Deel 4 Active Directory inleiding
1 Wat is AD? 2 Structuur van AD? 3 Domain Controllers 4 Verschil met werkgroep 5 Install van een nieuw domain 6 AD Consoles
Active Directory (AD) staat beheerders toe om het beleid (rechten en instellingen) in het netwerk van een volledig bedrijf te beheren. Active Directory slaan instellingen in relatie tot een object centraal op in een database. Een AD-netwerk kan variëren van een netwerk van een paar honderd tot miljoenen objecten => zeer schaalbaar
Active Directory een Directory Service: een eigen implementatie door Microsoft van: LDAP DNS Keberos
Directoryservices worden vooral toegepast in netwerken, waar netwerkbeheerders informatie over netwerkgebruikers en netwerkbronnen (bv. netwerkschijven of printers) moeten beheren. Een Directory Service staat gegevens van een computer netwerk op in een hiërarchisch structuur en in een database.
AD wordt geslagen in een database en om die database te raadplegen gebruikt Microsoft LDAP. Lightweight Directory Access Protocol is het netwerkprotocol dat beschrijft hoe gegevens uit directory service benaderd moeten worden over TCP/IP. 3rd party toestellen kunnen via LDAP de AD benaderen.
DNS is zeer belangrijk voor AD. Geen AD zonder DNS! DNS wordt gebruikt voor name resolution en voor de Domain naam van Active Directory. Een Domain naam van Active directory is een DNS Domain naam. Domain kunnen subdomainen hebben enz Bv: AD domainnaam syntra.local of gent.xlvideo.local
Kerberos is een standaard authenticatie protocol. Gebruikers van een netwerk zich op een veilige manier kunnen aanmelden en hun identiteit kunnen bewijzen, zonder zich telkens opnieuw te moeten aanmelden. Kerberos maakt een beperkte vorm van Single Sing-on mogelijk.
Een Active Directory domain bestaat uit: Objects Domain (en) Sites Forests Organisational Units (OU)
De meeste objecten in AD zijn: USERS COMPUTERS SECURITY GROUPS Elk object is een verschillend en zijn uniek. Ze hebben een SID of Security Identifier. Active Directory Schema.
Alle objecten worden opgeslagen in 1 database. Dat is een AD DOMAIN. Die Domain naam is een DNS naam. Dus een Domain kan evenals in DNS Subdomains hebben. Die subdomains hebben een aparte database.
Tussen de domains onderling wordt er een Parent Child Trust gelegd. Zo kan een gebruiker aanloggen als hij op een computer zit van een subdomain. Sites wordt gebruikt om AD in een geografische structuur te gieten. Sites bestaan uit verschillende subnets.
Forest zijn verschillen de AD domain trees naast elkaar. Ook tussen domain trees heb je een Forest Trust.
Domain Controllers (DC) zijn servers die een Active Directory database hebben. Een domain kan verschillende Domain Controllers hebben. De database wordt onderling tussen DC s van het domain gerepliceerd. Een nieuw (sub)domain = een nieuwe DC!!!
Hosten van AD en repliceren naar andere DC s Aanmelden van gebruikers Beheren van alle objecten, OU in een domain Security Best Practice: zorg voor minimum 2 DC s indien mogelijk
Elke DC houdt alle info bij van het domain waar hij onderdeel van is. Er zijn DC s die alle info bijhouden van alle objecten in een forest. Deze info is wel niet volledig. Een Global Catalog heeft een volledige replica van zijn domain en een partieel replica van de andere domains/forests. 1 ste DC van een domain is een Global Catalog! De 2 de niet.
FSMO of Flexible Single Master Operation. Wordt ook Operation Masters genoemd. Is een verdere onderverdeling van DC binnen een forest. Deze zal je vinden bij grotere structuren. Schema Master Domain Naming Master Relative ID Master PDC Master Infrastructure Master
Alle computers zijn peers. Er zijn geen computers die de controle over andere computers hebben. Elke computer heeft een set gebruikersaccounts. Als u een computer in de werkgroep wilt gebruiken, moet u een account op die computer hebben. Een werkgroep bevat meestal niet meer dan tien tot twintig computers. Normaal max 10!!!
Alle computers moeten zich in hetzelfde lokale netwerk of subnet bevinden. Het belangrijkste verschil tussen werkgroepen en domeinen is de manier waarop bronnen in het netwerk worden beheerd. Computers in thuisnetwerken maken meestal deel uit van een werkgroep en computers in bedrijfsnetwerken maken meestal deel uit van een domein.
Een server wordt gepromoveerd tot Domain Controller. In win2k8 => rol installeren van Active Directory Domain Services Effectieve promotie gaat via het commando: DCPROMO Win2k3 kan je gewoon DCPROMO uitvoeren.
En dan nu: DCPROMO Via console of via command line
Netbios wordt vooral door oudere windows systemen gebruiken hun netwerk. Maar zelfs nu nog, wordt netbios ondersteund. vooral voor werkgroepen! Kan niet gebruikt worden in grote netwerken. Poorten: UDP 137, TCP 139 en UDP 138 Is ontwikkeld begin de jaren 80!
Naamgeving Elke PC heeft een netbios naam die bestaat uit max 15 characters. DNS voor windows domainen. In het onderdeel: Netwerk of Netwerkomgeving staan de Netbios namen. WINS en Werkgroepnamen
Datacommunicatie Wordt SMB genoemd (Server Message Block) SMB wordt door windows gebruikt via TCP/IP en DNS ipv Netbios namen. Services: Server en Workstation Bestanden wordt gedeeld en worden gelocked als ze open staan. Verschillende versies SMB 1.0, SMB 2.0 en 2.1
Elke Windows server familie heeft AD compabiliteit met zijn vorige versies. AD heeft een probleem als er een nieuwe DC wordt geïnstalleerd met een recentere versie van Windows!!!! Hou daar rekening mee! Native Mode Mixed Mode
Concreet kan een Windows 2003 domain wel Windows 2k8 DC hebben. => dan moet het domain gewijzigd worden om Windows 2008 AD te ondersteunen. Er is een command line tool op de Windows 2k8 disk: ADPREP ADPREP /forestprep must be run on the Schema Master of a forest ADPREP /domainprep must be run on the Infrastructure Master of a domain
Allemaal te vinden onder systeembeheer of Administrative Tools. Ze zijn MMC consoles. Active Directory Users and Computers Active Directory Sites and Services Active Directory Domains and Trust
Deze console wordt gebruikt op alle objecten van de AD te beheren. Users/Computers/Security Groups/Contacts Deze worden in verschillende OU (Organisational Units) gestoken om het overzichtelijk te maken.
Deze console wordt gebruikt om: - replicatie in te stellen tussen DC en Sites - Sites aan te maken (geographisch) met hun netwerken - Global Catalogs en Licentie servers toe te wijzen
Deze console wordt gebruikt op Trust tussen Forest/domain in te stellen. Tip: Vergeet geen forwarder in te stellen naar de dns server van de andere domains
Is zeker mogelijk! Ook via de DCPROMO. Tip: Goed opletten voor dat het vinkje niet aan staat bij last domain controller als er nog andere DC s zijn!