Falsch verteilte Serverdienste, Probleme mit Betriebsmastern & Co.

10 Stolpersteine beim Einsatz von Active Directory

| Autor / Redakteur: Thomas Joos / Andreas Donner

Bei der AD-Administration lauern einige Stolpersteine – wir geben Tipps, wie diese nicht zum Problem werden.
Bei der AD-Administration lauern einige Stolpersteine – wir geben Tipps, wie diese nicht zum Problem werden. (Bild: © blende11.photo - stock.adobe.com)

Beim Einsatz von Active Directory müssen Administratoren viele Stolpersteine beachten, damit die Umgebung korrekt funktioniert. Wir zeigen 10 besonders häufige Probleme und Fehlkonfigurationen in Active Directory und erläutern, wie man sie behebt.

Administratoren in Active Directory-Umgebungen müssen einiges beachten, damit die Domänencontroller dauerhaft unproblematisch funktionieren und Anwender bei der Arbeit nicht beeinträchtigt werden. Dabei gilt es einiges zu beachten, um Serverdienste und Arbeitsstationen optimal zu betreiben.

1. Domänen und Strukturen richtig planen

Beim Einsatz von Active Directory haben Administratoren viele Möglichkeiten, Domänen und Strukturen anzulegen. Auch der Einsatz von verschiedenen Active Directory-Gesamtstrukturen ist möglich (siehe Abbildung 1). Active Directory ist sehr flexibel. Das bedeutet aber nicht, dass es sinnvoll ist möglichst alle Funktionen auszunutzen. Werden mehrere Domänen angelegt, wird auch die Verwaltung komplizierter. Außerdem müssen die Domänencontroller jeweils redundant angelegt werden.

Da auch nachträgliche Erweiterungen nur sehr aufwändig umzusetzen sind, sollte also gleich zu Beginn genau geplant werden, wie viele Domänen notwendig sind, und ob Strukturen oder sogar mehrere Gesamtstrukturen sinnvoll sind. Der Einsatz einer einzelnen Domäne macht die Verwaltung einfacher. Allerdings lassen sich dann Verwaltungsaufgaben schlechter delegieren, weil es nur eine Gruppe Domänen-Admins gibt.

Es ist also sinnvoll vernünftig zu planen, welche Domänen, Strukturen und Gesamtstrukturen es geben soll.

2. Nicht zu viele Serverdienste neben Active Directory auf einem Domänencontroller installieren

In vielen Umgebungen werden auf Domänencontrollern weitere Dienste installiert. Das ist allerdings in den seltensten Fällen sinnvoll. Auch wenn Dienste, wie die Active-Directory-Zertifikatsdienste gut mit Domänencontrollern zusammenarbeiten, ist es nicht sinnvoll, diese Dienste auf Domänencontrollern zu installieren. Denn, wenn ein DC wiederhergestellt werden muss, werden auch diese Dienste beeinträchtigt. Zudem besteht die Gefahr, dass alle ausgestellten Zertifikate ihre Gültigkeit verlieren, wenn der Server – und damit auch die Zertifizierungsstelle – neu installiert werden muss.

3. Aufteilung der Betriebsmaster und globalen Kataloge beachten

Die Betriebsmaster spielen eine wichtige Rolle in Active Directory. Standardmäßig optimiert Windows-Server die Aufteilung nicht, sondern installiert die Betriebsmaster auf dem jeweils ersten Domänencontroller, der in einer Active-Directory-Gesamtstruktur positioniert wird (DNS-Master und Schemamaster) sowie auf dem ersten Domänencontroller einer Domäne (Infrastruktur-Master, PDC-Master, RID-Master). Der erste Domänencontroller einer Gesamtstruktur verfügt also über alle Betriebsmaster. Es ist jedoch sinnvoll, diese auf mehrere Domänencontroller zu verteilen. Zur optimalen Verteilung der FSMO-Rollen gibt es folgende Empfehlungen (siehe Abbildung 2):

  • Der Infrastrukturmaster sollte nicht auf einem globalen Katalog liegen, da ansonsten Probleme bei der Auflösung von Gruppen auftreten können, die Mitglieder aus verschiedenen Domänen haben.
  • Domänennamenmaster und Schemamaster sollten auf einem gemeinsamen Domänencontroller liegen, der auch globaler Katalog ist.
  • PDC-Emulator und RID-Master kommunizieren viel miteinander und sollten daher auf einem gemeinsamen Domänencontroller liegen, der auch globaler Katalog ist.

Um sich einen Überblick über alle Betriebsmaster einer Gesamtstruktur zu verschaffen, können Administratoren den Befehl „netdom query fsmo“ in der Eingabeaufforderung aufrufen.

Auch die Aufteilung der globalen Kataloge sollte optimal erfolgen. Wenn ein Server auch zum globalen Katalog konfiguriert wird (siehe Abbildung 3), steigt auch die Menge der zu replizierenden Daten. Es muss also gut geplant werden, welche Server an den verschiedenen Standorten zum globalen Katalog konfiguriert werden.

4. Zeitsynchronisierung korrekt setzen

In Active Directory sollten die Uhren der Rechner und Server nicht mehr als fünf Minuten voneinander abweichen. Standardmäßig toleriert Kerberos in Active Directory eine Zeitdifferenz von 5 Minuten. Eine Änderung lässt sich über Gruppenrichtlinien anpassen. Die Einstellungen dazu sind bei „Computerkonfiguration/Windows-Einstellungen/Sicherheitseinstellungen/Kontorichtlinien/Kerberos-Richtlinie“ zu finden.

Der PDC-Master einer Active-Directory-Domäne ist der autorisierende Zeitserver der Domäne und für die Uhrzeiten aller anderen Domänencontroller, Mitgliedsserver und Arbeitsstationen in der Gesamtstruktur verantwortlich (siehe Abbildung 4). Alle Domänencontroller einer Domäne synchronisieren ihre Zeit mit dem PDC-Emulator der eigenen Domäne. Zum Synchronisieren der Zeit verbindet sich der Client oder Mitgliedsserver mit dem Domänencontroller, an dem er sich an der Domäne anmeldet.

Setzen Unternehmen eine verschachtelte Struktur mit mehreren Domänen ein, synchronisieren sich die einzelnen PDC-Master der Domänen jeweils mit dem PDC-Master der übergeordneten Domäne. Der PDC-Master der Stammdomäne ist schließlich der Server, von dem sich alle anderen Server die Zeit holen. Dieser Server sollte entweder mit einer Funkuhr ausgestattet sein, oder seine Zeit mit einem Zeitserver im Internet synchronisieren.

5. Administrator-Benutzer richtig steuern und Rechte zuweisen

Administratoren haben umfassende Berechtigungen in der Umgebung. Daher sollte bei der Planung genau berücksichtigt werden, welche Benutzer Mitglied von verschiedenen Administrator-Gruppen sein sollen. Es bietet sich an mit den Rechten sparsam umzugehen, und nur die Rechte zu vergeben, die benötigt werden. Außerdem sollten Benutzerkonten wieder aus Gruppen entfernt werden, wenn die Mitgliedschaft nicht mehr notwendig ist.

Den Administrator-Gruppen sollten darüber hinaus nur die notwendigen Rechte zugewiesen werden. Es sollte verhindert werden, dass ein Wildwuchs bei Gruppen und Mitgliedschaften entsteht. Generell sollte bei den Gruppen in Active Directory gut geplant werden, um möglichst optimale Rechte zu vergeben (siehe Abbildung 5).

6. Active Directory-Replikation richtig setzen

Die Replikation der Domänencontroller muss korrekt eingestellt sein, und die Domänencontroller müssen sich untereinander möglichst ideal synchronisieren. Es muss darauf geachtet werden, dass die zu replizierenden Datenmengen nicht zu groß sind und das Netzwerk oder die WAN-Leitung nicht überlasten. Außerdem muss die Replikation regelmäßig überprüft und getestet werden. Funktioniert die Replikation nicht, äußert sich das in Problemen bei der Anmeldung im Netzwerk oder bei Serverdiensten, die von Active Directory abhängen (siehe Abbildung 6).

7. Datensicherung und Papierkorb richtig konfigurieren

Domänencontroller sollten regelmäßig gesichert werden. Außerdem sollte der Active-Directory-Papierkorb aktiviert werden, damit sich im Notfall Server und Objekte wiederherstellen lassen. Ohne eine vorhandene Sicherung oder die Möglichkeit, Objekte wiederherzustellen, kann es schnell zu Problemen kommen, wenn eine Wiederherstellung notwendig wird. Dennoch werden diese Punkte bei der Einrichtung oft vergessen. Die Sicherung von Active Directory kann auch über die interne Windows-Server-Sicherung erfolgen (siehe Abbildung 7).

8. Benutzerkonten im Griff behalten

Je länger eine Umgebung existiert, desto mehr Benutzerkonten sind in der Umgebung vorhanden, die teilweise nicht mehr benötigt werden. Solche Konten stellen eine Sicherheitsgefahr dar, da Angreifer diese übernehmen könnten. Es ist sinnvoll regelmäßig zu überprüfen, ob es Benutzerkonten gibt, die schon eine Weile nicht mehr verwendet wurden. Diese Konten sollten deaktiviert und nach einiger Zeit gelöscht werden. Dazu kann auf einem Domänencontroller entweder der Befehl „dsquery user -inactive <Anzahl der Wochen>“ verwendet werden (siehe Abbildung 8), oder ein Zusatz-Tool. In diesem Zusammenhang kann auch auf die kostenlosen AD Admin Tools von Solarwinds gesetzt werden. Eine Sammlung von guten kostenfreien AD-Werkzeugen gibt es auch bei Netwrix und bei ManageEngine / MicroNova.

9. Namensauflösung korrekt umsetzen

Damit eine Umgebung korrekt funktioniert, sollte die DNS-Struktur optimal gesetzt sein. Generell kann es auch sinnvoll sein, Forward- und Reverse-Zonen zu konfigurieren, sodass nach Namen und nach IP-Adresse aufgelöst werden kann. Die Replikation der Domänencontroller kann so eingestellt werden, dass alle oder nur ausgewählte DNS-Server einer Gesamtstruktur alle Daten erhalten. Neben der Konfiguration der Zonen gilt es also, auch die DNS-Server selbst so anzupassen, dass die Daten den Anforderungen des Unternehmens entsprechen (siehe Abbildung 9).

10. Subnetze und Standorte richtig konfigurieren

Wenn Domänencontroller an verschiedenen Standorten positioniert sind, müssen die Subnetze und Standorte konfiguriert, und die Domänencontroller dem richtigen Standort zugewiesen werden (siehe Abbildung 10). Bereits vorhandene Domänencontroller, oder bereits einem Standort zugewiesene, müssen nachträglich manuell innerhalb des Snap-Ins „Active Directory-Standorte und -Dienste“ dem richtigen Standort zugewiesen werden. Die Replikation zwischen verschiedenen Standorten in Active Directory läuft weitgehend automatisiert ab. Damit die Replikation aber stattfinden kann, muss die notwendige Routingtopologie erstellt werden. Bei der Erstellung der Routingtopologie fallen hauptsächlich folgende Aufgaben an:

  • Erstellen von Standorten in Active Directory
  • Erstellen von IP-Subnetzen und zuweisen an die Standorte
  • Erstellen von Standortverknüpfungen für die Active Directory-Replikation
  • Konfiguration von Zeitplänen und Kosten für die optimale Standortreplikation

Weitere hochinteressante Beiträge rund um das Thema Active Directory bzw. Domänennetze finden Sie in unserer unten stehenden Bilderstrecke. Über die einzelnen Bilder gelangen Sie mit einem Klick zum jeweiligen Beitrag:

Kommentare werden geladen....

Kommentar zu diesem Artikel

Der Kommentar wird durch einen Redakteur geprüft und in Kürze freigeschaltet.

Anonym mitdiskutieren oder einloggen Anmelden

Avatar
Zur Wahrung unserer Interessen speichern wir zusätzlich zu den o.g. Informationen die IP-Adresse. Dies dient ausschließlich dem Zweck, dass Sie als Urheber des Kommentars identifiziert werden können. Rechtliche Grundlage ist die Wahrung berechtigter Interessen gem. Art 6 Abs 1 lit. f) DSGVO.
  1. Avatar
    Avatar
    Bearbeitet von am
    Bearbeitet von am
    1. Avatar
      Avatar
      Bearbeitet von am
      Bearbeitet von am

Kommentare werden geladen....

Kommentar melden

Melden Sie diesen Kommentar, wenn dieser nicht den Richtlinien entspricht.

Kommentar Freigeben

Der untenstehende Text wird an den Kommentator gesendet, falls dieser eine Email-hinterlegt hat.

Freigabe entfernen

Der untenstehende Text wird an den Kommentator gesendet, falls dieser eine Email-hinterlegt hat.

copyright

Dieser Beitrag ist urheberrechtlich geschützt. Sie wollen ihn für Ihre Zwecke verwenden? Infos finden Sie unter www.mycontentfactory.de (ID: 45421310 / Client-/Server-Administration)