Active Directory.pdf - Gattner

54 Kapitel 2: Active Directory-Domänendienstkomponenten
• Es müssen beide Seiten der Vertrauensstellung konfiguriert werden. Zum Konfigurieren einer
bidirektionalen Vertrauensstellung muss eine Vertrauensstellung für jede Richtung konfiguriert
werden.
• In Windows Server 2008 erzwingen externe Vertrauensstellungen standardmäßig die SID-Filterung.
Die SID-Filterung wird eingesetzt um zu verifizieren, dass eingehende Authentifizierungsanforderungen
von Sicherheitsprinzipalen in der vertrauenswürdigen Domäne ausschließlich SIDs
von Sicherheitsprinzipalen in der vertrauenswürdigen Domäne enthalten. Mithilfe der SID-Filterung
wird sichergestellt, dass Administratoren in der vertrauenswürdigen Domäne das Attribut
SIDHistory nicht verwenden können, um nicht autorisierten Zugriff auf Ressourcen in der vertrauenden
Domäne zu erhalten.
Bereichsvertrauensstellung
Der letzte Typ von Vertrauensstellung ist eine Bereichsvertrauensstellung. Diese Vertrauensstellungen
werden zwischen einer Windows Server 2008-Domäne oder -Gesamtstruktur und einer Nicht-
Windows-Implementierung eines Kerberos v5-Bereichs konfiguriert. Die Kerberos-Sicherheit
basiert auf einem offenen Standard, und es sind verschiedene andere Implementierungen von Kerberos-basierten
Netzwerksicherheitssystemen verfügbar. Bereichsvertrauensstellungen können zwischen
beliebigen Kerberos-Bereichen mit Unterstützung für den Kerberos v5-Standard erstellt
werden. Sie können als unidirektionale oder als bidirektionale sowie als transitive oder als nicht
transitive Vertrauensstellungen konfiguriert werden.
Standorte
Alle bisher beschriebenen logischen AD DS-Komponenten sind praktisch völlig unabhängig von der
physischen Infrastruktur eines Netzwerks. Beim Entwerfen der Domänenstruktur für ein Unternehmen ist
der Standort der Benutzer beispielsweise nicht die wichtigste Frage, die Sie sich stellen müssen. Sämtliche
Benutzer in einer Domäne können sich sowohl in einem einzigen Bürogebäude oder an verschiedenen
Standorten weltweit befinden. Diese Unabhängigkeit der logischen Komponenten von der Netzwerkinfrastruktur
ist weitgehend auf die Verwendung von Standorten in den AD DS zurückzuführen.
Standorte bieten die Verbindung zwischen den logischen AD DS-Komponenten und der physischen
Netzwerkinfrastruktur. Ein Standort ist als ein Netzwerkbereich definiert, in dem sämtliche Domänencontroller
über eine schnelle und zuverlässige Netzwerkverbindung verbunden sind. In den meisten
Fällen enthält ein Standort mindestens ein IP-Subnetz (Internet Protocol) in einem LAN (Local Area
Network) oder WAN (Wide Area Network) mit sehr hoher Geschwindigkeit. Die Verbindung mit den
übrigen Netzwerkkomponenten erfolgt über langsamere WAN-Verbindungen.
Auf der DVD Zum Anzeigen von Informationen zu den Standorten einer AD DS-Gesamtstruktur führen Sie
das auf der CD enthaltene Windows PowerShell-Skript ListADDSSites.ps1 aus.
Der Hauptgrund für die Erstellung von Standorten ist, Netzwerkdatenverkehr verwalten zu können,
der langsame Netzwerkverbindungen verwenden muss. Standorte werden zur Steuerung des Netzwerkdatenverkehrs
innerhalb des Windows Server 2008-Netzwerks auf drei unterschiedliche Arten
eingesetzt:
• Replikation Eine der wichtigsten Methoden für die Verwendung von Standorten zur Optimierung
von Netzwerkdatenverkehr ist die Verwaltung des Replikationsdatenverkehrs zwischen Domänencontrollern.