Active Directory.pdf - Gattner

168 Kapitel 5: Entwerfen der Active Directory-Domänendienstestruktur
Die SID-Filterung ist standardmäßig für alle Vertrauensstellungen auf Windows Server 2008-Computern
aktiviert und sollte nur nach sorgfältiger Abwägung deaktiviert werden. Wenn Sie Benutzer- und
Gruppenkonten aus einer Gesamtstruktur auf eine andere migrieren, könnten Sie die SID-Filterung
nur für die Zeit des Migrationsvorgangs deaktivieren. Nach Abschluss der Migration sollten Sie die
SID-Filterung wieder aktivieren.
Entwerfen des UPN-Suffixrouting Ein UPN (User Principal Name) ist ein Anmeldename, der das
Präfix und das Suffix des Benutzerprinzipalnamens enthält. Standardmäßig ist das UPN-Präfix der
Anmeldename des Benutzers und das Suffix der Name der Domäne, in der das Benutzerkonto erstellt
wurde. Sie können die anderen Domänen im Netzwerk oder zusätzlich erstellte Suffixe verwenden,
um weitere Suffixe für Benutzer zu konfigurieren. Beispielsweise könnten Sie ein Suffix konfigurieren,
um Benutzeranmeldenamen zu erstellen, die den E-Mail-Adressen der Benutzer entsprechen.
UPNs können in einer Umgebung mit mehreren Domänen oder mehreren Gesamtstrukturen verwendet
werden, um die Benutzeranmeldung zu vereinfachen. Wenn Benutzer beispielsweise häufig zwischen
Unternehmensstandorten reisen und sich an Computern in mehreren verschiedenen Domänen
anmelden, können sie hierfür einfach ihren UPN verwenden. Der UPN muss in der Gesamtstruktur
eindeutig sein, damit der Benutzer sich jederzeit anmelden kann – unabhängig von der Domäne, in
der er sich befindet. Wenn der UPN mit der E-Mail-Adresse des Benutzers übereinstimmt, muss sich
der Benutzer nur einen einzigen Benutzernamen merken, um sowohl auf das Netzwerk als auch auf
seine E-Mails zuzugreifen.
Beim Entwurf von Gesamtstrukturvertrauensstellungen müssen Sie berücksichtigen, wie das
Namensuffixrouting zwischen Gesamtstrukturen funktioniert. Das Namensuffixrouting ist ein Mechanismus,
der die Namensauflösung in den Gesamtstrukturen basierend auf den folgenden Kriterien
ermöglicht:
• Wenn sich zwei Windows Server 2008-Gesamtstrukturen über eine Gesamtstrukturvertrauensstellung
verbinden, wird das Namensuffixrouting automatisch aktiviert. Wenn beispielsweise
eine Vertrauensstellung zwischen der Gesamtstruktur Adatum.com und der Gesamtstruktur
Contoso.com konfiguriert wird, kann sich ein Benutzer mit einem Konto in der Gesamtstruktur
Adatum.com anhand seines UPN an einem Computer in der Gesamtstruktur Contoso.com anmelden.
Die Authentifizierungsanforderung wird automatisch an den entsprechenden Domänencontroller
in der Gesamtstruktur Adatum.com geleitet.
• Wenn beide Gesamtstrukturen dasselbe UPN-Suffix besitzen, können Benutzer nicht den UPN-
Namen mit diesem Suffix für die Anmeldung an einem Computer in einer anderen Gesamtstruktur
verwenden. Wenn beispielsweise sowohl das Unternehmen Adatum.com als auch das Unternehmen
Contoso.com das UPN-Suffix TreyResearch.com verwenden würden, könnten Benutzer
sich nicht mithilfe dieses Suffixes an der jeweils anderen Gesamtstruktur anmelden.
Fehler beim UPN-Namensuffixrouting werden festgestellt, wenn Sie Gesamtstrukturvertrauensstellungen
konfigurieren. Wenn die Gesamtstrukturen dasselbe UPN-Suffix verwenden, erkennt der
Assistent für neue Vertrauensstellungen den Konflikt zwischen den beiden UPN-Suffixen und zeigt
diesen an, wenn Sie die Vertrauensstellung einzurichten versuchen. Wenn Sie einer Domäne mit einer
vorhandenen Gesamtstrukturvertrauensstellung ein UPN-Suffix hinzufügen, das einen Konflikt verursacht,
wird dem UPN-Suffix die Authentifizierung in der vertrauenden Domäne nicht gestattet.