ausgestellt werden. Die internen Clients vertrauen der internen Zertifizierungsstelle.<br />
Erhöhen der Sicherheit drahtloser Netzwerke Die AD CS können als Teil des Systems konfiguriert<br />
werden und die 802.1X-Authentifizierung für drahtlose Geräte durchführen. Bei Aktivierung<br />
der 802.1X-Authentifizierung werden drahtlose Clients authentifiziert, bevor ihnen der<br />
Zugriff auf das Netzwerk gestattet wird. Dies wird vom Registrierungsdienst für Netzwerkgeräte<br />
unterstützt, über den Geräte Zertifikate von den AD CS abrufen können.<br />
Erhöhen der Sicherheit von Benutzeranmeldungen durch Smartcards Die AD CS können Zertifikate<br />
ausstellen, die auf Smartcards gespeichert und zum Anmelden verwendet werden. Die<br />
Sicherheit ist höher, da die Authentifizierung nun auf zwei Faktoren basiert. Die Benutzer<br />
müssen die Smartcard und eine PIN (persönliche Identifizierungsnummer) vorlegen. Durch<br />
die Einführung eines eingeschränkten Registrierungs-Agent wurde die Unterstützung von<br />
Smartcards unter Windows Server 2008 optimiert. Ein autorisierter Benutzer kann nun Smartcards<br />
für bestimmte Personen oder Gruppen konfigurieren. Ein lokaler IT-Supportmitarbeiter<br />
kann beispielsweise Smartcards für alle Benutzer an einem Remotestandort konfigurieren. In<br />
früheren Windows-Versionen konnte ein Registrierungs-Agent nicht eingeschränkt werden.<br />
Hinweis Der eingeschränkte Registrierungs-Agent steht unter Windows Server 2008 Enterprise zur<br />
Verfügung.<br />
Implementieren der AD CS<br />
Die AD CS sind eine komplexe Komponente mit verschiedenen Optionen für die Implementierung.<br />
Die Implementierungsoptionen für Stamm- und untergeordnete Zertifizierungsstellen unterscheiden<br />
sich, weshalb Sie sich mit dem jeweiligen Prozess vertraut machen müssen. Die Webregistrierung<br />
wird üblicherweise in vielen Umgebungen verwendet und muss konfiguriert werden. Zudem müssen<br />
Sie auch die Zertifikatsperrung entweder mithilfe von Zertifikatsperrlisten oder OCSP verwalten.<br />
Schließlich müssen Sie wissen, wie die Schlüsselarchivierung und -wiederherstellung erfolgt.
Installieren von AD CS-Stammzertifizierungsstellen<br />
Implementieren der AD CS 659<br />
Die Installationsoptionen für eine Zertifizierungsstelle müssen dokumentiert werden, bevor Sie mit<br />
der Installation beginnen. Dies stellt sicher, dass während der Installation die ordnungsgemäßen<br />
Optionen ausgewählt werden, und unterstützt die Wiederherstellung nach einem Ausfall. Fügen Sie<br />
in Server-Manager die Rolle <strong>Active</strong> <strong>Directory</strong>-Zertifikatdienste hinzu. Sie müssen die folgenden<br />
Optionen festlegen:<br />
• Rollendienste Der einzige zum Konfigurieren einer Stammzertifizierungsstelle erforderliche Rollendienst<br />
heißt Zertifizierungsstelle und dient zum Konfigurieren des Servers für die Ausstellung<br />
von Zertifikaten. Ferner ist Zertifizierungsstellen-Webregistrierung erforderlich, um Zertifikatanforderungen<br />
anzunehmen und Zertifikate für eine eigenständige Stammzertifizierungsstelle auszustellen.<br />
Die Protokolle Online Certificate Status Protocol und Microsoft Simple Certificate<br />
Enrollment Protocol werden eher für untergeordnete Zertifizierungsstellen und nicht für die<br />
Stammzertifizierungsstelle installiert.<br />
• Installationstyp Der Installationstyp wird als Unternehmen oder Eigenständig angegeben. Wenn<br />
die Stammzertifizierungsstelle als Offline-Stammzertifizierungsstelle eingerichtet werden soll,<br />
wählen Sie Eigenständig. Ein Wechsel zwischen einer Unternehmens- und einer eigenständigen<br />
Zertifizierungsstelle ist möglich, wofür jedoch eine Neuinstallation und Wiederherstellung aus<br />
einer Sicherung erforderlich ist.<br />
• Zertifizierungsstellentyp Der Zertifizierungsstellentyp wird als Stammzertifizierungsstelle oder<br />
Untergeordnete Zertifizierungsstelle angegeben. Stammzertifizierungsstelle wird beim Installieren<br />
der ersten Zertifizierungsstelle in der Hierarchie ausgewählt.<br />
• Privater Schlüssel Sie können einen neuen privaten Schlüssel erstellen oder einen vorhandenen<br />
privaten Schlüssel verwenden. Erstellen Sie bei der Installation einer neuen Stammzertifizierungsstelle<br />
einen neuen privaten Schlüssel. Verwenden Sie beim Wiederherstellen einer ausgefallenen<br />
Zertifizierungsstelle einen vorhandenen privaten Schlüssel.<br />
• Kryptografie Sie müssen den Kryptografiedienstanbieter, Hashalgorithmus und die Schlüssellänge<br />
auswählen. Stellen Sie sicher, dass die gewählten Einstellungen mit anderen Systemen<br />
kompatibel sind, mit denen diese Zertifizierungsstelle kommunizieren muss. Einige Zertifizierungsstellen<br />
von Drittanbietern weisen beispielsweise eine maximale Schlüssellänge von<br />
2048 Bits auf.<br />
Hinweis Die integrierten Kryptografiedienstanbieter sind für die meisten Zwecke ausreichend, doch<br />
können Entwickler nach Wunsch eigene entwickeln, was häufig von Smartcardherstellern vorgenommen<br />
wird. Weitere Informationen zum Entwickeln von Kryptografiedienstanbietern finden Sie in „Writing<br />
a CSP“ unter http://msdn2.microsoft.com/en-us/library/aa388213(VS.85).aspx.<br />
• Zertifizierungsstellenname Sie sollten eine Standardbenennungsrichtlinie für sämtliche Zertifizierungsstellen<br />
festlegen. Der Zertifizierungsstellenname darf maximal 64 Zeichen haben. Standardmäßig<br />
enthält der Zertifizierungsstellenname den Computernamen, was aber nicht erforderlich ist.<br />
Der vollständig qualifizierte Domänenname der Zertifizierungsstelle darf nicht als Zertifizierungsstellenname<br />
gewählt werden, um zu verhindern, dass böswillige Benutzer die Stammzertifizierungsstelle<br />
eines Unternehmens einfach herausfinden.<br />
• Gültigkeitsdauer Der wichtigste Punkt bei der Gültigkeitsdauer ist, dass eine Zertifizierungsstelle<br />
keine Zertifikate ausstellen kann, die länger gültig sind als ihr eigenes Zertifikat.
660 Kapitel 17: <strong>Active</strong> <strong>Directory</strong>-Zertifikatdienste<br />
Die Standardgültigkeitsdauer ist fünf Jahre, weshalb an untergeordnete Zertifizierungsstellen und<br />
Clients ausgestellte Zertifikate maximal fünf Jahre ab dem Datum der Installation der Stammzertifizierungsstelle<br />
gültig sind. Um für mehr Flexibilität zu sorgen, wird die Gültigkeitsdauer einer<br />
Stammzertifizierungsstelle häufig auf 10 oder gar 20 Jahre verlängert. Sie können das Zertifikat<br />
der Stammzertifizierungsstelle jederzeit über die Zertifikatdienst-Webseiten oder das MMC-Snap-<br />
In Zertifizierungsstelle erneuern.<br />
• Datenbank und Protokolldatei Eine Stammzertifizierungsstelle stellt zumeist nur wenige Zertifikate<br />
aus. Demzufolge wird die Systemleistung nicht beeinträchtigt, wenn der Standardspeicherort<br />
der Datenbank- und Protokolldateien auf dem Laufwerk %SystemRoot% übernommen wird. In<br />
der Datenbank werden von der Zertifizierungsstelle ausgestellte Zertifikate, von der Zertifizierungsstelle<br />
archivierte private Schlüssel und gesperrte Zertifikate und alle jemals von der Zertifizierungsstelle<br />
empfangenen Zertifikatanforderungen gespeichert.<br />
Hinweis Nach der Installation der AD CS kann der Name eines Servers nicht geändert werden. Um den<br />
Namen eines Servers zu ändern, müssen die AD CS deinstalliert, der Name geändert und die AD CS neu<br />
installiert werden.<br />
CAPolicy.inf<br />
Um eine standardisierte Installation von Zertifizierungsstellen zu gewährleisten, können Sie die Datei<br />
CAPolicy.inf verwenden. Diese Datei enthält Einstellungen, die während der Installation und Erneuerung<br />
einer Zertifizierungsstelle nach deren Ablage im Ordner %Windir% gelesen werden. Sie können<br />
die folgenden Einstellungen festlegen:<br />
• Zertifikatverwendungserklärung Diese Texterklärung beschreibt den Prozess der Ausstellung<br />
von Zertifikaten und wird im Zertifikat der Zertifizierungsstelle angezeigt, was jedoch nicht erforderlich<br />
ist. Um eine Zertifikatverwendungserklärung zu implementieren, müssen Sie die Datei<br />
CAPolicy.inf verwenden. Aus praktischen Gründen wird häufig eine URL hinzugefügt, die auf<br />
eine vollständige Zertifikatverwendungserklärung zeigt, sodass deren Text nicht hinzugefügt werden<br />
muss.<br />
• Veröffentlichungsintervall der Sperrliste Über diese Option können Sie festlegen, wie oft die Zertifikatsperrliste<br />
für diese Zertifizierungsstelle während der Installation aktualisiert wird. Sie können<br />
diese Einstellung auch im MMC-Snap-In Zertifizierungsstelle ändern.<br />
• Erneuerungseinstellungen für Zertifizierungsstellen Bei der Erneuerung eines Zertifikats mit dem<br />
MMC-Snap-In Zertifizierungsstelle wird die bestehende Konfiguration genutzt. Über das Festlegen<br />
von Erneuerungseinstellungen für Zertifizierungsstellen in CAPolicy.inf können Sie die<br />
Schlüssellänge und Gültigkeitsdauer ändern sowie bestimmen, ob ein neues Schlüsselpaar ausgestellt<br />
wird.<br />
• Pfade für den Verteilungspunkt von Zertifikatsperrlisten und Stelleninformationszugriff Da eine<br />
Stammzertifizierungsstelle in der Regel Clients nicht zur Verfügung steht, möchten Sie ggf. nicht<br />
dem Zertifikat der Zertifizierungsstelle die Pfade für den Verteilungspunkt von Zertifikatsperrlisten<br />
und den Stelleninformationszugriff hinzufügen. Sie können diese Erweiterungen in der Datei<br />
CAPolicy.inf deaktivieren. Der Stelleninformationszugriff gibt an, wo das Zertifikat der Zertifizierungsstelle<br />
abgerufen werden kann.<br />
Weitere Informationen Weitere Informationen zur Datei CAPolicy.inf finden Sie in „Syntax von<br />
"CAPolicy.inf"“ auf der Technet-Website unter http://www.microsoft.com/germany/technet/datenbank/<br />
articles/600683.mspx#ED6DI.
Implementieren der AD CS 661<br />
Hardwaresicherheitsmodul (HSM)<br />
Um die Sicherheit privater Schlüssel für eine Zertifizierungsstelle zu erhöhen, können Sie ein Hardwaresicherheitsmodul<br />
(HSM) verwenden. Ein HSM dient zum Speichern privater Schlüssel auf Hardware,<br />
was sicherer als die Speicherung auf der Festplatte ist. Ein HSM kann Funktionalität bieten, die<br />
normalerweise von Software bereitgestellt wird, z.B. Schlüsselgenerierung, Schlüsselarchivierung<br />
und -wiederherstellung und Generierung von Zufallszahlen. Da die Server-CPU diese Aufgaben nicht<br />
mehr übernehmen muss, wird die Serverleistung optimiert.<br />
Installieren untergeordneter AD CS-Zertifizierungsstellen<br />
Die Installation einer untergeordneten Zertifizierungsstelle entspricht nahezu der Installation einer<br />
Stammzertifizierungsstelle, wobei jedoch eine untergeordnete Zertifizierungsstelle das Zertifizierungsstellenzertifikat<br />
von der Stammzertifizierungsstelle abrufen muss. Eine untergeordnete Zertifizierungsstelle<br />
ist zumeist eine Unternehmenszertifizierungsstelle, um die Integration mit <strong>Active</strong><br />
<strong>Directory</strong> und den Einsatz von Zertifikatvorlagen zu ermöglichen. Wie bei der Installation einer<br />
Stammzertifizierungsstelle müssen die Installationsoptionen für eine untergeordnete Zertifizierungsstelle<br />
vor Beginn der Installation überlegt geplant werden.<br />
Wenn die untergeordnete Zertifizierungsstelle ein Zertifikat von der Stammzertifizierungsstelle<br />
anfordert, hängt dieser Vorgang davon ab, ob es sich um eine Offline-, Online-, Unternehmens- oder<br />
eigenständige Stammzertifizierungsstelle handelt. Ist die Stammzertifizierungsstelle eine Online-<br />
Unternehmenszertifizierungsstelle, kann das Zertifikat während der Installation der untergeordneten<br />
Zertifizierungsstelle automatisch abgerufen werden. Ist die Stammzertifizierungsstelle eine eigenständige<br />
Zertifizierungsstelle, muss die Anforderung des Zertifizierungsstellenzertifikats in einer<br />
Datei gespeichert und an die Stammzertifizierungsstelle übermittelt werden. Die Antwort der Stammzertifizierungsstelle<br />
muss anschließend in den Assistenten zum Installieren der <strong>Active</strong> <strong>Directory</strong>-Zertifikatdienste<br />
importiert werden. Ist eine eigenständige Stammzertifizierungsstelle online, kann die<br />
Zertifikatanforderung und -antwort über das Netzwerk erfolgen. Ist sie offline, muss die Zertifikatanforderung<br />
und -antwort auf einem Wechseldatenträger zum Transport zwischen der Stamm- und der<br />
untergeordneten Zertifizierungsstelle gespeichert werden.<br />
Konfigurieren der Webregistrierung<br />
Die Zertifizierungsstellen-Webregistrierung wird in den AD CS als Rollendienst implementiert, den<br />
Sie während der Erstinstallation oder nach der Installation installieren können. Wenn Sie die Zertifizierungsstellen-Webregistrierung<br />
installieren, sind verschiedene zusätzliche Rollendienste und Features<br />
erforderlich. Falls diese noch nicht installiert sind, werden Sie zu deren Installation aufgefordert.<br />
Die folgenden Features und Rollendienste sind erforderlich:<br />
• Webserver (IIS) Die Webserver- und Verwaltungsprogramme sind installiert. Dies gilt auch für die<br />
Unterstützung von ASP-Seiten und der .NET-Erweiterbarkeit, die für die Ausführung der zur Zertifizierungsstellen-Webregistrierung<br />
gehörenden dynamischen Webseiten erforderlich ist.<br />
• Aktivierungsdienst für Windows-Prozesse Hierzu gehört die .NET-Umgebung.<br />
Hinweis Um die Sicherheit zu erhöhen, kann die Website der Webregistrierung auf einem von der Zertifizierungsstelle<br />
getrennten Server konfiguriert werden.
662 Kapitel 17: <strong>Active</strong> <strong>Directory</strong>-Zertifikatdienste<br />
Nach der Installation ist für die Zertifizierungsstellen-Webregistrierung keine weitere Konfiguration<br />
erforderlich. Wenn jedoch das virtuelle Verzeichnis für den Zugriff auf die Webregistrierungsseiten<br />
versehentlich entfernt oder geändert wird, kann es mithilfe von Certutil.exe verwaltet werden. Über<br />
den Befehl certutil -vroot können die virtuellen Verzeichnisse bei Bedarf neu erstellt werden. Über<br />
den Befehl certutil -vroot delete können die virtuellen Verzeichnisse bei Bedarf entfernt werden. Es ist<br />
ggf. sinnvoll, diese virtuellen Verzeichnisse zu entfernen und neu zu erstellen, sollte sich die Standardkonfiguration<br />
geändert haben.<br />
Konfigurieren der Zertifikatsperrung<br />
Wichtig ist, dass Public Key-fähige Anwendungen nur gültige Zertifikate annehmen. Dies gewährleistet,<br />
dass dem Zertifikat und infolgedessen dem Inhaber des Zertifikats vertraut werden kann. Zur<br />
Sicherstellung der Gültigkeit werden die folgenden Prüfungen auf ein Zertifikat angewendet:<br />
• Datumsprüfung Ein Zertifikat wird geprüft, um sicherzustellen, dass das aktuelle Datum zwischen<br />
einem gültigen Anfangs- und Enddatum liegt.<br />
• Zertifikatinhalt und -format Das Zertifikat muss ein gültiges X.509-Zertifikat sein, in dem alle<br />
Pflichtfelder ausgefüllt sind.<br />
• Signaturprüfung Die digitale Signatur der Stammzertifizierungsstelle dient zum Überprüfen, ob<br />
das Zertifikat geändert wurde.<br />
• Überprüfung der Stammzertifizierungsstelle Das Zertifikat muss von einer vertrauenswürdigen<br />
Stammzertifizierungsstelle ausgestellt worden sein.<br />
• Richtlinienüberprüfung und wichtige Erweiterungen Die Anwendung fordert ggf. an, dass eine<br />
bestimmte Richtlinie eingehalten wird. Oder eine Anwendung weist ggf. ein Zertifikat mit einer<br />
als wichtig markierten Erweiterung zurück, die die Anwendung nicht interpretieren kann.<br />
Zusätzlich zu diesen Gültigkeitsprüfungen kann eine Sperrprüfung erfolgen. Sie sperren ein Zertifikat,<br />
wenn sie es ungültig machen möchten, bevor das Ende seiner Gültigkeitsdauer erreicht ist. Es folgen<br />
verschiedene Gründe zum Sperren eines Zertifikats:<br />
• Gefährdete Sicherheit des privaten Schlüssels eines Zertifikats<br />
• Gefährdete Sicherheit des privaten Schlüssels der ausstellenden Zertifizierungsstelle<br />
• Veränderung der Geschäftsbeziehung zu einem anderen Unternehmen<br />
• Änderung des Beschäftigungsstatus eines Mitarbeiters<br />
• Betrügerischer Bezug eines Zertifikats<br />
Windows Server 2008 unterstützt sowohl Zertifikatsperrlisten als auch einen Online-Responder zum<br />
Überprüfen des Sperrstatus eines Zertifikats. Zertifikatsperrlisten sind die herkömmliche Methode<br />
zum Bereitstellen von Sperrungsdaten. Der Online-Responder ist eine neue Funktion unter Windows<br />
Server 2008.<br />
Konfiguration von Zertifikatsperrlisten<br />
Eine Zertifikatsperrliste enthält gesperrte Zertifikate, die eine Public Key-fähige Anwendung zum<br />
Überprüfen der Gültigkeit eines Zertifikats verwenden kann. Es gibt zwei Typen von Zertifikatsperrlisten:<br />
eine Basis- und eine Delta-Zertifikatsperrliste. Die Basis-Zertifikatsperrliste enthält alle ab<br />
einem bestimmten Zeitpunkt gesperrten Zertifikate. Die Delta-Zertifikatsperrliste enthält alle seit<br />
Erstellung der letzten Basis-Zertifikatsperrliste gesperrten Zertifikate.
Implementieren der AD CS 663<br />
Die Basis- und die Delta-Zertifikatsperrliste dienen gemeinsam zum Bereitstellen der vollständigen<br />
Liste gesperrter Zertifikate. Standardmäßig wird eine Basis-Zertifikatsperrliste einmal pro Woche und<br />
eine Delta-Zertifikatsperrliste einmal pro Tag veröffentlicht. Sie können im MMC-Snap-In Zertifizierungsstelle<br />
die Eigenschaften des Ordners Gesperrte Zertifikate an die besonderen Anforderung Ihres<br />
Unternehmens anpassen (siehe Abbildung 17.5).<br />
Abbildung 17.5<br />
Festlegen der Veröffentlichung von Zertifikatsperrlisten<br />
Der Zweck einer Delta-Zertifikatsperrliste ist die Verringerung des Netzwerkdatenverkehrs beim<br />
Herunterladen von Zertifikatsperrlisten auf Clientcomputer. Wenn eine Zertifizierungsstelle für einen<br />
bestimmten Zeitraum in Betrieb ist, kann die Basis-Zertifikatsperrliste recht umfangreich werden.<br />
Heruntergeladene Zertifikatsperrlisten sind vergleichsweise wesentlich kleiner (vergleichbar mit einer<br />
differenziellen und einer vollständigen Datensicherung).<br />
Hinweis Windows 2000-Clients unterstützen keine Delta-Zertifikatsperrlisten und verwenden nur Basis-<br />
Zertifikatsperrlisten. Falls es im Netzwerk Windows 2000-Clients gibt, müssen Sie dafür sorgen, dass die<br />
Basis-Zertifikatsperrliste zur Unterstützung dieser Clients häufig genug aktualisiert wird.<br />
Zertifikatsperrlisten für eigenständige Zertifizierungsstellen stehen standardmäßig nur über die Seiten<br />
der Zertifizierungsstellen-Webregistrierung unter http://server/certsrv/ zur Verfügung. Sie können<br />
jedoch einen LDAP-Pfad für die Zertifikatsperrliste festlegen und diese mithilfe von CertUtil manuell<br />
in <strong>Active</strong> <strong>Directory</strong> veröffentlichen. Falls es sich um eine Offlinezertifizierungsstelle handelt, können<br />
Sie sie auch über HTTP an einer anderen Stelle bereitstellen. Die von Unternehmenszertifizierungsstellen<br />
veröffentlichten Zertifikatsperrlisten stehen über die Seiten der Zertifizierungsstellen-<br />
Webregistrierung und <strong>Active</strong> <strong>Directory</strong> zur Verfügung (siehe Abbildung 17.6).
664 Kapitel 17: <strong>Active</strong> <strong>Directory</strong>-Zertifikatdienste<br />
Abbildung 17.6<br />
Konfiguration von Zertifikatsperrlisten<br />
Direkt von der Quelle: So wird bestimmt, ob die Zertifikatsperrliste lokal auf einem<br />
System zwischengespeichert ist<br />
Mitunter werden wir gefragt, wie festgestellt werden kann, ob die neueste Zertifikatsperrliste auf<br />
die lokalen Systeme heruntergeladen wurde. Wichtig ist der Hinweis, dass es stets mindestens zwei<br />
verschiedene Zwischenspeicher für Zertifikatsperrlisten gibt, einen für SYSTEM und einen zweiten<br />
für den gegenwärtig angemeldeten Benutzer. Beim Versuch zu bestimmen, ob die Zertifikatsperrliste<br />
zwischengespeichert wurde, muss Ihnen dies klar sein.<br />
Wird die Anwendung im Kontext des Benutzers ausgeführt, kann sie den Zwischenspeicher für<br />
Zertifikatsperrlisten des Benutzers und den von SYSTEM (lokaler Computer) untersuchen. Wird<br />
die Anwendung dagegen im Kontext des Systems ausgeführt, kann nur der Zwischenspeicher für<br />
Zertifikatsperrlisten von SYSTEM untersucht werden.<br />
Es gibt zwei Methoden zum Bestimmen dieser Informationen:<br />
• Verwenden Sie den Befehl „CertUtil -URLCache CRL“.<br />
• Verwenden Sie das Snap-In Zertifikate.<br />
Führen Sie die folgenden Schritte aus, um mit dem Snap-In Zertifikate zu prüfen, ob die Zertifikatsperrliste<br />
heruntergeladen wurde:<br />
1. Fügen Sie dem MMC-Snap-In den ordnungsgemäßen Speicher hinzu, und fügen Sie diesen<br />
anschließend dem obersten Knoten hinzu, z.B. dem Knoten Zertifikate (Lokaler Computer).
Implementieren der AD CS 665<br />
2. Klicken Sie mit der rechten Maustaste auf den Knoten Zertifikate (Lokaler Computer), wählen<br />
Sie Ansicht und anschließend Optionen aus.<br />
3. Aktivieren Sie das Kontrollkästchen Physikalische Zertifikatspeicher.<br />
Wenn Sie die Zertifikatsperrliste der Stammzertifizierungsstelle suchen, untersuchen Sie folgenden<br />
Speicherort: Zertifikate (Lokaler Computer)\Vertrauenswürdige Stammzertifizierungsstellen\Registrierung\Zertifikatsperrliste.<br />
Dieser Speicherort wird nur angezeigt, da Sie Physikalische Zertifikatspeicher<br />
aktiviert haben. Dies ist ferner der Speicherort, an den Sie die Zertifikatsperrliste auf der<br />
grafischen Benutzeroberfläche importieren.<br />
Wenn Sie die Zertifikatsperrliste einer Zwischenzertifizierungsstelle (untergeordnete oder ausstellende<br />
Zertifizierungsstelle) suchen, untersuchen Sie folgenden Speicherort: Zertifikate (Lokaler<br />
Computer)\Zwischenzertifizierungsstellen\Registrierung\Zertifikatsperrliste. Dieser Speicherort<br />
wird nur angezeigt, da Sie Physikalische Zertifikatspeicher aktiviert haben. Dies ist ferner der Speicherort,<br />
an den Sie die Zertifikatsperrliste auf der grafischen Benutzeroberfläche importieren.<br />
Je nach Zweck der Zertifikatsperrliste müssen Sie verschiedene Speicher untersuchen.<br />
Rob Greene<br />
Support Escalation Engineer<br />
Commercial Technical Support – Platforms<br />
Direkt von der Quelle: Importieren einer Zertifikatsperrliste auf einen lokalen Computer<br />
Falls bestimmte Systeme keinen direkten Zugriff auf die Speicherorte der Zertifikatsperrlisten<br />
haben, können Sie diese manuell oder per Skript einem lokalen System hinzufügen.<br />
Führen Sie einen der folgenden Befehle aus, um die Zertifikatsperrliste dem Zertifikatspeicher des<br />
lokalen Computerkontos hinzuzufügen:<br />
• Zertifikatsperrliste der Stammzertifizierungsstelle Falls es sich um eine Zertifikatsperrliste für<br />
eine Stammzertifizierungsstelle handelt, geben Sie Folgendes ein:<br />
CertUtil -AddStore ROOT < Dateiname der Zertifikatsperrliste für die Stammzertifizierungsstelle><br />
• Zertifikatsperrliste einer Zwischen-, untergeordneten und ausstellenden Zertifizierungsstelle Falls es<br />
sich um eine Zertifikatsperrliste für eine Zwischenzertifizierungsstelle handelt, geben Sie Folgendes<br />
ein:<br />
CertUtil -AddStore CA < Dateiname der Zertifikatsperrliste für die Zwischenzertifizierungsstelle><br />
Diese beiden Befehle fügen die Zertifikatsperrliste dem Zwischenspeicher für Zertifikatsperrlisten<br />
des lokalen Computers und nicht dem des Benutzers hinzu.<br />
Eine weitere Methode zum Veröffentlichen einer Zertifikatsperrliste ist deren Veröffentlichung in<br />
<strong>Active</strong> <strong>Directory</strong>. Bei einer anschließenden Gruppenrichtlinienaktualisierung werden die neuen<br />
Zertifikatsperrlisten dem entsprechenden Speicher hinzugefügt. Geben Sie dazu folgenden Befehl<br />
ein:<br />
CertUtil -f -DSPublish
666 Kapitel 17: <strong>Active</strong> <strong>Directory</strong>-Zertifikatdienste<br />
Rob Greene<br />
Support Escalation Engineer<br />
Commercial Technical Support – Platforms<br />
Online-Responder-Konfiguration<br />
Ein Online-Responder ist ein Server, der das OCSP-Protokoll zum Überprüfen des Sperrstatus von<br />
Zertifikaten unterstützt. OCSP ist eine Alternative zu Zertifikatsperrlisten und erfordert nicht das<br />
regelmäßige Herunterladen einer Zertifikatsperrliste. Stattdessen senden Clients eine Abfrage zum<br />
Überprüfen der Gültigkeit eines bestimmten Zertifikats. Dadurch kann der Netzwerkdatenverkehr aufgrund<br />
des herkömmlichen Herunterladens vollständiger Zertifikatsperrlisten wesentlich verringert<br />
werden. Ferner wird die Nutzung aktueller Statusinformationen durch die Clients möglich. Bei vielen<br />
sich wiederholenden Abfragen kann OCSP allerdings die Gesamtlast des Netzwerks im Vergleich zu<br />
Zertifikatsperrlisten erhöhen, die lokal zwischengespeichert werden.<br />
Hinweis Windows Server 2008 und Windows Vista sind die einzigen Windows-Betriebssysteme mit einem<br />
OCSP-Client, der den Zertifikatstatus durch Überprüfen eines Online-Responders bestimmen kann.<br />
Es folgt das Verfahren zum Überprüfen der Zertifikatgültigkeit mit einem Online-Responder:<br />
1. Der lokale Arbeitsspeicher und Festplattenzwischenspeicher werden auf eine noch gültige zuvor<br />
zwischengespeicherte OCSP-Antwort durchsucht.<br />
2. Wird keine OCSP-Antwort gefunden, sendet der Client eine HTTP GET-Anforderung. Unterstützt<br />
der Online-Responder nicht die GET-Methode, sendet der Client anschließend eine HTTP<br />
POST-Anforderung.<br />
3. Der Online-Responder durchsucht den lokalen Zwischenspeicher und die Zertifikatsperrliste, um<br />
den Status des zu prüfenden Zertifikats festzustellen, und sendet eine digital signierte Antwort.<br />
4. Sobald die Antwort empfangen wird, prüft der Client deren Signatur, um ihre Gültigkeit sicherzustellen.<br />
Installieren eines Online-Responders Um eine Windows Server 2008-Zertifizierungsstelle als Online-<br />
Responder zu konfigurieren, müssen Sie den RollendienstOnline Certificate Status-Protokoll für die<br />
Rolle <strong>Active</strong> <strong>Directory</strong>-Zertifikatdienste installieren. Falls noch nicht installiert, werden Sie zur Installation<br />
des Webservers (IIS) und des Aktivierungsdienstes für Windows-Prozesse aufgefordert, die<br />
auch für den Rollendienst Zertifizierungsstelle-Webregistrierung erforderlich sind. Bei der Installation<br />
des Rollendiensts Online Certificate Status-Protokoll gibt es keine Konfigurationsoptionen.<br />
Der Installationsprozess für den Rollendienst Online Certificate Status-Protokoll erstellt in Internetinformationsdienste<br />
(IIS) das virtuelle OSCP-Verzeichnis. Mit dem Befehl certutil -vocsproot können<br />
Sie dieses virtuelle Verzeichnis bei Bedarf neu erstellen. Mit dem Befehl certutil -vocsproot -delete<br />
können Sie dieses virtuelle Verzeichnis löschen.<br />
Konfigurieren von Zertifizierungsstellen Nach der Installation müssen Sie die Erweiterung Stelleninformationszugriff<br />
(Authority Information Access, AIA) der Zertifikate ausstellenden Zertifizierungsstellen<br />
so konfigurieren, dass die URL für den Online-Responder hinzugefügt wird. OSCP-Clients nutzen<br />
diese URL zum Überprüfen des Status von Zertifikaten. Dies erfolgt durch Verwenden des<br />
MMC-Snap-Ins Zertifizierungsstelle für den Zugriff auf die Registerkarte Erweiterungen in den<br />
Eigenschaften einer Zertifizierungsstelle.
Implementieren der AD CS 667<br />
Die hinzuzufügende URL lautet http://Servername/ocsp. Für diesen neuen Eintrag müssen Sie die<br />
Kontrollkästchen In AIA-Erweiterung des ausgestellten Zertifikats einbeziehen und In Online Certificate<br />
Status-Protokoll (OCSP)-Erweiterungen einbeziehen aktivieren. Mithilfe von OCSP können nur<br />
nach dieser Konfiguration ausgestellte Zertifikate überprüft werden.<br />
Konfigurieren eines OCSP-Antwortsignaturzertifikats Antworten eines Online-Responders können mit<br />
dem Zertifizierungsstellenzertifikat des Online-Responders oder mit einem delegierten Signierungsschlüssel<br />
signiert werden, wobei das Verwenden eines solchen Zertifikats keine weitere Konfiguration<br />
erfordert. Beim Verwenden eines delegierten Signierungsschlüssels müssen Sie ein OCSP-Antwortsignaturzertifikat<br />
registrieren. Ein delegierter Signierungsschlüssel hat die folgenden Merkmale:<br />
• Eine kürzere Gültigkeitsdauer als ein Zertifizierungsstellenzertifikat Empfohlen wird eine Gültigkeitsdauer<br />
von zwei Wochen, um die Gefährdung der Sicherheit eines Schlüssels zu minimieren.<br />
• Umfasst die Erweiterung id-pkix-ocsp-nocheck Diese Erweiterung hindert Clients am Überprüfen<br />
des Sperrstatus des Online-Responders, um die Systemleistung durch Reduzierung des Netzwerkdatenverkehrs<br />
zu verbessern. Wird diese Erweiterung angegeben, muss die Gültigkeitsdauer des<br />
Zertifikats kurz gehalten werden.<br />
• Bietet keinen Verteilungspunkt für Zertifikatsperrlisten und keine Erweiterung für den Stelleninformationszugriff<br />
Diese Erweiterungen sind nicht erforderlich, da der Sperrstatus nicht überprüft wird.<br />
• Bietet die Verwendung des optimierten Schlüssels id-kp-OCSPSigning. Gibt für OCSP-Clients an,<br />
dass die Antwort mit einem delegierten Signierschlüssel und nicht mit einem Zertifizierungsstellenschlüssel<br />
signiert wird.<br />
Unter Windows Server 008 gibt es für Unternehmenszertifizierungsstellen die Zertifikatvorlage<br />
OCSP-Antwortsignatur. Diese Vorlage kann der Zertifizierungsstelle so zugewiesen werden, dass<br />
außer der Erteilung der erforderlichen Sicherheitsberechtigungen für die Registrierung bzw. automatische<br />
Registrierung keine weiteren Konfigurationsschritte nötig sind. Eine eigenständige Zertifizierungsstelle<br />
kann die Zertifikatvorlage OCSP-Antwortsignatur nicht verwenden. Zum Erstellen eines<br />
OCSP-Antwortsignaturzertifikats müssen Sie Certreq.exe in Kombination mit einer angepassten INF-<br />
Datei einsetzen.<br />
Weitere Informationen Detaillierte Anweisungen zum Abrufen eines OCSP-Antwortsignaturzertifikats mithilfe<br />
einer eigenständigen Zertifizierungsstelle finden Sie im Abschnitt „Enrolling for an OCSP Response Signing<br />
Certificate Against a Stand-Alone CA“ unter Installing, Configuring, and Troubleshooting the Microsoft<br />
Online Responder unter http://technet2.microsoft.com/windowsserver2008/de/library/99d1f392-6bcd-4ccf-<br />
94ee-640fc100ba5f1031.mspx?mfr=true.<br />
Konfigurieren von Sperrinformationen Für einen Online-Responder müssen Sie Sperrinformationen<br />
konfigurieren, damit dieser auf OCSP-Anforderungen nach Zertifikaten antwortet, die von einer<br />
bestimmten Zertifizierungsstelle ausgestellt werden. Damit der Online-Responder mehrere Zertifizierungsstellen<br />
unterstützt, können mehrere Sperrkonfigurationen eingerichtet werden, wozu das MMC-<br />
Snap-In Online-Responderverwaltung verwendet wird. Beim Erstellen der Sperrkonfiguration bestimmen<br />
Sie die Zertifizierungsstelle, indem Sie das Zertifizierungsstellenzertifikat in <strong>Active</strong> <strong>Directory</strong>,<br />
im lokalen Zertifikatspeicher oder einer Datei auswählen.<br />
Als Nächstes wählen Sie das Signaturzertifikat für OCSP-Antworten aus (siehe Abbildung 17.7). Bei<br />
Wahl von Signaturzertifikat automatisch auswählen kann der Assistent ein geeignetes Zertifikat im<br />
lokalen Zertifikatspeicher auswählen oder zum Abrufen eines OCSP-Signaturzertifikats eine automatische<br />
Registrierung durchführen.
668 Kapitel 17: <strong>Active</strong> <strong>Directory</strong>-Zertifikatdienste<br />
Bei Wahl von Signaturzertifikat manuell auswählen wird der Assistent am Zuweisen eines Zertifikats<br />
gehindert, sodass Sie nach Beendigung des Assistenten ein Zertifikat manuell zuweisen müssen. Wird<br />
Zertifizierungsstellenzertifikat für die Sperrkonfiguration verwenden ausgewählt, werden Anforderungen<br />
mit dem Zertifizierungsstellenzertifikat anstatt mit einem OCSP-Signaturzertifikat signiert.<br />
Diese Option kann nur ausgewählt werden, wenn der Online-Responder für die Zertifizierungsstelle<br />
ausgeführt wird.<br />
Hinweis Die automatische Registrierung für Computer muss aktiviert sein, damit der Online-Responder<br />
sich automatisch für das OCSP-Signaturzertifikat registriert. Diese Option ist nicht standardmäßig aktiviert.<br />
Im Abschnitt „Konfigurieren der automatischen Registrierung für Zertifikate“ finden Sie weitere Informationen.<br />
Abbildung 17.7<br />
Auswählen des Signaturzertifikats<br />
Online-Responder-Arrays Wenn Online-Responder zum Bereitstellen des Sperrstatus von Zertifikaten<br />
verwendet werden, müssen diese stets zur Verfügung stehen, um aktuelle Statusinformationen zu liefern.<br />
Sind Online-Responder nicht erreichbar, kann der Sperrstatus nicht bestimmt werden, wodurch<br />
Public Key-fähige Anweisungen fehlschlagen können. Zertifikatsperrlisten werden lokal zwischengespeichert,<br />
weshalb die Verfügbarkeit gesichert ist.<br />
Um Fehlertoleranz für Online-Responder zu ermöglichen, können diese als Array konfiguriert werden,<br />
in dem die Konfigurationsinformationen unter den Mitgliedern synchronisiert werden. Dadurch<br />
wird die Konfiguration von Online-Respondern vereinfacht. Um fehlertolerant zu sein, müssen Zertifizierungsstellen<br />
mit der URL aller Online-Responder im Array konfiguriert werden. Anforderungen<br />
werden nicht automatisch an die Mitglieder des Arrays verteilt.<br />
Verwalten der Schlüsselarchivierung und -wiederherstellung<br />
Private Schlüssel können archiviert und wiederhergestellt werden. Windows speichert private Schlüssel<br />
im Benutzerprofil. Sollte dieses Profil aus einem beliebigen Grund verloren gehen, ist auch der<br />
private Schlüssel verloren.
Implementieren der AD CS 669<br />
Wurde der Schlüssel archiviert, kann er in einem Profil auf demselben oder einem anderen Computer<br />
ohne Funktionalitätsverlust wiederhergestellt werden. Wurde beispielsweise das Profil auf einer<br />
Arbeitsstation gelöscht, kann der Schlüssel in einem neuen Profil wiederhergestellt werden, woraufhin<br />
auf alle verschlüsselten Daten zugegriffen werden kann.<br />
Bei der Ausstellung von Zertifikaten können Sie den Export privater Schlüssel verhindern, sodass der<br />
private Schlüssel nicht an einen neuen Speicherort kopiert werden kann. Dies erfolgt in der Regel bei<br />
vertraulichen Zertifikaten, z.B. Zertifizierungsstellenzertifikaten, bei denen der Export des privaten<br />
Schlüssels an einen anderen Speicherort und dessen Verwendung sehr negative Auswirkungen haben<br />
können. Sie müssen jedoch das Risiko eines Schlüsselverlustes ohne Wiederherstellungsmethode mit<br />
dem jeweiligen Wiederherstellungsaufwand abwägen. Ohne einen archivierten Schlüssel können Sie<br />
ggf. nicht auf verschlüsselte Daten zugreifen.<br />
Manuelle Schlüsselarchivierung<br />
Falls das Zertifikat für die Unterstützung des Exports des privaten Schlüssels konfiguriert ist, können<br />
einzelne Benutzer ihre Zertifikate und privaten Schlüssel mithilfe des MMC-Snap-Ins Zertifikate<br />
exportieren. Während des Exports wird ein Schlüssel zum Verschlüsseln der Datei eingegeben, um<br />
unbefugte Benutzer am Import der Datei zu hindern. Die verschlüsselte Datei kann anschließend, bis<br />
sie benötigt wird, auf einem Wechseldatenträger abgelegt werden. Bei Bedarf kann der Schlüssel über<br />
das MMC-Snap-In Zertifikate importiert werden. Es folgen Empfehlungen für die manuelle Schlüsselarchivierung:<br />
• Wenn Sie einen Schlüssel manuell exportieren, müssen Sie zu seiner Absicherung die stärkstmögliche<br />
Verschlüsselung wählen.<br />
• Außerdem sollten Sie den Wechseldatenträger mit der verschlüsselten Datei physisch absichern,<br />
um über das Kennwort hinaus für noch mehr Sicherheit zu sorgen.<br />
• Wenn Sie einen Schlüssel für einen bestimmten Zweck vorübergehend importieren, müssen Sie<br />
diesen nach dessen Erfüllung entfernen.<br />
Die manuelle Schlüsselarchivierung kommt in Frage, wenn nur wenige Schlüssel archiviert werden<br />
müssen. Im Allgemeinen benötigen Großunternehmen eine automatisierte Lösung für die Schlüsselarchivierung,<br />
die zentral verwaltet werden kann.<br />
Automatische Schlüsselarchivierung<br />
Eine Zertifizierungsstelle unter Windows Server 2008 kann die Schlüsselarchivierung für die von ihr<br />
ausgestellten Zertifikate übernehmen. Dieser Vorgang wird auch als Schlüsselübertragung bezeichnet.<br />
Die Schlüsselarchivierung ist eine Funktion von Windows Server 2008 Enterprise und Datacenter<br />
Edition.<br />
Einrichten von Schlüsselwiederherstellungs-Agents Ein Schlüsselwiederherstellungs-Agent ist ein<br />
Benutzer, der für die Zertifizierungsstelle archivierte Schlüssel wiederherstellen kann. Der erste<br />
Schritt bei der Konfiguration der Schlüsselarchivierung ist die Einrichtung von Schlüsselwiederherstellungs-Agents.<br />
In jedem Unternehmen darf es nur eine begrenzte Anzahl von Schlüsselwiederherstellungs-Agents<br />
geben, die alle genehmigt werden müssen.<br />
Schlüsselwiederherstellungs-Agents werden durch Ausstellen eines Schlüsselwiederherstellungs-<br />
Agent-Zertifikats eingerichtet. Zu diesem Zweck enthält Windows Server 2008 die Zertifikatvorlage<br />
Schlüsselwiederherstellungs-Agent. Konfigurieren Sie diese Zertifikatvorlage mit den entsprechenden<br />
Berechtigungen für die Benutzer, die Sie für das Zertifikat registrieren möchten. Veröffentlichen<br />
Sie anschließend die Zertifikatvorlage Schlüsselwiederherstellungs-Agent.
670 Kapitel 17: <strong>Active</strong> <strong>Directory</strong>-Zertifikatdienste<br />
Sobald die Zertifikatvorlage eingerichtet ist, können sich die vorgesehenen Benutzer über das MMC-<br />
Snap-In Zertifikate, die Registrierungswebseiten der Zertifizierungsstelle oder die automatische<br />
Registrierung für das Zertifikat Schlüsselwiederherstellungs-Agent registrieren. Die automatische<br />
Registrierung wird nicht empfohlen, da bei diesem überaus vertraulichen Vorgang verschiedene<br />
manuelle Eingaben bevorzugt werden sollten. Das Zertifikat Schlüsselwiederherstellungs-Agent kann<br />
nur über das MMC-Snap-In Zertifikate heruntergeladen werden, wenn die automatische Registrierung<br />
aktiviert ist.<br />
Hinweis Wenn die Anforderung des Zertifikats Schlüsselwiederherstellungs-Agent genehmigt wurde, wird<br />
das Zertifikat dem lokalen Zertifikatspeicher für die Zertifizierungsstelle und dem <strong>Active</strong> <strong>Directory</strong>-Objekt des<br />
Benutzers hinzugefügt, der das Zertifikat angefordert hat.<br />
Aktivieren der Schlüsselarchivierung für die Zertifizierungsstelle Um die Schlüsselarchivierung für die<br />
Zertifizierungsstelle zu aktivieren, müssen Sie der Zertifizierungsstelle einen Wiederherstellungs-<br />
Agent hinzufügen (siehe Abbildung 17.8). Nach Aktivierung der Schlüsselarchivierung müssen die<br />
Zertifikatdienste neu gestartet werden. Die Implementierung von Schlüsselwiederherstellungs-Agents<br />
hängt von der gewünschten Anzahl der Wiederherstellungs-Agents und konfigurierten Schlüsselwiederherstellungs-Agent-Zertifikate<br />
ab.<br />
Abbildung 17.8<br />
Wiederherstellungs-Agents für die Schlüsselarchivierung<br />
Wenn die ausgewählte Anzahl von Wiederherstellungs-Agents der Anzahl der Schlüsselwiederherstellungs-Agent-Zertifikate<br />
entspricht, können alle Wiederherstellungs-Agents alle Schlüssel wiederherstellen.<br />
Ist die Anzahl geringer, wird eine Auswahlmethode nach dem Round-Robin-Prinzip verwendet,<br />
um zu bestimmen, welche Wiederherstellungs-Agents welche Schlüssel wiederherstellen können.
Implementieren der AD CS 671<br />
Um in diesem Fall einen Schlüssel aus der Datenbank wiederherzustellen, müssen Sie zuerst die<br />
Wiederherstellungs-Agent bestimmen, die dazu fähig sind.<br />
Konfigurieren von Zertifikatvorlagen Der Schlüsselwiederherstellungs-Agent eines privaten Schlüssels<br />
wird bei Ausstellung eines Zertifikats in der dazugehörigen Zertifikatvorlage konfiguriert (siehe<br />
Abbildung 17.9). Die Option Privaten Schlüssel für die Verschlüsselung archivieren gibt an, dass der<br />
private Schlüssel für mithilfe dieser Vorlage erstellte Zertifikate archiviert wird. Die Option Erweiterten<br />
symmetrischen Algorithmus zum Senden des Schlüssels an die Zertifizierungsstelle verwenden<br />
ist neu unter Windows Server 2008 und zwingt Client und Server zum Verwenden des AES-Verschlüsselungsalgorithmus<br />
für die Absicherung des privaten Schlüssels.<br />
Abbildung 17.9<br />
Konfigurieren der Schlüsselarchivierung in einer Zertifikatvorlage<br />
Hinweis Die Option Exportieren von privatem Schlüssel zulassen muss aktiviert sein, damit die manuelle<br />
Schlüsselarchivierung erfolgen kann.<br />
Wiederherstellen eines archivierten Schlüssels Die Wiederherstellung eines archivierten Schlüssels ist<br />
ein manueller Prozess, der abhängig von der Sicherheitskonfiguration der AD CS in Ihrem Unternehmen<br />
ggf. die Zusammenarbeit mehrerer Personen erfordert. Ist die Trennung von Rollen vorgegeben,<br />
muss ein Zertifizierungsverwalter mit dem Schlüsselwiederherstellungs-Agent zusammenarbeiten, um<br />
den Schlüssel abzurufen. Sind Rollen nicht getrennt, kann ein Benutzer mit Verwaltungsberechtigung<br />
für die Zertifizierungsstelle zum Abruf des Schlüssels mit dem Schlüsselwiederherstellungs-Agent<br />
zusammenarbeiten.
672 Kapitel 17: <strong>Active</strong> <strong>Directory</strong>-Zertifikatdienste<br />
Der erste Schritt bei der Wiederherstellung ist das Suchen für die Wiederherstellung in Frage kommender<br />
Zertifikate und das Extrahieren des Wiederherstellungs-BLOB (Binary Large Object). Über<br />
das MMC-Snap-In Zertifizierungsstelle oder das Dienstprogramm Certutil.exe können Sie das wiederherzustellende<br />
Zertifikat finden. Zu diesem Zweck benötigt die Zertifikatverwaltung den allgemeinen<br />
Namen (Common Name), Benutzerprinzipalnamen (UPN), Domänen- und Anmeldenamen, die<br />
Seriennummer des Zertifikats oder den Zertifikatfingerabdruck. Über den Befehl certutil -getkey<br />
können Sie eine Liste der für einen Benutzer ausgestellten Zertifikate<br />
abrufen. Der Suchtext kann entweder der allgemeine Name (CN) des Benutzers, der Benutzerprinzipalname<br />
(UPN) oder der Domänen-/Anmeldename sein. Wenn der Benutzer nur ein Zertifikat hat,<br />
wird das BLOB für die Schlüsselwiederherstellung in den angegebenen Dateinamen extrahiert.<br />
Wenn es mehrere Zertifikate für einen Benutzer gibt, wählen Sie im Befehl certutil als Suchtext die<br />
Seriennummer oder den Fingerabdruck des Zertifikats, die beide das Zertifikat eindeutig identifizieren,<br />
um das Wiederherstellungs-BLOB zu extrahieren.<br />
Das Wiederherstellungs-BLOB ist das Zertifikat im PKCS #7-Format, dessen Inhalt verschlüsselt ist<br />
und den öffentlichen Schlüssel enthält. Als Nächstes kann der Schlüsselwiederherstellungs-Agent den<br />
privaten Schlüssel aus dem Wiederherstellungs-BLOB extrahieren. Die Ausgabe des Befehls certutil<br />
-getkey gibt bei Bedarf die Schlüsselwiederherstellungs-Agents für ein Zertifikat an.<br />
Um den privaten Schlüssel aus dem Wiederherstellungs-BLOB wiederherzustellen, ruft der Schlüsselwiederherstellungs-Agent<br />
den Befehl certutil<br />
-recoverkey auf. Dateiname ist das zuvor generierte Wiederherstellungs-BLOB.<br />
Ausgabe.pfx ist ein allgemeiner Name einer Datei, die für die Ausgabe der Wiederherstellung<br />
des privaten Schlüssels verwendet werden kann. Die Ausgabedatei hat das PKCS #12-Format<br />
und muss die Erweiterung .pfx haben. Sie werden zur Eingabe eines Kennworts aufgefordert, um<br />
die Ausgabedatei während ihrer Erstellung abzusichern. Beachten Sie ferner, dass das Zertifikat des<br />
Schlüsselwiederherstellungs-Agents sich im lokalen Zertifikatspeicher befinden muss, in den die Wiederherstellung<br />
erfolgt, da diese andernfalls fehlschlägt.<br />
Hinweis Wenn das Zertifikat des Schlüsselwiederherstellungs-Agents mithilfe eines neuen CNG-Algorithmus<br />
(CryptoAPI Next Generation) generiert wurde, muss dieser Algorithmus während der Wiederherstellung<br />
über die Option -csp "für den kryptografischen Speicheranbieter" angegeben werden.<br />
Importieren des wiederhergestellten Schlüssels Nachdem der private Schlüssel in einer Datei wiederhergestellt<br />
wurde, kann der Benutzer ihn über das MMC-Snap-In Zertifikate oder das Dienstprogramm<br />
Certutil in das Benutzerprofil importieren. Bei Verwenden von Certutil lautet der Befehl:<br />
certutil -importPFX . Nach dem Import wird der private Schlüssel im Zertifikatspeicher<br />
des Benutzers wiederhergestellt, sodass der Benutzer das Zertifikat wieder nutzen kann.<br />
Verwalten von Zertifikaten in den AC CS<br />
Die AD CS bieten mehrere Funktionen zum Verwalten von Zertifikaten. Zertifikatvorlagen dienen<br />
zum Bestimmen von Zertifikateinstellungen, die während der Zertifikaterstellung von vielen Clients<br />
verwendet werden können. Über die automatische Zertifikatregistrierung kann der gesamte Zertifikatregistrierungsprozess<br />
automatisiert werden, sodass keine Endbenutzer- oder Administratoreingriffe<br />
erforderlich sind. Mithilfe von Gruppenrichtlinieneinstellungen kann festgelegt werden, wie Zertifikate<br />
von Clients akzeptiert werden. Und schließlich kann mit der Serverspeicherung von Anmeldeinformationen<br />
gearbeitet werden, um Zertifikate zu unterstützen, wenn Benutzer mehrere Arbeitsstationen<br />
nutzen.
Konfigurieren von Zertifikatvorlagen<br />
Verwalten von Zertifikaten in den AC CS 673<br />
Zertifikatvorlagen dienen zum Erstellen von Zertifikaten für Unternehmenszertifizierungsstellen. Die<br />
Einstellungen in einer Zertifikatvorlage werden in die von der Zertifizierungsstelle ausgestellten Zertifikate<br />
integriert. Darüber hinaus legen Sicherheitseinstellungen für eine Zertifikatvorlage fest, welche<br />
Benutzer oder Computer sich für den jeweiligen Zertifikattyp registrieren dürfen.<br />
Windows Server 2008 unterstützt drei Versionen von Zertifikatvorlagen. Version 1-Vorlagen sind die<br />
einzigen in Windows Server 2008 Standard Edition verfügbaren Vorlagen. Sie können die Sicherheitskonfiguration<br />
von Version 1-Vorlagen ändern, um die manuelle Zertifikatregistrierung zu steuern,<br />
können aber keine anderen Vorlageneinstellungen ändern. Auch die automatische Zertifikatregistrierung<br />
ist nicht möglich. In Windows Server 2008 Enterprise und Datacenter Edition stehen Version 2-<br />
und Version 3-Vorlagen zur Verfügung.<br />
Version 2-Zertifikatvorlagen ermöglichen die Anpassung der Vorlagen an Unternehmensanforderungen<br />
und die automatische Zertifikatregistrierung. Version 3-Vorlagen sind neu unter Windows<br />
Server 2008 und bieten die Möglichkeit, zusätzliche kryptografische Einstellungen anzugeben, die nur<br />
von einer Windows Server 2008-Zertifizierungsstelle unterstützt werden. Wenn Sie die Einstellungen<br />
einer Version 1-Zertifikatvorlage ändern möchten, können Sie durch Kopieren einer solchen Vorlage<br />
eine Version 2- oder Version 3-Zertifikatvorlage erstellen. Alternativ können Sie eine gänzlich neue<br />
Zertifikatvorlage generieren.<br />
Hinweis Windows Server 2008 bietet für verschiedene Zwecke zahlreiche Zertifikatvorlagen. Sie können<br />
im MMC-Snap-In Zertifikatvorlagen die dazugehörigen Beschreibungen lesen und Details anzeigen.<br />
Direkt von der Quelle: Version 3-Vorlagen<br />
Seit der Einführung der Public Key-Infrastruktur unter Windows Server 2000 bieten Zertifikatvorlagen<br />
eine praktische Lösung für die automatische Registrierung von Zertifikaten für Benutzer und<br />
Computer. Die mit Windows Server 2000 bereitgestellten Originalvorlagen wurden Version 1-Vorlagen<br />
genannt, die nicht entsprechend den besonderen Anforderungen einer Umgebung angepasst<br />
oder geändert werden konnten. Mit der Einführung von Windows Server 2003 wurden die Vorlagen<br />
auf Version 2-Vorlagen hochgestuft. Wenn eine Zertifizierungsstelle unter einer Enterprise Edition<br />
von Windows installiert wurde, konnten diese Vorlagen wie gewünscht angepasst werden. Mit<br />
Windows Server 2008 werden Version 3-Vorlagen eingeführt, die noch flexibler als vorherige Versionen<br />
sind.<br />
Die Version 3-Vorlagen unterstützen nun den Einsatz kryptografischer CNG Suite-B-Algorithmen<br />
(Cryptography API: Next Generation). Diese neue Technologie verbessert die kryptografischen<br />
Sicherheitsfunktionen und optimiert die gesamte Funktionalität, indem mithilfe eines Schlüsseldienstanbieters<br />
(Key Service Provider, KSP) der Einsatz neuer Algorithmen ermöglicht wird.<br />
Gegenwärtig unterstützen nur Windows Vista und Windows Server 2008 die folgenden neuen<br />
asymmetrischen Algorithmen:<br />
• ECDSA (Elliptic-Curve Digital Signature Algorithm) P256, P384, P521<br />
• Elliptic-Curve Diffie-Hellman (ECDH) P256, P384, P521<br />
• RSA<br />
• AES
674 Kapitel 17: <strong>Active</strong> <strong>Directory</strong>-Zertifikatdienste<br />
Die enthaltenen Hashalgorithmen sind MD2, MD4, MD5, SHA1, SHA256, SHA384 und SHA512.<br />
Durch die Implementierung von Version 3-Vorlagen und der CNG-Technologien kann der KSP<br />
eine zuvor nicht mögliche, umfassende Überwachung bieten. Der KSP überwacht nun u.a. den Imund<br />
Export von Schlüsseln, fehlgeschlagene Überprüfungen geheimer Schlüssel, Verschlüsselungsfehler<br />
und fehlgeschlagene Generierungen von Schlüsselpaaren. Durch Ausführen des folgenden<br />
Befehls ist eine zusätzliche Überwachung möglich:<br />
Auditpol /set /subcategory:"other system events" /success:enable /failure:enable<br />
Weitere Informationen zu Version 3-Vorlagen, CNG-Funktionen und der Suite B-Kryptografie finden<br />
Sie auf den folgenden Websites:<br />
• http://msdn2.microsoft.com/en-us/library/ms683902(VS.85).aspx<br />
• http://msdn2.microsoft.com/en-us/library/bb204775(VS.85).aspx<br />
• http://www.nsa.gov/ia/industry/crypto_suite_b.cfm?MenuID=10.2.7<br />
Bob Drake<br />
Microsoft <strong>Directory</strong> Services Team<br />
Konfigurieren der Sicherheit von Zertifikatvorlagen<br />
Die für Zertifikatvorlagen festgelegten Berechtigungen (siehe Abbildung 17.10) bestimmen, welche<br />
Benutzer auf Zertifikatvorlagen basierende Zertifikate ändern, anzeigen und erstellen dürfen.<br />
Abbildung 17.10<br />
Zertifikatvorlagenberechtigungen
Verwalten von Zertifikaten in den AC CS 675<br />
Die folgenden Berechtigungen können zugewiesen werden:<br />
• Vollzugriff Der Benutzer bzw. die Gruppe kann alle Vorlagenattribute, einschließlich Berechtigungen,<br />
ändern.<br />
• Lesen Der Benutzer oder die Gruppe kann bei einem Versuch der Registrierung das Zertifikat<br />
suchen.<br />
• Schreiben Der Benutzer bzw. die Gruppe kann alle Vorlagenattribute, ausschließlich Berechtigungen,<br />
ändern.<br />
• Registrieren Der Benutzer oder die Gruppe kann sich für ein auf der Vorlage basierendes Zertifikat<br />
registrieren. Die Berechtigung Lesen muss ebenfalls zugewiesen sein.<br />
• Automatisch registrieren Der Benutzer oder die Gruppe kann über die automatische Registrierung<br />
ein auf der Vorlage basierendes Zertifikat automatisch empfangen. Die Berechtigungen<br />
Lesen und Registrieren müssen ebenfalls zugewiesen sein.<br />
Verwenden Sie zum Zuweisen von Berechtigungen in einer Umgebung mit mehreren Domänen<br />
globale und universelle Gruppen anstatt domänenlokale Gruppen. Wenn domänenlokalen Gruppen<br />
Berechtigungen zugewiesen werden, können Zertifizierungsstellen in anderen Domänen diese<br />
Berechtigungen nicht nutzen.<br />
Bereitstellen von Zertifikatvorlagen<br />
Zertifikatvorlagen werden in <strong>Active</strong> <strong>Directory</strong> gespeichert und auf alle Domänencontroller in der<br />
<strong>Active</strong> <strong>Directory</strong>-Gesamtstruktur repliziert. Die für die Replikation von Zertifikatvorlagen benötigte<br />
Zeit hängt von der jeweiligen Umgebung ab. Räumen Sie der Replikation neuer Zertifikatvorlagen<br />
genügend Zeit ein, bevor Sie Zertifizierungsstellen für das Verwenden der neuen Vorlage konfigurieren.<br />
Zertifikatvorlagen werden für eine Zertifizierungsstelle veröffentlicht, um sie für die Registrierung<br />
zur Verfügung zu stellen, was über den Knoten Zertifikatvorlagen im MMC-Snap-In Zertifizierungsstelle<br />
erfolgt. Im Allgemeinen sollten Sie eine Zertifikatvorlage für mindestens zwei Zertifizierungsstellen<br />
in der Gesamtstruktur veröffentlichen, um sicherzustellen, dass mindestens eine stets verfügbar<br />
ist. In Unternehmen mit mehreren physischen Standorten sollten Sie eine Zertifikatvorlage für<br />
eine Zertifizierungsstelle an jedem dieser Standorte veröffentlichen.<br />
Aktualisieren von Zertifikatvorlagen<br />
Es gibt keine Methode zum Bearbeiten vorhandener Zertifikate. Wenn Sie die Einstellungen eines<br />
Zertifikats für Benutzer ändern möchten, müssen Sie zuerst die Zertifikatvorlage aktualisieren, mit<br />
deren Hilfe die Zertifikate erstellt werden, und anschließend die Zertifikate erneut für die Benutzer<br />
ausstellen. Wenn Sie eine Zertifikatvorlage aktualisieren, können Sie eine vorhandene Zertifikatvorlage<br />
ändern oder eine neue Zertifikatvorlage erstellen, welche die vorhandene Zertifikatvorlage<br />
ablöst. Die Aktualisierung von Zertifikatvorlagen wirkt sich nicht auf bereits ausgestellte Zertifikate<br />
aus.<br />
Normalerweise ändern Sie eine vorhandene Zertifikatvorlage nur dann, wenn geringfügige Änderungen<br />
erforderlich sind. Dies ist allerdings nur bei Version 2- und Version 3-Zertifikatvorlagen möglich.<br />
Das Ändern der Sicherheitsberechtigungen erfordert kein erneutes Ausstellen von Zertifikaten,<br />
da der Inhalt der Zertifikate nicht betroffen ist. Wenn sich Änderungen auf den Inhalt der Zertifikate<br />
auswirken, müssen diese neu ausgestellt werden.
676 Kapitel 17: <strong>Active</strong> <strong>Directory</strong>-Zertifikatdienste<br />
Durch Ablösen einer Zertifikatvorlage können Sie eine gänzlich neue Zertifikatvorlage erstellen, die<br />
eine oder mehrere vorhandene Zertifikatvorlagen ersetzt. Eine neue Zertifikatvorlage wird mit den<br />
Vorlagen konfiguriert, die sie ablöst (siehe Abbildung 17.11). Zertifikate müssen erneut ausgestellt<br />
werden, damit die neuen Änderungen wirksam werden.<br />
Das erneute Ausstellen von Zertifikaten erfolgt, wenn Zertifikate erneuert werden. Der Erneuerungszeitraum<br />
eines Zertifikats ist zumeist wesentlich kürzer als die Gültigkeitsdauer des Zertifikats,<br />
weshalb diese Änderungen nicht automatisch erfolgen. Sie können Zertifikatinhaber auch über das<br />
Snap-In Zertifikatvorlagen zwingen, eine erneute Registrierung vorzunehmen, bevor der Erneuerungszeitraum<br />
abgelaufen ist. Klicken Sie mit der rechten Maustaste auf das vorhandene Zertifikat,<br />
und wählen Sie Alle Zertifikatinhaber erneut registrieren. Vorhandene Zertifikatvorlage werden dann<br />
aktualisiert, wenn der Client das nächste Mal den Inhalt des Zertifikats mit der Vorlage abgleicht. Das<br />
Erzwingen der erneuten Registrierung ist nur bei Zertifikatvorlagen der Versionen 2 und 3 möglich.<br />
Abbildung 17.11<br />
Registerkarte Abgelöste Vorlagen<br />
Gültigkeit von Zertifikaten bei eigenständigen Zertifizierungsstellen<br />
Bei Unternehmenszertifizierungsstellen wird die Gültigkeitsdauer eines Zertifikats in der Zertifikatvorlage<br />
bestimmt. Die standardmäßige Gültigkeitsdauer für von einer eigenständigen Zertifizierungsstelle<br />
ausgestellte Zertifikate ist ein Jahr. Um diese Gültigkeitsdauer zu verlängern, können<br />
Sie die Registrierung wie folgt bearbeiten:<br />
1. Öffnen Sie den Registrierungs-Editor.<br />
2. Suchen Sie folgenden Registrierungsschlüssel:<br />
HKEY_LOCAL_MACHINE\System\CurrentControlSet\Services\CertSvc\<br />
Configuration\\
Verwalten von Zertifikaten in den AC CS 677<br />
3. Bearbeiten Sie den Schlüssel ValidityPeriod, und geben Sie Werte für Tage, Wochen, Monate<br />
oder Jahre ein.<br />
4. Bearbeiten Sie den Schlüssel ValidityPeriodUnits, und geben Sie einen numerischen Wert entsprechend<br />
der Anzahl der Tage, Wochen, Monate oder Jahre ein, die die Zertifikate gültig sein<br />
sollen.<br />
5. Starten Sie die <strong>Active</strong> <strong>Directory</strong>-Zertifikatdienste neu.<br />
Hinweis Sie können auch mit dem Dienstprogramm Certutil.exe die Gültigkeitsdauer ändern (siehe<br />
„"Certutil"-Tasks zum Konfigurieren einer Zertifizierungsstelle”) unter http://technet2.microsoft.com/<br />
WindowsServer/de/Library/a3d5dbb9-1bf6-42da-a13b-2b220b11b6fe1031.mspx?mfr=true.<br />
Konfigurieren der automatischen Zertifikatregistrierung<br />
Wenn in Ihrem Unternehmen sehr viele Zertifikate ausgestellt werden, kann der Verwaltungsprozess<br />
überaus aufwendig sein. Eine auf Windows basierende PKI-Lösung behebt dieses Problem mithilfe<br />
der automatischen Registrierung, die einer Windows-Zertifizierungsstelle die Ausstellung von Zertifikaten<br />
ohne Administrator- oder Benutzereingriffe ermöglicht. Dadurch wird die Ausstellung von Zertifikaten<br />
für das verschlüsselnde Dateisystem, Smartcards oder E-Mail erleichtert. Außerdem werden<br />
die Kosten reduziert. Die automatische Registrierung ist bei Zertifikatvorlagen der Versionen 2 und 3<br />
möglich.<br />
Version 1-Zertifikatvorlagen können über den automatischen Zertifikatanforderungsdienst (Automatic<br />
Certificate Request Service, ACRS) zum automatischen Generieren von Zertifikaten für Computer<br />
verwendet werden. Bei Verwenden dieses Dienstes werden Version 1-Zertifikatvorlagen in einem<br />
Gruppenrichtlinienobjekt konfiguriert. Die Einstellungen dieses Gruppenrichtlinienobjekts gelten nur<br />
für Computer- und nicht für Benutzerkonten. Sie müssen das Gruppenrichtlinienobjekt mit der Domäne,<br />
dem Standort, der Organisationseinheit mit den Computern verknüpfen, die das Zertifikat empfangen<br />
sollen. Die zu konfigurierende Gruppenrichtlinieneinstellung lautet Computerkonfiguration\<br />
Richtlinien\Windows-Einstellungen\Sicherheitseinstellungen\Richtlinien öffentlicher Schlüssel\Einstellungen<br />
der automatischen Zertifikatanforderung.<br />
Im Gegensatz dazu wird die automatische Registrierung als Kombination aus Gruppenrichtlinienobjekt-Einstellungen<br />
und Einstellungen innerhalb der Zertifikatvorlage konfiguriert. Eine Gruppenrichtlinienobjekt-Einstellung<br />
dient zum Aktivieren der automatischen Registrierung. Die Sicherheitseinstellung<br />
für die Zertifikatvorlage bestimmt, welche Zertifikate abgerufen werden. Die<br />
Gruppenrichtlinienobjekt-Einstellungen für Zertifikatvorlagen der Versionen 2 und 3 können zur automatischen<br />
Registrierung von Zertifikaten für Benutzer- und Computerkonten verwendet werden. Sie<br />
müssen das Gruppenrichtlinienobjekt mit der Domäne, dem Standort, der Organisationseinheit mit<br />
Computern verknüpfen, die das Zertifikat empfangen sollen. Die zu konfigurierende Gruppenrichtlinieneinstellung<br />
lautet \Richtlinien\Windows-Einstellungen\Sicherheitseinstellungen\Richtlinien<br />
für öffentliche Schlüssel\Zertifikatdiensteclient - Einstellung<br />
für die automatische Registrierung (siehe Abbildung 17.12).<br />
Die Optionen für Konfigurationsmodell für das Gruppenrichtlinienobjekt lauten Aktiviert, Deaktiviert<br />
und Nicht konfiguriert. Falls auf Aktiviert eingestellt, wird die automatische Registrierung für die<br />
betreffenden Clients aktiviert. Die Option Abgelaufene Zertifikate erneuern, ausstehende Zertifikate<br />
aktualisieren und gesperrte Zertifikate entfernen ermöglicht die automatische Registrierung für zu<br />
erneuernde und ausstehende Zertifikate und entfernt außerdem gesperrte Zertifikate.
678 Kapitel 17: <strong>Active</strong> <strong>Directory</strong>-Zertifikatdienste<br />
Die Option Zertifikate aktualisieren, die Zertifikatvorlagen verwenden erlaubt die automatische<br />
Registrierung zur Aktualisierung von Zertifikaten, wenn eine vorhandene Zertifikatvorlage abgelöst<br />
wird. Sie können auch die Ablaufbenachrichtigung konfigurieren, die die Benutzer über den anstehenden<br />
Ablauf ihrer Zertifikate informiert.<br />
Abbildung 17.12<br />
Gruppenrichtlinieneinstellungen für die automatische Registrierung<br />
Bei Zertifikatvorlagen der Versionen 2 und 3 können Sie Einstellungen festlegen, die sich auf die<br />
automatische Registrierung auswirken. Auf der Registerkarte Anforderungsverarbeitung (siehe<br />
Abbildung 17.9) können Sie den Grad der Benutzereingaben bestimmen, der während der automatischen<br />
Registrierung erforderlich ist. Die Option Antragsteller ohne Benutzereingabe registrieren ist<br />
erforderlich, wenn Zertifikate für Computer und Dienstkonten ausgestellt werden. Sie wird auch<br />
zumeist für das Ausstellen von Zertifikaten für Benutzer empfohlen, da sie das automatische Erstellen<br />
des Zertifikats im Hintergrund ohne Benutzereingriffe ermöglicht. Die Option Benutzer zur<br />
Eingabe während der Registrierung auffordern zwingt Benutzer zur Interaktion mit dem Registrierungsprozess.<br />
Die Option Benutzer zur Eingabe während der Registrierung auffordern und Benutzereingabe<br />
beim Verwenden eines privaten Schlüssels anfordern zwingt den Benutzer, während der<br />
Registrierung ein Kennwort einzugeben. Dieses Kennwort muss jedes Mal eingegeben werden, wenn<br />
der Benutzer den zum Zertifikat gehörenden privaten Schlüssel verwendet. Diese zusätzliche Sicherheitseinstellung<br />
gewährleistet, dass der private Schlüssel nur vom Benutzer und nur zu vorgesehenen<br />
Zeitpunkten verwendet werden kann.<br />
Auf der Registerkarte Ausstellungsvoraussetzungen der Zertifikatvorlage (siehe Abbildung 17.13)<br />
wird festgelegt, ob Registrierungsanforderungen automatisch genehmigt werden oder ob Eingriffe<br />
erforderlich sind. Die Option Genehmigung von Zertifikatverwaltung der Zertifizierungsstelle fordert<br />
an, dass Registrierungsanforderungen für diese Vorlage vom Verwalter der Zertifizierungsstelle<br />
genehmigt werden, bevor das Zertifikat ausgestellt wird. Die Option Diese Anzahl an autorisierten<br />
Signaturen fordert an, dass Anforderer die Registrierungsanforderung mit einer digitalen Signatur<br />
signieren, welche dieselben Ausstellungs- und Anwendungsrichtlinien wie die aktuelle Zertifikatvorlage<br />
befolgt.
Verwalten von Zertifikaten in den AC CS 679<br />
Sind mehrere Signaturen erforderlich, wird die automatische Registrierung für die Zertifikatvorlage<br />
deaktiviert. Das Anfordern von Gültiges vorhandenes Zertifikat anstelle von Gleiche Kriterien wie für<br />
Registrierung ermöglicht Benutzern das Erneuern ihres Zertifikats ohne Eingriff durch einen Zertifizierungsstellenverwalter<br />
oder Anforderung autorisierter Signaturen.<br />
Abbildung 17.13<br />
Registerkarte Ausstellungsanforderungen einer Zertifikatvorlage<br />
Verwalten der Akzeptanz von Zertifikaten mithilfe von Gruppenrichtlinien<br />
Mithilfe von Gruppenrichtlinien können Sie vertrauenswürdige Stammzertifizierungsstellen automatisch<br />
an Clientcomputer verteilen. So kann am besten sichergestellt werden, dass Clients Zertifikaten<br />
einer Zertifizierungsstelle vertrauen, die nicht automatisch mit dem Windows-Client bereitgestellt<br />
wird. Die Gruppenrichtlinienobjekt-Einstellungen zur Verteilung vertrauenswürdiger Stammzertifizierungsstellen<br />
lautet Computerkonfiguration\Richtlinien\Windows-Einstellungen\Sicherheitseinstellungen\Richtlinien<br />
öffentlicher Schlüssel\Vertrauenswürdige Stammzertifizierungsstellen. Windows<br />
Server 2008 bietet verschiedene andere Gruppenrichtlinienobjekt-Einstellungen für die Verwaltung<br />
der Akzeptanz von Zertifikaten. So gibt es beispielsweise die neue Einstellung zum Verteilen vertrauenswürdiger<br />
Herausgeber zum Überprüfen von Software, die installiert und ausgeführt wird, unter<br />
Computerkonfiguration\Richtlinien\Windows-Einstellungen\Sicherheitseinstellungen\Richtlinien<br />
öffentlicher Schlüssel\Vertrauenswürdige Herausgeber.<br />
Intern können Sie das Sperren von Zertifikaten steuern, denen nicht mehr vertraut wird. Eine Liste<br />
gesperrter Zertifikate kann über eine Zertifikatsperrliste oder OCSP verteilt werden. Windows<br />
Server 2008 bietet die Gruppenrichtlinienobjekt-Einstellung Nicht vertrauenswürdige Zertifikate. Hier<br />
handelt es sich um Zertifikate externer Zertifizierungsstellen, die Sie nicht sperren, jedoch als nicht<br />
vertrauenswürdig kennzeichnen möchten.
680 Kapitel 17: <strong>Active</strong> <strong>Directory</strong>-Zertifikatdienste<br />
Die entsprechende Gruppenrichtlinienobjekt-Einstellung lautet Computerkonfiguration\Richtlinien\<br />
Windows-Einstellungen\Sicherheitseinstellungen\Richtlinien öffentlicher Schlüssel\Nicht vertrauenswürdige<br />
Zertifikate.<br />
Viele Optionen zur Verwaltung der Überprüfung wurden außerdem der Einstellung Computerkonfiguration\Richtlinien\Windows-Einstellungen\Sicherheitseinstellungen\Richtlinien<br />
öffentlicher Schlüssel\<br />
Einstellungen für die Überprüfung des Zertifikatpfades hinzugefügt. Die Registerkarte Speicher kann<br />
dazu dienen, Benutzer am Hinzufügen vertrauenswürdiger Stammzertifizierungsstellen zu ihren Computern<br />
zu hindern. Die Registerkarte Vertrauenswürdige Herausgeber dient zum Steuern, ob Benutzer,<br />
Administratoren oder nur Unternehmensadministratoren die Liste vertrauenswürdiger Herausgeber<br />
von Software ändern dürfen. Auf der Registerkarte Netzwerkabruf können Zeitlimitwerte für<br />
OCSP-Anforderungen festgelegt werden. Die Registerkarte Sperrung dient zum Festlegen der Gültigkeitskeitsdauer<br />
von OSCP und Zertifikatsperrlisten.<br />
Konfigurieren der Serverspeicherung von Anmeldeinformationen<br />
In verschiedenen Unternehmen, z.B. Telemarketingfirmen, arbeiten Benutzer häufig an verschiedenen<br />
Computern. Da Zertifikate in den Profilen auf den Computern gespeichert werden, können<br />
Zertifikate in einer solchen Umgebung nicht ohne Weiteres eingesetzt werden. Eine Lösung sind servergespeicherte<br />
Benutzerprofile, bei denen Benutzerprofile bei jeder Abmeldung an einen Netzwerkspeicherort<br />
hochgeladen und bei der Anmeldung heruntergeladen werden. Servergespeicherte Profile<br />
enthalten jedoch neben dem Zertifikatspeicher sehr viele zusätzliche Daten, was zu langen Anmeldezeiten<br />
führen kann.<br />
Die Serverspeicherung von Anmeldeinformationen ermöglicht Benutzerzertifikaten und deren privaten<br />
Schlüsseln einen Wechsel auf einen anderen Computer, ohne dass servergespeicherte Benutzerprofile<br />
erforderlich sind. Wenn sich der Benutzer erstmals anmeldet, werden die Benutzerzertifikate<br />
im lokalen Zertifikatspeicher im entsprechende Benutzerkonto in <strong>Active</strong> <strong>Directory</strong> veröffentlicht.<br />
Gibt es in <strong>Active</strong> <strong>Directory</strong> veröffentlichte Zertifikate, die neuer als die lokalen Zertifikate sind, wird<br />
der lokale Zertifikatspeicher mit den Zertifikaten in <strong>Active</strong> <strong>Directory</strong> aktualisiert. Ab diesem Zeitpunkt<br />
werden neue für den Benutzer ausgestellte Zertifikate aus dem lokalen Speicher in <strong>Active</strong><br />
<strong>Directory</strong> veröffentlicht. Wenn sich der Benutzer an einem anderen Computer anmeldet, werden die<br />
Zertifikate in <strong>Active</strong> <strong>Directory</strong> mit dem zu verwendenden lokalen Zertifikatspeicher synchronisiert.<br />
Die Serverspeicherung von Anmeldeinformationen wird immer dann ausgelöst, wenn sich ein Zertifikat<br />
im lokalen Zertifikatspeicher ändert, der Computer ge- bzw. entsperrt wird oder die Gruppenrichtlinien<br />
geändert werden.<br />
Hinweis Die Serverspeicherung von Anmeldeinformationen und servergespeicherte Benutzerprofile<br />
dürfen nicht parallel verwendet werden.<br />
Hinweis Zum Verwenden der Serverspeicherung von Anmeldeinformationen muss auf dem Client Windows<br />
XP SP2, Windows Server 2003 SP1, Windows Vista oder Windows Server 2008 ausgeführt werden.<br />
Die Gruppenrichtlinienobjekt-Einstellung zum Steuern der Serverspeicherung von Anmeldeinformationen<br />
lautet Benutzerkonfiguration\Richtlinien\Windows-Einstellungen\Sicherheitseinstellungen\<br />
Richtlinien für öffentliche Schlüssel\Zertifikatdiensteclient - Einstellung für Serverspeicherung von<br />
Anmeldeinformationen (siehe Abbildung 17.14).
Entwerfen einer AD CS-Implementierung 681<br />
Die Option Maximale Alterungs-Gültigkeitsdauer von Anmeldeinformationen in Tagen bestimmt, wie<br />
lange ein Zertifikat in <strong>Active</strong> <strong>Directory</strong> verbleibt, nachdem es aus dem lokalen Zertifikatspeicher<br />
gelöscht wurde. Die Option Maximale Anzahl von servergespeicherten Anmeldeinformationen pro<br />
Benutzer begrenzt die Anzahl der Zertifikate, die auf dem Server gespeichert werden dürfen. Mit der<br />
Option Maximale Größe (in Byte) von servergespeicherten Anmeldeinformationen wird die maximale<br />
Größe eines Zertifikats und des privaten Schlüssels begrenzt, das/der auf dem Server gespeichert werden<br />
darf. Die Option Gespeicherte Benutzernamen und Kennwörter für Roaming verwenden ist neu<br />
unter Windows Server 2008 und ermöglicht die Serverspeicherung lokale gespeicherter Benutzernamen<br />
und Kennwörter für Ressourcen wie Websites, was allerdings nur von Computern mit Windows<br />
Vista unterstützt wird.<br />
Abbildung 17.14 Zertifikatdiensteclient - Gruppenrichtlinieneinstellung Serverspeicherung von<br />
Anmeldeinformationen<br />
Entwerfen einer AD CS-Implementierung<br />
Der AD CS-Entwurf muss vor der Implementierung sorgfältig geplant werden. Wenn Entwurfsänderungen<br />
nach der Implementierung erfolgen, kann dies zur Folge haben, dass viele Zertifikate neu ausgestellt<br />
werden müssen. Ein wichtiger Schritt im Entwurfsprozess ist das Bestimmen der zu verwendenden<br />
Zertifizierungsstellenhierarchie. Sie müssen außerdem die Zertifikatvorlagen bestimmen, die<br />
zur Unterstützung der Registrierung verwendet werden. Schließlich müssen Sie planen, wie die Zertifikatverteilung<br />
und -sperrung erfolgen soll.<br />
Entwerfen einer Zertifizierungsstellenhierarchie<br />
Die Zertifizierungsstellenhierarchie bildet die Organisation der Zertifizierungsstellen in Ihrem Unternehmen<br />
ab. Der Entwurf der Zertifizierungsstellenhierarchie bestimmt, wie Zertifikate von Ihrem<br />
Unternehmen ausgestellt und verwaltet werden. Vor dem Entwurf der Zertifizierungsstellenhierarchie<br />
müssen Sie exakt bestimmen, wie die Public Key-Infrastruktur verwendet werden soll.
682 Kapitel 17: <strong>Active</strong> <strong>Directory</strong>-Zertifikatdienste<br />
Vorbereiten des Entwurfs einer Zertifizierungsstellenhierarchie<br />
Bevor Sie eine Zertifizierungsstellenhierarchie entwerfen können, müssen Sie den Projektumfang, die<br />
verwendeten Anwendungen sowie die technischen und geschäftlichen Anforderungen bestimmen.<br />
Beim Bestimmen des Umfangs kann der Entwurf für die gesamte Hierarchie oder nur einen Teil<br />
davon gelten. Der auszuwählende Umfang basiert auf der Verwaltung der PKI in Ihrem Unternehmen<br />
bzw. darauf, ob diese bereits implementiert wurde. Ein Unternehmen mit vorhandener PKI muss<br />
beispielsweise ggf. nur zusätzliche Infrastruktur entwerfen. Ein Unternehmen ohne PKI muss die<br />
gesamte Infrastruktur von Grund auf neu erstellen.<br />
Die Anwendungen, für die Sie die PKI verwenden, bestimmen die PKI-Implementierung. Es ist beispielsweise<br />
wahrscheinlich, dass Benutzerzertifikate zur Prozessoptimierung über die automatische<br />
Registrierung verteilt werden. An Webserver werden Zertifikate jedoch zumeist manuell ausgestellt.<br />
Sie können den Registrierungsdienst für Netzwerkgeräte einrichten, um die Implementierung von<br />
802.1X für die Authentifizierung von Netzwerkgeräten zu unterstützen.<br />
Die technischen Anforderungen umfassen die Anforderungen an Sicherheit und Verwaltung. Der Zertifizierungsstellenentwurf<br />
muss in Ihrem Unternehmen geltende Sicherheitsrichtlinien befolgen. Dazu<br />
können Hardwarespeichermodule zur Optimierung der Sicherheit gehören. Außerdem müssen Sie<br />
bestimmen, wer die Zertifizierungsstelleninfrastruktur verwalten soll. Bei Großunternehmen ist eine<br />
zentrale Verwaltung ggf. nicht realisierbar. In Großunternehmen werden meist einige Aufgaben zur<br />
Verwaltung von Zertifizierungsstellen lokalen Administratoren übertragen.<br />
Die geschäftlichen Anforderungen beziehen sich auf Verfügbarkeit und rechtliche Anforderungen und<br />
diktieren den Grad an Fehlertoleranz, der für Zertifizierungsstellen erforderlich ist. Wenn Ihre PKI<br />
beispielsweise Anwendungen unterstützt, die rund um die Uhr ausgeführt werden, ist Fehlertoleranz<br />
wichtig. Dadurch sind an manchen Standorten ggf. mehrere Zertifizierungsstellen nötig. Wenn Zertifikate<br />
in Ihrem Unternehmen jedoch nur gelegentlich ausgestellt werden, kann eine einzelne Zertifizierungsstelle<br />
ausreichend sein. Rechtliche Anforderungen hängen davon ab, ob externe Benutzer unterstützt<br />
werden müssen, und von den verwendeten Anwendungen ab. Jedes Unternehmen muss sein<br />
rechtlichen Obliegenheiten selbständig bestimmen.<br />
Hierarchietypen<br />
Wenn die Bereitstellung gänzlich intern erfolgt, benötigen Sie eine Stammzertifizierungsstellenhierarchie,<br />
bei der alle Zertifizierungsstellen einer gemeinsamen Stammzertifizierungsstelle vertrauen.<br />
Durch Einrichten einer Hierarchie können Sie verschiedenen Zertifizierungsstellen bestimmte Rollen<br />
zuordnen. Die ausstellenden Zertifizierungsstellen auf der untersten Stufe der Hierarchie können beispielsweise<br />
speziell für bestimmten Zertifikattypen oder geografische Standorte eingerichtet werden.<br />
Zertifizierungsstellen auf höheren Stufen können entsprechend den Sicherheitsanforderungen offline<br />
geschaltet werden.<br />
In einer Stammhierarchie implementieren große Unternehmen häufig drei Ebenen. Auf der ersten<br />
Ebene befindet sich die Stammzertifizierungsstelle. Auf der zweiten Ebene sind die Richtlinienzertifizierungsstellen.<br />
Eine Richtlinienzertifizierungsstelle legt Regeln fest, die untergeordnete Zertifizierungsstellen<br />
befolgen müssen, und kann zum Definieren von Richtlinien verwendet werden, die alle<br />
untergeordneten Zertifizierungsstellen für einen geografischen oder Unternehmensbereich betreffen.<br />
Auf der dritten Ebene befinden sich schließlich die Zertifizierungsstellen, die Zertifikate für Benutzer,<br />
Computer und Geräte ausstellen.
Entwerfen einer AD CS-Implementierung 683<br />
Stammzertifizierungsstelle<br />
Ausstellende<br />
Zertifizierungsstelle<br />
Ausstellende<br />
Zertifizierungsstelle<br />
Ausstellende<br />
Zertifizierungsstelle<br />
Abbildung 17.15<br />
Stammzertifizierungsstellenhierarchie<br />
In vielen Fällen haben zwei Unternehmen bereits vorhandene Public Key-Infrastrukturen, die integriert<br />
werden müssen. In diesem Fall nutzen Sie eine Hierarchie zur gegenseitigen Zertifizierung (siehe<br />
Abbildung 17.16). Eine Zertifizierungsstelle im ersten Unternehmen stellt einer Zertifizierungsstelle<br />
im zweiten Unternehmen ein untergeordnetes Zertifizierungsstellenzertifikat aus. Eine Zertifizierungsstelle<br />
im zweiten Unternehmen stellt einer Zertifizierungsstelle im ersten Unternehmen ebenfalls<br />
ein untergeordnetes Zertifizierungsstellenzertifikat aus. Auf diese Weise wird von beiden Unternehmen<br />
ausgestellten Zertifikaten von beiden Unternehmen vertraut. Der Hauptnachteil dieser<br />
Konfiguration ist das vollständige Vertrauen in das andere Unternehmen, das erforderlich ist.<br />
Richtlinienzertifizierungsstelle<br />
Stammzertifizierungsstelle<br />
Ausstellende<br />
Zertifizierungsstelle<br />
Stammzertifizierungsstelle<br />
Richtlinienzertifizierungsstelle<br />
Ausstellende<br />
Zertifizierungsstelle<br />
Richtlinienzertifizierungsstelle<br />
Ausstellende<br />
Zertifizierungsstelle<br />
Ausstellende<br />
Zertifizierungsstelle<br />
Abbildung 17.16<br />
Ausstellende<br />
Zertifizierungsstelle<br />
Stammzertifizierungsstellenhierarchie mit gegenseitiger Zertifizierung<br />
Ausstellende<br />
Zertifizierungsstelle
684 Kapitel 17: <strong>Active</strong> <strong>Directory</strong>-Zertifikatdienste<br />
Rollen in der Zertifizierungsstellenhierarchie<br />
Eine typische Zertifizierungsstellenhierarchie hat drei Ebenen. Diese Anzahl von Ebenen ist hinsichtlich<br />
der Flexibilität optimal. Bei mehr als drei Ebenen ergibt sich nur wenig mehr Flexibilität, jedoch<br />
mehr Komplexität.<br />
Auf der ersten Ebene befindet sich die Stammzertifizierungsstelle, die ihr eigenes Zertifikat ausstellt<br />
und die Richtlinienzertifizierungsstellen autorisiert. Ist die Sicherheit der Stammzertifizierungsstelle<br />
gefährdet, ist auch die Sicherheit aller von der gesamten Hierarchie ausgestellten Zertifikate<br />
gefährdet.<br />
Auf der zweiten Ebene befinden sich die Richtlinienzertifizierungsstellen. Eine Richtlinienzertifizierungsstelle<br />
setzt die Richtlinien und Verfahren für die Ausstellung von Zertifikaten durch. Aufgabe<br />
einer Richtlinienzertifizierungsstelle ist die Autorisierung der ausstellenden Zertifizierungsstellen.<br />
Mehrere Richtlinienzertifizierungsstellen sind nur dann erforderlich, wenn für die Ausstellung von<br />
Zertifikaten an verschiedene Benutzergruppen unterschiedliche Richtlinien befolgt werden. Zwei<br />
Abteilungen können beispielsweise unterschiedlichen Regeln unterliegen.<br />
Auf der dritten Ebene befinden sich die ausstellenden Zertifizierungsstellen, die für das Ausstellen<br />
von Zertifikaten an Clients zuständig sind. Eine ausstellende Zertifizierungsstelle muss stets online<br />
sein und ist zur Vereinfachung der Verwaltung zumeist eine Unternehmenszertifizierungsstelle. Ausstellende<br />
Zertifizierungsstellen können nach Zertifikatzweck, Standort, Abteilung oder Benutzertyp<br />
organisiert sein. Wenn eine Zertifizierungsstelle Zertifikate für das verschlüsselnde Dateisystem<br />
(EFS) ausstellt, basiert die Organisation auf dem Zertifikatzweck. Wenn eine Zertifizierungsstelle<br />
Zertifikate für externe Benutzer ausstellt, basiert die Organisation auf dem Benutzertyp.<br />
Die tatsächliche Anzahl von Ebenen in Ihrer Zertifizierungsstellenhierarchie hängt von den Anforderungen<br />
Ihres Unternehmens ab. In einer Umgebung mit sehr niedrigen Sicherheitsanforderungen mit<br />
nur einer minimalen Anzahl ausgestellter Zertifikate wird ggf. nur eine Stammzertifizierungsstelle<br />
zum Ausstellen von Zertifikaten eingesetzt. Sollten die Sicherheitsanforderungen und die Anzahl der<br />
ausgestellten Zertifikate ansteigen, kann eine zweite, dritte oder sogar vierte Ebene hinzugefügt werden.<br />
Beim mehreren Ebenen wird der Einsatz einer Offlinestamm- und Richtlinienzertifizierungsstellen<br />
empfohlen.<br />
Trennung von Rollen für die Verwaltung<br />
Die Verwaltungsrollen für die Windows-basierte Public Key-Infrastruktur (PKI) können voneinander<br />
getrennt werden. Wichtig ist es zu wissen, welche Rollen welchen Benutzern zugewiesen wurden, da<br />
diese bei zur Verwaltung der PKI zusammenarbeiten müssen. Wenn einem Benutzer mehrere Rollen<br />
zugewiesen wurden, kann er die dazugehörigen Aufgaben nicht ausführen. Die folgenden Verwaltungsrollen<br />
wurden festgelegt:<br />
• Zertifizierungsstellenadministrator Aufgabe dieser Rolle ist das Konfigurieren von Zertifikatdiensten,<br />
das Zuweisen von Zertifikatverwaltern und das Erneuern von Zertifikaten.<br />
• Zertifikatverwaltung Aufgabe dieser Rolle ist das Ausstellen und Sperren von Zertifikaten.<br />
• Auditor Aufgabe dieser Rolle ist das Überprüfen des Sicherheitsereignisprotokolls auf zertifikatdienstbezogene<br />
Ereignisse.<br />
• Sicherungs-Operatoren Dieser Rolle zugewiesene Benutzer können die Zertifizierungsstellenkonfiguration<br />
und -datenbank sowie das Zertifizierungsstellen-Schlüsselpaar sichern.<br />
Die Rollentrennung ist nicht standardmäßig aktiviert. Rufen Sie dazu den Befehl certutil -setreg ca\<br />
RoleSeparationEnabled 1 auf. Die Zertifikatdienste müssen neu gestartet werden, damit diese Änderung<br />
wirksam wird.
Entwerfen einer AD CS-Implementierung 685<br />
Entwerfen von Zertifikatvorlagen<br />
Das Entwerfen von Zertifikatvorlagen umfasst das Auswählen von Optionen, die die Anforderungen<br />
Ihres Unternehmens am besten erfüllen. Wenngleich die von Ihnen gewählten Optionen spezifisch für<br />
Ihr Unternehmen sind, gelten für bestimmte Einstellungen dennoch allgemeine Empfehlungen.<br />
Gültigkeits- und Erneuerungszeitraum<br />
Ein Zertifikat kann bis zum Ende seiner Gültigkeitsdauer genutzt werden, es sei denn, es wird<br />
gesperrt. Wichtig ist es, die Gültigkeitsdauer mit dem Zweck des Zertifikats abzugleichen. Die Gültigkeitsdauer<br />
eines Zertifizierungsstellenzertifikats ist üblicherweise lang, da eine Zertifizierungsstelle<br />
nur Zertifikate mit einer Gültigkeitsdauer ausstellen kann, die mit oder vor Ablauf dem Ablauf des<br />
eigenen Zertifizierungsstellenzertifikats endet. Zertifikate für die Authentifizierung haben in der<br />
Regel eine kürzere Gültigkeitsdauer von maximal einem Jahr, um eine Sperrung nach Möglichkeit zu<br />
vermeiden.<br />
Der Erneuerungszeitraum eines Zertifikats bestimmt, wie lange vor Ablauf der Zertifikatgültigkeitsdauer<br />
der Client versucht, das Zertifikat zu erneuern. Die Erneuerung vor Ablauf der Gültigkeitsdauer<br />
stellt sicher, dass eine kurzzeitige Unterbrechung des Zertifizierungsstellendienstes die Erneuerung<br />
von Zertifikaten nicht beeinträchtigt. Wenn der Erneuerungszeitraum größer als 20 % der<br />
gesamten Zertifikatgültigkeitsdauer ist, wird das Zertifikat erst erneuert, nachdem 80 % der Gültigkeitsdauer<br />
abgelaufen sind.<br />
Zwecke von Zertifikaten<br />
Der Zertifikatzweck kann in einer Zertifikatvorlage exakt festgelegt werden. Grundlage ist hierbei,<br />
wie Sie Benutzeraktivitäten steuern möchten.<br />
Eine Methode ist das Ermitteln aller Zwecke, die ggf. bei Ihren Benutzern in Frage kommen, und das<br />
anschließende Ausstellen eines allgemeinen Benutzerzertifikats, das alle diese Zwecke erfüllt. In<br />
einem solchen Fall können jedoch alle Benutzer das Zertifikat für alle Zwecke nutzen, sodass Sie<br />
nicht einschränken können, welche Anwendungen Benutzergruppen verwenden dürfen.<br />
Die Alternative ist das Erstellen spezieller Zertifikatvorlage für bestimmte Zwecke und anschließende<br />
Erteilen von Berechtigungen für diese Zertifikatvorlage an ausschließlich Benutzergruppen,<br />
denen Sie die Nutzung bestimmter Anwendungen gestatten möchten. Diese Vorgehensweise bietet<br />
mehr Sicherheit und Steuerungsmöglichkeiten. Allerdings ist auch der Aufwand für die Verwaltung<br />
der verschiedenen Vorlagen größer.<br />
Der Zweck eines Zertifikats wird auf der Registerkarte Erweiterung einer Zertifikatvorlage bestimmt.<br />
Es gibt zwei Erweiterungen zum Bestimmen des Zertifikatzwecks: Anwendungsrichtlinien und Erweiterte<br />
Schlüsselverwendung. Anwendungsrichtlinien sind Microsoft-spezifisch, während die erweiterte<br />
Schlüsselverwendung von anderen Zertifizierungsstellenanbietern verwendet wird. Sind beide Erweiterungen<br />
Teil einer Zertifikatvorlage, müssen sie mit exakt denselben Einstellungen konfiguriert werden.<br />
Anforderungen an den Namen des Antragstellers<br />
Der Antragsteller ist der Benutzer oder Computer, der das Zertifikat anfordert. Sie können ermitteln,<br />
wie der Name eines Zertifikats abgeleitet wird (siehe Abbildung 17.17). In den meisten Fällen wird<br />
der Antragstellername anhand von <strong>Active</strong> <strong>Directory</strong>-Daten erstellt, was für die Unterstützung der<br />
automatischen Registrierung erforderlich ist. Das Format des Antragstellernamens kann entweder auf<br />
dem vollständig definierten oder dem allgemeinen Namen des Anforderers basieren.
686 Kapitel 17: <strong>Active</strong> <strong>Directory</strong>-Zertifikatdienste<br />
Das Verwenden des vollständig definierten Namens gewährleistet, dass der Antragstellername<br />
eindeutig ist.<br />
Falls ein Computer- oder Benutzerkonto einige der benötigten Informationen nicht enthält, schlägt<br />
die Ausstellung des Zertifikats fehl. Wenn beispielsweise die E-Mail-Adresse Teil des Antragstellernamens<br />
ist, verhindert eine fehlende E-Mail-Adresse im Benutzerobjekt die Ausstellung des Zertifikats.<br />
Dieser Fehler wird im MMC-Snap-In Zertifizierungsstelle im Knoten Fehlgeschlagene Anforderungen<br />
angezeigt.<br />
Abbildung 17.17<br />
Einstellungen für den Antragstellernamen in einer Zertifikatvorlage<br />
Wenn Sie die Option Informationen werden in der Anforderung angegeben auswählen, werden die<br />
Benutzer während der Registrierung zur Eingabe des Antragstellernamens aufgefordert. Diese Option<br />
setzt voraus, dass Benutzer mit dem Zertifikatregistrierungsprozess vertraut sind und einen entsprechenden<br />
Namen auswählen. In den meisten Fällen sollte diese Option nicht gewählt werden, da sie<br />
nicht zusammen mit der automatischen Registrierung verwendet werden kann.<br />
Ausstellungsrichtlinien<br />
Ausstellungsrichtlinien sind Bezeichner in einem Zertifikat, die beschreiben, bis zu welchem Grad Ihr<br />
Unternehmen dem Zertifikat vertraut. Die Umsetzung von Ausstellungsrichtlinien wird technisch<br />
nicht erzwungen. Ihr Unternehmen muss bei der Ausstellung des Zertifikats den gewünschten Sicherheitsgrad<br />
bestimmen. Windows Server 2008 bietet die folgenden Ausstellungsrichtlinien und ermöglicht<br />
das Erstellen benutzerdefinierter Ausstellungsrichtlinien: Alle ausgegebenen Richtlinien, Europäisches<br />
qualifiziertes Zertifikat, Hohe Zusicherung, Mittlere Zusicherung, Niedrige Zusicherung und<br />
SSCD-qualifiziertes Zertifikat.
Zusammenfassung 687<br />
Ausstellungssicherheit<br />
Sie können die Ausstellungssicherheit optimieren, indem Sie die Genehmigung des Zertifikatverwalters<br />
oder das Signieren von Anforderungen anfordern. Bei Anfordern der Genehmigung durch den<br />
Zertifikatverwalter muss dieser alle Anforderungen manuell überprüfen, bevor sie genehmigt werden.<br />
Dadurch kann der Zertifikatverwalter zusätzliche Identitätsprüfungen vornehmen. Durch Signieren<br />
von Anforderungen wird die Identität des Zertifikatanforderers überprüft.<br />
Entwerfen der Zertifikatverteilung und -sperrung<br />
Die Vorgehensweisen bei der Zertifikatverteilung und -sperrung basieren auf den spezifischen Anforderungen<br />
Ihres Unternehmens. Die Zertifikatverteilung muss den Benutzern erlauben, sich bei minimalem<br />
Aufwand für die benötigten Zertifikate zu registrieren. Bei der Zertifikatsperrung müssen<br />
aktuelle Informationen ohne Überlastung von Netzwerkressourcen bereitgestellt werden.<br />
Zertifikatverteilung<br />
Die Zertifikatverteilung bestimmt, wie Clients Zertifikate erhalten. Dies umfasst den Typ und die<br />
Schnittstelle für die Registrierung. Nach Möglichkeit sollte stets die automatische Registrierung für<br />
die Ausstellung sehr vieler Zertifikate genutzt werden, da dadurch der Verwaltungsaufwand verringert<br />
und die Benutzerzufriedenheit gesteigert wird. Dies ist jedoch nur möglich, wenn eine Unternehmenszertifizierungsstelle<br />
für zu <strong>Active</strong> <strong>Directory</strong> gehörende Clients verwendet wird.<br />
Das MMC-Snap-In Zertifikate eignet sich zum Abrufen von Zertifikaten von einer Unternehmenszertifizierungsstelle.<br />
Es liest die verfügbaren Zertifikatvorlagen aus <strong>Active</strong> <strong>Directory</strong> aus und zeigt nur<br />
Optionen an, die dem Benutzer, für den Zertifikate abgerufen werden, verfügbar sind. Auch diese<br />
Funktionalität gilt nur für Clients, die zu <strong>Active</strong> <strong>Directory</strong> gehören.<br />
Die Registrierungswebseiten der Zertifizierungsstelle sind erforderlich, wenn ein Anforderer nicht zu<br />
<strong>Active</strong> <strong>Directory</strong> gehört oder eine eigenständige Zertifizierungsstelle Zertifikate ausstellt. Diese Seiten<br />
sind außerdem für bestimmte Sonderfälle erforderlich, z.B. für die Registrierung und den Abruf<br />
von Zertifikaten für Schlüsselwiederherstellungs-Agents.<br />
Zertifikatsperrung<br />
Windows Server 2008 bietet für die Überprüfung des Sperrstatus von Zertifikaten Zertifikatsperrlisten<br />
und das OCSP-Protokoll. Die Verteilung von Zertifikatsperrlisten erfolgt für <strong>Active</strong> <strong>Directory</strong>-<br />
Clients automatisch. Clients, die nicht zu <strong>Active</strong> <strong>Directory</strong> gehören, können die Zertifikatsperrliste<br />
von den Webregistrierungsseiten der Zertifizierungsstelle herunterladen. Es ist jedoch unwahrscheinlich,<br />
dass ein Client solch einen manuellen Prozess ausführt. OCSP kann für Clients verwendet werden,<br />
die zu <strong>Active</strong> <strong>Directory</strong> gehören oder auch nicht.<br />
Im Allgemeinen bietet OCSP eine bessere Netzwerkleistung, sofern Zertifikatüberprüfungen nicht<br />
häufig erfolgen. Zertifikatsperrlisten führen bei zahlreichen Zertifikatprüfungen zu wenig Netzwerkdatenverkehr,<br />
da sie lokal zwischengespeichert werden.<br />
Zusammenfassung<br />
Die <strong>Active</strong> <strong>Directory</strong>-Zertifikatdienste (AD CS) sind die Microsoft-Implementierung einer Zertifizierungsstelle<br />
und umfassen Verwaltungsprogramme wie eine Unternehmens-PKI (Public Key-Infrastruktur)<br />
und das Snap-In Zertifizierungsstelle. Es gibt Unternehmenszertifizierungsstellen und eigenständige<br />
Zertifizierungsstellen.
688 Kapitel 17: <strong>Active</strong> <strong>Directory</strong>-Zertifikatdienste<br />
Eine Unternehmenszertifizierungsstelle ist mit <strong>Active</strong> <strong>Directory</strong> integriert und kann für die automatische<br />
Registrierung Zertifikatvorlagen verwenden. Die erste installierte Zertifizierungsstelle ist eine<br />
Stammzertifizierungsstelle. Weitere Zertifizierungsstellen in derselben Hierarchie sind untergeordnete<br />
Zertifizierungsstellen.<br />
Sie können die Webregistrierung konfigurieren, damit Benutzer Zertifikate über eine Webseite abrufen<br />
können. Eine Zertifikatsperrliste wird von Clients zum Überprüfen der Gültigkeit eines Zertifikats<br />
verwendet. Sie können zum Bereitstellen von Zertifikatstatusinformationen auch einen Online-<br />
Responder konfigurieren. Die Schlüsselarchivierung kann implementiert werden, um von einer<br />
Windows Server 2008-Zertifizierungsstelle ausgestellte private Schlüssel für Zertifikate automatisch<br />
zu archivieren.<br />
Zertifikatvorlagen dienen zum Bestimmen, welche Zertifikattypen ein Benutzer oder Computer<br />
abrufen kann, und für die automatische Registrierung für Zertifikate. Ob Zertifikatvorlagen Benutzern<br />
zur Verfügung stehen, wird von Berechtigungen gesteuert, die den Zertifikatvorlagen zugewiesen<br />
wurden. Die Serverspeicherung von Anmeldeinformationen erlaubt Benutzern die Verwendung<br />
ihrer Zertifikate auf verschiedenen Computern und macht keine servergespeicherten Benutzerprofile<br />
erforderlich.<br />
Empfohlene Vorgehensweisen<br />
• Vergewissern Sie sich, dass einer externen Zertifizierungsstelle von Clients automatisch vertraut<br />
wird, bevor Sie ein von dieser Zertifizierungsstelle ausgestelltes Zertifikat beziehen.<br />
• Arbeiten Sie mit einer internen Zertifizierungsstelle für interne Anwendungen, da Clients mühelos<br />
so konfiguriert werden können, dass sie der internen Zertifizierungsstelle vertrauen.<br />
• Verwenden Sie eine Offline-Stammzertifizierungsstelle zur Steigerung der Sicherheit.<br />
• Arbeiten Sie mit einer Unternehmenszertifizierungsstelle für die Ausstellung von Zertifikaten, um<br />
die automatische Registrierung zu ermöglichen.<br />
• Nutzen Sie die automatische Registrierung, wenn sehr viele Zertifikate für Benutzer oder Computer<br />
ausgestellt werden müssen.<br />
• Über die Schlüsselarchivierung und -wiederherstellung können Sie die Wiederherstellung verloren<br />
gegangener privater Schlüssel ermöglichen.<br />
• Ein Online-Responder dient zum sofortigen Überprüfen des Zertifikatstatus.<br />
• Arbeiten Sie mit der Verteilung von Zertifikatsperrlisten zur Unterstützung von Clients mit<br />
Windows 2000, Windows XP und Windows Server 2003.<br />
• Setzen Sie die Serverspeicherung von Anmeldeinformationen ein, wenn Benutzer regelmäßig an<br />
mehreren Computern arbeiten.<br />
• Wählen Sie eine Zertifizierungsstellenhierarchie mit mehreren Ebenen, um die Sicherheit zu<br />
optimieren.<br />
Zusätzliche Ressourcen<br />
Die folgenden Ressourcen enthalten zusätzliche Informationen und Tools im Zusammenhang mit<br />
diesem Kapitel.
Verwandte Informationen<br />
Zusätzliche Ressourcen 689<br />
• Die Webseite zu den <strong>Active</strong> <strong>Directory</strong>-Zertifikatdiensten finden Sie unter http://technet2.microsoft.com/windowsserver2008/de/servermanager/activedirectorycertificateservices.mspx.<br />
• Weitere Informationen zu Wevtutil.exe finden Sie unter http://technet2.microsoft.com/<br />
windowsserver2008/en/library/d4c791e0-7e59-45c5-aa55-0223b77a48221033.mspx?mfr=true.<br />
• Detaillierte Informationen zu X.509, Version 3, und zur PKI finden Sie in „RFC 3280: Internet<br />
X.509 Public Key Infrastructure Certificate and Certificate Revocation List (CRL) Profile“ unter<br />
http://www.ietf.org/rfc/rfc3280.txt.<br />
• Weitere Informationen zum Entwickeln von Kryptografiedienstanbietern finden Sie in „Writing a<br />
CSP“ unter http://msdn2.microsoft.com/en-us/library/aa388213(VS.85).aspx.<br />
• Detaillierte Anweisungen zum Abrufen eines OCSP-Antwortsignaturzertifikats mithilfe einer<br />
eigenständigen Zertifizierungsstelle finden Sie im Abschnitt „Enrolling for an OCSP Response<br />
Signing Certificate Against a Stand-Alone CA“ unter Installing, Configuring, and Troubleshooting<br />
the Microsoft Online Responder at http://technet2.microsoft.com/windowsserver2008/en/<br />
library/045d2a97-1bff-43bd-8dea-f2df7e270e1f1033.mspx.<br />
Verwandte Tools<br />
Windows Server 2008 bietet mehrere Tools, die bei der Verwaltung der AD CS eingesetzt werden<br />
können. In Tabelle 17-2 finden Sie einige dieser Tools und ihre Einsatzmöglichkeiten.<br />
Tabelle 17.2<br />
AD CS-Verwaltungstools<br />
Toolname<br />
Snap-In Zertifikatvorlagen<br />
Snap-In Zertifikate<br />
Snap-In Zertifizierungsstelle<br />
Certreq.exe<br />
Certutil.exe<br />
Snap-In Unternehmens-PKI<br />
Konsole Gruppenrichtlinienverwaltung<br />
Snap-In Online-Responder<br />
Wevtutil.exe<br />
Beschreibung und Zweck<br />
Dient zum Verwalten von Zertifikatvorlagen<br />
Dient zum Verwalten von an Benutzer, Computer und Dienste ausgestellte<br />
Zertifikate<br />
Dient zum Verwalten von Windows-Zertifizierungsstellen<br />
Dient zum Erstellen und Verwalten von Zertifikatanforderungen über eine<br />
Befehlszeile<br />
Dient zum Verwalten von Zertifikaten und Zertifizierungsstellen über eine<br />
Befehlszeile<br />
Dient zum Anzeigen des Status aller Zertifizierungsstellen in einem Unternehmen<br />
Dient zum Ändern von Gruppenrichtlinienobjekten und Konfigurieren von<br />
Computern für die automatische Registrierung und die Serverspeicherung<br />
von Anmeldeinformationen<br />
Dient zum Verwalten der Online-Responder eines gesamten Unternehmens<br />
Dient dem Zugriff auf Ereignisprotokollinformationen über die Befehlszeile
691<br />
K A P I T E L 1 8<br />
<strong>Active</strong> <strong>Directory</strong>-Rechteverwaltungsdienste<br />
Inhalt dieses Kapitels:<br />
Überblick über die AD RMS . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 692<br />
Implementieren der AD RMS . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 702<br />
Verwalten der AD RMS . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 713<br />
Zusammenfassung. . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 729<br />
Zusätzliche Ressourcen. . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 730<br />
Die meisten IT-Experten sind sich einig, dass der Schutz von digitalen Informationen häufig eine<br />
schwierige und herausfordernde Aufgabe darstellt. Organisationen investieren immer größere Summen<br />
in die Implementierung von mehreren Sicherheitsstufen wie z.B. Umkreisfirewalls, um den<br />
Zugriff auf Netzwerk-, Verschlüsselungs- und Authentifizierungstechnologien zu sichern und dadurch<br />
die Sicherheit der Netzwerkkommunikation zu erhöhen. Dokumente werden typischerweise durch die<br />
Verwendung von sorgfältig erstellten Sicherheitsgruppen und Zugriffssteuerungslisten (Access Control<br />
Lists, ACLs) geschützt, über die festgelegt wird, welche Benutzer mit welchen Zugriffsberechtigungen<br />
auf Informationen zugreifen können.<br />
Doch selbst bei Implementierung all dieser Sicherheitsmethoden vergessen Organisationen häufig,<br />
dass die Empfänger die erhaltenen Informationen beliebig bearbeiten und behandeln können. Oftmals<br />
sind keine weiteren Einschränkungen im Hinblick darauf festgelegt, welche Aufgaben der Empfänger<br />
nach dem Zugriff für die Daten ausführen bzw. an wen er diese Informationen senden darf. Wenn sich<br />
eine Organisation darauf verlässt, dass einzelne Benutzer nach eigenem Ermessen entscheiden können,<br />
wie sie vertrauliche Informationen verwenden und weitergeben, stellt dies ein nicht akzeptables<br />
Risiko für das Sicherheitsmodell dieser Organisation dar. So kann ein Benutzer beispielsweise eine<br />
vertrauliche E-Mail-Nachricht an Empfänger weiterleiten, die diese nicht erhalten sollten, oder für ein<br />
vertrauliches Dokument Aufgaben durchführen, zu denen er nicht berechtigt ist (z.B. nicht zulässige<br />
Kopier-, Bearbeitungs- oder Druckvorgänge).<br />
Neben dem nicht ordnungsgemäßen Umgang mit Dokumenten müssen Organisationen auch die aktuellsten<br />
Gesetze im Hinblick auf Datenschutz und Offenlegung von Informationen berücksichtigen. In<br />
vielen Ländern wurden gesetzliche Bestimmungen zum Schutz von privaten Daten, wie personenbezogenen<br />
Gesundheitsdaten oder Finanzinformationen, eingeführt. Es ist äußerst wichtig, dass diese<br />
privaten Informationen sicher sind und selbst berechtigte Benutzer lediglich Aufgaben ausführen dürfen,<br />
mit denen die Einhaltung von Datenschutzbestimmungen erfüllt werden.<br />
In diesem Kapitel werden die <strong>Active</strong> <strong>Directory</strong>-Rechteverwaltungsdienste (<strong>Active</strong> <strong>Directory</strong> Rights<br />
Management Services, AD RMS) als Lösung vorgestellt, um die digitalen Informationen einer Organisation<br />
zu schützen. Neben der Funktionsweise der AD RMS wird die Implementierung und Verwaltung<br />
dieser Lösung beschrieben, um Informationen für interne, externe und organisationsübergreifende<br />
Benutzer zu schützen.
692 Kapitel 18: <strong>Active</strong> <strong>Directory</strong>-Rechteverwaltungsdienste<br />
Überblick über die AD RMS<br />
Die Sicherheitsstrategie einer Organisation muss Methoden umfassen, um die Sicherheit, den Schutz<br />
und die Gültigkeit von Unternehmensdaten und -informationen aufrecht zu erhalten. Dies umfasst<br />
nicht nur die Steuerung des Zugriffs auf die Daten, sondern ferner, wie die Daten verwendet und an<br />
interne und externe Benutzer verteilt werden. Die Strategie kann zudem Methoden umfassen, um<br />
sicherzustellen, dass die Daten manipulationssicher und die aktuellsten Informationen basierend auf<br />
dem Ablauf von überholten oder zeitkritischen Informationen gültig sind.<br />
Mit den AD RMS wird die vorhandene Sicherheitsstrategie einer Organisation erweitert, indem<br />
dauerhafte Nutzungsrichtlinien auf digitale Informationen angewendet werden. In einer Nutzungsrichtlinie<br />
werden vertrauenswürdige Entitäten wie Benutzer, Benutzergruppen, Computer oder<br />
Anwendungen festgelegt. Diese Entitäten können Informationen nur basierend auf den innerhalb der<br />
Richtlinie konfigurierten Rechten und Bedingungen verwenden. Rechte können Berechtigungen zum<br />
Durchführen von Aufgaben wie Lesen, Kopieren/Einfügen, Drucken, Speichern, Weiterleiten und<br />
Bearbeiten umfassen. Zudem können Rechte durch Bedingungen ergänzt werden, z.B., wenn für eine<br />
bestimmte Entität ein Ablaufzeitraum für die Nutzungsrichtlinie festgelegt wird. Nutzungsrichtlinien<br />
werden zu jedem Zeitpunkt für die geschützten Daten beibehalten, um Informationen zu schützen, die<br />
innerhalb des Intranets einer Organisation gespeichert, extern per E-Mail gesendet oder über ein<br />
mobiles Gerät übermittelt werden.<br />
Hinweis Die Rechteverwaltung darf nicht mit DRM (Digital Rights Management) verwechselt werden.<br />
DRM ist eine separate Technologie zum Schutz von Multimediainhalten wie Musikdaten, Videoaufnahmen<br />
und eBooks, die nicht mit den AD RMS verknüpft ist.<br />
AD RMS-Features<br />
Eine AD RMS-Lösung wird typischerweise innerhalb einer Organisation bereitgestellt, um die Verteilung<br />
von vertraulichen Informationen an nicht berechtigte Benutzer zu verhindern. Das Hinzufügen<br />
von AD RMS-fähigen Clientanwendungen wie dem Office 2007-System oder AD RMS-kompatiblen<br />
Serverrollen wie Exchange Server 2007 und Microsoft Office SharePoint Server 2007 bietet eine<br />
Gesamtlösung für die folgenden Verwendungzwecke:<br />
• Erzwingen von Dokumentrechten Jede Organisation verfügt über Dokumente, die als vertrauliche<br />
Informationen eingestuft werden können. Mithilfe der AD RMS lässt sich steuern, wer diese vertraulichen<br />
Dateien anzeigen kann. Ferner kann der Benutzerzugriff auf ausgewählte Anwendungsfunktionen<br />
wie Drucken, Speichern, Kopieren und Einfügen verhindert werden. Wenn eine<br />
Gruppe von Mitarbeitern gemeinsam an einem Dokument arbeitet und dieses häufig aktualisiert,<br />
kann eine Richtlinie konfiguriert und angewendet werden, die für jeden veröffentlichten Entwurf<br />
ein Ablaufdatum der Dokumentrechte enthält. So kann sichergestellt werden, dass alle beteiligten<br />
Benutzer ausschließlich die aktuellsten Informationen verwenden – die älteren Versionen lassen<br />
sich nicht mehr öffnen, nachdem das Ablaufdatum erreicht ist.<br />
• Schützen der E-Mail-Kommunikation Microsoft Office Outlook 2007 kann mit den AD RMS eingesetzt<br />
werden, um den versehentlichen oder vorsätzlichen nicht ordnungsgemäßen Umgang mit<br />
E-Mail-Nachrichten zu verhindern. Wenn ein Benutzer eine AD RMS-Vorlage für Benutzerrechterichtlinien<br />
auf eine E-Mail-Nachricht anwendet, können verschiedene Aufgaben deaktiviert werden<br />
(z.B. das Weiterleiten der Nachricht, Kopieren und Einfügen von Inhalten, Drucken und<br />
Exportieren der Nachricht).
Überblick über die AD RMS 693<br />
Direkt von der Quelle: Integrieren der AD RMS mit Office SharePoint Server 2007<br />
Die AD RMS lassen sich in Microsoft Office SharePoint Server 2007 integrieren, um Geschäftsdaten<br />
mithilfe von Zugriffsbeschränkungen auf Dokumentbibliotheksebene präzise steuern zu können.<br />
Wenn ein Benutzer zu einer durch Rechte geschützten Dokumentbibliothek wechselt und<br />
versucht, ein Dokument herunterzuladen, wendet Office SharePoint Server 2007 die für die Dokumentbibliothek<br />
konfigurierten Berechtigungen auf das Dokument an. Folglich ist eine direkte<br />
Zuordnung zwischen Office SharePoint Server 2007 und Dokumentberechtigungen vorhanden,<br />
über welche die Office SharePoint Server 2007-Rollen, die mit dem Dokument verknüpft sind, in<br />
AD RMS-Berechtigungen für das Dokument selbst übersetzt werden.<br />
Brian M. Lich<br />
Technical Writer<br />
Windows Server Security<br />
Hinweis Die AD RMS eignen sich gut, um digitale Daten gegen eine nicht ordnungsgemäße Verwendung<br />
zu schützen. Diese Lösung schützt jedoch nicht vor Angriffen wie Drittanbieterprogrammen zur Bildschirmerfassung<br />
oder vor dem Abfotografieren von vertraulichen Onlineinformationen mit einer Digitalkamera. Es<br />
ist wichtig, die AD RMS als zusätzliche Stufe der Sicherheitsstrategie zum Schutz digitaler Informationen zu<br />
verstehen. Andere Sicherheitsmaßnahmen wie das Konfigurieren geeigneter Zugriffssteuerungslisten und<br />
einer sicheren Desktopverwaltung sollten weiterhin implementiert werden.<br />
Abhängig von den Sicherheitsanforderungen einer Organisation wurden möglicherweise bereits eine<br />
Reihe von Technologien zum Schutz digitaler Inhalte implementiert. Technologien wie Zugriffssteuerungslisten<br />
(Access Control Lists, ACLs), Secure Multipurpose Internet Mail Extensions (S/MIME)<br />
oder das verschlüsselnde Dateisystem (Encrypted File System, EFS) können eingesetzt werden, um<br />
E-Mails und Unternehmensdokumente zu schützen. Die AD RMS bieten jedoch weitere Vorteile und<br />
Features, um die Vertraulichkeit und die Verwendung der in diesen Dokumenten gespeicherten Daten<br />
zu schützen. Tabelle 18.1 zeigt einen Vergleich dieser Features mit anderen gängigen Technologien,<br />
die typischerweise in einer Unternehmensumgebung implementiert sind.<br />
Tabelle 18.1<br />
AD RMS-Featurevergleich<br />
Feature RMS ACLs S/MIME-<br />
Signierung<br />
Überprüfen der Identität des<br />
Herausgebers<br />
Unterscheiden zwischen Berechtigungen<br />
basierend auf dem<br />
Benutzer<br />
Verhindern der Anzeige durch<br />
nicht berechtigte Benutzer<br />
Verschlüsseln von geschützten<br />
Inhalten<br />
Festlegen von Ablaufzeiträumen<br />
für Inhalte<br />
S/MIME-Verschlüsselung<br />
EFS<br />
Nein Nein Ja Nein Nein<br />
Ja Ja Nein Nein Nein<br />
Ja Ja Nein Ja Ja<br />
Ja Nein Nein Ja Ja<br />
Ja Nein Nein Nein Nein
694 Kapitel 18: <strong>Active</strong> <strong>Directory</strong>-Rechteverwaltungsdienste<br />
Tabelle 18.1<br />
AD RMS-Featurevergleich (Fortsetzung)<br />
Feature RMS ACLs S/MIME-<br />
Signierung<br />
Steuern von Vorgängen wie<br />
Lesen, Weiterleiten, Speichern,<br />
Ändern oder Drucken von Inhalten<br />
durch den Benutzer<br />
Erweitern des Schutzes auf<br />
andere Speicherorte als das<br />
ursprüngliche Veröffentlichungsverzeichnis<br />
AD RMS-Komponenten<br />
Ja Festlegung von Änderungs-,<br />
Schreiboder<br />
nur Leseberechtigung<br />
möglich<br />
Nein Nein Nein<br />
Ja Nein Ja Ja Ja, für Ordner, die<br />
auf mit NTFS formatierten<br />
Volumes<br />
gespeichert<br />
und für die Verschlüsselung<br />
gekennzeichnet<br />
sind<br />
Die Implementierung einer AD RMS-Lösung umfasst verschiedene, teilweise optionale Komponenten.<br />
Die Komplexität einer spezifischen Konfiguration ist durch die Größe einer Organisation sowie<br />
die Anforderungen an Skalierbarkeit und gemeinsame Datenverwendung bestimmt. Abbildung 18.1<br />
zeigt die Hauptkomponenten einer AD RMS-Lösung.<br />
AD RMS-Stammcluster<br />
Webserver (IIS)<br />
<strong>Active</strong> <strong>Directory</strong>-Domänendienste<br />
Dienstverbindungspunkt<br />
Benutzer- und Gruppenkonfiguration<br />
S/MIME-Verschlüsselung<br />
EFS<br />
Reiner AD RMS-Lizenzierungscluster<br />
AD RMS-<br />
Client<br />
AD RMS-<br />
Client<br />
SQL-Server<br />
Konfigurationsdatenprotokollierung<br />
SQL-Server<br />
AD RMS-<br />
Client<br />
AD RMS-<br />
Client<br />
Abbildung 18.1<br />
AD RMS-Komponenten
Überblick über die AD RMS 695<br />
AD RMS-Stammcluster<br />
Der AD RMS-Stammcluster ist die primäre Komponente einer RMS-Bereitstellung und wird zur Verwaltung<br />
aller Zertifizierungs- und Lizenzierungsanforderungen für Clients verwendet. Eine <strong>Active</strong><br />
<strong>Directory</strong>-Gesamtstruktur kann über maximal einen Stammcluster verfügen, der mindestens einen<br />
Windows Server 2008-Server zur Ausführung der AD RMS-Serverrolle umfasst. Für Redundanz und<br />
Lastenausgleich können weitere Server zum Cluster hinzugefügt werden. Bei der Erstinstallation führt<br />
der AD RMS-Stammcluster eine automatische Registrierung durch, bei der ein Server-Lizenzgeberzertifikat<br />
(Server Licensor Certificate, SLC) erstellt und signiert wird. Über das Server-Lizenzgeberzertifikat<br />
kann der AD RMS-Server Zertifikate und Lizenzen für AD RMS-Clients ausstellen. In<br />
vorherigen Versionen von RMS musste dieses Zertifikat über das Internet durch den Microsoft-Registrierungsdienst<br />
signiert werden. Daher war auf dem RMS-Server oder einem anderen Computer, der<br />
zur Offlineregistrierung des Servers verwendet wurde, Internetkonnektivität erforderlich. Für die<br />
Windows Server 2008 AD RMS muss keine Verbindung mit dem Microsoft-Registrierungsdienst hergestellt<br />
werden. Windows Server 2008 umfasst ein Server-Selbstregistrierungszertifikat, das zum<br />
lokalen Signieren des Server-Lizenzgeberzertifikats verwendet wird. Daher wird nun keine Internetverbindung<br />
mehr benötigt, um den RMS-Clusterregistrierungsvorgang abzuschließen.<br />
Hinweis Der AD RMS-Stammcluster darf nicht mit dem Failoverclusteringfeature von Windows Server<br />
2008 verwechselt werden.<br />
Webdienste<br />
Für jeden Server, der mit der AD RMS-Serverrolle installiert wird, sind ferner verschiedene webbezogene<br />
Serverrollen und Features erforderlich. Zur Bereitstellung der meisten AD RMS-Anwendungsdienste<br />
(z.B. Lizenzierung und Zertifizierung) wird die Serverrolle Webserver (IIS) benötigt.<br />
Diese IIS-basierten Dienste werden als Anwendungspipelines bezeichnet. Auch die Features Windows-Prozessaktivierungsdienst<br />
and Message Queuing sind für die AD RMS-Funktionalität erforderlich.<br />
Der Window-Prozessaktivierungsdienst wird für den Zugriff auf IIS-Features aus einer beliebigen<br />
Anwendung eingesetzt, die WCF-Dienste (Windows Communication Foundation) hostet.<br />
Message Queuing bietet eine garantierte Nachrichtenübermittlung zwischen dem AD RMS-Server<br />
und der SQL Server-Datenbank. Sämtliche Transaktionen werden zunächst in die Nachrichtenwarteschlange<br />
geschrieben und anschließend an die Datenbank übermittelt. Wenn die Konnektivität zur<br />
Datenbank unterbrochen ist, werden die Transaktionsinformationen in der Warteschlange gespeichert,<br />
bis die Konnektivität wiederhergestellt ist. Während der Installation der AD RMS-Serverrolle<br />
geben Sie die Website zur Einrichtung des virtuellen AD RMS-Verzeichnisses an. Ferner geben Sie<br />
die Adresse für die Kommunikation von Clients mit dem Cluster über das interne Netzwerk an. Sie<br />
können eine unverschlüsselte URL angeben oder ein SSL-Zertifikat verwenden, um SSL-verschlüsselte<br />
Verbindungen zum Cluster bereitzustellen.<br />
Reine Lizenzierungscluster<br />
Ein reiner Lizenzierungscluster ist optional und nicht Teil des Stammclusters; für Zertifizierung und<br />
andere Dienste hängt dieser Cluster jedoch vom Stammcluster ab (er kann keine eigenen Kontozertifizierungsdienste<br />
bereitstellen). Er wird zur Bereitstellung von Veröffentlichungslizenzen und Nutzungslizenzen<br />
für Benutzer eingesetzt. Ein reiner Lizenzierungscluster kann einen einzigen Server<br />
umfassen oder für Redundanz und Lastenausgleich um weitere Server ergänzt werden.
696 Kapitel 18: <strong>Active</strong> <strong>Directory</strong>-Rechteverwaltungsdienste<br />
Diese Art von Cluster wird typischerweise bereitgestellt, um spezifische Lizenzierungsanforderungen<br />
zu erfüllen, wie z.B. die individuellen Rechteverwaltungsanforderungen einer Abteilung oder die<br />
Rechteverwaltung für externe Geschäftspartner als Teil eines Extranetszenarios.<br />
Hinweis In einem Standardszenario sollten Sie lediglich einen Stammcluster verwenden und diese Konfiguration<br />
um mehrere Server erweitern. Der Grund dafür ist, dass Stammserver und reine Lizenzierungscluster<br />
nicht innerhalb desselben Lastenausgleichspools verwendet werden können und die Kombination<br />
Probleme bei der Verwaltung bereiten könnte.<br />
<strong>Active</strong> <strong>Directory</strong>-Domänendienste (AD DS)<br />
Die AD RMS-Serverrolle wird auf einem Windows Server 2008-Server konfiguriert. Der Server muss<br />
Mitglied einer <strong>Active</strong> <strong>Directory</strong>-Domäne mit Domänencontrollern unter Windows Server 2000 SP3,<br />
Windows Server 2003 oder Windows Server 2008 sein. Die AD DS werden zudem zum Hosten des<br />
Dienstverbindungspunkts (Service Connection Point, SCP) eingesetzt. Der Dienstverbindungspunkt<br />
ist ein registriertes Objekt in der Konfigurationspartition innerhalb von <strong>Active</strong> <strong>Directory</strong>. Er wird verwendet,<br />
um Intranet-basierten Domänenclients die automatische Ermittlung der URL des AD RMS-<br />
Clusters zu ermöglichen. Der AD RMS-Dienstverbindungspunkt kann während der Installation der<br />
AD RMS-Serverrolle oder im Anschluss an die Installation über die AD RMS-Verwaltungskonsole<br />
registriert werden. Zum Durchführen der Registrierung müssen Sie Mitglied der Sicherheitsgruppe<br />
Organisations-Admins in <strong>Active</strong> <strong>Directory</strong> sein. Die Registrierung des Dienstverbindungspunkts<br />
sollte erfolgen, wenn die Benutzer mit der Verwendung der AD RMS beginnen können.<br />
Hinweis Für sämtliche Benutzer oder Gruppen, die unter Verwendung der AD RMS geschützte Inhalte<br />
verwenden oder veröffentlichen, muss eine E-Mail-Adresse in den <strong>Active</strong> <strong>Directory</strong>-Domänendiensten konfiguriert<br />
werden.<br />
Datenbankdienste<br />
Zum Speichern von Konfigurationsinformationen wie Konfigurationseinstellungen, Vorlagen oder<br />
Benutzer- und Serverschlüsseln benötigen die AD RMS eine Datenbank. Auch Protokollierungsinformationen<br />
werden in der Datenbank gespeichert. Ferner wird SQL Server verwendet, um einen Cache<br />
mit erweiterten Gruppenmitgliedschaften zu implementieren, die aus <strong>Active</strong> <strong>Directory</strong> abgerufen werden.<br />
Anhand dieser Informationen wird ermittelt, ob ein bestimmter Benutzer Mitglied einer Gruppe<br />
ist. In Produktionsumgebungen wird die Verwendung eines Datenbankservers wie SQL Server 2005<br />
oder höher empfohlen. Für Testumgebungen können Sie eine mit Windows Server 2008 bereitgestellte<br />
interne Datenbank einsetzen; die interne Datenbank unterstützt jedoch lediglich Stammcluster<br />
mit einem Server.<br />
AD RMS-Client<br />
Auf jedem Clientcomputer, der als Teil der AD RMS-Umgebung bereitgestellt werden soll, muss die<br />
AD RMS-Clientsoftware installiert werden. In den Betriebssystemen Windows Vista und Windows<br />
Server 2008 ist die AD RMS-Clientkomponente bereits integriert. Wenn auf einem Clientcomputer<br />
Windows XP, Windows 2000 oder Windows Server 2003 ausgeführt wird, kann eine kompatible Version<br />
des AD RMS-Clients vom Microsoft Download Center heruntergeladen werden.
Überblick über die AD RMS 697<br />
Der AD RMS-Client umfasst eine als Lockbox bezeichnete Komponente. In der Lockbox werden alle<br />
benötigten Schlüssel und Anmeldeinformationen für die Verschlüsselung, Entschlüsselung, Signierung<br />
und Validierung gespeichert, die für die Veröffentlichung der rechtegeschützten Informationen<br />
erforderlich sind. Die Lockbox wird aktiviert, wenn ein Benutzer versucht, rechtegeschützte Daten zu<br />
veröffentlichen oder zu verwenden.<br />
Neben dem AD RMS-Client benötigen Endbenutzer Anwendungen mit Unterstützung für Rechteverwaltungsfeatures.<br />
Im Folgenden finden Sie Beispiele für Anwendungen, welche die Rechteverwaltung<br />
unterstützen:<br />
• Microsoft Office Professional Edition 2003 zum Erstellen von rechtegeschützten Informationen.<br />
Sämtliche Versionen ermöglichen die Nutzung von durch Rechte geschützten Inhalten.<br />
• Microsoft Office 2007 Enterprise, Ultimate und Professional Plus zum Erstellen von rechtegeschützten<br />
Informationen. Sämtliche Versionen ermöglichen die Nutzung von durch Rechte<br />
geschützten Inhalten.<br />
• Windows Mobile 6<br />
• Microsoft Office SharePoint Server 2007<br />
• Microsoft Exchange Server 2007 mit Service Pack 1<br />
Weitere Informationen Das <strong>Active</strong> <strong>Directory</strong>-Rechteverwaltungsdienste-SDK (Software Development Kit)<br />
umfasst Dokumentation und Beispielcode, mit der bzw. dem Entwickler die AD RMS-Umgebung anpassen und<br />
AD RMS-fähige Anwendungen erstellen können. Das AD RMS-SDK ist unter http://msdn2.microsoft.com/enus/library/bb968798(VS.85).aspx<br />
verfügbar.<br />
Funktionsweise der AD RMS<br />
Die Server- und Clientkomponenten einer AD RMS-Lösung verwenden verschiedene Typen von<br />
XrML-basierten (eXtensible rights Markup Language) Zertifikaten und Lizenzen, um vertrauenswürdige<br />
Verbindungen und geschützte Inhalte sicherzustellen. XrML ist ein Industriestandard zur<br />
Bereitstellung von Rechten, die mit der Verwendung und dem Schutz von digitalen Informationen<br />
verknüpft sind. Die Rechte werden in einer XrML-Lizenz ausgedrückt, die an die geschützten Informationen<br />
angefügt ist. Über die XrML-Lizenz legt der Besitzer der Informationen fest, wie die Informationen<br />
verwendet, geschützt und verteilt werden sollen.<br />
Weitere Informationen Weitere Informationen zu den XrML-Standards finden Sie auf der XrML-Website<br />
unter http://www.xrml.org/.<br />
Während der Server- und Clientregistrierung werden verschiedene XrML-basierte Zertifikate<br />
verwendet. Tabelle 18.2 zeigt eine Zusammenfassung dieser Zertifikate.
698 Kapitel 18: <strong>Active</strong> <strong>Directory</strong>-Rechteverwaltungsdienste<br />
Tabelle 18.2<br />
Für die Server- und Clientregistrierung verwendete AD RMS-Zertifikate<br />
Zertifikat Beschreibung Sicherheitsinhalt<br />
Server-Lizenzgeberzertifikat<br />
(Server Licensor<br />
Certificate, SLC)<br />
Computerzertifikat<br />
Rechtekontozertifikat<br />
(Rights<br />
Account Certificate,<br />
RAC)<br />
Client-Lizenzgeberzertifikat<br />
(Client Licensor<br />
Certificate, CLC)<br />
Dieses Zertifikat wird bei der Installation und Konfiguration der<br />
AD RMS-Serverrolle auf dem ersten Server eines AD RMS-<br />
Stammclusters erstellt. Die Windows Server 2008 AD RMS führen<br />
eine Selbstregistrierung durch, bei der das Server-Selbstregistrierungszertifikat<br />
(in Windows Server 2008 enthalten) das SLC signiert.<br />
Dadurch wird sichergestellt, dass für Computer und Benutzer<br />
ausgestellte Lizenzen durch einen gültigen Stammcluster verifiziert<br />
und als vertrauenswürdig eingestuft werden. Wenn zusätzliche<br />
Server zum Stammcluster hinzugefügt werden, verwenden diese<br />
ebenfalls das SLC. Bei Bereitstellung von reinen Lizenzierungsclustern<br />
generieren diese ein eigenes eindeutiges SLC.<br />
Dieses Zertifikat wird auf dem Clientcomputer erstellt, wenn ein Benutzer<br />
erstmalig ein durch Rechte geschütztes Dokument verwendet<br />
oder erstmalig versucht, ein Dokument unter Verwendung einer<br />
AD RMS-fähigen Anwendung zu schützen. Bei diesem Vorgang<br />
wird der AD RMS-Client für den Stammcluster registriert, um<br />
dieses Zertifikat und ein öffentlich-privates Schlüsselpaar zu erstellen<br />
sowie die Client-Lockbox zu aktivieren.<br />
Das RAC wird zur Identifizierung der Benutzer verwendet, die innerhalb<br />
eines AD RMS-Systems als vertrauenswürdige Entitäten<br />
eingestuft werden. Beim Versuch eines Benutzers, eine AD RMSbasierte<br />
Aufgabe auszuführen, stellt der AD RMS-Stammcluster<br />
ein RAC aus, das den Benutzer mit dem verwendeten Computer<br />
oder Gerät verknüpft. Zum Abrufen eines RAC muss der Benutzer<br />
im E-Mail-Feld des Benutzerobjekts in <strong>Active</strong> <strong>Directory</strong> über eine E-<br />
Mail-Adresse verfügen. Ein Standard-RAC ist per Voreinstellung<br />
365 Tage gültig. Temporäre RACs sind für 15 Minuten gültig.<br />
Wenn bei Verwendung von Clientcomputern zur Veröffentlichung<br />
von durch Rechte geschützten Informationen die Computer nicht<br />
mit dem Unternehmensnetzwerk verbunden sind (Offlineveröffentlichung),<br />
ist eine lokale Registrierung erforderlich. Clientcomputer<br />
werden für den Stammcluster registriert und erhalten Rechteverwaltungs-CLCs,<br />
mit denen Benutzer durch Rechte geschützte Informationen<br />
über diese Computer veröffentlichen können, ohne mit<br />
dem Unternehmensnetzwerk verbunden zu sein. So kann der Benutzer<br />
Veröffentlichungs- und Nutzungslizenzen über die Lockbox<br />
signieren.<br />
Enthält den öffentlichen Schlüssel<br />
des Servers.<br />
Enthält den öffentlichen Schlüssel<br />
des aktivierten Computers. Der private<br />
Schlüssel wird in der Computer-<br />
Lockbox gespeichert.<br />
Enthält den öffentlichen und den privaten<br />
Schlüssel des Benutzers.<br />
Letzterer ist mit dem öffentlichen<br />
Schlüssel des aktivierten Computers<br />
verschlüsselt.<br />
Enthält den öffentlichen und den privaten<br />
Schlüssel des Clientlizenzgebers.<br />
Letzterer ist mit dem<br />
öffentlichen Schlüssel des Benutzers<br />
verschlüsselt, der das CLC<br />
anfordert.<br />
Enthält zudem den öffentlichen<br />
Schlüssel des Stammclusters oder<br />
reinen Lizenzierungsclusters, der<br />
das Zertifikat ausgestellt hat (dieses<br />
ist mit dem privaten Schlüssel des<br />
Clusters signiert, durch den das Zertifikat<br />
ausgestellt wurde).<br />
Hinweis Computerzertifikate, RACs und CLCs können in den folgenden Verzeichnissen auf der Arbeitsstation<br />
des Benutzers angezeigt werden:<br />
Windows XP/2003: %UserProfile%\Lokale Einstellungen\Anwendungsdaten\Microsoft\DRM<br />
Windows Vista/2008: %UserProfile%\AppData\Local\Microsoft\DRM
Überblick über die AD RMS 699<br />
Nach der Computer- und Clientaktivierung können Benutzer Rechteverwaltungsrichtlinien auf Informationen<br />
anwenden oder durch Rechte geschützte Daten nutzen. Für beide Aufgaben sind spezifische<br />
Typen von Zertifikaten erforderlich, wie in Tabelle 18.3 beschrieben.<br />
Tabelle 18.3<br />
Zur Veröffentlichung und Nutzung von Daten verwendete AD RMS-Lizenzen<br />
Lizenz Beschreibung Sicherheitsinhalt<br />
Veröffentlichungslizenz<br />
(Publishing<br />
License, PL)<br />
Nutzungslizenz<br />
(Use License, UL)<br />
Diese Lizenz wird durch einen Server in einem AD RMS-Cluster<br />
oder durch ein CLC über die Lockbox ausgestellt. Die Veröffentlichungslizenz<br />
legt die Richtlinie (Prinzipale, Rechte und<br />
Bedingungen) für das Abrufen einer Nutzungslizenz (Use<br />
License, UL) für rechtegeschützte Informationen fest.<br />
Diese Lizenz wird ausschließlich durch einen Server in einem<br />
AD RMS-Cluster ausgestellt und ermöglicht einem autorisierten<br />
Benutzer mit gültigen RAC-Rechten die Nutzung von durch<br />
Rechte geschützten Informationen basierend auf der in der<br />
Veröffentlichungslizenz festgelegten Richtlinie.<br />
Enthält die symmetrischen Schlüssel<br />
für die Entschlüsselung der Inhalte,<br />
die mit dem öffentlichen Schlüssel<br />
des Servers verschlüsselt wurden,<br />
der die Lizenz ausgestellt hat.<br />
Die Veröffentlichungslizenz umfasst<br />
ferner die URL des AD RMS-Lizenzierungsdiensts.<br />
Enthält den symmetrischen Schlüssel<br />
zum Entschlüsseln der Inhalte,<br />
die mit dem öffentlichen Schlüssel<br />
des Benutzers verschlüsselt wurden.<br />
Die Computer- und Benutzerregistrierung sowie die Veröffentlichung und Nutzung von durch Rechte<br />
geschützten Informationen erfolgen weitgehend im Hintergrund und erfordern nur sehr wenig<br />
Benutzerinteraktion. Dennoch ist es wichtig, den Ablauf der verschiedenen Prozesse zu verstehen.<br />
Abbildung 18.2 zeigt die Funktionsweise der AD RMS, wenn Benutzer durch Rechte geschützte Informationen<br />
veröffentlichen oder nutzen.<br />
Datenbank<br />
AD RMS-<br />
Stammcluster<br />
AD RMS-<br />
Stammcluster<br />
7<br />
1<br />
6 8<br />
3<br />
4<br />
9<br />
2<br />
Informationsautor<br />
5<br />
Informationsbenutzer<br />
Abbildung 18.2<br />
AD RMS-Workflow für Veröffentlichung und Nutzung von Informationen
700 Kapitel 18: <strong>Active</strong> <strong>Directory</strong>-Rechteverwaltungsdienste<br />
1. Der Autor empfängt beim erstmaligen Versuch, Informationen durch Rechte zu schützen, ein<br />
RAC und ein CLC vom AD RMS-Stammcluster (oder reinen Lizenzierungscluster). Dieser Schritt<br />
wird einmalig ausgeführt, um die AD RMS-Anmeldeinformationen des Benutzers (das RAC) zu<br />
erstellen und die Offlineveröffentlichung von durch Rechte geschützten Informationen (unter<br />
Verwendung des CLC) in der Zukunft zu ermöglichen.<br />
2. Ein Autor erstellt unter Verwendung einer AD RMS-fähigen Anwendung eine Datei und gibt<br />
verschiedene Nutzungsrechte und -bedingungen für diese Datei an. Anschließend wird eine Veröffentlichungslizenz<br />
mit den Nutzungsrichtlinien generiert.<br />
3. Die Anwendung verschlüsselt die Datei mit einem symmetrischen Schlüssel, der dann mit dem<br />
öffentlichen Schlüssel des AD RMS-Clusters des Autors verschlüsselt wird. Der Schlüssel wird in<br />
die Veröffentlichungslizenz eingefügt, und die Veröffentlichungslizenz wird an die Datei gebunden.<br />
Nur der AD RMS-Cluster des Autors kann Nutzungslizenzen zum Entschlüsseln dieser Datei<br />
ausstellen. Wenn der Autor die Offlineveröffentlichung eingesetzt hat, wird eine weitere Kopie des<br />
symmetrischen Schlüssels mit dem öffentlichen Schlüssel des CLC des Autors verschlüsselt und<br />
in der Veröffentlichungslizenz eingefügt. Dieser zusätzliche Verschlüsselungsschritt führt zur<br />
Erstellung einer Besitzerlizenz, über die der Autor den Inhalt ohne Lizenzierung über einen<br />
AD RMS-Server nutzen kann.<br />
4. Anschließend verteilt der Autor die Datei.<br />
5. Eine durch Rechte geschützte Datei wird über einen normalen Verteilungskanal an die Empfänger<br />
übermittelt und unter Verwendung einer AD RMS-fähigen Anwendung oder eines AD RMSfähigen<br />
Browsers geöffnet. Wenn der Empfänger auf dem aktuellen Computer nicht über ein RAC<br />
verfügt, wird zu diesem Zeitpunkt ein solches Zertifikat ausgestellt.<br />
6. Die Anwendung sendet eine Anforderung für eine Nutzungslizenz an den AD RMS-Cluster, der<br />
die Veröffentlichungslizenz für die geschützten Informationen ausgestellt hat. Diese Anforderung<br />
umfasst das Kontozertifikat des Empfängers (welches den öffentlichen Schlüssel des Empfängers<br />
enthält) sowie die Veröffentlichungslizenz (welche den zur Verschlüsselung der Datei verwendeten<br />
symmetrischen Schlüssel enthält).<br />
7. Der AD RMS-Stammcluster (oder der reine Lizenzierungscluster) bestätigt, dass der Empfänger<br />
autorisiert ist, prüft, ob es sich um einen benannten Benutzer handelt, und erstellt eine Nutzungslizenz.<br />
Während dieses Vorgangs entschlüsselt der Server den symmetrischen Schlüssel unter Verwendung<br />
des privaten Schlüssels des Servers, verschlüsselt den symmetrischen Schlüssel erneut<br />
mithilfe des öffentlichen Schlüssels des Empfängers und fügt anschließend den verschlüsselten<br />
symmetrischen Schlüssel zur Nutzungslizenz hinzu. Über diesen Schritt wird sichergestellt, dass<br />
nur der gewünschte Empfänger den symmetrischen Schlüssel und somit die geschützte Datei entschlüsseln<br />
kann. Der Server fügt ferner alle gegebenenfalls relevanten Bedingungen zur Nutzungslizenz<br />
hinzu, wie z.B. das Ablaufdatum oder den Ausschluss bestimmter Anwendungen<br />
oder Betriebssysteme.<br />
8. Im Anschluss an diese Bestätigungsschritte gibt der AD RMS-Stammcluster oder reine Lizenzierungscluster<br />
die Nutzungslizenz an den Clientcomputer des Empfängers zurück.<br />
9. Nach dem Empfang der Nutzungslizenz untersucht die Anwendung die Lizenz und das Kontozertifikat<br />
des Empfängers, um zu ermitteln, ob ein Zertifikat in einer der Vertrauensketten eine<br />
Sperrliste erfordert. Wenn dies zutrifft, prüft die Anwendung, ob eine lokale Kopie der Sperrliste<br />
vorhanden ist, die nicht abgelaufen ist. Gegebenenfalls wird eine aktuelle Kopie der Sperrliste<br />
abgerufen. Anschließend wendet die Anwendung alle für den aktuellen Kontext relevanten Sperrbedingungen<br />
an. Wenn der Dateizugriff nicht durch eine Sperrbedingung blockiert wird, werden<br />
die Daten angezeigt, und der Benutzer kann die Aufgaben ausführen, für die er berechtigt ist.
Überblick über die AD RMS 701<br />
AD RMS-Bereitstellungsszenarien<br />
Zum Erfüllen der spezifischen Anforderungen einer Organisation können die AD RMS in verschiedenen<br />
Szenarien bereitgestellt werden. Für jedes dieser Szenarien müssen individuelle Aspekte<br />
berücksichtigt werden, um eine sichere und effektive Rechteverwaltungslösung bereitzustellen. Im<br />
Folgenden sind einige mögliche Bereitstellungsszenarien aufgeführt:<br />
• Bereitstellen der AD RMS für das Unternehmensintranet<br />
• Bereitstellen der AD RMS für Benutzer über das Internet<br />
• Integrieren der AD RMS mit den <strong>Active</strong> <strong>Directory</strong>-Verbunddiensten<br />
Bereitstellen der AD RMS innerhalb des Unternehmensintranets<br />
Eine typische AD RMS-Installation wird in einer einzigen <strong>Active</strong> <strong>Directory</strong>-Gesamtstruktur durchgeführt.<br />
Es sind jedoch andere spezifische Situationen möglich, für die weitere Aspekte berücksichtigt<br />
werden müssen. Möglicherweise müssen Rechteverwaltungsdienste z.B. für die Benutzer innerhalb<br />
eines Großunternehmens mit mehreren Zweigstellen bereitgestellt werden. Aus Skalierbarkeits- und<br />
Leistungsgründen entscheidet sich ein Unternehmen möglicherweise, in diesen Zweigstellen reine<br />
Lizenzierungscluster einzusetzen. Oder eine AD RMS-Lösung muss gegebenenfalls für eine Organisation<br />
bereitgestellt werden, die über mehrere <strong>Active</strong> <strong>Directory</strong>-Gesamtstrukturen verfügt. Da jede<br />
Gesamtstruktur nur einen einzigen Stammcluster enthalten kann, müssen geeignete Vertrauensrichtlinien<br />
und AD RMS-Konfigurationen zwischen den beiden Gesamtstrukturen festgelegt werden.<br />
Dadurch haben Benutzer beider Gesamtstrukturen die Möglichkeit, Rechteverwaltungsinhalte zu<br />
veröffentlichen und zu nutzen. Die Konfiguration von Vertrauensrichtlinien für gesamtstruktur- und<br />
organisationsübergreifende Bereitstellungsszenarien ist weiter unten in diesem Kapitel im Abschnitt<br />
„Implementieren der AD RMS“ beschrieben.<br />
Bereitstellen der AD RMS für Benutzer über das Internet<br />
Die meisten Organisationen müssen mobile Mitarbeiter unterstützen, die sich von Remotestandorten<br />
aus über das Internet mit den Organisationsressourcen verbinden. Um sicherzustellen, dass mobile<br />
Benutzer Rechteverwaltungsaufgaben ausführen können, muss festgelegt werden, wie der externe<br />
Zugriff auf die AD RMS-Infrastruktur erfolgt. Eine Methode ist, einen reinen Lizenzierungsserver<br />
innerhalb des Umkreisnetzwerks der Organisation zu platzieren. So können externe Benutzer Nutzungs-<br />
und Veröffentlichungslizenzen zum Schützen oder Anzeigen von Informationen abrufen. Eine<br />
weitere gängige Lösung ist der Einsatz eines Reverseproxyservers wie Microsoft ISA Server 2006<br />
(Internet Security and Acceleration) zur Veröffentlichung der Extranet-URL des AD RMS-Clusters.<br />
ISA Server verarbeitet sämtliche Anforderungen aus dem Internet an den AD RMS-Cluster und übergibt<br />
die Anforderungen bei Bedarf. Da diese Methode sicherer und effektiver ist, sollte sie typischerweise<br />
der Platzierung von Lizenzierungsservern im Umkreisnetzwerk vorgezogen werden.<br />
Bereitstellen der AD RMS mit den <strong>Active</strong> <strong>Directory</strong>-Verbunddiensten<br />
Windows Server 2008 umfasst die AD FS-Serverrolle (<strong>Active</strong> <strong>Directory</strong> Federation Services, <strong>Active</strong><br />
<strong>Directory</strong>-Verbunddienste) zur Bereitstellung von vertrauenswürdigen Zugriffs- und Zusammenarbeitsszenarien<br />
zwischen zwei Organisationen. Die AD RMS können die verbundene Vertrauensstellung<br />
als Grundlage für Benutzer beider Organisationen nutzen, um RACs sowie Nutzungs- und Veröffentlichungslizenzen<br />
abzurufen. Zur Installation der AD RMS-Unterstützung für die AD FS muss<br />
bereits eine AD FS-Lösung in der Umgebung vorhanden sein. Dieses Szenario wird empfohlen, wenn<br />
eine Organisation über die AD RMS verfügt, die andere jedoch nicht. Wenn die AD RMS in beiden<br />
Organisationen implementiert sind, werden typischerweise Vertrauensrichtlinien empfohlen.
702 Kapitel 18: <strong>Active</strong> <strong>Directory</strong>-Rechteverwaltungsdienste<br />
Weitere Informationen zur Konfiguration der AD FS-Unterstützung finden Sie weiter unten in diesem<br />
Kapitel im Abschnitt „Unterstützung für Identitätsverbund“.<br />
Implementieren der AD RMS<br />
Unabhängig davon, welches Szenario für die Rechteverwaltungsdienste verwendet werden soll, ist der<br />
erste Schritt stets die Installation des AD RMS-Stammclusters. Nach der Installation des Stammclusters<br />
kann festgelegt werden, wie die spezifischen Anforderungen, wie z.B. die Bereitstellung von<br />
externem Zugriff auf die AD RMS-Umgebung, erfüllt werden sollen. In diesem Abschnitt wird die<br />
Bereitstellung und Konfiguration von AD RMS-Komponenten beschrieben, um eine effektive und<br />
sichere Rechteverwaltungslösung sicherzustellen.<br />
Vor der Installation der AD RMS zu berücksichtigende Aspekte<br />
Während der Installation der AD RMS-Serverrolle wird der Benutzer zur Angabe verschiedener Konfigurationswerte<br />
aufgefordert, die bereits im Vorfeld ermittelt werden sollten. Ferner müssen für eine<br />
erfolgreiche Implementierung eine Reihe von Anforderungen erfüllt werden. Berücksichtigen Sie vor<br />
der Installation der AD RMS die folgenden Aspekte:<br />
• Die AD RMS-Serverrolle sollte auf einem Mitgliedsserver in derselben <strong>Active</strong> <strong>Directory</strong>-Domäne<br />
wie die Benutzerkonten installiert werden, welche die Rechteverwaltungslösung nutzen. Die<br />
AD RMS können auf einem Domänencontroller installiert werden; das AD RMS-Dienstkonto<br />
muss jedoch zur Gruppe Domänen-Admins hinzugefügt werden, und dies kann ein Sicherheitsrisiko<br />
darstellen.<br />
• Es muss ein Domänenbenutzerkonto erstellt werden, das während der Installation als AD RMS-<br />
Dienstkonto angegeben wird. Für dieses Konto sind neben den Berechtigungen eines Standardbenutzerkontos<br />
keine zusätzlichen Berechtigungen erforderlich.<br />
• Das zur Installation der AD RMS-Serverrolle verwendete Benutzerkonto darf nicht mit dem als<br />
AD RMS-Dienstkonto angegebenen Konto übereinstimmen und muss Abfragen an die <strong>Active</strong><br />
<strong>Directory</strong>-Domäne senden können. Wenn der AD RMS-Dienstverbindungspunkt während der<br />
Installation registriert werden soll, muss das zur Installation der AD RMS verwendete Konto ferner<br />
Mitglied der <strong>Active</strong> <strong>Directory</strong>-Gruppe Organisations-Admins oder einer vergleichbaren<br />
Gruppe sein.<br />
• Wenn eine externe Datenbank für den AD RMS-Cluster verwendet wird, muss der Benutzer, der<br />
die AD RMS-Installation durchführt, zur Erstellung neuer Datenbanken berechtigt sein. Wenn<br />
Microsoft SQL Server 2005 verwendet wird, muss das Benutzerkonto ferner Mitglied der Datenbankrolle<br />
für Systemadministratoren sein.<br />
• Während der Installation wird der Benutzer zur Angabe einer URL für den AD RMS-Cluster aufgefordert.<br />
Diese URL darf nicht mit dem Computernamen übereinstimmen und muss den gesamten<br />
AD RMS-Cluster darstellen. Darüber hinaus sollte ein DNS-Aliaseintrag (CNAME) für die<br />
AD RMS-Cluster-URL sowie ein separater CNAME-Eintrag für den Computer erstellt werden,<br />
auf dem die Konfigurationsdatenbank gehostet wird. CNAMEs bieten Flexibilität, für den Fall,<br />
dass ein Hardwarefehler auftritt oder ein Computername geändert wird.<br />
• Wenn die Kommunikation mit dem AD RMS-Cluster über SSL gesichert werden soll, muss das<br />
erforderliche SSL-Zertifikat von einer vertrauenswürdigen Stammzertifizierungsstelle abgerufen<br />
werden.
Implementieren der AD RMS 703<br />
Zwar kann ein selbstsigniertes Zertifikat verwendet werden, diese Option ist jedoch mit einer<br />
Reihe von Einschränkungen verbunden und wird für Produktionsumgebungen nicht empfohlen.<br />
Installieren von AD RMS-Clustern<br />
Die AD RMS-Serverrolle ist eine Option, die mit dem Betriebssystem Windows Server 2008 verfügbar<br />
ist. Der AD RMS-Stammcluster kann auf der Seite Aufgaben der Erstkonfiguration oder über den<br />
Server-Manager installiert und konfiguriert werden. Zum Durchführen der Installation muss der<br />
Benutzer Mitglied der lokalen Administratorengruppe oder einer vergleichbaren Gruppe sein.<br />
Im Folgenden sind die wesentlichen Installationsschritte für den AD RMS-Cluster beschrieben:<br />
1. Öffnen Sie den Server-Manager (oder die Seite Aufgaben der Erstkonfiguration), klicken Sie auf<br />
den Knoten Rollen und dann auf Rollen hinzufügen. Der Assistent zum Hinzufügen von Rollen<br />
wird gestartet.<br />
2. Wählen Sie auf der Seite Serverrollen auswählen die Option <strong>Active</strong> <strong>Directory</strong>-Rechteverwaltungsdienste.<br />
Sie werden zum Hinzufügen weiterer erforderlicher Rollendienste und -features<br />
aufgefordert. Diese umfassen den Rollendienst Webserver (IIS) sowie die Features Windows-<br />
Prozessaktivierungsdienst und Message Queuing. Abbildung 18.3 zeigt den Assistenten zum<br />
Hinzufügen von Rollen, in dem die erforderlichen Rollen ausgewählt sind.<br />
Abbildung 18.3<br />
Auswählen der Rollen <strong>Active</strong> <strong>Directory</strong>-Rechteverwaltungsdienste und Webserver (IIS)
704 Kapitel 18: <strong>Active</strong> <strong>Directory</strong>-Rechteverwaltungsdienste<br />
3. Auf der Seite Rollendienste auswählen können die Rollendienste ausgewählt werden, die für die<br />
<strong>Active</strong> <strong>Directory</strong>-Rechteverwaltungsdienste installiert werden sollen. Es gibt zwei Optionen:<br />
<strong>Active</strong> <strong>Directory</strong>-Rechteverwaltungsserver Dies ist der erforderliche Rollendienst zur Installation<br />
der AD RMS-Komponenten, die zum Veröffentlichen und Nutzen von durch Rechte<br />
geschützten Informationen benötigt werden.<br />
Unterstützung für Identitätsverbund Dieser optionale Rollendienst wird für die Integration von<br />
durch Rechte geschützten Informationen mit den <strong>Active</strong> <strong>Directory</strong>-Verbunddiensten verwendet.<br />
Bei Auswahl dieses Rollendiensts werden Sie auch zum Hinzufügen bestimmter Rollendienste<br />
für die <strong>Active</strong> <strong>Directory</strong>-Verbunddienste zum Server aufgefordert.<br />
4. Auf der Seite Erstellen eines AD RMS-Clusters oder Beitreten zu einem AD RMS-Cluster gibt es<br />
zwei Optionen:<br />
Neuen AD RMS-Cluster erstellen Bei der Implementierung einer neuen AD RMS-Bereitstellung<br />
wählen Sie diese Option aus, um einen AD RMS-Stammcluster zu Zertifizierungs- und Lizenzierungszwecken<br />
zu erstellen. Wenn in der <strong>Active</strong> <strong>Directory</strong>-Gesamtstruktur ein vorhandener<br />
AD RMS-Stammcluster ermittelt wird, wählen Sie diese Option zum Erstellen eines neuen<br />
reinen Lizenzierungsclusters.<br />
Vorhandenem AD RMS-Cluster beitreten Wenn bereits ein Stammcluster oder reiner Lizenzierungscluster<br />
bereitgestellt wurde, kann diese Option zum Hinzufügen eines weiteren Servers<br />
zum Cluster verwendet werden. Es muss der Name einer vorhandenen AD RMS-Konfigurationsdatenbank<br />
sowie der Name des Datenbankservers angegeben werden.<br />
5. Auf der Seite Auswählen der Konfigurationsdatenbank wird die Datenbank zum Speichern von<br />
Konfigurations- und Richtlinieninformationen konfiguriert. Auf dieser Seite gibt es zwei Optionen:<br />
Interne Windows-Datenbank auf diesem Server verwenden Bei der Implementierung der<br />
AD RMS auf einem einzigen Server für kleine oder Testumgebungen kann diese Option<br />
gewählt werden. Beachten Sie, dass bei Auswahl dieser Option keine weiteren Server zum<br />
AD RMS-Cluster hinzugefügt werden können. Falls in der Zukunft Skalierbarkeit erforderlich<br />
ist, wählen Sie eine andere Option.<br />
Anderen Datenbankserver verwenden Über diese Option können der Servername und die<br />
Datenbankinstanz für die Konfigurationsdatenbank angegeben werden. Es wird die Verwendung<br />
eines Datenbankservers wie Microsoft SQL Server 2005 oder höher empfohlen.<br />
6. Auf der Seite Angeben des Dienstkontos geben Sie das Konto für die Kommunikation des<br />
AD RMS-Clusters mit anderen Diensten auf dem Computer und innerhalb des Netzwerks an. Für<br />
dieses Konto sind lediglich standardmäßige Domänenbenutzerberechtigungen erforderlich. Dieses<br />
Konto wird automatisch zur AD RMS-Dienstgruppe hinzugefügt und mit den Standardberechtigungen<br />
für diese Gruppe versehen.<br />
7. Auf der Seite Konfigurieren des AD RMS-Clusterschlüsselspeichers geben Sie den Speicherort für<br />
den AD RMS-Clusterschlüssel an. Der AD RMS-Clusterschlüssel wird zum Signieren von Zertifikaten<br />
und Lizenzen verwendet, die durch den Cluster ausgestellt werden.
Implementieren der AD RMS 705<br />
Darüber hinaus wird er in Notfallwiederherstellungsszenarien und von anderen AD RMS-Servern<br />
verwendet, wenn diese zum Cluster hinzugefügt werden. Zum Speichern des Clusterschlüssels<br />
gibt es zwei Optionen:<br />
Zentral verwalteten AD RMS-Schlüsselspeicher verwenden Nach dem Generieren des AD RMS-<br />
Clusterschlüssels wird im Assistenten eine Aufforderung zur Angabe eines Clusterschlüsselkennworts<br />
angezeigt, um den Schlüssel zu schützen (dieses Kennwort müssen Sie sich zu<br />
Notfallwiederherstellungszwecken merken). Der AD RMS-Clusterschlüssel wird in der Konfigurationsdatenbank<br />
gespeichert und automatisch durch die AD RMS-Server verwendet, die<br />
zum Cluster hinzugefügt werden.<br />
CSP-Schlüsselspeicher verwenden Für eine höhere Sicherheit kann der AD RMS-Clusterschlüssel<br />
in einem Kryptografiedienstanbieter (Cryptographic Service Provider, CSP) gespeichert<br />
werden. Diese Vorgehensweise stellt die beste Sicherheitsoption dar, erfordert jedoch die<br />
manuelle Bereitstellung des Schlüssels, wenn neue Server zum Cluster hinzugefügt werden.<br />
Bei Auswahl dieser Option müssen Sie als nächsten Schritt im Assistenten den CSP auswählen<br />
und festlegen, ob mit dem CSP ein neuer Schlüssel erstellt oder ob ein vorhandener<br />
Schlüssel mit dem ausgewählten CSP verwendet werden soll (die zweite Option wird üblicherweise<br />
in Wiederherstellungsszenarien eingesetzt).<br />
8. Auf der Seite Auswählen der AD RMS-Clusterwebsite kann eine Website für das virtuelle<br />
AD RMS-Verzeichnis ausgewählt werden. Wenn auf einem Server ausschließlich die AD RMS-<br />
Serverrolle ausgeführt wird, legen Sie typischerweise die Option Standardwebsite fest.<br />
9. Auf der Seite Angeben der Clusteradresse wird festgelegt, wie AD RMS-Clients mit dem Cluster<br />
kommunizieren. Es kann eine SSL-verschlüsselte Verbindung gewählt oder eine unverschlüsselte<br />
Verbindung angegeben werden. Ferner muss die interne Adresse und der Port zur Verwendung für<br />
den Cluster eingegeben werden. Es wird die Verwendung einer SSL-verschlüsselten Verbindung<br />
empfohlen. Zu diesem Zweck bietet der Assistent im nächsten Schritt die Möglichkeit, ein vorhandenes<br />
Zertifikat auszuwählen, das bereits von einer Zertifizierungsstelle ausgestellt wurde,<br />
oder ein selbstsigniertes Zertifikat zu erstellen. Da das Zertifikat manuell auf allen Clients installiert<br />
werden muss, die mit dem Server kommunizieren, wird ein selbstsigniertes Zertifikat nur für<br />
kleine Bereitstellungen empfohlen. Abbildung 18.4 zeigt die Konfiguration einer SSL-verschlüsselten<br />
Verbindung.<br />
Hinweis Bei der internen Adresse muss es sich um einen vollqualifizierten Domänennamen (Fully<br />
Qualified Domain Name, FQDN) handeln, der in den AD RMS-Cluster aufgelöst wird. Es sollte kein Servername,<br />
sondern ein Alias angegeben werden, der den gesamten Cluster darstellt. So können zu einem<br />
späteren Zeitpunkt problemlos Netzwerklastenausgleichsoptionen oder zusätzliche Server zum Cluster<br />
hinzugefügt werden. Beachten Sie ferner, dass diese Adresse oder Portnummer im Anschluss an die<br />
Installation der AD RMS nicht mehr geändert werden kann. Daher muss dieser FQDN vor der Bereitstellung<br />
festgelegt werden.<br />
Hinweis Wenn die AD RMS mit den AD FS integriert werden sollen, muss die SSL-verschlüsselte<br />
Verbindung gewählt werden. Anderenfalls müssen die AD RMS neu installiert werden.
706 Kapitel 18: <strong>Active</strong> <strong>Directory</strong>-Rechteverwaltungsdienste<br />
Abbildung 18.4<br />
Konfigurieren einer SSL-verschlüsselten Clusteradresse<br />
10. Auf der Seite Benennen des Server-Lizenzgeberzertifikats geben Sie einen Namen zur Identifizierung<br />
des SLC ein.<br />
11. Auf der Seite Registrieren des AD RMS-Dienstverbindungspunkts sind zwei Optionen verfügbar:<br />
AD RMS-Dienstverbindungspunkt jetzt registrieren Wenn Sie Mitglied der <strong>Active</strong> <strong>Directory</strong>-<br />
Gruppe Organisations-Admins sind, können Sie den AD RMS-Dienstverbindungspunkt bei<br />
der AD RMS-Installation automatisch konfigurieren. Wie Sie wissen, ist dieses <strong>Active</strong> <strong>Directory</strong>-Objekt<br />
für AD RMS-fähige Clients zum Auflösen von Intranet-URLs für den AD RMS-<br />
Cluster erforderlich.<br />
AD RMS-Dienstverbindungspunkt später registrieren Wenn Sie kein Mitglied der Gruppe Organisations-Admins<br />
sind, oder wenn Sie nicht möchten, dass der AD RMS-Cluster bereits zu<br />
diesem Zeitpunkt automatisch von Clients erkannt wird, können Sie diese Option wählen.<br />
12. Wenn Sie die Installation der Unterstützung für Identitätsverbund gewählt haben, werden Sie zur<br />
Eingabe des Verbundservernamens aufgefordert, der mit dem AD RMS-Server kommuniziert.<br />
Anderenfalls ist diese Option nicht verfügbar.<br />
13. Der letzte Schritt ist die Konfiguration des Rollendiensts Webserver (IIS). Im Allgemeinen werden<br />
die empfohlenen Einstellungen auf der Seite Rollendienste auswählen übernommen; bei<br />
Bedarf können jedoch spezifische Rollendiensteinstellungen hinzugefügt oder entfernt werden.<br />
Nach Abschluss der Installation müssen Sie sich ab- und erneut anmelden, um Ihr Sicherheitstoken zu<br />
aktualisieren und den AD RMS-Server zu verwalten.
Implementieren der AD RMS 707<br />
Nach der erneuten Anmeldung kann der Server über die Konsole der <strong>Active</strong> <strong>Directory</strong>-Rechteverwaltungsdienste<br />
verwaltet werden, wie in Abbildung 18.5 gezeigt.<br />
Abbildung 18.5<br />
Anzeigen der Konsole der <strong>Active</strong> <strong>Directory</strong>-Rechteverwaltungsdienste<br />
Konfigurieren des AD RMS-Dienstverbindungspunkts<br />
Wie bereits erwähnt, ist der Dienstverbindungspunkt (Service Connection Point, SCP) erforderlich,<br />
damit Clients die AD RMS-Cluster-URL automatisch erkennen können. Pro <strong>Active</strong> <strong>Directory</strong>-<br />
Gesamtstruktur gibt es einen einzigen SCP. Wenn ein AD RMS-Client versucht, Rechteverwaltungsfeatures<br />
auf einem Computer zu verwenden, sendet die AD RMS-Clientanwendung eine<br />
Abfrage an den SCP, um die URL des AD RMS-Clusters zu ermitteln. Nach der Ermittlung des<br />
AD RMS-Clusters lädt der Client ein RAC herunter und kann anschließend an der Veröffentlichung<br />
und Nutzung von durch Rechte geschützten Informationen teilnehmen.<br />
Der SCP wird typischerweise während der Installation des AD RMS-Stammclusters registriert, wenn<br />
Sie (oder der Benutzer, der die Installation des AD RMS-Servers durchgeführt hat) jedoch kein Mitglied<br />
der Gruppe Organisations-Admins sind, muss diese Aufgabe möglicherweise als separater<br />
Schritt ausgeführt werden.<br />
Nach der Installation kann der SCP über die Konsole der <strong>Active</strong> <strong>Directory</strong>-Rechteverwaltungsdienste<br />
im Fenster mit den Clustereigenschaften registriert oder geändert werden. Zum Durchführen dieser<br />
Aufgabe müssen Sie Mitglied der <strong>Active</strong> <strong>Directory</strong>-Gruppen AD RMS-Organisationsadministratoren<br />
und Organisations-Admins sein. Abbildung 18.6 zeigt das Dialogfeld zum Ändern der SCP-Registrierung.
708 Kapitel 18: <strong>Active</strong> <strong>Directory</strong>-Rechteverwaltungsdienste<br />
Abbildung 18.6<br />
Ändern der SCP-Registrierung<br />
Arbeiten mit AD RMS-Clients<br />
Nach der Bereitstellung des AD RMS-Clusters und der Konfiguration des SCP muss im nächsten<br />
Schritt sichergestellt werden, dass auf allen Clients, welche die Rechteverwaltungslösung nutzen sollen,<br />
die geeignete AD RMS-Clientsoftware installiert ist. Wenn auf den Clients hauptsächlich Windows<br />
Vista oder Windows Server 2008 ausgeführt wird, ist dieser Schritt einfach, da der AD RMS-<br />
Client bereits mit dem Clientbetriebssystem installiert und bereitgestellt wird.<br />
Auf Clients unter Windows XP, Windows 2000 oder Windows Server 2003 muss eine kompatible<br />
Version des AD RMS-Clients vom Microsoft Download Center heruntergeladen und die geeignete<br />
Bereitstellungsmethode zur Installation dieser Anwendung auf den Computern bestimmt werden, die<br />
Teil der AD RMS sein werden. Viele Organisationen entscheiden sich bei der Bereitstellung des<br />
RMS-Clients für den Einsatz von Systems Management Server (SMS), System Center Configuration<br />
Manager (SCCM) oder Gruppenrichtlinien. Zur Bereitstellung des Clients über diese Methoden müssen<br />
die Windows Installer-Dateien unter Verwendung der folgenden Befehlssyntax aus dem ausführbaren<br />
Paket extrahiert werden (beachten Sie, dass für das Beispiel die SP2-Version des RMS-Clients<br />
verwendet wird):<br />
WindowsRightsManagementServicesSP2-KB917275-Client-ENU.exe /x<br />
Bei Verwendung der Option /x werden Sie zur Angabe eines Speicherorts zum Extrahieren der<br />
Dateien aufgefordert. Die folgenden zwei Dateien müssen für die Clients bereitgestellt werden:<br />
• MSDrmClient.msi Dies ist die Installationsdatei für den RMS-Client. Diese Datei sollte zuerst<br />
bereitgestellt werden, da sie zunächst alle vorherigen Versionen entfernt und anschließend die<br />
neue Clientversion installiert.
Implementieren der AD RMS 709<br />
• RMSClientBackCompat.msi Über diese Datei wird der neue RMS-Client mit RMS-fähigen<br />
Anwendungen wie Microsoft Office verknüpft. Sie sollte nach der Bereitstellung der Datei<br />
MSDrmClient.msi ausgeführt werden.<br />
Die ausführbare Datei lässt sich ebenfalls über eine Skript- oder Batchdatei bereitstellen. Unter<br />
Verwendung des folgenden Befehls kann der RMS-Client über eine unbeaufsichtigte Installationsmethode<br />
bereitgestellt werden:<br />
WindowsRightsManagementServicesSP2-KB917275-Client-ENU.exe<br />
-override 1 /I MsDrmClient.msi REBOOT=ReallySuppress /q -override 2 /I<br />
RmClientBackCompat.msi REBOOT=ReallySuppress /q<br />
Hinweis Neben der Installation des Clients muss sichergestellt werden, dass für jedes Benutzerobjekt im<br />
<strong>Active</strong> <strong>Directory</strong>-Dialogfeld mit den Benutzereigenschaften auf der Registerkarte Allgemein das Attribut<br />
E-Mail konfiguriert ist.<br />
Konfigurieren der Clientdiensterkennung<br />
Beim Versuch eines Netzwerkclients, ein Rechteverwaltungsfeature einer kompatiblen Anwendung zu<br />
verwenden, sendet der AD RMS-Client eine Abfrage an den Dienstverbindungspunkt in <strong>Active</strong> <strong>Directory</strong>,<br />
um die URL-Pipeline des virtuellen Zertifizierungsverzeichnissen auf dem AD RMS-Stammcluster<br />
abzurufen. Die URL-Pipeline weist das folgende Format auf: http(s):///_wmcs/Certification.<br />
Hinweis Bei jedem Versuch, eine Verbindung mit dem AD RMS-Cluster herzustellen, wird eine Aufforderung<br />
zur Angabe von Anmeldeinformationen angezeigt. Um dies zu verhindern, kann die AD RMS-Cluster-<br />
URL für alle Benutzer, die in der AD RMS-Infrastruktur arbeiten, zur Sicherheitszone Lokales Intranet hinzugefügt<br />
werden. Um diese Einstellung für mehrere Clients festzulegen, kann sie bei Bedarf als Gruppenrichtlinieneinstellung<br />
definiert werden.<br />
Bei der Erstellung oder Nutzung von durch Rechte geschützten Inhalten sucht der AD RMS-Client<br />
nach der URL für das virtuelle Lizenzierungsverzeichnis auf dem AD RMS-Cluster und ruft diese<br />
URL ab. Die URL-Pipeline für Lizenzierungsanforderungen weist das folgende Format auf: http(s)://<br />
/_wmcs/Licensing.<br />
In einigen Situationen kann es erforderlich sein, den standardmäßigen Diensterkennungsprozess außer<br />
Kraft zu setzen und das Kontaktieren eines spezifischen AD RMS-Clusters durch einen Client zu<br />
erzwingen, der nicht mit dem im Dienstverbindungspunkt veröffentlichten Cluster übereinstimmt.<br />
Wenn aus Skalierbarkeitsgründen beispielsweise reine AD RMS-Lizenzierungscluster bereitgestellt<br />
werden, muss die Standardkonfiguration auf den Clients mit den bereitgestellten reinen Lizenzierungsclustern<br />
außer Kraft gesetzt werden, sodass der AD RMS-Stammcluster nicht mehr kontaktiert<br />
wird, um Nutzungs- oder Veröffentlichungslizenzen anzufordern.<br />
Zum Außerkraftsetzen des standardmäßigen Diensterkennungsprozesses kann auf den Clientarbeitsstationen,<br />
die Teil der AD RMS-Umgebung sind, der folgende Registrierungseintrag hinzugefügt<br />
werden:<br />
HKEY_LOCAL_MACHINE\Software\Microsoft\MSDRM\ServiceLocation<br />
Die in Tabelle 18.4 aufgeführten Schlüssel werden zum Außerkraftsetzen der Aktivierungs- oder<br />
Lizenzierungsdienste eingesetzt, um stattdessen den angegebenen AD RMS-Cluster zu verwenden.
710 Kapitel 18: <strong>Active</strong> <strong>Directory</strong>-Rechteverwaltungsdienste<br />
Tabelle 18.4<br />
Schlüssel zum Außerkraftsetzen der Aktivierungs- oder Lizenzierungsdienste<br />
Schlüsselname Datentyp Syntax Beschreibung<br />
Activation REG_SZ http(s):///_wmcs/<br />
certification (wobei die URL des<br />
Stammclusters ist, der für die Zertifizierung verwendet<br />
werden soll)<br />
EnterprisePublishing REG_SZ http(s):///_wmcs/licensing<br />
(wobei die URL des reinen<br />
Lizenzierungsclusters ist)<br />
Zum Außerkraftsetzen des standardmäßigen<br />
AD RMS-Zertifizierungsdiensts,<br />
der im SCP<br />
konfiguriert ist<br />
Zum Außerkraftsetzen des standardmäßigen<br />
AD RMS-Lizenzierungsdiensts<br />
Die meisten Anwendungen mit Rechteverwaltungsfeatures bieten eine Möglichkeit zur Angabe von<br />
bestimmten Lizenzierungsservern, die zur Veröffentlichung oder Nutzung von durch Rechte<br />
geschützten Informationen verwendet werden sollen. Dies verhindert, dass die globalen Einstellungen<br />
für die Diensterkennung geändert werden müssen, ermöglicht jedoch gleichzeitig das Festlegen<br />
von individuellen Einstellungen für eine bestimmte Anwendung. Um beispielsweise einen Lizenzierungsserver<br />
für Microsoft Office 2007 anzugeben, können Sie den folgenden Registrierungseintrag<br />
hinzufügen oder ändern:<br />
Struktur: HKEY_LOCAL_MACHINE\Software\Microsoft\Office\12.0\Common\DRM<br />
Wert: CorpLicenseServer<br />
Typ: REG_SZ<br />
Eintrag: http(s):///_WMCS/licensing<br />
Erstellen von rechtegeschützten Inhalten mit Microsoft Office<br />
Sowohl Microsoft Office 2003 Professional Edition als auch Microsoft Office 2007 (Enterprise, Ultimate<br />
und Professional Plus) können mit dem AD RMS-Client eingesetzt werden, um die Erstellung<br />
und Nutzung von rechtegeschützten Inhalten zu ermöglichen. Über die folgenden Methoden lassen<br />
sich Rechte auf ein Dokument anwenden:<br />
• Bei Microsoft Office Professional Edition 2003 zeigen Sie im Menü Datei auf Berechtigung.<br />
Anschließend kann eine geeignete Vorlage ausgewählt werden, in der die erforderlichen Rechte<br />
für das Dokument festgelegt sind.<br />
• Bei Microsoft Office 2007 klicken Sie auf die Office-Schaltfläche, und zeigen Sie auf Vorbereiten.<br />
Anschließend zeigen Sie auf die Option Berechtigung einschränken, um eine geeignete Vorlage<br />
für Benutzerrechterichtlinien zur Anwendung auf das Dokument auszuwählen.<br />
Abhängig von der verwendeten Vorlage für Benutzerrechterichtlinien wird für den Benutzer, der die<br />
Berechtigungen anwendet, das Dialogfeld Berechtigung geöffnet. In diesem Dialogfeld kann festgelegt<br />
werden, welche Benutzer über Lese- oder Änderungsberechtigungen für das Dokument verfügen.<br />
Wie in Abbildung 18.7 gezeigt, verfügt Don für das Dokument über Lese- und Terry über Änderungsberechtigungen.
Implementieren der AD RMS 711<br />
Abbildung 18.7<br />
Einschränken von Berechtigungen für ein Dokument<br />
Über die Schaltfläche Weitere Optionen werden zusätzliche Berechtigungen angezeigt, wie in<br />
Abbildung 18.8 dargestellt und in Tabelle 18.5 beschrieben.<br />
Abbildung 18.8<br />
Zusätzliche Berechtigungen und Einstellungen für Benutzer
712 Kapitel 18: <strong>Active</strong> <strong>Directory</strong>-Rechteverwaltungsdienste<br />
Tabelle 18.5<br />
Optionen für Berechtigungen und Einstellungen<br />
Berechtigung oder Einstellung<br />
Berechtigung für dieses Dokument<br />
einschränken<br />
Die folgenden Benutzer haben Zugriffsrechte<br />
für dieses Dokument<br />
Dieses Dokument läuft ab am<br />
Inhalt drucken<br />
Benutzern mit Lesezugriff das<br />
Kopieren des Inhalts erlauben<br />
Auf Inhalt programmatisch<br />
zugreifen<br />
Benutzer können zusätzliche<br />
Berechtigungen anfordern von<br />
Immer verbinden, um die Berechtigung<br />
eines Benutzers neu zu<br />
prüfen<br />
Standardwerte festlegen<br />
Beschreibung<br />
Ermöglicht das Aktivieren oder Deaktivieren der auf das Dokument angewendeten<br />
Berechtigungen.<br />
Über die Schaltflächen Hinzufügen oder Entfernen kann die Liste der Benutzer bearbeitet<br />
werden, die über die in diesem Dialogfeld konfigurierten Berechtigungen und Einstellungen<br />
verfügen.<br />
Ermöglicht das Festlegen eines Ablaufdatums für das Dokument. Nach diesem Ablaufdatum<br />
sind die Benutzer nicht mehr zum Öffnen des Dokuments berechtigt.<br />
Fügt die Berechtigung zum Drucken des Dokuments hinzu.<br />
Fügt die Berechtigung zum Kopieren von Inhalt und Einfügen dieses Inhalts an einer<br />
anderen Stelle oder in einem anderen Dokument hinzu.<br />
Fügt die Zugriffsberechtigung auf die Inhalte für Dienste oder Skripts hinzu.<br />
Über diese Option kann die E-Mail-Adresse der Person angegeben werden, von welcher<br />
Benutzer zusätzliche Berechtigungen zum Zugreifen auf Inhalte und Ändern von Inhalten<br />
anfordern können.<br />
Bei Aktivierung dieses Kontrollkästchens wird sichergestellt, dass ein Benutzer dieses<br />
Dokument nur öffnen kann, wenn der Benutzer durch den AD RMS-Cluster verifiziert<br />
werden kann. Da diese Verifizierung bei jedem Öffnen der Datei durchgeführt wird,<br />
sollten Sie diese Einstellung nicht für Offlinebenutzer aktivieren.<br />
Über die Schaltfläche Standardwerte festlegen können allgemeine Berechtigungseinstellungen<br />
zur zukünftigen Verwendung gespeichert werden.<br />
Beim Versuch eines Benutzers, rechtegeschützte Inhalte zu nutzen, wird ein Benachrichtigungsfenster<br />
angezeigt. Wie in Abbildung 18.9 gezeigt, enthält diese Benachrichtigung die URL der Lizenzierungspipeline<br />
zur Verifizierung der Anmeldeinformationen und zum Abrufen einer Nutzungslizenz.<br />
Abbildung 18.9<br />
Anzeigen der Berechtigungsbenachrichtigung<br />
Die Berechtigungen des Benutzers sind anschließend auf die in der Nutzungsrichtlinie festgelegten<br />
Aktionen beschränkt. Diese Berechtigungen können über die Schaltfläche Berechtigung anzeigen<br />
angezeigt werden, wie in Abbildung 18.10 dargestellt. Beachten Sie, dass Don@Adatum.com über die<br />
Berechtigungen Anzeigen und Kopieren für das Dokument verfügt.
Verwalten der AD RMS 713<br />
Abbildung 18.10<br />
Anzeigen von Berechtigungen, die für ein rechtegeschütztes Dokument zugewiesen sind<br />
Hinweis Für Benutzer, die nicht über Microsoft Office zum Anzeigen von rechtegeschützten Dokumenten<br />
verfügen, kann das Rechteverwaltungs-Add-On für Internet Explorer installiert werden. Über dieses Add-On<br />
können rechtegeschützte Informationen angezeigt, jedoch nicht geändert werden. Das Rechteverwaltungs-<br />
Add-On für Internet Explorer kann unter folgender Adresse heruntergeladen werden: http://www.microsoft.com/downloads/details.aspx?FamilyID=B48F920B-5AF0-46B4-994F-2F62582CC86F&displaylang=en.<br />
Verwalten der AD RMS<br />
Aufgrund der Komplexität und des Aufbaus einer AD RMS-Umgebung müssen nach der erstmaligen<br />
Bereitstellung des AD RMS-Stammclusters bestimmte Verwaltungsaufgaben ausgeführt werden.<br />
Wenn eine Organisation mehrere <strong>Active</strong> <strong>Directory</strong>-Gesamtstrukturen umfasst, müssen möglicherweise<br />
mehrere AD RMS-Bereitstellungen integriert werden. Ferner müssen gegebenenfalls externe<br />
Benutzer oder Partnerschaften mit anderen Organisationen berücksichtigt werden, um eine gemeinsame<br />
Nutzung von und Zusammenarbeit an rechtegeschützten Informationen zu ermöglichen. Zum<br />
Gewährleisten der Sicherheit einer AD RMS-Umgebung sind zudem weitere umfangreiche Verwaltungsaufgaben<br />
erforderlich. Dazu zählen beispielsweise die Anwendung von Ausschluss- und Sicherheitsrichtlinien<br />
sowie die Konfiguration und Bereitstellung von Vorlagen für Benutzerrechterichtlinien.<br />
In diesem Abschnitt werden diese Verwaltungsaufgaben beschrieben und Informationen bereitgestellt,<br />
um innerhalb einer Netzwerkumgebung eine effektive und sichere AD RMS-Bereitstellung zu<br />
vewalten.<br />
Verwalten von Vertrauensrichtlinien<br />
Eine Standardimplementierung der AD RMS bietet Rechteverwaltungsschutz für Dokumente, die<br />
innerhalb einer Organisation erstellt und genutzt werden. In vielen Szenarien ist jedoch die Konfiguration<br />
von Vertrauensrichtlinien erforderlich. Eine Vertrauensrichtlinie ermöglicht die Verarbeitung<br />
von Lizenzierungsanforderungen für Inhalte, die auf einem anderen AD RMS-Cluster in einer anderen<br />
<strong>Active</strong> <strong>Directory</strong>-Gesamtstruktur oder Organisation durch Rechte geschützt wurden.
714 Kapitel 18: <strong>Active</strong> <strong>Directory</strong>-Rechteverwaltungsdienste<br />
Abhängig vom spezifischen Szenario können drei Haupttypen von Vertrauensrichtlinien konfiguriert<br />
werden:<br />
• Vertrauenswürdige Benutzerdomänen<br />
• Vertrauenswürdige Veröffentlichungsdomänen<br />
• Unterstützung für Identitätsverbund<br />
Vertrauenswürdige Benutzerdomänen<br />
In einer vertrauenswürdigen Benutzerdomänenkonfiguration können Empfänger eines AD RMS-<br />
Clusters in einer anderen Organisation oder <strong>Active</strong> <strong>Directory</strong>-Gesamtstruktur Nutzungslizenzen von<br />
Ihrem AD RMS-Cluster erhalten. Eine große Unternehmensorganisation kann z.B. mehrere <strong>Active</strong><br />
<strong>Directory</strong>-Gesamtstrukturen mit einer Vielzahl von AD RMS-Installationen umfassen. Indem die verschiedenen<br />
AD RMS-Installationen untereinander als vertrauenswürdige Benutzerdomänen konfiguriert<br />
werden, wird eine Vertrauensbeziehung zwischen diesen Installationen hergestellt. Um eine<br />
gemeinsame Nutzung von und Zusammenarbeit an veröffentlichten rechtegeschützten Inhalten zu<br />
ermöglichen, kann eine vertrauenswürdige Benutzerdomäne auch zwischen zwei Organisationen konfiguriert<br />
werden. Typischerweise stellt eine der folgenden Entitäten eine vertrauenswürdige Benutzerdomäne<br />
dar:<br />
• Eine andere <strong>Active</strong> <strong>Directory</strong>-Gesamtstruktur innerhalb einer Organisation<br />
• Die AD RMS-Installation eines Partners<br />
• Der Windows Live ID-Dienst<br />
Per Voreinstellung verarbeitet der AD RMS-Cluster keine Anforderungen von Benutzern, deren RAC<br />
von einer anderen AD RMS-Installation ausgestellt wurde. Betrachten Sie z.B. das folgende Szenario:<br />
Kim@NWtraders.com sendet rechtegeschützte Inhalte an Don@Adatum.com. Beim Versuch, die<br />
Inhalte zu öffnen, wird Dons RAC (von der AD RMS-Installation seiner Organisation ausgestellt) und<br />
die Veröffentlichungslizenz an die in dieser aufgeführte URL gesendet. Der Lizenzierungcluster bei<br />
NWTraders.com empfängt Dons Nutzungslizenzanforderung, kann diese Anforderung jedoch nur verarbeiten,<br />
wenn Dons RAC verifiziert werden kann. Durch die Konfiguration eines anderen AD RMS-<br />
Clusters als vertrauenswürdige Benutzerdomäne kann verifiziert werden, dass der Benutzer, der die<br />
Nutzungslizenz anfordert, zu einer vertrauenswürdigen Benutzerdomäne gehört.<br />
Zum Konfigurieren einer vertrauenswürdigen Benutzerdomäne muss die Konsole der <strong>Active</strong> <strong>Directory</strong>-Rechteverwaltungsdienste<br />
geöffnet und die .bin-Datei einer vertrauenswürdigen Benutzerdomäne<br />
importiert werden. Die .bin-Datei enthält das SLC des AD RMS-Clusters, der als vertrauenswürdig eingestuft<br />
werden soll. Zum Erstellen der .bin-Datei wählen Sie im Knoten Vertrauenswürdige Benutzerdomänen<br />
das Domänenzertifikat Intern und klicken im Fenster Aktionen auf Vertrauenswürdige<br />
Benutzerdomäne exportieren. Die Datei kann anschließend gespeichert und an den Administrator<br />
übergeben werden, der die Integration der zwei AD RMS-Cluster konfiguriert.<br />
Nach dem Erhalt einer .bin-Datei von einer vertrauenswürdigen Domäne kann die Datei im<br />
Fenster Aktionen über die Option Vertrauenswürdige Benutzerdomäne importiert werden. Wie in<br />
Abbildung 18.11 gezeigt, wird die von der Adatum Corporation erhaltene .bin-Datei importiert. Zur<br />
eindeutigen Identifizierung der vertrauenswürdigen Benutzerdomäne wird ein Anzeigename angegeben.
Verwalten der AD RMS 715<br />
Abbildung 18.11<br />
Importieren der Datei einer vertrauenswürdigen Benutzerdomäne<br />
Durch den Import des Server-Lizenzgeberzertifikats eines anderen AD RMS-Clusters kann nun verifiziert<br />
werden, dass Benutzer, die eine Nutzungslizenz anfordern, Mitglied einer vertrauenswürdigen<br />
Benutzerdomäne sind. Abbildung 18.12 zeigt die Interaktion zwischen vertrauenswürdigen Benutzerdomänen.<br />
SLC (.bin-Datei)<br />
1<br />
2<br />
Adatum<br />
4<br />
5<br />
NWTraders<br />
Don<br />
3<br />
Kim<br />
Abbildung 18.12<br />
Interaktion zwischen vertrauenswürdigen Benutzerdomänen
716 Kapitel 18: <strong>Active</strong> <strong>Directory</strong>-Rechteverwaltungsdienste<br />
1. Adatum exportiert und sendet das Server-Lizenzgeberzertifikat (.bin-Datei) an NWTraders.<br />
2. NWTraders importiert die .bin-Datei und legt Adatum als vertrauenswürdige Benutzerdomäne<br />
fest.<br />
3. Kim (Mitarbeiter von NWTraders) sendet ein durch Rechte geschütztes Dokument an Don.<br />
4. Nach dem Erhalt der Inhalte werden Dons RAC und Veröffentlichungslizenz beim Versuch, das<br />
Dokument zu öffnen, an den Lizenzierungsserver von NWTraders gesendet.<br />
5. Der AD RMS-Cluster bei NWTraders erkennt die Adatum-Domäne als vertrauenswürdige Benutzerdomäne<br />
und verwendet das importierte SLC, um Dons RAC zu verifizieren und ihm eine Nutzungslizenz<br />
auszustellen.<br />
Hinweis In der ursprünglichen Konfiguration der Lizenzierungspipeline ist lediglich die Windows-Authentifizierung<br />
aktiviert. Um einem Benutzer einer anderen Domäne das Anfordern von Nutzungslizenzen zu<br />
ermöglichen, muss sich der Benutzer gegenüber dem Server authentifizieren können, auf dem IIS ausgeführt<br />
wird. Dies kann durch die Konfiguration einer <strong>Active</strong> <strong>Directory</strong>-Vertrauensstellung mit der anderen<br />
Gesamtstruktur erfolgen, um die anonyme Authentifizierung in der Lizenzierungspipeline in IIS zu ermöglichen,<br />
oder durch die Erstellung von Schattenkonten für die Authentifizierung.<br />
Vertrauenswürdige Veröffentlichungsdomänen<br />
Ein AD RMS-Cluster kann standardmäßig lediglich Nutzungslizenzen für rechtegeschützte Informationen<br />
mit einer Veröffentlichungslizenz ausstellen, die von demselben AD RMS-Cluster ausgestellt<br />
wurde. In einigen Szenarien kann es jedoch erforderlich sein, einen AD RMS-Cluster so zu konfigurieren,<br />
dass dieser Nutzungslizenzen für Veröffentlichungslizenen ausstellen kann, die von einem<br />
anderen AD RMS-Cluster ausgestellt wurden. Beispiel: Die Adatum Corporation übernimmt Northwind<br />
Traders, und es wurde entschieden, dass keine zwei AD RMS-Installationen benötigt werden.<br />
Northwind Traders kann das SLC und den privaten Schlüssel des Unternehmens exportieren, und der<br />
AD RMS-Cluster von Adatum kann das Zertifikat und den Schlüssel anschließend importieren. So<br />
wird Northwind Traders innerhalb des AD RMS-Clusters von Adatum als vertrauenswürdige Veröffentlichungsdomäne<br />
festgelegt. Anschließend kann der AD RMS-Cluster von Adatum für sämtliche<br />
rechtegeschützten Inhalte, die ursprünglich über die RMS-Installation bei Northwind Traders verwaltet<br />
wurden, Veröffentlichungslizenzen entschlüsseln und Nutzungslizenzen ausstellen.<br />
Zum Konfigurieren einer vertrauenswürdigen Veröffentlichungsdomäne muss die Konsole der <strong>Active</strong><br />
<strong>Directory</strong>-Rechteverwaltungsdienste geöffnet und die Datei einer vertrauenswürdigen Veröffentlichungsdomäne<br />
importiert werden. Bei einer Domänendatei handelt es sich um eine XML-basierte<br />
Datei, die das Server-Lizenzgeberzertifikat, den Clusterschlüssel und gegebenenfalls die Vorlagen für<br />
Benutzerrechterichtlinien des AD RMS-Clusters enthält, der als vertrauenswürdig festgelegt werden<br />
soll. Zur Erstellung der XML-Datei wählen Sie das unterhalb des Knotens Vertrauenswürdige Veröffentlichungsdomänen<br />
aufgeführte SLC und klicken anschließend im Fenster Aktionen auf die Option<br />
Vertrauenswürdige Veröffentlichungsdomäne exportieren. Zudem muss für zusätzliche Sicherheit und<br />
zum Verschlüsseln der Datei der vertrauenswürdigen Veröffentlichungsdomäne ein Kennwort angegeben<br />
werden. Wenn die Datei in einen RMS-Cluster mit einer Vorgängerversion der RMS importiert<br />
wird, kann das Kontrollkästchen Wurde als V1-kompatible vertrauenswürdige Veröffentlichungsdomänendatei<br />
gespeichert aktiviert werden. Die Datei kann anschließend gespeichert und an den Administrator<br />
übermittelt werden, der die Datei der vertrauenswürdigen Veröffentlichungsdomäne in den<br />
AD RMS-Zielcluster importiert. Abbildung 18.13 zeigt das Dialogfeld für den Export der Datei der<br />
vertrauenswürdigen Veröffentlichungsdomäne.
Verwalten der AD RMS 717<br />
Abbildung 18.13<br />
Exportieren der Datei der vertrauenswürdigen Veröffentlichungsdomäne<br />
Nach dem Erhalt der Datei einer vertrauenswürdigen Veröffentlichungsdomäne kann die Datei importiert<br />
werden, indem Sie den Knoten Vertrauenswürdige Veröffentlichungsdomänen auswählen und im<br />
Fenster Aktionen auf Vertrauenswürdige Veröffentlichungsdomäne importieren klicken.<br />
Abbildung 18.14 zeigt die Interaktion zwischen vertrauenswürdigen Veröffentlichungsdomänen.<br />
1. Northwind Traders exportiert sein SLC, seinen privaten Schlüssel und seine Vorlagen für Benutzerrechterichtlinien<br />
im XML-Format in die Adatum-Umgebung.<br />
2. Adatum importiert die XML-Datei und legt Northwind Traders als vertrauenswürdige Veröffentlichungsdomäne<br />
fest.<br />
3. Kim (Mitarbeiter von Northwind Traders) sendet ein durch Rechte geschütztes Dokument an Don,<br />
das ursprünglich über eine Veröffentlichungslizenz verfügte, die durch den RMS-Cluster bei<br />
Northwind Traders zugewiesen wurde.<br />
4. Nach dem Erhalt der Inhalte werden Dons RAC und Veröffentlichungslizenz beim Versuch, das<br />
Dokument zu öffnen, an den lokalen AD RMS-Lizenzierungsserver von Adatum gesendet.<br />
5. Der AD RMS-Cluster von Adatum kann die vom RMS-Cluster bei Northwind Traders ausgestellte<br />
Veröffentlichungslizenz entschlüsseln und bestätigen, dass Don in der Veröffentlichungslizenz<br />
genannt ist. Anschließend stellt er eine Nutzungslizenz für Don aus.<br />
Hinweis Zur Weiterleitung der Veröffentlichungslizenz an den AD RMS-Cluster am Adatum-Standort müssen<br />
DNS-Einträge so geändert werden, dass die URL in der Veröffentlichungslizenz nicht in die IP-Adresse<br />
des Lizenzierungsclusters am Northwind Traders-Standort, sondern in die IP-Adresse des Lizenzierungsclusters<br />
bei Adatum aufgelöst wird.
718 Kapitel 18: <strong>Active</strong> <strong>Directory</strong>-Rechteverwaltungsdienste<br />
SLC, privater Schlüssel<br />
und Vorlagen (.xml-Datei)<br />
Adatum<br />
2<br />
1<br />
Northwind<br />
Traders<br />
4 5<br />
Kim<br />
3<br />
Don<br />
Abbildung 18.14<br />
Interaktion zwischen vertrauenswürdigen Veröffentlichungsdomänen<br />
Unterstützung für Identitätsverbund<br />
Windows Server 2008 AD RMS unterstützt die Möglichkeit, über die <strong>Active</strong> <strong>Directory</strong>-Verbunddienste<br />
(<strong>Active</strong> <strong>Directory</strong> Federation Services, AD FS) verbundene Vertrauensstellungen zwischen<br />
zwei Gesamtstrukturen oder zwei Organisationen zu verwenden. Dies ermöglicht die Verwendung<br />
einer einzigen AD RMS-Infrastruktur für alle Mitglieder der verbundenen Vertrauensstellung. Wenn<br />
ein Benutzer rechtegeschützte Informationen veröffentlichen oder nutzen möchte, kann er zum Abrufen<br />
eines RAC von einem AD RMS-Cluster die Kontoanmeldeinformationen verwenden, die über die<br />
verbundene Vertrauensstellung festgelegt sind.<br />
Weitere Informationen Weitere Informationen zu den <strong>Active</strong> <strong>Directory</strong>-Verbunddiensten finden Sie in<br />
Kapitel 19, „<strong>Active</strong> <strong>Directory</strong>-Verbunddienste“.<br />
Unterstützung für Identitätsverbund ist eine optionale Komponente, die mit dem AD RMS-Server<br />
installiert werden muss. Wenn Sie die Installation des Rollendiensts Unterstützung für Identitätsverbund<br />
wählen, werden Sie aufgefordert, auch den Ansprüche unterstützenden <strong>Active</strong> <strong>Directory</strong>-Verbunddienste-Agent<br />
als unterstützenden Rollendienst einzuschließen. Ferner muss während der Installation<br />
der Verbundserver für die Kommunikation mit dem AD RMS-Cluster angegeben werden.<br />
Hinweis Für die Kommunikation zwischen dem AD FS-Server und dem AD RMS-Cluster ist eine SSLverschlüsselte<br />
Verbindung erforderlich. Es wird die Verwendung eines von einer Zertifizierungsstelle ausgestellten<br />
Zertifikats empfohlen, die von allen Clients innerhalb der AD RMS-Lösung als vertrauenswürdig<br />
eingestuft wird. Für kleine Umgebungen oder Testszenarien kann ein selbstsigniertes Zertifikat verwendet<br />
werden; dieses Zertifikat muss jedoch manuell auf allen Clients installiert werden, die mit den Servern kommunizieren.
Verwalten der AD RMS 719<br />
Nach der Installation des Rollendiensts Unterstützung für Identitätsverbund wird in der Konsole für<br />
die <strong>Active</strong> <strong>Directory</strong>-Rechteverwaltungsdienste ein neuer Knoten angezeigt. Sie können den Knoten<br />
Unterstützung für Identitätsverbund auswählen und den <strong>Active</strong> <strong>Directory</strong>-Verbunddienst aktivieren,<br />
wie in Abbildung 18.15 gezeigt.<br />
Abbildung 18.15<br />
Anzeigen des Knotens Unterstützung für Identitätsverbund<br />
Sämtliche RACs, die für eine Verbundidentität ausgestellt werden, haben standardmäßig eine Gültigkeitsdauer<br />
von einem Tag. Dieser Wert kann im Dialogfeld Eigenschaften von Unterstützung für Identitätsverbund<br />
geändert werden. Ferner kann eine bestimmte URL eines AD RMS-Zertifizierungsservers<br />
angegeben werden, um RACs für externe Benutzer auszustellen. Das Dialogfeld Eigenschaften<br />
von Unterstützung für Identitätsverbund ist in Abbildung 18.16 gezeigt.<br />
Wichtig Stellen Sie sicher, dass Sie alle Auswirkungen der Aktivierung von Proxy-E-Mail-Adressen über<br />
eine verbundene Vertrauensstellung kennen. Wenn Sie diese Einstellung aktivieren, können böswillige Benutzer<br />
die Identität eines Benutzers ausspionieren und auf rechtegeschützte Inhalte zugreifen. Dieses Feature ist<br />
standardmäßig deaktiviert.
720 Kapitel 18: <strong>Active</strong> <strong>Directory</strong>-Rechteverwaltungsdienste<br />
Abbildung 18.16<br />
Konfigurieren von <strong>Active</strong> <strong>Directory</strong>-Verbunddienstrichtlinien<br />
Verwalten von Vorlagen für Benutzerrechterichtlinien<br />
Bei Verwendung einer AD RMS-fähigen Anwendung zum Veröffentlichen von geschützten Inhalten,<br />
wendet ein Benutzer eine bestimmte Vorlage für Benutzerrechterichtlinien an, die er aus einer Liste<br />
mit verfügbaren Vorlagen ausgewählt hat. Die für eine AD RMS-fähige Anwendung verfügbaren Vorlagen<br />
für Benutzerrechterichtlinien werden von AD RMS-Administratoren erstellt und verwaltet. Zum<br />
Erstellen und Verwalten von Vorlagen für Benutzerrechterichtlinien wählen Sie in der Konsole für die<br />
<strong>Active</strong> <strong>Directory</strong>-Rechteverwaltungsdienste den Knoten Vorlagen für Benutzerrechterichtlinien. Es<br />
können zwei Typen von Vorlagen für Benutzerrechterichtlinien konfiguriert werden:<br />
• Verteilte Vorlagen für Benutzerrechterichtlinien Wenn Sie eine verteilte Vorlage für Benutzerrechterichtlinien<br />
konfigurieren, wird die Vorlage für die Benutzer bereitgestellt, um Regeln und Bedingungen<br />
auf geschützte Inhalte anzuwenden. Wenn eine verteilte Vorlage nicht mehr verwendet<br />
werden soll, kann diese Vorlage ausgewählt und archiviert werden.<br />
• Archivierte Vorlagen für Benutzerrechterichtlinien Bei einer archivierten Vorlage für Benutzerrechterichtlinien<br />
handelt es sich um eine Vorlage, die nicht für die Benutzer verfügbar ist. Typischerweise<br />
wird eine archivierte Vorlage zum Entwerfen von Vorlagen oder Erstellen von Starter-<br />
Vorlagen verwendet, die anschließend kopiert, geändert und an AD RMS-Clients verteilt werden<br />
können. Ferner kann eine Vorlage für Benutzerrechterichtlinien archiviert werden, wenn sie nicht<br />
zum Veröffentlichen neuer Inhalte verwendet werden sollte, jedoch weiterhin benötigt wird, da<br />
ältere Inhalte noch immer verfügbar sind, für welche diese Vorlage gilt.<br />
Sämtliche Vorlagen für Benutzerrechterichtlinien werden standardmäßig in der von den AD RMS verwendeten<br />
Konfigurationsdatenbank gespeichert. Die Vorlagen können jedoch ebenfalls in einen freigegebenen<br />
Ordner kopiert und für Arbeitsstationen bereitgestellt werden, um lokalen Zugriff auf die<br />
Vorlagen für Benutzerrechterichtlinien und die Offlineerstellung von rechtegeschützten Inhalten zu<br />
ermöglichen.
Verwalten der AD RMS 721<br />
Erstellen einer neuen verteilten Vorlage für Benutzerrechterichtlinien<br />
Führen Sie zum Erstellen einer neuen verteilten Vorlage für Benutzerrechterichtlinien die folgenden<br />
Schritte aus:<br />
1. Wählen Sie in der Konsole der <strong>Active</strong> <strong>Directory</strong>-Rechteverwaltungsdienste Vorlagen für Benutzerrechterichtlinien,<br />
und klicken Sie auf Verteilte Vorlage für Benutzerrechterichtlinien erstellen.<br />
2. Wählen Sie auf der Seite Vorlagenidentifikationsinformationen hinzufügen die auf den Clientcomputern<br />
unterstützte Sprache. Klicken Sie auf Hinzufügen, um die Sprache und anschließend einen<br />
Namen und eine Beschreibung für die Vorlage anzugeben. Abbildung 18.17 zeigt die Vorlagenidentifikationsinformationen<br />
für eine neue Vorlage mit dem Namen<br />
Adatum_nur_interne_Verwendung.<br />
Abbildung 18.17<br />
Angeben der Vorlagenidentifikationsinformationen<br />
3. Auf der Seite Benutzerrechte hinzufügen können Rechte für Benutzer oder Gruppen innerhalb der<br />
Organisation festgelegt werden. Dabei kann entweder die E-Mail-Adresse für einen Benutzer oder<br />
eine Gruppe angegeben oder die Vorlage durch Auswahl von Alle Benutzer auf sämtliche Benutzer<br />
angewendet werden, die ein RAC abrufen können (einschließlich AD FS- und Windows Live<br />
ID-Benutzer). Ferner kann dem Autor des Dokuments permanenter Vollzugriff gewährt und eine<br />
URL zur Verwendung für Benutzeranforderungen für zusätzliche Rechte angegeben werden. Eine<br />
URL zur Anforderung von Rechten weist üblicherweise das Format mailto: URL auf, sodass<br />
Benutzer zusätzliche Rechte per E-Mail-Nachricht anfordern können.<br />
4. Auf der Seite Ablaufrichtlinie angeben können Bedingungen für den Inhalts- und Nutzungslizenzablauf<br />
festgelegt werden.<br />
5. Auf der Seite Erweiterte Richtlinie angeben können die folgenden Optionen konfiguriert werden:<br />
Benutzern das Anzeigen des geschützten Inhalts mit einem Browser-Add-On ermöglichen Diese<br />
Einstellung ermöglicht Benutzern das Anzeigen von geschützten Informationen über das<br />
Informationsrechteverwaltungs-Add-On für Internet Explorer. Wird diese Option nicht ausgewählt,<br />
können die Inhalte ausschließlich mit der Anwendung angezeigt werden, in der sie<br />
erstellt wurden.<br />
Bei jedem Zugriff auf den Inhalt eine neue Nutzungslizenz anfordern (Zwischenspeichern auf Clientseite<br />
deaktivieren) Wählen Sie diese Option, wenn die Benutzer bei jedem Öffnen von Inhalten,<br />
die auf dieser Vorlage basieren, eine Verbindung mit dem AD RMS-Cluster herstellen und<br />
eine neue Nutzungslizenz anfordern sollen. Wird diese Option nicht ausgewählt, kann eine auf<br />
dem Client zwischengespeicherte Version der Nutzungslizenz für den Zugriff auf die Inhalte<br />
verwendet werden.
722 Kapitel 18: <strong>Active</strong> <strong>Directory</strong>-Rechteverwaltungsdienste<br />
Wenn Sie zusätzliche Informationen für die AD RMS-fähige Anwendung angeben möchten, können<br />
Sie die Informationen hier als Name/Wert-Paar angeben. Über diese Option können anwendungsspezifische<br />
Einstellungen zur Richtlinienvorlage hinzugefügt werden.<br />
6. Auf der Seite Sperrrichtlinie angeben kann festgelegt werden, ob geschützte Inhalte basierend auf<br />
einer Sperrliste gesperrt werden können oder nicht. Sie können das Feature aktivieren und einen<br />
Speicherort für die Sperrliste und die Datei mit dem öffentlichen Schlüssel angeben.<br />
7. Nach dem Erstellen einer Vorlage für Benutzerrechterichtlinien kann eine Rechtezusammenfassung<br />
angezeigt werden, indem Sie die neue Vorlage auswählen und auf Rechtezusammenfassung<br />
anzeigen klicken. Abbildung 18.18 zeigt eine solche Benutzerrechtezusammenfassung.<br />
Abbildung 18.18<br />
Anzeigen der Benutzerrechtezusammenfassung<br />
Hinweis Die Schritte zum Erstellen einer neuen archivierten Vorlage für Benutzerrechterichtlinien stimmen<br />
mit den Schritten zum Erstellen einer verteilten Vorlage für Benutzerrechterichtlinien überein.<br />
Verteilen von Vorlagen für Benutzerrechterichtlinien<br />
Zum Erstellen von rechtegeschützten Informationen unter Verwendung einer Vorlage für Benutzerrechterichtlinien<br />
benötigen Benutzer Zugriff auf die Vorlage. Für Benutzer des internen Netzwerks<br />
können Vorlagen für Benutzerrechterichtlinien über einen freigegebenen Netzwerkordner bereitgestellt<br />
werden. Für mobile Benutzer, die nicht ständig mit dem Netzwerk verbunden sind, können die<br />
Vorlagen in ein Verzeichnis auf dem lokalen Computer kopiert werden. Der in Windows Server 2008<br />
und Windows Vista SP1 integrierte AD RMS-Client kann lokale Kopien von Vorlagen für Benutzerrechterichtlinien<br />
automatisch ermitteln und aktualisieren.<br />
So funktioniert es: Automatisches Verteilen von AD RMS-Vorlagen für<br />
Benutzerrechterichtlinien mit Windows Server 2008 und Windows Vista SP1<br />
Für eine vereinfachte Verwaltung von AD RMS-Vorlagen für Benutzerrechterichtlinien wird mit<br />
Windows Server 2008 und Windows Vista mit Service Pack 1 (SP1) eine neue Vorlagenverteilungspipeline<br />
auf allen Servern des AD RMS-Clusters eingeführt. Über diese neue Pipeline können<br />
die Vorlagen für Benutzerrechterichtlinien durch den AD RMS-Client vom Cluster angefordert<br />
und lokal auf dem AD RMS-Client gespeichert werden.
Verwalten der AD RMS 723<br />
AD RMS-Vorlagen für Benutzerrechterichtlinien werden vom AD RMS-Client über eine geplante<br />
Aufgabe angefordert. Es gibt zwei Arten von geplanten Aufgaben: automatisiert oder manuell.<br />
Manuell geplante Aufgaben können zu einem beliebigen Zeitpunkt ausgeführt werden. Die automatisierte<br />
geplante Aufgabe ist so konfiguriert, dass sie eine Stunde nach der Anmeldung eines Benutzers<br />
am Computer sowie täglich um 3.00 Uhr morgens ausgeführt wird. Diese geplante Aufgabe ist<br />
standardmäßig deaktiviert. Sie kann über die Aufgabenplanung oder über ein Gruppenrichtlinienobjekt<br />
aktiviert werden.<br />
Bei AD RMS-Clients unter einem anderen Betriebssystem als Windows Vista mit SP1 oder Windows<br />
Server 2008 müssen die Vorlagen für Benutzerrechterichtlinien weiterhin manuell von einem<br />
zentralen Speicherort verteilt werden. Weitere Informationen zur Verteilung von AD RMS-Vorlagen<br />
für Benutzerrechterichtlinien finden Sie unter „Creating and Deploying <strong>Active</strong> <strong>Directory</strong><br />
Rights Management Services Rights Policy Templates Step-by-Step Guide“ auf der folgenden<br />
Seite: http://technet2.microsoft.com/windowsserver2008/en/library/909a3fa6-a7c5-4c86-9468-<br />
2b77b72c54841033.mspx.<br />
Brian M. Lich<br />
Technical Writer<br />
Windows Server Security<br />
Gehen Sie folgendermaßen vor, um einen Speicherort für Vorlagen für Benutzerrechterichtlinien<br />
anzugeben und die Vorlagen in dieses Verzeichnis zu exportieren:<br />
1. Erstellen Sie einen Ordner auf dem Server als Bereitstellungspunkt zum Speichern der exportierten<br />
Vorlagen für Benutzerrechterichtlinien. Für die Freigabe sollte der Gruppe Jeder die<br />
Berechtigung Vollzugriff erteilt werden; für den Ordner selbst sollten die folgenden Berechtigungen<br />
festgelegt werden:<br />
AD RMS-Dienstgruppe – Ändern<br />
System – Ändern<br />
Benutzer – Lesen<br />
2. Wählen Sie in der Konsole der <strong>Active</strong> <strong>Directory</strong>-Rechteverwaltungsdienste Vorlagen für Benutzerrechterichtlinien,<br />
und klicken Sie auf Speicherort verteilter Vorlagen für Benutzerrechterichtlinien<br />
ändern. Aktivieren Sie das Kontrollkästchen Export aktivieren, und geben Sie den UNC-<br />
Pfad zum freigegebenen Ordner an, in dem die exportierten Vorlagen gespeichert werden sollen.<br />
Das Dialogfeld Vorlagen für Benutzerrechterichtlinien ist in Abbildung 18.19 gezeigt. Wenn Sie<br />
auf OK klicken, wird eine XML-Version der Vorlage aus der Konfigurationsdatenbank in den freigegebenen<br />
Ordner exportiert.<br />
Nach dem Export der Vorlagen für Benutzerrechterichtlinien in den freigegebenen Ordner müssen auf<br />
jedem Clientcomputer Registrierungseinstellungen so konfiguriert werden, dass sie auf den lokalen<br />
Vorlagenspeicher zeigen. Ferner müssen die Vorlagen für Benutzerrechterichtlinien aus dem freigegebenen<br />
Ordner auf dem Server in den lokalen Vorlagenspeicher auf den einzelnen Clients kopiert werden.<br />
Bei Windows Server 2008 und Windows Vista SP1 müssen die Dateien nicht manuell kopiert<br />
werden, da dieser Vorgang über eine geplante Aufgabe automatisch durchgeführt wird.
724 Kapitel 18: <strong>Active</strong> <strong>Directory</strong>-Rechteverwaltungsdienste<br />
Abbildung 18.19<br />
Angeben des Speicherorts für exportierte Vorlagen<br />
Die Konfiguration der Clientregistrierung kann vom Typ der Anwendung abhängen, die zum Schützen<br />
der Informationen verwendet wird. Im Allgemeinen werden die Registrierungseinstellungen über<br />
die folgenden Methoden konfiguriert:<br />
• Bereitstellen von Registrierungseinstellungen über Gruppenrichtlinien Sie können Gruppenrichtlinieneinstellungen<br />
oder spezifische anwendungsbasierte Gruppenrichtlinien-ADM- oder ADMX-<br />
Vorlagen verwenden, um den Vorlagenspeicher über die Registrierungseinstellungen anzugeben.<br />
• Manuelles Konfigurieren der Registrierungseinstellungen Sie können die Registrierung manuell<br />
ändern, um den Pfad zum lokalen Vorlagenspeicher auf einem Clientcomputer anzugeben. Zu diesem<br />
Zweck muss der folgende Schlüssel erstellt werden:<br />
HKEY_CURRENT_USER\SOFTWARE\Microsoft\Office\12.0\Common\DRM\<br />
AdminiTemplatePath<br />
Typ: REG_EXPAND_SZ<br />
Empfohlener Wert: %allusersprofile%\Application Data\Microsoft\DRM\<br />
<br />
Hinweis Der aufgeführte Schlüssel bezieht sich auf Office 2007. Bei der Konfiguration von Office 2003<br />
ersetzen Sie 12.0 durch 11.0. Zudem lautet der empfohlene Wert für Windows Vista %userprofile%\<br />
AppData\Local\Microsoft\DRM.<br />
Nach der Konfiguration der Registrierungseinstellung AdminTemplatePath auf den einzelnen Clientcomputern<br />
können die Benutzer sämtliche Vorlagen im lokalen Vorlagenspeicher auf Dokumente<br />
anwenden, die durch Rechte geschützt werden sollen. Abbildung 18.20 zeigt ein Beispiel der Vorlage<br />
Adatum_nur_interne_Verwendung, die auf ein Office Word 2007-Dokument angewendet wird.
Verwalten der AD RMS 725<br />
Abbildung 18.20<br />
Anwenden einer benutzerdefinierten Vorlage für Benutzerrechterichtlinien<br />
Konfigurieren von Ausschlussrichtlinien<br />
Über eine Ausschlussrichtlinie kann das Abrufen von Zertifikaten und Anfordern von Lizenzen vom<br />
AD RMS-Cluster für bestimmte Entitäten ausgeschlossen werden. Im Gegensatz zum Sperren wird<br />
die Entität durch diesen Vorgang nicht ungültig. Gegebenenfalls vorhandene Lizenzen, die mit ausgeschlossenen<br />
Entitäten verknüpft sind, sind weiterhin gültig, neue Lizenzierungsanforderungen werden<br />
jedoch abgelehnt. Es können vier Typen von Ausschlussrichtlinien konfiguriert werden:<br />
• Benutzer Sie können eine Benutzerausschlussliste angeben, um zu definieren, welche Benutzerkonten<br />
vom AD RMS-Cluster als nicht vertrauenswürdig eingestuft werden. Bei Aktivierung des<br />
Benutzerausschlusses kann der Benutzername (in Form einer E-Mail-Adresse) oder der öffentliche<br />
Schlüssel des RAC eines Benutzers angegeben werden, der auf dem Server ausgeschlossen<br />
werden soll.<br />
• Anwendungen Sie können bestimmte Anwendungen ausschließen, die der AD RMS-Server<br />
anschließend als nicht vertrauenswürdig einstuft. Beispielsweise kann die Unterstützung der<br />
Rechteverwaltung auf diese Weise nur für bestimmte Microsoft Office-Versionen bereitgestellt<br />
werden. Um die Verwendung anderer Microsoft Office-Versionen in der AD RMS-Umgebung zu<br />
verhindern, können Sie den Anwendungsdateinamen sowie die Mindest- und die Maximalversion<br />
angeben.
726 Kapitel 18: <strong>Active</strong> <strong>Directory</strong>-Rechteverwaltungsdienste<br />
• Lockbox Sie können eine Ausschlussrichtlinie konfigurieren, um sicherzustellen, dass nur eine<br />
bestimmte Mindestversion der AD RMS-Lockbox verwendet wird. Benutzer mit einer niedrigeren<br />
Version können keine RACs oder Nutzungslizenzen vom AD RMS-Cluster abrufen.<br />
• Windows-Versionen Aus Sicherheitsgründen sollten die meisten Organisationen Windows 98<br />
Second Edition und Windows Millennium Edition nicht länger unterstützen. Um sicherzustellen,<br />
dass diese beiden Betriebssysteme nicht in der AD RMS-Umgebung verwendet werden, kann eine<br />
Ausschlussrichtlinie konfiguriert werden, die verhindert, dass Benutzer dieser Betriebssysteme<br />
Nutzungslizenzen vom AD RMS-Cluster abrufen.<br />
Konfigurieren von Sicherheitsrichtlinien<br />
Der Knoten Sicherheitsrichtlinien in der Konsole <strong>Active</strong> <strong>Directory</strong>-Rechteverwaltungsdienste umfasst<br />
verschiedene sicherheitsbezogene Features wie z.B. das Konfigurieren von Administratoren, das<br />
Ändern des Clusterschlüsselkennworts sowie ein Feature, um allen Benutzern Vollzugriff auf<br />
geschützte Inhalte zu gewähren. Bevor Sie eine dieser Optionen ändern, müssen Sie die Auswirkungen<br />
auf Ihr Sicherheitsmodell sorgfältig prüfen, da diese Änderungen die Sicherheit des gesamten<br />
AS RMS-Clusters beeinflussen können.<br />
Verwalten von Administratoren<br />
Bei der Gruppe Administratoren handelt es sich um eine Gruppe, der in allen Nutzungslizenzen vollständigen<br />
Besitzerrechte gewährt werden, die vom AD RMS-Cluster ausgestellt werden. So erhalten<br />
Mitglieder der Gruppe Administratoren im Wesentlichen Vollzugriff auf alle rechtegeschützten<br />
Inhalte, die über den Cluster verwaltet werden. Diese Gruppe wird typischerweise als Datenwiederherstellungsmechanismus<br />
eingesetzt, um auf abgelaufene Inhalte oder Informationen zuzugreifen, die<br />
durch einen Benutzer geschützt wurden, der nicht mehr Mitarbeiter der Organisation ist.<br />
Die Gruppe Administratoren ist per Voreinstellung nicht aktiviert und sollte nur aktiviert werden,<br />
wenn eine Datenwiederherstellung erforderlich ist.<br />
Zum Einrichten einer Administratorengruppe können Sie die folgenden Aufgaben ausführen:<br />
1. Erstellen Sie unter <strong>Active</strong> <strong>Directory</strong>-Benutzer und -Computer eine Sicherheitsgruppe zur Verwendung<br />
für die Administratorengruppe. Für diese Gruppe muss auch eine E-Mail-Adresse angegeben<br />
werden.<br />
2. Erweitern Sie in der Konsole <strong>Active</strong> <strong>Directory</strong>-Rechteverwaltungsdienste den Knoten Sicherheitsrichtlinien,<br />
und klicken Sie auf Administratoren.<br />
3. Klicken Sie im Fenster Aktionen auf Administratoren aktivieren.<br />
4. Klicken Sie im Detailfenster auf Administratorengruppe ändern.<br />
5. Geben Sie im Dialogfeld Administratoren die E-Mail-Adresse für die <strong>Active</strong> <strong>Directory</strong>-Sicherheitsgruppe<br />
ein, die als Administratorengruppe verwendet werden soll.<br />
Abbildung 18.21 zeigt die Konfiguration einer Administratorengruppe. Beachten Sie, dass ADRMS-<br />
Administratoren@adatum.com konfiguriert wurde. Sämtliche Mitglieder dieser Gruppe verfügen über<br />
vollständige Besitzerrechte für Inhalte, die über diesen AD RMS-Cluster verwaltet werden.
Verwalten der AD RMS 727<br />
Abbildung 18.21<br />
Konfigurieren einer Administratorengruppe<br />
Die Aktivierung und Verwendung der Gruppe Administratoren kann überwacht werden, indem Sie in<br />
der Ereignisanzeige auf das Anwendungsprotokoll zugreifen und nach den in Tabelle 18.6 aufgeführten<br />
Ereignissen suchen.<br />
Tabelle 18.6<br />
Ereignisse im Zusammenhang mit der Administratorengruppe<br />
Ereignis-ID Quelle Beschreibung<br />
163 <strong>Active</strong> <strong>Directory</strong>-Rechteverwaltungsdienste<br />
49 <strong>Active</strong> <strong>Directory</strong>-Rechteverwaltungsdienste<br />
Die Gruppe Administratoren der <strong>Active</strong> <strong>Directory</strong>-Rechteverwaltungsdienste (AD<br />
RMS) wurde deaktiviert.<br />
Für einen Benutzer, der Mitglied der Gruppe Administratoren ist, wurde eine Nutzungslizenz<br />
ausgestellt. Die E-Mail-Adresse des Benutzers lautet: %1.<br />
E-Mail-Adresse: %1.<br />
Für den Zugriff auf rechtegeschützte Inhalte wird eine Nutzungslizenz verwendet.
728 Kapitel 18: <strong>Active</strong> <strong>Directory</strong>-Rechteverwaltungsdienste<br />
Ändern des Clusterschlüsselkennworts<br />
Bei der ursprünglichen Bereitstellung eines neuen AD RMS-Clusters wird die Methode zum<br />
Schützen des AD RMS-Clusterschlüssels festgelegt (AD RMS-Clusterschlüsselschutz oder die Verwendung<br />
eines hardware- oder softwarebasierten Kryptografiedienstanbieters). Bei Auswahl des<br />
AD RMS-Clusterschlüsselschutzes muss ein sicheres Kennwort für die Verschlüsselung des Clusterschlüssels<br />
in der Konfigurationsdatenbank angegeben werden.<br />
In einigen Situationen muss das Clusterschlüsselkennwort möglicherweise geändert werden. Dieser<br />
Schritt kann in der Konsole der <strong>Active</strong> <strong>Directory</strong>-Rechteverwaltungsdienste im Knoten Clusterschlüsselkennwort<br />
durchgeführt werden. Für eine ordnungsgemäße Funktionsweise muss beim<br />
Zurücksetzen des Kennworts sichergestellt werden, dass das Clusterschlüsselkennwort auf sämtlichen<br />
AD RMS-Servern innerhalb des Clusters zurückgesetzt wird.<br />
Hinweis Das Kennwort kann nicht über eine Remotekonsole geändert werden, sondern muss über die<br />
lokal auf dem AD RMS-Server gestartete Konsole geändert werden.<br />
Außerbetriebsetzen der AD RMS<br />
Wenn der gesamte AD RMS-Cluster aus einer Organisation entfernt werden muss, muss der Cluster<br />
zunächst außer Betrieb gesetzt werden. Bei der Außerbetriebsetzung erhalten automatisch sämtliche<br />
Benutzer Vollzugriff auf Inhalte, die zuvor über den Cluster geschützt waren. Die Benutzer können<br />
die Inhalte anschließend ohne Rechteschutz speichern.<br />
Achtung Nach der Außerbetriebsetzung eines Clusters kann die vorherige Konfiguration nicht wiederhergestellt<br />
werden, und die Außerbetriebsetzung kann nicht rückgängig gemacht werden. Verwenden Sie diese<br />
Option daher mit Vorsicht!<br />
Führen Sie zum Außerbetriebsetzen der AD RMS die folgenden Schritte aus:<br />
1. Wechseln Sie auf dem AD RMS-Server zu %systemdrive%\inetpub\wwwroot\_wmcs\<br />
decommission. Gewähren Sie der Gruppe Jeder für die Datei Decommissioning.asmx die Berechtigungen<br />
Lesen und Ausführen.<br />
2. Wechseln Sie innerhalb der Konsole der <strong>Active</strong> <strong>Directory</strong>-Rechteverwaltungsdienste zum Knoten<br />
Sicherheitsrichtlinien, und wählen Sie Außerbetriebsetzung.<br />
3. Klicken Sie im Fenster Aktionen auf Außerbetriebsetzung aktivieren.<br />
4. Klicken Sie im Detailfenster auf Außer Betrieb setzen. Wiederholen Sie diese Schritte für sämtliche<br />
Server innerhalb des Clusters.<br />
5. Exportieren Sie das Server-Lizenzgeberzertifikat, und deinstallieren Sie die AD RMS-Serverrolle<br />
vom Server. Hinweis: Dieser Vorgang sollte erst erfolgen, nachdem Sie sichergestellt haben, dass<br />
sämtliche rechtegeschützten Inhalte verschlüsselt wurden.<br />
Anzeigen von Berichten<br />
Die Windows Server 2008 AD RMS bieten Berichte zum Erfassen von Statistikdaten oder Behandeln<br />
von Problemen mit der Clientzertifizierung oder -lizenzierung. Es können unter anderem die folgenden<br />
Berichte angezeigt werden:<br />
• Statistikberichte Diese Berichte enthalten Informationen zu sämtlichen zertifizierten Benutzerkonten,<br />
zertifizierten Domänenbenutzerkonten und zertifizierten Verbundidentitäten.
Zusammenfassung 729<br />
• Systemstatus Dieser Bericht liefert Informationen zur Gesamtanzahl an Anforderungen sowie zu<br />
erfolgreichen und fehlgeschlagenen Anforderungen für Dienstidentifizierungen, Client-Lizenzgeberzertifikate<br />
oder Zertifizierungen innerhalb eines bestimmten Zeitraums. Abbildung 18.22<br />
zeigt ein Beispiel für den Bericht Systemstatus.<br />
• Problembehandlung Dieser Bericht liefert ähnliche Informationen wie der Bericht Systemstatus,<br />
ermöglicht jedoch zudem das Abrufen von Informationen zu einem bestimmten Benutzer und für<br />
einen bestimmten Zeitraum.<br />
Abbildung 18.22<br />
Anzeigen des Berichts Systemstatus<br />
Hinweis Zum Anzeigen der Berichte Systemstatus und Problembehandlung muss Microsoft Report<br />
Viewer Redistributable 2005 heruntergeladen werden. In der Konsole der <strong>Active</strong> <strong>Directory</strong>-Rechteverwaltungsdienste<br />
finden Sie im Detailbereich einen Link zu diesem Download.<br />
Zusammenfassung<br />
In diesem Kapitel wurden die <strong>Active</strong> <strong>Directory</strong>-Rechteverwaltungsdienste (<strong>Active</strong> <strong>Directory</strong> Rights<br />
Management Services, AD RMS) als Lösung vorgestellt, um die digitalen Inhalte innerhalb einer<br />
Organisation zu schützen. Mithilfe von Zertifizierungen und Nutzungszertifikaten können Benutzer<br />
Rechteverwaltungsberechtigungen auf Informationen anwenden, um das Lesen, Kopieren, Drucken<br />
oder Weiterleiten dieser Inhalte durch nicht autorisierte Benutzer zu verhindern. Die AD RMS können<br />
eingesetzt werden, um Inhalte sowohl für Benutzer des Intranets als auch für Benutzer zu schützen,<br />
die über das Internet auf die Daten zugreifen. Ferner lassen sich diese Dienste mit den <strong>Active</strong><br />
<strong>Directory</strong>-Verbunddiensten integrieren.
730 Kapitel 18: <strong>Active</strong> <strong>Directory</strong>-Rechteverwaltungsdienste<br />
In diesem Kapitel wurde darüber hinaus die Implementierung und Verwaltung einer AD RMS-Umgebung<br />
beschrieben. Zu den Verwaltungsaufgaben zählen u.a. das Konfigurieren von Vertrauensrichtlinien,<br />
das Bereitstellen von Vorlagen für Benutzerrechterichtlinien, das Anwenden von Ausschlussrichtlinien<br />
sowie das Bearbeiten von Sicherheitsrichtlinien. Des Weiteren können Berichte mit<br />
Statistikdaten und Informationen zur Problembehandlung angezeigt werden, um die Benutzeranzahl<br />
und den Status der AD RMS-Umgebung zu ermitteln.<br />
Zusätzliche Ressourcen<br />
Die folgenden Ressourcen enthalten zusätzliche Informationen und Tools im Zusammenhang mit<br />
diesem Kapitel.<br />
Verwandte Informationen<br />
• Weitere Informationen zur Verwendung der <strong>Active</strong> <strong>Directory</strong>-Verbunddienste finden Sie in<br />
Kapitel 19, „<strong>Active</strong> <strong>Directory</strong>-Verbunddienste“<br />
• „Microsoft Windows Rights Management Services Client with Service Pack 2-x86“ unter<br />
http://go.microsoft.com/fwlink/?LinkId=76880<br />
• „Microsoft Windows Rights Management Services Client with Service Pack 2-x64“ unter<br />
http://go.microsoft.com/fwlink/?LinkId=76882<br />
• „Microsoft Windows Rights Management Services Client with Service Pack 2-IA64“ unter<br />
http://go.microsoft.com/fwlink/?LinkId=76884<br />
• „XrML“ unter http://www.xrml.org/<br />
• „<strong>Active</strong> <strong>Directory</strong> Rights Management Services SDK“ unter http://msdn2.microsoft.com/en-us/<br />
library/bb968798(VS.85).aspx<br />
• „Rights Management Add-on for Internet Explorer“ unter http://www.microsoft.com/downloads/<br />
details.aspx?FamilyID=B48F920B-5AF0-46B4-994F-2F62582CC86F&displaylang=en<br />
• „Windows Rights Management Services“ unter http://go.microsoft.com/fwlink/?LinkId=14149<br />
• „<strong>Active</strong> <strong>Directory</strong> Rights Management Services Technical Library“ unter http://go.microsoft.com/<br />
fwlink/?LinkId=51479<br />
• „<strong>Active</strong> <strong>Directory</strong> Rights Management Services Events and Errors Troubleshooting“ unter<br />
http://technet2.microsoft.com/windowsserver2008/en/library/8a2b240e-e426-4c37-8ca4-<br />
55a5aaad6fb91033.mspx<br />
• „<strong>Active</strong> <strong>Directory</strong> Rights Management Services Installed Help on the Web“ unter<br />
http://technet2.microsoft.com/windowsserver2008/en/library/c70ba42a-272d-4e99-940fbf7f30277ae41033.mspx<br />
• „Windows Rights Management Services Technical Library“ unter http://go.microsoft.com/fwlink/<br />
?LinkId=68637<br />
• „<strong>Active</strong> <strong>Directory</strong> Rights Management Services Scripting API“ unter http://msdn2.microsoft.com/<br />
en-us/library/bb968797(VS.85).aspx
731<br />
K A P I T E L 1 9<br />
<strong>Active</strong> <strong>Directory</strong>-Verbunddienste<br />
Inhalt dieses Kapitels:<br />
Überblick über die AD FS. . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 732<br />
Implementieren der AD FS. . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 744<br />
Zusammenfassung. . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 775<br />
Empfohlene Vorgehensweisen. . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 775<br />
Zusätzliche Ressourcen. . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 775<br />
Die <strong>Active</strong> <strong>Directory</strong>-Domänendienste (<strong>Active</strong> <strong>Directory</strong> Domain Services, AD DS) bieten einen<br />
leistungsstarken Verzeichnisdienst für den Schutz und die Verwaltung unternehmensinterner Netzwerkressourcen.<br />
Darüber hinaus können Benutzer außerhalb des Unternehmens die AD DS zur<br />
Authentifizierung von Benutzeranforderungen für den Webzugriff, Remoteverbindungen zu Exchange<br />
Server-Systemen und Remotezugriffsverbindungen verwenden. Da sich bei den AD DS jedoch alle<br />
Benutzerkonten an einem zentralen Speicherort befinden, können die <strong>Active</strong> <strong>Directory</strong>-Domänendienste<br />
nur auf Benutzer mit vorhandenen Konten ausgeweitet werden.<br />
Viele Organisationen pflegen Partnerschaften und Arbeitsbeziehungen mit anderen Organisationen,<br />
bei denen Benutzer der einen Organisation auf Informationen oder Anwendungen einer anderen Organisation<br />
zugreifen müssen. Durch die Einrichtung von Gesamtstrukturvertrauensstellungen können<br />
die AD DS so erweitert werden, dass diese Zugriffsanforderungen erfüllt werden. Gesamtstrukturvertrauensstellungen<br />
setzen jedoch voraus, dass die Domänencontroller beider Organisationen miteinander<br />
kommunizieren können. Besteht zwischen den Organisationen lediglich eine öffentliche Internetverbindung,<br />
führt die Einrichtung von Gesamtstrukturvertrauensstellungen zu Sicherheitslücken.<br />
Die <strong>Active</strong> <strong>Directory</strong>-Verbunddienste (<strong>Active</strong> <strong>Directory</strong> Federation Services, AD FS) wurden von<br />
Microsoft speziell für einige dieser Zugriffsszenarien zwischen Organisationen entwickelt. Die erstmalig<br />
mit Windows Server 2003 R2 veröffentlichten <strong>Active</strong> <strong>Directory</strong>-Verbunddienste bieten einen<br />
sicheren Zugriff auf webbasierte Anwendungen innerhalb einer Organisation und zwischen Organisationen,<br />
unabhängig von externen oder Gesamtstrukturvertrauensstellungen zwischen diesen Organisationen.<br />
Mit den AD FS erhalten IT-Abteilungen vollständige Verwaltungsautonomie und können<br />
gleichzeitig die Zusammenarbeit zwischen Organisationen ermöglichen. Beispielsweise kann jede<br />
Organisation in einem B2B-Szenario, das eine AD FS-Konfiguration mit Federated-Web-SSO<br />
umfasst, auf für andere Organisationen transparente Weise eigene Benutzer- und Gruppenkonten verwalten.<br />
Darüber hinaus kann jede Organisation den Zugriff auf selbst bereitgestellte webbasierte<br />
Anwendungen verwalten. Mithilfe der AD FS wird so der Zugriff über Benutzerkonten einer Organisation<br />
auf die Anwendung der anderen Organisation ermöglicht, während die IT-Abteilungen beider<br />
Organisationen weiterhin über die vollständige administrative Steuerung verfügen.<br />
Zudem ermöglichen die AD FS Benutzern eine webbasierte einmalige Anmeldung (Single Sign-On,<br />
SSO) beim Zugriff auf Extranetwebsites oder über Verbundpartnerschaften zugängliche Sites im<br />
Internet.
732 Kapitel 19: <strong>Active</strong> <strong>Directory</strong>-Verbunddienste<br />
So müssen sich Benutzer nur einmal gegenüber dem Verzeichnisdienst ihrer Organisation authentifizieren,<br />
um Zugriff auf verschiedene webbasierte Anwendungen zu erhalten, die im Umkreisnetzwerk<br />
der eigenen Organisation oder einer Partnerorganisation gehostet werden.<br />
Überblick über die AD FS<br />
Für den Zugriff auf webbasierte Anwendungen in unterschiedlichen Organisationen oder in verschiedenen<br />
Netzwerken einer Organisation stellen IT-Abteilungen Identitätsverbundlösungen bereit. Windows<br />
Server 2008 AD FS ist eine solche Identitätsverbundlösung. Identitätsverbundlösungen bieten<br />
eine auf Standards basierende Technologie für die Zusammenarbeit mit anderen Organisationen.<br />
Identitätsverbund<br />
Ein Identitätsverbund bietet Organisationen die Möglichkeit, den Benutzerzugriff auf Ressourcen für<br />
verschiedene Organisationen oder Serverplattformen freizugeben. Ein Ziel der Identitätsverbundlösung<br />
ist, dass Organisationen eigene Verzeichnisse verwalten können, während weiterhin ein sicherer<br />
Austausch von Authentifizierungs- und Autorisierungsinformationen zwischen Organisationen stattfindet.<br />
Die einmalige Anmeldung an verschiedenen webbasierten Anwendungen ist ein weiteres<br />
wichtiges Ziel der Identitätsverbundlösungen.<br />
Bei der Einrichtung einer Identitätsverbundpartnerschaft stimmen beide Partner der Einrichtung einer<br />
Verbundvertrauensstellung zwischen den beiden Organisationen zu. Als Teil der Vertrauensstellung<br />
legen die Partner zudem fest, auf welche Ressourcen die jeweils andere Organisation zugreifen kann<br />
und wie dieser Zugriff auf die Ressourcen ermöglicht wird. Eine Organisation kann zum Beispiel eine<br />
Identitätsverbundlösung implementieren, die einem Vertriebsmitarbeiter den Zugriff auf Informationen<br />
in einer Lieferantendatenbank über eine Webanwendung ermöglicht, die im Netzwerk des Lieferanten<br />
gehostet wird. Der für die Vertriebsorganisation verantwortliche Administrator muss in diesem<br />
Fall sicherstellen, dass die entsprechenden Vertriebsmitarbeiter einer Gruppe angehören, die über<br />
Zugriffsrechte auf die Datenbank des Lieferanten verfügt. Der Administrator der Lieferantenorganisation<br />
wiederum muss gewährleisten, dass die Mitarbeiter der Partnerorganisation ausschließlich auf die<br />
für sie relevanten Daten zugreifen können.<br />
Bei einer Identitätsverbundlösung befinden sich Benutzeridentitäten und zugehörige Anmeldeinformationen<br />
im Besitz der Organisation des Benutzers und werden von dieser gespeichert und verwaltet.<br />
Als Teil der Identitätsverbund-Vertrauensstellung muss jede Organisation eine sichere Art der Freigabe<br />
von Benutzeridentitäten für den Zugriff auf Ressourcen definieren. Jeder Partner muss die<br />
Dienste definieren, die er vertrauenswürdigen Partnern und Kunden zur Verfügung stellt, sowie<br />
andere vertrauenswürdige Organisationen und Benutzer sowie akzeptierte Arten von Anmeldeinformationen<br />
und Anforderungen festlegen. Darüber hinaus muss angegeben werden, wie vertrauliche<br />
Informationen vor anderen vertrauenswürdigen Organisationen und Benutzern mithilfe von Datenschutzrichtlinien<br />
geschützt werden.<br />
Ein Identitätsverbund kann in den folgenden Szenarien implementiert werden:<br />
• Business-to-Business (B2B) Organisationen arbeiten mit vertrauenswürdigen Partnern,<br />
Lieferanten und Auftraggebern zusammen. Diese Partnerschaften können sowohl typische Lieferantenbeziehungen<br />
als auch Outsourcing-Beziehungen für interne Funktionen wie Arbeitgeberleistungen,<br />
Personalverwaltung oder Reisebuchungen beinhalten. Verbundvertrauensstellungen<br />
ermöglichen eine effizientere Zusammenarbeit von Organisationen ohne aufwendige Identitätenverwaltung<br />
in verschiedenen Organisationen.
Überblick über die AD FS 733<br />
In einer derartigen Beziehung entspricht der Verbund einem elektronischen Datenaustausch<br />
(Electronic Data Interchange, EDI), bei dem jedoch standardmäßige Internetprotokolle verwendet<br />
werden. Auf diese Weise lassen sich Vertrauensstellungen einfacher verwalten und kostengünstiger<br />
pflegen. Zusätzlich erhalten Benutzer durch den Identitätsverbund die Möglichkeit, sich mit<br />
unternehmenseigenen Anmeldeinformationen einmalig anzumelden, ohne die Anmeldeinformationen<br />
gegenüber den Geschäftspartnern offenzulegen.<br />
Bei den AD FS ist das hier erwähnte B2B-Szenario mit dem Federated-Web-SSO-Entwurf vergleichbar,<br />
der später in diesem Kapitel beschrieben wird.<br />
• Business-to-Employee (B2E) Eine Organisation muss den Mitarbeitern im Außendienst über das<br />
Internet Ressourcen zur Verfügung stellen, oder Benutzern in der Organisation soll der Zugriff auf<br />
Geschäftsanwendungen in einem Umkreisnetzwerk gewährt werden. Zum Beispiel könnten Organisationen<br />
durch die Integration verschiedener Back-End-Systeme Informationsportale erstellen,<br />
die Benutzern konsolidierte Informationen bieten. Die AD FS ermöglichen einen sicheren Zugriff<br />
auf Anwendungen, wobei lediglich eine einmalige Benutzeranmeldung erforderlich ist.<br />
Bei den AD FS ist das hier erwähnte B2E-Szenario mit dem Federated-Web-SSO-Entwurf mit<br />
Gesamtstrukturvertrauensstellung vergleichbar, der später in diesem Kapitel beschrieben wird.<br />
• Business-to-Consumer (B2C) Eine Organisation möchte einzelnen Benutzern über das Internet<br />
Zugriff auf Ressourcenes gewähren. Es handelt sich nicht um Mitarbeiter der Organisation, und<br />
die Benutzer verfügen möglicherweise nicht über ein Benutzerkonto in der Gesamtstruktur einer<br />
Partnerorganisation. Bei diesem Szenario besteht die Möglichkeit, in der Organisation Benutzerkonten<br />
für die Kunden in den AD DS oder AD LDS (<strong>Active</strong> <strong>Directory</strong> Lightweight <strong>Directory</strong> Services)<br />
zu erstellen. Anschließend kann diesen Benutzern eine einmalige Authentifizierung und der<br />
Zugriff auf mehrere Anwendungen gewährt werden.<br />
Bei den AD FS ist das hier erwähnte B2C-Szenario mit dem Web-SSO-Entwurf vergleichbar, der<br />
später in diesem Kapitel beschrieben wird.<br />
Webdienste<br />
Ein Identitätsverbund basiert auf den Industriestandards für Webdienste. Die Webdienststandards<br />
beinhalten eine Reihe von Spezifikationen für die Erstellung verbundener Anwendungen und Dienste,<br />
deren Funktionalität und Schnittstellen gegenüber potenziellen Benutzern in verschiedenen Organisationen<br />
mit unterschiedlichen Plattformen offengelegt werden. Webdienste basieren auf folgenden<br />
Standards:<br />
• Für die Datenübertragung über HTTP verwenden die meisten Webdienste XML (Extensible<br />
Markup Language). Mithilfe von XML können Entwickler eigene benutzerdefinierte Tags erstellen,<br />
die die Definition, Übertragung, Validierung und Interpretation von Daten zwischen Anwendungen<br />
und zwischen Organisationen ermöglichen.<br />
• Webdienste bieten Webbenutzern über ein Standardwebprotokoll hilfreiche Funktionen. Diese<br />
basieren in den meisten Fällen auf SOAP (Simple Object Access Protocol). SOAP ist das Kommunikationsprotokoll<br />
für XML-Webdienste und eine Spezifikation, die das XML-Format für<br />
Nachrichten festlegt. Im Wesentlichen enthält es eine Beschreibung des Layouts für ein gültiges<br />
XML-Dokument.<br />
• Webdienste stellen Informationen zu ihren Schnittstellen bereit, sodass Benutzer eine Clientanwendung<br />
erstellen können, die eine Kommunikation mit den Webdiensten ermöglicht. Diese<br />
Beschreibung ist in der Regel in einem XML-Dokument enthalten, das als WSDL-Dokument (Web<br />
Services Description Language) bezeichnet wird.
734 Kapitel 19: <strong>Active</strong> <strong>Directory</strong>-Verbunddienste<br />
Anders ausgedrückt: Eine WSDL-Datei ist ein XML-Dokument, das Informationen zu einer Reihe<br />
von SOAP-Nachrichten und zum Austausch dieser Nachrichten enthält.<br />
• Webdienste werden registriert, sodass diese von potenzielle Benutzern problemlos gefunden werden<br />
können. Die Webdienstsuche erfolgt über einen UDDI-Dienst (Universal Description Discovery<br />
And Integration). Ein UDDI-Verzeichniseintrag ist eine XML-Datei, die Details zu einem<br />
Unternehmen und den von diesem bereitgestellten Diensten enthält. Ein Eintrag im UDDI-Verzeichnis<br />
besteht aus drei Teilen. Die „White Pages“ beinhalten Informationen zu den Dienstanbietern:<br />
Name, Adresse, Kontakte usw. In den „Yellow Pages“ werden Unternehmen mithilfe von<br />
Standardklassifizierungen einer bestimmten Branchenkategorie zugeordnet (z.B. nach NAICS<br />
(North American Industry Classification System) und SIC [Standard Industrial Classification]).<br />
Die „Green Pages“ beinhalten detaillierte Informationen zur Webdienstschnittstelle, sodass eine<br />
Anwendung zur Verwendung des Webdienstes geschrieben werden kann.<br />
Das Webdienstemodell beruht auf dem Konzept, dass Unternehmenssysteme in unterschiedlichen<br />
Sprachen und mit unterschiedlichen Programmiermodellen erstellt werden, die auf unterschiedlichen<br />
Gerätetypen ausgeführt werden und für unterschiedliche Gerätetypen zugänglich sind. Mithilfe von<br />
Webdiensten lassen sich verteilte Systeme erstellen, die – unabhängig von ihrer Programmiersprache<br />
und Plattform – einfach und effizient über das Internet eine Verbindung miteinander herstellen und<br />
interagieren können. Sofern Anwendungen für die Kommunkation SOAP und XML verwenden,<br />
ein WSDL-Dokument mit Schnittstelleninformationen für die Anwendung und UDDI-Verzeichnisinformationen<br />
für die Suche nach der Anwendung bereitstellen, ist eine Interoperabilität der Anwendungen<br />
über alle Plattformen hinweg gewährleistet.<br />
Die Webdienstspezifikationen umfassen Protokolle für Sicherheit, eine zuverlässige Nachrichtenübertragung<br />
und die Ausführung von Transaktionen in einer Webdienstumgebung. Die Spezifikationen<br />
bauen auf den Hauptkomponenten der zugrunde liegenden XML- und SOAP-Standards auf. Mit den<br />
<strong>Active</strong> <strong>Directory</strong>-Verbunddiensten werden die folgenden zwei WS-Sicherheitsstandards implementiert:<br />
• WS-Verbund Die WS-Verbundspezifikation definiert ein Modell für eine schnelle gegenseitige<br />
Authentifizierung von Einzelpersonen und Unternehmen in einer Vielzahl an heterogenen IT-<br />
Infrastrukturen. Die Spezifikation definiert Mechanismen, die einen Verbund verschiedener<br />
Sicherheitsbereiche ermöglichen, indem vertrauenswürdige Identitäten, Attribute und Authentifizierungen<br />
zwischen beteiligten Webdiensten zugelassen und verarbeitet werden. Die Implementierung<br />
der WS-Verbundspezifikation erfolgt mithilfe der AD FS, indem die Erstellung von<br />
Vertrauensrichtlinien zwischen Organisationen ermöglicht wird. In den Vertrauensrichtlinien ist<br />
definiert, wie eine Organisation Benutzern einer anderen Organisation den Zugriff auf Ressourcen<br />
gewährt. Darüber hinaus können Organisationen mit den AD FS Ansprüche erstellen, die<br />
Benutzerkonteneigenschaften festlegen. Diese enthalten Informationen für die Authentifizierung<br />
und Autorisierung zwischen Organisationen.<br />
• Webdienst-Verbund-PRP Das Webdienst-Verbund-PRP (Passive Requestor Profile) ist eine Implementierung<br />
der WS-Verbundspezifikation, die ein Standardprotokoll für die Übermittlung von<br />
Authentifizierungsinformationen zwischen vertrauenswürdigen Partnern durch passive Anfordernde<br />
(wie Webbrowser) und für den Zugriff auf Ressourcen von Partnerorganisationen vorschlägt.<br />
Innerhalb dieses Protokolls wird vorausgesetzt, dass Webdienstanfordernde die neuen<br />
Sicherheitsmechanismen verstehen und mit Webdienstanbietern interagieren können. AD FS<br />
implementiert PRP (Passive Requestor Profile). In einer AD FS-Bereitstellung wird vorausgesetzt,<br />
dass zwischen Webbrowsern und verschiedenen Komponenten der AD FS-Infrastruktur eine<br />
Verbindung über HTTPS hergestellt werden kann.
Überblick über die AD FS 735<br />
Nach dem Verbindungsaufbau erfolgt die Authentifizierung des Benutzers in seiner Organisation<br />
durch den Webbrowser, über den die für die Authentifizierung erforderlichen Anmeldeinformationen<br />
an Webdienstanwendungen in der Partnerorganisation weitergeleitet werden.<br />
Weitere Informationen Weitere Informationen zu Webdienstspezifikationen finden Sie im englischsprachigen<br />
Artikel zu diesem Thema unter http://msdn2.microsoft.com/en-us/webservices/aa740689.aspx. Ein<br />
Vorteil bei der Verwendung offener Standards, z.B. Webdiensten, ist die Interoperabilität der AD FS mit<br />
anderen, auf denselben Standards basierenden Anwendungen. Beispiele zur Implementierung der AD FS in<br />
andere Identitätsverbundlösungen finden Sie auf der Website zu den <strong>Active</strong> <strong>Directory</strong>-Verbunddiensten unter<br />
http://technet2.microsoft.com/windowsserver2008/de/servermanager/activedirectoryfederationservices.mspx.<br />
AD FS-Komponenten<br />
Für die Implementierung der AD FS ist zunächst das Bereitstellen mehrerer Komponenten auf Computern<br />
erforderlich, auf denen Windows Server 2008 oder Windows Server 2003 R2 ausgeführt wird.<br />
Abhängig vom Bereitstellungsszenario werden nur einige oder alle dieser Komponenten benötigt. In<br />
Abbildung 19.1 sind verschiedene der AD FS-Komponenten dargestellt.<br />
Adatum<br />
Kontopartner<br />
Woodgrove Bank<br />
Ressourcenpartner<br />
Client<br />
Verbundvertrauensstellung<br />
INTERNET<br />
Verbundserverproxy<br />
Verbundserver<br />
Firewall<br />
Verbundserverproxy<br />
Firewall Firewall Firewall Verbundserver<br />
Client<br />
AD FS-Web-Agent<br />
Abbildung 19.1 Die AD FS umfassen verschiedene Komponenten, die auf mehrere Server in unterschiedlichen<br />
Organisationen verteilt sein können<br />
Verbundvertrauensstellungen<br />
Eine Verbundvertrauensstellung ist die AD FS-Lösung einer Vereinbarung auf Geschäftsebene oder<br />
einer Partnerschaft zwischen zwei Organisationen bzw. zwischen zwei Sicherheitsbereichen einer<br />
Organisation. Bei Verwendung der AD FS wird eine Verbundvertrauensstellung zwischen zwei Organisationen<br />
erstellt, sodass Benutzer einer Organisation auf Ressourcen einer anderen Organisation<br />
oder Benutzer auf Ressourcen aller anderen Organisation bzw. über technische Grenzen hinweg<br />
zugreifen können. Die Verbundvertrauensstellung ermöglicht eine erfolgreiche Verarbeitung von<br />
Authentifizierungsanforderungen an den Webserver in der Ressourcenpartnerorganisation durch die<br />
Verbundvertrauensstellung von Benutzern in der Kontopartnerorganisation.<br />
Hinweis Eine Verbundvertrauensstellung wird zwischen zwei Verbundservern eingerichtet, auf denen der<br />
Verbunddienst ausgeführt wird. Diese Vertrauensstellungen sind unabhängig von den Vertrauensstellungen<br />
zwischen Windows NT- oder AD DS-Domänen (<strong>Active</strong> <strong>Directory</strong>-Domänendienste).
736 Kapitel 19: <strong>Active</strong> <strong>Directory</strong>-Verbunddienste<br />
Kontopartner<br />
Ein Kontopartner ist der Organisationspartner in der Vertrauensstellung, der die in der Beziehung verwendeten<br />
Benutzerkonten hostet und verwaltet. Konten werden in den AD DS, im <strong>Active</strong> <strong>Directory</strong>-<br />
Anwendungsmodus (<strong>Active</strong> <strong>Directory</strong> Application Mode, ADAM) oder den AD LDS gespeichert.<br />
Der Verbundserver des Kontopartners gibt Sicherheitstoken aus, die Assertionen für Benutzer vornehmen.<br />
Zum Beispiel kann ein Token anzeigen, dass der Benutzer ein Abteilungsleiter ist. Diese Token<br />
können dann in einer Verbundvertrauensstellung verwendet werden, um auf Ressourcen zuzugreifen,<br />
die sich innerhalb der Organisation des Ressourcenpartners befinden.<br />
Ressourcenpartner<br />
Ein Ressourcenpartner ist der zweite Organisationspartner in einer Verbundvertrauensstellung. Beim<br />
Ressourcenpartner befinden sich die Webserver, auf denen mindestens eine webbasierte Anwendung<br />
ausgeführt wird. Der Ressourcenpartner vertraut dem Kontopartner bei der Benutzerauthentifizierung<br />
und der Ausstellung von Sicherheitstoken. Folglich basieren die Autorisierungsentscheidungen der<br />
Ressourcenpartnerserver auf den Sicherheitstoken, die durch den Kontopartner ausgestellt werden.<br />
Hinweis Abbildung 19.1 zeigt einen Federated-Web-SSO-Entwurf, in dem die Kontopartner- und Ressourcenpartnerrollen<br />
eindeutig festgelegt sind. Bei einem Federated-Web-SSO- bzw. Web-SSO-Entwurf kann<br />
eine Organisation sowohl Kontopartner als auch Ressourcenpartner sein.<br />
Verbunddienst<br />
Der Verbunddienst ist einer der Rollendienste, die bei der Installation der AD FS-Serverrolle auf<br />
einem Windows Server 2008-Computer verfügbar sind. Der Verbunddienst ist die AD FS-Komponente,<br />
die als Sicherheitstokendienst fungiert. Für AD FS-Implementierungen wird mindestens ein<br />
installierter Verbunddienst vorausgesetzt. Bei einem Federated-Web-SSO-Entwurf wird sowohl für<br />
die Kontopartner- als auch für die Ressourcenpartnerorganisation ein Verbundserver benötigt.<br />
Wenn der Verbunddienst als Kontopartner festgelegt ist, können Benutzer auf Ressourcen der Partnerorganisationen<br />
zugreifen. Der Verbunddienst bietet die folgenden Funktionen:<br />
1. Sammeln von Benutzeranmeldeinformationen und deren Überprüfung in den AD DS oder AD<br />
LDS. Die Authentifizierungsanforderungen eines Benutzers werden an den Verbundserver gesendet,<br />
um so die Authentifizierung des Benutzerkontos gegenüber dem Verzeichnisdienst sicherzustellen.<br />
2. Auffüllen eines Satzes an Organisationsansprüchen basierend auf den LDAP-Attributen des<br />
Kontos in einem Verzeichnisdienst. Ein AD FS-Anspruch ist ein Aussage über einen Benutzer, die<br />
von beiden Partnern in einem AD FS-Verbundszenario verstanden wird. Wenn die Verbundvertrauensstellung<br />
beispielsweise die Gruppenmitgliedschaft des Benutzers nutzt, um den Zugriff auf<br />
Anwendungen zu ermöglichen, fügt der Verbundserver das Gruppenmitgliedschaftsattribut zum<br />
Sicherheitstoken hinzu.<br />
3. Zuordnen von Organisationsansprüchen zu einem vereinbarten Satz an ausgehenden Verbundansprüchen<br />
für den Ressourcenpartner. Bei der Konfiguration der Verbundvertrauensstellung vereinbaren<br />
Organisationen, wie Attribute in der Kontoorganisation den Informationen zugeordnet<br />
werden, die zur Entscheidungsfindung bezüglich des Ressourcenzugriffs in der Ressourcenorganisation<br />
verwendet werden können. Beispielsweise können Mitgliedern einer Gruppe von Abteilungsleitern<br />
im Kontopartner mehr Zugriffsberechtigungen für Anwendungen zugeteilt werden als<br />
Mitgliedern anderer Gruppen. Diese Informationen werden dem Sicherheitstoken durch den Verbundserver<br />
hinzugefügt.
Überblick über die AD FS 737<br />
4. Zusammenfassen der Ansprüche in einem digital signierten Sicherheitstoken. Das Sicherheitstoken<br />
wird dem Webclient zur Verfügung gestellt, der den Zugriff auf die Anwendung in der<br />
Ressourcenorganisation anfordert.<br />
Wird ein Verbunddienst als Ressourcenpartner konfiguriert, ermöglicht dieser den Zugriff auf die<br />
Webanwendung. Der Verbunddienst des Ressourcenpartners führt die folgenden Aufgaben aus:<br />
1. Überprüfen von Sicherheitstoken. Wenn der Benutzer ein Sicherheitstoken vom Verbundserver<br />
des Kontopartners bereitstellt, wird durch eine Überprüfung der Anspruchsinformationen des<br />
Benutzers durch den Ressourcenverbunddienst sichergestellt, dass diese von einem vertrauenswürdigen<br />
Kontopartner stammen.<br />
2. Zuordnen eingehender Ansprüche in entsprechende Ansprüche der Ressourcenorganisation. Ein<br />
eingehender Anspruch kann zum Beispiel darauf hinweisen, dass der Benutzer zur Gruppe der leitenden<br />
Vertriebsangestellten gehört. In diesem Fall ordnet der Ressourcenverbunddienst diese<br />
Information einem Anspruch zu, der die Webanwendung veranlasst, den für leitende Vertriebsangestellte<br />
erforderlichen Zugriff zu gewähren.<br />
3. Zusammenfassen der Organisationsansprüche in einem neuen, digital signierten Sicherheitstoken,<br />
das an den Webclient zurückgegeben wird. Diese Token werden anschließend vom Webclient an die<br />
Webanwendung übertragen.<br />
Verbundansprüche<br />
Verbundansprüche werden durch den Verbunddienst erstellt. Hierbei handelt es sich um Assertionen<br />
für einen Benutzer, die auf Informationen aus einem LDAP-Verzeichnisspeicher basieren. Die Ansprüche<br />
werden in Attributen eines bestimmten Benutzers gespeichert und können Informationen zu Gruppen,<br />
in denen der Benutzer Mitglied ist, oder andere attributbezogene Informationen enthalten, z.B.<br />
den Benutzertitel. Diese Ansprüche werden vom Ressourcenverbunddienst zum Treffen von Autorisierungsentscheidungen<br />
verwendet.<br />
Verbunddienstproxy<br />
Ein Verbunddienstproxy ist ein weiterer Rollendienst, der separat auf einem Windows Server 2008-<br />
Computer installiert werden kann. Der Server, der den Verbunddienstproxy-Dienst hostet, wird auch<br />
als Verbundserverproxy bezeichnet. In der Regel wird der Verbundserverproxy in einem Umkreisnetzwerk<br />
bereitgestellt, um so einen Verbundserver des Kontopartners, des Ressourcenpartners oder beide<br />
zu schützen. Durch die Implementierung eines Verbundserverproxys kann die Offenlegung der Verbundserver<br />
im Internet vermieden werden.<br />
Die Kommunikation zwischen Verbundserverproxy und einem geschützten Verbunddienst erfolgt im<br />
Namen des Clients. Wenn ein Kontopartner durch den Verbundserverproxy geschützt wird, sammelt<br />
dieser zunächst Anmeldeinformationen von Benutzern des Browserclients und leitet dann die Anforderung<br />
an den Verbunddienst weiter. Wird ein Ressourcenpartner durch den Verbundserverproxy<br />
geschützt, leitet dieser Anforderungen von und für webbasierte Anwendungen an den Verbunddienst<br />
weiter.<br />
AD FS-Web-Agents<br />
AD FS-fähige Webserver verbrauchen Sicherheitstoken und lassen den Benutzerzugriff auf eine<br />
Webanwendung entweder zu oder verweigern diesen. Zu diesem Zweck benötigt der AD FS-fähige<br />
Webserver eine Beziehung mit einem Ressourcenverbunddienst, damit er den Benutzer bei Bedarf an<br />
den Verbunddienst weiterleiten kann. Der AD FS-Web-Agent ermöglicht dabei die Verbindung zwischen<br />
der Anwendung und dem Verbunddienst.
738 Kapitel 19: <strong>Active</strong> <strong>Directory</strong>-Verbunddienste<br />
Der AD FS-Web-Agent wird als ISAPI-Erweiterung mit IIS 7.0 (Internet Information Services, Internetinformationsdienste)<br />
implementiert. Der AD FS-Web-Agent unterstützt zwei unterschiedliche<br />
Anwendungstypen:<br />
• Ansprüche unterstützende Anwendungen Anwendungen, die speziell für das Abfragen von<br />
Ansprüchen geschrieben oder geändert wurden, werden als Ansprüche unterstützende Anwendungen<br />
bezeichnet. Bei Ansprüchen unterstützenden Anwendungen kann der AD FS-Web-Agent<br />
Ansprüche einer Anwendung direkt zur Verfügung stellen, die für deren Verwendung programmiert<br />
ist (typischerweise Autorisierungsinformationen zu einem Benutzer, der einen bestimmten<br />
Anspruch stellt).<br />
• Windows-Token-basierte Anwendungen Ältere Anwendung, auch Legacyanwendungen genannt,<br />
sind nicht für die Verarbeitung von Ansprüchen programmiert. Autorisierungsentscheidungen dieser<br />
Anwendungen basieren auf Sicherheitskennungen (Security Identifiers, SIDs) des Sicherheitsprinzipals<br />
und Zugriffssteuerungslisten (Access Control List, ACL). In solchen Fällen kann die<br />
Anwendung so konfiguriert werden, dass ein Windows NT-Sicherheitstoken für den Benutzer<br />
erstellt wird, der eine Anforderung sendet, die mit einem Benutzer des Ressourcenpartner-Verzeichnisdiensts<br />
übereinstimmt. Um den Zugriff auf die Anwendung einzuschränken, müssen<br />
anschließend die Zugriffssteuerungslisten der Ressource konfiguriert werden, auf die zur Verwendung<br />
des Windows NT-Sicherheitstokens zugegriffen wird.<br />
Server, auf denen einer der AD FS-Web-Agents installiert ist, werden auch als AD FS-fähige Webserver<br />
bezeichnet.<br />
AD FS-Bereitstellungsentwürfe<br />
<strong>Active</strong> <strong>Directory</strong>-Verbunddienste lassen sich in vielen unterschiedlichen Situationen bereitstellen und<br />
können verwendet werden, um den Zugriff auf eine Vielzahl unterschiedlicher Anwendungen an verschiedenen<br />
Speicherorten und auf verschiedenen Serverplattformen zu ermöglichen. Die verschiedenen<br />
AD FS-Bereitstellungen können jedoch grundsätzlich in die folgenden Szenarien unterteilt<br />
werden:<br />
• Business-to-Business (B2B)<br />
• Business-to-Employee (B2E)<br />
• Business-to-Consumer (B2C)<br />
Diese Geschäftsszenarien werden bei der Installation oder Konfiguration der AD FS-Komponenten<br />
nicht als Konfigurationsoptionen angezeigt. Tatsächlich bieten die AD FS mehr als eine Option für<br />
die Implementierung der Geschäftsszenarien. Es gibt drei AD FS-Bereitstellungsentwürfe:<br />
• Web-SSO-Entwurf In einem Web-SSO-Szenario wird mindestens eine webbasierte Anwendung<br />
von einer Organisation bereitgestellt, auf die Benutzer innerhalb und außerhalb der Organisation<br />
zugreifen müssen. Die Implementierung der AD FS ermöglicht den Benutzerzugriff auf diese<br />
Anwendungen nach einmaliger Authentifizierung. Die Web-SSO-Bereitstellungsoption eignet<br />
sich sowohl für B2E- als auch für B2C-Szenarien.<br />
• Federated-Web-SSO-Entwurf Bei einer Federated-Web-SSO-Lösung gewähren zwei Organisationen<br />
oder zwei Sicherheitsbereiche innerhalb einer Organisation den Benutzern einer anderen<br />
Organisation Zugriff auf Anwendungen in der Organisation. Die Bereitstellungsoption Federated-<br />
Web-SSO eignet sich für B2B-Szenarien.
Überblick über die AD FS 739<br />
• Federated-Web-SSO-Entwurf mit Gesamtstrukturvertrauensstellung Bei einer Federated-Web-SSO-<br />
Lösung werden in einer Organisation zur Benutzerkontenverwaltung mehrere Gesamtstrukturen und<br />
zur Bereitstellung der SSO-Funktion die AD FS verwendet. Diese Bereitstellungsoption wird hauptsächlich<br />
für B2E-Szenarien verwendet.<br />
Beim Hinzufügen eines Konto- und Ressourcenpartners zu einem Verbunddienst können Sie wählen,<br />
ob die Bereitstellungsoption Federated-Web-SSO oder Federated-Web-SSO mit Gesamtstruktur-Vertrauensstellung<br />
implementiert werden soll. Die Web-SSO-Option ist in einer AD FS-Bereitstellung<br />
impliziert.<br />
Web-SSO-Entwurf<br />
Beim Web-SSO-Entwurf müssen sich Benutzer für den Zugriff auf mehrere AD FS-geschützte<br />
Anwendungen nur einmal authentifizieren. Zu den Benutzern können in diesem Entwurf externe Mitarbeiter<br />
bzw. Kunden oder interne Mitarbeiter gehören. Da es beim Web-SSO-Entwurf keine Partner<br />
gibt, besteht auch keine Verbundvertrauensstellung. Normalerweise wird dieser Entwurf verwendet,<br />
um einem Mitarbeiter oder Kunden den Zugriff auf AD FS-geschützte Anwendungen über das Internet<br />
zu gewähren. Zudem kann eine Organisation, die typischerweise eine AD FS-geschützte Anwendung<br />
in einem Umkreisnetzwerk ausführt, einen separaten Speicher für Kundenkonten im Umkreisnetzwerk<br />
einrichten, durch den die Isolierung von Kundenkonten und Mitarbeiterkonten vereinfacht<br />
wird. Zur Verwaltung der lokalen Kundenkonten im Umkreisnetzwerk können entweder die AD DS<br />
oder AD LDS als Kontospeicher verwendet werden.<br />
Beim Einrichten des Web-SSO-Entwurfs muss mindestens ein Verbundserver und ein Webserver zur<br />
Ausführung des AD FS-Web-Agents installiert werden. Da für die Rolle des Kontopartners kein zweiter<br />
Verbundserver vorhanden ist, wird in den AD FS auch kein Kontopartner hinzugefügt. Stattdessen<br />
wird dem einzigen Verbundserver ein lokaler Kontospeicher hinzugefügt, sodass dieser eine Anwendung<br />
nicht nur schützt, sondern zudem für den Zugriff auf diese Anwendung Benutzerauthentifizierungen<br />
anfordert und Sicherheitstoken ausstellt.<br />
Als Kontospeicher kann das interne oder das externe Verzeichnis ausgewählt werden. Bei einer B2E-<br />
Bereitstellung wird häufig ein interner Verzeichnisdienst (z.B. ein AD DS) verwendet. Wenn Sie<br />
einen Web-SSO-Entwurf implementieren, werden Sie in der Regel die AD LDS als Kontospeicher<br />
verwenden und den AD LDS-Server im Umkreisnetzwerk platzieren. Selbst die Bereitstellung beider<br />
Optionen auf einem Verbundserver ist möglich. Befinden sich Mitarbeiterkonten in den AD DS und<br />
externe Konten in den AD LDS, besteht bei der AD FS-Konfiguration die Möglichkeit, zwei Kontospeicher<br />
hinzuzufügen. Diese werden dann in der festgelegten Reihenfolge nach dem Benutzerkonto<br />
durchsucht.<br />
Abbildung 19.2 zeigt den Datenfluss in einem Web-SSO-Entwurf. In diesem Beispiel dienen die von<br />
der Organisation bereitgestellten AD LDS als Kontospeicher. Die Lösung verwendet eine Kombination<br />
aus einem Verbundserver und einem AD LDS-Server, die im Unternehmensnetzwerk gehostet<br />
werden, sowie einem Verbundserverproxy und einem Webserver im Umkreisnetzwerk.<br />
Der Ressourcenzugriff in dieser Bereitstellung kann anhand der folgenden Schritte beschrieben<br />
werden:<br />
1. Ein Kunde der Woodgrove Bank sendet über einen Webbrowser eine HTTPS-Anforderung für den<br />
Zugriff auf eine Anwendung, die auf dem Webserver im Umkreisnetzwerk der Woodgrove Bank<br />
ausgeführt wird.
740 Kapitel 19: <strong>Active</strong> <strong>Directory</strong>-Verbunddienste<br />
2. Der AD FS-Web-Agent fängt die Anforderung ab und prüft, ob der Client über ein AD FS-<br />
Authentifizierungscookie verfügt, das den Zugriff auf die Anwendung ermöglicht. Da der Client<br />
nicht über dieses Cookie verfügt, wird die Clientanforderung abgelehnt und der Client wird an<br />
den Verbundserverproxy umgeleitet.<br />
3. Der Client sendet eine HTTPS-Anforderung an den Verbundserverproxy. Daraufhin wird der<br />
Client an die Authentifizierungsseite des Verbundserverproxys umgeleitet und zur Eingabe der<br />
Anmeldeinformationen aufgefordert.<br />
4. Der Verbundserverproxy akzeptiert die Anmeldeinformationen und die Anforderung wird an den<br />
Ressourcenverbunddienst übergeben.<br />
5. Der Verbundserver der Ressourcenorganisation wechselt direkt zu einem lokalen Kontospeicher<br />
(AD LDS), um die Authentifizierung des Benutzers anzufordern.<br />
6. Der Benutzer wird, wenn möglich, durch die AD LDS authentifiziert. Durch den Verbundserver<br />
der Ressourcenorganisation werden von den AD LDS Attribute über LDAP abgerufen sowie die<br />
Sicherheitstoken und die AD FS-Authentifizierungstoken für die AD FS-fähige Webserveranwendung<br />
ausgestellt.<br />
7. Die Authentifizierungsinformationen und andere Informationen werden in einem Anspruch<br />
zusammengefasst, der zusammen mit einer Umleitungsmeldung über den Proxy an den Client<br />
zurückgegeben wird. Diese Meldung weist den Client an, das Sicherheitstoken an die ursprüngliche<br />
URL zu übergeben.<br />
8. Der AD FS-Web-Agent empfängt die Anforderung, überprüft die signierten Token und stellt (bei<br />
erfolgreicher Prüfung) ein weiteres AD FS-Authentifizierungscookie aus. Anschließend leitet er<br />
die Anforderung zur Verarbeitung durch den Webdienst weiter, der basierend auf den Ansprüchen<br />
den Zugriff auf die Anwendung gewährt.<br />
Verbundserverproxy<br />
Woodgrove Bank<br />
7<br />
7<br />
6<br />
Client<br />
INTERNET<br />
3<br />
4<br />
Ressourcenverbundserver<br />
5<br />
2<br />
AD LDS-Server<br />
8<br />
1<br />
Abbildung 19.2<br />
Webserver<br />
Kundenzugriff auf Webanwendungen über die Web-SSO-Entwurfsoption<br />
Federated-Web-SSO-Entwurf<br />
Durch die Verwendung des Federated-Web-SSO-Entwurfs in den <strong>Active</strong> <strong>Directory</strong>-Verbunddiensten<br />
(AD FS) wird eine sichere Kommunikation zwischen Organisationen ermöglicht. Dieser Entwurf wird
Überblick über die AD FS 741<br />
normalerweise für Verbundvertrauensstellungen zwischen zwei Organisationen gewählt, um Benutzern<br />
in der einen Organisation (der Kontopartnerorganisation) den Zugriff auf durch AD FS geschützte<br />
Webanwendungen in der anderen Organisation (der Ressourcenpartnerorganisation) zu gewähren.<br />
Bei einem typischen Federated-Web-SSO-Entwurf stellt eine Organisation eine Anwendung bereit,<br />
auf die Benutzer in der anderen Organisation zugreifen müssen. In einer Verbundvertrauensstellung<br />
wird diese Organisation als Ressourcenpartner bezeichnet. Der Ressourcenpartner ist für den Schutz<br />
der Anwendung verantwortlich. Hierzu muss die Organisation sicherstellen, dass nur autorisierte<br />
Benutzer auf die Anwendung zugreifen können. Zudem hat die Ressourcenorganisation die Möglichkeit,<br />
verschiedene Zugriffsebenen zu konfigurieren, sodass bestimmte Benutzer auf mehr Anwendungskomponenten<br />
und Aktionen Zugriff haben als andere Benutzer. Der Ressourcenpartner in<br />
Abbildung 19.3 ist die Woodgrove Bank.<br />
Die Benutzerkonten, für die der Zugriff auf die Anwendung in der Ressourcenpartnerorganisation<br />
erforderlich ist, werden beim Federated-Web-SSO-Entwurf von der anderen Organisation gehostet.<br />
Diese wird auch als Kontopartner bezeichnet. Der Kontopartner möchte die vollständige Steuerung<br />
der Benutzer- und Gruppenkonten in seiner Organisation behalten sowie die für andere Organisationen<br />
verfügbaren Informationen zu Benutzern einschränken. In Abbildung 19.3 ist die Organisation<br />
Adatum der Kontopartner.<br />
Bei der Implementierung eines Federated-Web-SSO-Entwurfs müssen beide Organisationen mindestens<br />
einen Verbundserver und die Ressourcenorganisation zusätzlich einen Webserver konfigurieren,<br />
auf dem die Anwendung und der AD FS-Web-Agent ausgeführt wird. Darüber hinaus können beide<br />
Organisationen einen Verbundserverproxy implementieren.<br />
Hinweis Abbildung 19.3 zeigt die im Federated-Web-SSO-Entwurf enthaltenen AD FS-Komponenten. Zur<br />
Vereinfachung der Grafik werden keine Verbunddienstproxys dargestellt. Stellt die Organisation keinen Verbundserverproxy<br />
bereit, wird für die Kommunikation zwischen Client und Verbundserver der Verbundserverproxy<br />
verwendet.<br />
Adatum<br />
Kontopartner<br />
Verbundvertrauensstellung<br />
Woodgrove Bank<br />
Ressourcenpartner<br />
7<br />
AD DS-<br />
Domänencontroller<br />
4<br />
10<br />
Ressourcenverbundserver<br />
6<br />
3<br />
9<br />
Kontoverbundserver<br />
INTERNET<br />
5<br />
2<br />
Webserver<br />
Abbildung 19.3<br />
Entwurf<br />
8<br />
1 11<br />
Client<br />
Gegenseitiger Zugriff auf Webanwendungen von Organisationen durch den Federated-Web-SSO-
742 Kapitel 19: <strong>Active</strong> <strong>Directory</strong>-Verbunddienste<br />
Der Datenfluss beim Federated-Web-SSO-Entwurf wird in den folgenden Schritten beschrieben:<br />
1. Ein Benutzer der Organisation Adatum sendet über einen Webbrowser eine HTTPS-Anforderung<br />
für den Zugriff auf eine Anwendung, die auf dem Webserver der Woodgrove Bank ausgeführt<br />
wird.<br />
2. Der auf dem Webserver installierte AD FS-Web-Agent fängt die Anforderung ab und prüft, ob der<br />
Client ein Cookie zur Legitimierung der Anforderung bereitgestellt hat. Erst wenn der Benutzer<br />
bereits authentifiziert wurde, verfügt der Client über dieses Cookie. In diesem Fall verwendet der<br />
AD FS-Web-Agent eine HTTP 302-Umleitungsmeldung, um den Client an den Ressourcenverbundserver<br />
bei der Woodgrove Bank umzuleiten. Da der AD FS-Web-Agent nicht über die<br />
Vertrauensstellung informiert ist, muss dieser die Clientanforderung an den Verbundserver weiterleiten.<br />
3. Der Client sendet eine HTTPS-Anforderung an den Ressourcenverbundserver. Der Ressourcenverbunddienst<br />
muss nun den Speicherort des Kontos ermitteln. Dieser Vorgang wird alsBasisbereichsermittlung<br />
bezeichnet. Basierend auf der Konfiguration der Verbundvertrauensstellung,<br />
die Informationen wie den UPN oder die E-Mail-Adresse umfasst, ermittelt der Ressourcenverbundserver<br />
Adatum als Basisbereich.<br />
4. Der Client wird erneut umgeleitet, diesmal jedoch zum Kontoverbundserver in der Organisation<br />
Adatum.<br />
5. Der Client sendet eine HTTPS-Anforderung an den Kontoverbunddienst.<br />
6. Die Benutzerauthentifizierung erfolgt über die integrierte Windows-Authentifizierung oder durch<br />
Angabe der Anmeldeinformationen bei Aufforderung durch den Verbundserver.<br />
7. Die AD DS authentifizieren den Benutzer und senden die Erfolgsmeldung zusammen mit den im<br />
Verzeichnis gespeicherten Benutzerinformationen (Attribute, Gruppenmitgliedschaften usw.), die<br />
zum Erstellen von Benutzeransprüchen verwendet werden, zurück an den Verbundserver.<br />
8. Die Anspruchsdaten werden in einem digital signierten Sicherheitstoken zusammengefasst, dem<br />
Client als Authentifizierungscookie übergeben und anschließend erneut zurück an den Ressourcenverbunddienst<br />
gesendet.<br />
9. Der Client sendet das Sicherheitstoken an den Ressourcenverbunddienst, der prüft, ob das Sicherheitstoken<br />
von einem vertrauenswürdigen Partner stammt. Ist dies der Fall, stellt der Verbundserver<br />
ein Basisbereichscookie aus, sodass künftige Anforderungen die Basisbereichsermittlung bis<br />
zum Ablauf der Gültigkeit des Cookies nicht erneut durchlaufen müssen.<br />
10. War der vorherige Schritt erfolgreich, erstellt und signiert der Verbundserver eine neues, eigenes<br />
Token. Dieses wird als Ressourcenpartnercookie zusammen mit einer abschließenden Umleitung<br />
zur ursprünglich angeforderten Quell-URL an den Client gesendet.<br />
11. Der Web-Agent empfängt die Anforderung, überprüft die signierten Token und stellt (bei erfolgreicher<br />
Überprüfung) ein weiteres Cookie aus. Anschließend leitet er die Anforderung zur Verarbeitung<br />
durch den Webdienst weiter.<br />
Federated-Web-SSO-Entwurf mit Gesamtstrukturvertrauensstellung<br />
Der Federated-Web-SSO-Entwurf mit Gesamtstrukturvertrauensstellung kombiniert zwei <strong>Active</strong><br />
<strong>Directory</strong>-Gesamtstrukturen in einer Organisation. Dieser Entwurf wird in der Regel verwendet, um<br />
Mitarbeitern im Unternehmensnetzwerk und Remotemitarbeitern einen Verbundzugriff auf AD FSgeschützte<br />
Anwendungen im Umkreisnetzwerk zu gewähren. Hierzu werden für jeden Mitarbeiter die<br />
standardmäßigen Unternehmensdomänen-Anmeldeinformationen verwendet.
Überblick über die AD FS 743<br />
In einem Federated-Web-SSO-Entwurf mit Gesamtstrukturvertrauensstellung stellt die Organisation<br />
zwei AD DS-Gesamtstrukturen bereit – eine im internen Netzwerk und eine im Umkreisnetzwerk.<br />
Zwischen der Gesamtstruktur des Umkreisnetzwerks und der Unternehmensgesamtstruktur wird eine<br />
einseitige Gesamtstrukturvertrauensstellung konfiguriert. So können Mitarbeiterbenutzerkonten in der<br />
internen Gesamtstruktur für den Zugriff auf die Anwendung verwendet werden, die auf einem Server<br />
in der Gesamtstruktur des Umkreisnetzwerks installiert ist. Dieses Szenario wird in Zusammenhang<br />
mit Windows NT-Token-basierten Anwendungen am häufigsten eingesetzt. Eine Windows NT-Tokenbasierte<br />
Anwendung setzt voraus, dass ein Sicherheitsprinzipal vorhanden ist, dem das AD FS-Token<br />
zugeordnet werden kann. Das Konto des Sicherheitsprinzipals kann bei Bereitstellung von zwei<br />
Gesamtstrukturen in der internen Gesamtstruktur konfiguriert werden.<br />
Hinweis Wenn zwischen der internen Gesamstruktur und der Gesamtstruktur des Umkreisnetzwerks<br />
keine Vertrauensstellung besteht und es sich bei der Anwendung im Umkreisnetzwerk um eine Windows NT-<br />
Token-basierte Anwendung handelt, können in der Gesamtstruktur des Umkreisnetzwerks Schattenkonten<br />
oder -gruppen erstellt werden. Diese Konten können Benutzer anschließend für den Zugriff auf die Anwendung<br />
nutzen.<br />
Der Zugriff auf AD FS-geschützte Ressourcen wird durch den Federated-Web-SSO-Entwurf mit<br />
Gesamtstrukturvertrauensstellung sowohl für interne als auch externe Mitarbeiter ermöglicht.<br />
Abbildung 19.4 zeigt den Datenfluss in einem Szenario, bei dem sich Benutzer außerhalb des Unternehmens<br />
befinden.<br />
Woodgrove Bank<br />
8<br />
8<br />
5<br />
4 10<br />
3 9<br />
5<br />
Konto-<br />
Verbundserverproxy<br />
Verbundvertrauensstellung<br />
Client<br />
INTERNET<br />
Ressourcenverbundserver<br />
Kontoverbundserver<br />
6 7<br />
1<br />
2<br />
Unidirektionale<br />
Verbundvertrauensstellung<br />
AD DS-<br />
Domänencontroller<br />
AD DS-<br />
Domänencontroller<br />
11<br />
Webserver<br />
Abbildung 19.4 Zugriff auf Webanwendungen in einer Gesamtstruktur des Umkreisnetzwerks durch den Federated-<br />
Web-SSO-Entwurf mit Gesamtstrukturvertrauensstellung
744 Kapitel 19: <strong>Active</strong> <strong>Directory</strong>-Verbunddienste<br />
Die folgenden Schritte beschreiben die Vorgänge:<br />
1. Ein Mitarbeiter der Woodgrove Bank befindet sich außerhalb des Büros. Er sendet über einen<br />
Webbrowser eine HTTPS-Anforderung für den Zugriff auf eine Anwendung, die auf dem Webserver<br />
im Umkreisnetzwerk ausgeführt wird.<br />
2. Der AD FS-Web-Agent fängt die Anforderung ab. Da der Client nicht über das erforderliche Cookie<br />
verfügt, leitet der AD FS-Web-Agent den Client an den Ressourcenverbundserver um.<br />
3. Der Client sendet eine HTTPS-Anforderung an den Ressourcenverbundserver.<br />
4. Der Ressourcenverbundserver leitet den Client an den Konto-Verbundserverproxy um.<br />
5. Der Konto-Verbundserverproxy fordert die Benutzeranmeldeinformationen an und übergibt die<br />
Anforderung anschließend an den Kontoverbundserver.<br />
6. Der Kontoverbundserver leitet die Authentifizierungsanforderung an den AD DS-Domänencontroller<br />
weiter.<br />
7. Die AD DS authentifizieren den Benutzer und senden die Erfolgsmeldung zusammen mit weiteren<br />
im Verzeichnis gespeicherten Benutzerinformationen (Attribute, Gruppenmitgliedschaften<br />
usw.), die zum Erstellen von Benutzeransprüchen verwendet werden, zurück an den Kontoverbundserver.<br />
8. Bei einer erfolgreichen Authentifizierung werden die Authentifizierungsinformationen und weitere<br />
Informationen in einem Anspruch zusammengefasst, der zusammen mit einer Umleitungsmeldung<br />
über den Proxy an den Client zurückgegeben wird. Diese Meldung weist den Client an, das<br />
Sicherheitstoken an den Ressourcenverbunddienst zu übergeben.<br />
9. Der Webbrowser übergibt das Sicherheitstoken an den Ressourcenverbundserver. Dieser erstellt<br />
das Sicherheitstoken und AD FS-Authentifizierungstoken für die Webanwendung.<br />
10. Der Ressourcenverbundserver stellt dem Webbrowser die Token zur Verfügung und leitet den<br />
Client zur Verbindung mit der AD FS-Webanwendung um.<br />
11. Der Web-Agent erhält die Anforderung und das AD FS-Authentifizierungscookie. Da es sich bei<br />
der Anwendung um eine Windows NT-Token-basierte und nicht um eine Ansprüche unterstützende<br />
Anwendung handelt, muss die Anwendung ein Windows NT-Identitätstoken aus dem<br />
Sicherheitstoken erstellen. Dieses Windows NT-Token wird anschließend von der Anwendung<br />
verwendet, um die Identität des Benutzerkontos anzunehmen und den entsprechenden Zugriff zu<br />
ermöglichen.<br />
Die Vorgehensweise bei einem Benutzer innerhalb der Organisation ist dieselbe, abgesehen davon,<br />
dass der Konto-Verbundserverproxy nicht für die Benutzerauthentifizierung verwendet wird. Der<br />
Webbrowser kann direkt mit dem Konto-Verbundserver kommunizieren, da sich der Benutzer bereits<br />
im internen Netzwerk befindet.<br />
Implementieren der AD FS<br />
Nach Auswahl eines AD FS-Entwurfs werden die <strong>Active</strong> <strong>Directory</strong>-Verbunddienste durch die Installation<br />
und Konfiguration der AD FS-Komponenten auf Windows Server 2008-Computern implementiert.<br />
In diesem Abschnitt werden die Bereitstellung und die Konfiguration von Verbundservern,<br />
Verbundserverproxys und AD FS-fähigen Webservern beschrieben. Darüber hinaus werden die verschiedenen<br />
AD FS-Anwendungstypen (Ansprüche unterstützende und Windows NT-Token-basierte<br />
Anwendungen) sowie deren Implementierungen erläutert.
AD FS-Bereitstellungsanforderungen<br />
Implementieren der AD FS 745<br />
Hinweis Dieser Abschnitt beschreibt die Bereitstellung von AD FS im Federated-Web-SSO-Entwurf. Bei<br />
dieser Bereitstellungsoption handelt es sich um das komplizierteste Szenario, dass die Höchstzahl an AD<br />
FS-Komponenten umfasst. Der AD FS-Entwurf gibt vor, welche Komponenten tatsächlich erforderlich sind<br />
und wie diese konfiguriert werden.<br />
Damit die AD FS bereitgestellt werden können, muss zunächst sichergestellt werden, dass die AD FS-<br />
Anforderungen von der Netzwerkinfrastruktur des Unternehmens unterstützt werden.<br />
Netzwerkanforderungen<br />
Zur Bereitstellung von AD FS müssen die folgenden Netzwerkanforderungen erfüllt sein:<br />
• TCP/IP-Konnektivität Für die Verwendung der AD FS muss zwischen dem Client, den AD DSoder<br />
AD LDS-Servern und den Computern, die als Host für den Verbunddienst, den Verbunddienstproxy<br />
und die AD FS-Web-Agents fungieren, TCP/IP-Netzwerkkonnektivität gewährleistet<br />
sein. Da für alle Clientanforderungen HTTPS verwendet wird, muss zwischen dem Client und<br />
allen Servern, auf denen vom Client benötigte AD FS-Rollen ausgeführt werden, eine HTTPS-<br />
Verbindung bestehen.<br />
• DNS-Anforderungen Für die Verwendung der AD FS ist es erforderlich, dass die Clientcomputer<br />
die Namen aller Server auflösen können, auf denen AD FS-Komponenten ausgeführt werden. Die<br />
ordnungsgemäße Funktionsweise der Namensauflösung kann folgendermaßen überprüft werden:<br />
Die Auflösung der DNS-Namen für die Webserver, auf denen der AD FS-Web-Agent ausgeführt<br />
wird, muss von Clientcomputern über das Internet oder von Kontoorganisationen aus<br />
möglich sein. Dabei stellen die Clients eine Verbindung mit diesen Servern her, um mit der<br />
AD FS-Authentifizierung und Autorisierung zu beginnen und nach erfolgreicher Authentifizierung<br />
auf die Anwendung zuzugreifen. Zudem müssen Clientcomputer DNS-Namen für<br />
Verbundserverproxys bzw. Verbundserver auflösen können.<br />
Wenn der AD FS-Zugriff für interne Benutzer aktiviert wird und alle AD FS-Server im<br />
Umkreisnetzwerk bereitgestellt werden, muss der Clientcomputer im internen Netzwerk in der<br />
Lage sein, die IP-Adressen der AD FS-Server aufzulösen.<br />
Die Namen von Verbundservern müssen von Verbundserverproxys aufgelöst werden können,<br />
damit Clientanforderungen weitergeleitet werden. Diese Namensauflösung kann auf zwei<br />
Arten erfolgen: Entweder durch Verwendung der Hostdateien auf den Verbundserverproxys<br />
oder durch Implementierung von DNS im Umkreisnetzwerk mit geeigneten Zonen.<br />
Clientwebbrowser-Anforderungen<br />
Nahezu alle aktuellen JScript-fähigen Webbrowser können als AD FS-Client eingesetzt werden. Zu<br />
den von Microsoft getesteten Browsern gehören Internet Explorer 5 und neue Browser wie Internet<br />
Explorer 7, Mozilla Firefox und Safari (Apple Macintosh). JScript muss im Webbrowser aktiviert<br />
werden.<br />
Zur Bereitstellung der SSO-Funktionalität müssen die von den AD FS erstellten Authentifizierungscookies<br />
auf Clientcomputern gespeichert werden. Daher muss der Clientbrowser für die Zulassung<br />
von Cookies konfiguriert sein. Bei Authentifizierungscookies handelt es sich immer um HTTPS-<br />
Sitzungscookies (Secure Hypertext Transfer Protocol), die für den Quellserver geschrieben wurden.<br />
Wenn die Clientbrowserkonfiguration diese Cookies nicht zulässt, können die AD FS nicht ordnungsgemäß<br />
ausgeführt werden.
746 Kapitel 19: <strong>Active</strong> <strong>Directory</strong>-Verbunddienste<br />
Die AD FS verwenden drei Cookietypen, die Authentifizierungs- und Autorisierungsaufgaben während<br />
einer Sitzung unterstützen:<br />
• Authentifizierungscookie Das Authentifizierungscookie ermöglicht die einmalige Anmeldung<br />
(Single Sign-On, SSO) an Ressourcen, die sich beim Ressourcenpartner befinden. Sowohl der<br />
Verbunddienst als auch der AD FS-Web-Agent können Authentifizierungscookies ausstellen. Werden<br />
diese durch den Kontoverbunddienst ausgestellt, enthält das Sicherheitstoken eines Cookies<br />
die Organisationsansprüche für den Client. Die Organisationsansprüche können ausgehenden<br />
Ansprüchen für eine bestimmte Ressource zugeordnet werden.<br />
Nachdem der Client einmal vom Ressourcenverbunddienst überprüft wurde, wird das Authentifizierungscookie<br />
auf den Client geschrieben. Dieses Cookie wird dann für weitere Authentifizierungen<br />
verwendet, sodass das erneute Sammeln von Clientanmeldeinformationen nicht mehr<br />
erforderlich ist.<br />
Vom Kontoverbundserver ausgestellte Cookies können vom AD FS-Web-Agent authentifiziert<br />
und verwendet werden. Sobald der Client mit dem Webserver verbunden wird, empfängt der Webserver<br />
ein Cookie. Anschließend kann der AD FS-Web-Agent dieses Cookie authentifizieren und<br />
die darin enthaltenen Ansprüche verwenden. Das Authentifizierungscookie ist immer ein<br />
signiertes, jedoch nicht verschlüsseltes Sitzungscookie. Daher ist die Verwendung von TLS<br />
(Transport Layer Security) und SSL (Secure Sockets Layer) in AD FS obligatorisch.<br />
• Kontopartnercookie Das Kontopartnercookie unterstützt SSO. Sobald der Ressourcenpartner die<br />
Gültigkeit des vom Kontopartner bereitgestellten Authentifizierungscookies bestätigt, wird das<br />
Kontopartnercookie auf den Client geschrieben. Die weitere Authentifizierung erfolgt nicht durch<br />
wiederholte Erfassung der Mitgliedschaftsinformationen des Kontopartners, sondern anhand des<br />
Cookies. Das Kontopartnercookie wird als Ergebnis der Kontopartnerermittlung gesetzt. Es handelt<br />
sich hierbei um ein langlebiges dauerhaftes Cookie, das weder signiert noch verschlüsselt ist.<br />
• Abmeldecookie Das Abmeldecookie ermöglicht die Abmeldung. Jedes Mal, wenn der Verbunddienst<br />
ein Token ausstellt, wird der Ressourcenpartner oder Zielserver des Tokens dem Abmeldecookie<br />
hinzugefügt. Bei Erhalt einer Abmeldeanforderung sendet der Verbundserver oder<br />
Verbundserverproxy Anforderungen an jeden der Zielserver des Tokens, um sie aufzufordern,<br />
Authentifizierungsartefakte wie z.B. vom Ressourcenpartner oder Webserver in den Client<br />
geschriebene zwischengespeicherte Cookies zu bereinigen. Im Fall eines Ressourcenpartners wird<br />
eine Bereinigungsanforderung an alle Anwendungswebserver gesendet, die der Client verwendet<br />
hat. Das Abmeldecookie ist immer ein Sitzungscookie, das weder signiert noch verschlüsselt ist.<br />
Kontospeicheranforderungen<br />
Für die Benutzerauthentifizierung und das Extrahieren von Sicherheitsansprüchen für diese Benutzer<br />
benötigen die AD FS mindestens einen Kontospeicher. AD FS unterstützen zwei Kontospeichertypen:<br />
AD DS- und AD LDS-Kontospeicher.<br />
AD DS AD DS-Kontospeicher können von Kontopartnerorganisationen verwendet werden, um lokal<br />
gespeicherten Identitäten den Zugriff auf Verbundanwendungen (sowohl Ansprüche unterstützende<br />
als auch Windows NT-Token-basierte Anwendungen) in einem Ressourcenpartner zu gewähren. Hingegen<br />
nutzen Ressourcenpartnerorganisationen die AD DS, um Verbundbenutzern die Zugriffsberechtigungen<br />
für Windows NT-Token-basierte Anwendungen zuzuweisen. In diesem Szenario muss jeder<br />
Verbundbenutzer einem Ressourcenkonto oder einer Ressourcengruppe in der lokalen AD DS-Domäne<br />
zugeordnet werden. Zu den <strong>Active</strong> <strong>Directory</strong>-Verbunddiensten kann nur ein AD DS-Kontospeicher<br />
hinzugefügt werden.
Implementieren der AD FS 747<br />
Damit die AD FS ordnungsgemäß funktionieren, müssen die <strong>Active</strong> <strong>Directory</strong>-Domänencontroller in<br />
der Kontopartner- oder der Ressourcenpartnerorganisation Windows 2000 Server SP4 (einschließlich<br />
wichtiger Updates), Windows Server 2003 SP1, Windows Server 2003 R2 oder Windows Server 2008<br />
ausführen.<br />
AD LDS AD LDS oder ADAM-Kontospeicher können ebenfalls verwendet werden, um lokal gespeicherten<br />
Identitäten den Zugriff auf Verbundanwendungen (sowohl Ansprüche unterstützende als auch<br />
Windows NT-Token-basierte Anwendungen) in einem Ressourcenpartner zu gewähren. Ressourcenpartnerorganisationen<br />
haben hingegen nicht die Möglichkeit, mithilfe der AD LDS Verbundbenutzer<br />
lokalen Ressourcenkonten oder Ressourcengruppen zuzuordnen.<br />
Zu den <strong>Active</strong> <strong>Directory</strong>-Verbunddiensten können mehrere AD LDS-Kontospeicher hinzugefügt werden.<br />
Zum Authentifizieren eines Benutzers verwendet ein Verbundserver den ersten Kontospeicher,<br />
der für die Anforderung der Benutzerauthentifizierung konfiguriert wurde. Falls das Benutzerkonto<br />
nicht im Speicher enthalten ist, fragt der Verbundserver die anderen Speicher in der Reihenfolge ab, in<br />
der diese konfiguriert wurden.<br />
Auf den Computern, die als Host für den ADAM-Kontospeicher dienen, muss Windows 2000<br />
Server mit Service Pack 4 (SP4) oder höher, Windows Server 2003 mit Service Pack 1 (SP1) oder<br />
Windows Server 2003 R2 ausgeführt werden. Die Installation der AD LDS ist nur auf einem Windows<br />
Server 2008-Computer möglich.<br />
Webserveranforderungen<br />
IIS ist eine verbindliche Anforderung für alle AD FS-Serverkomponenten. Ist die benötigte Serverrolle<br />
Webserver (IIS) nicht installiert, müssen zunächst die erforderlichen IIS-Komponenten hinzugefügt<br />
werden, damit die AD FS-Serverrollendienste installiert werden können.<br />
Hinweis Zur Verwendung der <strong>Active</strong> <strong>Directory</strong>-Verbunddienste müssen .NET Framework 2.0 und<br />
ASP.NET auf dem Computer installiert sein. .NET Framework 2.0 ist standardmäßig auf Windows Server<br />
2008-Computern installiert, ASP.NET wird zusammen mit der Serverrolle Webserver (IIS) installiert.<br />
Anforderungen an die Public Key-Infrastruktur (PKI)<br />
Für eine sichere Kommunikation zwischen den AD FS-Komponenten müssen zur Verwendung von<br />
AD FS für alle Websites, die Benutzerauthentifizierungs-Datenverkehr oder Sicherheitstoken zulassen,<br />
Zertifikate für die Serverauthentifizierung konfiguriert werden. Diese Zertifikate werden für die Kontopartner-<br />
und Ressourcenpartnerauthentifizierung und für die Authentifizierung zwischen Verbundservern<br />
und Verbundserverproxys verwendet. Das bedeutet, dass die erforderlichen digitalen Zertifikate<br />
von einer Zertifizierungsstelle (Certification Authority, CA) ausgestellt werden. Zur Ausstellung<br />
dieser Zertifikate kann eine vertrauenswürdige externe Zertifizierungsstelle oder eine interne Zertifizierungsstelle<br />
der <strong>Active</strong> <strong>Directory</strong>-Zertifikatdienste (<strong>Active</strong> <strong>Directory</strong> Certificate Services, AD CS)<br />
verwendet werden.<br />
• Von Verbundservern verwendete Zertifikate Verbundserver führen sowohl server- als auch clientbasierte<br />
Funktionen aus, für die bestimmte Zertifikatstypen benötigt werden:<br />
• Tokensignaturzertifikat Jeder Verbundserver verwendet ein Tokensignaturzertifikat, um alle selbst<br />
erstellten Sicherheitstoken digital zu signieren. Da jedes Sicherheitstoken vom Kontopartner digital<br />
signiert wird, kann der Ressourcenpartner sicherstellen, dass das Sicherheitstoken tatsächlich<br />
vom Kontopartner ausgestellt und nicht geändert wurde. So werden Angreifer daran gehindert,<br />
Sicherheitstoken zu fälschen oder zu ändern, um unberechtigten Zugriff auf Ressourcen zu erlangen.
748 Kapitel 19: <strong>Active</strong> <strong>Directory</strong>-Verbunddienste<br />
Digitale Signaturen werden für Sicherheitstoken auch innerhalb des Kontopartners verwendet,<br />
wenn mehr als ein Verbundserver verwendet wird. In diesem Fall werden anhand der digitalen<br />
Signaturen die Quelle und die Integrität der Sicherheitstoken überprüft, die von anderen Verbundservern<br />
des Kontopartners ausgestellt werden. Die Überprüfung der digitalen Signaturen erfolgt<br />
durch Verifizierungszertifikate. Jedes Tokensignaturzertifikat enthält einen privaten Schlüssel, der<br />
dem Zertifikat zugewiesen ist.<br />
Hinweis Ist mehr als ein Verbundserver in einer Serverfarm vorhanden, kann allen Verbundservern<br />
dasselbe Tokensignaturzertifikat oder jedem Verbundserver ein eindeutiges Zertifikat zugewiesen werden.<br />
Für eine einfachere und kostengünstigere Bereitstellung sollte auf allen Verbundservern dasselbe<br />
Tokensignaturzertifikat installiert werden. Weitere Informationen zur Planung der Bereitstellung einer<br />
Verbundserverfarm finden Sie im Entwurfshandbuch für <strong>Active</strong> <strong>Directory</strong>-Verbunddienste unter http://<br />
technet2.microsoft.com/windowsserver/de/library/b0f029cb-65ab-44fb-bcfc-<br />
5aa02314e06e1031.mspx?mfr=true.<br />
• Verifizierungszertifikat Ein Verifizierungszertifikat wird verwendet, um sicherzustellen, dass ein<br />
Sicherheitstoken von einem zulässigen Verbundserver ausgestellt und nicht geändert wurde.<br />
Eigentlich ist ein Verifizierungszertifikat das Tokensignaturzertifikat eines anderen Verbundservers.<br />
Um verifizieren zu können, dass ein Sicherheitstoken von einem bestimmten Verbundserver<br />
ausgestellt und nicht geändert wurde, muss der Verbundserver über ein Verifizierungszertifikat für<br />
den Verbundserver verfügen, der das Sicherheitstoken ausgestellt hat. Wenn beispielsweise der<br />
Verbundserver von Adatum ein Sicherheitstoken ausstellt und an einen Verbundserver der Woodgrove<br />
Bank sendet, muss der Verbundserver der Woodgrove Bank über ein Verifizierungszertifikat<br />
(Tokensignaturzertifikat von Verbundserver von Adatum) verfügen. Im Gegensatz zu einem<br />
Tokensignaturzertifikat enthält ein Verifizierungszertifikat nicht den privaten Schlüssel, der dem<br />
Zertifikat zugewiesen ist.<br />
Die Ressourcenpartner und Web-Agents, die dem Verbundserver vertrauen, müssen dem Zertifikat<br />
der Stammzertifizierungsstelle für die Verifizierungszertifikate vertrauen. Zudem müssen Zertifikatssperrlisten<br />
(Certificate Revocation List, CRL) für Ressourcenpartner und Web-Agents<br />
zugänglich sein, die dem Verbundserver vertrauen.<br />
Hinweis Der Ressourcenverbundserver muss auf das Tokensignaturzertifikat für den Kontoverbundserver<br />
zugreifen können. Beim Erstellen eines Kontopartners auf dem Ressourcenverbundserver wird<br />
das Zertifikat importiert.<br />
• SSL-Serverauthentifizierungszertifikat Für einen sicheren Datenverkehr zwischen Webdiensten und<br />
Webclients bzw. dem Verbundserverproxy verwendet der Verbundserver ein SSL-Serverauthentifizierungszertifikat.<br />
Alle Verbundserverproxys und Web-Agents müssen der Stammzertifizierungsstelle für alle SSL-<br />
Serverauthentifizierungszertifikate vertrauen und die CRLs müssen für sämtliche Zertifikate in<br />
der Kette – vom Serverauthentifizierungszertifikat bis zum Zertifikat der Stammzertifizierungsstelle<br />
– verfügbar sein. Darüber hinaus muss der im Serverauthentifizierungszertifikat verwendete<br />
Antragstellername mit dem DNS-Namen (Domain Name System) der Verbunddienstendpunkt-<br />
URL (Uniform Resource Locator) in der Vertrauensrichtlinie übereinstimmen.
Implementieren der AD FS 749<br />
Direkt von der Quelle: Problembehandlung bei Zertifikatssperrungen<br />
Zertifikatsprobleme gehören zu den fünf Themen, mit denen das Microsoft-Supportteam bei der<br />
AD FS-Problembehebung am häufigsten konfrontiert wird. Ein Zertifikatsproblem in Zusammenhang<br />
mit AD FS betrifft einen gängigen Routinevorgang, bei dem die Gültigkeit eines Zertifikats<br />
überprüft wird, indem dieses mit einer von der Zertifizierungsstelle ausgegebenen Liste mit<br />
gesperrten Zertifikaten verglichen wird. Dieser Vorgang wird in der Public Key-Infrastruktur auch<br />
als CRL-Überprüfung bezeichnet.<br />
Die für einen Kontopartner auf einem Verbundserver konfigurierte Einstellung für die Sperrüberprüfung<br />
wird vom Verbundserver verwendet, um festzustellen, wie die Sperrüberprüfung für von<br />
diesem Kontopartner gesendete Token durchgeführt wird. Die Verbundservereinstellung für die<br />
Sperrüberprüfung wird über den Knoten Vertrauensrichtlinie des AD FS-Snap-Ins konfiguriert.<br />
Anhand dieser Einstellung stellt der Verbundserver und der an diesen gebundene AD FS-Web-<br />
Agent fest, wie die Sperrüberprüfung für das Tokensignaturzertifikat des Verbundservers durchgeführt<br />
wird. Bei der Überprüfung werden entweder die importierten CRLs auf dem lokalen Computer<br />
oder die über den Sperrlistenverteilungspunkt bereitgestellten CRLs verwendet.<br />
Bei der Behandlung von Zertifikatsproblemen sollten Sie die Möglichkeit haben, die Sperrüberprüfung<br />
schnell zu deaktivieren, damit die Problemquelle einfacher lokalisiert werden kann. Dies ist<br />
beispielsweise in Bereitstellungsszenarien sinnvoll, in denen für die Tokensignaturzertifikate keine<br />
CRLs verfügbar sind.<br />
Das AD FS-Produktteam bietet zur Lösung von Problemen mit der CRL-Überprüfung im AD FS-<br />
Snap-In in Windows Server 2008 eine Funktion, über die das Verhalten der Sperrüberprüfung im<br />
Rahmen des Verbunddienstes angepasst bzw. über die die Sperrprüfung deaktiviert werden kann.<br />
Die Sperrprüfung lässt sich zum Beispiel so konfigurieren, dass die Gültigkeit aller Zertifikate in<br />
einer Zertifikatskette oder nur das Endzertifikat in der Zertifikatskette überprüft wird.<br />
Nick Pierson<br />
Senior Technical Writer, Microsoft<br />
Von Verbundserverproxys verwendete Zertifikate Für eine sichere Kommunikation zwischen Verbundservern<br />
und Webclients verwendet der Verbundserverproxy die folgenden SSL-Zertifikate:<br />
• SSL-Clientauthentifizierungszertifikate Jeder Verbundserverproxy verwendet zur Authentifizierung<br />
des Verbunddienstes ein SSL-Clientauthentifizierungszertifikat. Eine Kopie des Clientauthentifizierungszertifikats<br />
vom Verbundserverproxy wird sowohl auf dem Verbundserverproxy als auch<br />
in der Vertrauensrichtlinie des Verbundservers gespeichert. Der private Schlüssel, der dem<br />
Clientauthentifizierungszertifikat des Verbundserverproxys zugewiesen ist, wird hingegen ausschließlich<br />
auf dem Verbundserverproxy gespeichert.<br />
• SSL-Serverauthentifizierungszertifikate Für einen sicheren Datenverkehr zwischen Webdiensten und<br />
Webclients verwendet der Verbundserverproxy SSL-Serverauthentifizierungszertifikate.<br />
Vom AD FS-Web-Agent verwendete Zertifikate Für eine sichere Kommunikation mit Webclients verwendet<br />
jeder Webserver, der als Host für den AD FS-Web-Agent fungiert, SSL-Serverauthentifizierungszertifikate.<br />
Diese Zertifikate werden über das Snap-In Internetinformationsdienste angefordert und<br />
installiert oder können über Gruppenrichtlinien oder eine automatische Registrierung installiert werden,<br />
wenn die AD CS bereitgestellt wurden.
750 Kapitel 19: <strong>Active</strong> <strong>Directory</strong>-Verbunddienste<br />
Hinweis Clientzertifikate können ebenfalls für Clientcomputer verwendet werden, die mit Verbundservern,<br />
Verbundserverproxys oder Webservern verbunden sind. Die Clientauthentifizierung bietet zwar zusätzliche<br />
Sicherheit, setzt aber auch voraus, dass Zertifikate an alle Clientcomputer verteilt werden, die voraussichtlich<br />
mit der AD FS-Umgebung verbunden werden. Wenn die AD FS nur Mitarbeitern zur Verfügung gestellt<br />
werden, die ausschließlich zur internen AD DS-Gesamtstruktur gehörende Clientcomputer verwenden, kann<br />
die Zertifikatsverteilung automatisiert werden. Hierzu ist die Aktivierung der automatischen Registrierung in<br />
den AD CS erforderlich. Weitere Informationen zu diesem Thema finden Sie in Kapitel 17, „<strong>Active</strong> <strong>Directory</strong>-<br />
Zertifikatdienste“.<br />
Praxistipp: Auswahl einer Zertifizierungsstelle<br />
Um die Zertifikatsanforderungen für die AD FS zu erfüllen, besteht die Möglichkeit, Zertifikate<br />
von einer öffentlichen Zertifizierungsstelle zu erwerben, eine interne Zertifizierungsstelle einer AD<br />
CS-Implementierung einzusetzen oder selbstsignierte Zertifikate zu nutzen. In Tabelle 19.1 sind die<br />
Vor- und Nachteile der einzelnen Optionen aufgeführt.<br />
Tabelle 19.1<br />
Vorteile und Nachteile der Zertifizierungsstellenoptionen<br />
Zertifizierungsstellentyp<br />
Öffentliche<br />
Zertifizierungsstelle<br />
Interne Zertifizierungsstelle<br />
Erläuterung<br />
Vorteile:<br />
• Clientcomputer vertrauen der Stammzertifizierungsstelle bereits, folglich können Zertifikate<br />
ohne zusätzliche Konfiguration mit dem Stamm verkettet werden.<br />
• Die öffentliche Zertifizierungsstelle bietet umfassende Verwaltungsdienste für Zertifikate<br />
und Zertifikatssperren.<br />
Nachteile:<br />
• Die von öffentlichen Zertifizierungsstellen ausgestellten Zertifikate verursachen<br />
höhere Kosten als selbstsignierte Zertifikate oder von internen Zertifizierungsstellen<br />
ausgestellte Zertifikate.<br />
• Das Sicherheitsrisiko wird erhöht, wenn öffentliche Zertifizierungsstellen unzureichende<br />
Sicherheitsrichtlinien verwenden.<br />
Vorteile:<br />
• Die Zertifikatsperrung wird intern verwaltet, daher können Zertifikate zentral gesperrt<br />
werden, wenn die Sicherheit eines privaten Schlüssels gefährdet ist.<br />
• Die Verwaltung der internen Zertifizierungsstelle ermöglicht eine höhere Flexibilität<br />
bei der Zertifikatsverteilung.<br />
• Die Verwaltung der internen Zertifizierungsstelle ermöglicht eine vollständige Kontrolle<br />
über die Sicherheit der Implementierung.<br />
Nachteile:<br />
• Die Implementierung einer internen Zertifizierungsstelle kann kompliziert sein. Bei<br />
falscher Handhabung kann die Komplexität zu Sicherheitsproblemen führen.<br />
• Die durch interne Zertifizierungsstellen ausgestellten Zertifikate sind zwar kostenlos,<br />
aber die Implementierungs- und Verwaltungskosten für eine solche Zertifizierungsstelle<br />
können die Kosten für den Erwerb von Zertifikaten einer öffentlichen Zertifizierungsstelle<br />
übersteigen.<br />
• Clientcomputer vertrauen der Stammzertifizierungsstelle nicht automatisch, folglich<br />
müssen diesen ggf. Zertifikate für die vertrauenswürdige Stammzertifizierungsstelle<br />
hinzugefügt werden.
Implementieren der AD FS 751<br />
Tabelle 19.1<br />
Vorteile und Nachteile der Zertifizierungsstellenoptionen (Fortsetzung)<br />
Selbstsignierte Zertifikate Vorteile:<br />
• Selbstsignierte Zertifikate können ohne Public Key-Infrastruktur bereitgestellt werden.<br />
• Zertifikate sind kostenlos.<br />
Nachteile:<br />
• Es sind keine zentralisierten Sperrlisten verfügbar. Wenn die Sicherheit des privaten<br />
Zertifikatsschlüssels gefährdet ist, muss jede vertrauende Partei manuell benachrichtigt<br />
werden, damit diese künftig anstatt des vorhandenen ein neues Zertifikat verwendet.<br />
• Clientcomputer vertrauen dem selbstsignierten Zertifikat nicht automatisch, folglich<br />
müssen diesen ggf. Zertifikate für die vertrauenswürdige Stammzertifizierungsstelle<br />
hinzugefügt werden.<br />
• Selbstsignierte Zertifikate sind nicht Teil einer Zertifikatsvertrauensliste, daher muss<br />
jedes selbstsignierte Zertifikat von einer vertrauenswürdigen Partei ausdrücklich als<br />
vertrauenswürdig eingestuft werden.<br />
Da eine größere Anzahl an Clients auf die SSL-Zertifikate zugreifen wird, die den Webservern und<br />
Verbundservern zugewiesen sind, wird empfohlen, für sämtliche SSL-Zertifikate eine öffentliche<br />
Zertifizierungsstelle zu nutzen. Die Tokensignaturzertifikate müssen nur von den Servern als vertrauenswürdig<br />
eingestuft werden, die AD FS-Rollendienste ausführen. In diesem Fall wird empfohlen,<br />
entweder eine interne Zertifizierungsstelle oder ein selbstsigniertes Zertifikat zu verwenden.<br />
Wenn es sich bei der Organisation um einen Kontopartner handelt, der voraussichtlich zahlreiche<br />
Ressourcenpartner haben wird und eine zentralisierte Sperren- und Vertrauensverwaltung benötigt,<br />
ist eine interne Zertifizierungsstelle in der Regel die beste Wahl. Wird die Organisation nur mit<br />
wenigen Ressourcenpartnern arbeiten, sind selbstsignierte Zertifikate häufig besser geeignet, da<br />
diese kostengünstiger und weniger komplex sind.<br />
Implementieren der AD FS in einem Federated-Web-SSO-Entwurf<br />
Nachdem sichergestellt ist, dass alle Anforderungen an die Umgebung erfüllt sind, kann nun die<br />
Installation der AD FS-Komponenten durchgeführt werden. In diesem Abschnitt werden die entsprechenden<br />
Vorgehensweisen beschrieben.<br />
Implementieren des Federated-Web-SSO-Entwurfs – Übersicht<br />
Zur Implementierung des Federated-Web-SSO-Entwurfs müssen die folgenden Schritte ausgeführt<br />
werden:<br />
Vorbereiten der Umgebung<br />
1. Installieren der Serverrolle Webserver (IIS) auf allen an der AD FS-Bereitstellung beteiligten<br />
Servern. Wenngleich diese Serverrolle auch im Rahmen der AD FS-Serverrollenbereitstellung<br />
installiert werden kann, sollte dieser Schritt vorher ausgeführt werden, wenn Sie die erforderlichen<br />
Serverzertifikate vor der AD FS-Installation konfigurieren möchten.<br />
Hinweis In den folgenden Abschnitten sind die Schritte zur Installation der Rolle Webserver (IIS) nicht<br />
enthalten. Weitere Informationen finden Sie in der Onlinehilfe zum Server-Manager und den Internetinformationsdiensten.
752 Kapitel 19: <strong>Active</strong> <strong>Directory</strong>-Verbunddienste<br />
2. Abrufen der erforderlichen Authentifizierungszertifikate für jeden am AD FS-Szenario beteiligten<br />
Server und Konfigurieren der SSL-Authentifizierung für die anwendbaren Websites auf jedem<br />
Server. Diese Aufgabe schließt die Webserver und alle mit den AD FS verbundenen Server ein. Wenn<br />
das selbstsignierte Zertifikat verwendet werden soll, kann das Zertifikat zusammen mit den AD FS<br />
installiert werden.<br />
Für eine ordnungsgemäße Funktionsweise der AD FS müssen die folgenden Zertifikatsanforderungen<br />
erfüllt sein:<br />
Das vom Kontopartner verwendete Tokensignaturzertifikat muss auf den Ressourcenverbundserver<br />
importiert werden. Hierzu ist das Exportieren des Tokensignaturzertifikat auf dem Kontoverbundserver<br />
in eine Datei erforderlich. Der Speicherort der Datei sollte so gewählt sein,<br />
dass diese beim Erstellen eines neuen Kontopartners auf den Ressourcenverbundserver importiert<br />
werden kann.<br />
Ein AD FS-Webserver muss das Serverauthentifizierungszertifikat für den Ressourcenverbundserver<br />
als vertrauenswürdig einstufen. Bei Verwendung einer öffentlichen Zertifizierungsstelle<br />
für den Ressourcenverbundserver wird dem Zertifikat vertraut. Wenn eine interne<br />
Zertifizierungsstelle genutzt wird, muss das Zertifikat auf den Ressourcenverbundserver<br />
exportiert und anschließend auf dem AD FS-Webserver in den Ordner Vertrauenswürdige<br />
Stammzertifizierungsstellen importiert werden.<br />
Bei Verwendung eines Verbundserverproxys muss für diesen ein Clientzertifikat festgelegt<br />
werden, das von dem entsprechenden Verbundserver als vertrauenswürdig eingestuft wird.<br />
Hinweis In den folgenden Abschnitten wird die Vorgehensweise beim Import und Export der Serverzertifikate<br />
nicht beschrieben. Weitere Informationen finden Sie in der Onlinehilfe zu den Internetinformationsdiensten<br />
oder im Handbuch zur AD FS-Bereitstellung (beide in englischer Sprache) unter<br />
http://go.microsoft.com/fwlink/?LinkId=91899.<br />
3. Installieren des Rollendienstes Verbunddienst. Auf den gewünschten Kontopartner- und Ressourcenpartnerservern<br />
muss der AD FS-Rollendienst Verbunddienst installiert werden. Während<br />
dieses Vorgangs kann ein selbstsigniertes Tokensignaturzertifikat erstellt werden, das zur Sicherung<br />
von Token bei Authentifizierungen verwendet wird.<br />
4. Installieren des Rollendienstes Verbunddienstproxy. Auf den gewünschten Kontopartner- und Ressourcenpartnerservern<br />
muss der AD FS-Rollendienst Verbunddienstproxy installiert werden.<br />
5. Installieren des AD FS-Web-Agents. Die Installation und Konfiguration des AD FS-Web-Agents<br />
erfolgt auf dem Webserver, auf dem die Ansprüche unterstützende bzw. Windows NT-Tokenbasierte<br />
Anwendung ausgeführt wird.<br />
Konfigurieren des Kontoverbundpartners Die Konfiguration des Verbunddienstes für die Kontoumgebung<br />
umfasst zahlreiche Aufgaben:<br />
1. Konfigurieren der Vertrauensrichtlinie. Zur Konfiguration der Vertrauensrichtlinie gehört die Eingabe<br />
des entsprechenden Verbunddienst-URIs und der Verbunddienstendpunkt-URL für die Kontoverbundumgebung.<br />
2. Konfigurieren der Organisationsansprüche. Auf der Seite des Kontopartners handelt es sich bei<br />
den Organisationsansprüchen um einen standardmäßigen Satz an Ansprüchen, die entweder über<br />
die AD DS oder die AD LDS gefüllt werden. AD DS- oder AD LDS-Attribute werden mithilfe<br />
von Organisationsansprüchen AD FS-Objekten zugeordnet, die von Verbundservern verstanden<br />
werden.
Implementieren der AD FS 753<br />
3. Hinzufügen und Konfigurieren von Kontospeichern. Die vom Kontopartner verwendeten Benutzerkonten<br />
müssen entweder in den AD DS oder den AD LDS gespeichert werden. Durch Hinzufügen<br />
des Kontospeichers zu den AD FS wird der Zugriff des Kontoverbundservers auf die<br />
Benutzerkonten ermöglicht.<br />
4. Hinzufügen und Konfigurieren eines Ressourcenpartners. Das Hinzufügen eines Ressourcenpartners<br />
repräsentiert die Konfiguration der Beziehung zwischen den Konto- und Ressourcenpartnerorganisationen.<br />
Hinweis Die Vertrauensrichtlinieneinstellungen des Verbunds von sowohl dem Kontopartner als auch<br />
dem Ressourcenpartner können in eine XML-Datei exportiert werden, um diese für die Konfiguration<br />
zahlreicher Einstellungen auf dem Verbundserver der Partnerorganisation zu verwenden.<br />
5. Erstellen von Zuordnungen (Transformationen) ausgehender Ansprüche für den Ressourcenpartner.<br />
Nach dem Einrichten einer verbundenen Vertrauensstellung zwischen zwei Organisationen ist<br />
möglicherweise die Zuordnung (Transformation) der Organisationsansprüche des Kontopartners<br />
zu Ansprüchen erforderlich, die von der Ressourcenpartneranwendung verarbeitet werden.<br />
Konfigurieren des Ressourcenverbundpartners Die Konfiguration des Verbunddienstes für die Ressourcenumgebung<br />
umfasst zahlreiche Aufgaben:<br />
1. Konfigurieren der Vertrauensrichtlinie. Zur Konfiguration der Vertrauensrichtlinie gehört die Eingabe<br />
des entsprechenden Verbunddienst-URIs und der Verbunddienstendpunkt-URL für die Ressourcenverbundumgebung.<br />
2. Konfigurieren der Organisationsansprüche. Damit auf Ressourcenseite entsprechende Zugriffsentscheidungen<br />
getroffen werden können, müssen zum Ressourcenverbunddienst Organisationsansprüche<br />
hinzugefügt werden.<br />
3. Hinzufügen und Konfigurieren einer AD FS-Anwendung. Der AD FS-Ressourcenpartner stellt die<br />
freigegebene Ressource bereit. Die Anwendung muss dem Verbunddienst hinzugefügt werden,<br />
sodass der Verbundserver Clientanforderungen an den entsprechenden Webserver weiterleiten<br />
kann.<br />
4. Hinzufügen und Konfigurieren eines Kontopartners. Das Hinzufügen eines Kontopartners repräsentiert<br />
die Konfiguration der Beziehung zwischen den Konto- und Ressourcenpartnerorganisationen.<br />
Diese Beziehung basiert auf den konfigurierten Kontopartnereinstellungen und dem<br />
importierten Verifizierungszertifikat vom Kontopartner.<br />
5. Erstellen einer Zuordnung eingehender Ansprüche für die Anwendung. Durch diese Aufgabe werden<br />
die eingehenden Organisationsansprüche vom Kontopartner in die Organisationsansprüche für<br />
den Ressourcenpartner transformiert.<br />
Konfigurieren des Webservers und der webbasierten Anwendungen Die Konfiguration des Webservers<br />
und der webbasierten Anwendungen ist Teil der AD FS-Bereitstellung. Diese Aufgabe umfasst entweder<br />
die Einrichtung einer Ansprüche unterstützenden oder einer Windows NT-Token-basierten<br />
Anwendung. Abhängig vom konfigurierten Anwendungstyp werden bestimmte Einstellungen der<br />
Anwendung und Webserverkonfiguration vorausgesetzt.<br />
Auf der DVD Eine AD FS-Bereitstellung kann eine Vielzahl an Komponenten und unterschiedlichen Konfigurationen<br />
umfassen. Bei der Planung einer AD FS-Bereitstellung sollte daher jede Komponente in der auf der<br />
Begleit-CD enthaltenen Datei AD FS Documentation.xls erfasst werden.
754 Kapitel 19: <strong>Active</strong> <strong>Directory</strong>-Verbunddienste<br />
Bereitstellen von Verbundservern<br />
Für eine erfolgreiche Installation des Verbunddienstes müssen Sie sicherstellen, dass alle erforderlichen<br />
Komponenten auf dem Server installiert und konfiguriert sind. Führen Sie anschließend die<br />
folgenden Schritte aus:<br />
1. Klicken Sie im Server-Manager auf Rollen und anschließend auf Rollen hinzufügen, um den<br />
Assistenten zum Hinzufügen von Rollen zu starten.<br />
2. Klicken Sie auf der Seite Vorbemerkungen auf Weiter.<br />
3. Wählen Sie auf der Seite Serverrollen auswählen die Option <strong>Active</strong> <strong>Directory</strong>-Verbunddienste.<br />
Klicken Sie zweimal auf Weiter.<br />
4. Aktivieren Sie auf der Seite Rollendienste auswählen (siehe Abbildung 19.5) das Kontrollkästchen<br />
Verbunddienst. Wenn Sie zur Installation der zusätzlichen Rollendienste Webserver (IIS) oder Windows-Prozessaktivierungsdienst<br />
aufgefordert werden, können Sie diese durch Klicken auf die<br />
Option Erforderliche Rollendienste hinzufügen installieren. Klicken Sie anschließend auf Weiter.<br />
5. Wählen Sie auf der Seite Serverauthentifizierungszertifikat für SSL-Verschlüsselung auswählen das<br />
Zertifikat für die SSL-Verschlüsselung aus, und klicken Sie anschließend auf Weiter. Wenn Sie<br />
bereits ein Zertifikat für die Standardwebsite konfiguriert haben, wird diese Seite nicht angezeigt.<br />
Wurde noch kein Zertifikat konfiguriert, können Sie auch ein selbstsigniertes Zertifikat verwenden.<br />
6. Wählen Sie auf der Seite Tokensignaturzertifikat auswählen (siehe Abbildung 19.6) das Zertifikat<br />
aus, dass zur Signatur der durch diesen Server ausgestellten Token verwendet werden soll, und<br />
klicken Sie auf Weiter.<br />
Abbildung 19.5<br />
Installieren der AD FS-Serverrolle mit Auswahl der spezifischen zu installierenden Rollendienste
Implementieren der AD FS 755<br />
Abbildung 19.6<br />
Tokensignaturzertifikate können installierte Zertifikate oder selbstsignierte Zertifikate sein<br />
Hinweis Denken Sie daran, dass das auf dem Kontopartner konfigurierte Tokensignaturzertifikat auf<br />
den Ressourcenverbundserver und den Verbundserverproxy importiert werden muss. Sie sollten das<br />
Tokensignaturzertifikat in eine Datei exportieren oder dieses später zusammen mit der Vertrauensrichtlinie<br />
exportieren.<br />
7. Geben Sie auf der Seite Vertrauensrichtlinie auswählen an, ob eine neue Vertrauensrichtlinie<br />
erstellt oder eine vorhandene Richtlinie importiert werden soll, und schließen Sie die Installation<br />
der Serverrolle Webserver (IIS) ab.<br />
Direkt von der Quelle: Einschränken der Verbunddienstbereitstellung mithilfe von<br />
Gruppenrichtlinien<br />
In Windows Server 2003 R2 stellten die <strong>Active</strong> <strong>Directory</strong>-Verbunddienste keine Steuerungsmechanismen<br />
bereit, um Benutzer an der Installation und Konfiguration eines eigenen Verbunddienstes zu<br />
hindern. Windows Server 2008 bietet AD FS-Administratoren nun die Möglichkeit, Gruppenrichtlinieneinstellungen<br />
zu aktivieren, und so den Zugriff durch nicht autorisierte Verbundserver auf<br />
ihre Domäne zu unterbinden. IT-Abteilungen können mithilfe dieser neuen Einstellung die Einhaltung<br />
von behördlichen Auflagen und Kompatibilitätsanforderungen erzwingen.
756 Kapitel 19: <strong>Active</strong> <strong>Directory</strong>-Verbunddienste<br />
Nach Aktivierung der Gruppenrichtlinieneinstellung wird im Registrierungsschlüssel jedes Verbundservers<br />
in dieser Domäne der Wert DisallowFederationService eingefügt. Bevor auf einem<br />
Windows Server 2008-Computer, der zu einer AD DS-Domäne gehört, die Serverrolle Verbunddienst<br />
installiert werden kann, stellt der Server zunächst sicher, dass die Gruppenrichtlinie Nur<br />
autorisierte Verbundserver in dieser Domäne zulassen aktiviert ist. Ist dies der Fall, kann der<br />
Verbunddienst nicht installiert werden. Wenn die Gruppenrichtlinie nicht aktiviert ist (Standardeinstellung),<br />
wird die Installation eines Verbunddienstes zugelassen und kann normal ausgeführt<br />
werden.<br />
Der Wert des Registrierungsschlüssels wird erst überprüft, wenn die Vertrauensrichtliniendatei<br />
geladen ist. Daher kann es zu einer Verzögerung zwischen dem Herunterladen der Richtlinie und<br />
dem Erkennen der Richtlinie vom Verbunddienst kommen. Die Richtlinie wird standardmäßig bei<br />
Erhalt einer Dateiänderungsbenachrichtigung und zusätzlich einmal pro Stunde gelesen.<br />
Beachten Sie, dass diese Funktion nur für Windows Server 2008-Verbundserver gilt und auf neue<br />
oder vorhandene Verbunddienstinstallationen in Windows Server 2003 R2 keine Auswirkungen<br />
hat.<br />
Lu Zhao<br />
Program Manager, Microsoft<br />
Bereitstellen von Verbunddienstproxy-Servern<br />
Mithilfe eines Verbundserverproxys kann eine Offenlegung der Verbundserver im Internet vermieden<br />
werden. In den meisten Fällen wird der Verbundserverproxy in einem Umkreisnetzwerk zusammen<br />
mit den Verbundservern im internen Netzwerk bereitgestellt.<br />
Bei der Implementierung von Verbundserverproxys sind zwei Konfigurationsoptionen zu beachten:<br />
• Ändern der Verbundproxy-URL Bei der Installation eines Konto- oder Ressourcenverbundservers<br />
kann in der Vertrauensrichtlinie ein URI (Uniform Resource Identifier) festgelegt werden, der die<br />
URL (Uniform Resource Locator) identifiziert, zu der die Benutzer bei einem Verbindungsversuch<br />
mit dem Verbundserver weitergeleitet werden. Diese URIs werden folgendermaßen verwendet:<br />
Für die AD FS-Web-Agents auf den IIS-Servern wird der URI des Ressourcenverbundservers<br />
festgelegt.<br />
Auf dem Ressourcenverbundserver wird der URI für den Kontoverbundserver festgelegt.<br />
Auf dem Kontoverbundserver wird der URI für den Ressourcenverbundserver festgelegt.<br />
Beim Hinzufügen eines Verbundserverproxys muss der Endpunkt der Verbundserver-URIs entsprechend<br />
geändert werden, sodass Clientcomputer anstatt einen direkten Verbindungsversuch mit<br />
dem Verbundserver zu starten, an den Verbundserverproxy umgeleitet werden.<br />
• Konfigurieren der Clientzertifikate des Verbundserverproxys Für die Clientauthentifizierung muss<br />
der Verbundserverproxy über ein Zertifikat verfügen, das mit einer Stammzertifizierungsstelle<br />
verkettet ist. Diese wiederum muss der durch das Zertifikat geschützte Verbundserver als vertrauenswürdig<br />
einstufen. Für dieses Zertifikat verfügt der Verbundserverproxy sowohl über einen<br />
öffentlichen als auch über einen privaten Schlüssel. Das Zertifikat muss (ohne den privaten<br />
Schlüssel) exportiert und anschließend in die Vertrauensrichtlinie des geschützten Verbundservers<br />
importiert werden.
Implementieren der AD FS 757<br />
Stellen Sie für eine erfolgreiche Installation des Verbunddienstproxys sicher, dass alle erforderlichen<br />
Komponenten auf dem Server installiert und konfiguriert sind, und führen Sie die folgenden Schritte<br />
aus:<br />
1. Klicken Sie im Server-Manager auf Rollen und anschließend auf Rollen hinzufügen, um den<br />
Assistenten zum Hinzufügen von Rollen zu starten.<br />
2. Klicken Sie auf der Seite Vorbemerkungen auf Weiter.<br />
3. Wählen Sie auf der Seite Serverrollen auswählen die Option <strong>Active</strong> <strong>Directory</strong>-Verbunddienste.<br />
Klicken Sie zweimal auf Weiter.<br />
4. Aktivieren Sie auf der Seite Rollendienste auswählen (siehe Abbildung 19.5) das Kontrollkästchen<br />
Verbunddienstproxy. Wenn Sie zur Installation der zusätzlichen Rollendienste Webserver<br />
(IIS) oder Windows-Prozessaktivierungsdienst aufgefordert werden, können Sie diese durch Klicken<br />
auf die Option Erforderliche Rollendienste hinzufügen installieren. Klicken Sie anschließend<br />
auf Weiter.<br />
5. Geben Sie auf der Seite Verbundserver angeben den vollqualifizierten Namen des von diesem<br />
Proxy verwendeten Verbundservers ein, und klicken Sie anschließend auf Überprüfen, um sicherzustellen,<br />
dass die Kommunikation des Proxyservers mit dem Verbundserver einwandfrei funktioniert.<br />
Klicken Sie auf Weiter.<br />
6. Wählen Sie auf der Seite Clientauthentifizierungszertifikat auswählen das gewünschte Zertifikat<br />
für die Clientauthentifizierung aus, und klicken Sie anschließend auf Weiter. Wurde noch kein Zertifikat<br />
konfiguriert, können Sie auch ein selbstsigniertes Zertifikat verwenden.<br />
Hinweis Die vom Verbundserverproxy verwendeten Clientzertifikate müssen zur Verbundserverkonfiguration<br />
hinzugefügt werden. Daher ist es sinnvoll, die Clientzertifikate in eine Datei zu exportieren.<br />
7. Schließen Sie die Installation der Serverrolle Webserver (IIS) ab.<br />
Nach Abschluss der Installation sind in der Konfiguration der Verbunddienstproxy-Komponente die<br />
Standardeinstellungen für die Verbundserver-URL, die Clientabmeldung und -anmeldung sowie die<br />
Seite für die Ermittlung des Kontopartners festgelegt. Über das Snap-In <strong>Active</strong> <strong>Directory</strong>-Verbunddienste<br />
auf dem Verbundserverproxy lassen sich diese Einstellungen ändern oder erweiterte Anmeldeinstellungen<br />
für die Problembehandlung vornehmen.<br />
Bereitstellen des AD FS-Web-Agents<br />
Stellen Sie für eine erfolgreiche Bereitstellung des Rollendienstes AD FS-Web-Agent sicher, dass alle<br />
erforderlichen Komponenten auf dem Server installiert und konfiguriert sein, und führen Sie die folgenden<br />
Schritte aus:<br />
1. Klicken Sie im Server-Manager auf Rollen und anschließend auf Rollen hinzufügen, um den<br />
Assistenten zum Hinzufügen von Rollen zu starten.<br />
2. Klicken Sie auf der Seite Vorbemerkungen auf Weiter.<br />
3. Wählen Sie auf der Seite Serverrollen auswählen die Option <strong>Active</strong> <strong>Directory</strong>-Verbunddienste.<br />
Klicken Sie zweimal auf Weiter.<br />
4. Aktivieren Sie auf der Seite Rollendienste auswählen (siehe Abbildung 19.5) entweder das Kontrollkästchen<br />
Ansprüche unterstützender Agent, das Kontrollkästchen Windows-Token-basierter<br />
Agent oder beide. Die zu treffende Auswahl hängt vom Anwendungstyp ab, den Sie auf dem Server<br />
installieren. Klicken Sie auf Weiter.
758 Kapitel 19: <strong>Active</strong> <strong>Directory</strong>-Verbunddienste<br />
5. Setzen Sie die Installation der Serverrolle Webserver (IIS) fort. Aktivieren Sie bei Verwendung<br />
eines selbstsignierten Serverauthentifizierungszertifikats auf der Seite Rollendienste auswählen,<br />
zusätzlich zu den standardmäßig aktivierten Kontrollkästchen, das Kontrollkästchen Clientzertifikatzuordnung-Authentifizierung,<br />
und klicken Sie auf Weiter. Die Komponente Clientzertifikatzuordnung-Authentifizierung<br />
wird für IIS zum Erstellen selbstsignierter<br />
Serverauthentifizierungszertifikate benötigt.<br />
Konfigurieren des Kontopartner-Verbunddienstes<br />
Nach der Installation der AD FS-Rollendienste können die AD FS-Komponenten für die Konto- und<br />
Ressourcenpartner konfiguriert werden.<br />
Konfigurieren der Vertrauensrichtlinie<br />
In einer Vertrauensrichtlinie werden Parameter festgelegt, die für alle Verbundserver innerhalb eines<br />
AD FS-Sicherheitsbereichs gelten. Zum Konfigurieren der Vertrauensrichtlinie gehen Sie wie folgt<br />
vor:<br />
1. Starten Sie das Snap-In <strong>Active</strong> <strong>Directory</strong>-Verbunddienste. Erweitern Sie Verbunddienst, klicken<br />
Sie mit der rechten Maustaste auf Vertrauensrichtlinie, und klicken Sie anschließend auf Eigenschaften.<br />
2. Legen Sie im Fenster Vertrauensrichtlinie (siehe Abbildung 19.7) Folgendes fest:<br />
Verbunddienste-URI. Dieser Wert ermöglicht eine eindeutige Identifizierung der AD FS-<br />
Installation. Er wird dem Ressourcenpartner bereitgestellt.<br />
Wichtig Der Verbunddienst-URI berücksichtigt die Groß-/Kleinschreibung. Bei der Eingabe dieses Wertes<br />
auf dem Ressourcenverbundserver muss die Groß- und Kleinschreibung berücksichtigt werden. Um<br />
sicherzustellen, dass der Wert korrekt eingegeben wurde, sollte die Vertrauensrichtlinien nach der Erstellung<br />
in eine Datei exportiert werden, die dann an die Ressourcenpartner gesendet wird.<br />
<br />
<br />
<br />
<br />
<br />
<br />
Verbunddienstendpunkt-URL. An diese URL wird der Client vom Web-Agent auf dem Webserver<br />
umgeleitet. Bei Verwendung eines Verbundserverproxys muss diese URL auf den Verbundserverproxy<br />
verweisen. Wird kein Verbundserverproxy eingesetzt, verweist dieser Wert<br />
auf den Verbundserver.<br />
Verwendetes Tokensignatur-Verifizierungszertifikat. Tokensignatur-Verifizierungszertifikate<br />
(ohne den privaten Schlüssel), die von Kontopartnern zur Überprüfung der digitalen Signatur<br />
von Sicherheitstoken verwendet werden, können hinzugefügt oder entfernt werden. Wird das<br />
Zertifikat zur Vertrauensrichtlinie hinzugefügt, ist es in der Exportdatei der Vertrauensrichtlinie<br />
enthalten, die Sie zur Weitergabe an einen Ressourcenpartner erstellen.<br />
Verfügbare Clientauthentifizierungszertifikate des Verbundserverproxys. Die Clientauthentifizierungszertifikate<br />
(ohne privaten Schlüssel) können für Verbundserverproxy-Computer hinzugefügt<br />
werden.<br />
Verwendete Modul-DLL für die Anspruchstransformation. Wenn eine DLL-Datei erstellt<br />
wurde, wird diese Option zur Verwaltung der Anspruchstransformationen zwischen den Ressourcen-<br />
und Kontopartnern verwendet.<br />
Ereignisprotokollstufen. Anhand von Ereignisprotokollstufen kann festgelegt werden, ob Fehler,<br />
Warnungen und Überwachungsereignisse protokolliert werden oder nicht.<br />
Gültigkeitszeiträume für Token und Richtlinienaktualisierung.
Implementieren der AD FS 759<br />
Festlegen der für AD FS-Clients erforderlichen URI- und URL-Werte über die Vertrauensrichtlinien-<br />
Abbildung 19.7<br />
einstellungen<br />
Verwalten von Vertrauensrichtliniendateien<br />
Durch Klicken mit der rechten Maustaste auf Verbunddienst und anschließendes Klicken auf Eigenschaften<br />
wird der Speicherort der Vertrauensrichtliniendatei angezeigt. Standardmäßig wird die<br />
Datei im Ordner C:\Windows\SystemData\ADFS gespeichert. Fungieren mehrere Computer als<br />
Host für den Verbunddienst in einer einzelnen Verbundpartnerorganisation, die in einer Serverfarm<br />
ausgeführt wird, nutzen diese dieselbe Vertrauensrichtliniendatei. Bei der Installation zusätzlicher<br />
Verbundserver in der Organisation sollte zur Serverkonfiguration diese Richtlinie verwendet werden.<br />
Weitere Informationen zur Konfiguration von Verbundserverfarmen finden Sie im Entwurfshandbuch<br />
für <strong>Active</strong> <strong>Directory</strong>-Verbunddienste unter http://technet2.microsoft.com/windowsserver/<br />
de/library/b0f029cb-65ab-44fb-bcfc-5aa02314e06e1031.mspx?mfr=true.<br />
Nach dem Erstellen kann die Richtlinie zudem in eine XML-Datei exportiert werden, damit diese<br />
ebenfalls Ressourcenpartnern bereitgestellt werden kann. Klicken Sie hierzu mit der rechten Maustaste<br />
auf Vertrauensrichtlinie und anschließend auf Standardpartnerrichtlinie exportieren, und<br />
geben Sie einen Dateinamen und Speicherort für die Richtlinie ein. In der exportierten Richtlinie<br />
sind Anzeigename, URL und URI sowie das Verifizierungszertifikat enthalten. Wenn Sie den Ressourcenpartnern<br />
diese Datei zur Verfügung stellen, muss das Zertifikat nicht länger in einer separaten<br />
Datei bereitgestellt werden. So ist gewährleistet, dass alle Informationen ordnungsgemäß eingegeben<br />
sind.<br />
Konfigurieren von Organisationsansprüchen<br />
Ein AD FS-Anspruch ist ein Aussage über einen Benutzer, die von beiden Partnern in einem AD FS-<br />
Verbundszenario verstanden wird. In einem Verbundszenario wird zunächst der AD FS-Organisationsanspruch<br />
für den Kontopartner erstellt. Bei der Benutzerauthentifizierung auf dem Verbundserver<br />
werden die Informationen aus den AD DS oder den AD LDS vom Verbundserver extrahiert, um<br />
diese zum Erstellen des Anspruchs zu verwenden.
760 Kapitel 19: <strong>Active</strong> <strong>Directory</strong>-Verbunddienste<br />
Wenn es sich bei dem Anspruch beispielsweise um einen Gruppenanspruch handelt (d.h. der Web-<br />
Agent des Ressourcenpartners trifft Autorisierungsentscheidungen anhand der Gruppe, zu der der<br />
Benutzer gehört), werden die Gruppeninformationen aus dem Verzeichnisdienst vom Verbundserver<br />
extrahiert und dem Client als Teil des Sicherheitstokens zur Verfügung gestellt.<br />
Über die für den Kontopartner erstellten Organisationsansprüche werden die verschiedenen Kriterien<br />
festgelegt, die im Anspruch enthalten sein werden. Der Verbunddienst unterstützt drei<br />
Anspruchstypen:<br />
• Identitätsansprüche Identitätsansprüche werden standardmäßig während der Verbunddienstinstallation<br />
konfiguriert. Mithilfe von Identitätsansprüchen wird sichergestellt, dass ein bestimmter<br />
Benutzer von einem vertrauenswürdigen Verzeichnisspeicher eines Verbundpartners authentifiziert<br />
wurde. Es gibt drei Identitätsanspruchstypen:<br />
UPN-Ansprüche stehen für einen Kerberos-Benutzerprinzipalnamen (User Principal Name,<br />
UPN), z.B.: benutzer@adatum.com. Nur ein Anspruch darf vom Typ UPN sein. Bei der Kontopartnerkonfiguration<br />
können mehrere UPN-Domänen und -Suffixe angegeben werden, die<br />
vom Kontopartner zugelassen werden. Bei Empfang einer UPN-Identität, deren Domänenteil<br />
nicht in der Liste aufgeführt ist, wird die Anforderung abgelehnt.<br />
E-Mail-Anforderungen stehen für RFC 2822-E-Mail-Namen der Form benutzer@adatum.com.<br />
Nur ein Anspruch darf den E-Mail-Anspruchstyp aufweisen. Bei der Kontopartnerkonfiguration<br />
können mehrere E-Mail-Domänen und -Suffixe angegeben werden, die vom Kontopartner<br />
zugelassen werden. Wie auch bei UPN-Ansprüchen wird bei Empfang einer E-Mail-Identität,<br />
deren Domänenteil nicht in der Liste aufgeführt ist, die Anforderung abgelehnt.<br />
Allgemeine Namensansprüche stehen für eine beliebige Zeichenfolge, die für die Personalisierung<br />
verwendet wird, z.B. John Smith oder Mitarbeiter von Adatum. Nur ein Anspruch darf<br />
vom Typ allgemeiner Name sein. Beachten Sie, dass es keinen Mechanismus gibt, durch den<br />
die Eindeutigkeit des allgemeinen Namensanspruchs sichergestellt werden kann. Daher sollte<br />
dieser Anspruchstyp bei Autorisierungsentscheidungen mit Vorsicht eingesetzt werden. Bei<br />
der Kontopartnerkonfiguration kann festgelegt werden, ob allgemeine Namensansprüche vom<br />
Kontopartner empfangen werden können oder nicht.<br />
Hinweis Die drei Identitätsansprüche sind möglicherweise nicht zugeordnet; sie werden jedoch übergeben,<br />
wenn sie aktiviert sind. Ist in einem Token mehr als einer der drei Identitätsanspruchstypen vorhanden<br />
ist, werden die Identitätsansprüche in der folgenden Reihenfolge nach Priorität geordnet: UPN,<br />
E-Mail und allgemeiner Name.<br />
• Gruppenansprüche Gruppenansprüche gehören zu dem Anspruchstyp, bei dem eine Gruppenmitgliedschaft<br />
in den AD DS oder AD LDS einer bestimmten Autorisierungsrolle zugeordnet wird.<br />
Zum Beispiel könnte die Gruppe FinanzManager einem Gruppenanspruch des Kontopartners<br />
zugeordnet werden. Anschließend trifft die Webanwendung auf der Seite des Ressourcenpartners<br />
basierend auf diesem Gruppenanspruch Autorisierungsentscheidungen. Bei der Ressourcenpartnerkonfiguration<br />
können mehrere eingehende Gruppenansprüche angegeben werden, die vom<br />
Kontopartner zugelassen werden. Darüber hinaus lassen sich Autorisierungs-Manager-Rollen mit<br />
Gruppenansprüchen verknüpfen, die zur Autorisierung der Webanwendung verwendet werden<br />
dürfen.<br />
• Benutzerdefinierte Ansprüche Benutzerdefinierte Ansprüche enthalten benutzerdefinierte Informationen<br />
zu einem Benutzer, z.B. die Personalnummer eines Mitarbeiters.
Implementieren der AD FS 761<br />
Diese Informationen werden aus den Benutzerkontoattributen über LDAP abgerufen und einem<br />
benutzerdefinierten Namen in dem Anspruch zugeordnet. Bei der Ressourcenpartnerkonfiguration<br />
können mehrere eingehende Namen benutzerdefinierter Ansprüche angegeben werden, die<br />
vom Kontopartner zugelassen werden. Eingehende benutzerdefinierte Ansprüche ohne Zuordnung<br />
werden verworfen.<br />
Sicherheitswarnung Beim Erstellen eines allgemeinen Namensanspruchs können beliebige Attribute aus<br />
dem Kontospeicher verwendet werden. Wenn in einem Unternehmen beispielsweise Personalnummern,<br />
Bankkontennummern oder Sozialversicherungsnummern im Verzeichnis gespeichert werden, lassen sich<br />
mithilfe dieser Informationen Ansprüche erstellen. Da jedoch einige dieser Informationen privat sind, müssen<br />
bei deren Weitergabe an andere Organisationen gesetzliche Bestimmungen eingehalten werden.<br />
Zum Erstellen neuer Organisationsansprüche klicken Sie mit der rechten Maustaste auf Organisationsansprüche,<br />
wählen Sie Neu, und klicken Sie anschließend auf Organisationsanspruch (siehe<br />
Abbildung 19.8). Durch das Erstellen des Organisationsanspruchs wird im Grunde genommen ein<br />
Platzhalter für den Anspruch erstellt, der erst nach Hinzufügen von mindestens einem Kontospeicher<br />
zum Verbunddienst und dem Konfigurieren der Anspruchszuordnungen verwendet werden kann.<br />
Abbildung 19.8 Zuordnen von Gruppen aus dem Kontospeicher zu AD FS-Objekten durch die Konfiguration eines<br />
Gruppenorganisationsanspruchs<br />
Hinzufügen eines Kontospeichers<br />
Ein Verbundserver, der für die Authentifizierung aller Verbundszenarien verwendet werden soll, muss<br />
über mindestens einen Kontospeicher verfügen. Klicken Sie zum Hinzufügen eines Kontospeichers<br />
mit der rechten Maustaste unter Eigene Organisation in der AD FS-Konsole auf Kontospeicher, und<br />
klicken Sie anschließend auf Kontospeicher. Per Voreinstellung wird durch den Assistenten zum Hinzufügen<br />
von Kontospeichern ein Kontospeicher für die AD DS-Domäne hinzugefügt, zu welcher der<br />
Verbundserver gehört. Es kann nur ein AD DS-Kontospeicher hinzugefügt werden.<br />
Sie können zusätzliche AD LDS-Kontospeicher erstellen. Beim Hinzufügen weiterer AD LDS-Kontospeicher<br />
müssen Sie die folgenden Informationen bereitstellen:<br />
• Anzeigename für den AD LDS-Kontospeicher.<br />
• Kontospeicher-URI im Format LDAP://Servername.<br />
• Servername, IP-Adresse und Portnummer (siehe Abbildung 19.9). Da auf einem Server mehrere AD<br />
LDS-Instanzen mit jeweils unterschiedlichen Portnummern ausgeführt werden können, muss für<br />
jede Instanz die entsprechende Portnummer angegeben werden.
762 Kapitel 19: <strong>Active</strong> <strong>Directory</strong>-Verbunddienste<br />
Abbildung 19.9<br />
Eingabe von Informationen zur AD LDS-Instanz beim Erstellen des Kontospeichers<br />
• Das LDAP-Benutzerobjektattribut enthält den Benutzernamen. Bei der Verwendung eines UPN-<br />
Identitätsanspruchs würde beispielweise Benutzerprinzipalname verwendet werden.<br />
• Basis-DN für LDAP-Suche. Diese Einstellung ist optional. Bei Angabe einer Unterstruktur beziehen<br />
sich ausgeführte Suchläufe auf die angegebene Unterstruktur. Anderenfalls wird die gesamte<br />
Verzeichnisstruktur durchsucht.<br />
• Identitätsansprüche. Bei der Speicherkonfiguration können Sie außerdem die Identitätsanspruchstypen<br />
konfigurieren, die vom AD LDS-Speicher unterstützt werden, und die in den erwarteten<br />
Informationen enthaltenen Benutzerattribute festlegen.<br />
• Clientzeitüberschreitung. Diese Einstellung ist optional. Sie bezieht sich auf die Zeit, die der Verbunddienst<br />
auf eine Antwort vom AD LDS-Server wartet, bevor die Verbindung aufgrund einer<br />
Zeitüberschreitung getrennt wird. Der Standardwert beträgt 5 Sekunden.<br />
Hinzufügen von Gruppenanspruchs- und benutzerdefinierten Anspruchsextrahierungen<br />
Nach der Konfiguration der Benutzerkonten und -gruppen enthaltenden Kontospeicher können<br />
Anspruchsextrahierungen festgelegt werden, um mithilfe der im LDAP-Verzeichnis gespeicherten Informationen<br />
einen Benutzeranspruch zu erfüllen. Beim Erstellen einer Anspruchsextrahierung wird ein mit<br />
einem Benutzerkonto im Kontospeicher verknüpftes Attribut einem AD FS-Anspruch zugeordnet, der<br />
vom AD FS-Prozess verarbeitet werden kann.<br />
Hinweis Das Erstellen von Anspruchsextrahierungen für Identitätsansprüche ist nicht möglich. Diese Attribute<br />
werden bestimmten Benutzerkonten zugewiesen.<br />
Es gibt zwei Anspruchsextrahierungstypen:<br />
• Gruppenanspruchsextrahierungen Bei Gruppenanspruchsextrahierungen wird die Mitgliedschaft<br />
einer Gruppe im Verzeichnisspeicher mit einem Organisationsanspruch verknüpft. Beispielsweise<br />
könnte die Gruppe FinanzManager aus den AD DS mit dem Organisationsanspruch FinanzMana-
Implementieren der AD FS 763<br />
ger zugeordnet werden (siehe Abbildung 19.10). Folglich verfügen die Sicherheitstoken aller<br />
Mitglieder der Gruppe FinanzManager über den Anspruch FinanzManager, wenn sie eine Verbindung<br />
mit der Webanwendung des Ressourcenpartners herstellen.<br />
Abbildung 19.10 Zuordnen von Gruppen aus dem Kontospeicher zu AD FS-Ansprüchen durch die<br />
Konfiguration einer Gruppenanspruchsextrahierung<br />
• Benutzerdefinierte Ansprüche Bei benutzerdefinierten Ansprüchen wird ein Attribut im Verzeichnis<br />
einem benutzerdefinierten Organisationsanspruch zugeordnet. Der Name des Anspruchs ist<br />
eine einfache Zeichenfolge, die zu der Organisation passt, die den Namen festgelegt hat. Zum Beispiel<br />
könnte ein Organisationsanspruch, der als Abteilung bezeichnet wird, mit dem Attribut<br />
Abteilung in den AD DS verknüpft werden.<br />
Hinzufügen eines Ressourcenpartners<br />
Bisher wurde der Ressourcenpartner bei der Konfiguration der AD FS für einen Kontopartner nicht<br />
berücksichtigt. Tatsächlich ist die Vorgehensweise bei der Konfiguration des Ressourcenpartners mit<br />
der des Kontopartners bis zu diesem Punkt identisch. Damit jedoch die Verknüpfung zwischen dem<br />
Kontopartner und dem Ressourcenpartner hergestellt werden kann, ist zunächst das Erstellen eines<br />
Ressourcenpartners auf dem Kontoverbundserver erforderlich.<br />
Zum Hinzufügen eines Ressourcenpartners gibt es zwei Methoden:<br />
• Manuelles Konfigurieren der Ressource über die AD FS-Konsole.<br />
• Importieren der Ressourcenpartnerinformationen aus einer XML-Konfigurationsdatei, die zuvor<br />
vom Ressourcenpartner exportiert und zur Verfügung gestellt wurde. (Die XML-Datei enthält<br />
lediglich die Informationen, die anderenfalls manuell eingegeben werden müssten.)<br />
Bei der manuellen Konfiguration eines Ressourcenpartners müssen die in der Vertrauensrichtlinie des<br />
Ressourcenpartners festgelegten Informationen angegeben werden. Um den Ressourcenpartner zu<br />
konfigurieren, erweitern Sie in der AD FS-Konsole den Knoten Partnerorganisationen, klicken mit<br />
der rechten Maustaste auf Ressourcenpartner, wählen Neu und klicken auf Ressourcenpartner. Im<br />
Assistenten zum Hinzufügen eines Ressourcenpartners müssen die folgenden Informationen angegeben<br />
werden (siehe Abbildung 19.11):<br />
• Anzeigename.<br />
• Verbunddienst-URI.<br />
• Verbunddienstendpunkt-URL.<br />
• Verbundszenario. Es stehen die Optionen Federated-Web-SSO und Federated-Web-SSO mit<br />
Gesamtstruktur-Vertrauensstellung zur Auswahl.
764 Kapitel 19: <strong>Active</strong> <strong>Directory</strong>-Verbunddienste<br />
• Identitätsanspruch. Über diese Option wird festgelegt, ob UPN-Ansprüche, E-Mail-Ansprüche<br />
oder allgemeine Namensansprüche an den Ressourcenpartner gesendet werden. Es können alle<br />
drei, mindestens muss jedoch eine Option gewählt werden.<br />
• UPN-Suffixzuordnung. Bei der Verwendung von Benutzerprinzipalnamen-Suffixen besteht die<br />
Möglichkeit, alle Suffixe durch andere Suffixe zu ersetzen. Beispielsweise kann der Verbunddienst<br />
der Woodgrove Bank erfordern, dass alle Suffixe das Format WoodgroveBank.com aufweisen.<br />
Die Ressourcenpartnereinstellungen von Adatum können so konfiguriert werden, dass alle<br />
Adatum.com-UPNs durch WoodgroveBank.com ersetzt werden.<br />
Abbildung 19.11 Erstellen einer Seite der Vertrauensstellung zwischen den Konto- und Ressourcenpartnern durch<br />
die Konfiguration eines Ressourcenpartners<br />
Wichtig Die angegebenen Informationen müssen mit den für den Ressourcenpartner konfigurierten Informationen<br />
genau übereinstimmen, einschließlich der Groß- und Kleinschreibung des Verbunddienst-URIs.<br />
Direkt von der Quelle: Effizientere Erstellung von Verbundvertrauensstellungen mithilfe<br />
von Import- und Exportfunktionen<br />
Es lässt sich nicht leugnen: Die Einrichtung einer Verbundvertrauensstellung zwischen zwei Organisationen<br />
kann – aufgrund der Vielzahl an Schritten bei der manuellen Konfiguration beider Partner<br />
für eine erfolgreiche AD FS-Kommunikation – eine Herausforderung darstellen. In diesem Szenario<br />
sind beide Administratoren gleichermaßen für die Eingabe von Werten und Adressen (d.h.<br />
URIs, URLs und Ansprüchen) in die AD FS-Snap-Ins verantwortlich, die in der jeweiligen Verbundumgebung<br />
des Unternehmens eindeutig sind.<br />
Nach der ersten Installationsphase müssen sich die Administratoren der Organisationen diese Werte<br />
gegenseitig zur Verfügung stellen, damit eine Verbundvertrauensstellung ordnungsgemäß eingerichtet<br />
werden kann.
Implementieren der AD FS 765<br />
Selbst wenn diese Werte an den vorgesehenen Partneradministrator gesendet werden, besteht dennoch<br />
die Möglichkeit eines unbeabsichtigten Eingabefehlers durch den Administrator. Die Ermittlung<br />
der Fehlerquelle in der neuen Vertrauensstellung nach der Eingabe eines falsch oder unbeabsichtigt<br />
eingegebenen Wertes kann schnell mehrere Stunden dauern.<br />
Durch die verbesserten Funktionen in Windows Server 2008 kann jeder Partneradministrator die<br />
generische Vertrauensrichtlinie sowie die Partnervertrauensrichtlinie in eine kleine XML-Datei<br />
exportieren. Diese kann anschließend problemlos per E-Mail an den Administrator der Partnerorganisation<br />
übermittelt werden. Die generische Vertrauensrichtlinie enthält Werte wie Anzeigename<br />
des Verbundservers, URI, Verbundserverproxy-URL und alle Verifizierungszertifikatinformationen.<br />
Die Datei mit der Partnervertrauensrichtlinie umfasst ebenfalls Informationen zu den einzelnen<br />
Ansprüchen. Diese Informationen sind für die verbleibenden Schritte beim Einrichten der Verbundvertrauensstellung<br />
hilfreich, die durch das Importieren der Partnervertrauensrichtlinie und<br />
Zuordnen der Ansprüche schnell durchgeführt werden können.<br />
Das Exportieren der Informationen und das anschließende Versenden per E-Mail bietet dem Partneradministrator,<br />
der die XML-Datei empfängt, folgende Vorteile:<br />
• Schnellere Einrichtung einer Vertrauensstellung, da der Administrator die Inhalte der XML-<br />
Datei in den Assistenten zum Hinzufügen einer Partnerorganisation importieren kann. Die<br />
importierten Einstellungen muss der Administrator dann lediglich auf den einzelnen Seiten<br />
überprüfen und bestätigen.<br />
• Vermeidung des zusätzlichen Schritts, in dem das Kontoverifizierungszertifikat importiert werden<br />
muss, da dies beim Import automatisch geschieht.<br />
• Einfache Anspruchszuordnung<br />
• Verhinderung manueller Eingabefehler<br />
Sie können diese neue Funktion testen, indem Sie die Schrittweise Anleitung für die <strong>Active</strong> <strong>Directory</strong>-Verbunddienste<br />
in der Windows Server 2008-Version durcharbeiten.<br />
Nick Pierson<br />
Senior Technical Writer, Microsoft<br />
Hinzufügen ausgehender Anspruchszuordnungen<br />
Nach dem Erstellen des Ressourcenpartners können die ausgehenden Anspruchszuordnungen konfiguriert<br />
werden. Ausgehende Anspruchszuordnungen werden zur Umwandlung vom Kontopartner verwendeter<br />
interner Organisationsansprüche in Gruppenansprüche oder benutzerdefinierte Ansprüche<br />
genutzt, die für den Ressourcenpartner spezifisch sind. Die einzelnen Organisationen können unterschiedliche<br />
Namen für die Ansprüche verwenden. Beispielsweise kann Adatum über einen Organisationsanspruch<br />
FinanzManager und die Woodgrove Bank über einen zugehörigen Anspruch Adatum-<br />
FinanzManager verfügen. Durch das Erstellen der ausgehenden Anspruchszuordnung wird der<br />
Kontopartner-Organisationsanspruch in einen Anspruch umgewandelt, der die Anforderungen des<br />
Ressourcenpartners erfüllt.<br />
Hinweis Durch die Konfiguration ausgehender Anspruchszuordnungen kann derselbe Organisationsanspruch<br />
von mehreren Ressourcenpartnern genutzt werden. Der Organisationsanspruch FinanzManager<br />
kann beispielsweise sowohl dem Anspruch AdatumFinanzManager für die Woodgrove Bank als auch einem<br />
völlig anderen Anspruch für eine andere Ressourcenorganisation zugeordnet werden.
766 Kapitel 19: <strong>Active</strong> <strong>Directory</strong>-Verbunddienste<br />
Zum Kontopartner müssen für jeden Ressourcenpartner ausgehende Ansprüche hinzugefügt werden,<br />
die anschließend bereits hinzugefügten Organisationsansprüchen zugeordnet werden. Um eine Zuordnung<br />
eines ausgehenden Gruppenanspruchs zu erstellen, klicken Sie mit der rechten Maustaste auf<br />
den Ressourcenpartnernamen, wählen Sie Neu und klicken Sie auf Zuordnung von ausgehenden<br />
Gruppenansprüchen (siehe Abbildung 19.12). Zuordnungen ausgehender benutzerdefinierter Ansprüche<br />
können ebenfalls erstellt werden.<br />
Abbildung 19.12 Zuordnen von Ansprüchen des Kontopartners zu Ansprüchen des Ressourcenpartners durch die<br />
Konfiguration einer ausgehenden Anspruchszuordnung<br />
Konfigurieren von AD FS-Komponenten des Ressourcenpartners<br />
Der Verbunddienst des Ressourcenpartners schützt den Zugriff auf mindestens eine Anwendungsressource.<br />
Der Kontoverbundserver sendet Ansprüche an den Ressourcenverbundserver, der diese extrahiert<br />
und prüft, ob sie zu den zulässigen eingehenden Ansprüchen gehören. Anschließend werden sie<br />
den eigenen Organisationsansprüchen zugeordnet und zu einem neuen Token hinzugefügt, der diese<br />
mit einem Tokensignaturzertifikat signiert. So können die Ansprüche an den Web-Agent gesendet<br />
werden, der auf dem als IIS-Server installiert ist, der als Host für die Anwendung fungiert.<br />
Eine Vielzahl der ersten Schritte bei der Konfiguration des Ressourcenpartners sind mit denen bei der<br />
Konfiguration des Kontopartners vergleichbar:<br />
1. Konfigurieren der Vertrauensrichtlinie. Die Konfiguration der Vertrauensrichtlinie eines Ressourcenpartners<br />
ist mit der Konfiguration der Vertrauensrichtlinie eines Kontopartners identisch.<br />
2. Konfigurieren von Organisationsansprüchen. Beim Ressourcenpartner werden die Organisationsansprüche<br />
verwendet, um den Zugriff auf Anwendungen zu definieren. Die Organisationsansprüche<br />
sind die eigentlichen Ansprüche, auf denen die Autorisierungsentscheidungen von Ansprüche<br />
unterstützenden Anwendungen basieren. Für die Konfiguration von Organisationsansprüchen sind<br />
dieselben Optionen wie bei der entsprechenden Konfiguration für den Kontopartner verfügbar. Es<br />
besteht die Möglichkeit, eine beliebige Anzahl an Organisationsansprüchen zu erstellen und<br />
anschließend einzelne oder alle für jede einzelne Anwendung zu aktivieren, die der Ressourcenverbundserver<br />
schützt.<br />
3. Konfigurieren von Kontospeichern (optional) und Anspruchsextrahierungen. In einem reinen<br />
B2B-Verbundszenario ist die Konfiguration eines Kontospeichers auf dem Ressourcenverbundserver<br />
nicht erforderlich. Wenn Mitarbeitern oder Kunden jedoch der Zugriff über den bereits installierten<br />
Verbundmechanismus auf dieselben Ressourcen ermöglicht werden soll, muss ein<br />
Kontospeicher konfiguriert und die Rolle eines Kontoanbieters angenommen werden.
Implementieren der AD FS 767<br />
Möglicherweise müssen nach der Kontospeicherkonfiguration auch die Gruppenanspruchs- und<br />
benutzerdefinierten Anspruchsextrahierungen konfiguriert werden, um die Verzeichnisinformationen<br />
an die von der Anwendung verwendeten Ansprüche anzupassen.<br />
Konfigurieren von Anwendungen<br />
Damit der Zugriff auf eine Anwendung durch einen Ressourcenverbundserver verhindert werden<br />
kann, muss die Anwendung für den Verbundserver definiert werden. Bei der Konfiguration einer<br />
Anwendung auf einem Verbundserver gibt es zwei Möglichkeiten:<br />
• Ansprüche unterstützende Anwendungen Beim Einrichten einer Ansprüche unterstützenden<br />
Anwendung sind alle Informationen zu einer bestimmten Identität in dem Token enthalten, das<br />
von der Anwendung bereitgestellt wird. Verfügt eine Anwendung über ein zulässiges Token, kann<br />
die Ansprüche unterstützende Anwendung Autorisierungsentscheidungen basierend auf den<br />
Ansprüchen des Tokens treffen. Daher wird für den Zugriff auf eine Ansprüche unterstützende<br />
Anwendung kein Benutzerkonto in den Ressourcen-AD DS benötigt.<br />
• Windows NT-Token-basierte Anwendung Beim Erstellen einer Windows NT-Token-basierten<br />
Anwendung können Sie Ansprüche in eingehenden AD FS-Token entweder Benutzerkonten oder<br />
-gruppen im lokalen AD DS-Benutzerspeicher des Ressourcenpartners zuordnen. Die Benutzerkonten<br />
oder -gruppen werden ebenfalls als Ressourcenkonten bzw. Ressourcengruppen bezeichnet.<br />
Anschließend werden die Ressourcenkonten oder -gruppen von der Anwendung für die<br />
Autorisierung verwendet.<br />
Weitere Informationen Weitere Informationen zur Konfiguration von Windows NT-Token-basierten Konten<br />
finden Sie später in diesem Kapitel im Abschnitt „Konfigurieren von AD FS für Windows NT-Token-basierte<br />
Anwendungen“.<br />
Klicken Sie zum Hinzufügen einer Anwendung mit der rechten Maustaste unter Eigene Organisation<br />
auf den Knoten Anwendungen, wählen Sie Neu, und klicken Sie auf Anwendung. Im anschließend<br />
geöffneten Assistenten zum Hinzufügen von Anwendungen müssen folgende Informationen eingegeben<br />
werden:<br />
• Anwendungstyp Zur Auswahl stehen die Ansprüche unterstützende Anwendung und die<br />
Windows NT-Token-basierte Anwendung.<br />
• Anzeigename und URL der Anwendung Die URL muss mit der tatsächlich für den Zugriff auf die<br />
Anwendung verwendeten URL übereinstimmen.<br />
• Unterstützte Identitätsansprüche Über diese Option wird festgelegt, ob die Anwendung UPN-<br />
Ansprüche, E-Mail-Ansprüche oder allgemeine Namensansprüche unterstützt. Es können alle<br />
drei, mindestens muss jedoch eine Option gewählt werden.<br />
Nach dem Erstellen der Anwendung kann auf die Anwendungseigenschaften zugegriffen werden.<br />
Diese werden für die Konfiguration des Schutzmechanismus für die Sicherheitstoken benötigt, die zur<br />
Anwendung gesendet werden. Standardmäßig ist die Option Public Key-Infrastruktur (PKI) aktiviert,<br />
d.h. der Verbunddienst schützt die Sicherheitstoken für diese Anwendung durch Tokensignaturzertifikate.<br />
Alternativ kann auch ein Domänendienstkonto verwendet werden. Bei Auswahl dieser Option<br />
verwendet der Verbunddienst zum Schutz der Sicherheitstoken für diese Anwendung eine Kerberos-<br />
Anforderung. Wenn diese Option gewählt wird, ist die Angabe eines Dienstprinzipalnames (Service<br />
Principal Name, SPN) für das Zieldienstkonto erforderlich. Bei Verwendung des AD FS-Web-Agents<br />
für Ansprüche unterstützende Anwendungen muss der SPN für die Identität des Anwendungspools<br />
der geschützten Anwendung registriert sein.
768 Kapitel 19: <strong>Active</strong> <strong>Directory</strong>-Verbunddienste<br />
Des Weiteren kann festgelegt werden, welche Authentifizierungstypen von der Anwendung unterstützt<br />
werden sollen. Standardmäßig sind die Windows-integrierte Authentifizierung, die Authentifizierung<br />
durch Benutzername und Kennwort sowie die Zertifikats- oder TLS/SSL-Clientauthentifizierung<br />
aktiviert.<br />
Hinzufügen von Kontopartnern<br />
In der Regel verfügt ein Ressourcenpartner über mindestens einen konfigurierten Kontopartner. Ähnlich<br />
wie bei der Konfiguration eines Ressourcenpartners für den Kontopartner kann auch der Kontopartner<br />
manuell oder durch Importieren der vom Kontopartner exportierten Richtlinien konfiguriert<br />
werden.<br />
Kontopartner führen eine digitale Signierung des erstellten Sicherheitstokens durch. Die Token sind<br />
speziell für den Ressourcenverbunddienst konzipiert, um Anforderungen zu empfangen und bestimmten<br />
Partnern zu vertrauen. Aus diesem Grund wird für die Konfiguration des Kontopartners auf der<br />
Seite des Ressourcenpartners das Tokensignaturzertifikat benötigt. Bei der Konfiguration des Kontopartners<br />
ist die Angabe der folgenden Informationen erforderlich:<br />
• Anzeigename.<br />
• Verbunddienst-URI.<br />
• Verbunddienstendpunkt-URL.<br />
• Tokensignaturzertifikat des Kontopartners. Diese Werte werden beim Importieren der XML-Datei<br />
vom Kontopartner als erstes konfiguriert. Zudem kann zwischen der Verwendung des in der XML-<br />
Datei enthaltenen Tokensignaturzertifikats oder eines anderen Zertifikats gewählt werden.<br />
• Das Szenario, das gerade implementiert wird: ein Federated-Web-SSO-Entwurf oder ein Federated-Web-SSO-Entwurf<br />
mit Gesamtstrukturvertrauensstellung.<br />
• Vom Kontopartner bereitgestellte Identitätsanspruchstypen.<br />
• Vom Kontopartner zugelassene UPN- und E-Mail-Suffixe.<br />
Hinzufügen eingehender Anspruchszuordnungen<br />
Durch eingehende Gruppenanspruchszuordnungen werden Gruppen- oder benutzerdefinierte Ansprüche,<br />
die von einem Kontopartner gesendet wurden, in Ansprüche umgewandelt, die der Ressourcenpartner<br />
für Autorisierungsentscheidungen verwendet. Zum Beispiel kann der eingehende Anspruch<br />
von Adatum den Anspruch AdatumFinanzManager enthalten. Die Anwendung ist möglicherweise für<br />
die Verwendung des Anspruchs KundenManager konfiguriert, um die richtige Zugriffsebene für die<br />
Anwendung bereitzustellen. Die Konfiguration des eingehenden Anspruchs ermöglicht die Zuordnung<br />
des vom Kontopartner gesendeten Anspruchs zu einem Anspruch, der von der Anwendung verarbeitet<br />
werden kann.<br />
Um ausgehende benutzerdefinierte Ansprüche beim Kontopartner zu verarbeiten, können zudem<br />
Zuordnungen für eingehende benutzerdefinierte Ansprüche konfiguriert werden. Angenommen ein<br />
Kontopartner sendet ein Sicherheitstoken für einen Benutzer, das den benutzerdefinierten Anspruch<br />
MitarbeiterID enthält. Da der Ressourcenpartner keine auf diesem Anspruch basierende Autorisierungsentscheidungen<br />
treffen kann, besteht die Möglichkeit, eine Zuordnung für einen eingehenden<br />
benutzerdefinierten Anspruch zu konfigurieren, die den benutzerdefinierten Anspruch MitarbeiterID<br />
in einen als KundenID bezeichneten benutzerdefinierten Anspruch umwandelt.
Implementieren der AD FS 769<br />
Hinweis Für alle eingehenden Gruppenansprüche müssen entsprechende Zuordnungen erstellt werden,<br />
selbst wenn dadurch eine Transformation der Ansprüche in ihren ursprünglichen Wert stattfindet. Wenn es<br />
sich beim eingehenden Anspruch zum Beispiel um AdatumFinanzManager handelt und der Ressourcenpartner<br />
eine Benutzermitgliedschaft in der Gruppe AdatumFinanzManager verwenden kann, um Autorisierungsentscheidungen<br />
zu treffen, muss dennoch eine Zuordnung für den Gruppenanspruch erstellt werden. In<br />
diesem Fall wird die Zuordnung für den Gruppenanspruch zum Transformieren von AdatumFinanzManager<br />
in AdatumFinanzManager verwendet, wobei der Anspruch unverändert bleibt.<br />
So funktioniert es: Grundlegendes zu Ansprüchen<br />
Die verschiedenen Erläuterungen zu Ansprüchen können verwirren und das Verständis des Zusammenspiels<br />
der einzelnen Ansprüche erschweren. Abbildung 19.13 veranschaulicht die Interaktionen<br />
zwischen den Ansprüchen.<br />
Kontopartner<br />
Adatum<br />
Adatum.com<br />
FinanzManager<br />
Ressourcenpartner<br />
Woodgrove Bank<br />
Gruppenanspruchextrahierung<br />
Zuordnung ausgehender<br />
Ansprüche<br />
FinManager<br />
AdatumManager<br />
Organisationsansprüche<br />
Organisationsansprüche<br />
Zuordnung eingehender<br />
Ansprüche<br />
Finanzen<br />
AD-Web-Agent<br />
Abbildung 19.13 Weiterleitung der Ansprüche vom Kontopartner über mehrere Zuordnungen an den<br />
Ressourcenpartner<br />
Diese Abbildung zeigt alle Vorgänge bei der Verwendung von Organisationsansprüchen. In diesem<br />
Beispiel haben die AD FS-Administratoren von Adatum den Organisationsanspruch Manager<br />
erstellt und anschließend die AD DS-Gruppe FinanzManager mithilfe einer Gruppenanspruchsextrahierung<br />
mit dem Organisationsanspruch Manager verknüpft.
770 Kapitel 19: <strong>Active</strong> <strong>Directory</strong>-Verbunddienste<br />
Da die Woodgrove Bank jedoch die Finanz-Manager von unterschiedlichen Organisationen unterscheiden<br />
muss, ist es erforderlich, dass alle Ansprüche für die Finanz-Manager von Adatum als<br />
AdatumManager gekennzeichnet werden. Daher müssen die Administratoren von Adatum eine<br />
Zuordnung für den ausgehenden Gruppenanspruch erstellen, über die der Organisationsanspruch<br />
Manager dem Anspruch AdatumManager zugeordnet wird.<br />
Wenn bei einem Partner eine Anspruchszuordnung erstellt und benannt wird, ist es wichtig, dass<br />
für die Anspruchszuordnung beim anderen Partner genau derselbe Name vergeben wird. In diesem<br />
Szenario wird beispielsweise bei Adatum eine Zuordnung des ausgehenden Gruppenanspruch für<br />
AdatumManager erstellt. Bei der Woodgrove Bank muss eine Zuordnung für den eingehenden<br />
Gruppenanspruch konfiguriert werden, die ebenfalls den Namen AdatumManager verwendet. Der<br />
gemeinsam genutzte Name für den Anspruch stellt die Verbindung zwischen den beiden Verbundservern<br />
dar.<br />
Die Webanwendung der Woodgrove Bank wurde so konfiguriert, dass ein Anspruch mit dem<br />
Namen Finanzen für Autorisierungsentscheidungen eingesetzt wird. Daher müssen die AD FS-<br />
Administratoren der Woodgrove Bank einen eingehenden Gruppenanspruch konfigurieren, der den<br />
Anspruch AdatumManager zulässt und in einen Anspruch namens Finanzen für die Webanwendung<br />
transformiert.<br />
Schließlich erhalten die Mitgliedern der AD DS-Gruppe FinanzManager bei Adatum alle Zugriffsrechte,<br />
die dem Anspruch Finanzen auf dem Webserver der Woodgrove Bank zugewiesen wurden.<br />
Zuordnungen ausgehender und eingehender Gruppenansprüche bilden eine Abstraktionsebene zwischen<br />
den beiden Verbundpartnern. Es kann zum Beispiel sein, dass der Kontopartner die internen<br />
AD DS-Gruppennamen dem Verbundpartner nicht ohne weiteres mitteilen möchte. Zudem möchte<br />
der Verbundpartner die von eigenen Anwendungen verwendeten internen Anspruchsdetails möglicherweise<br />
nicht gemeinsam mit dem Kontopartner nutzen. Die interne AD DS-Gruppenstruktur<br />
wird bei der Konfiguration einer Zuordnung für einen ausgehenden Anspruch auf der Seite des<br />
Kontopartners ausgeblendet. Auch auf der Seite des Ressourcenpartners sind die Anwendungsansprüche<br />
nicht sichtbar, wenn eine Zuordnung für einen eingehenden Anspruch konfiguriert wird.<br />
Der Ressourcenpartner und Kontopartner müssen sich lediglich auf den Namen und die Autorisierungsanforderungen<br />
des Anspruchs einigen, der zwischen den Organisationen übermittelt wird.<br />
Konfigurieren von AD FS für Windows NT-Token-basierte Anwendungen<br />
Ein Großteil der bisherigen Beschreibungen zur Implementierung der <strong>Active</strong> <strong>Directory</strong>-Verbunddienste<br />
betraf deren Konfiguration für die Verwendung einer Ansprüche unterstützenden Anwendung.<br />
Eine Vielzahl an Organisationen verfügt jedoch bereits über Windows NT-Token-basierte<br />
Anwendungen, und es würde einige Zeit in Anspruch nehmen, um diese Anwendungen alle in<br />
Ansprüche unterstützende Anwendungen umzuprogrammieren. Dieser Abschnitt enthält Details zur<br />
Konfiguration von <strong>Active</strong> <strong>Directory</strong>-Verbunddiensten für die Verwendung von Windows NT-Tokenbasierten<br />
Anwendungen.<br />
Eine direkte Verarbeitung von AD FS-Ansprüchen durch Windows NT-Token-basierte oder Legacy-<br />
Anwendungen ist nicht möglich. Stattdessen werden alle Ressourcen auf dem Webserver durch<br />
Zugriffsteuerungslisten gesichert, die die SIDs für Sicherheitsprinzipale aus der AD DS-Gesamtstruktur<br />
der Ressource oder aus einer vertrauenswürdigen Gesamtstruktur enthalten. Das bedeutet, dass der<br />
Web-Agent, der eine Token-basierte Anwendung schützt, den Anspruch vom Ressourcenverbundserver<br />
zulassen muss.
Implementieren der AD FS 771<br />
Anschließend verwendet der Web-Agent die Informationen im Anspruch zur Suche nach einem zugehörigen<br />
AD DS-Benutzerkonto oder einer zugehörigen Benutzergruppe. Mithilfe des AD DS-Kontos<br />
erstellt der Web-Agent dann ein Zugriffstoken und gewährt basierend auf der Benutzer- oder Gruppenkonto-SID<br />
entsprechende Berechtigungen.<br />
Für den Zugriff auf Token-basierte Anwendungen ist die Konfiguration der Organisationsansprüche<br />
auf dem Ressourcenverbundserver erforderlich, auf dem der Organisationsanspruch einem Ressourcenbenutzer<br />
oder einer Ressourcengruppe zugeordnet wird. Bei der Woodgrove Bank kann zum<br />
Beispiel der Organisationsanspruch KundenManager der Gruppe KundenManager@Woodgrove-<br />
Bank.com zugeordnet werden (siehe Abbildung 19.14).<br />
Abbildung 19.14 Verwenden des Anspruchs durch Token-basierte Anwendungen über die Zuordnung einer<br />
Ressourcengruppe zu einem Organisationsanspruch<br />
Ressourcenbenutzer- bzw. Ressourcengruppenkonten können auf zwei Arten für den Zugriff auf<br />
Token-basierte Anwendungen implementiert werden:<br />
• Verwenden von Benutzer- und Gruppenkonten aus der Gesamtstruktur, in der der AD FS-Ressourcenverbundserver<br />
installiert ist, oder aus einer vertrauenswürdigen Domäne. Diese Option ist in<br />
einer B2E-Bereitstellung hilfreich, da die Mitarbeiter wahrscheinlich über Konten in der Gesamtstruktur<br />
verfügen, in der sich bereits die <strong>Active</strong> <strong>Directory</strong>-Verbunddienste befinden. Möglicherweise<br />
nutzen sie für die Authentifizierung gegenüber anderen webbasierten Ressourcen dieselben<br />
Anmeldeinformationen. Darüber hinaus kann diese Option gewählt werden, wenn ein Federated-<br />
Web-SSO-Entwurf mit Gesamtstrukturvertrauensstellung verwendet wird, da die Gesamtstruktur<br />
des Umkreisnetzwerks den Benutzerkonten aus der internen Gesamtstruktur vertraut.<br />
• Verwenden von Ressourcenbenutzer- und Ressourcengruppenkonten. Das Erstellen von Ressourcenkonten<br />
und -gruppen in der Ressourcengesamtstruktur dient dem Zweck, die Autorisierung<br />
gegenüber Token-basierten Anwendungen zu ermöglichen. Bei der Verwendung von Ressourcenbenutzer-<br />
und Ressourcengruppenkonten werden die Konten nicht für die Authentifizierung eingesetzt –<br />
eine Benutzerauthentifizierung gegenüber dem Kontoverbundserver ist weiterhin erforderlich und<br />
auch der normale Vorgang zum Erstellen von Ansprüchen findet nach wie vor Anwendung.
772 Kapitel 19: <strong>Active</strong> <strong>Directory</strong>-Verbunddienste<br />
Eine Besonderheit bei der Verwendung von Ressourcenkonten ist, dass möglicherweise viele unterschiedliche<br />
Ressourcenkonten erstellt werden müssen, wenn die Organisation über mehrere Tokenbasierte<br />
Anwendungen verfügt und die Kontopartner über viele verschiedene Benutzerkonten auf die<br />
Anwendung zugreifen. Zur Vereinfachung dieses Prozesses bieten die <strong>Active</strong> <strong>Directory</strong>-Verbunddienste<br />
die folgenden Ressourcenkontomethoden:<br />
• Ressourcenkonten Bei dieser Methode wird ein in <strong>Active</strong> <strong>Directory</strong> erstellter Sicherheitsprinzipal<br />
(normalerweise ein Benutzerkonto) für die Zuordnung zu einem einzelnen Verbundbenutzer<br />
eingesetzt. Diese Option bietet zwar eine genaue Zugriffssteuerung auf Benutzerebene, erfordert<br />
aber auch die Erstellung eines eindeutigen Ressourcenkontos für jeden Benutzer, der auf die<br />
Anwendung zugreifen wird.<br />
• Ressourcengruppen Bei dieser Methode wird eine in AD DS erstellte Sicherheitsgruppe eingehenden<br />
Gruppenansprüchen zugeordnet. Der Implementierungsaufwand bei dieser Methode ist<br />
geringer, da nicht für jeden Verbundbenutzer separate Ressourcenkonten erstellt und verwaltet<br />
werden müssen. Eine Ressourcengruppe kann eine unbegrenzte Anzahl an Verbundbenutzern<br />
unterstützen, die dieser zugeordnet sind. Der entscheidende Nachteil dieser Methode ist, dass<br />
eine Zugriffssteuerung einzelner Benutzer durch die Ressourcenorganisation nicht möglich ist und<br />
darauf vertraut werden muss, dass die Kontoorganisation ausschließlich geeignete Benutzer zum<br />
Gruppenanspruch hinzufügt.<br />
• Gruppe-zu-UPN-Zuordnung Bei dieser Methode wird eine Gruppe von Verbundbenutzern dem in<br />
der Ressourcengesamtstruktur erstellten UPN eines Benutzerkontos zugeordnet. Es nicht mehr<br />
erforderlich, für jeden Verbundbenutzer separate Ressourcenkonten zu erstellen und zu verwalten.<br />
Die mangelnde Granularität bei der Überwachung ist der primäre Nachteil dieser Option. Da<br />
mehrere Benutzer über dieselbe Gruppe auf die Anwendung zugreifen werden, ist eine Überwachung<br />
einzelner Benutzerzugriffe nicht möglich.<br />
Hinweis Eine Möglichkeit, um den Verwaltungsaufwand für die Ressourcenkonten zu verringern, ist der<br />
Einsatz eines Identitätsbereitstellungstools wie Microsoft Identity Lifecycle Manager 2007 (ILM), mit dem die<br />
benötigten Konten automatisch erstellt werden können. Die Verwendung eines Transformationsmoduls für<br />
Ansprüche ist eine weitere Möglichkeit, um Konten automatisch zu erstellen und diese nach Beendigung der<br />
Sitzung wieder zu entfernen.<br />
Zur Implementierung von Ressourcengruppen ist möglicherweise das Hinzufügen von UPN-Suffixen<br />
zur Ressourcengesamtstruktur erforderlich. Wenn zum Beispiel Benutzer in der Gesamtstruktur<br />
WoodgroveBank.com den UPN Benutzer@WoodgroveBank.com verwenden, der keinem bereits zugelassenem<br />
UPN in der Ressourcengesamtstruktur zugeordnet ist, muss der UPN WoodgroveBank.com<br />
zur Ressourcengesamtstruktur hinzugefügt werden.<br />
Implementieren eines Web-SSO-Entwurfs<br />
Der Web-SSO-Entwurf ist im Vergleich zum Federated-Web-SSO-Entwurf weniger komplex, da er<br />
nur die folgenden Komponenten umfasst:<br />
• Ein Verbundserver (erforderlich). Der Verbundserver fungiert in diesem Entwurf als Kontopartner<br />
und auch als Ressourcenpartner.<br />
• Ein Verbundserverproxy (in dieser Bereitstellung optional).<br />
• Ein Webserver mit installiertem AD FS-Web-Agent und einer installierten Ansprüche unterstützenden<br />
oder Windows NT-Token-basierten Anwendung (erforderlich).
Implementieren der AD FS 773<br />
Die Installation des Web-SSO-Entwurfs erfordert die folgenden Schritte:<br />
1. Vorbereiten der Umgebung. Dieser Schritt umfasst die Installation der Serverrolle Webserver (IIS)<br />
auf jedem Computer und die Konfiguration der Webserverzertifikate sowie der Rollendienste Verbunddienst<br />
und Verbunddienstproxy.<br />
2. Konfigurieren des Verbundservers anhand der folgenden Schritte:<br />
a. Konfigurieren der Vertrauensrichtlinie. Die Schritte stimmen mit denen zur Konfiguration der<br />
Vertrauensrichtlinie im Federated-Web-SSO-Entwurf überein.<br />
b. Konfigurieren der Organisationsansprüche. Der Verbundserver fungiert im Web-SSO-Entwurf<br />
als Kontopartner und auch als Ressourcenpartner. Folglich werden die Organisationsansprüche<br />
entweder über die AD DS oder die AD LDS gefüllt.<br />
c. Hinzufügen und Konfigurieren von Kontospeichern. Die Benutzerkonten müssen entweder<br />
in den AD DS oder den AD LDS gespeichert werden. Daher muss mindestens ein Kontospeicher<br />
zum Verbundserver hinzugefügt werden. Sobald Benutzer auf die Anwendung zugreifen,<br />
werden diese gegenüber dem Kontospeicher authentifiziert, um die Erstellung des Sicherheitstokens<br />
zu starten.<br />
d. Erstellen von Anspruchszuordnungen für die Anwendung. Der Organisationsanspruch muss<br />
Ansprüchen zugeordnet werden, die von der Anwendung verarbeitet werden können. Ähnlich<br />
wie beim Federated-Web-SSO-Entwurf ist bei Verwendung von Windows NT-Token-basierten<br />
Anwendungen die Einrichtung von Ressourcengruppen erforderlich. Hierzu können AD<br />
DS-Konten in der Gesamtstruktur, in der der Verbundserver bereitgestellt ist, oder Ressourcenkonten<br />
verwendet werden.<br />
e. Hinzufügen und Konfigurieren einer Anwendung. Wie der Ressourcenpartner ermöglicht die<br />
Anwendung den Zugriff auf die freigegebene Ressource. Die Anwendung muss dem Verbunddienst<br />
hinzugefügt werden, sodass der Verbundserver Clientanforderungen an den entsprechenden<br />
Webserver umleiten kann.<br />
Implementieren eines Federated-Web-SSO-Entwurfs mit<br />
Gesamtstrukturvertrauensstellung<br />
Bei der AD FS-Bereitstellung besteht ebenfalls die Möglichkeit, den Federated-Web-SSO-Entwurf<br />
mit Gesamtstrukturvertrauensstellung zu implementieren. Der Federated-Web-SSO-Entwurf mit<br />
Gesamtstrukturvertrauensstellung wird weiterhin – wie dies auch bei der Web-SSO-Bereitstellung der<br />
Fall ist – hauptsächlich für B2E- bzw. B2C-Bereitstellungen verwendet, allerdings erfordert er zwei<br />
AD DS-Gesamtstrukturen und ist somit komplexer. Der Federated-Web-SSO-Entwurf mit Gesamtstrukturvertrauensstellung<br />
wird hauptsächlich verwendet, um den Einsatz von Windows NT-Tokenbasierten<br />
Anwendungen zu ermöglichen, die Autorisierungsentscheidungen anhand von Benutzeranmeldeinformationen<br />
aus der internen Gesamtstruktur treffen. Bei Verwendung einer Gesamtstrukturvertrauensstellung<br />
ist die Erstellung von Ressourcenbenutzer- oder Ressourcengruppenkonten im<br />
Umkreisnetzwerk der AD DS-Gesamtstruktur nicht mehr erforderlich.<br />
Ein Federated-Web-SSO-Entwurf mit Gesamtstrukturvertrauensstellung erfordert die folgenden<br />
Komponenten:<br />
• Zwei Verbundserver. In diesem Entwurf fungiert eine Verbundserver als Kontopartner und ein<br />
zweiter Verbundserver als Ressourcenpartner. Obwohl sich beide Verbundserver in derselben Organisation<br />
befinden, werden sie in separaten Gesamtstrukturen bereitgestellt. Verbundserverproxys<br />
sind in dieser Bereitstellung optional.
774 Kapitel 19: <strong>Active</strong> <strong>Directory</strong>-Verbunddienste<br />
• Zwei AD DS-Gesamtstrukturen. Eine unidirektionale (oder bidirektionale) Gesamtstrukturvertrauensstellung,<br />
die so konfiguriert ist, dass die externe Gesamtstruktur der internen Gesamtstruktur<br />
vertraut.<br />
• Ein Webserver mit installiertem AD FS-Web-Agent und einer installierten Ansprüche unterstützenden<br />
oder Windows NT-Token-basierten Anwendung.<br />
Die Bereitstellung des Federated-Web-SSO-Entwurfs mit Gesamtstrukturvertrauensstellung erfordert<br />
die folgenden Schritte:<br />
1. Vorbereiten der Umgebung. Dieser Schritt umfasst die Installation der Serverrolle Webserver (IIS)<br />
auf jedem Computer und die Konfiguration der Webserverzertifikate sowie der Rollendienste<br />
Verbunddienst und Verbunddienstproxy.<br />
2. Konfigurieren einer Gesamtstrukturvertrauensstellung zwischen der Gesamtstruktur des<br />
Umkreisnetzwerks und der internen Gesamtstruktur. Mithilfe dieser Vertrauensstellung können<br />
Windows NT-Token-basierte Anwendungen Autorisierungsentscheidungen treffen, die auf internen<br />
AD DS-Konten basieren.<br />
3. Konfigurieren des Kontoverbundpartners. In diesem Szenario dient der Kontoverbundpartner als<br />
Verbundserver, der sich im internen Netzwerk befindet und auf einem Server ausgeführt wird, der<br />
ein Mitglied der internen AD DS-Gesamtstruktur ist. Die Konfiguration des Verbunddienstes<br />
erfordert die folgenden Schritte:<br />
a. Konfigurieren der Vertrauensrichtlinie.<br />
b. Konfigurieren der Organisationsansprüche. Die Informationen zum Füllen der Organisationsansprüche<br />
werden aus der internen AD DS-Gesamtstruktur abgerufen.<br />
c. Hinzufügen und Konfigurieren von Kontospeichern. Die Benutzerkonten werden in der internen<br />
AD DS-Gesamtstruktur gespeichert, daher muss der standardmäßige AD DS-Kontospeicher<br />
zum Verbundserver hinzugefügt werden.<br />
d. Konfigurieren der Organisationsgruppen- oder benutzerdefinierten Anspruchsextrahierungen.<br />
AD DS-Gruppen müssen den entsprechenden Organisationsgruppenansprüchen oder benutzerdefinierten<br />
Ansprüchen zugeordnet werden.<br />
e. Hinzufügen und Konfigurieren eines Ressourcenpartners. In diesem Fall handelt es sich beim<br />
Ressourcenpartner um den Verbundserver in der Gesamtstruktur des Umkreisnetzwerks.<br />
f. Erstellen von Zuordnungen ausgehender Ansprüche für den Ressourcenpartner. Organisationsansprüche<br />
werden Ansprüchen zugeordnet, die von der Ressourcenpartneranwendung verarbeitet<br />
werden können.<br />
4. Konfigurieren des Ressourcenverbundpartners. In diesem Szenario dient der Ressourcenverbundpartner<br />
als Verbundserver, der sich im Umkreisnetzwerk befindet und auf einem Server ausgeführt<br />
wird, der ein Mitglied der AD DS-Gesamtstruktur des Umkreisnetzwerks ist. Die<br />
Konfiguration des Verbunddienstes erfordert die folgenden Schritte:<br />
a. Konfigurieren der Vertrauensrichtlinie.<br />
b. Konfigurieren der Organisationsansprüche.<br />
c. Hinzufügen und Konfigurieren einer AD FS-Anwendung. Obwohl die Verwendung von<br />
Ansprüche unterstützenden Anwendungen in diesem Szenario möglich ist, handelt es sich bei<br />
den meisten Anwendungen wahrscheinlich um Windows NT-Token-basierte Anwendungen.<br />
d. Hinzufügen und Konfigurieren eines Kontopartners.<br />
e. Erstellen einer Zuordnung eingehender Ansprüche für die Anwendung.
Zusammenfassung 775<br />
f. Bereitstellen der Anwendung auf den Webservern.<br />
g. Zuweisen von Zugriffsteuerungsrechten zu Verbundbenutzerkonten.<br />
Zusammenfassung<br />
Die <strong>Active</strong> <strong>Directory</strong>-Verbunddienste bieten eine Möglichkeit, Netzwerkauthentifizierungs- und<br />
Autorisierungsdienste von AD DS ebenfalls Benutzern außerhalb der Organisation bereitzustellen.<br />
Mithilfe der AD FS lassen sich webbasierte Anwendungen bereitstellen, für die ein SSO-Zugriff eingerichtet<br />
werden kann. Daher ist es nicht erforderlich, dass alle Benutzer über ein Benutzerkonto in<br />
der internen AD DS-Gesamtstruktur verfügen. Dies ermöglicht Szenarien für die Zusammenarbeit mit<br />
anderen Organisationen, Kunden oder Remotemitarbeitern, die von außerhalb der Organisation auf<br />
Anwendungen zugreifen.<br />
Empfohlene Vorgehensweisen<br />
• Stellen Sie Verbundserver bereit, die die interne AD DS-Gesamtstruktur als Kontospeicher im<br />
internen Netzwerk nutzen. Dies ist wichtig, da Verbundserver autorisiert sind, Sicherheitstoken zu<br />
erteilen. Aus diesem Grund sollten für Verbundserver dieselben Schutzmaßnahmen ergriffen werden<br />
wie für Domänencontroller. Des Weiteren sollten Sie zum Schutz des Verbundservers zusätzlich<br />
Verbundserverproxys im Umkreisnetzwerk bereitstellen.<br />
• Deaktivieren Sie als weitere Sicherheitsmaßnahme alle Ressourcenbenutzerkonten. Ist dies nicht<br />
möglich, sollten alle Ressourcenbenutzerkonten zu einer Sicherheitsgruppe hinzugefügt und die<br />
Berechtigung der Sicherheitsgruppe so festgelegt werden, dass eine lokale Anmeldung auf dem<br />
AD FS-Webserver nicht zulässig ist.<br />
Zusätzliche Ressourcen<br />
• Kapitel 18, „<strong>Active</strong> <strong>Directory</strong>-Rechteverwaltungsdienste“, beschreibt die Integration der AD FS in<br />
die AD RMS. Dieses Feature ermöglicht die Verwendung der mit den AD FS verbundenen Identitäten<br />
in einer AD RMS-Bereitstellung, um Daten bei der Übermittlung zwischen Organisationen zu<br />
schützen.<br />
• Informationen zu Entwürfen und Bereitstellungen sowie eine Schrittanleitung für die AD FS-<br />
Implementierung in einer Testumgebung finden Sie auf der Website „<strong>Active</strong> <strong>Directory</strong>-Verbunddienste“<br />
in der technischen Bibliothek zu Windows Server 2008 unter http://technet2.microsoft.com/windowsserver2008/de/servermanager/activedirectoryfederationservices.mspx.<br />
• Weitere Informationen zur Konfiguration von AD FS in Zusammenhang mit anderen<br />
Identitätsverbundprodukten wie IBM Tivoli Federated Identity Manager und CA SiteMinder<br />
Federation Security Services finden Sie auf der englischsprachigen Website „<strong>Active</strong> <strong>Directory</strong><br />
Federation Services“ im Windows Server 2003-TechCenter. Diese Website finden Sie unter<br />
http://technet2.microsoft.com/windowsserver2008/de/servermanager/activedirectoryfederationservices.mspx.<br />
• Das Entwurfs- und Bereitstellungshandbuch für <strong>Active</strong> <strong>Directory</strong>-Verbunddienste steht unter<br />
http://www.microsoft.com/downloads/details.aspx?FamilyID=b92ea722-0c30-4ea6-bd45-<br />
7e5934b870cf&DisplayLang=en in englischer Sprache zum Download bereit. Es enthält detaillierte<br />
Informationen zu Entwurf und Bereitstellung einer AD FS-Implementierung, wie z.B. die<br />
Bereitstellung mehrerer Server in einer Verbundserverfarm-Konfiguration.
776 Kapitel 19: <strong>Active</strong> <strong>Directory</strong>-Verbunddienste<br />
• Das englischsprachige Handbuch „Configure Web SSO authentication by using AD FS (Office<br />
SharePoint Server)“ finden Sie unter http://technet2.microsoft.com/Office/en-us/library/61799f9ada01-4c11-b930-52e5114324451033.mspx?mfr=true.<br />
Dieses Dokument enthält Erläuterungen zur<br />
Konfiguration von Microsoft Office SharePoint Server 2007 für die Verwendung mit den <strong>Active</strong><br />
<strong>Directory</strong>-Verbunddiensten.<br />
• Detaillierte Informationen zur Problembehandlung finden Sie im Bereich „<strong>Active</strong> <strong>Directory</strong> Federation<br />
Services“ auf der englischsprachigen Website zur Problembehandlung für Windows Server<br />
2008 unter http://technet2.microsoft.com/windowsserver2008/en/library/acc299c9-3bff-4c2db4af-78d772012b101033.mspx?mfr=true.<br />
Ressourcen auf der CD<br />
• Die Excel-Tabelle AD FS Documentation.xls dient als Vorlage für die Dokumentation der AD FS-<br />
Bereitstellung in Ihrer Organisation.<br />
Verwandte Hilfethemen<br />
• „AD FS-Problembehandlung“ in der Produkthilfe zu den <strong>Active</strong> <strong>Directory</strong>-Verbunddiensten<br />
• „AD FS-Terminologie“ in der Produkthilfe zu den <strong>Active</strong> <strong>Directory</strong>-Verbunddiensten
777<br />
Stichwortverzeichnis<br />
1:1-Zuordnung von Zertifikaten 292<br />
A<br />
Abgelehnte RODC-Kennwortreplikationsgruppe 208<br />
Abgesicherter Modus 588<br />
Abhängige Dienste, anhalten 8<br />
Ablaufzeit, Tombstone 103<br />
Abmeldecookies 746<br />
Abteilungsübergreifende Kommunikation 153<br />
Abwärtskompatibilität 276, 298<br />
<strong>Active</strong> <strong>Directory</strong> Application Mode (ADAM) 14, 735, 746<br />
<strong>Active</strong> <strong>Directory</strong> Lightweight <strong>Directory</strong> Services (AD<br />
LDS) 145, 611<br />
AD DS-Synchronisierung 643<br />
empfohlene Vorgehensweisen 646<br />
gespeicherte Konten 735<br />
implementieren 630<br />
Konfigurieren von Instanzen und Partitionen 630<br />
Replikationskonfiguration 638<br />
Sicherung und Wiederherstellung 640<br />
Verwaltungstools 633<br />
Instanzen in 615<br />
Kontopartner und 746<br />
Replikation 620<br />
Server in 614<br />
Sicherheit für 624<br />
Authentifizierung 628<br />
Berechtigungen 626<br />
Sicherheitsprinzipale 624<br />
Standardgruppen 625<br />
Tools für die 647<br />
Überblick 612<br />
Verzeichnispartitionen in 616<br />
Anwendungen 619<br />
Konfiguration 616<br />
Schema 617<br />
<strong>Active</strong> <strong>Directory</strong> Lightweight <strong>Directory</strong> Services, Setup-Assistent<br />
618, 630, 631, 632, 633, 638, 639, 647<br />
<strong>Active</strong> <strong>Directory</strong> Management Pack 136<br />
<strong>Active</strong> <strong>Directory</strong> Service Interface (ADSI) 35, 60, 383<br />
<strong>Active</strong> <strong>Directory</strong>-Anwendungsmodus-Setup-Assistent 617,<br />
623<br />
<strong>Active</strong> <strong>Directory</strong>-Benutzer und -Computer, Snap-In<br />
AD-Datenbankbereitstellungstool und 601<br />
angezeigte Attribute 37<br />
bei der Migration 256<br />
benutzerdefinierte Anpassung von MMC-Snap-In für Administratoren<br />
347<br />
Benutzerprofile und 458, 459<br />
Domänenkonfiguration und 60<br />
Domänenverzeichnispartition und 42<br />
für GPC-Objekt 400<br />
inetOrgPerson-Objekt, erstellt von 358<br />
Infrastrukturmaster und 252<br />
Objektanzeige über 323<br />
PDC-Emulator, Übernehmen der Rolle 604<br />
resultierende PSOs und 521<br />
RODC-Bereitstellung 235<br />
Überprüfen der Installation 230<br />
Überwachung aktiviert 306<br />
zum Ändern des Objektzugriffs 323<br />
zum Zuordnen von Zertifikaten 293<br />
zwischengespeicherte Anmeldeinformationen 26, 207<br />
<strong>Active</strong> <strong>Directory</strong>-Clienterweiterung 298, 299<br />
<strong>Active</strong> <strong>Directory</strong>-Diagnosetool 252, 253<br />
<strong>Active</strong> <strong>Directory</strong>-Dienste 11<br />
<strong>Active</strong> <strong>Directory</strong> Lightweigt Services, Rolle 14<br />
Rechteverwaltungsdienste, Rolle 15<br />
Verbunddienste, Rolle 13<br />
Zertifikatdienste, Rolle 11<br />
<strong>Active</strong> <strong>Directory</strong>-Domänen und -Vertrauensstellungen, Snap-<br />
In 29, 60, 255, 261, 357<br />
<strong>Active</strong> <strong>Directory</strong>-Domänendienste (AD DS) Siehe auch Verwaltung,<br />
delegieren; Domain Name System (DNS); Installieren<br />
der AD DS; Migrieren auf AD DS; 3<br />
AD LDS-Synchronisierung 643<br />
Datenbankbereitstellungstool in 9<br />
fein abgestimmte Kennwortrichtlinien in 7<br />
gespeicherte Konten 735<br />
Kontopartner und 746<br />
neustartfähig 8<br />
Rechteverwaltungsdienste (RMS) und 696<br />
schreibgeschützter Domänencontroller (RODC) 3<br />
überwachen 6<br />
Verbesserungen der Benutzeroberfläche 9<br />
<strong>Active</strong> <strong>Directory</strong>-Domänendienste (AD DS), Komponenten<br />
19<br />
Betriebsmaster 28<br />
Domänenname 29<br />
Infrastruktur 31<br />
PDC-Emulator 30<br />
RID (Relative ID) 30<br />
Schema 28<br />
Übertragen von Rollen 31<br />
Datenspeicher 20<br />
Domänen 45<br />
Domänencontroller 22<br />
Gesamtstrukturen 49<br />
globale Katalogserver 22<br />
Organisationseinheiten 56<br />
Partitionen 41<br />
Schema 32<br />
ändern 34<br />
Deaktivieren von Objekten 39<br />
Komponenten 32<br />
neue Attribute 36<br />
schreibgeschützte Domänencontroller 25<br />
Standorte 54
778 Stichwortverzeichnis<br />
<strong>Active</strong> <strong>Directory</strong>-Domänendienste (AD DS), Komponenten<br />
(Fortsetzung)<br />
Tools 59<br />
Vertrauensstellungen 50<br />
<strong>Active</strong> <strong>Directory</strong>-Domänendienste (AD DS), Struktur 141<br />
Dienstanforderungen 142<br />
dokumentieren 148<br />
funktionelle Anforderungen 144<br />
geschäftliche Anforderungen 143<br />
Projekteinschränkungen 147<br />
rechtliche Anforderungen 145<br />
Sicherheit 146<br />
Vereinbarungen zum Servicelevel 144<br />
DNS-Infrastruktur 180<br />
Integration in 185<br />
interne und externe Namespaces 181<br />
Optionen für 182<br />
Domänenfunktionsebenen 178, 180<br />
Domänenstruktur 169<br />
Besitz 177<br />
Domänenanzahl 171<br />
Hierarchieänderungen nach der Bereitstellung 177<br />
Stammdomäne der Gesamtstruktur 173<br />
Strukturen und Vertrauensstellungen 175<br />
empfohlene Vorgehensweisen 209<br />
Entwurf der Standorttopologie 193<br />
Exchange Server 2007 und 199<br />
DNS-Serverstandort und 201<br />
Domänencontrollerstandort und 203<br />
Entwurf des schreibgeschützten Domänencontrollers<br />
(RODC) 205<br />
Standort des globalen Katalogservers 204<br />
Standorte der Betriebsmasterserver 208<br />
Überblick 199<br />
Gesamtstrukturentwurf 154<br />
Besitz 163<br />
einzelne oder mehrere 157<br />
Integration, mehrere 164<br />
Modelle 161<br />
Richtlinien zur Änderungskontrolle 164<br />
Sicherheit 158<br />
Überblick 154<br />
Gesamtstrukturfunktionsebenen 179<br />
Struktur von Organisationseinheiten 188<br />
<strong>Active</strong> <strong>Directory</strong>-Migrationsprogramm (ADMT) 245, 247,<br />
255<br />
<strong>Active</strong> <strong>Directory</strong>-Schema, MMC-Snap-In 23, 31, 35, 251<br />
<strong>Active</strong> <strong>Directory</strong>-Standorte und -Dienste, Snap-In 60<br />
AD LDS und 640, 647<br />
Konsistenzprüfung (KCC) und 110<br />
Objektanzeige über 323<br />
RCP-über-IP-Verbindungen und 127<br />
zur Problembehandlung bei der Replikation 133, 138<br />
<strong>Active</strong> <strong>Directory</strong>-Verbunddienste Siehe Verbunddienste<br />
<strong>Active</strong> <strong>Directory</strong>-Zertifikatdienste (AD CS) 128, 292, 747<br />
<strong>Active</strong>X Data Objects (ADO) 383<br />
Adamsync-Synchronisierung 644<br />
ADDS DesignDocument.xlsx 164, 180, 193, 199<br />
Administrative Autonomie 159, 160, 171, 248<br />
Administrative Isolation 160, 162, 209<br />
Administrative Vorlagen Siehe Vorlagen<br />
Administratoren 726<br />
Administratoren (Gruppe) 160<br />
Administratorgruppen, OU 160<br />
Administratorrechte 216<br />
Administratorrolle, Trennung der 5, 27<br />
ADML-Dateien 472<br />
ADMT-Assistent zum Migrieren von Gruppenkonten 256,<br />
257<br />
ADMX Migrator 476<br />
ADMX-Dateien Siehe auch Vorlagen, 398, 472, 473, 474<br />
Adprep.exe, Befehlszeilentool 8, 246, 251, 358<br />
AdRestore, Tool 598, 607<br />
ADSchemaAnalyzer 644<br />
ADSI Edit, Tool 73, 323<br />
AD-Datenbankbereitstellungstool und 601<br />
für <strong>Active</strong> <strong>Directory</strong>-Objekte 353, 388, 390<br />
für GPC-Objekt 400<br />
für PSOs 519, 521<br />
in AD LDS 625, 633, 635<br />
Notfallwiederherstellung 607<br />
Sammlung veralteter Objekte 567<br />
Skripts und 565<br />
Standortverknüpfungen und 125, 126<br />
Advanced Encryption Services (AES) 179<br />
AES-Algorithmus 673<br />
Aktivierung<br />
Aktivierungsdienst für Windows-Prozesse 661<br />
Außerkraftsetzen des RMS-Clusters 709<br />
Dateierweiterung 480, 489<br />
Aktivierungsdienst für Windows-Prozesse 661, 666<br />
Aktualisierungen, dynamisch 87, 186<br />
Aktualisierungsarten, für Replikation 95<br />
Aktualitätsvektoren 97, 100<br />
Allgemeine Namensansprüche 758<br />
Alterung, Einträge 75, 77<br />
American National Standards Institute (ANSI) 38, 39<br />
Änderungsbasierte Überwachung 565<br />
Änderungsstempel, bei der Replikation 97, 101<br />
Anfang, Kerberos-Ticketflag 285<br />
Anfrage/Antwort-Authentifizierung 298<br />
Angriffsfläche verringern, Sicherheit 300<br />
Ankündigen von Anwendungen 480<br />
Anmeldeinformationen<br />
AD DS und 146, 216<br />
AD DS-Installations-Assistent und 10<br />
bei der Zugriffssteuerung 321<br />
für sicherheitsrelevante Konten 314<br />
in AD LDS 639<br />
in Verbundvertrauensstellungen 13<br />
RODC, administrative 206<br />
servergespeichert 680, 688<br />
zwischenspeichern 4, 25, 206, 207<br />
Anmeldeinformationsverwaltung 511<br />
Anmeldezeitstempel 178<br />
Anonyme Authentifizierung 628<br />
Anonyme SID-/Namensübersetzung 510<br />
Ansprüche<br />
Anwendungen, unterstützend 737<br />
ausgehende zuordnen 762
Stichwortverzeichnis 779<br />
Extrahierungen 760<br />
Identität 762<br />
unterstütztender Agent 14<br />
Verbund 737<br />
Antragstellername in Zertifikaten 685<br />
Anwendungen<br />
AD LDS-Verzeichnispartitionen für 619<br />
Ansprüche unterstützend 737<br />
Basisgruppen für 360, 361<br />
DNS-Partitionen für 75<br />
Domänencontrollersicherung und 581<br />
Ereignisanzeige und 560<br />
Gruppenrichtlinien für die Bereitstellung von 479<br />
in Federated-Web-SSO-Szenario 752<br />
interne Webanwendungen 658<br />
Kompatibilität 208<br />
Organisationseinheiten basierend auf 192<br />
Public Key-fähig 655<br />
spezifische Datenverwaltung für 320<br />
Standardpartition 73<br />
standortabhängig 482<br />
verzeichnisfähig 152<br />
Verzeichnispartitionen für 29, 43, 114, 235, 624<br />
Windows NT-Token-basiert 737, 742, 744<br />
ZAP-Datei (Zero Administration for Windows Down-Level<br />
Application Package) 483<br />
Anwendungsbezogene Rolle 3<br />
Anwendungsprogrammierschnittstellen (APIs) 651<br />
Anwendungsrichtlinien, Erweiterung 685<br />
Anzeigenamen 34, 355, 356<br />
Arbeitsstationen, Organisationseinheiten 192<br />
Archivierte Vorlagen für Benutzerrechterichtlinien 720<br />
ASP.NET-Anwendungen 14<br />
Assistent zum Installieren von <strong>Active</strong> <strong>Directory</strong>-Domänendiensten<br />
221<br />
Abschließen der Installation 229<br />
Bereitstellungskonfiguration und 222<br />
Betriebsmaster und 32<br />
Dateispeicherorte 228<br />
Deinstallieren der AD DS über 235<br />
Delegierungseintrag 80, 84<br />
DNS-Konfigurationsfehler 227<br />
Domänenaktualisierung 250<br />
Domänencontrolleroptionen 227<br />
Domänencontrollerstandort und 122<br />
Kennwortrichtlinienerzwingung 229<br />
Ntds.dit-Datei 22<br />
Optionsauswahl 230<br />
RODCs und 27<br />
Starten der AD DS-Installation 218, 220<br />
Überprüfen der Installation 230<br />
vollqualifizierter Domänename (FQDN) 223<br />
Windows Server 2008-Funktionsebenen 224<br />
Asymmetrische Verschlüsselung 649<br />
Asynchrone Verarbeitung von GPOs 407<br />
Attribute<br />
ändern, für Objekte 96<br />
Anspruchsextrahierungen 760<br />
classSchema-Objekt 33<br />
crossRef-Klasse 48<br />
displayName 34<br />
erstellen in Schema 36<br />
fSMORoleOwner 29<br />
globaler Katalog und 23<br />
in Benutzerobjekten 352<br />
indizieren 34<br />
isDeleted 102<br />
LdapDisplayName 39<br />
msDS-AuthenticatedToAccountList 26<br />
msDS-DnsRootAlias 29<br />
msDS-NeverRevealGroup 26<br />
msDS-RevealedList 26<br />
msDS-Reveal-OnDemandGroup 26<br />
msDS-UpdateScript 29<br />
Name 96<br />
RODC-Filter 4<br />
Schemadefinition 32<br />
SIDHistory 167<br />
userAccountControl 8<br />
USNChanged 98, 100<br />
verknüpft 96, 103<br />
von Kennworteinstellungsobjekten (PSOs) 7, 520<br />
von Kontosperreinstellungen 7<br />
Attribut-Editor 400<br />
Auditpol.exe, Befehlszeilentool 6, 305, 342, 344<br />
Aufbewahrungsmethode zum Archivieren von Protokollen<br />
307<br />
Aufgaben<br />
Delegieren administrativer Rechte 320, 338<br />
Warnungstask 551<br />
Zeitplanung 379<br />
Aufgaben der Erstkonfiguration, Assistent für 218<br />
Aufräumvorgänge, Einträge 75, 77<br />
Ausgehandelte Authentifizierung 289, 628, 629<br />
Ausgehende Ansprüche, zuordnen 762<br />
Ausgewählte Authentifizierung 162, 165, 179<br />
Ausschlussrichtlinien, RMS 725<br />
Ausstellungsrichtlinien für Zertifikate 686<br />
Authentifizierte Benutzer (Gruppe) 76, 166<br />
Authentifizierung Siehe auch Kerberos-Authentifizierung;<br />
Kerberos-Sicherheit<br />
AD DS-Infrastruktur und 141<br />
Anfrage/Antwort-Mechanismus 298<br />
ausgewählt 162, 165, 179<br />
Computerobjekte für 370<br />
Cookies 745<br />
delegiert 286<br />
digitale Zertifikate 649<br />
Domänenanzahl 172<br />
Domänencontroller für 22<br />
Extranetspeicher für 15, 613<br />
Firewalls für 166<br />
gesamtstrukturweit 263<br />
Grenzen für Sicherheitsrichtlinien 45<br />
grenzenübergreifend 285<br />
in AD LDS 623, 628<br />
in verkabelten Netzwerken, Sicherheit 530<br />
Kontopartner 747<br />
LAN-Manager-Authentifizierungsebene 516<br />
NTLM 298
780 Stichwortverzeichnis<br />
Authentifizierung (Fortsetzung)<br />
Problembehandlung 132, 295<br />
schreibgeschützter Domänencontroller 206<br />
SSL-Clientzertifikate 748<br />
SSL-Serverzertifikate 747, 748<br />
standortspezifische SRV-Einträge und 55<br />
Überblick 274<br />
Umkreisnetzwerk und 146<br />
universelle Gruppen und 24, 364<br />
Verbunddienste und 13<br />
Vertrauensstellungen 50<br />
zweistufig 147, 658<br />
Authentifizierungsdienst (AS) 278, 280<br />
Authentifizierungsspeicher im Extranet 613<br />
Automatic, Steuerungsflag 273<br />
Automatische Registrierung von Zertifikaten 517, 668, 677,<br />
685, 688<br />
Automatische Standortabdeckung 205<br />
Automatischer Zertifikatanforderungsdienst (ACRS) 517,<br />
677<br />
Automatisieren der Objektverwaltung 379<br />
Befehlszeilentools für 379<br />
LDIFDE und CSVDE 380<br />
VBScript 382<br />
Autonomie, administrative 159, 160, 171, 248<br />
Autorisierende Wiederherstellung 583, 591, 643<br />
Autorisierender Benutzer 369<br />
Autorisierender Namenserver 79<br />
Autorisierung<br />
AD DS-Infrastruktur und 141<br />
bei der Zugriffssteuerung 321<br />
Problembehandlung 132<br />
Ressourcenpartner für 735<br />
Überblick 275<br />
Autorisierungs-Manager<br />
Anwendungsgruppen für 361<br />
Gruppenansprüche 758<br />
LDAP-Abfragegruppen und 360<br />
Richtlinien für 179<br />
B<br />
Backlinks 594<br />
Backwardlink, Attribute 96, 103<br />
Bandbreite<br />
Analysetool für Netzwerkframes 241<br />
Dienst für Netzwerkadressinformationen (NlaSvc)<br />
und 398, 412<br />
dokumentieren 149<br />
Domänenerstellung und 175<br />
Exchange Server 2007 und 200<br />
für Replikation 72, 194<br />
Gruppenrichtlinien zur Softwarebereitstellung und 482<br />
IFM-Feature und 580<br />
Multicasting und 495<br />
standortübergreifende Replikation 106, 108<br />
Standortverknüpfungen und 123<br />
Standortverknüpfungskosten und 197, 198<br />
Überwachung und 545<br />
Bandbreiteneinschränkung 104<br />
base schema-Objekte 39<br />
Basis-Zertifikatsperrlisten (CRLs) 662<br />
Batchdateien, zum Verwalten von <strong>Active</strong> <strong>Directory</strong> 379, 382,<br />
385<br />
Bedingte Weiterleitungen 81, 149<br />
Benachrichtigung über standortübergreifende Replikation<br />
125<br />
Benutzerdefinierte Ansprüche 758, 761<br />
Benutzerdefinierte Installation, Assistent 486<br />
Benutzerdesktops Siehe Gruppenrichtlinien für Benutzerdesktops<br />
Benutzergruppenrichtlinie 407<br />
Benutzerklasse 32, 34, 36<br />
Benutzerkonten<br />
Anwenden von Berechtigungen 337<br />
bei der Migration zwischen Gesamtstrukturen 257<br />
dringende Replikation und 108<br />
in AD LDS 624<br />
Zertifikatzuordnung 292<br />
Benutzeroberfläche, AD DS-Features in der 9<br />
Benutzerobjekte 352<br />
Benutzerprinzipalnamen (UPNs) 25<br />
Ansprüche 758<br />
in Umgebungen mit mehreren Domänen 388<br />
Objektverwaltung und 356, 357<br />
Sicherheit und 281, 293<br />
Suffixfilterung 168<br />
Suffixzuordnung 762<br />
Benutzerprofile 452<br />
in Windows-Versionen 454<br />
lokal 456<br />
Ordnerumleitung und 469<br />
servergespeichert 457, 460, 680<br />
Überblick 452<br />
verbindlich und superverbindlich 459<br />
Verknüpfungspunkte und 453<br />
Benutzerrechte, zuweisen 308, 510, 511<br />
Berechtigungen 323<br />
administrative 27<br />
Anwendungsverzeichnispartitionen und 44<br />
Authentifizierung zulassen 167<br />
bei Ordnerumleitung 466<br />
Besitz 336<br />
delegieren 190<br />
dokumentieren 151<br />
Domänen-Admins (Gruppe) und 368<br />
Domänenanzahl 172<br />
effektiv 333, 349<br />
für Domänencontroller 28<br />
für eingeschränkte Daten 16<br />
in AD LDS 626<br />
in Gesamtstruktur-Stammdomäne 49<br />
in Zugriffssteuerungslisten 271<br />
Lokal anmelden 58<br />
Migration 247, 255<br />
Prinzip der geringsten Rechte 313, 316, 388<br />
Rechteverwaltungsdienste (RMS) und 710<br />
RODC, administrative 206<br />
Sicherheitsprinzipale 270<br />
speziell 325<br />
Standard 323
Stichwortverzeichnis 781<br />
Steuerungsflags und 272<br />
Vererbung 330<br />
Zugriffstoken und 274<br />
zum AD DS-Installation 216<br />
zum Erstellen eines Delegierungseintrags 80<br />
Bereichsübergreifende Sitzungsschlüssel 285<br />
Bereichsvertrauensstellung 54, 294<br />
Berichte, RMS 728<br />
Besitz<br />
Berechtigungen 336<br />
Domänenstruktur 177<br />
Gesamtstrukturentwurf 163<br />
Objektkontingente 315<br />
Sicherheitsbeschreibungen 272<br />
von Diensten und Daten 159<br />
von Gruppen 369<br />
Betriebsmaster 28<br />
Domänenname 29<br />
Einzelfehlerquelle 94<br />
FSMO 20, 28<br />
gemeinsam, in Gesamtstruktur 49<br />
Infrastruktur 31, 252, 594<br />
Notfallwiederherstellung und 602<br />
PDC-Emulator 30<br />
RID (Relative ID) 30<br />
RODCs und 27<br />
Rollenverwaltung 320<br />
Schema 28<br />
Serverstandorte für 208<br />
Übertragen von Rollen 31<br />
Überwachung 563<br />
wiederherstellen 585<br />
Betriebssystem, Leistungsindikatoren 559<br />
Bevorzugter DNS-Server, Einstellung 227<br />
Bezeichnerautorität, in SID 270, 271<br />
Bidirektionale Gesamtstrukturvertrauensstellungen 162<br />
Bidirektionale transitive Vertrauensstellungen 51, 155, 157<br />
Bidirektionale Vertrauensstellungen 176, 263<br />
Binary Large Object (BLOB) 672<br />
BIND-DNS-Infrastruktur 186, 187<br />
Bindungsumleitung, Authentifizierung 628, 629<br />
Bootmgr, Dateien 580<br />
Bridgeheadserver 4, 27<br />
bei der standortübergreifenden Replikation 107, 108, 118<br />
konfigurieren 128<br />
Replikationsintervall für 124<br />
SMTP-Replikation und 128<br />
Standortverknüpfungsbrücken und 126<br />
Standortverknüpfungskosten und 198<br />
Business-to-Business (B2B), Identitätsverbundszenario 732,<br />
735<br />
Business-to-Consumer (B2C), Identitätsverbundszenario 733<br />
Business-to-Employee (B2E), Identitätsverbundszenario 733<br />
C<br />
CAPolicy.inf, Datei 660<br />
Certreq.exe, Befehlszeilenprogramm 650, 652, 689<br />
CertUtil.exe, Befehlszeilenprogramm 663<br />
classSchema-Objekte 32, 33<br />
ClientAccess-Serverrolle 200<br />
Clientdiensterkennung 709<br />
Client-Lizenzgeberzertifikat (CLC) 698<br />
Clients<br />
Domänencontrollerverfügbarkeit und 68<br />
Rechteverwaltungsdienste (RMS) 696, 708<br />
SSL-Authentifizierungszertifikate 748<br />
Standort 68<br />
Verbundserverproxy 754<br />
Webbrowseranforderungen für die AD FS 745<br />
Clientseitige Erweiterungen (CSEs) 398<br />
Erkennung von langsamen Verbindungen, Standardverhalten<br />
413<br />
für Skripts 409<br />
im Vergleich zu Einstellungen 502, 524<br />
in Gruppenrichtlinien 403, 404<br />
anzeigen 404<br />
Dynamic Link Libraries (DLLs) 404<br />
Speicherung 404<br />
verknüpfte GUIDs 405<br />
Cluster, RMS 695, 703, 704<br />
Clusterdienstinformationen 580<br />
Clusterschlüsselkennwörter 705, 728<br />
Cmdlet-Syntax, in PowerShell 386, 387<br />
Comma Separated Value <strong>Directory</strong> Exchange (CSVDE),<br />
Tool 35<br />
Computer, MMC-Snap-In 9, 371<br />
Computergruppenrichtlinie 407<br />
Computerkonten 259<br />
Computermigrations-Assistent 259<br />
Computerobjekte 370<br />
Computerzertifikat 698<br />
Container<br />
Gruppenrichtlinien 451<br />
in AD LDS-Konfigurationsverzeichnispartition 616<br />
Password Settings 518<br />
übergeordnet 96<br />
Containerindizes 35<br />
Cookies 745<br />
CPU-Auslastung, KCC 563<br />
CryptoAPI 2.0-Diagnoseprotokollierung 651<br />
CryptoAPI Next Generation-Algorithmus (CNG) 672, 673<br />
Cryptography Next Generation (CNG) 11<br />
Cscript.exe, Laufzeit 383<br />
CSVDE, Befehlszeilenprogramm 352, 380, 387, 389<br />
CurrentNetworkEnvironment.xlsx 149, 150, 151, 180<br />
D<br />
Dateierweiterungsaktivierung 480, 489<br />
Dateireplikationsdienst (FRS) 104, 562, 602<br />
Dateiverbindungen 401<br />
DatenPrivilege Attribute Certificate (PAC) 297<br />
Replikation 126<br />
Speicherung 577<br />
Vertraulichkeit von 145, 146<br />
verwalten 320<br />
Datenbanken 21<br />
Bereitstellungstool für 9, 599, 606, 607<br />
Datenspeicher und 22<br />
Defragmentierung 567<br />
in AD LDS 615
782 Stichwortverzeichnis<br />
Datenbanken (Fortsetzung)<br />
Integrität 570<br />
NTDS 214<br />
Rechteverwaltungsdienste (RMS) und 696, 704<br />
Schemaattribute und 37<br />
schreibgeschützt, AD DS 4<br />
semantische Analyse 571<br />
Sicherheitskontenverwaltung (SAM) 21, 229<br />
Speicherüberwachung 562<br />
SQL Server 17<br />
Standorte 571<br />
Verzeichnisverwaltung 320<br />
Zertifizierungsstelle 659<br />
Datenspeicher<br />
als AD DS-Komponente 20<br />
dynamische Anwendung 29<br />
für AD LDS 614<br />
indizieren 34<br />
Datenwiederherstellungs-Agent 517<br />
Dauer, Kontosperreinstellungen 7<br />
Dauerhaft geltende Nutzungsrichtlinie, objektbasiert 15<br />
Dcdiag.exe, Tool<br />
bei der Gesamtstrukturvorbereitung 252<br />
für Authentifizierungsstatus 295<br />
Überwachung 564, 565<br />
zum Überprüfen der AD DS-Installation 231<br />
zur Problembehandlung bei der Replikation 134, 138<br />
Dcgpofix.exe, Befehlszeilentool 516<br />
Dcpromo.exe, Tool 220, 231, 235, 239<br />
Dctlog.txt, Datei 260<br />
Deaktivieren der Vererbung von Berechtigungen 332<br />
Deaktivieren von Objekten 39<br />
Debugprotokollierung, Option 87<br />
Dedizierte Domänencontroller 315<br />
Dedizierte Stammdomäne 46, 173, 177<br />
Default Domain Controllers Policy Siehe Domänencontroller<br />
Definierte Namen (DNs) 41, 48, 566<br />
Defragmentierung<br />
offline 569<br />
online 567<br />
Delegierte untergeordnete Domänen 84<br />
Delegierung Siehe auch Verwaltung, delegieren<br />
administrativer Rechte 177<br />
Authentifizierung 276, 286<br />
dokumentieren 149, 151<br />
Einträge 79, 84<br />
Entwurf der Organisationseinheiten 189<br />
für neue Domänen 216<br />
Namespaceentwurf und 185<br />
Signaturschlüssel 667<br />
Verwaltung schreibgeschützter Domänencontroller 206<br />
Delete Nummer, Befehl 601<br />
Delta-Zertifikatsperrlisten (CRLs) 662<br />
Demilitarisierte Zone 14<br />
Designierte Dateitypen, Objekt 528<br />
Desktops Siehe Gruppenrichtlinien für Benutzerdesktops<br />
Dezentrale Verwaltung Siehe auch Verwaltung, delegieren,<br />
319<br />
DFSR-Dienst (Distributed File System Replication) 104, 179,<br />
562<br />
DFS-Replikation, Ereignisprotokoll 136<br />
DHCP-Clientdienst 86<br />
Diagnoseprotokollierung 651<br />
Dienst für die Ressourcenermittlung, DNS als 216<br />
Dienstadministratoren 314<br />
Dienstanforderungen in den AD DS 142<br />
dokumentieren 148<br />
funktionelle Anforderungen 144<br />
geschäftliche Anforderungen 143<br />
Projekteinschränkungen 147<br />
rechtliche Anforderungen 145<br />
Sicherheit 146<br />
Vereinbarungen zum Servicelevel 144<br />
Dienstidentifizierung, Ressourceneinträge Siehe SRV-Ressourceneinträge<br />
Dienstkonten 258, 359<br />
Dienstprinzipalnamen (SPNs) 21, 281, 283, 297, 317<br />
Dienstproxy, Verbund 737<br />
Diensttest 54<br />
Dienstverwaltung 320<br />
Differentiated Services Code Point (DSCP) 394<br />
Digest-Authentifizierung 276<br />
Digital signiertes Sicherheitstoken 736<br />
Digitale Signaturen 12, 291, 293, 747<br />
Digitale Zertifikate 291, 649, 653<br />
Dir-Befehl 456<br />
Display Specifier, Schema 617<br />
DisplayADLDSInstances.ps1, Skript 620<br />
DisplayMachineVersionLGPO.vbs, Skript 410<br />
DisplayUserVersionLGPO.vbs, Skript 410<br />
Distinguished Name Tag (DNT) 594<br />
Distributed File System (DFS)<br />
für SYSVOL-Ordner 602<br />
in AD DS-Struktur 194<br />
Replikation und 4, 402<br />
Sicherheit 55<br />
Veröffentlichen von freigegebenen Ordnern und 378<br />
Verwaltung der Netzwerkauslastung 482<br />
DNSCmd, Tool 73<br />
Dnscmd.exe, Befehlszeilentool 90<br />
DNSDomainname 600 IN AAAA IPv6Address, Eintrag 66<br />
DNSDomainname 600 IN IPv4Address, Eintrag 66<br />
DNS-Konsole, Tool 90<br />
Dnslint.exe, Tool 90, 138<br />
DNS-Locatordienst 66<br />
DNS-Manager 73<br />
DNS-Namen mit einer einzigen Bezeichnung 223<br />
dnsRoot-Attribut 48<br />
Dokumentation<br />
administrative Delegierung 348, 349<br />
aktuelle Umgebung 148<br />
<strong>Active</strong> <strong>Directory</strong>-Infrastruktur 150<br />
Exchange Server-Implementierung 152<br />
Infrastruktur zur Namensauflösung 149<br />
Infrastruktur zur Sicherung und Wiederherstellung 152<br />
Netzwerkinfrastruktur 148<br />
Verwaltungsmodelle und -prozesse 152<br />
verzeichnisfähige Anwendungen 152<br />
Dokumente, RMS und Siehe auch Drucker, 692
Stichwortverzeichnis 783<br />
Domain Name System (DNS) 61<br />
AD DS-Installation und 216, 227<br />
AD DS-Integration in 62<br />
automatische Standortabdeckung für 69<br />
DNS-Locatordienst für 66<br />
SRV-Ressourceneinträge für 62<br />
AD DS-integrierte Zonen und 72<br />
Standardanwendungspartitionen für 73<br />
verwalten 75<br />
Vorteile 72<br />
aktualisieren 237<br />
empfohlene Vorgehensweisen 89<br />
Infrastruktur 180<br />
AD DS-Integration in 185<br />
interne und externe Namespaces 181<br />
Optionen für 182<br />
Lookupfehler 136<br />
Namespaces 78<br />
Delegierung 79<br />
Problembehandlung 85<br />
Stammhinweise 83<br />
Stubzonen 83<br />
Weiterleitungen 80<br />
Problembehandlung 131<br />
Replikation und 109, 560<br />
schreibgeschützt 5<br />
Server für 201, 561<br />
Serverdienst 43<br />
Tools für 90<br />
Überwachung 562<br />
Wiederherstellen von Domänencontrollern 587<br />
DomainDnsZones 5, 43, 73, 75, 76, 231<br />
Domänen Siehe auch Standarddomänenrichtlinie<br />
<strong>Active</strong> <strong>Directory</strong>-Domänen und -Vertrauensstellungen,<br />
Snap-In 60<br />
Aktualisierung beim Migrieren auf AD DS 245, 250<br />
Anzahl 171<br />
Funktionsebenen 150, 178, 180, 224, 226<br />
Gruppenrichtlinienimplementierung für 431<br />
Gruppenrichtlinienvorlagen basierend auf 474<br />
in AD DS 45<br />
in der Konsole zur Gruppenrichtlinienverwaltung<br />
(GPMC) 417, 418<br />
RMS, vertrauenswürde Veröffentlichungsdomäne 716<br />
RMS, vertrauenswürdige Benutzerdomäne 714<br />
standardmäßige Gruppenrichtlinienobjekte (GPOs) für 516<br />
Standardrichtlinie für 395<br />
Stilllegen der Quelldomäne 261<br />
Struktur 169<br />
Besitz 177<br />
Domänenanzahl 171<br />
Hierarchieänderungen nach der Bereitstellung 177<br />
Stammdomäne der Gesamtstruktur 173<br />
Strukturen und Vertrauensstellungen 175<br />
umstrukturieren 246<br />
Verzeichnispartitionen für 42<br />
Wiederherstellen von Gruppen in Remotedomänen 596<br />
Domänen:umstrukturieren Siehe auch Migration zwischen<br />
Gesamtstrukturen<br />
Domänenadministrator, Konto 313<br />
Domänen-Admins (Gruppe) 134<br />
AD DS-Struktur und 159, 160, 163<br />
Anwendungsverzeichnispartitionen und 44<br />
Berechtigungen und 323, 368<br />
Datenbankbereitstellungstool und 601<br />
Deaktivieren von Berechtigungen 332<br />
Domänencontrollersicherheit und 312<br />
Entfernen von Domänencontrollern 237, 238<br />
in neuen Domänen 367<br />
Migration 252<br />
schreibgeschützte Domänencontroller und 235<br />
verschiedene Benutzertypen und 7<br />
Domänencontroller Siehe auch PDC-Emulator, Betriebsmasterrolle;<br />
Schreibgeschützte Domänencontroller (RODCs)<br />
Adprep-Befehlszeilentool und 8<br />
als AD DS-Komponente 22<br />
bei der Behandlung von Replikationsproblemen 133<br />
Berechtigungen 28<br />
Computerobjekte für 371<br />
Datenbankverwaltung 320<br />
DNS und 61<br />
dokumentieren 151<br />
Domänennameninformationen, gespeichert auf 76<br />
dynamische Portzuordnung 127<br />
entfernen 237<br />
erzwungenes Entfernen 238<br />
Exchange Server 2007 und 200<br />
für AD DS-Anmeldung 194<br />
heraufstufen 213<br />
Installieren der AD DS und 214, 227<br />
Löschdienst auf 375<br />
migrieren 265<br />
neu starten 364<br />
Notfallwiederherstellung 583<br />
Partitionsintegration mit 160<br />
Quelle 10<br />
Redundanz 576<br />
registrierte SRV-Einträge 63<br />
Replikation und 54, 112, 114<br />
Sicherheit für 195, 300<br />
Angriffsfläche verringern 300<br />
Benutzerrechtezuweisung, Richtlinieneinstellungen 308<br />
Ereignisprotokolleinstellungen 307<br />
Sicherheitsoptionen, Richtlinieneinstellungen 309<br />
SMB-Signatur 310<br />
SYSKEY-Konfiguration 312<br />
Überwachungsrichtlinieneinstellungen für 304<br />
sichern 581<br />
Stammdomäne der Gesamtstruktur 204<br />
Standardrichtlinie für 511<br />
Benutzerrechtezuweisung 511<br />
Sicherheitsoptionen für 515<br />
Überblick 395, 409<br />
Standorte 203<br />
Statuswerte 9<br />
Überwachung 563<br />
Überwachungsrichtlinie für 342<br />
Verfügbarkeit 68<br />
Verwaltungsschnittstelle für 21<br />
Zurücksetzen des Kennworts 371
784 Stichwortverzeichnis<br />
Domänencontrollerdiagnose, Tool 231<br />
Domänendienste Siehe <strong>Active</strong> <strong>Directory</strong>-Domänendienste<br />
(AD DS)<br />
Domänenkennung 270<br />
Domänennamenmaster 29, 31, 209, 605<br />
Domänenstrukturen 46<br />
Domänenübergreifende Verweise zwischen Gruppen und Benutzern<br />
31<br />
Domänenübergreifendes Kopieren, Assistent 435<br />
Drahtlosnetzwerke 12, 528, 531, 658<br />
Dringende Replikation 108<br />
Drittanbietertools für die Delegierung 346<br />
Drucker<br />
Gruppenrichtlinien für 395<br />
Objekte 373, 389<br />
Dsacls, Befehlszeilentool 626, 636<br />
Dsadd.exe, Dienstprogramm 372<br />
Dsadd.exe, Tool 380<br />
Dsamain.exe, Tool Siehe auch Datenbanken, Bereitstellungstool<br />
für, 599, 601<br />
Dsdbutil.exe, Befehlszeilenprogramm 60<br />
für AD LDS-Dienstkonto 616<br />
für AD LDS-Instanzensicherung 641, 642<br />
für AD LDS-Instanzenwiederherstellung 643<br />
für AD LDS-Verwaltung 635, 647<br />
DSGET, Befehlszeilentool 522<br />
Dsget.exe, Tool 380<br />
DsGetDcName-API 66<br />
Dsmgmt.exe, Befehlszeilenprogramm 27, 629<br />
Dsmod.exe, Tool 380<br />
Dsmove.exe, Tool 380<br />
Dsquery.exe, Tool 380<br />
Dsrm.exe, Tool 380<br />
Dynamic Host Configuration Protocol (DHCP) 8, 76<br />
Dynamic Link Libraries (DLLs) 404<br />
dynamicObject-Klasse 178<br />
Dynamische Aktualisierungen 87, 186<br />
Dynamische Anwendungsdaten 29<br />
Dynamische Portzuordnung 127<br />
Dynamisches DNS (DDNS) 76, 86<br />
E<br />
Edge-Transport, Serverfunktion 15, 644<br />
Effektive Berechtigungen 333, 349<br />
Eigenständige Zertifizierungsstellen 656, 663, 676<br />
Einbezogene Struktur 197<br />
Einfache LDAP-Bindung, Authentifizierung 628<br />
Eingeschränkte Gruppen 415, 524<br />
Eingeschränkte Gruppen, Richtlinie 313<br />
Eingeschränkter Registrierungs-Agent 12, 658<br />
Einmalige Anmeldung (SSO) 14, 141, 613<br />
Einschränkungen 147, 149<br />
Einstellungen, Gruppenrichtlinien und 395, 398<br />
im Vergleich zu Anmeldeskripts 478<br />
im Vergleich zu Einstellungen 496<br />
in Windows-Einstellungen 497<br />
Optionen für 500<br />
Systemsteuerungseinstellungen 499<br />
zum Verstärken der Serversicherheit 524<br />
Einzelfehlerquelle 94<br />
Elektronischer Datenaustausch (EDI) 732<br />
Elliptic-Curve Diffie-Hellman-Algorithmus (ECDH) 673<br />
Elliptic-Curve Digital Signature Algorithm (ECDSA) 673<br />
E-Mail-Anspruch 758<br />
Empfohlene Vorgehensweisen<br />
für AD DS-Struktur 209<br />
für AD LDS 646<br />
für den Entwurf universeller Gruppen 370<br />
für die Objektverwaltung 388<br />
für Dienstadministratoren 159<br />
für DNS 89<br />
für gesamtstrukturweite Authentifizierung 166<br />
für Gruppenrichtlinienvorlagen 475<br />
für Kerberos-Richtlinieneinstellungen 290<br />
für LM-Kennworthashwerte (LAN Manager) 299<br />
für Notfallwiederherstellung 606<br />
für Replikation 136<br />
für RODC-Bereitstellung 234<br />
für Zertifikatdienste (CS) 688<br />
Sicherheit 167, 315<br />
zum Migrieren auf AD DS 265<br />
Energieverwaltung 395, 524<br />
Ereignisablaufverfolgung, Daten 551, 552<br />
Ereignisanzeige<br />
AD DS-Installation und 231<br />
Delegieren der Verwaltung 342<br />
Gruppenrichtlinien und 444<br />
in AD LDS 616<br />
Migration 252, 253<br />
Replikation und 54, 132<br />
Überwachung 560<br />
Ereignisprotokolle<br />
Einstellungen 346<br />
Richtlinieneinstellungen für 307<br />
von Administratoren 727<br />
zum Verstärken der Sicherheit 524<br />
zur Kerberos-Problembehandlung 296<br />
Erforderliche Attribute 352<br />
Ergebnisse, Gruppenrichtlinien 417, 437<br />
Erkennung von langsamen Verbindungen, Richtlinieneinstellung<br />
zur 413, 445, 460, 462<br />
Erweiterte Schlüsselverwendung, Erweiterung 685<br />
Erweiterungsaktivierung 480<br />
Erzwingen, Objekt 527<br />
ESENT-Protokolldateien (Extensible Storage Engine Transaction)<br />
214<br />
Eskalation im Notfall, Benachrichtigungsprozesse 154<br />
Eskalation, Notfall 154<br />
European Union Data Protection Directive (EUDPD) 145<br />
Exchange Server 2007 15, 199<br />
Adamsync-Synchronisierung und 644<br />
DNS und 61, 89, 201<br />
Dokumentieren der Implementierung 152<br />
Domänencontrollerstandort und 203<br />
Entwurf des schreibgeschützten Domänencontrollers<br />
(RODC) 205<br />
Gesamtstrukturgrenzen und 156<br />
LDF-Dateien und 644<br />
Schemaänderung und 34<br />
Standort des globalen Katalogservers 204
Stichwortverzeichnis 785<br />
Standorte der Betriebsmasterserver 208<br />
Standorte und 55, 194<br />
Überblick 199<br />
Exchange-Verwaltungsshell 387, 389<br />
Extensible Storage Engine (ESE) 22, 615<br />
Externe Vertrauensstellungen 53, 162<br />
Externe Zertifizierungsstellen (CAs) 654<br />
F<br />
Federal Privacy Act (Australien) 145<br />
Fehler Siehe auch Problembehandlung, 132, 136, 138<br />
Fein abgestimmte Kennwortrichtlinien 7, 517<br />
Domänenanzahl 172<br />
Domänenfunktionsebene 179<br />
Grenzen für Sicherheitsrichtlinien 45<br />
implementieren 518<br />
planen 518<br />
resultierende PSOs in 521<br />
Richtlinienergebnissatz für 8<br />
speichern 7<br />
Überblick 7<br />
Festplatten, klonen 494<br />
Festplattenspeicher, AD DS-Installation 214<br />
Filterattributsatz, RODC 4<br />
Filterung 54<br />
Replikation und 127<br />
Sicherheit 425, 444, 445<br />
von Sicherheitskennungen (SIDs) 167<br />
von UPN-Suffixen 168<br />
Windows-Verwaltungsinstrumentierung (WMI) und 421,<br />
427<br />
Financial Modernization Act (USA) 145<br />
Firewalls<br />
Authentifizierung 166<br />
dokumentieren 149<br />
Kerberos-Authentifizierung, Ports 295<br />
konfigurieren 301<br />
Replikation und 127<br />
Weiterleitungen und 184<br />
Flags<br />
DsGetDcName-Werte für 67<br />
für GPO-Status 400<br />
Kerberos-Ticket 284<br />
Steuerung 272<br />
ForestDnsZones<br />
DNS und 66, 73, 75, 76<br />
erstellen 43<br />
Überblick 5<br />
Überprüfen der Installation 231<br />
Forwardlink, Attribute 96, 103<br />
Forwardlinks 594<br />
Forward-Lookupzonen, Seite 231<br />
Freigegebene Ordnerobjekte 377<br />
Freigegebene Zugriffssteuerungsliste (DACL) Siehe auch<br />
Dsacls, Befehlszeilentool<br />
bei der Migration 247, 259<br />
beim <strong>Active</strong> <strong>Directory</strong>-Objektzugriff 321, 322<br />
in AD LDS 627, 637<br />
Sicherheit und 271, 272, 275<br />
Fremde Sicherheitsprinzipale, Container 230<br />
FSMOCheck-Test 54<br />
fSMORoleOwner, Attribut 29, 30, 31, 60<br />
FSMO-Rollen (Flexible Single-Master Operation) 20, 28,<br />
237, 239, 594, 604<br />
Funktionelle Anforderungen in den AD DS 144<br />
G<br />
gc, SRV-Eintrag 65<br />
gc. msdcs.DnsForestName, Eintrag 66<br />
Gegenseitige Authentifizierung 276, 282<br />
Gemeinsame Konfiguration von Vertrauensstellungen 49<br />
Gemeinsamer geheimer Schlüssel, Authentifizierungsmodell<br />
291, 293<br />
Gemischte Betriebssystemumgebung 476<br />
Geplante Tasks 379<br />
Geräteinstallation, sperren 395<br />
Gesamtstrukturen Siehe auch Migration zwischen Gesamtstrukturen,<br />
Siehe auch Migration innerhalb einer Gesamtstruktur<br />
Datenspeicher und 20<br />
Entwurf 154<br />
Besitz 163<br />
einzelne oder mehrere 157<br />
Integration, mehrere 164<br />
Modelle 161<br />
Richtlinien zur Änderungskontrolle 164<br />
Sicherheit 158<br />
Überblick 154<br />
Federated-Web-SSO mit Gesamtstrukturvertrauensstellung<br />
738, 742<br />
Funktionsebenen 4, 150, 179, 224, 227, 594<br />
Gruppenrichtlinienimplementierung für 431<br />
in AD DS 49<br />
Querverweisobjekte und 29<br />
standardmäßige Tombstone-Ablaufzeit für 582<br />
Überwachung 563<br />
Verbundvertrauensstellungen zwischen 13<br />
Windows Server 2008-Upgrade 251<br />
Gesamtstrukturmodell mit eingeschränktem Zugriff 162<br />
Gesamtstruktur-Stammdomänen<br />
als AD DS-Komponente 46, 53<br />
DNS und 85<br />
erstellen 216<br />
Struktur 173<br />
Überprüfen der Installation 231<br />
Verteilung 204<br />
Gesamtstrukturübergreifende Vertrauensstellungen 164, 166,<br />
358<br />
Gesamtstruktur-Vertrauensstellungen 52<br />
Geschäftliche Anforderungen in den AD DS 143<br />
Geschäftseinheiten 153, 175<br />
Geschlossener Satz, bei der Migration zwischen Gesamtstrukturen<br />
262<br />
GINA-DLL (Graphic Identification and Authentication) 274<br />
Global eindeutige Kennungen (GUIDs)<br />
clientseitige Erweiterungen (CSEs) und 405<br />
DNS und 65<br />
für Gruppenrichtliniencontainer (GPCs) 399<br />
gelöschter Objekte 566<br />
PSOs und 521
786 Stichwortverzeichnis<br />
Replikation und 101, 102<br />
Globale Adressliste 21, 156, 199, 356<br />
Globale Gruppen 363<br />
Globale Katalogserver 10, 20<br />
autorisierende Wiederherstellung 595<br />
Datenspeicher und 20<br />
dokumentieren 151<br />
erster Domänencontroller als 228<br />
erzwungenes Entfernen von Domänencontrollern 239<br />
Exchange Server 2007 und 199, 200<br />
in AD DS 22, 194, 214<br />
in einzelner Domäne 171<br />
Infrastrukturmaster und 209<br />
Standorte 204<br />
wiederherstellen 585, 605<br />
Globale Sicherheitsgruppe, Mitgliedschaft 8<br />
Globale Überwachungsrichtlinie 6<br />
Globaler Katalog<br />
gc, SRV-Eintrag 65<br />
gemeinsam, in Gesamtstruktur 49<br />
in Gesamtstrukturentwurf 154<br />
Kontaktobjekte und 358<br />
Mitgliedschaft in universellen Gruppen, Liste 363<br />
Notfallwiederherstellung und 602<br />
Partition 43<br />
Replikation 116<br />
Überwachung 563<br />
Globaler Katalog, LDAP 295<br />
GMPC<br />
GPOs erstellen und verknüpfen über 418<br />
Überblick 417<br />
GPLogView.msi, Skript 445<br />
GPMCSampleScripts.msi 440<br />
Gpresult.exe, Tool 438<br />
GPU, Befehlszeilentool 481<br />
Gpupdate, Befehlszeilentool 411<br />
Grafische Dienstprogramme 379<br />
Gramm-Leach-Bliley Act (USA) 145<br />
Grenzen<br />
Authentifizierung, übergreifend 285<br />
Domäne 45, 169<br />
Exchange Server 156<br />
Grenzen für den Ressourcenzugriff 45, 170<br />
Gruppen<br />
AD LDS, Standard 625<br />
eingeschränkt 415, 524<br />
empfohlene Vorgehensweisen 388<br />
für die Objektverwaltung 360<br />
Arten 360<br />
Bereich 361<br />
Sicherheit 367<br />
Spezialidentitäten 367<br />
Standardgruppen 365<br />
primär 272, 321<br />
Spezialidentitäten 230<br />
Tombstone-Wiederbelebung 597<br />
Verschachtelung 178, 362, 363<br />
wiederherstellen 594<br />
Gruppenansprüche 758<br />
Gruppenanspruchsextrahierungen 760<br />
Gruppenrichtlinien Siehe auch Sicherheit, Gruppenrichtlinien<br />
für, 393<br />
Annahme von Authentifizierungsprotokollen 299<br />
Automatischer Zertifikatanforderungsdienst (ACRS)<br />
und 677<br />
Bereitstellen von Registrierungseinstellungen 724<br />
Computerobjekte und 372<br />
dokumentieren 151<br />
Domänenanzahl 171, 172<br />
Domänenebene 177<br />
Einstellungstypen 58<br />
für DNS-Locatoreinträge 206<br />
für DNS-Registrierung 70<br />
für Domänencontrollersicherheit 304<br />
für Drucker 374, 376<br />
für Zertifikatakzeptanz 679<br />
implementieren 416<br />
GMPC zum Erstellen und Verknüpfen von GPOs 418<br />
GMPC-Überblick 417<br />
GPO-Verarbeitungsbereich 420<br />
GPO-Verwaltung 429<br />
planen 443<br />
zwischen Domänen und Gesamtstrukturen 431<br />
Kerberos-Richtlinieneinstellungen 289<br />
Komponenten 399<br />
Objekte 432<br />
Importieren von Einstellungen für 435<br />
kopieren 435<br />
Modellierung und Berichterstellung 435<br />
Sicherung und Wiederherstellung 432<br />
Standardobjekte in Domäne 516<br />
Organisationseinheiten und 58, 188, 190, 192<br />
Problembehandlung 444<br />
SCW-Richtlinie und 303<br />
Skriptverwaltung von 440<br />
SYSVOL-Verzeichnis und 104<br />
Überblick 394<br />
Verarbeitung 403<br />
Aktualisierung von GPOs im Hintergrund 408<br />
anfängliche Verarbeitung von GPOs 406<br />
Client-GPO 404<br />
Intervall für Hintergrundaktualisierung 411<br />
verwalten 320<br />
zertifikatbezogene Einstellungen 12<br />
Gruppenrichtlinien für Benutzerdesktops 421, 425, 449<br />
administrative Vorlagen und 471<br />
domänenbasiert 474<br />
empfohlene Vorgehensweisen 475<br />
Überblick 471<br />
Benutzerprofile und 452<br />
in Windows-Versionen 454<br />
lokal 456<br />
servergespeichert 457, 460<br />
Überblick 452<br />
verbindlich und superverbindlich 459<br />
Verknüpfungspunkte und 453<br />
Einstellungen in 496<br />
im Vergleich zu Einstellungen 496<br />
in Windows-Einstellungen 497<br />
Optionen für 500
Stichwortverzeichnis 787<br />
Systemsteuerungseinstellungen 499<br />
individuelle und zentrale Steuerung im Vergleich 450<br />
Ordnerumleitung und 462<br />
Gruppenrichtlinieneinstellungen für 469<br />
konfigurieren 464<br />
Offlinedateien für 468<br />
Skripts und 477<br />
Softwarebereitstellung und 478<br />
Anwendungen 479<br />
Einschränkungen 494<br />
entfernen 490<br />
Konfigurieren der Dateierweiterungsaktivierung 489<br />
Konfigurieren von Paketeigenschaften 484<br />
Netzwerkbandbreite und 482<br />
Nicht-Windows Installer 483<br />
planen 493<br />
Windows Installer-Technologie für 478, 491<br />
Überblick 450<br />
Gruppenrichtliniencontainer (GPCs) 399, 451<br />
Gruppenrichtlinienergebnis-Assistent 417<br />
Gruppenrichtlinienmodellierungs-Assistent 417, 431, 436<br />
Gruppenrichtlinienobjekt-Editor 376<br />
Gruppenrichtlinienverwaltung (GPMC), Konsole 397, 689<br />
Beschreibung 416<br />
globale Überwachungsrichtlinie, aktiviert durch 6<br />
GPOs erstellen und verknüpfen über 418<br />
Überblick 417<br />
Gruppenrichtlinienverwaltung, Konsole Siehe Gruppenrichtlinienverwaltung<br />
(GPMC), Konsole<br />
Gruppenrichtlinienverwaltungs-Editor 305<br />
Gruppenverschachtelung 178<br />
H<br />
Hardwaresicherheitsmodul (HSM) 661<br />
Hashwerte 4, 510, 525, 526<br />
Hauptbenutzer (Gruppe) 7<br />
Health Insurance Portability and Accountability Act von 1996<br />
(USA) 145<br />
Heraufstufen auf Domänencontroller (dcpromo) 213<br />
Hinzufügen von Druckern, Assistent 376<br />
Hinzufügen von Features, Assistent 397<br />
Hinzufügen von Ressourcenpartnern, Assistent 761<br />
Hinzufügen von Rollen, Assistent 9, 218<br />
HTTPS-Sitzungscookies (Secure Hypertext Transfer Protocol)<br />
745<br />
Hubtransport-Serverrolle 200<br />
HW Auth, Kerberos-Ticketflag 285<br />
I<br />
Identitätsansprüche 758, 762<br />
Identitätsverbund 732<br />
Identity Integration Feature Pack 169<br />
id-kp-OCSPSigning, optimierter Schlüssel 667<br />
id-pkix-ocsp-nocheck, Erweiterung 667<br />
IEEE 802.11-Standard 531<br />
IEEE 802.3-Standard 528, 529, 530<br />
Import-Csv, Cmdlet 387<br />
Indizierung<br />
Extensible Storage Engine (ESE) 22<br />
für Suche 34<br />
in AD LDS 615<br />
inetOrgPerson-Objekt 178, 357<br />
Infrastrukturmaster 31, 209<br />
im Vergleich zum globalen Katalogserver 32<br />
Migration 252<br />
Phantomobjekte und 594<br />
Tools für 31<br />
wiederherstellen 604, 605<br />
Installation, sperren 395<br />
Installieren der AD DS 213<br />
Assistent 221<br />
Abschließen der Installation 229<br />
Bereitstellungskonfiguration und 222<br />
Dateispeicherorte 228<br />
Domänencontrolleroptionen 227<br />
Überprüfen der Installation 230<br />
vollqualifizierter Domänename (FQDN) 223<br />
Windows Server 2008-Funktionsebenen 224<br />
Bereitstellung eines schreibgeschützten Domänencontrollers<br />
(RODC) 234<br />
Entfernen der AD DS und 235<br />
Optionen für 218<br />
Tools für 241<br />
unbeaufsichtigt 231<br />
Voraussetzungen 213<br />
Administratorrechte 216<br />
Betriebssystemkompatibilität 216<br />
Domain Name System (DNS) 216<br />
Festplattenspeicher 214<br />
Netzwerkkonnektivität 215<br />
Installieren von Medium (IFM-Feature)<br />
für AD DS 213, 220, 232<br />
Notfallwiederherstellung und 580, 584<br />
Instanzen<br />
Autorisierende Wiederherstellung der AD LDS 643<br />
in AD LDS 612, 615, 630<br />
Sichern der AD LDS 641<br />
Wiederherstellen der AD LDS 642<br />
Integrierte Authentifizierung 289, 628<br />
Integrierte Gruppen 365<br />
Integrierte Zonen, AD DS 72<br />
Standardanwendungspartitionen für 73<br />
verwalten 75<br />
Vorteile 72<br />
International Organization for Standardization (ISO) 38, 356,<br />
475<br />
International Telecommunications Union (ITU) 356<br />
Interne Zertifizierungsstellen (CAs) 654, 658, 749<br />
Internet Explorer 17, 394, 414<br />
Internet Protocol (IP) 107, 109, 215, 295<br />
Internet Protocol Security (IPsec) 12, 528, 532<br />
Internet, RMS-Bereitstellung im 701<br />
Internetinformationsdienste (IIS) 17, 276, 293, 301<br />
Internetnamensauflösung 184<br />
Inter-Site Topology Generator (ISTG) 117, 118, 123, 128,<br />
132, 201, 621<br />
Inter-Site Transport, Container 126<br />
Intervall, Replikation 124<br />
Intranet, RMS-Bereitstellung im 701<br />
Invalid, Kerberos-Ticketflag 285
788 Stichwortverzeichnis<br />
IPconfig.exe, Tool 90<br />
IP-Subnetze (Internet Protocol) 54, 121, 149, 195<br />
IPv4-Adresse 66, 69<br />
Ipv6-Adresse 66, 69<br />
isDeleted-Attribut 102<br />
isMemberOfPartialAttributeSet, Attribut 23<br />
Isolation, administrative 160, 162, 209<br />
J<br />
Jeder, Gruppe 458<br />
JScript 383, 440<br />
K<br />
Katalog Siehe Globaler Katalog, Siehe Globaler Katalogserver<br />
Kccevent-Test 54<br />
Kennworteinstellungsobjekte (PSOs) 7<br />
Attribute 7<br />
resultierend 518, 521<br />
Richtlinienergebnissatz (RSoP) und 8<br />
Kennwörter<br />
benutzerdefinierte Filter für 507<br />
Berechtigung zum Zurücksetzen 339<br />
Clusterschlüssel 705, 728<br />
Deinstallieren der AD DS und 237<br />
Domänenanzahl 172<br />
dringende Replikation und 108<br />
fein abgestimmt 7<br />
Richtlinienergebnissatz für 8<br />
speichern 7<br />
Überblick 7<br />
für KRBTGT-Konto 278<br />
für SYSKEY 312<br />
für Verzeichnisdienst-Wiederherstellungsmodus (DS-<br />
RM) 229<br />
geteilt 314<br />
Grenzen für Sicherheitsrichtlinien 45<br />
in AD LDS 629, 646<br />
Kerberos-Kennwortänderungsserver und 65<br />
Komplexität, Richtlinie für 316<br />
LM-Hashwerte für (LAN Manager) 299<br />
Migration 257, 260<br />
PDC-Emulator, Betriebsmasterrolle und 30, 109<br />
Richtlinie für 506<br />
schreibgeschützte Domänencontroller und 3<br />
speichern 4<br />
zurücksetzen 371<br />
zurücksetzen, Notfallwiederherstellung 588, 591<br />
Kennwortexportserver (PES) 258<br />
Kennwortreplikationsrichtlinien 5<br />
entwerfen 206, 208<br />
für RODCs 10, 26, 220, 234<br />
Kerberos Token Size, Tool 317<br />
Kerberos Tray, Tool 284, 317<br />
Kerberos-Authentifizierung<br />
Advanced Encryption Services (AES) für 179<br />
als empfohlene Vorgehensweise 315<br />
Domänenanzahl 172<br />
dynamische Aktualisierungen basierend auf 87<br />
Grenzen für Sicherheitsrichtlinien 45<br />
in AD LDS 628, 629<br />
Security Support Provider (SSP) für 274<br />
SRV-Ressourcenbeispiel 64<br />
Zugriffstoken und 273<br />
Zurücksetzen des Kennworts 371<br />
Kerberos-Kennwortänderungsserver 65<br />
Kerberos-Sicherheit 276<br />
Authentifizierung 279<br />
Authentifizierungsdelegierung 286<br />
Benutzerprinzipalnamen 758<br />
für AD LDS-Replikation 623, 624<br />
Interoperabilität 294<br />
konfigurieren 289<br />
Problembehandlung 295, 317<br />
Public Key-Infrastrukturintegration 290<br />
Richtlinie für 508<br />
Smartcardintegration 293<br />
Überblick 276<br />
Kerberos-Ticketflags 284<br />
Klassen<br />
Benutzer 32, 34, 36<br />
crossRef 48<br />
dynamicObject 178<br />
Vererbung 34<br />
KList.exe, Tool 284, 317<br />
Klonen 244, 494<br />
Komma getrennte Wertdatei (CSV) 380<br />
Kompatibilität 216, 276, 298<br />
Kompatibilität, Anwendung 208<br />
Kompatible Clientcomputer 217<br />
Komprimierung, standortübergreifende Replikation und 125<br />
Konfigurationsspeicher für verteilte Anwendungen 15<br />
Konfigurationsverzeichnispartitionen<br />
Domänennamenmaster und 29<br />
in AD DS-Struktur 42<br />
in AD LDS-Struktur 616<br />
in Gesamtstrukturentwurf 49, 155<br />
Replikation 133<br />
Konfliktlösung bei der Replikation 101, 621<br />
Konnektivität<br />
bei der Problembehandlung für Gruppenrichtlinien 445<br />
erzwungenes Entfernen von Domänencontrollern 238<br />
für Remoteprozeduraufrufe (RPCs) 109<br />
Problembehandlung 131, 135<br />
zum AD DS-Installation 215<br />
Konsistenzprüfung (KCC)<br />
AD LDS und 621<br />
bei der Behandlung von Replikationsproblemen 133<br />
Beschreibung 110<br />
CPU-Auslastung 563<br />
Domänenfunktionsebene 178<br />
Kccevent-Test für 54<br />
Standortverknüpfungskosten und 125, 197<br />
Topologietest für 54<br />
Verbindungsobjekte, erstellt durch 104, 111, 118<br />
Zweigstellenstandorte und 201<br />
Kontaktobjekte 358<br />
Konten, Organisationseinheiten 192<br />
Konten-Operatoren (Gruppe) 313
Stichwortverzeichnis 789<br />
Kontensperrung 108<br />
Attribute 7<br />
Domänenanzahl 172<br />
fein abgestimmte Kennwortrichtlinien und 518<br />
Grenzen für Sicherheitsrichtlinien 45<br />
in AD LDS 629<br />
Richtlinie für 508<br />
Steuerung über Standarddomänenrichtlinie 7<br />
Kontensperrungsschwelle, Kontosperreinstellungen 7<br />
Kontenverwaltung 320<br />
Kontodomänen 175<br />
Kontoeigenschaften für Benutzerobjekt 354<br />
Kontopartner in den AD FS<br />
Anspruchsextrahierungen 760<br />
ausgehende Ansprüche zuordnen 762<br />
Cookies 745<br />
Definition 735<br />
in Federated-Web-SSO-Szenario 740, 742, 751, 752<br />
Kontospeicher 758<br />
Ressourcenpartner 761<br />
Verbunddienst konfiguriert als 736<br />
Kontorichtlinien 506<br />
Kontospeicher<br />
hinzufügen 758<br />
Verbunddienstanforderungen 746<br />
Konvergenz, Replikation 94<br />
Kopieren, bei der Migration 246<br />
Kosten<br />
der Überwachung 545<br />
interner Zertifizierungsstellen (CAs) 654<br />
Standortverknüpfung<br />
Bandbreite verknüpfen mit 197<br />
Formel für 197<br />
KCC-Routingtopologie und 125<br />
RCP-über-IP und 128<br />
Redundanz 123<br />
kpassword, SRV-Eintrag 65<br />
KRBTGT-Konten 4, 26, 206, 278<br />
Kryptografiedienstanbieter (CSP) 659, 705<br />
Kryptografische Kennung 525<br />
Ksetup.exe, Tool 294, 317<br />
Ktpass.exe, Tool 317<br />
L<br />
Laden von Zonen im Hintergrund 77<br />
LAN Manager (LM), Authentifizierung 299<br />
LanMan 301<br />
Lastenausgleich 63, 132, 200, 641<br />
Latenz 105, 107, 125, 149<br />
Laufwerkzuordnung 378<br />
LDAP <strong>Directory</strong> Interchange Format (LDIF) 380<br />
LDAP-Abfragegruppen 360, 361<br />
LdapDisplayName-Attribut 39<br />
LDF-Dateien 617, 644<br />
LDIF-Dateien 595, 632<br />
LDIFDE, Befehlszeilenprogramm<br />
für PSOs 519<br />
Notfallwiederherstellung 607<br />
zum Verwalten von Objekten 352, 380, 389<br />
Ldp.exe, Tool 42, 73, 99<br />
ACE-Anzeige über 323, 328<br />
AD-Datenbankbereitstellungstool und 601<br />
in AD LDS 626, 634, 637, 647<br />
Notfallwiederherstellung 598, 608<br />
zum Verwalten von Objekten 388, 390<br />
Lebenszyklusverwaltung, Software 478<br />
Leere Stammdomäne 46<br />
Legacyanwendungen, migrieren 15<br />
Leistung Siehe auch Überwachung<br />
Leistungsindikatoren und Schwellenwerte 551, 554, 555<br />
SLAs (Service-Level Agreements) 144<br />
Letzte interaktive Anmeldung, Informationen zur 179, 355<br />
Letzter Schreibzugriff 101, 102<br />
Lightweight <strong>Directory</strong> Access Protocol (LDAP) Siehe auch<br />
<strong>Active</strong> <strong>Directory</strong> Lightweight <strong>Directory</strong> Services (AD LDS)<br />
<strong>Active</strong> <strong>Directory</strong>-Domänendienste und 41<br />
beim Installieren der AD DS 213<br />
Data Interchange Format <strong>Directory</strong> Exchange (LDIFDE),<br />
Tool 35, 38<br />
Datenbankbereitstellungstool und 9, 599<br />
Domäne, Angriffsfläche verringern 301<br />
inetOrgPerson-Objekt und 357<br />
Ports für 295<br />
Schnittstelle 21<br />
Sicherheitsoptionen für Domänencontroller und 516<br />
SRV-Ressourcenbeispiel 63, 64<br />
Verbunddienste und 14<br />
Weiterleitungsantwort 4<br />
Links<br />
von Kennworteinstellungsobjekten (PSOs) 7<br />
Linux 243<br />
ListADDSDomains.ps1, Skript 50<br />
ListADDSSites.ps1, Skript 54, 122<br />
ListADDSSites.xlsx, Aufgabeninformation 122<br />
ListAppPartitions.ps1, Skript 75<br />
ListDomainControllers.ps1, Skript 28<br />
ListFSMOs.ps1, Skript 31<br />
Lizenzen, RMS 699<br />
LMHosts-Dateien 61<br />
Lokal anmelden, Berechtigungen 58<br />
Lokale Benutzerprofile 456, 461, 464<br />
Lokale Richtlinien 509<br />
Lokale Sicherheitsautorität (LSA) 108, 274, 285, 287, 317<br />
Lokales Gruppenrichtlinienobjekt (LGPO) 396, 398<br />
Lokales Netzwerk (LAN) 54<br />
Lookupfehler, DNS 138<br />
Loopbackverarbeitung 415, 445<br />
Loopbackverarbeitungsmodus für Benutzergruppenrichtlinie<br />
415<br />
Löschdienst, auf Domänencontrollern 375<br />
Lose Konsistenz, Replikation 94<br />
LSA-Konto (Local System Authority) 258<br />
M<br />
Massachusetts Institute of Technology (MIT) 276<br />
Massenvorgänge 381, 389<br />
Mathematischer Hash, in digitalen Signaturen 291<br />
May postdate, Kerberos-Ticketflag 285<br />
mayContain-Attribute 33
790 Stichwortverzeichnis<br />
Messaging API (MAPI) 21, 200<br />
Messaging, standortübergreifend 109<br />
Metaverzeichnis 613<br />
Microsoft Download Center 397<br />
Microsoft Identity Integration Server 2003 (MIIS) 169, 358,<br />
613<br />
Microsoft Identity Lifecycle Manager 2007 (ILM) 169, 358,<br />
613<br />
Microsoft Management Console (MMC) 14, 235, 347, 385<br />
Microsoft Office, RMS und 710<br />
Microsoft Simple Certificate Enrollment Protocol 659<br />
Microsoft System Center Operations Manager 345<br />
Microsoft Systems Management Server (SMS) 494<br />
Microsoft-Stammzertifikatsprogramm 654<br />
Migration innerhalb einer Gesamtstruktur 253, 255, 261<br />
Migration zwischen Gesamtstrukturen 253<br />
<strong>Active</strong> <strong>Directory</strong>-Migrationsprogramm für 255<br />
Benutzerkonten 257<br />
Computerkonten 259<br />
Dienstkonten 258<br />
Erstellen einer neuen Gesamtstruktur 254<br />
Erstellen von Vertrauensstellungen 255<br />
globale und domänenlokale Gruppenkonten 256<br />
Konfigurieren von Vertrauensstellungen 262<br />
Kontenerstellung 254<br />
Stilllegen von Quelldomänen 261<br />
Überwachung 256<br />
Migrationspfade 172<br />
Migrieren auf AD DS 243<br />
Domänenaktualisierung 245, 250<br />
Domänenumstrukturierung 246<br />
empfohlene Vorgehensweisen 265<br />
Legacyanwendungen 15<br />
Pfadermittlung 248<br />
Tools für 266<br />
Überblick 244<br />
zwischen Gesamtstrukturen 253, 261<br />
<strong>Active</strong> <strong>Directory</strong>-Migrationsprogramm für 255<br />
Benutzerkonten 257<br />
Computerkonten 259<br />
Dienstkonten 258<br />
Erstellen einer neuen Gesamtstruktur 254<br />
Erstellen von Vertrauensstellungen 255<br />
globale und domänenlokale Gruppenkonten 256<br />
Konfigurieren von Vertrauensstellungen 262<br />
Kontenerstellung 254<br />
Stilllegen von Quelldomänen 261<br />
Überwachung 256<br />
Migrieren von Benutzerkonten, Assistent 260, 266<br />
Migrieren von Dienstkonten, Assistent 258, 259<br />
Mit Windows NT 4.0 kompatible Kryptografiealgorithmen zulassen,<br />
Option 217<br />
Mobile Benutzer, als Sicherheitsrisiko Siehe auch Servergespeicherte<br />
Benutzerprofile, 146<br />
Modellierung, Gruppenrichtlinien 417, 436<br />
msDS-AuthenticatedToAccountList, Attribut 26<br />
msDS-DnsRootAlias, Attribut 29<br />
msDS-NeverRevealGroup, Attribut 26<br />
msDS-RevealedList, Attribut 26<br />
msDS-Reveal-OnDemandGroup, Attribut 26<br />
msDS-UpdateScript, Attribut 29<br />
Msgina.dll 274<br />
MSI-Installationspaket 549<br />
Multimaster-DNS-Serverkonfiguration 72<br />
Multimasterreplikation 22, 28, 94, 95, 104, 621<br />
mustContain-Attribute 33<br />
N<br />
Nachrichtenroutingtopologie 55<br />
Namen<br />
allgemeine Namensansprüche 758<br />
Anonyme SID-/Namensübersetzung für 510<br />
Antragstellername in Zertifikaten 685<br />
Anzeigename 355<br />
Attribute 96<br />
Benutzerprinzipalname (UPN) 168, 281, 293, 357, 388,<br />
758, 762<br />
definiert 41, 48, 566<br />
Dienstprinzipalname (SPN) 281, 283, 297, 317<br />
Distinguished Name Tag (DNT) für 594<br />
Dokumentieren der Infrastruktur zur Namensauflösung 149<br />
Domäne 29<br />
Domänenumbenennung 177, 178<br />
NetBIOS 61, 62, 288<br />
RFC 2822-E-Mail-Namen 758<br />
Server für 5<br />
Standardanzeigename 356, 358<br />
Standortname-des-ersten-Standorts 55<br />
Universal Naming Convention (UNC) für 373, 377<br />
vollqualifizierter Domänenname 223, 288<br />
von AD LDS-Verzeichnispartitionen 619<br />
von Benutzerobjekten 355<br />
von Zertifizierungsstellen 659<br />
WINS-Server (Windows Internet Name Service) und 216<br />
X.500 OID-Struktur für 38<br />
Zwischenspeicher 295<br />
Namespaces, Domain Name System (DNS) 78<br />
Delegierung 79<br />
Distributed File System (DFS) und 378<br />
Domänenanzahl 172<br />
intern und extern 181, 183<br />
Problembehandlung 85<br />
Stammhinweise 83<br />
Stubzonen 83<br />
Weiterleitungen 80<br />
NC-Kopf 564<br />
ncName-Attribut 48<br />
NetBIOS-Namen 61, 62, 288<br />
NetDom, Befehlszeilentool 371, 389, 591<br />
NETLOGON<br />
Benutzerprofile in 457, 458, 459<br />
Dienst 109<br />
freigegebener Ordner 104<br />
Problembehandlung 135<br />
Network Access Protection (NAP) 528, 531<br />
Netzwerkadressinformationen, Dienst für (NlaSvc) 398, 412<br />
Netzwerkdienst, Konto 632, 646<br />
Netzwerkkonnektivität<br />
bei der Problembehandlung für Gruppenrichtlinien 445<br />
Problembehandlung 131
Stichwortverzeichnis 791<br />
zum AD DS-Installation 215<br />
Netzwerklisten-Manager-Richtlinien 528<br />
Netzwerkmonitor 86, 90, 241, 297<br />
Netzwerksicherheit, Gruppenrichtlinien für 528<br />
drahtloses Netzwerk 531<br />
Einstellungen 510, 528<br />
für Windows-Firewall und IPsec 532<br />
verkabeltes Netzwerk 529<br />
Netzwerkzonen 526<br />
Neue Gesamtstruktur 253, 254<br />
Neue Vertrauensstellung, Assistent 168, 263, 294<br />
Neustart 569, 570<br />
Neustartfähige AD DS 8<br />
Nicht autorisierende Wiederherstellung von <strong>Active</strong> <strong>Directory</strong><br />
583, 587<br />
Nicht dedizierte Stammdomäne 46<br />
Nicht technische Einschränkungen 149<br />
Nicht transitive externe Vertrauensstellungen 53<br />
Nicht-Objekt-ACEs 273<br />
Nltest.exe, Tool 91<br />
Non-Domain Naming Context (NDNC) 43<br />
North American Industry Classification System (NAICS) 733<br />
Notfallwiederherstellung 575<br />
AD DS-Datendateien und 20<br />
Betriebsmasterstandorte und 209<br />
Datenspeicherung und 577<br />
dokumentieren 143<br />
empfohlene Vorgehensweisen 606<br />
planen 576<br />
Rollback 246<br />
Sicherung für die 579<br />
Häufigkeit 583<br />
Notwendigkeit 581<br />
Tombstone-Ablaufzeit und 581<br />
Überblick 579<br />
SLAs (Service-Level Agreements) 145<br />
Tools für die 607<br />
Wiederherstellung von <strong>Active</strong> <strong>Directory</strong> 583<br />
autorisierend 591<br />
Betriebsmaster und globaler Katalog 602<br />
Datenbankbereitstellungstool für 599<br />
Erstellen von Domänencontrollern 583<br />
Gruppenmitgliedschaften 594<br />
nicht autorisierend 587<br />
SYSVOL-Informationen 602<br />
Tombstone-Objektwiederbelebung 597<br />
Novell <strong>Directory</strong> Services 243<br />
Nslookup.exe, Tool 86, 91, 138, 295<br />
Ntbackup.exe, Tool 579<br />
NTDS Settings, Objekt 110, 133, 237<br />
Ntds.dit, Datei 214, 577<br />
Ntdsai.dll 21<br />
NTDS-Datenbank 214<br />
Ntdsdbutil.exe, Tool 641<br />
Ntdsutil.exe, Tool<br />
AD DS-Komponenten und 29, 60<br />
bei der AD DS-Installation 233<br />
für AD-Snapshots 600<br />
IFM-Feature und 580, 584<br />
Notfallwiederherstellung 585, 592, 593, 608<br />
Replikation verknüpfter Werte und 595<br />
Überblick 9<br />
Wartung 569, 570<br />
NTLM v1, Authentifizierung 299<br />
NTLM v2, Authentifizierung 299<br />
NTLM-Authentifizierung (NT LAN Manager)<br />
in AD LDS 628, 629<br />
Notfallwiederherstellung und 591<br />
Sicherheit 274, 276, 298<br />
O<br />
Obere Grenzwerte 97, 100, 101<br />
Objekt-ACEs 273<br />
Objektbasierte dauerhaft geltende Nutzungsrichtlinie 15<br />
Objekte<br />
<strong>Active</strong>X Data (ADO) 383<br />
Adsiedit.msc, Tool für 388<br />
anfängliche Verarbeitung von GPOs 406<br />
attributeSchema 32<br />
Berechtigungen 323<br />
Besitz 336<br />
effektiv 333<br />
speziell 325<br />
Standard 323<br />
Vererbung 330<br />
Binary Large Object (BLOB) 672<br />
classSchema 32, 33<br />
Clientgruppenrichtlinie 404<br />
Computer 259<br />
deaktivieren im Schema 39<br />
Designierte Dateitypen 528<br />
dynamicObject-Klasse 178<br />
Ermittlung in anderen Domänen 48<br />
Erzwingen 527<br />
Gruppenrichtlinien 59, 151<br />
Verarbeitungsbereich 420<br />
verwalten 432<br />
inetOrgPerson 178<br />
Kennworteinstellungen 518<br />
Konfigurieren der Überwachung 344<br />
Kontingente für den Objektbesitz 315<br />
Ldp.exe, Tool für 388<br />
lokales Gruppenrichtlinienobjekt (LGPO) 396, 398<br />
löschen 102, 581<br />
NTDS Settings, Objekt 237<br />
Organisationseinheiten für Verwaltung 58<br />
Paketreplikation 106<br />
Phantom 594<br />
PowerShell-Skripts und 385<br />
Querverweis 29, 237<br />
resultierende Kennworteinstellungsobjekte (PSOs) 521<br />
rootDSE 620, 634<br />
Sicherheitsbeschreibungen 321<br />
Sicherheitsprinzipal 270<br />
standardmäßige GPOs in Domäne 516<br />
Standortverknüpfung 122<br />
Tombstone 581, 597, 606<br />
Überwachen von Änderungen 343<br />
ursprüngliche Aktualisierungen 95<br />
VBScript und 383
792 Stichwortverzeichnis<br />
Objekte (Fortsetzung)<br />
Verbindung 110<br />
Vertrauenswürdige Herausgeber 528<br />
Verwaltungszugriff 321<br />
X.500-Objekt-IDs für 38<br />
Objektidentifikationsmodell, LDAP als 41<br />
Objektverwaltung 351<br />
automatisieren 379<br />
Befehlszeilentools für die 379<br />
LDIFDE und CSVDE 380<br />
VBScript 382<br />
Benutzer 352<br />
Computer 370<br />
Dienstkonten und 359<br />
Drucker 373<br />
empfohlene Vorgehensweisen 388<br />
Gruppen 360<br />
Arten 360<br />
Bereich 361<br />
Sicherheit 367<br />
Spezialidentitäten 367<br />
Standardgruppen 365<br />
inetOrgPerson 357<br />
Kontakte 358<br />
Tools für die 390<br />
veröffentlichte freigegebene Ordner 377<br />
Öffentliche Schlüssel, Zertifikate für Siehe auch PKI (Public<br />
Key-Infrastruktur), 11<br />
Öffentliche Zertifizierungsstellen 749<br />
Office SharePoint Server 2007 14, 693<br />
Offlinedateien, für Ordnerumleitung 453, 468<br />
Offline-Stammzertifizierungsstellen 688<br />
Offlinezertifizierungsstellen 657<br />
OK As Delegate, Kerberos-Ticketflag 285<br />
Online Certification Status Protocol (OCSP) 12, 659, 666,<br />
667, 687<br />
Online-Responder-Dienst 12, 666, 688, 689<br />
Optimierung für schnelles Anmelden, Feature 407<br />
Ordnerumleitung 462<br />
Computerstart und 409<br />
Gruppenrichtlinieneinstellungen für 59, 394, 469<br />
Gruppenrichtlinienimplementierung und 432<br />
konfigurieren 464<br />
Offlinedateien für 453, 468<br />
Reihenfolge der Gruppenrichtlinienverarbeitung und 421<br />
synchrone GPO-Verarbeitung und 407, 408<br />
Organisations-Admins (Gruppe) 49<br />
AD DS-Struktur und 156, 159, 160, 163<br />
Datenbankbereitstellungstool und 601<br />
Domänencontrollersicherheit und 312<br />
Domänenerstellung und 216<br />
Entfernen von Domänencontrollern 237, 238<br />
Erstellen von Gesamtstrukturvertrauensstellungen 263<br />
in neuen Domänen 367<br />
Migration 252<br />
Organisationseinheiten (OUs) Siehe auch Verwaltung, delegieren,<br />
188<br />
administrative Autonomie 248<br />
autorisierende Wiederherstellung 591<br />
Bereitstellen von Sicherheitsvorlagen 536<br />
dokumentieren 151<br />
entwerfen 189<br />
Gruppenrichtlinien und 429<br />
in AD DS 56<br />
Kennwortrichtlinien und 7<br />
oberste OU-Struktur für Domäne 177<br />
Sperrung und 415<br />
Struktur, Überblick 188<br />
Organisationsvertrauen, Einstellungen 517<br />
Organisatorisches Gesamtstrukturmodell 161, 162<br />
Outlook-Clients 199<br />
P<br />
PAC-Daten (Privilege Attribute Certificate) 279, 282, 297<br />
Partitionen<br />
Anwendungsverzeichnis 29, 114, 235<br />
DNS-Anwendung 75<br />
Domänencontrollerintegration mit 160<br />
in AD DS 41<br />
in AD LDS 616, 630<br />
Konfigurationsverzeichnis 29, 49, 155<br />
mehrere logische, in AD DS 94<br />
Querverweisobjekte und 48<br />
redundante Ringe basierend auf 112<br />
Replikation der Konfiguration 133<br />
Standardanwendung 73<br />
Passport-Authentifizierung 276<br />
Password Settings Containers (PSCs) 7, 518<br />
Patriot Act von 2001 (USA) 145<br />
PDC-Emulator, Betriebsmasterrolle<br />
Beschreibung 30<br />
domänenbasierte Vorlagendatei, Speicherung auf 475<br />
Kennwörter und 109<br />
Konsole „Gruppenrichtlinienverwaltung“ und 417<br />
Notfallwiederherstellung und 587<br />
Standorte 208<br />
Tools für 31<br />
wiederherstellen 604<br />
Peerdomänen 46<br />
Personal Information Protection Act (Japan) 145<br />
Personal Information Protection and Electronic Documents<br />
Act (Kanada) 145<br />
Persönliche Identifizierungsnummer (PIN) 658<br />
Pfadregeln, Richtlinien zur Softwareeinschränkung und 526<br />
Phantomobjekte 594<br />
PIN (Personal Identification Number) 293<br />
Ping, Dienstprogramm 215<br />
PKI (Public Key-Infrastruktur) 12<br />
Gegenseitige Zertifizierung, Hierarchie für 683<br />
Richtlinieneinstellungen für 528<br />
Sicherheit 290<br />
Verbunddienstanforderungen 747<br />
Zertifikatdienste (CS) 649, 650<br />
PKIView 12<br />
Planen der Replikation 104, 124<br />
Planungsmodus, für RSoP 435<br />
PolicyDefinitions, Ordner 475<br />
Portale 613<br />
Portquery, Tool 295<br />
Ports 127, 295
Stichwortverzeichnis 793<br />
POSIX-Subsystem (Portable Operating System Interface for<br />
UNIX) 272, 321<br />
Postfachserver 200<br />
PowerShell-Skripts<br />
DisplayADLDSInstances.ps1 620<br />
empfohlene Vorgehensweisen 389<br />
Exchange-Verwaltungsshell 387<br />
ListADDSDomains.ps1 50<br />
ListADDSSites.ps1 54, 122<br />
ListAppPartitions.ps1 75<br />
ListDomainControllers.ps1 28<br />
ListFSMOs.ps1 31<br />
Objektverwaltung über 385<br />
Primäre Gruppen 272, 321<br />
Primärer DC-Emulator Siehe PDC-Emulator, Betriebsmasterrolle<br />
Prinzip der geringsten Rechte 313<br />
Problembehandlung<br />
Anmeldeskripts 496<br />
Dokumentieren der Prozesse 153<br />
Domain Name System (DNS) 85<br />
Erkennung von langsamen Verbindungen 413<br />
Gruppenrichtlinien 401, 437, 444<br />
Kerberos-Sicherheit 295<br />
Replikation 131<br />
<strong>Active</strong> <strong>Directory</strong>-Standorte und -Dienste, Snap-In 133<br />
Dcdiag.exe, Tool für 134<br />
Fehler 131<br />
Repadmin, Tool für 133<br />
Zertifizierungsstellen (CAs) 12<br />
Problembehandlung bei der <strong>Active</strong> <strong>Directory</strong>-Replikation,<br />
Website 133<br />
Projekte, Organisationseinheiten basierend auf 192<br />
Projekteinschränkungen 147<br />
Propagierungsdämpfung 100<br />
Protected, Steuerungsflag 273<br />
Protokollierung<br />
CryptoAPI 2.0-Diagnose 651<br />
Debugging 87<br />
Gruppenrichtlinien 398<br />
Richtlinienergebnissatz (RSoP), Modus für 435<br />
Transaktionen 570, 571, 578<br />
Verzeichnisdienstüberwachung und 6<br />
zirkulär 576, 579<br />
Proxy, Kerberos-Ticketflag 285, 286<br />
Prüfpunktdatei 578<br />
Pubprn.vbs, Skript 373<br />
Q<br />
Quality of Service (QoS), richtlinienbasiert 394<br />
Quelldomänencontroller 10<br />
Querverweisobjekte 29, 48, 237<br />
R<br />
Rangfolge von Kennworteinstellungsobjekten (PSOs) 7, 8<br />
Rechte 313, 337, 388<br />
Delegieren administrativer Rechte 57, 177<br />
zuweisen 510, 511<br />
Rechtekontozertifikat (RAC) 698<br />
Rechteverwaltungsdienste (RMS) 691<br />
Bereitstellung 701<br />
Betrieb 699<br />
Features 692<br />
implementieren 702<br />
Clients 708<br />
Clusterinstallation 703<br />
Konfigurieren von Verbindungspunkten 707<br />
Überlegungen vor der Installation 702<br />
Komponenten 694<br />
Lizenzen 699<br />
Überblick 15<br />
verwalten 713<br />
Ausschlussrichtlinien 725<br />
Berichte 728<br />
Sicherheitsrichtlinien 726<br />
Vertrauensrichtlinien 713<br />
Vorlagen für Benutzerrechterichtlinien 720<br />
Zertifikate 697<br />
Rechtliche Anforderungen in den AD DS 145<br />
Redircmp.exe, Dienstprogramm 372<br />
Redundanter Ring, für Domänencontroller 112, 114<br />
Redundanz<br />
beim Planen der Notfallwiederherstellung 576<br />
für Replikation 101<br />
für Stammdomäne 209<br />
Standortverknüpfungen 124<br />
Regelmäßige Gruppenrichtlinienaktualisierungen 407<br />
Registrierungsbasierte Parameter 58<br />
Registrierungsdienst für Netzwerkgeräte 12, 682<br />
Regsvr32 Schmmgmt.dll, Befehl 35<br />
Reine Lizenzierungscluster, RMS 695<br />
Relativer definierter Name (RDN) 42<br />
Remoteaktivierung über LAN 494<br />
Remotedesktop 314<br />
Remotedifferenzialkomprimierung (RDC) 104<br />
Remotedomänen, Wiederherstellen von Gruppen in 596<br />
Remoteprozeduraufrufe (RPCs)<br />
bei der standortinternen Replikation 105<br />
DNS und 66, 78<br />
für Kennwortaktualisierung 109<br />
in AD LDS 614<br />
Konnektivität für 109<br />
Replikationsschnittstelle und 21<br />
RID-Master (Relative Identifier) und 209<br />
über IP-Verbindung 127<br />
Remoteserver-Verwaltungstools 475<br />
Remoteverwaltungs, Ausnahme 438<br />
Rendom.exe 29<br />
Repadmin.exe, Tool<br />
/bridgeheads, Befehl 128<br />
Notfallwiederherstellung 608<br />
Replikation 99, 114, 133<br />
Überwachung 564<br />
zur Problembehandlung bei der Replikation 138<br />
Replikation 93<br />
AD LDS-Sicherheit 646<br />
Aktualisierungsarten 95<br />
Bandbreite 194<br />
Distributed File System (DFS) 179
794 Stichwortverzeichnis<br />
Replikation (Fortsetzung)<br />
dringend 108<br />
empfohlene Vorgehensweisen 136<br />
Entwurf 197<br />
erzwungen 591<br />
GPOs und 402, 445<br />
Grenzen für 45, 49, 169<br />
im Vergleich zur Zonenübertragung 72<br />
in mehreren Domänen 171<br />
in Windows Server 2008 96<br />
Kennwort 10<br />
Kennwortreplikationsrichtlinie für 26<br />
Kennwortreplikationsrichtlinie für die 5<br />
Kerberos-Problembehandlung 296<br />
Komprimierung 194<br />
Latenz 107<br />
Leistungsindikatoren 557<br />
Migration 252<br />
Modell 94<br />
Multimaster 22, 28<br />
Netzwerkdatenverkehr 10<br />
Problembehandlung 131<br />
<strong>Active</strong> <strong>Directory</strong>-Standorte und -Dienste, Snap-In 133<br />
Dcdiag.exe, Tool für 134<br />
Fehler 131<br />
Repadmin.exe, Tool für 133<br />
Schnittstelle 21<br />
Standorte und 54<br />
standortintern 104<br />
standortübergreifend 106, 120<br />
Bridgeheadserver 128<br />
Standortverknüpfungen und 122<br />
Standortverknüpfungsbrücken und 126<br />
Transportprotokolle für 127<br />
zusätzliche Standorte und 121<br />
Synchronisierung 42<br />
Tools für 138<br />
Topologieerstellung 109<br />
globaler Katalog 116<br />
Komponenten 109<br />
Konsistenzprüfung (KCC) für 110<br />
RODCs und 118<br />
standortintern 112<br />
standortübergreifend 117<br />
Verbindungsobjekte für 110<br />
Überwachung 562, 564<br />
unidirektional 4<br />
verknüpfte Werte 178, 363, 594<br />
verwalten 320<br />
Verzeichnis 612, 613<br />
Verzögerung, bei der Installation 230<br />
von AD LDS 620, 638<br />
von Änderungen 97<br />
Aktualitätsvektoren und Propagierungsdämpfung 100<br />
Änderungsstempel und Konfliktlösung 101<br />
in USNs 98<br />
obere Grenzwerte 100<br />
Objektlöschung 102<br />
von RODC-Filterattributen 4<br />
von SYSVOL-Ordner 104, 602<br />
zwischengespeicherte Anmeldeinformationen 208<br />
Replikation verknüpfter Werte 363, 594<br />
Replizierte Aktualisierungen 95<br />
Replizierte Namenskontexte, Einstellung 114<br />
Ressourcen, Organisationseinheiten 192<br />
Ressourcendomänen 175<br />
Ressourcengesamtstrukturmodell 162, 165<br />
Ressourcenmonitor 546<br />
Ressourcenverwaltung 320<br />
Resultierende Kennworteinstellungsobjekte (PSOs) 521<br />
Revisionsstufe, in SID 270<br />
RFC 2798-Kompatibilität 357<br />
RFC 2822-E-Mail-Namen 758<br />
Richtlinien zur Änderungskontrolle 153, 156, 164<br />
Richtlinienbasierte Dienstqualität (QoS) 394<br />
Richtlinienergebnissatz (RSoP) 8, 430, 435, 438<br />
Richtlinien-Ersteller-Besitzer, Gruppe 429<br />
Richtung von Gesamtstrukturvertrauensstellungen 165<br />
RID-Master (Relative Identifier)<br />
dringende Replikation und 108<br />
Notfallwiederherstellung und 209<br />
RODC-Beschränkungen und 27<br />
Sicherheit 270, 271<br />
Tools für 31<br />
wiederherstellen 605<br />
Zweck 30<br />
Ringe, Replikation 112, 114<br />
Ringtopologie 621<br />
RMS-Administratoren 726<br />
Rollback, bei der Notfallwiederherstellung 246<br />
rootDSE-Objekt 620, 634<br />
Router, mit Portzuordnung 127<br />
Routingfähige IP-Infrastruktur 109<br />
RSA-Algorithmus 673<br />
S<br />
SAM-Datenbank (Sicherheitskontenverwaltung) 21, 229, 237<br />
Sammlung veralteter Objekte, Wartung 103, 566<br />
Sammlungssätze und Berichte 551, 555<br />
Sarbanes-Oxley Act von 2002 (USA) 145<br />
SASL-Bindungen, Authentifizierung 628, 629<br />
Schattengruppen 7<br />
Schattenkonten 742<br />
Schema<br />
AD LDS-Verzeichnispartitionen für 617<br />
Betriebsmaster 27, 28, 31, 209, 604<br />
Display Specifier 617<br />
erweiterbar 612<br />
gemeinsam, in Gesamtstruktur 49<br />
Gesamtstrukturdomänen 156, 157<br />
globaler Katalog und 23<br />
in AD DS 32<br />
ändern 34<br />
Deaktivieren von Objekten 39<br />
Komponenten 32<br />
neue Attribute 36<br />
Migration 251, 252<br />
verwalten 320<br />
Verzeichnispartition für 43
Stichwortverzeichnis 795<br />
Schema-Admins (globale Gruppe) 35<br />
Schema-Admins (Gruppe) 49<br />
AD DS-Struktur und 156, 159, 163<br />
Domänencontrollersicherheit und 313<br />
in neuen Domänen 367<br />
Schlüssel, Archivierung und Wiederherstellung 668<br />
Schlüsselverteilungscenter (KDC)<br />
bei der Autorisierung 275<br />
Beschreibung 277<br />
Kerberos, SRV-Einträge 64<br />
PAC-Daten vom 297<br />
Verschlüsselung und 279<br />
Verwalten gemeinsamer geheimer Schlüssel 277<br />
Zurücksetzen des Kennworts 371<br />
Schlüsselwiederherstellungs-Agents 669, 672<br />
Schnittstellen<br />
Datenspeicher und 21<br />
für AD LDS 614<br />
für Schemaänderung 35<br />
neue Features in 9<br />
resultierende PSOs und 521<br />
Security Support Provider (SSP) 274<br />
Sicherheitskonfigurations-Assistent, Benutzer 301<br />
Schreibgeschützte Domänenamenserver 5<br />
Schreibgeschützte Domänencontroller (RODCs)<br />
als AD DS-Komponente 25<br />
DNS und 78<br />
eindeutige Rollen 20<br />
Entwurf 205<br />
im Vergleich zu SYSKEY-Einstellungen 312<br />
Installieren der AD DS und 234<br />
Kennwortreplikationsrichtlinie für 10, 26, 220<br />
Konto erstellen für 221<br />
Replikation und 118<br />
SRV-Einträge und 66<br />
Überblick 3<br />
Windows Server 2008 178<br />
Script Center Script Repository-Website 28, 122<br />
Scriptomatic.exe 427<br />
Scwcmd, Befehlszeilenprogramm 302, 303<br />
Secedit.exe, Tool 537<br />
Secure Sockets Layer (SSL) 616, 631, 649, 658, 745<br />
Secure Sockets Layer-Transport Layer Security (SSL-<br />
TLS) 12, 276<br />
Secure-Multipurpose Internet Mail Extensions (S-MIME) 12<br />
Security Support Provider (SSP) 274<br />
Selbstsignierte Zertifikate 749<br />
Semantische Datenbankanalyse 571<br />
Server<br />
Bridgeheadserver 4<br />
für Verbunddienste 753<br />
für Verbunddienstproxy 754<br />
in AD LDS 614<br />
Verstärken der Sicherheit 522<br />
Einstellungen 523, 524<br />
Richtlinien zur Softwareeinschränkung 525<br />
Web 746, 752<br />
Server Core-Installation 214, 221, 234<br />
Server Message Block-Signatur Siehe SMB-Signatur (Server<br />
Message Block)<br />
Servergespeicherte Benutzerprofile 453, 457, 460, 680<br />
Server-Lizenzgeberzertifikat (SLC) 698<br />
Server-Manager 11, 15, 219<br />
Server-Operatoren (Gruppe) 160<br />
Serverseitige Erweiterungen (SSEs) 403<br />
Serverspeicherung, Anmeldeinformationen 680, 688<br />
Set-ExecutionPolicyRemoteSigned, Befehl 28, 75<br />
Setspn.exe, Tool 317<br />
Shortcutvertrauensstellungen 51, 176, 285<br />
Sichere Drahtlosnetzwerke 12<br />
Sicherer Kanal, Signatur von Netzwerkdatenverkehr über 216<br />
Sicherheit Siehe auch Rechteverwaltungsdienste (RMS), 269<br />
administrative Delegierung 335<br />
administrative Vorgehensweisen 312<br />
als Dienstanforderung in den AD DS 146<br />
Ausstellungsrichtlinien 687<br />
Authentifizierung 274<br />
Autorisierung 275<br />
beim Bereitstellen der Zertifikatdienste 658<br />
DDNS und 76<br />
Delegierungseinträge und 80<br />
digital signierte Token 736<br />
empfohlene Vorgehensweisen 167, 315<br />
Ereignisanzeige und 560<br />
Fremde Sicherheitsprinzipale, Container 230<br />
für AD LDS 623<br />
Authentifizierung 628<br />
Berechtigungen 626<br />
Replikation 623, 646<br />
Sicherheitsprinzipale 624<br />
Standardgruppen 625<br />
für Domänencontroller 195, 216, 300<br />
Angriffsfläche verringern 300<br />
Benutzerrechtezuweisung, Richtlinieneinstellungen 308<br />
Ereignisprotokolleinstellungen 307<br />
Sicherheitsoptionen, Richtlinieneinstellungen 309<br />
SMB-Signatur 310<br />
SYSKEY-Konfiguration 312<br />
Überwachungsrichtlinieneinstellungen für 304<br />
für Rechteverwaltungsdienste (RMS) 726<br />
für RODCs 3, 25, 207<br />
Gesamtstrukturentwurf und 158<br />
Grenzen für 49<br />
Grenzen für Richtlinien 45, 170<br />
Gruppen 360<br />
Gruppenrichtlinien für 58, 394<br />
Gruppenverwaltung 320<br />
Hardwaresicherheitsmodul (HSM) 661<br />
in Gesamtstruktur-Stammdomäne 49<br />
integrierte Zonen 72<br />
interner DNS-Server 181, 182<br />
Kennworteinstellungsobjekte (PSOs) und 8<br />
Kerberos 276<br />
Authentifizierung 279<br />
Authentifizierungsdelegierung 286<br />
Interoperabilität 294<br />
konfigurieren 289<br />
Problembehandlung 295, 317<br />
Public Key-Infrastrukturintegration 290<br />
Smartcardintegration 293
796 Stichwortverzeichnis<br />
Sicherheit, Kerberos (Fortsetzung)<br />
Überblick 276<br />
Leistungsindikatoren 558<br />
NTLM-Authentifizierung 298<br />
objektbasierte dauerhaft geltende Nutzungsrichtlinie 15<br />
Objektverwaltung und 367<br />
physisch 161<br />
Richtlinien auf Domänenebene 177<br />
Richtlinienverwaltung 320<br />
Sicherheitsprinzipale 270<br />
Testen von Änderungen 349<br />
Version 3-Vorlagen 673<br />
Weiterleitungen für 184<br />
Zugriffssteuerungslisten für 271<br />
Zugriffstoken 273<br />
Sicherheit, Gruppenrichtlinien für 505<br />
fein abgestimmte Kennwortrichtlinien in 517<br />
implementieren 518<br />
planen 518<br />
resultierende PSOs in 521<br />
Netzwerk 528<br />
drahtloses Netzwerk 531<br />
Einstellungen 528<br />
für Windows-Firewall und IPsec 532<br />
verkabeltes Netzwerk 529<br />
Standarddomänenrichtlinie und 506<br />
Kontorichtlinien in 506<br />
lokale Richtlinien in 509<br />
standardmäßige GPOs 516<br />
Standardrichtlinie für Domänencontroller und 511<br />
Benutzerrechtezuweisung 511<br />
Sicherheitsoptionen für 515<br />
Verstärken der Serversicherheit 522<br />
Einstellungen 523, 524<br />
Richtlinien zur Softwareeinschränkung 525<br />
Vorlagen 534<br />
Sicherheitsaufruf (SAS) 274<br />
Sicherheitsbeschreibung 272, 321<br />
Sicherheitsfilterung 425, 444, 445<br />
Sicherheitskennungen (SIDs) 160, 321<br />
bei der Migration 246<br />
Dcdiag.exe, Tool für 564<br />
externe Vertrauensstellungen und 54<br />
filtern 167<br />
Historie 178<br />
RID-Betriebsmaster und 30<br />
Überblick 270<br />
Sicherheitskonfiguration und -analyse, Snap-In 536<br />
Sicherheitskonfigurations-Assistent 301, 302, 311, 537<br />
Sicherheitskonfigurationsdatenbank 302<br />
Sicherheitskonvertierungs-Assistent 259, 260<br />
Sicherheitsprinzipale 292<br />
AD DS-Migration 246<br />
ausgewählte Authentifizierung und 166<br />
bei der Zugriffssteuerung 271<br />
Domänenressourcenzugriff 50<br />
Gesamtstrukturvertrauensstellungen und 52<br />
im Vergleich zu Organisationseinheiten 59<br />
RID-Master, erstellen 30<br />
Überblick 270<br />
Sicherheitsprotokoll 342<br />
Sicherung und Wiederherstellung Siehe auch Notfallwiederherstellung<br />
<strong>Active</strong> <strong>Directory</strong> Lightweight <strong>Directory</strong> Services (AD<br />
LDS) 640<br />
Datenbankbereitstellungstool und 9<br />
dokumentieren 152<br />
empfohlene Vorgehensweisen 606<br />
Gruppenrichtlinienobjekte 432<br />
Häufigkeit 583<br />
Medien 10<br />
Medien für 315<br />
Notwendigkeit 581<br />
standardmäßige GPOs in Domänen 516<br />
Tombstone-Ablaufzeit und 581<br />
Überblick 579<br />
verwalten 320<br />
Sicherungs-Operatoren (Gruppe) 160<br />
SIDHistory-Attribut 167<br />
Simple Mail Transfer Protocol (SMTP) 21<br />
Benutzerprinzipalname und 357<br />
Domänenanzahl 172<br />
Replikation und 107, 109, 127<br />
Skripts Siehe auch JScript, Siehe auch PowerShell-Skripts,<br />
Siehe auch VBScript<br />
ADSI-basiert 565<br />
Benutzerverwaltung über 477<br />
clientseitige Erweiterung für 409<br />
für Gruppenrichtlinien für Benutzerdesktops 477<br />
für Gruppenrichtlinienverwaltung 440<br />
für Versionsnummern 410<br />
Gruppenrichtlinien für 394<br />
Gruppenrichtlinieneinstellungen für 58<br />
im Vergleich zu Einstellungen 478, 496<br />
synchrone Anmeldung 408<br />
SLAs (Service-Level Agreements) 144, 544<br />
Smartcards<br />
Anmeldung 12<br />
Sicherheit und 293, 314<br />
Zertifikate und 12, 658<br />
SMB-Signatur (Server Message Block)<br />
als empfohlene Vorgehensweise 315<br />
für Domänencontrollersicherheit 310, 516<br />
Migration 265<br />
Überblick 301<br />
Snapshotvolume 9<br />
Softwarebereitstellung 58, 408, 409, 478<br />
Anwendungen 479<br />
Einschränkungen 494<br />
entfernen 490<br />
Konfigurieren der Dateierweiterungsaktivierung 489<br />
Konfigurieren von Paketeigenschaften 484<br />
Netzwerkbandbreite und 482<br />
Nicht-Windows Installer 483<br />
planen 493<br />
Richtlinien zur Einschränkung 524, 525<br />
Windows Installer-Technologie für 478, 491<br />
Zuverlässigkeitsüberwachung 549<br />
Speichern fein abgestimmter Kennwörter 7<br />
Speichern und Weiterleiten, Replikationsprozess 94, 95
Stichwortverzeichnis 797<br />
Speicherzuweisungsfehler 297<br />
Sperren der Geräteinstallation 395<br />
Sperren von Zertifikaten<br />
entwerfen 687<br />
konfigurieren 662<br />
Statuswerte 12<br />
Zertifikatsperrlisten (CRLs) 655, 660, 688, 748<br />
Spezialidentitäten, für Gruppen 230<br />
Spezielle Berechtigungen 325<br />
SQL Server-Datenbank, RMS und 17<br />
SRV-Ressourceneinträge<br />
Authentifizierung und 55<br />
DNS und 62, 216<br />
DNS und AD DS-Integration 186<br />
entfernen 237<br />
Problembehandlung 88<br />
standortspezifisch 205<br />
SSL-Clientauthentifizierungszertifikate 748<br />
SSL-Serverauthentifizierungszertifikate 747, 748<br />
SSO-Bereitstellung Siehe Verbunddienste<br />
Stammcluster, RMS 695<br />
Stammdomäne 204, 209<br />
Stammdomäne der Gesamtstruktur 85<br />
Stammhinweise 83, 184, 227<br />
Stammzertifizierungsstellen 659, 747<br />
Standard Industrial Classification (SIC) 733<br />
Standardanzeigename 356, 358<br />
Standardberechtigungen 323<br />
Standarddomänenrichtlinie Siehe auch Domänen, 289, 506<br />
Kennworteinstellungsobjekte und 7, 8<br />
Kontorichtlinien in 506<br />
Kontosperreinstellungen und 7<br />
lokale Richtlinien in 509<br />
Standardkonfiguration von Vertrauensstellungen 175<br />
Standortabhängige Anwendungen 482<br />
Standortabhängige Netzwerkdienste 55<br />
Standorte Siehe auch Standortübergreifende Replikation, Siehe<br />
auch Standortinterne Replikation<br />
<strong>Active</strong> <strong>Directory</strong>-Standorte und -Dienste, Snap-In 60<br />
AD DS 54<br />
AD LDS 640<br />
automatische Abdeckung 69, 205<br />
dokumentieren 150<br />
Entwurf 107<br />
in der Konsole zur Gruppenrichtlinienverwaltung<br />
(GPMC) 417<br />
Replikation basierend auf 621<br />
SRV-Ressourceneinträge und 65<br />
Topologieentwurf 193<br />
Verknüpfungen für 122, 197<br />
Verknüpfungsbrücken für 126, 199<br />
zugehörige Clients 68<br />
Standortinterne Replikation 104, 112, 621<br />
Standortname, Parameter 67<br />
Standortname-des-ersten-Standorts 55, 121<br />
Standortspezifische SRV-Einträge 55<br />
Standortübergreifende Replikation 120<br />
Benachrichtigung 125<br />
Bridgeheadserver 128<br />
in AD LDS 621<br />
Komprimierung und 125<br />
Problembehandlung 135<br />
standortübergreifender Messagingdienst 109<br />
Standortverknüpfungen und 122<br />
Standortverknüpfungsbrücken und 126<br />
Topologieerstellung 117<br />
Transportprotokolle für 127<br />
Überblick 106<br />
zusätzliche Standorte und 121<br />
Standortverknüpfungsbrücke 126, 199<br />
Startkonfigurations-Datenspeicher (BCD) 580<br />
Statisches Berechtigungsvererbungsmodell 330<br />
Statusbasiertes Replikationsmodell 95<br />
Stelleninformationszugriff (AIA) 660<br />
Steuerungsflags 272<br />
Strikte Replikationskonsistenz 106<br />
Strukturen, Domäne<br />
als AD DS-Komponente 46<br />
einbezogen 197<br />
in Stammdomäne 85, 216<br />
Struktur 175<br />
Strukturstamm-Vertrauensstellungen 51, 176<br />
Stubzonen 83, 149<br />
Suchen 34, 376<br />
Suchen, Befehl 10<br />
Suffixrouting, Name 168<br />
Superverbindliche Benutzerprofile 459<br />
Svchost, Dienst 404<br />
Synchrone Anmeldeskripts 408<br />
Synchrone Verarbeitung von GPOs 407, 408<br />
Synchrone Verbindungen 127<br />
Synchronisierung<br />
AD DS und AD LDS 643<br />
bei der Migration von Legacyanwendungen 15<br />
Ordnerumleitung und 468<br />
von Startskripts 478<br />
von Verzeichnisdienstdaten 515<br />
von Verzeichnissen 169<br />
von Zertifikaten 680<br />
SYSKEY-Konfiguration 312<br />
System Center Configurations Manager (SCCM) 494<br />
System Center Operations Manager 136, 546<br />
Systemcontainer 7<br />
systemmayContain-Attribute 33<br />
Systemmonitor 55, 543, 547, 548<br />
systemmustContain-Attribute 33<br />
Systemstabilitätsbericht 549, 550<br />
Systemsteuerungseinstellungen 499<br />
System-Zugriffssteuerungslisten (SACLs) 6, 272, 306, 322<br />
SYSVOL-Ordner<br />
ADMX-Dateien im 398<br />
Deinstallieren der AD DS und 237<br />
DFS-Replikation für 179<br />
Gruppenrichtliniencontainer im 399, 401<br />
Installation 215<br />
Replikation 104<br />
sichern 580<br />
Speicherort für 228<br />
Überprüfen der Installation 231<br />
Wiederherstellung von <strong>Active</strong> <strong>Directory</strong> 602
798 Stichwortverzeichnis<br />
T<br />
TCP-IP-Netzwerk (Transmission Control Protocol-Internet<br />
Protocol) 62, 295<br />
TCP-Ports (Transmission Control Protocol) 42<br />
Technische Anforderungen in den AD DS 143<br />
Technische Referenz, Tools 486<br />
Teilattributsatz (PAS) 23, 24<br />
Teilautorität, in SID 270, 271<br />
Temporäre Benutzerprofile 461<br />
Terminaldienste 512, 513<br />
Testgesamtstruktur, für Schemaänderungen 36<br />
Testumgebung 349<br />
Thawte, Zertifizierungsstelle 292<br />
Ticket-Granting Service (TGS) Siehe auch Kerberos-Sicherheit,<br />
Siehe auch Kerberos-Ticketflags<br />
Exchange-Protokoll 282<br />
Kerberos-Richtlinieneinstellungen für 290<br />
Problembehandlung 296<br />
Sitzungsschlüssel 279, 285<br />
Verantwortung 278<br />
Tokensignaturzertifikate 747, 753<br />
Tokensz.exe, Tool 297, 317<br />
Tombstone-Objekte<br />
Ablaufzeit 581<br />
empfohlene Vorgehensweisen 606<br />
Replikation und 102<br />
Wartung und 566<br />
Wiederbelebung 597<br />
Topologietest 54<br />
Transaktionsprotokolle 570, 571, 578<br />
Transformationsdateien 486<br />
Transitive bidirektionale Vertrauensstellungen 51, 155, 157<br />
Transitive Standortverknüpfungen 124, 126<br />
Transitive Vertrauensstellungen 48, 155, 157, 165<br />
Transport Layer Security (TLS) 745<br />
Transportprotokolle, Replikation 124, 127<br />
Trennung der Administratorrolle 5<br />
Tupelindex 35<br />
U<br />
Über- und untergeordnete Domänen, Konfiguration 46<br />
Übergeordnete Container 96<br />
Übergeordnete/untergeordnete Elemente, Vertrauensstellung<br />
zwischen 176<br />
Übernetzwerke 195<br />
Überprüfen der AD DS-Installation 230<br />
Übertragbar, Kerberos-Ticketflag 284, 286<br />
Überwachung 543<br />
administrative Delegierung 341<br />
administrative Maßnahmen 161<br />
Administratorenkonten 314<br />
bei der Migration zwischen Gesamtstrukturen 256<br />
Benutzerrechtezuweisung und 514<br />
Domänencontroller<br />
Archivieren von Protokollen 307<br />
Einstellungen 305<br />
Richtlinie für 342<br />
Unterkategorien 304<br />
Verzeichnisdienständerungen, Unterkategorie 305<br />
Domänendienste 6<br />
Einstellungen 304<br />
einzuschließende Elemente 562<br />
Gründe 544<br />
konfigurieren 344<br />
Server 546<br />
Ressourcenmonitor 546<br />
Sammlungssätze und Berichte 551<br />
Systemmonitor 547<br />
Zuverlässigkeitsüberwachung 549<br />
Überblick 543<br />
Überwachungsrichtlinie für 301, 509<br />
Version 3-Vorlagen 674<br />
Vorgehen 554<br />
Baselines und Schwellenwerte 555<br />
Ereignisanzeige 560<br />
Leistungsindikatoren und Schwellenwerte 556<br />
Überblick 554<br />
Umbenennen von Domänen 29, 177, 178<br />
Umkehrbare Verschlüsselung 7, 8<br />
Umkreisnetzwerk 14<br />
Umkreisnetzwerke<br />
AD LDS 644<br />
als Sicherheitsrisiko 146<br />
Business-to-Employee (B2E), Identitätsverbundszenario<br />
733<br />
Gesamtstrukturbereitstellung 157<br />
Windows NT-Token-basierte Anwendung 742<br />
Unbeaufsichtigte Installation der AD DS 221, 231<br />
Unbeaufsichtigtes Entfernen der AD DS 238<br />
Unbelastete Umgebungen 243<br />
Unidirektionale Gesamtstrukturvertrauensstellungen 162<br />
Unidirektionale Replikation 4<br />
Unidirektionale Vertrauensstellungen 165, 263<br />
Uniting and Strengthening America by Providing Appropriate<br />
Tools Required to Intercept and Obstruct Terrorism Act von<br />
2001 (USA) 145<br />
Universal Description Discovery and Integration (UDDI) 733<br />
Universal Naming Convention (UNC) 373, 377, 464, 483<br />
Universelle Gruppen 24, 96, 204<br />
Authentifizierung und 364<br />
empfohlene Vorgehensweisen 370<br />
globaler Katalog, Speicherung in 363<br />
Verfügbarkeit 362<br />
zwischenspeichern 364<br />
UNIX 185, 187, 243, 272, 321<br />
Unmount Nummer, Befehl 601<br />
Unteilbare Operationen, ursprüngliche Aktualisierungen 96<br />
Unterdomänen, delegiert 84<br />
Untergeordnete Domänen 46, 48, 216<br />
Untergeordnete Zertifizierungsstellen 661<br />
Unternehmens-PKI, MMC-Snap-In 12, 652, 689<br />
Unternehmensverzeichnisspeicher 15, 613<br />
Unternehmenszertifizierungsstellen (CAs) 128, 292, 656,<br />
661, 688<br />
Unterstrukturindizes 35<br />
Update Sequence Numbers (USNs) 97, 591<br />
Upgrade<br />
als empfohlene Vorgehensweise 315<br />
beim Migrieren auf AD DS 245, 250
Stichwortverzeichnis 799<br />
Installieren der AD DS als 214<br />
Software 488<br />
Ursprüngliche Aktualisierungen 95, 100<br />
Ursprungsserver 101<br />
USA Patriot Act von 2001 145<br />
User Datagram Protocol (UDP) 62, 297<br />
userAccountControl-Attribut 8<br />
Users, Container 366<br />
uSNChanged-Attribut 98, 100<br />
V<br />
VBScript<br />
empfohlene Vorgehensweisen 389<br />
für AD DS-Informationen 28<br />
für Gruppenrichtlinienverwaltung 440<br />
Hinzufügen von Druckern über 373<br />
Replikation und 122<br />
zum Automatisieren der Objektverwaltung 382<br />
Verbindliche Benutzerprofile 453, 459<br />
Verbindungslokale Ipv6-Adresse 66, 69<br />
Verbindungsobjekte 110<br />
Verbindungspunkte, RMS 706, 707<br />
Verbunddienste 165, 613, 731<br />
Bereitstellungsszenarien<br />
Federated-Web-SSO 738, 740<br />
Federated-Web-SSO mit Gesamtstrukturvertrauensstellung<br />
738, 742<br />
Web-SSO 738<br />
Identitätsverbund und 732<br />
Implementierung als Federated-Web-SSO-Entwurf<br />
Installieren von Verbundservern 753<br />
Installieren von Verbundserverproxy 754<br />
Implementierungsanforderungen<br />
Clientwebbrowser 745<br />
Kontospeicher 746<br />
PKI (Public Key-Infrastruktur) 747<br />
Webserver 746<br />
Kontopartnerkonfiguration<br />
Anspruchsextrahierungen 760<br />
ausgehende Ansprüche zuordnen 762<br />
Kontospeicher 758<br />
Ressourcenpartner 761<br />
Rechteverwaltung, Integration in 16<br />
RMS und 704, 718<br />
Überblick 13<br />
Verbunddienstproxy 14<br />
Vererbung 34, 330<br />
Verfolgung<br />
Druckerstandorte 376, 389<br />
zum Steuern der Delegierung 339<br />
Verfügbarkeit, erforderliche 143, 144<br />
Verifizierungszertifikate 565, 747<br />
Verisign, Zertifizierungsstelle 292<br />
Verkabelte Netzwerke, Sicherheit 528, 529<br />
Verknüpfte Attribute 96, 103<br />
Verknüpfungen<br />
als Brücken für Standorte 126<br />
Geschwindigkeit 149<br />
GPO-Reihenfolge 421<br />
Gruppenmitgliedschaften und 594<br />
Konsole „Gruppenrichtlinienverwaltung“ 418<br />
mit GPOs 418<br />
mit IP-Subnetzen (Internet Protocol) 195<br />
Standort 122<br />
Verknüpfungspunkte, Benutzerprofile und 453<br />
Verlängerbar, Kerberos-Ticketflag 285<br />
Veröffentlichen<br />
Anwendungen 480, 481<br />
freigegebene Ordnerobjekte 377<br />
RMS, vertrauenswürdige Domänen 716<br />
Verschachtelte Gruppen 178, 362, 363<br />
Verschieben, bei der Migration 246<br />
Verschlüsselndes Dateisystem (EFS) 12, 517, 649, 653, 658<br />
Verschlüsselung 7, 8, 11, 649<br />
Versionsnummern 101, 102<br />
für Gruppenrichtliniencontainer (GPCs) 400<br />
für Gruppenrichtlinienkomponenten 402<br />
für Gruppenrichtlinienobjekte (GPOs) 409<br />
Windows-Benutzerprofile und 454<br />
Verstärken der Sicherheit Siehe Sicherheit, Gruppenrichtlinien<br />
für<br />
Verteiler-Agent, Protokolldatei 260<br />
Verteilergruppen 360<br />
Verteilte Anwendungen 15<br />
Verteilte Vorlagen für Benutzerrechterichtlinien 720, 721<br />
Verteilung von Zertifikaten 655, 687<br />
Vertrauensstellungen<br />
<strong>Active</strong> <strong>Directory</strong>-Domänen und -Vertrauensstellungen,<br />
Snap-In 60<br />
AD DS 50<br />
Assistent für neue Vertrauensstellungen 168, 294<br />
ausgewählte Authentifizierung 162<br />
bei der Migration zwischen Gesamtstrukturen 255, 262<br />
Bereich 294<br />
bidirektional 176, 263<br />
dokumentieren 150<br />
Domänenanzahl 172<br />
gemeinsam, in Gesamtstrukturen 49<br />
Gesamtstruktur 164, 179<br />
gesamtstrukturübergreifend 358<br />
Grenzen für 46<br />
Kerberos-Authentifizierung und 276<br />
Notfallwiederherstellung und 591<br />
Rechteverwaltungsdienste (RMS), Richtlinien für 713<br />
Richtlinie für 14<br />
Shortcut 176, 285<br />
Struktur 175<br />
Strukturstamm 176<br />
transitiv 48, 165<br />
transitiv, bidirektional 51, 155, 157<br />
verwalten 320<br />
Zertifizierungsstellen (CAs) und 654<br />
zwischen übergeordneten und untergeordneten Elementen<br />
176<br />
Vertrauensstellungen:Gesamtstruktur Siehe auch Verbunddienste<br />
Vertrauenswürdige Administratoren 156, 160<br />
Vertrauenswürdige Herausgeber, Objekt 528<br />
Vertrauenswürdige Stammzertifizierungsstellen 517<br />
Vertraulichkeit 145, 146
800 Stichwortverzeichnis<br />
Verwaiste Objekte 332<br />
Verwaltung, delegieren 57, 177, 319<br />
Aufgaben 320<br />
Entwurf der Organisationseinheiten 189<br />
für schreibgeschützte Domänencontroller 206<br />
Objektberechtigungen 323<br />
Besitz 336<br />
effektiv 333<br />
speziell 325<br />
Standard 323<br />
Vererbung 330<br />
Objektzugriff 321<br />
planen 348<br />
Tools für 346<br />
Überwachung 341<br />
Verwaltungsmodell des Unternehmens 153<br />
Verwaltungsmodell mit Benutzerkonten 153<br />
Verwaltungstools für die AD DS 10<br />
Verweigern-ACEs 273, 322<br />
Verweigernde Berechtigungen 334<br />
Verzeichnisdienst, Ereignisprotokoll 136, 564<br />
Verzeichnisdienst-Agent (DSA) 21, 278, 614<br />
Verzeichnisdienständerungen, Unterkategorie 305, 343<br />
Verzeichnisdienstüberwachung 6<br />
Verzeichnisdienst-Wiederherstellungsmodus (DSRM)<br />
bei der AD DS-Installation 229, 238<br />
Notfallwiederherstellung 587, 592, 593<br />
Überblick 8, 9<br />
Überwachung 570, 571<br />
Verzeichnisfähige Anwendungen 152<br />
Verzeichnispartitionen<br />
Anwendungen 624<br />
in AD LDS 612, 616<br />
Anwendungen 619<br />
Konfiguration 616<br />
Schema 617<br />
Namen 619<br />
Virtuelle Private Netzwerke (VPNs) 12, 147, 265, 494, 495<br />
Visual Basic 440<br />
Vollqualifizierter Domänename (FQDN) 86, 223, 288<br />
Volumeschattenkopie-Dienst (VSS) 9, 579<br />
Vorlagen<br />
administrative 58, 471<br />
domänenbasiert 474<br />
empfohlene Vorgehensweisen 475<br />
in Gruppenrichtlinien 394, 398, 401<br />
Überblick 471<br />
Benutzerrechterichtlinien 720<br />
OCSP-Antwortsignatur, Zertifikat 667<br />
Sicherheit 534<br />
Version 3 673<br />
Zertifikat 669<br />
aktualisieren 675<br />
Bereitstellung 675<br />
Beschreibung 655<br />
entwerfen 685<br />
implementieren 673<br />
konfigurieren 671<br />
MMC-Snap-In für 689<br />
Sicherheitskonfiguration 674<br />
W<br />
W32tm.exe, Tool 317<br />
Warnungstasks 551<br />
Wartezeit, bei der Replikation 105<br />
Wartung 566<br />
Ntdsutil.exe 570<br />
Offlinedefragmentierung 569<br />
Onlinedefragmentierung 567<br />
Sammlung veralteter Objekte 566<br />
von Gruppenmitgliedschaften 594<br />
Wbadmin, Befehlszeilentool 232, 579, 587, 593, 608<br />
Web Services Description Language (WSDL) 733<br />
Web-Agents, AD FS 737, 739, 741, 745, 748, 751, 756<br />
Webbasierte Unternehmensverwaltung, Initiative<br />
(WBEM) 383<br />
Webdienst-Verbund-RPR (WS-F RPR) 14, 734<br />
Webregistrierung von Zertifizierungsstellen 12, 659, 661,<br />
663, 666<br />
Webserver 661, 746, 752<br />
Web-SSO, AD FS-Implementierung 738<br />
Weitbereichsnetzwerke (WANs) 27, 54, 93, 94<br />
Weitergeleitet, Kerberos-Ticketflag 284, 286<br />
Weitergeleitete Ereignisse 560<br />
Weiterleitbar, Kerberos-Ticketflag 284<br />
Weiterleitungen 80, 149, 184, 227<br />
Wevutil.exe, Befehlszeilentool 651, 689<br />
Where-Object, Cmdlet 387<br />
Wichtige Leistungsindikatoren (KPIs) 554<br />
Wiederherstellen Siehe Sicherung und Wiederherstellung,<br />
Siehe Notfallwiederherstellung<br />
Wiederherstellen von Gruppenrichtlinienobjekten, Assistent<br />
434<br />
Wi-Fi Protected Access 531<br />
Windows Explorer 215, 456<br />
Windows Installer-Technologie 461, 478, 491<br />
Windows NT 4.0-Aktualisierung 245<br />
Windows Script Host (WSH) 383, 477<br />
Windows Server 2008 96<br />
Windows Server 2008 Server Core-Installation 3, 25<br />
Windows Server-Sicherungsprogramm 232, 579, 608<br />
Windows Vista, RMS und 17<br />
Windows-Bereitstellungsdienste 494<br />
Windows-Firewall 528, 532<br />
Windows-Ressourcenschutz 580<br />
Windows-Token-basierte Anwendungen 737, 742, 744<br />
Windows-Token-basierter Agent 14<br />
Windows-Verwaltungsinstrumentierung (WMI) 383, 417,<br />
421, 427, 438<br />
Windows-Wiederherstellungsumgebung (Windows RE) 590,<br />
606, 608<br />
WINS (Windows Internet Name Service) 61, 62, 216<br />
Wscript.exe, Laufzeit 383<br />
WS-Verbundspezifikation 734<br />
X<br />
X.500-Objekt-IDs 15, 38<br />
X.500-Verzeichnisse 357
Stichwortverzeichnis 801<br />
Z<br />
ZAP-Datei (Zero Administration for Windows Down-Level<br />
Application Package) 483<br />
Zeichenfolgenattribute 35<br />
Zentrale Verwaltung, in Gesamtstrukturentwurf 156<br />
Zertifikatdienste (CS) 649<br />
Akzeptanz von Zertifikaten mithilfe von Gruppenrichtlinien<br />
679<br />
automatische Zertifikatregistrierung 677<br />
Bereitstellungsszenarien 658<br />
empfohlene Vorgehensweisen 688<br />
Hierarchie 681<br />
implementieren 658<br />
Schlüsselarchivierung und -wiederherstellung 668<br />
Stammzertifizierungsstellen 659<br />
untergeordnete Zertifizierungsstellen 661<br />
Webregistrierung 661<br />
Zertifikatsperrung 662<br />
PKI-Komponenten (Public Key-Infrastruktur) 650<br />
Serverspeicherung von Anmeldeinformationen 680<br />
Tools für die 689<br />
Überblick 11<br />
Vorgehensweise zur Sperrung 687<br />
Vorgehensweise zur Verteilung 687<br />
Zertifikatvorlagen für 673, 685<br />
Zertifizierungsstellen und 656<br />
Zertifikate<br />
Authentifizierungsmodell, basierend auf 291<br />
Benutzerkontenzuordnung 292<br />
Client-Lizenzgeberzertifikat 698<br />
digital 291<br />
Einstellungen für automatische Anforderung 517<br />
für Kontopartnerauthentifizierung 747<br />
Gruppenrichtlinieneinstellungen für 12<br />
PAC (Privilege Attribute Certificate) 279, 282, 297<br />
Rechteverwaltungsdienste (RMS) 697<br />
Richtlinien zur Softwareeinschränkung und 525<br />
selbstsigniert 749<br />
SSL-Serverauthentifizierung 747<br />
Stammzertifizierungsstelle 747<br />
Tokensignatur 747, 753<br />
Verbundserver 747<br />
Verbundserverproxy, Client 754<br />
Verifizierung 747<br />
Zertifikatsperrlisten (CRLs) Siehe auch Sperrung<br />
für SSL-Serverauthentifizierungszertifikate 748<br />
importieren 665<br />
Konfiguration 662<br />
Pfade für Verteilungspunkt 655, 660<br />
Überblick 12<br />
Veröffentlichungsintervall 660<br />
Verteilung 688<br />
zwischenspeichern 664<br />
Zertifikatverwendungserklärung 660<br />
Zertifizierungsstellen (CAs) 291<br />
auswählen 749<br />
bei der SMTP-Replikation 128<br />
Beschreibung 654<br />
eigenständig 12, 676<br />
konfigurieren 666<br />
Kontopartner und 747<br />
MMC-Snap-In für 689<br />
Offline-Stammzertifizierungsstelle 688<br />
Problembehandlung 12<br />
Stamm 659, 747<br />
untergeordnet 661<br />
Unternehmen 12, 688<br />
vertrauenswürdiger Stamm 517<br />
Verwaltungstools 650<br />
Webregistrierung 659<br />
Zertifikatdienste (CS) und 656<br />
Zirkuläre Protokollierung 576, 579<br />
Zonen laden, im Hintergrund 77<br />
Zoneneigenschaften 75<br />
Zugriffssteuerungseinträge (ACEs)<br />
beim <strong>Active</strong> <strong>Directory</strong>-Objektzugriff 321<br />
Beschreibung 271, 273<br />
in AD LDS 637<br />
Ldp.exe, zur Anzeige 328<br />
Zugriffssteuerungslisten (ACLs)<br />
ausgewählte Authentifizierung und 166<br />
DDNS und 76<br />
für GPO-Einstellungen 400, 401<br />
für Organisationseinheiten 58<br />
Gruppen und 360<br />
in AD LDS 636<br />
integrierte Zonen und 72<br />
Schemaobjekte und 617<br />
Sicherheitsfilterung und 426<br />
Überblick 271<br />
Zugriffstoken<br />
Authentifizierung 321<br />
in AD LDS 627<br />
Migration 247<br />
Sicherheit 273, 279<br />
Zugriffsverweigerung, Fehler aufgrund von 132<br />
Zulassen-ACEs 273, 322<br />
Zulassende Berechtigungen 334<br />
Zulässige RODC-Kennwortreplikationsgruppe 208<br />
Zuordnen<br />
ausgehende Ansprüche 762<br />
Laufwerke zu freigegebenen Ordnern 378<br />
n:1-Zuordnung von Zertifikaten 292<br />
Ports 127<br />
Zertifikate 292<br />
Zurücksetzen<br />
Kennwörter 339, 371, 588, 591<br />
Kontosperreinstellungen 7<br />
Zuverlässigkeit, erforderliche 143<br />
Zuverlässigkeitsüberwachung 55, 543, 549<br />
Zuweisen der Objektverwaltung, Assistent 330, 339, 429<br />
Zuweisen von Anwendungen 481<br />
Zweigstellen Siehe auch Schreibgeschützte Domänencontroller<br />
(RODCs), 3, 5, 201, 234<br />
Zweiphasenmigration 244<br />
Zweistufige Authentifizierung 147, 658<br />
Zwischenspeicherung<br />
Anmeldeinformationen 25, 206, 207<br />
Domänencontrollerinformationen 69
802 Stichwortverzeichnis<br />
Mitgliedschaft in universellen Gruppen 25, 204, 364, 370<br />
Namen 295<br />
Schema 37<br />
Zertifikatsperrlisten (CRLs) 664
Über die Autoren<br />
803<br />
Stan Reimer ist President von S. R. Technical Services Inc., wo er als<br />
Unternehmensberater, Schulungsleiter und Autor tätig ist. Als Berater<br />
hat Stan Exchange Server und <strong>Active</strong> <strong>Directory</strong> für einige der<br />
größten Unternehmen Kanadas entworfen und implementiert. Als<br />
Schulungsleiter hat er sich auf das Entwickeln und die Durchführung<br />
von Schulungen zur Anpassung von Exchange Server, <strong>Active</strong> <strong>Directory</strong><br />
und zum Thema Sicherheit spezialisiert. Stan ist außerdem der<br />
Hauptautor von <strong>Active</strong> <strong>Directory</strong> for Microsoft Windows Server 2003<br />
Technical Reference (Microsoft Press, 2003) und anderen Büchern zu<br />
Exchange Server und ISA Server sowie Autor vieler Microsoft Learning-Schulungen.<br />
Stan lebt und arbeitet in Winnipeg, mit dem Herzen<br />
(und oft auch in Gedanken) weilt er jedoch in einem Cottage<br />
am Big Whiteshell Lake. Stan ist unter der E-Mail-Adresse<br />
Stanr@srtech.ca erreichbar.<br />
Conan Kezema machte 1994 seinen Bachelor of Education und<br />
erkannte sofort die Bedeutung der Computertechnik und den Bedarf<br />
an erfahrenen, technisch hoch spezialisierten Pädagogen. Er zertifizierte<br />
sich als Microsoft Certified Systems Engineer und Microsoft<br />
Certified Trainer. In den letzten 12 Jahren war Conan im IT-Bereich<br />
als Lehrer, Systemberater, Architekt für Netzwerksysteme und technischer<br />
Autor tätig. In den letzten vier Jahren trat Conan für die S. R.<br />
Technical Services Inc. in zahlreichen Microsoft-bezogenen Projekten<br />
als Sachbereichsexperte, Instructional Designer und technischer<br />
Autor auf. Wenn Sie mit Conan bezüglich einer Schulung,<br />
einer Beratung oder dem Verfassen technischer Dokumente in Kontakt<br />
treten möchten, können Sie ihm unter ckezema@sasktel.net eine<br />
E-Mail schreiben.<br />
Mike Mulcare arbeitet für die Microsoft Corporation als Senior Product<br />
Manager für Onlineschulungsprodukte. Während seiner acht<br />
Jahre bei Microsoft hat Mike zahlreiche Schulungen zu Verzeichnisdiensten<br />
und Windows-Servernetzwerken sowohl als Instructional<br />
Designer als auch als Sachbereichsexperte entwickelt. Zusammen mit<br />
Stan Reimer ist er Autor von <strong>Active</strong> <strong>Directory</strong> for Microsoft Windows<br />
Server 2003 Technical Reference (Microsoft Press, 2003).<br />
Ursprünglich stammt Mike aus dem Staat New York und wohnt jetzt<br />
mit seiner Frau und seinen drei Söhnen in Seattle, Washington. In der<br />
Softwareberatungs- und Schulungsbranche ist er seit 1990 tätig.
804 Über die Autoren<br />
Byron Wright ist Mitinhaber von Conexion Networks, wo er sich in<br />
den Bereichen Netzwerkberatung, Implementierung von Computersystemen<br />
und technische Schulungen betätigt. Byron ist außerdem<br />
Sessional Instructor für die Asper School of Business an der Universität<br />
von Manitoba, an der er in den Bereichen Verwaltungsinformationssysteme<br />
und Netzwerktechnik lehrt. Byron hat eine Reihe von<br />
Büchern über Windows-Server, Windows Vista und Exchange Server<br />
verfasst. Derzeit wohnt er mit seiner Frau und seinen zwei Töchtern<br />
in Winnipeg, Manitoba, ist jedoch in Saskatoon, Saskatchewan,<br />
geboren und aufgewachsen. Byron ist unter der E-Mail-Adresse<br />
byron@conexion.ca erreichbar.
805<br />
Systemanforderungen<br />
Zur Verwendung der Begleit-CD zu diesem Buch benötigen Sie einen Computer, der die folgenden<br />
Mindestkonfiguration erfüllt:<br />
• Microsoft Windows Server 2008, Windows Vista, Windows Server 2003 oder Windows XP<br />
• 1 GHz 32-Bit- (x86) oder 64-Bit-Prozessor (x64), (in Abhängigkeit von den Mindestanforderungen<br />
für das Betriebssystem)<br />
• 1 GB Systemarbeitsspeicher (in Abhängigkeit von den Mindestanforderungen für das Betriebssystem)<br />
• Eine Festplattenpartition mit mindestens 1 GB freiem Speicherplatz<br />
• Geeignetes Videoausgabegerät<br />
• Tastatur<br />
• Maus oder anderes Zeigegerät<br />
• Optisches Laufwerk zum Lesen von CD-ROMs<br />
• Microsoft Office 2003 oder Microsoft Office 2007<br />
Zusätzlich enthält die Begleit-CD Skripts, die in VBScript (Dateierweiterung .vbs) und Windows<br />
PowerShell (Dateierweiterung .ps1) geschrieben wurden. Die Windows PowerShell-Skripts erfordern,<br />
dass Windows PowerShell auf Ihrem Computer installiert wurde und Sie Windows PowerShell<br />
zur Ausführung nicht signierter Skripts konfiguriert haben. Zur Ausführung dieser Skripts muss Ihr<br />
System die folgenden zusätzlichen Anforderungen erfüllen:<br />
• Installieren Sie auf Windows Server 2008 das Windows PowerShell-Feature.<br />
• Windows XP SP2, Windows Server 2003 SP1 oder Windows Vista: Zur Installation von Windows<br />
PowerShell auf diesen Betriebssystemen müssen Sie PowerShell von der Website<br />
http://www.microsoft.com/downloads/ herunterladen und installieren.<br />
• Zur Aktivierung nicht signierter Skripts in Windows PowerShell starten Sie Windows PowerShell<br />
und geben anschließend Set-ExecutionPolicy RemoteSigned ein. Wenn Sie ein Windows<br />
PowerShell-Skript ausführen, benötigen Sie den vollständigen Pfad zum Skript.<br />
• Zur Verwendung der VBScript-Skripts doppelklicken Sie auf die Datei oder führen das Skript<br />
direkt von einer Befehlszeile aus.