Home » Top active directory dns New Update

Top active directory dns New Update

by Tratamien Torosace

You are viewing this post: Top active directory dns New Update

Sie sehen gerade das Thema active directory dns


DNS Zone Types Explained, and their Significance in Active … Aktualisiert

30/04/2013 · There are three possible storage locations for DNS zone storage in the Active Directory database: DomainNC – This was the only available location with Windows 2000. This replicates to all DCs only in a specific domain. DomainDnsZones partition – Introduced in Windows 2003 and used in all newer operating systems. This replicates to all DCs …

+ hier mehr lesen

Read more

================================================== ================

================================================== ================

Ace Fekay, MCT, MVP, MCSE 2012 / Wolke, MCITP EA, MCTS Windows 2008 / R2, Exchange 2007 & 2010, Exchange 2010 Enterprise Administrator, MCSE 2003/2000, MCSA Messaging 2003 Microsoft Certified Trainer

Microsoft MVP: Directory Services

Active Directory, Exchange und Windows-Infrastruktur Ingenieur und Janitor

Revisionen

Originalveröffentlichung 2013.04.30

Präludien Ace hier wieder

Ich dachte Basis auf DNS-Zonen zu berühren, und um so mehr, Fokus auf das, was AD integrierte Zonen sind und wie sie funktionieren

Dieser Blog fast ahmt meine Klasse Vortrag zu diesem Thema

Nach Updates in regelmäßigen Abständen zurück, die ich mit einem Zeitstempel beachten Sie wird oben mit dem, was ich habe hinzugefügt oder geändert.

Dieses Thema auch in der folgenden Microsoft Technet Forum-Thread kurz diskutiert :

Technet Thema: „Secondary Zones?“

http://social.technet.microsoft.com/Forums/en-US/winserverNIS/thread/c1b0f3ac-c8af-4f4e-a5bc-23d034c85400

AD Integrierte Zonen AD-Datenbank Speicherorte

Zunächst ist ein Hintergrund auf den verschiedenen Teilen der Active Directory-Datenbank und was in ihnen gespeichert wird

Dies wird helfen, zu verstehen, wo DNS-Daten gespeichert sind, wie ich es später in diesem Blog diskutieren.

Der Active Directory-Datenspeicher (die AD-Datenbank) :

Es gibt drei mögliche Speicherorte für die DNS-Zonenspeicher in der Active Directory-Datenbank :

DomainNC – Das war die einzige Stelle mit Windows 2000

Diese Replikate auf alle DCs nur in einer bestimmten Domäne.

DomainDnsZones Partition – Eingeführt in Windows 2003 und in allen neueren Betriebssystemen verwendet

Diese Replikate auf alle DCs nur in einer bestimmten Domäne der Gesamtstruktur.

ForestDnsZones Partition

Diese Replikate auf alle DCs im Wald.

können Sie sehen, wie nicht alle Partitionen Wald breit repliziert werden

Es hängt von der Partition :

Ok, jetzt die DNS-Grundlagen: Ein Sekundär a schreibgeschützte Kopie

Eine sekundäre Zone speichert es Daten in einer Textdatei (standardmäßig in dem system32 \ dns-Ordner)

Ein Secondary bekommt eine Kopie der Zonendaten vom primären

Ein primäres ist die beschreibbare Kopie

Ein primäres speichert es Zonendaten in einer Textdatei (standardmäßig in dem system32 \ dns-Ordner)

Es gibt nur eine primäre sein kann, aber so viele Sekundärzonen, wie Sie wollen.

Sie müssen Zonentransfer-Fähigkeiten von der primären Zone erlauben, wenn Sie integriert eine sekundäre.

AD Zonen erstellen möchten Transfers nicht brauchen Zone erlaubt zu werden (siehe unten für genauere Angaben)

Active Directory integrierte Zonen ändert sich dies ein wenig :

AD Integrieren Zonen sind ähnlich Primärzonen, aber ihre Daten als binäre Daten in der aktuellen AD-Datenbank gespeichert sind und nicht als Textdatei

Die spezifische Stelle in der AD-Datenbank hängt von der Betriebssystemversion und Replikationsbereich der DC, was bedeutet, was „logischer“ Teil der physischen AD-Datenbank es in gespeichert ist, die die DCs im Wald auswirken werden es replizieren wird.

Die ” nur eine primäre Zone“Regel wird durch die Einführung der Multi-Master-Primär Funktion geändert

das ist, weil die Daten nicht als Textdatei gespeichert werden, sondern es ist in der tatsächlichen, physischen AD-Datenbank (in einen der 3 Unterschied logischer Orte gespeichert ist oder was wir den Replikationsbereich nennen), und jeder DC, die DNS installiert ist (basierend auf dem Replikationsbereich) wird eine beschreibbare Kopie sein.

die Zonendaten zu anderen DCs in dem Replikationsbereich repliziert wird, in dem die Daten gespeichert werden (basierend auf einem die drei logischen Standorte)

Jeden DC im Replikationsbereich, die DNS zur Verfügung der Zonendaten in DNS automatisch machen installiert

Jeden DC, dass die Hosts Zone „schreiben“ in die Zone kann, und die Änderungen gehen zu anderen DCs repliziert in der Replikationsbereich von t er Zone /

Die DC, die eine Änderung vornimmt wird die SOA zu diesem Zeitpunkt, bis ein anderer DC eine Änderung der Zone macht, dann wird es die SOA

Eine AD-integrierte Zone kann so konfiguriert werden, dass Zonenübertragungen an eine sekundäre Zone zugelassen werden, aber die sekundäre kann kein DC im selben Replikationsbereich sein wie die Zone, die Sie als sekundäre Zone erstellen möchten, andernfalls der DC, auf dem Sie versuchen, die sekundäre Zone zu erstellen wird es automatisch in AD integriert ändern, da es es in der AD-Datenbank „sieht“

Wenn dies erzwungen oder falsch gemacht wird, kann dies in einigen Fällen zu doppelten oder widersprüchlichen Zonen in der AD-Datenbank führen, was bis zur Behebung problematisch ist

Und wenn Sie DNS auf einem anderen DC installieren, werden die Zonendaten *automatisch* angezeigt, weil DNS erkennt die Daten in der AD-Datenbank

AD-integrierte Zonen können auch als primäre Zone für sekundäre Zonen fungieren, unabhängig davon, ob sie sich auf Windows-Computern, BIND (unter Unix) oder einer anderen bekannten Marke befinden

Denken Sie daran, dass AD-integrierte Zonen immer noch den RFCs folgen, aber mehr Funktionen haben.

Duplizieren oder Konfliktzonen?

Da ich aufgrund von doppelten und widersprüchlichen Zonen berührt habe, möchten Sie vielleicht überprüfen, ob sie in Ihrer AD-Datenbank vorhanden sind

Sie müssen jede Partition überprüfen, und wenn Sie mehr als eine Domäne haben, müssen Sie die DomainDnsZones und DomainNC jeder Domäne überprüfen

Möglicherweise müssen Sie es sogar auf mehreren DCs in verschiedenen AD-Sites überprüfen, um festzustellen, ob alle dieselbe Kopie oder unterschiedliche Kopien „sehen“

Sie wären überrascht, was ich bei AD-Replikationsproblemen gesehen habe und verschiedene DCs gesehen haben, die etwas anderes in ihrer eigenen Datenbank “sehen”

Dieses Problem manifestiert sich auch als Symptom in mehr als nur einem DNS-Problem, bei dem Sie einen Benutzer auf einem DC erstellen und dieser nie auf einen anderen DC repliziert wird

Verwenden von ADSI Edit zum Auflösen von widersprüchlichen oder doppelten AD-integrierten DNS-Zonen

http://msmvps.com/blogs/acefekay/archive/2009/09/02/using-adsi-edit-to-resolve-conflicting-or-duplicate-ad-integrated-dns-zones.aspx

Primäre Standardzone, sekundäre Standardzonen und Zonentransfers

Mit Zonenübertragungen können Sie eine schreibgeschützte Kopie (eine sekundäre Zone) auf einem anderen DNS-Server erstellen, der eine Kopie (Übertragungen) aus der Lese-/Schreibzone (der primären Zone) abruft

Primäre und sekundäre Zonen speichern ihre Daten als Text files.

Auf einem Windows-Rechner befinden sich die Zonendateien im Ordner \system32\dns mit einem Dateinamen wie „domain.com.dns“

Sie können mehrere Nur-Lese-Kopien haben, aber es kann nur eine Lese-/Schreib-Kopie dieser Zone geben

Bitte denken Sie daran, dass der autoritative DNS-Server, der im Registrar für einen öffentlichen Domänennamen (Zone) aufgeführt ist, kein Primärer sein muss , es ist nur der Host-Nameserver, der als autorisierend aufgeführt ist

Es kann seine Daten von einer primären Zone abrufen, die nicht aufgeführt ist, daher ist die beschreibbare Kopie tatsächlich verborgen und vor öffentlichem Zugriff geschützt

Benötige ich Zonenübertragungen, die für AD-integrierte Zonen zulässig sind, wenn ich keine sekundären Zonen habe? Die kurze Antwort: NEIN

Der Grund dafür ist, dass der Begriff „AD-integriert“ bedeutet, dass die Zone in der AD-Datenbank gespeichert ist und die Zone innerhalb desselben Replikationsbereichs (domänenweit oder gesamtstrukturweit) auf andere Domänencontroller repliziert wird

automatisch als Teil des AD-Replikationsprozesses.

Standardmäßig sind AD-integrierte Zonen so konfiguriert, dass sie keine Zonenübertragungen zulassen Zonentransfers zu einem sekundären Server auf diesen Servern zulassen möchten

Rotierendes SOA

Zusätzliche Sicherheitsoptionen von AD-integrierten Zonen sind eines der Merkmale von AD-integrierten Zonen, ebenso wie die Tatsache, dass es mehr als eine Kopie der primären Zone davon geben kann

Dies liegt daran, dass alle DNS-Server, die die Zone in einer Domäne oder Gesamtstruktur hosten, beschreibbare Kopien sein können und zum eigentlichen „Start of Authority“ (SOA) dieser Zone werden, wenn ein bestimmter DC/DNS einen Schreibvorgang akzeptiert, z als sich registrierender Clientcomputer oder der DC selbst aktualisiert seine SRV-Einträge.

Wenn ein DC beispielsweise seinen SRV und andere Datensätze im standardmäßigen 60-Minuten-Intervall aktualisiert (alle anderen Computer registrieren sich alle 24 Stunden), aktualisiert er seine Daten auf dem DNS-Server, der als erste DNS-Adresse in der Netzwerkkarte aufgeführt ist

Dieser Server schreibt es jetzt in DNS und wird JETZT zur SOA der Zone

Diese Daten werden mit der Standard-AD-Replikation auf andere DC/DNS-Server repliziert

Jetzt sehen alle anderen DC/DNS-Server die Änderung

Um dies weiter zu erläutern: Da die Zone AD-integriert ist, kann jeder einzelne DC im Replikationsbereich der Zone aufgrund des Multi-Master-Primärbereichs einer AD-integrierten Zone Änderungen akzeptieren Zonenfunktionen

Basierend auf der Definition dessen, was eine SOA ist, ist dies der DNS-Server, der für das Akzeptieren von Schreibvorgängen autorisiert ist

Daher wird dieser bestimmte DC/DNS, unabhängig davon, welcher DC/DNS eine Änderung an der Zone akzeptiert hat, für diesen Moment zur SOA

Wenn dann das nächste DC/DNS, das eine Änderung akzeptiert, wird es nun zur neuen SOA

Die SOA, die sich ständig in einer AD-Umgebung ändert, wird akzeptiert, und das Standardverhalten

Aus diesem Grund können Sie beobachten, wie sich der SOA-Name in AD-integrierten Zonen ändert

Die Daten werden im Rahmen des AD-Replikationsprozesses automatisch repliziert, da sie in der AD-Datenbank gespeichert werden

Verhalten der Seriennummer der Active Directory-integrierten DNS-Zone (SOA-Standardverhalten)

http://support.microsoft.com/kb/282826

Verweise

Konfigurieren Sie AD-integrierte Zonen

(Bei der Konvertierung in AD-integrierte Zonen)

Zitat: „Im Verzeichnis können nur primäre Zonen gespeichert werden

Wenn eine Zone auf anderen Domänencontrollern als sekundäre Zone konfiguriert ist, werden diese Zonen in primäre Zonen konvertiert, wenn Sie die Zone in AD-integriert konvertieren

Dies liegt daran, dass das Multimaster-Replikationsmodell von Active Directory keine sekundären Zonen mehr benötigt, wenn eine Zone in Active Directory gespeichert wird

Die Konvertierung der Zone von sekundär zu primär erfolgt, wenn AD DS neu gestartet wird.“ http://technet.microsoft.com/en-us/library/ee649181(v=ws.10)

Verständnis von DNS-Zonen

http://www.tech-faq.com/understanding-dns-zones.html

Stub-Zonen verstehen: Domain Name System (DNS)

21

Januar 2005 – Die Master-Server für eine Stub-Zone sind ein oder mehrere DNS-Server, die für die untergeordnete Zone maßgeblich sind, normalerweise der DNS-Server, der die primäre … hostet

See also  The Best ehering rosegold mann New Update

http://technet.microsoft.com/en-us/library/cc779197(v=ws.10).aspx

DNS and Active Directory New

Video unten ansehen

Neue Informationen zum Thema active directory dns

Active Directory requires DNS in order to operate. This videos looks at how Active Directory uses DNS and thus improves your understanding of how to support Active Directory and ensures your DNS infrastructure will support the requirements for Active Directory.
PDF http://itfreetraining.com/handouts/dns/dnsandad.pdf
Demonstration
To access DNS Manager, open Server Manager and select DNS from the tools menu.
The DNS records required for Active Directory are located under Forward Lookup zones under the DNS name of your domain. There are a number of different containers in here. The DNS records in each container have different uses to clients on the network.
_tcp container
This container contains services that are available via TCP or reliable transport. The container contains 4 different types of records. These are _gc, _kerberos, _kpasswd and _ldap. These allow clients to find services on the network by searching for these records. For example, if a client wants to find a global catalog server, it will look for the DNS records _gc. Under _tcp, this will contain all the global catalog servers that are available in the domain. A client needs to query this container using DNS and this will give the client a service record for a global catalog server in the domain. The default DNS server setting will attempt to return a global catalog server in the same network as the client. The _kerberos records are used by the client to locate servers on the network that can perform Kerberos authentication. The _kpasswd records tell the client where a server is that can perform Kerberos password changes. The _ldap tells the client where servers are located on the network that can perform Ldap lookups.
_udp container contains the same kind of records as _tcp, however these services are contactable with the UDP protocol.
Service records properties
Priority: When two or more records exist with the same name than the DNS record will be used with the lowest priority.
Weight: When two or more records exist that have the same lowest priority, the weight value is used to determine which record is used. For example, if one record had a value of 20 and the other 80, the first record would use 2 out of 10 requests and the second, 8 out of 10 records.
Port: The port number is the port the service can be contacted on.
Dynamic update and DNS
When services like Active Directory Domain Services starts up, it will automatically attempt to register service records in DNS. If you do not have dynamic updates enabled and you have scavenging enabled, the Active Directory DNS records will eventually be removed. Since the services records have been removed, clients will not be able to find Active Directory resources on the network. If you want to check if dynamic updates are enabled, open the properties of the zone file and make sure that dynamic updates is not disabled on the general tab.
DomainDNSZones and ForestDNSZones
These two containers contains DNS records that are relevant for the domain and forest.
_msdcs zone
This is a Microsoft specific zone that contains resource service records for the domain or forest. This zone contains DNS service records that are registered by Microsoft based services. Since there are other non-Microsoft Directory Services that use service records, in order for a client to be sure that it is obtaining service records for a Microsoft solution, a Microsoft only zone is required. This zone is available at the forest level and thus Domain Controllers can obtain service records for all Domain Controllers in the forest. Using this information, they can create replication that works at the domain and forest level.
Description to long for youtube. For the rest of the description please see.
http://itfreetraining.com/dns#ad
References
\”MCTS 70-640 Configuring Windows Server 2008 Active Directory Second edition\” pg 480
\”Active Directory SRV Records\” http://www.petri.co.il/active_directory_srv_records.htm
\”How DNS Support for Active Directory Works\” http://technet.microsoft.com/en-us/library/cc759550(WS.10).aspx

active directory dns Einige Bilder im Thema

 New DNS and Active Directory
DNS and Active Directory Update

Active DirectoryWikipedia Aktualisiert

Active Directory (AD) is a directory service developed by Microsoft for Windows domain networks. It is included in most Windows Server operating systems as a set of processes and services. Initially, Active Directory was used only for centralized domain management. However, Active Directory eventually became an umbrella title for a broad range of directory-based …

+ hier mehr lesen

Read more

Von Microsoft erstellter Verzeichnisdienst für Windows-Domänennetzwerke

Nicht zu verwechseln mit Microsoft Azure Active Directory

Active Directory (AD) ist ein Verzeichnisdienst, der von Microsoft für Windows-Domänennetzwerke entwickelt wurde

Es ist in den meisten Windows Server-Betriebssystemen als eine Reihe von Prozessen und Diensten enthalten.[1][2] Ursprünglich wurde Active Directory nur für die zentrale Domänenverwaltung verwendet

Schließlich wurde Active Directory jedoch zu einem Oberbegriff für eine breite Palette von verzeichnisbasierten identitätsbezogenen Diensten.[3]

Ein Server, auf dem die Rolle des Active Directory-Domänendiensts (AD DS) ausgeführt wird, wird als Domänencontroller bezeichnet

Es authentifiziert und autorisiert alle Benutzer und Computer in einem Netzwerk vom Typ Windows-Domäne, weist Sicherheitsrichtlinien für alle Computer zu und erzwingt sie und installiert oder aktualisiert Software

Wenn sich ein Benutzer beispielsweise bei einem Computer anmeldet, der Teil einer Windows-Domäne ist, überprüft Active Directory den übermittelten Benutzernamen und das Kennwort und bestimmt, ob der Benutzer ein Systemadministrator oder ein normaler Benutzer ist.[4] Außerdem ermöglicht es die Verwaltung und Speicherung von Informationen, stellt Authentifizierungs- und Autorisierungsmechanismen bereit und erstellt ein Framework zur Bereitstellung anderer verwandter Dienste: Zertifikatsdienste, Active Directory-Verbunddienste, Lightweight-Verzeichnisdienste und Rechteverwaltungsdienste.[5]

Active Directory verwendet die Versionen 2 und 3 des Lightweight Directory Access Protocol (LDAP), die Microsoft-Version von Kerberos[6] und DNS.[7]

Geschichte[Bearbeiten]

Wie viele IT-Bemühungen entstand Active Directory aus einer Demokratisierung des Designs unter Verwendung von Request for Comments (RFCs)

Die Internet Engineering Task Force (IETF), die den RFC-Prozess überwacht, hat zahlreiche RFCs akzeptiert, die von weit verbreiteten Teilnehmern initiiert wurden

Beispielsweise unterstützt LDAP Active Directory

Außerdem gingen X.500-Verzeichnisse und die Organisationseinheit dem Active Directory-Konzept voraus, das diese Methoden verwendet

Das LDAP-Konzept entstand bereits vor der Gründung von Microsoft im April 1975, mit RFCs bereits im Jahr 1971

Zu den RFCs, die zu LDAP beitragen, gehören RFC 1823 (auf der LDAP-API, August 1995),[8] RFC 2307, RFC 3062 und RFC 4533.[9][10][11]

Microsoft hat 1999 eine Vorschau auf Active Directory gezeigt, es zuerst mit Windows 2000 Server Edition veröffentlicht und es überarbeitet, um die Funktionalität zu erweitern und die Verwaltung in Windows Server 2003 zu verbessern

Active Directory-Unterstützung wurde auch zu Windows 95, Windows 98 und Windows NT 4.0 per Patch hinzugefügt einige Funktionen werden nicht unterstützt.[12][13] Weitere Verbesserungen kamen mit nachfolgenden Versionen von Windows Server

In Windows Server 2008 wurden zusätzliche Dienste zu Active Directory hinzugefügt, wie z

B

Active Directory Federation Services.[14] Der für die Verwaltung von Domains zuständige Teil des Verzeichnisses, der zuvor ein Kernbestandteil des Betriebssystems war,[14] wurde in Active Directory Domain Services (ADDS) umbenannt und wurde wie andere zu einer Serverrolle.[3] “Active Directory” wurde zum Oberbegriff einer breiteren Palette von verzeichnisbasierten Diensten.[15] Laut Byron Hynes wurde alles, was mit Identität zu tun hat, unter das Banner von Active Directory gestellt.[3]

Active Directory-Dienste[Bearbeiten]

Active Directory-Dienste bestehen aus mehreren Verzeichnisdiensten

Am bekanntesten sind Active Directory Domain Services, allgemein abgekürzt als AD DS oder einfach AD.

Domain Services [ bearbeiten ]

Active Directory Domain Services (AD DS) ist der Grundstein jedes Windows-Domänennetzwerks

Es speichert Informationen über Mitglieder der Domäne, einschließlich Geräte und Benutzer, überprüft ihre Anmeldeinformationen und definiert ihre Zugriffsrechte

Der Server, auf dem dieser Dienst ausgeführt wird, wird als Domänencontroller bezeichnet

Ein Domänencontroller wird kontaktiert, wenn sich ein Benutzer bei einem Gerät anmeldet, über das Netzwerk auf ein anderes Gerät zugreift oder eine branchenspezifische App im Metro-Stil ausführt, die seitlich auf ein Gerät geladen wird.

Andere Active Directory-Dienste (mit Ausnahme von LDS, wie unten beschrieben) sowie die meisten Microsoft-Servertechnologien beruhen auf oder verwenden Domänendienste; Beispiele sind Gruppenrichtlinien, verschlüsselndes Dateisystem, BitLocker, Domain Name Services, Remote Desktop Services, Exchange Server und SharePoint Server

Das selbstverwaltete AD DS darf nicht mit verwaltetem Azure AD DS verwechselt werden, bei dem es sich um ein Cloud-Produkt handelt.[16 ]

Leichte Verzeichnisdienste[Bearbeiten]

Active Directory Lightweight Directory Services (AD LDS), früher bekannt als Active Directory Application Mode (ADAM),[17] ist eine Implementierung des LDAP-Protokolls für AD DS.[18] AD LDS wird als Dienst auf Windows Server ausgeführt

AD LDS teilt die Codebasis mit AD DS und bietet dieselbe Funktionalität, einschließlich einer identischen API, erfordert jedoch nicht die Erstellung von Domänen oder Domänencontrollern

Es bietet einen Data Store für die Speicherung von Verzeichnisdaten und einen Verzeichnisdienst mit einer LDAP-Verzeichnisdienstschnittstelle

Im Gegensatz zu AD DS können jedoch mehrere AD LDS-Instanzen auf demselben Server ausgeführt werden

Zertifikatsdienste [ bearbeiten ]

Active Directory Certificate Services (AD CS) richtet eine lokale Public-Key-Infrastruktur ein

Es kann Public-Key-Zertifikate für den internen Gebrauch einer Organisation erstellen, validieren und widerrufen

Diese Zertifikate können verwendet werden, um Dateien (bei Verwendung mit Encrypting File System), E-Mails (gemäß S/MIME-Standard) und Netzwerkverkehr (bei Verwendung durch virtuelle private Netzwerke, Transport Layer Security-Protokoll oder IPSec-Protokoll) zu verschlüsseln

AD CS ist älter als Windows Server 2008, aber sein Name war einfach Certificate Services.[19]

AD CS erfordert eine AD DS-Infrastruktur.[20]

Föderationsdienste[Bearbeiten]

Active Directory-Verbunddienste (AD FS) ist ein Single-Sign-On-Dienst

Wenn eine AD FS-Infrastruktur vorhanden ist, können Benutzer mehrere webbasierte Dienste (z

B

Internetforum, Blog, Online-Shopping, Webmail) oder Netzwerkressourcen verwenden, indem sie nur einen Satz von Anmeldeinformationen verwenden, die an einem zentralen Ort gespeichert sind, anstatt gewährt zu werden einen dedizierten Satz von Anmeldeinformationen für jeden Dienst

AD FS verwendet viele beliebte offene Standards zur Weitergabe von Token-Anmeldeinformationen wie SAML, OAuth oder OpenID Connect.[21] AD FS unterstützt die Verschlüsselung und Signierung von SAML-Assertionen.[22] Der Zweck von AD FS ist eine Erweiterung des Zwecks von AD DS: Letzteres ermöglicht es Benutzern, sich mit einem Satz von Anmeldeinformationen bei Geräten zu authentifizieren und diese zu verwenden, die Teil desselben Netzwerks sind

Ersteres ermöglicht es ihnen, dieselben Anmeldeinformationen in einem anderen Netzwerk zu verwenden

Wie der Name schon sagt, funktioniert AD FS auf der Grundlage des Konzepts der Verbundidentität

AD FS erfordert eine AD DS-Infrastruktur, obwohl sein Verbundpartner dies möglicherweise nicht tut.[ 23]

Rechteverwaltungsdienste[Bearbeiten]

Active Directory Rights Management Services (AD RMS, bekannt als Rights Management Services oder RMS vor Windows Server 2008) ist eine Serversoftware für die Verwaltung von Informationsrechten, die mit Windows Server geliefert wird

Es verwendet Verschlüsselung und eine Form der selektiven Funktionalitätsverweigerung, um den Zugriff auf Dokumente wie Unternehmens-E-Mails, Microsoft Word-Dokumente und Webseiten sowie die Operationen, die autorisierte Benutzer darauf ausführen können, einzuschränken

Diese Vorgänge können beispielsweise das Anzeigen, Bearbeiten, Kopieren, Speichern unter oder Drucken umfassen

See also  Best Choice 4.3 9 New Update

IT-Administratoren können bei Bedarf voreingestellte Vorlagen für den Komfort des Endbenutzers erstellen

Endbenutzer können jedoch weiterhin festlegen, wer auf die betreffenden Inhalte zugreifen kann, und festlegen, was sie tun können

[24]

Logische Struktur[Bearbeiten]

Als Verzeichnisdienst besteht eine Active Directory-Instanz aus einer Datenbank und dem entsprechenden ausführbaren Code, der für die Bearbeitung von Anfragen und die Pflege der Datenbank verantwortlich ist

Der ausführbare Teil, bekannt als Directory System Agent, ist eine Sammlung von Windows-Diensten und -Prozessen, die unter Windows 2000 und höher ausgeführt werden.[1] Auf Objekte in Active Directory-Datenbanken kann über LDAP, ADSI (eine Komponentenobjektmodellschnittstelle), Messaging-API und Security Accounts Manager-Dienste zugegriffen werden.[2]

Objekte[Bearbeiten]

Ein vereinfachtes Beispiel für das interne Netzwerk eines Verlags

Das Unternehmen hat vier Gruppen mit unterschiedlichen Berechtigungen für die drei freigegebenen Ordner im Netzwerk

Active Directory-Strukturen sind Anordnungen von Informationen über Objekte

Die Objekte fallen in zwei große Kategorien: Ressourcen (z

B

Drucker) und Sicherheitsprinzipale (Benutzer- oder Computerkonten und -gruppen)

Sicherheitsprinzipalen werden eindeutige Sicherheits-IDs (SIDs) zugewiesen

Jedes Objekt repräsentiert eine einzelne Entität – ob ein Benutzer, ein Computer, ein Drucker oder eine Gruppe – und seine Attribute

Bestimmte Objekte können andere Objekte enthalten

Ein Objekt wird eindeutig durch seinen Namen identifiziert und verfügt über eine Reihe von Attributen – die Merkmale und Informationen, die das Objekt darstellt –, die durch ein Schema definiert sind, das auch die Arten von Objekten bestimmt, die im Active Directory gespeichert werden können Administratoren erweitern oder ändern das Schema bei Bedarf

Da jedoch jedes Schemaobjekt integraler Bestandteil der Definition von Active Directory-Objekten ist, kann das Deaktivieren oder Ändern dieser Objekte eine Bereitstellung grundlegend ändern oder unterbrechen

Schemaänderungen werden automatisch im gesamten System weitergegeben

Ein einmal erstelltes Objekt kann nur deaktiviert, nicht gelöscht werden

Das Ändern des Schemas erfordert normalerweise Planung.[25]

Wälder, Bäume und Domänen [ bearbeiten ]

Das Active Directory-Framework, das die Objekte enthält, kann auf mehreren Ebenen betrachtet werden

Gesamtstruktur, Baum und Domäne sind die logischen Unterteilungen in einem Active Directory-Netzwerk

Innerhalb einer Bereitstellung werden Objekte in Domänen gruppiert

Die Objekte für eine einzelne Domäne werden in einer einzelnen Datenbank gespeichert (die repliziert werden kann)

Domains werden anhand ihrer DNS-Namensstruktur, dem Namespace, identifiziert

Eine Domäne ist als eine logische Gruppe von Netzwerkobjekten (Computer, Benutzer, Geräte) definiert, die dieselbe Active Directory-Datenbank gemeinsam nutzen

Ein Baum ist eine Sammlung von einer oder mehreren Domänen und Domänenbäumen in einem zusammenhängenden Namespace und ist in einer transitiven Vertrauenshierarchie verknüpft

An der Spitze der Struktur befindet sich die Gesamtstruktur

Eine Gesamtstruktur ist eine Sammlung von Bäumen, die einen gemeinsamen globalen Katalog, ein gemeinsames Verzeichnisschema, eine logische Struktur und eine gemeinsame Verzeichniskonfiguration haben

Die Gesamtstruktur stellt die Sicherheitsgrenze dar, innerhalb der Benutzer, Computer, Gruppen und andere Objekte zugänglich sind

Domäne-Boston Domäne-New York Domäne-Philly Tree-Southern Domäne-Atlanta Domäne-Dallas Domäne-Dallas OU-Marketing Hewitt Aon Steve OU -Sales Bill Ralph Beispiel für die geografische Organisation von Interessenzonen innerhalb von Bäumen und Domänen.

Organisationseinheiten [ bearbeiten ]

Die innerhalb einer Domäne gehaltenen Objekte können in Organisationseinheiten (OUs) gruppiert werden.[26] Organisationseinheiten können einer Domäne eine Hierarchie verleihen, ihre Verwaltung vereinfachen und der Organisationsstruktur in verwaltungstechnischer oder geografischer Hinsicht ähneln

Organisationseinheiten können andere Organisationseinheiten enthalten – Domänen sind in diesem Sinne Container

Microsoft empfiehlt die Verwendung von Organisationseinheiten anstelle von Domänen zur Strukturierung und Vereinfachung der Implementierung von Richtlinien und Verwaltung

Die OU ist die empfohlene Ebene zum Anwenden von Gruppenrichtlinien, bei denen es sich um Active Directory-Objekte handelt, die offiziell als Gruppenrichtlinienobjekte (GPOs) bezeichnet werden, obwohl Richtlinien auch auf Domänen oder Sites angewendet werden können (siehe unten)

Die OU ist die Ebene, auf der üblicherweise administrative Befugnisse delegiert werden, aber die Delegierung kann auch für einzelne Objekte oder Attribute durchgeführt werden

Organisationseinheiten haben nicht jeweils einen eigenen Namensraum

Aus Gründen der Kompatibilität mit Legacy-NetBios-Implementierungen sind daher Benutzerkonten mit einem identischen sAMAccountName innerhalb derselben Domäne nicht zulässig, selbst wenn sich die Kontenobjekte in separaten Organisationseinheiten befinden

Dies liegt daran, dass sAMAccountName, ein Benutzerobjektattribut, innerhalb der Domäne eindeutig sein muss.[27] Zwei Benutzer in verschiedenen OUs können jedoch denselben gemeinsamen Namen (CN) haben, den Namen, unter dem sie im Verzeichnis selbst gespeichert sind, z

B

“fred.staff-ou.domain” und “fred.student-ou.domain”

wobei „staff-ou“ und „student-ou“ die OUs sind.

Im Allgemeinen liegt der Grund dafür, dass doppelte Namen durch die hierarchische Verzeichnisplatzierung nicht zugelassen werden, darin, dass Microsoft hauptsächlich auf die Prinzipien von NetBIOS vertraut, einer flachen Namespace-Methode zur Verwaltung von Netzwerkobjekten, die für Microsoft-Software den ganzen Weg zurückreicht zu Windows NT 3.1 und MS-DOS LAN Manager

Das Zulassen der Duplizierung von Objektnamen im Verzeichnis oder das vollständige Entfernen der Verwendung von NetBIOS-Namen würde die Abwärtskompatibilität mit Legacy-Software und -Geräten verhindern

Das Verhindern von doppelten Objektnamen auf diese Weise stellt jedoch einen Verstoß gegen die LDAP-RFCs dar, auf denen Active Directory angeblich basiert Reihenfolge) oder umgekehrt (östliche Reihenfolge) versagen bei gebräuchlichen Familiennamen wie Li (李), Smith oder Garcia

Problemumgehungen umfassen das Hinzufügen einer Ziffer am Ende des Benutzernamens

Zu den Alternativen gehört die Erstellung eines separaten ID-Systems mit eindeutigen Mitarbeiter-/Studenten-ID-Nummern, die als Kontonamen anstelle der tatsächlichen Benutzernamen verwendet werden können, und die Möglichkeit, dass Benutzer ihre bevorzugte Wortfolge innerhalb einer akzeptablen Nutzungsrichtlinie benennen können

Weil innerhalb einer Domäne keine doppelten Benutzernamen existieren können stellt die Generierung von Kontonamen eine erhebliche Herausforderung für große Organisationen dar, die nicht einfach in separate Domänen unterteilt werden können, wie z

B

Studenten in einem öffentlichen Schulsystem oder einer Universität, die in der Lage sein müssen, jeden Computer im gesamten Netzwerk zu verwenden

In Active Directory können Organisationseinheiten (OUs) nicht als Eigentümer oder Trustees zugewiesen werden

Nur Gruppen sind auswählbar, und Mitgliedern von OUs können nicht kollektiv Rechte für Verzeichnisobjekte zugewiesen werden

In Microsofts Active Directory verleihen OUs keine Zugriffsberechtigungen, und Objekten, die in OUs platziert werden, werden nicht automatisch Zugriffsrechte basierend auf der sie enthaltenden OU zugewiesen

Dies ist eine für Active Directory spezifische Entwurfseinschränkung

Andere konkurrierende Verzeichnisse wie Novell NDS können Zugriffsrechte durch Objektplatzierung innerhalb einer OU zuweisen

Active Directory erfordert einen separaten Schritt für einen Administrator, um ein Objekt in einer OU als Mitglied einer Gruppe auch innerhalb dieser OU zuzuweisen

Sich allein auf den OU-Standort zu verlassen, um Zugriffsberechtigungen zu bestimmen, ist unzuverlässig, da das Objekt möglicherweise nicht dem Gruppenobjekt für diese OU zugewiesen wurde und pflegen eine Benutzergruppe für jede OU in ihrem Verzeichnis

Die Skripts werden regelmäßig ausgeführt, um die Gruppe entsprechend der Kontomitgliedschaft der Organisationseinheit zu aktualisieren, können die Sicherheitsgruppen jedoch nicht sofort aktualisieren, wenn sich das Verzeichnis ändert, wie dies bei konkurrierenden Verzeichnissen der Fall ist, bei denen die Sicherheit direkt im Verzeichnis selbst implementiert ist

Solche Gruppen werden als Schattengruppen bezeichnet

Nach der Erstellung können diese Schattengruppen anstelle der OU in den Verwaltungstools ausgewählt werden

Microsoft verweist in der Server 2008-Referenzdokumentation auf Schattengruppen, erklärt jedoch nicht, wie sie erstellt werden

Es gibt keine integrierten Servermethoden oder Konsolen-Snap-Ins zum Verwalten von Schattengruppen.[28]

Die Aufteilung der Informationsinfrastruktur einer Organisation in eine Hierarchie aus einer oder mehreren Domänen und Organisationseinheiten der obersten Ebene ist eine wichtige Entscheidung

Gängige Modelle sind nach Geschäftseinheit, nach geografischem Standort, nach IT-Service oder nach Objekttyp und Mischungen davon

Organisationseinheiten sollten in erster Linie so strukturiert sein, dass sie die administrative Delegierung und in zweiter Linie die Anwendung von Gruppenrichtlinien erleichtern

Obwohl Organisationseinheiten eine Verwaltungsgrenze bilden, ist die einzige wirkliche Sicherheitsgrenze die Gesamtstruktur selbst, und einem Administrator einer beliebigen Domäne in der Gesamtstruktur muss über alle Domänen in der Gesamtstruktur hinweg vertraut werden.[29]

Partitionen

Die Active Directory-Datenbank ist in Partitionen organisiert, die jeweils bestimmte Objekttypen enthalten und einem bestimmten Replikationsmuster folgen

Microsoft bezeichnet diese Partitionen oft als „Namenskontexte“.[30] Die ‘Schema’-Partition enthält die Definition von Objektklassen und Attributen innerhalb des Forest

Die Partition „Configuration“ enthält Informationen zur physischen Struktur und Konfiguration der Gesamtstruktur (z

B

Standorttopologie)

Beide replizieren auf alle Domänen in der Gesamtstruktur

Die Partition „Domäne“ enthält alle in dieser Domäne erstellten Objekte und repliziert nur innerhalb ihrer Domäne

Physische Struktur [Bearbeiten]

Sites sind physische (und nicht logische) Gruppierungen, die durch ein oder mehrere IP-Subnetze definiert werden.[31] AD enthält auch die Definitionen von Verbindungen und unterscheidet Verbindungen mit niedriger Geschwindigkeit (z

B

WAN, VPN) von Verbindungen mit hoher Geschwindigkeit (z

B

LAN)

Websitedefinitionen sind unabhängig von der Domäne und der OU-Struktur und in der gesamten Gesamtstruktur gleich

Standorte werden verwendet, um den durch die Replikation generierten Netzwerkdatenverkehr zu steuern und Clients an die nächstgelegenen Domänencontroller (DCs) zu verweisen

Microsoft Exchange Server 2007 verwendet die Standorttopologie für das Mail-Routing

Richtlinien können auch auf Standortebene definiert werden

Physisch werden die Active Directory-Informationen auf einem oder mehreren Peer-Domänencontrollern gespeichert und ersetzen das NT-PDC/BDC-Modell

Jeder DC verfügt über eine Kopie des Active Directory

Mit Active Directory verbundene Server, die keine Domänencontroller sind, werden als Mitgliedsserver bezeichnet.[32] Eine Teilmenge von Objekten in der Domänenpartition wird auf Domänencontroller repliziert, die als globale Kataloge konfiguriert sind

Global Catalog (GC)-Server bieten eine globale Auflistung aller Objekte im Forest.[33][34] Globale Katalogserver replizieren alle Objekte aus allen Domänen und stellen daher eine globale Auflistung von Objekten in der Gesamtstruktur bereit

Um jedoch den Replikationsverkehr zu minimieren und die Datenbank des GC klein zu halten, werden nur ausgewählte Attribute jedes Objekts repliziert

Dies wird als partieller Attributsatz (PAS) bezeichnet

Der PAS kann modifiziert werden, indem das Schema modifiziert und Attribute für die Replikation auf dem GC markiert werden.[35] Frühere Windows-Versionen verwendeten NetBIOS zur Kommunikation

Active Directory ist vollständig in DNS integriert und erfordert TCP/IP – DNS

Um voll funktionsfähig zu sein, muss der DNS-Server SRV-Ressourceneinträge unterstützen, die auch als Diensteinträge bekannt sind

Replikation [ bearbeiten ]

Active Directory synchronisiert Änderungen mithilfe von Multi-Master-Replikation.[36] Die Replikation ist standardmäßig “Pull” statt “Push”, was bedeutet, dass Replikate Änderungen von dem Server abrufen, auf dem die Änderung vorgenommen wurde.[37] Die Knowledge Consistency Checker (KCC) erstellt eine Replikationstopologie von Standortverknüpfungen unter Verwendung der definierten Standorte zum Verwalten des Datenverkehrs

Die standortinterne Replikation erfolgt häufig und automatisch als Ergebnis einer Änderungsbenachrichtigung, die Peers dazu veranlasst, einen Pull-Replikationszyklus zu beginnen

Replikationsintervalle zwischen Standorten sind in der Regel weniger häufig und verwenden standardmäßig keine Änderungsbenachrichtigung, obwohl dies konfigurierbar ist und mit der standortinternen Replikation identisch gemacht werden kann

Jede Verbindung kann „Kosten“ haben (z

B

DS3, T1, ISDN usw.) und die KCC ändert die Site-Link-Topologie entsprechend

Die Replikation kann transitiv über mehrere Site-Links auf Site-Link-Bridges mit demselben Protokoll erfolgen, wenn die Kosten niedrig sind, obwohl KCC automatisch eine direkte Site-to-Site-Verbindung kostet, die niedriger ist als transitive Verbindungen

Die Site-to-Site-Replikation kann so konfiguriert werden, dass sie zwischen einem Bridgeheadserver an jedem Standort erfolgt, der dann die Änderungen auf andere Domänencontroller innerhalb des Standorts repliziert

See also  Top mietspiegel 2019 rostock Update New

Die Replikation für Active Directory-Zonen wird automatisch konfiguriert, wenn DNS in der domänenbasierten Site aktiviert wird

Die Replikation von Active Directory verwendet Remote Procedure Calls (RPC) über IP (RPC/IP)

Zwischen Sites kann SMTP für die Replikation verwendet werden, jedoch nur für Änderungen an Schema-, Konfigurations- oder partiellen Attributsatz (globaler Katalog)-GCs

SMTP kann nicht zum Replizieren der Standarddomänenpartition verwendet werden.[38]

Umsetzung[Bearbeiten]

Im Allgemeinen verfügt ein Netzwerk, das Active Directory verwendet, über mehr als einen lizenzierten Windows-Servercomputer

Die Sicherung und Wiederherstellung von Active Directory ist für ein Netzwerk mit einem einzelnen Domänencontroller möglich,[39] aber Microsoft empfiehlt mehr als einen Domänencontroller, um einen automatischen Failover-Schutz des Verzeichnisses bereitzustellen.[40] Domänencontroller sind idealerweise auch nur für Verzeichnisoperationen gedacht und sollten keine andere Software oder Rolle ausführen.[41]

Bestimmte Microsoft-Produkte wie SQL Server[42][43] und Exchange[44] können den Betrieb eines Domänencontrollers stören, was die Isolierung dieser Produkte auf zusätzlichen Windows-Servern erforderlich macht

Ihre Kombination kann die Konfiguration oder Fehlerbehebung des Domänencontrollers oder der anderen installierten Software erschweren.[45] Einem Unternehmen, das Active Directory implementieren möchte, wird daher empfohlen, eine Reihe von Windows-Serverlizenzen zu erwerben, mindestens zwei separate Domänencontroller und optional zusätzliche Domänencontroller für Leistung oder Redundanz bereitzustellen, einen separaten Dateiserver, einen separaten Exchange-Server, ein separater SQL-Server[46] und so weiter, um die verschiedenen Serverrollen zu unterstützen

Die Kosten für physische Hardware für die vielen separaten Server können durch die Verwendung von Virtualisierung reduziert werden, obwohl Microsoft für einen angemessenen Failover-Schutz empfiehlt, nicht mehrere virtualisierte Domänencontroller auf derselben physischen Hardware auszuführen.[47]

Datenbank[Bearbeiten]

Die Active-Directory-Datenbank, der Verzeichnisspeicher, in Windows 2000 Server verwendet die JET Blue-basierte Extensible Storage Engine (ESE98) und ist auf 16 Terabyte und 2 Milliarden Objekte (aber nur 1 Milliarde Sicherheitsprinzipale) in der Datenbank jedes Domänencontrollers beschränkt

Microsoft hat NTDS-Datenbanken mit mehr als 2 Milliarden Objekten erstellt.[48] (Der Security Account Manager von NT4 konnte nicht mehr als 40.000 Objekte unterstützen)

Es heißt NTDS.DIT ​​und hat zwei Haupttabellen: die Datentabelle und die Verbindungstabelle

Windows Server 2003 fügte eine dritte Haupttabelle für die Einzelinstanzierung von Sicherheitsbeschreibungen hinzu.[48]

Programme können auf die Funktionen von Active Directory[49] über die von Active Directory Service Interfaces bereitgestellten COM-Schnittstellen zugreifen[50]

vertrauen[Bearbeiten]

Um Benutzern in einer Domäne den Zugriff auf Ressourcen in einer anderen zu ermöglichen, verwendet Active Directory Trusts.[51]

Vertrauensstellungen innerhalb einer Gesamtstruktur werden automatisch erstellt, wenn Domänen erstellt werden

Die Gesamtstruktur legt die Standardgrenzen des Vertrauens fest, und implizites, transitives Vertrauen gilt automatisch für alle Domänen innerhalb einer Gesamtstruktur

Terminologie [ bearbeiten ]

One-Way Trust Eine Domäne erlaubt den Zugriff für Benutzer in einer anderen Domäne, aber die andere Domäne erlaubt keinen Zugriff für Benutzer in der ersten Domäne

Zwei-Wege-Vertrauensstellung Zwei Domänen erlauben den Zugriff für Benutzer in beiden Domänen

Vertrauenswürdige Domäne Die vertrauenswürdige Domäne; dessen Benutzer Zugriff auf die vertrauende Domäne haben

Transitive Vertrauensstellung Eine Vertrauensstellung, die sich über zwei Domänen hinaus auf andere vertrauenswürdige Domänen in der Gesamtstruktur erstrecken kann

Intransitives Vertrauen Ein unidirektionales Vertrauen, das sich nicht über zwei Domänen erstreckt

Explizite Vertrauensstellung Eine Vertrauensstellung, die ein Administrator erstellt

Es ist nicht transitiv und nur in eine Richtung

Cross-Link-Vertrauensstellung Eine explizite Vertrauensstellung zwischen Domänen in verschiedenen Bäumen oder im selben Baum, wenn zwischen den beiden Domänen keine Nachkommen/Vorfahren-Beziehung (untergeordnet/übergeordnet) besteht

Shortcut Verbindet zwei Domänen in verschiedenen Bäumen, transitiv, ein- oder zweiseitig

Gesamtstrukturvertrauen Gilt für die gesamte Gesamtstruktur

Transitiv, ein- oder zweiseitig

Bereich Kann transitiv oder nichttransitiv (intransitiv), ein- oder zweiseitig sein

Externe Verbindung zu anderen Gesamtstrukturen oder Nicht-AD-Domänen

Nichttransitiv, ein- oder zweiseitig.[52] PAM-Vertrauen Eine unidirektionale Vertrauensstellung, die von Microsoft Identity Manager von einer (möglicherweise niedrigen) Produktionsgesamtstruktur zu einer „Bastion“-Gesamtstruktur (Windows Server 2016-Funktionsebene) verwendet wird, die zeitlich begrenzte Gruppenmitgliedschaften ausstellt.[53][54]

Managementlösungen[Bearbeiten]

Zu den Microsoft Active Directory-Verwaltungstools gehören:

Active Directory-Verwaltungscenter (eingeführt mit Windows Server 2012 und höher),

Aktive Verzeichnisse Benutzer und Computer,

Active Directory-Domänen und -Vertrauensstellungen

Active Directory-Standorte und -Dienste

ADSI-Bearbeitung,

Lokale Benutzer und Gruppen

Active Directory-Schema-Snap-Ins für Microsoft Management Console (MMC)

SysInternals ADExplorer

Diese Verwaltungstools bieten möglicherweise nicht genügend Funktionen für einen effizienten Arbeitsablauf in großen Umgebungen

Einige Lösungen von Drittanbietern erweitern die Verwaltungs- und Verwaltungsfunktionen

Sie bieten wesentliche Funktionen für einen bequemeren Verwaltungsprozess, wie z

B

Automatisierung, Berichte, Integration mit anderen Diensten usw

Unix-Integration [ bearbeiten ]

Unterschiedliche Ebenen der Interoperabilität mit Active Directory können auf den meisten Unix-ähnlichen Betriebssystemen (einschließlich Unix, Linux, Mac OS X oder Java- und Unix-basierten Programmen) durch standardkonforme LDAP-Clients erreicht werden, aber diese Systeme interpretieren normalerweise viele Attribute nicht in Verbindung mit Windows-Komponenten wie Gruppenrichtlinien und Unterstützung für One-Way-Trusts

Drittanbieter bieten Active Directory-Integration für Unix-ähnliche Plattformen, einschließlich:

PowerBroker Identity Services, ehemals Equal (BeyondTrust, ehemals Equal Software) – Ermöglicht einem Nicht-Windows-Client den Beitritt zu Active Directory [55]

, ehemals (BeyondTrust, ehemals Equal Software) – Ermöglicht einem Nicht-Windows-Client den Beitritt zu Active Directory ADmitMac (Thursby Software Systems) [55]

(Thursby Software Systems) Samba (freie Software unter GPLv3) – Kann als Domänencontroller fungieren[56][57]

Das mit Windows Server 2003 R2 gelieferte hinzugefügte Schema enthält Attribute, die RFC 2307 eng genug zugeordnet sind, um allgemein verwendbar zu sein

Die von PADL.com bereitgestellte Referenzimplementierung von RFC 2307, nss_ldap und pam_ldap, unterstützt diese Attribute direkt

Das Standardschema für die Gruppenmitgliedschaft entspricht RFC 2307bis (vorgeschlagen).[58] Windows Server 2003 R2 enthält ein Microsoft Management Console-Snap-In, das die Attribute erstellt und bearbeitet

Eine alternative Option besteht darin, einen anderen Verzeichnisdienst zu verwenden, da sich Nicht-Windows-Clients bei diesem authentifizieren, während sich Windows-Clients bei AD authentifizieren

Nicht-Windows-Clients umfassen 389 Directory Server (ehemals Fedora Directory Server, FDS), ViewDS Identity Solutions – ViewDS v7.2 XML Enabled Directory und Sun Microsystems Sun Java System Directory Server

Die beiden letzteren sind beide in der Lage, eine Zwei-Wege-Synchronisation mit AD durchzuführen und bieten somit eine “umgeleitete” Integration

Eine weitere Option ist die Verwendung von OpenLDAP mit seinem durchscheinenden Overlay, das Einträge in jedem Remote-LDAP-Server um zusätzliche Attribute erweitern kann, die in einer lokalen Datenbank gespeichert sind

Clients, die auf die lokale Datenbank verweisen, sehen Einträge, die sowohl die entfernten als auch die lokalen Attribute enthalten, während die entfernte Datenbank vollständig unberührt bleibt

Die Verwaltung (Abfrage, Änderung und Überwachung) von Active Directory kann über viele Skriptsprachen erreicht werden, einschließlich PowerShell, VBScript, JScript/JavaScript, Perl, Python und Ruby.[59][60][61][62] Kostenlose und kostenpflichtige AD-Verwaltungstools können helfen, AD-Verwaltungsaufgaben zu vereinfachen und möglicherweise zu automatisieren

Seit Oktober 2017 bietet Amazon AWS die Integration mit Microsoft Active Directory an.[63]

Siehe auch[Bearbeiten]

2. How to setup Active Directory With DNS In Windows Server 2016 Update

Video unten ansehen

Neues Update zum Thema active directory dns

Video tutorial on How to install and Configure Active Directory Domain Services and DNS Services in Windows Server 2016.
MSFTWEBCAST

active directory dns Ähnliche Bilder im Thema

 New Update 2. How to setup Active Directory With DNS In Windows Server 2016
2. How to setup Active Directory With DNS In Windows Server 2016 New Update

Domain Controller DNS in an Active Directory Environment … New Update

03/02/2022 · Proper domain controller DNS setup is vital for Active Directory to work properly. Best practice dictates that each domain controller should be setup with a different DNS server as it’s preferred DNS server, and and the loopback address (127.0.0.1) as it’s alternate DNS server.

+ mehr hier sehen

Read more

Die ordnungsgemäße DNS-Einrichtung des Domänencontrollers ist für das ordnungsgemäße Funktionieren von Active Directory von entscheidender Bedeutung

Best Practice schreibt vor, dass jeder Domänencontroller mit einem anderen DNS-Server als bevorzugtem DNS-Server und der Loopback-Adresse (127.0.0.1) als alternativem DNS-Server eingerichtet werden sollte

Wenn Sie mehr als 2 DNS-Server in Ihrer Domäne oder Gesamtstruktur haben, sollten Sie ein Muster einrichten, bei dem alle unterschiedliche primäre DNS-Partner haben, sodass jeder Server als primärer Server eines anderen verwendet wird

Wenn Sie nur 2 DCs haben

DC1: 192.168.1.2

DC2: 192.168.1.3

Dann

DC 1 Statischer DNS sollte sein: Bevorzugt: 192.168.1.3 Alternativ: 127.0.0.1

DC 2 Statisches DNS sollte sein: Bevorzugt: 192.168.1.2

Alternative: 127.0.0.1

Wenn Sie 3 oder mehr DCs haben

DC1: 192.168.1.2

DC2: 192.168.1.3

DC3: 192.168.1.4

Dann

DC 1 Statischer DNS sollte sein: Bevorzugt: 192.168.1.3 Alternativ: 127.0.0.1

DC 2 Statisches DNS sollte sein: Bevorzugt: 192.168.1.4

Alternative: 127.0.0.1

DC 3 Statisches DNS sollte sein: Bevorzugt: 192.168.1.2

Alternative: 127.0.0.1

Wenn Sie mehr als einen Standort haben, verlassen Sie sich auf AD-Standorte und -Dienste, um sicherzustellen, dass die Replikation zwischen den Standorten erfolgt

Verweisen Sie nach Möglichkeit nicht den DNS des Domänencontrollers einer Site auf den DNS der anderen Site

Jeder Standort sollte über zwei Domänencontroller verfügen, von denen jeder die IP des anderen Domänencontrollers als bevorzugten DNS innerhalb desselben Standorts hat

Dies geschieht, um sicherzustellen, dass jeder Domänencontroller seine Replikationspartner finden kann

Außerdem wird ein Server schneller neu gestartet, wenn ein bereits betriebsbereiter DC DNS bereitstellt

Warum sollten Sie 127.0.0.1 im Vergleich zur IP des Servers verwenden? 127.0.0.1 ist nicht nur eine andere IP-Adresse als die Maschinen-IP-Adresse, sondern auch eine ganz andere Schnittstelle

127.0.0.1 sollte im lokalen Netzwerk nicht angezeigt werden

Es ist eine spezielle interne IP-Adresse für den Loopback-Adapter

Die IP des Servers hingegen wird dem Netzwerkadapter zugewiesen

Entweder/oder funktioniert, aber am besten ist es, den lokalen Loopback 127.0.0.1 zu verwenden, da sich die IP nie ändert

Ein weiterer Grund ist, dass die Verwendung des lokalen Loopbacks die Netzwerkadaptertreiber nicht initiiert, da es sich um eine andere Schnittstellenadapterkarte handelt

Betrachten Sie es als eine andere Schnittstelle

Eine andere Netzwerkkarte

http://serverfault.com/questions/394804/what-should-the-order-of-dns-servers-be-for-an-ad-domain-controller-and-why

Installing and Configuring Active Directory, DNS, DHCP Update

Video ansehen

Neue Informationen zum Thema active directory dns

In this video we learn how to install and configure Active Directory domain services, DNS, and DHCP.
http://georgebabichev.com/2016/10/23/installing-and-configuring-active-directory-dns-dhcp/

active directory dns Sie können die schönen Bilder im Thema sehen

 Update New Installing and Configuring Active Directory, DNS, DHCP
Installing and Configuring Active Directory, DNS, DHCP Update

Install Active Directory Domain Services (Level 100 … Update New

08/10/2021 · To install a new forest named corp.contoso.com, create a DNS delegation in the contoso.com domain, set domain functional level to Windows Server 2008 R2 and set forest functional level to Windows Server 2008, install the Active Directory database and SYSVOL on the D:\ drive, install the log files on the E:\ drive, and be prompted to provide the …

+ mehr hier sehen

How to troubleshoot DNS issues in an Active Directory domain controller Update

Video ansehen

Neues Update zum Thema active directory dns

Professor Robert McMillen shows you the correct way to setup DNS settings in an Active Directory domain controller for Windows Server 2019, 2016, and older. In this tutorial I show you how to fix slowness for people logging in and trying to access shared data by adding in proper DNS settings in your network interface card and DNS manager.

active directory dns Einige Bilder im Thema

 Update How to troubleshoot DNS issues in an Active Directory domain controller
How to troubleshoot DNS issues in an Active Directory domain controller Update

Weitere Informationen zum Thema anzeigen active directory dns

Updating

Suche zum Thema active directory dns

Updating

Ende des Themas active directory dns

Articles compiled by Tratamientorosacea.com. See more articles in category: DIGITAL MARKETING

Related Videos

Leave a Comment