Vraag Wat is Active Directory Domain Services en hoe werkt het?


Dit is een Canonical Question over Active Directory Domain Services (AD DS).

Wat is Active Directory? Wat doet het en hoe werkt het?

Hoe wordt Active Directory georganiseerd: Forest, Child Domain, Tree, Site of OU


Ik merk dat ik bijna dagelijks enkele dingen uitleg waarvan ik aanneem dat het algemeen bekend is. Deze vraag zal hopelijk dienen als een canonieke vraag en antwoord voor de meeste elementaire Active Directory-vragen. Als je denkt dat je het antwoord op deze vraag kunt verbeteren, bewerk dit dan alsjeblieft.


136
2018-06-27 03:47


oorsprong


Ik wil niet eruit zien alsof ik rep-hoer, maar ik denk dat het de moeite waard is om ook naar een niet-technische beschrijving van AD te linken als je een situatie tegenkomt waarin je het in minder technisch detail moet beschrijven: serverfault.com/q/18339/7200 - Evan Anderson
Mogelijke links voor deze vraag: serverfault.com/questions/568606/... - serverfault.com/questions/472562/... - serverfault.com/questions/21780/... - serverfault.com/questions/72878/... om er een paar te noemen. Misschien is een canoniek in orde @MDMarra - TheCleaner


antwoorden:


Wat is Active Directory?

Active Directory Domain Services is de Directory Server van Microsoft. Het biedt authenticatie- en autorisatiemechanismen en een raamwerk waarbinnen andere gerelateerde services kunnen worden geïmplementeerd (AD Certificate Services, AD Federated Services, enz.). Het is een LDAP compliant database die objecten bevat. De meest gebruikte objecten zijn gebruikers, computers en groepen. Deze objecten kunnen worden georganiseerd in organisatie-eenheden (OU's) door een aantal logische of zakelijke behoeften. Groepsbeleidsobjecten (GPO's) kan vervolgens worden gekoppeld aan OE's om de instellingen voor verschillende gebruikers of computers in een organisatie te centraliseren.

Wanneer mensen 'Active Directory' zeggen, verwijzen ze meestal naar 'Active Directory Domain Services'. Het is belangrijk op te merken dat er andere Active Directory-rollen / -producten zijn, zoals Certificate Services, Federation Services, Lightweight Directory Services, Rights Management Services, enz. Dit antwoord verwijst specifiek naar Active Directory Domain Services.

Wat is een domein en wat is een bos?

Een bos is een veiligheidsgrens. Objecten in afzonderlijke forests kunnen niet met elkaar communiceren, tenzij de beheerders van elk afzonderlijk forest een vertrouwen tussen hen. Bijvoorbeeld een Enterprise Administrator-account voor domain1.com, wat normaal gesproken het meest bevoorrechte account van een forest is, zal geen permissies hebben in een tweede genoemd forest domain2.com, zelfs als die forests binnen hetzelfde LAN bestaan, tenzij er een vertrouwensrelatie is.

Als u meerdere onafhankelijke bedrijfseenheden heeft of als u afzonderlijke beveiligingsgrenzen nodig hebt, hebt u meerdere forests nodig.

Een domein is een beheergrens. Domeinen maken deel uit van een bos. Het eerste domein in een forest staat bekend als het forest-hoofddomein. In veel kleine en middelgrote organisaties (en zelfs enkele grote) vindt u slechts één domein in één forest. Het forest-hoofddomein definieert de standaardnaamruimte voor het forest. Bijvoorbeeld als het eerste domein in een nieuw forest een naam heeft domain1.com, dan is dat het forest-hoofddomein. Als u bijvoorbeeld een zakelijke behoefte heeft aan een onderliggend domein, een filiaal in Chicago, kunt u het onderliggende domein een naam geven chi. De FQDN van het onderliggende domein zou zijn chi.domain1.com. U kunt zien dat de naam van het onderliggende domein de naam van het forest-hoofddomein was. Dit is meestal hoe het werkt. U kunt onafhankelijke naamruimten in hetzelfde forest hebben, maar dat is een heel ander blik met wormen voor een andere tijd.

In de meeste gevallen wilt u proberen al het mogelijke te doen om één AD-domein te hebben. Het vereenvoudigt het beheer en moderne versies van AD maken het heel eenvoudig om controle op basis van OU te delegeren, waardoor de behoefte aan onderliggende domeinen afneemt.

Ik kan mijn domein benoemen wat ik wil, toch?

Niet echt. dcpromo.exe, de tool die de promotie van een server naar een DC afhandelt, is niet idiotproof. Het laat je slechte beslissingen nemen met je naamgeving, dus let op dit gedeelte als je niet zeker bent. (Bewerk: dcpromo is verouderd in Server 2012. Gebruik de Install-ADDSForest PowerShell-cmdlet of installeer AD DS vanuit Serverbeheer.)

Gebruik om te beginnen geen opgemaakte TLD's zoals .local, .lan, .corp of welke andere onzin dan ook. Die TLD's zijn niet Gereserveerd. ICANN verkoopt nu TLD's, dus jouw mycompany.corp dat u vandaag gebruikt, zou morgen eigenlijk iemand kunnen zijn. Als je eigenaar bent mycompany.com, dan is het slim om iets te gebruiken internal.mycompany.com of ad.mycompany.com voor uw interne AD-naam. Als je gebruikt mycompany.com als een extern oplosbare website, moet je vermijden dat ook als je interne AD-naam te gebruiken, want je zult eindigen met een gesplitste hersenk DNS.

Domeincontrollers en globale catalogi

Een server die reageert op verificatie- of autorisatieverzoeken is een domeincontroller (DC). In de meeste gevallen bevat een domeincontroller een kopie van de Wereldwijde catalogus. Een globale catalogus (GC) is een gedeeltelijke reeks objecten in allemaal domeinen in een bos. Het is direct doorzoekbaar, wat betekent dat cross-domain query's meestal kunnen worden uitgevoerd op een GC zonder dat een verwijzing naar een DC in het doeldomein nodig is. Als een DC wordt opgevraagd op poort 3268 (3269 als SSL wordt gebruikt), wordt de GC opgevraagd. Als poort 389 (636 als SSL wordt gebruikt) wordt opgevraagd, wordt een standaard LDAP-query gebruikt en kunnen objecten die in andere domeinen voorkomen een doorverwijzing.

Wanneer een gebruiker probeert in te loggen op een computer die is gekoppeld aan AD met behulp van hun AD-referenties, wordt de gezoete en gehashte gebruikersnaam en wachtwoordcombinatie naar de DC verzonden voor zowel de gebruikersaccount als de computeraccount die zich aanmelden. Ja, de computer logt ook in. Dit is belangrijk, want als er iets gebeurt met het computeraccount in AD, zoals iemand het account opnieuw instelt of het verwijdert, krijgt u mogelijk een foutmelding dat er geen vertrouwensrelatie bestaat tussen de computer en het domein. Ook al zijn uw netwerkreferenties in orde, de computer kan niet langer vertrouwd worden met inloggen bij het domein.

Beschikbaarheid van domeincontrollerbeschikbaarheid

Ik hoor "Ik heb een primaire domeincontroller (PDC) en ik wil een back-up domeincontroller (BDC)" veel vaker installeren dan ik zou willen geloven. Het concept van PDC's en BDC's stierf met Windows NT4. Het laatste bastion voor PDC's bevond zich in een Windows 2000 overgangsmodus gemengde AD terwijl je nog NT4 DC's had. Kort gezegd, tenzij je een 15-jarige steunt installeren die nog nooit is bijgewerkt, je hebt echt geen PDC of een BDC, je hebt gewoon twee domeincontrollers.

Meerdere DC's kunnen tegelijkertijd verificatieaanvragen van verschillende gebruikers en computers beantwoorden. Als er één faalt, zullen de anderen authenticatiediensten blijven aanbieden zonder een "primaire" te hoeven maken zoals je in de NT4-dagen zou moeten doen. Het is de beste manier om dit te doen tenminste twee DC's per domein. Deze DC's moeten beide een kopie van de GC bevatten en moeten beide DNS-servers zijn die ook een kopie bevatten van de Active Directory geïntegreerde DNS-zones voor uw domein.

FSMO-rollen

"Dus, als er geen PDC's zijn, waarom is er dan een PDC-rol die slechts één enkele DC kan hebben?"

Ik hoor dit vaak. Er is een PDC-emulator rol. Het is anders dan een PDC zijn. In feite zijn er 5 Flexible Single Master Operations-rollen (FSMO). Dit worden ook Operations Master-rollen genoemd. De twee termen zijn uitwisselbaar. Wat zijn ze en wat doen ze? Goede vraag! De 5 rollen en hun functie zijn:

Domain Naming Master - Er is slechts één Domain Naming Master per forest. De Domain Naming Master zorgt ervoor dat wanneer een nieuw domein aan een forest wordt toegevoegd, het uniek is. Als de server met deze rol offline is, kunt u de AD-naamruimte niet wijzigen, zoals het toevoegen van nieuwe onderliggende domeinen.

Schema Master - Er is slechts één Schema Operations Master in een forest. Het is verantwoordelijk voor het bijwerken van het Active Directory-schema. Taken die dit vereisen, zoals het voorbereiden van AD voor een nieuwe versie van Windows Server die functioneert als een DC of de installatie van Exchange, vereisen Schema-aanpassingen. Deze aanpassingen moeten worden gedaan vanuit de schemamaster.

Infrastructuur Master - Er is één infrastructuurmeester per domein. Als u slechts één domein in uw forest heeft, hoeft u zich daar geen zorgen over te maken. Als u meerdere forests hebt, moet u ervoor zorgen dat deze rol wordt niet vastgehouden door een server die ook een GC-houder is tenzij elke DC in het forest een GC is. De infrastructuurmaster is ervoor verantwoordelijk dat verwijzingen tussen domeinen correct worden afgehandeld. Als een gebruiker in het ene domein wordt toegevoegd aan een groep in een ander domein, zorgt de infrastructuurmaster voor de betreffende domeinen ervoor dat deze op de juiste manier wordt afgehandeld. Deze rol zal niet goed werken als deze zich in een globale catalogus bevindt.

RID Master - De Relative ID Master (RID Master) is verantwoordelijk voor het uitgeven van RID-pools aan DC's. Er is één RID-master per domein. Elk object in een AD-domein heeft een uniek Beveiligingsidentificatie (SID). Deze bestaat uit een combinatie van de domein-ID en een relatieve identifier. Elk object in een bepaald domein heeft dezelfde domein-ID, dus de relatieve ID is wat objecten uniek maakt. Elke DC heeft een pool met relatieve ID's om te gebruiken, dus wanneer die DC een nieuw object maakt, voegt het een RID toe die hij nog niet heeft gebruikt. Aangezien DC's niet-overlappende pools zijn, moet elke RID uniek blijven gedurende de levensduur van het domein. Wanneer een DC nog tot ~ 100 RID's in zijn pool heeft, vraagt ​​het een nieuwe pool aan bij de RID-master. Als de RID-master voor een langere periode offline is, kan het maken van objecten mislukken.

PDC-emulator- Ten slotte komen we bij de meest wijdverbreide rol van allemaal: de PDC Emulator-rol. Er is één PDC-emulator per domein. Als er een mislukte authenticatiepoging is, wordt deze doorgestuurd naar de PDC-emulator. De PDC-emulator fungeert als de "tie-breaker" als een wachtwoord is bijgewerkt op één DC en nog niet is gerepliceerd naar de andere. De PDC-emulator is ook de server die tijdsynchronisatie over het domein bestuurt. Alle andere DC's synchroniseren hun tijd met de PDC-emulator. Alle clients synchroniseren hun tijd vanaf de DC waarmee ze zijn ingelogd. Het is belangrijk dat alles binnen 5 minuten van elkaar blijft, anders breekt Kerberos en wanneer dat gebeurt, huilt iedereen.

Het belangrijkste om te onthouden is dat de servers waarop deze rollen draaien niet in steen gebeiteld zijn. Het is meestal triviaal om deze rollen te verplaatsen, dus terwijl sommige DC's iets meer doen dan andere, zullen ze meestal normaal werken als ze gedurende korte tijd niet werken. Als ze al lang niet beschikbaar zijn, is het eenvoudig om de rollen transparant over te dragen. Het is veel leuker dan de NT4 PDC / BDC-dagen, dus stop alsjeblieft om je DC's te bellen met die oude namen. :)

Dus, um ... hoe delen de DC's informatie als ze onafhankelijk van elkaar kunnen functioneren?

Replicatie, natuurlijk. Standaard dupliceren DC's die tot hetzelfde domein op dezelfde site behoren, hun gegevens om de 15 seconden met elkaar. Dit zorgt ervoor dat alles relatief up-to-date is.

Er zijn enkele "urgente" gebeurtenissen die onmiddellijke replicatie veroorzaken. Deze gebeurtenissen zijn: Een account is geblokkeerd voor te veel mislukte aanmeldingen, er is een wijziging aangebracht in het domeinwachtwoord of vergrendelingsbeleid, het LSA-geheim is gewijzigd, het wachtwoord is op een computeraccount van een DC gewijzigd of de rol RID Master is overgedragen naar een nieuwe DC. Elk van deze gebeurtenissen zal een onmiddellijke replicatiegebeurtenis veroorzaken.

Wijzigingen in wachtwoorden vallen ergens tussen urgent en niet-urgent en worden op unieke wijze afgehandeld. Als het wachtwoord van een gebruiker is gewijzigd DC01 en een gebruiker probeert zich aan te melden bij een computer waarmee wordt geverifieerd DC02 voordat replicatie plaatsvindt, zou je verwachten dat dit mislukt, toch? Gelukkig gebeurt dat niet. Neem aan dat hier ook een derde DC wordt genoemd DC03 die de PDC Emulator-rol bevat. Wanneer DC01 is bijgewerkt met het nieuwe wachtwoord van de gebruiker, die onmiddellijk wordt gerepliceerd naar DC03 ook. Wanneer de verificatie wordt geprobeerd DC02 mislukt, DC02 stuurt vervolgens die verificatiepoging door naar DC03, die verifieert dat het inderdaad goed is, en de aanmelding is toegestaan.

Laten we het hebben over DNS

DNS is van cruciaal belang voor een goed functionerende AD. De officiële Microsoft-partijlijn is dat elke DNS-server kan worden gebruikt als deze correct is ingesteld. Als je BIND probeert te gebruiken om je AD-zones te hosten, ben je high. Ernstig. Blijf bij het gebruik van AD Integrated DNS-zones en gebruik voorwaardelijke of globale doorstuurservers voor andere zones als dat nodig is. Uw klanten moeten allemaal worden geconfigureerd om uw AD DNS-servers te gebruiken, dus het is belangrijk om hier redundantie te hebben. Als u twee DC's hebt, laat u ze allebei DNS uitvoeren en configureert u uw clients om beide te gebruiken voor naamomzetting.

Ook zul je willen ervoor zorgen dat als je meer dan één DC hebt, ze zichzelf niet eerst vermelden voor DNS-resolutie. Dit kan leiden tot een situatie waarin ze zich op een "replicatie-eiland" waar ze zijn losgekoppeld van de rest van de AD replicatietopologie en niet kunnen worden hersteld. Als u twee servers hebt DC01 - 10.1.1.1 en DC02 - 10.1.1.2, dan zou hun DNS-serverlijst als volgt moeten worden geconfigureerd:

Server: DC01 (10.1.1.1)
  Primaire DNS - 10.1.1.2
  Secundaire DNS - 127.0.0.1

Server: DC02 (10.1.1.2)
  Primaire DNS - 10.1.1.1
  Secundaire DNS - 127.0.0.1

OK, dit lijkt ingewikkeld. Waarom wil ik AD gebruiken?

Omdat als je eenmaal weet wat je doet, je leven oneindig veel beter wordt. AD maakt de centralisatie van gebruikers- en computerbeheer mogelijk, evenals de centralisatie van toegang tot en gebruik van bronnen. Stel je een situatie voor waarin je 50 gebruikers hebt op een kantoor. Als u wilde dat elke gebruiker zijn eigen login op elke computer had, zou u 50 lokale gebruikersaccounts op elke pc moeten configureren. Met AD hoeft u slechts één keer het gebruikersaccount te maken en kunt u standaard inloggen op elke pc in het domein. Als je de beveiliging wilde verharden, zou je het 50 keer moeten doen. Een beetje een nachtmerrie, toch? Stel je ook voor dat je een bestand deelt dat je maar de helft van die mensen wilt bereiken. Als u AD niet gebruikt, moet u ofwel hun gebruikersnaam en wachtwoorden handmatig op de server repliceren om toegang zonder overeenkomst te geven, ofwel moet u een gedeeld account maken en elke gebruiker de gebruikersnaam en het wachtwoord geven. Eén manier betekent dat u de wachtwoorden van gebruikers kent (en moet blijven updaten). De andere manier betekent dat je geen audit trail hebt. Niet goed, toch?

U krijgt ook de mogelijkheid Groepsbeleid te gebruiken wanneer u AD hebt ingesteld. Groepsbeleid is een set objecten die is gekoppeld aan OE's die instellingen definiëren voor gebruikers en / of computers in die OE's. Als u het bijvoorbeeld zo wilt maken dat "Shutdown" zich niet in het startmenu voor 500 lab-pc's bevindt, kunt u dat in een instelling in Groepsbeleid doen. In plaats van uren of dagen te besteden aan het handmatig configureren van de juiste registervermeldingen, maakt u een keer een groepsbeleidsobject, koppelt u dit aan de juiste OU of OU's en hoeft u er nooit meer aan te denken. Er zijn honderden groepsbeleidsobjecten die kunnen worden geconfigureerd en de flexibiliteit van het groepsbeleid is een van de belangrijkste redenen waarom Microsoft zo dominant is op de zakelijke markt.


146
2018-06-27 03:47



Goed gedaan, Mark. Awesome QA. - EEAA
@TheCleaner Agreed, maar een deel van de missie van Stack Exchange is om de centrale repository te zijn voor alle nuttige informatie over een specifiek onderwerp. Dus, hoewel de informatie op Wikipedia typisch erg correct en relevant is, leidt dit niet tot mensen hier en "hier" zou de one-stop-shop moeten zijn voor alles wat met systeembeheer te maken heeft. - MDMarra
@RyanBolger Dit is allemaal waar, maar deze Q & A is gericht op een newbie. Ondersteunbaarheid is een grote zorg, en Microsoft zal absoluut niet u helpen bij het oplossen van een AD-probleem dat mogelijk DNS-gerelateerd is als u BIND uitvoert (of iets anders). Het is een geavanceerde configuratie die niet wordt aanbevolen voor iemand die de vraag moet stellen 'Wat is AD en hoe werkt het?' Bovendien is DNS een low-load-rol. Als u al DC's hebt, is het echt moeilijk om een ​​aanwijzing te formuleren om DNS niet op hen uit te voeren en een globale doorstuurserver te hebben voor de rest van uw DNS-infrastructuur. - MDMarra
@RyanBolger - overeengekomen met MDMarra. Als Fred al een goed functionerende en complexe interne DNS-infrastructuur heeft, dan zou Fred niet op SF posten met de vraag "Dus, ik sta op het punt om dit Active Directory-ding te installeren - wil je me er alsjeblieft alles over vertellen?" - mfinni
Uw antwoord herinnerde me er alleen aan om de zoekvolgorde van de DNS-server te controleren op de domeincontrollers van een netwerk dat ik had geërfd ... Ja, ze hadden het over zichzelf! - myron-semack


Notitie: Dit antwoord is samengevoegd met deze vraag uit een andere vraag die de vraag stelde naar de verschillen tussen forests, onderliggende domeinen, bomen, sites en OE's. Dit was oorspronkelijk niet geschreven als een antwoord op deze specifieke vraag.


Bos

U wilt een nieuw forest maken wanneer u een beveiligingsgrens nodig hebt. U kunt bijvoorbeeld een perimeternetwerk (DMZ) hebben dat u met AD wilt beheren, maar u wilt om veiligheidsredenen niet dat uw interne AD beschikbaar is in het perimeternetwerk. In dit geval zou u een nieuw forest voor die beveiligingszone willen maken. Misschien wilt u deze scheiding ook als u meerdere entiteiten heeft die elkaar niet vertrouwen, bijvoorbeeld een shell-bedrijf dat individuele bedrijven omvat die onafhankelijk opereren. In dit geval wilt u dat elke entiteit een eigen forest heeft.


Child Domain

Echt, je hebt ze niet meer nodig. Er zijn maar weinig goede voorbeelden van wanneer u een kinderdomein zou willen hebben. Een oude reden is vanwege verschillende vereisten voor het wachtwoordbeleid, maar dit is niet langer geldig, omdat er sinds Server 2008 fijnmazig wachtwoordbeleid beschikbaar is. Je hebt echt alleen een onderliggend domein nodig als je gebieden hebt met ongelofelijk slechte netwerkverbindingen en je wilt om replicatieverkeer drastisch te verminderen - een cruiseschip met satelliet-WAN-connectiviteit is een goed voorbeeld. In dit geval kan elk cruiseschip zijn eigen kinddomein zijn, zodat het relatief op zichzelf staand is en tegelijkertijd de voordelen van hetzelfde bosgebruik als andere domeinen van hetzelfde bedrijf kan benutten.


Boom

Dit is een vreemde bal. Nieuwe bomen worden gebruikt als u de beheervoordelen van één forest wilt behouden, maar een domein in een nieuwe DNS-naamruimte wilt hebben. Bijvoorbeeld corp.example.com kan de boswortel zijn, maar dat zou kunnen ad.mdmarra.com in hetzelfde bos met een nieuwe boom. Dezelfde regels en aanbevelingen voor kinderdomeinen zijn hier van toepassing - gebruik ze spaarzaam. Ze zijn meestal niet nodig in moderne AD's.


plaats

Een site moet fysieke of logische grens in uw netwerk vertegenwoordigen. Bijvoorbeeld filialen. Sites worden gebruikt om op intelligente wijze replicatiepartners te selecteren voor domeincontrollers in verschillende gebieden. Zonder sites te definiëren, worden alle DC's behandeld alsof ze zich op dezelfde fysieke locatie bevinden en repliceren in een mesh-topologie. In de praktijk zijn de meeste organisaties logisch geconfigureerd in een hub-and-spoke, dus sites en services moeten worden geconfigureerd om dit weer te geven.

Andere applicaties gebruiken ook Sites en Services. DFS gebruikt het voor verwijzingen naar naamruimten en selectie van replicatiepartners. Exchange en Outlook gebruiken het om de "dichtstbijzijnde" globale catalogus te zoeken. Uw domein-gekoppelde computers gebruiken het om de "dichtstbijzijnde" DC (s) te zoeken om te verifiëren. Zonder dit is uw replicatie- en authenticatieverkeer vergelijkbaar met het Wilde Westen.


Organisatorische eenheid

Deze moeten op een manier worden gemaakt die de behoefte van uw organisatie aan delegatie van toestemming en groepsbeleidsapplicatie weergeeft. Veel organisaties hebben één OE per site, omdat ze op die manier GPO toepassen. Dit is gek, omdat je GPO ook kunt toepassen op een site van Sites en Services. Andere organisaties scheiden OU's per afdeling of functie. Dit is logisch voor veel mensen, maar echt OU-ontwerp moet aan uw behoeften voldoen en is nogal flexibel. Er is geen "one way" om het te doen.

Een multinationale onderneming heeft mogelijk OU's op het hoogste niveau van North America, Europe, Asia, South America, Africa zodat ze administratieve privileges op basis van continent kunnen delegeren. Andere organisaties hebben OU's op het hoogste niveau van Human Resources, Accounting, Sales, enz. als dat logischer is voor hen. Andere organisaties hebben minimale beleidsbehoeften en gebruiken een "platte" lay-out met alleen Employee Users en Employee Computers. Er is hier geen goed antwoord, het is alles wat voldoet aan de behoeften van uw bedrijf.


17
2018-01-28 17:06



Iemand kent zijn AD behoorlijk goed ... +1 - NickW
@NickW AD-vragen zijn waar 72k van mijn 72.9k rep waarschijnlijk vandaan komt: D - MDMarra
En nog steeds een geweldig Technet-artikel om na al die tijd te lezen: technet.microsoft.com/en-us/library/bb727030.aspx - sommige onderdelen zijn vervangen maar zijn zeker de moeite van het lezen waard. - TheCleaner