Server mit AD (Server- und Aktivdirectory - HERDT

ICT Professional PC/Network SIZ  2010
Modul 156:
Server mit AD (Serverund AktivdirectoryAdministration)
Thomas Beer, Martin Dausch, Michael Raith
1. Ausgabe, April 2012
SIZ-156-W2008R2
3
ICT Professional SIZ 2010 - Modul 156
3
Netzwerk mit Windows
In diesem Kapitel erfahren Sie
D
D
D
D
D
welche Konzepte des Netzwerkbetriebs es gibt
wie die IP-Adressierung funktioniert
wie leistungsfähig die Verzeichnisdienste sind
welche Sicherheits- und Verwaltungsfunktionen Windows Server 2008 R2 zur Verfügung stellt
wie die Netzwerkinfrastruktur von Windows Server 2008 R2 unterstützt wird
Voraussetzungen
D Erfahrung im Umgang mit Windows und Anwendungsprogrammen
D Kenntnisse im Umgang mit dem Betriebssystem Windows XP oder Windows Vista
3.1
Grundlagen des Netzbetriebes
Aufbau von Netzwerken
Zur gemeinsamen Nutzung von (Netzwerk-)Ressourcen (z. B. Drucker oder gemeinsame Dateiablage) werden
Computer in Verbünden eingesetzt. Um diese Ressourcen zentral zugänglich zu machen, werden Netzwerkfunktionalitäten benötigt. Die Organisation/Verwaltung der Rechner in Windows-Netzen erfolgt dabei entweder anhand des Arbeitsgruppen- oder des Domänen-Modells.
Grundlagen der Datenkommunikation
Voraussetzung für den Informationsaustausch zwischen Computern sind verschiedene Komponenten. Eine
kurze Erklärung wichtiger Komponenten erfolgt jetzt anhand der Analogie Telefon. Zum Telefonieren
benötigen Sie:
12
D
Einen Telefonapparat, der Schallwellen in elektrische Signale und wieder zurückverwandelt Netzwerkkarten (oder Modems) sind die Entsprechung bei PCs. So wie es beim Telefon analoge oder ISDNAnschlüsse gibt, gibt es auch bei Computern verschiedene Übertragungsverfahren. In lokalen Netzen
(LAN, Local Area Network) werden fast ausschließlich Ethernet-Karten eingesetzt.
D
Ein Übertragungsmedium zum Weiterleiten der Signale: Anschluss mit Kabel oder schnurlos über Funk
In kabelgebundenen LANs wird jeder PC mit einem Twisted-Pair-Kabel angeschlossen, das andere
Kabelende steckt in einem Verteilerknoten (Switch), was zu einer sternförmigen Verkabelung führt.
D
Eine Telefonnummer zur Adressierung der Teilnehmer
IP-Adressen übernehmen diese Aufgabe in Computer-Netzen. Wie beim Telefon gibt es eine Vorwahl
(Netz-ID) und eine Telefonnummer (Host-ID); Näheres dazu folgt weiter unten.
D
Vermittlungsstellen/Verteilerknoten leiten die Telefonate zwischen den Gesprächsteilnehmern weiter.
Bei "Ortsgesprächen" (identische Netz-ID) schalten Switches die beiden Kommunikationspartner direkt
zusammen. Anders als im Telefonnetz gibt es hier auch sogenannte Broadcasts: Rundrufe an alle.
Bei "Ferngesprächen" (unterschiedliche Netz-IDs) werden immer Router benötigt, um die Datenpakete
ins richtige Teilnetz weiterzuleiten.
D
Eine gemeinsame Sprache, ohne die die Gesprächspartner sich nicht verständigen können. Der Protokoll-Stapel TCP/IP (Transmission Control Protocol/Internet Protocol) ist hier etablierter Standard.
© HERDT-Verlag
3
Netzwerk mit Windows
Übertragungsgeschwindigkeiten
Übertragungsgeschwindigkeiten werden nicht in Byte, sondern in Bit pro Sekunde angegeben. Die häufigsten Geschwindigkeiten im kabelgebundenen Ethernet-Bereich sind 100 MegaBit/s und 1 GigaBit/s. Funknetze/WLANs (Wireless LAN) arbeiten am häufigsten mit Brutto-Übertragungsraten von 54 MBit/s. Die tatsächlichen Daten-Übertragungsraten liegen dann in der Regel unter 50% der angegebenen Werte. Bei
schlechten Funkverbindungen können diese Werte noch deutlich kleiner ausfallen.
Arbeitsgruppe
Arbeitsgruppen werden auch als Peer-to-Peer-Netzwerke bezeichnet. Hier sind alle Computer gleichberechtigte Partner. Eine zentrale Verwaltung von Benutzern, PCs, Einstellungen usw. ist nicht vorgesehen, sie muss
auf jedem Rechner einzeln erfolgen.
Das Arbeitsgruppen-Konzept eignet sich nur für sehr kleine Netzwerke mit maximal 10 Benutzern. Ein Beispiel: Sollen 10 Benutzer mit eigenen Benutzerkonten an 10 verschiedenen PCs arbeiten können, müssen Sie
bereits 100 Benutzerkonten verwalten.
Nach der Installation ist jeder Windows-Rechner Mitglied einer Arbeitsgruppe.
Windows-Domäne
Eine Windows-Domäne ist eine Verwaltungseinheit, über die viele Aufgaben zentralisiert werden. Benutzerund Gruppen-Konten werden nicht mehr lokal verwaltet, sondern zentral in der Domäne angelegt und administriert. Auch Computer verfügen über ein Konto in der Domäne und werden so in das Sicherheitskonzept
eingebunden.
Windows-Domänen werden durch sogenannte Domänencontroller (DCs) erstellt bzw. verwaltet; eine Rolle,
die nur auf einem Windows-Server ausgeführt werden kann. Da Domänencontroller zentrale Komponenten
für den Netzwerkbetrieb darstellen, sollten Sie nach Möglichkeit mehrere DCs bereitstellen, um gegen einen
Ausfall geschützt zu sein. Domänencontroller einer Windows-Domäne gleichen ihre Domänen-Informationen
automatisch untereinander ab. Dieser Vorgang wird als Replikation bezeichnet.
Client/Server-Aufgabenverteilungen
Verschiedene Computer übernehmen unterschiedliche Aufgaben in einem Netzwerk. Einige der möglichen
Rollen zeigt die folgende Tabelle:
Arbeitsstation
Workstation
Auf Workstations werden die meisten Anwendungsprogramme ausgeführt. Von
diesen Arbeitsplatzrechnern aus greifen Benutzer auf die anderen Rechnertypen zu.
Domänencontroller
Domänencontroller stellen die zentrale Verwaltung der beteiligten Komponenten
zur Verfügung, implementieren die Sicherheitsstruktur und regeln die Zugriffe auf
das Netzwerk.
File-Server
File-Server stellen Daten im Netz zur Verfügung. Durch diese Zentralisierung können Benutzer von jeder Arbeitsstation aus auf ihre Daten zugreifen, und auch
Sicherungen (Backups) können an zentraler Stelle vorgenommen werden.
Print-Server
Wenn über das Netzwerk gedruckt werden soll, kommen meistens Druckserver ins
Spiel, auf denen die Druckerverwaltung zentralisiert wird.
Proxy-Server
Proxy-Server verbinden Clients mit dem World Wide Web. Häufig sind hier Funktionen integriert, die den Zugriff vom und zum Netz regulieren, Inhaltsfilter umsetzen
oder Webseiten zwischenspeichern (Caching), um den Datenverkehr mit dem Internet zu reduzieren.
Terminal-Server
Terminal-Server werden genutzt, um Clients Anwendungen zur Verfügung zu
stellen. Die Programme müssen nicht mehr auf den Clients installiert und gepflegt
werden, sondern laufen auf dem Terminal-Server.
Die verschiedenen Servertypen müssen nicht auf verschiedenen Computern ausgeführt werden. Ein Domänencontroller kann durchaus auch als Datei- und Druckserver dienen, wenn die Belastung des Rechners dies
erlaubt.
© HERDT-Verlag
13
3
ICT Professional SIZ 2010 - Modul 156
Die Begriffe Client und Server führen gelegentlich zu Verwirrung. Beziehen sie sich auf Rechner-Hardware, ist
die Zuordnung meist eindeutig. Anders ist es, wenn es um Funktionen geht. Auch ein Windows-XP-Rechner
kann z. B. einen Ordner oder Drucker für das Netzwerk freigeben und agiert damit als File- oder Print-Server.
Gleichzeitig ist er Domänen-Client, der über DCs verwaltet wird. Letztlich ist ein Server ein Programm (ServerDienst), das bestimmte Funktionen zur Verfügung stellt, Clients nutzen diese Funktionen. Hilfreich kann auch
folgender Hinweis sein: Client-Server-Kommunikation wird immer vom Client eingeleitet.
Geeignete Serverrollen für Virtualisierung und Cluster
Server können unterschiedliche Rollen im Netzwerk übernehmen. Manche davon sind besser, andere weniger
für eine Virtualisierung geeignet. Die folgende Tabelle gibt einige Beispiele für bestimmte Serverrollen und
beschreibt dabei die Eignung für eine Virtualisierung und den Einsatz im Cluster:
Serverrolle
14
Geeignet für Virtualisierung
Geeignet für Cluster
Domänencontroller Da Domänencontroller nur zu bestimmten
(DCs) und DNSZeiten eine hohe Auslastung haben, kann
Server
es sinnvoll sein, sie zu virtualisieren, um
während der Geschäftszeiten Prozessorkapazitäten für andere Anwendungen
bereitzustellen. In aller Regel wird der
DNS-Server als zusätzliche Rolle auf dem
Domänencontroller betrieben. Für ihn
gelten dieselben Regeln.
Da Domänencontroller in der Lage sind,
auf mehreren Rechnern gleichzeitig in
einem Netz betrieben zu werden, sind
die Mehrkosten für den Clusterbetrieb
nicht gerechtfertigt. In aller Regel sollten an einem Standort mindestens zwei
DCs betrieben werden.
DHCP-Server
DHCP-Server werden vor allem während
der Anmeldezeiten belastet und sind
während der Geschäftszeiten weniger
aktiv. Somit kann durch eine Virtualisierung Prozessorzeit für andere Aufgaben
im Netzwerk verfügbar gemacht werden.
DHCP-Server verwenden eine hochdynamische Datenbank, die nicht zweimal identisch vorhanden sein darf. Zudem können mehrere DHCP-Server
Konflikte im Netzwerk verursachen.
Indem der DHCP-Server auf einem
Cluster betrieben wird, kann Redundanz
für die automatische Adressvergabe
erreicht werden.
Dateiserver
Dateiserver belasten vor allem massiv den
Festplattenbus und die Netzwerkadapter.
Durch eine Virtualisierung werden diese
Komponenten jedoch zusätzlich vom
Gastsystem belastet. Daher ist es nicht
sinnvoll, den Dateiserver zu virtualisieren.
Der Betrieb eines Dateiservers im Cluster
würde die Kosten in den meisten Fällen
sprengen, da Quorum-Datenträger
erhebliche Mehrkosten verursachen.
Stattdessen empfiehlt sich der Einsatz
von speziellen netzwerkfähigen autonomen Systemen.
Webserver
Webserver werden in aller Regel in einem
eigenen Netz betrieben, auf das von
außen zugegriffen werden kann. Um
mögliche Angriffspunkte zu vermindern,
sollten auf ihnen nur die benötigten
Dienste betrieben werden. Damit sind sie
für eine Virtualisierung nicht geeignet, da
das Hostsystem seinerseits einen zusätzlichen Angriffspunkt bietet.
Da Webserver in aller Regel statische
Datenbestände verwenden, ist der Einsatz von Clustern nicht nötig. Stattdessen können sie auf sogenannten
NLB-Clustern (Network Loadbalancing,
Netzwerklastenausgleich) eingesetzt
werden. Diese stellen für statische
Datenbestände eine ausreichende
Ausfallsicherheit und Lastenverteilung
bereit.
Datenbankserver
Datenbankserver haben eine hohe Prozessorbelastung während der Geschäftszeiten. Sie können virtualisiert werden und
so zusätzliche Prozessorkapazitäten verwenden, die von anderen Servern während des Tages nicht benötigt werden.
Datenbankserver können aufgrund der
dynamischen Datenbestände nicht
redundant installiert werden und sind
somit für den Einsatz in Clustern geeignet.
© HERDT-Verlag
Netzwerk mit Windows
3.2
3
Vergabe von IP-Adressen
Identifikation im Netzwerk
Generell werden zur Identifikation eines Rechners im Netzwerk drei Informationen benötigt:
D
Die MAC-Adresse ist eine vom Hersteller direkt der Netzwerkkarte zugewiesene, 6 Bytes lange Identifikationsnummer. Rechner mit derselben Netz-ID kommunizieren letztlich über MAC-Adressen miteinander.
D
D
Der MAC-Adresse wird eine IP-Adresse zugeordnet.
Benutzer können den Rechner auch über einen Namen ansprechen. Dieser wird in die IP-Adresse
aufgelöst.
Windows-Rechner haben eigentlich zwei Namen: einen NetBIOS-Namen, den Sie bei der Installation
angeben, und einen Host-Name, der aus dem NetBIOS-Namen abgeleitet wird. Wenn Sie für Computer-Namen nur englische Buchstaben, Ziffern und den Bindestrich verwenden, sind beide Namen
identisch.
Dynamische IP-Adressierung - DHCP (Dynamic Host Configuration Protocol)
Jeder Computer benötigt eine eindeutige IP-Adresse. Müssen Sie viele Rechner verwalten, dann stellt die
Dokumentation, welcher Rechner welche IP-Adresse benutzt, einen nicht unerheblichen Aufwand dar. Ein
DHCP-Server nimmt Ihnen diese Aufgabe ab. Sie konfigurieren den DHCP-Server mit einem oder mehreren IPAdress-Bereichen nebst zusätzlich notwendigen Informationen (z. B. Standard-Gateway, DNS-Server) und die
Clients holen sich ihre IP-Konfiguration vom DHCP-Server. Der DHCP-Client erhält seine IP-Konfiguration
üblicherweise beim Hochfahren aus dem Adresspool des DHCP-Servers.
Die Nutzung von DHCP ist die Standard-Einstellung bei einem neu installierten Windows-Rechner. Findet ein
DHCP-Client keinen DHCP-Server, nutzt er stattdessen APIPA (Automatic private IP Addressing). Er wählt sich
eine IP-Adresse aus dem Bereich 169.254.y.z, überprüft, ob diese Adresse bereits benutzt wird, und weist sich
dann eine freie Adresse zu.
Adressierung mit statischer IP-Adresse - manuelle Konfiguration
Die Vergabe einer statischen IP-Adresse ist in erster Linie für Server vorgesehen. Vor allem Rechner, die das
Netzwerk an sich begründen oder zentrale Adressierungsfunktionen für das Netzwerk bereitstellen, müssen
immer die gleiche IP-Adresse haben.
D
D
D
Domänencontroller
DNS-Server
DHCP-Server
DHCP unterstützt auch sogenannte Reservierungen. Dabei wird einer MAC-Adresse eine IP-Adresse fest zugeordnet. So erhalten Computer dynamisch immer dieselbe IP-Adresse. Reservierungen sind nicht für alle
Server-Typen geeignet, beispielsweise darf ein DHCP-Server nicht gleichzeitig DHCP-Client sein.
DNS-Server
DNS-Server (Domain Name System) sind eine Art automatisches "Telefonbuch", das zu einem Host-Namen die
passende IP-Adresse liefert. Besonders wichtig wird DNS, wenn die Kommunikation mit dem Internet hergestellt werden soll. In Windows-Domänen werden wichtige Dienste (z. B. Domänencontroller) über DNS
gesucht. Dynamisches DNS ermöglicht es, dass ein Rechner seinen Host-Namen nebst IP-Adresse selbstständig
auf dem DNS-Server verwaltet. Sie müssen die Einträge im DNS-Server dann nicht mehr selber pflegen. Bei
DHCP-Clients kann diese dynamische Aktualisierung auch der DHCP-Server übernehmen.
WINS-Server
Der Windows Internet Naming Service ist ein automatisches "Telefonbuch" für NetBIOS-Namen. Obwohl
WINS inzwischen als überholter Dienst zur Namensauflösung gilt, existieren noch erstaunlich viele Anwendungs- und Dienstimplementationen, die zuverlässiger laufen, wenn im Netzwerk auch ein WINS-Server
vorhanden ist. Wollen Sie die Netzwerkumgebung im Windows-Explorer in Netzen mit unterschiedlichen
Netz-IDs nutzen, kommen Sie an WINS nicht vorbei.
© HERDT-Verlag
15
3
ICT Professional SIZ 2010 - Modul 156
3.3
Verzeichnisdienste
Aufgabe von Verzeichnisdiensten
Verzeichnisdienste haben die Aufgabe, die Ressourcen eines Netzwerks für alle selektiv verfügbar zu machen.
Ressource ist alles, was zum Netzwerk gehört, z. B. Benutzer, Computer, Dienste, gemeinsam verwendete
Anwendungen und gemeinsam verwendete Daten oder Geräte. Selektiv verfügbar bedeutet Verwenden
auf bestimmte, definierte Weise. Verwenden auf bestimmte Weise kann auch heißen Gar-nichtVerwenden. Mit alle schließlich sind sämtliche Personen gemeint, die auf Netzwerkressourcen zugreifen
(beispielsweise über ein LAN oder das Internet).
Leistungsfähigkeit von Verzeichnisdiensten
Die Leistungsfähigkeit eines Verzeichnisdiensts bestimmt sich beispielsweise nach
D
D
D
der Anzahl der verwaltbaren Objekte (Ressourcen wie Benutzer, Geräte, Datenbestände usw.);
D
D
D
D
D
D
D
der Erweiterbarkeit des Dienstes, um beispielsweise die Fusion zweier Firmen realisieren zu können;
zahlreichen Sicherheitsanforderungen;
der Unterstützung verschiedener Anforderungen für die Verwaltung (z. B. die Delegierung von
Verwaltungsaufgaben oder die Fernverwaltung);
der Flexibilität bei der Gestaltung, um beliebige Firmenstrukturen oder Hierarchien abzubilden;
der Performance;
dem Maß der Verfügbarkeit - auch bei Ausfall eines Teilsystems;
Zusammenarbeit mit Verzeichnisdiensten anderer Hersteller;
Unterstützung und Integration von internationalen Standards;
der Berücksichtigung der Netzwerkinfrastruktur (schnelle/langsame Datenübertragungswege);
Active Directory
Das Active Directory sind die Verzeichnisdienste in Windows-Netzwerken. Beim Active Directory handelt es
sich um eine hierarchische und verteilte Datenbank. Sie basiert auf Microsoft-eigenen Datenbank-Funktionen
(ESE, Extensible Storage Engine).
Leistungsmerkmale des Active Directory
16
Anzahl verwaltbarer
Objekte
In einer Windows-Domäne können viele Millionen Objekte verwaltet werden.
Sicherheit
Das Authentifizierungsprotokoll KerberosV5 und die verschiedenen Sicherheitskonzepte der Active-Directory-Verzeichnisdienste bieten hervorragende Sicherheit.
Verwaltung
Sowohl die Delegierung von Verwaltungsaufgaben als auch die Fernverwaltung
werden durch die Active-Directory-Verzeichnisdienste unterstützt.
Erweiterbarkeit
Die Erweiterung einer vorhandenen Struktur ist problemlos möglich.
Flexibilität
Hohe Flexibilität und Erweiterbarkeit durch Verschachtelungen.
Sie haben die Möglichkeit, Hierarchien mit mehr als zwei Stufen zu bilden.
Performance
Hohe Performance, z. B. durch Begrenzung der zu übertragenden Datenmengen
Verfügbarkeit
Hohe Verfügbarkeit wird durch die Bereitstellung von Redundanz der Verzeichnisinformationen erreicht.
Interoperabilität
Windows bietet Unterstützung für die weitverbreiteten Verzeichnisdienste der
verschiedenen Hersteller. Active-Directory-Funktionen werden über standardisierte
Schnittstellen zur Verfügung gestellt.
Unterstützung von
Standards
Unterstützung für alle internationalen Standards, die momentan für den Netzwerkbetrieb in LAN und WAN etabliert sind
Bezug auf die Netzwerkinfrastruktur
Berücksichtigung von Geschwindigkeiten verschiedener Übertragungswege bei
der Häufigkeit der Übertragungen von Verzeichnisinformationen
© HERDT-Verlag
Netzwerk mit Windows
3.4
3
Verwaltungsfunktionen
Windows-Deployment-Dienste (Windows Deployment Services, WDS)
Die Windows-Deployment-Dienste ermöglichen eine schnelle Installation von Workstations. Wesentliche
Elemente dieses Verfahrens sind die Speicherung eines Abbildes einer Workstation mit der gewünschten
Konfiguration (Image) auf einem WDS-Server und die Installation des Betriebssystems über das Netzwerk.
Gruppenrichtlinien - GPOs (Group Policy Objects)
GPOs sind ein mächtiges Verwaltungsinstrument unter Active Directory. Mit ihnen können die Desktops der
verschiedenen Benutzer verwaltet werden und Anwendungen von zentraler Stelle aus auf Workstations
verteilt werden.
Microsoft Management Console
MMC ist eine Verwaltungsplattform, mit der Sie verschiedene Programme zur Verwaltung (SnapIns) aufrufen
und in einer Oberfläche zusammenfassen können. Sie können die MMC anpassen, indem Sie nur solche Tools
aufnehmen, die Sie zur Ausführung der Verwaltungsarbeiten benötigen.
Windows Powershell
Die Powershell ist Microsofts Neuauflage der in die Jahre gekommenen CMD.EXE-Eingabeaufforderung. Mit
vielfältigen Befehlen und Verknüpfungsoptionen ist sie ein mächtiges Werkzeug für einen Systemadministrator.
Windows Management Interface
Das WMI ist eine Software-Schnittstelle, mit der Verwaltungsprogramme von entfernten Systemen aus aufgerufen werden können. Mit WMI können Sie viele Einstellungen eines Computers abfragen oder konfigurieren.
Terminal Services
Terminaldienste ermöglichen Benutzern den Fernzugriff auf einen Computer. Sie übertragen nur die Benutzeroberfläche eines Programms auf den Arbeitsplatz des Benutzers. Der Terminalserver übernimmt die gesamte Rechenleistung für die Datenverarbeitung. Die Terminal Services sind in jeder Windows-Server-2008R2-Version (außer Windows Web Server 2008 R2) integriert. Benutzer können sich beispielsweise über VPN
mit dem Netzwerk verbinden.
Server-Manager
Der Server-Manager wurde mit Windows Server 2008 eingeführt und stellt die zentrale Verwaltungsplattform
dar. Es gibt nicht viele Aufgaben, die Sie nicht mit dem Server-Manager erledigen können. Auf den ersten
Blick wirkt er wie eine MMC. Allerdings ist er um viele Features erweitert. Beispielsweise liefert er viele Informationen, zeigt relevante Ausschnitte aus der Ereignisanzeige und biete direkten Zugriff auf viele Assistenten.
© HERDT-Verlag
17