Active Directory Workshop Teil 3

Planung, Umsetzung und Betrieb eines Domänennetzes

| Autor / Redakteur: Thomas Joos / Andreas Donner

Wer ein Domänennetzwerk mit Active Directory aufbauen möchte, sollte sich im Vorfeld konkrete Gedanken machen.
Wer ein Domänennetzwerk mit Active Directory aufbauen möchte, sollte sich im Vorfeld konkrete Gedanken machen. (Bild: © profit_image - stock.adobe.com)

Um ein Domänennetzwerk aufzubauen, sind nur wenige Schritte notwendig. Allerdings lassen sich diese nur sehr schwer rückgängig machen. Vor dem Aufbau eines Active Directory lohnt es sich also, gut zu planen.

Zunächst sollten nicht mehr Active-Directory-Domänen aufgebaut werden als notwendig. Ein Active Directory wird nicht stabiler, wenn mehr Domänen zum Einsatz kommen. Denn für jede Domäne benötigen Sie mehrere Domänencontroller, die auch gesichert und gewartet werden müssen. Vor dem Aufbau sollte daher im Unternehmen strukturiert vorgegangen werden (siehe Abbildung 1).

Mehrere Domänen sind nicht immer sinnvoll

Sinnvoll sind mehrere Domänen, wenn die Verwaltung strikt getrennt werden soll, zum Beispiel, wenn mehrere Tochterunternehmen ein gemeinsames Active Directory aufbauen. Beachtet werden muss in diesem Fall aber, dass Gruppenrichtlinien immer auf eine Domäne begrenzt sind (siehe Abbildung 2). Wenn also Gruppenrichtlinien zum Einsatz kommen, müssen beim Einsatz mehrerer Domänen in einer Gesamtstruktur auch mehrere Gruppenrichtlinien erstellt werden. Mehr zum Thema Gruppenrichtlinien ist auch im Beitrag „So behalten Sie Gruppenrichtlinien sicher im Griff“.

Betreiben Unternehmen mehrere Niederlassungen, die aber von den gleichen Administratoren verwaltet werden, ist es nicht notwendig mehrere Domänen zu erstellen. Eine Domäne kann sich problemlos über mehrere physische Standorte ausdehnen. Diese lassen sich in Active Directory anlegen und zentral verwalten (siehe Abbildung 3). Die verschiedenen Domänencontroller lassen sich in Standorte gruppieren. Dadurch wird auch die Replikation der Server gesteuert (siehe Abbildung 4).

Aufbau einer Active Directory-Umgebung

Soll eine Active-Directory-Umgebung aufgebaut werden, besteht der erste Schritt darin, einen neuen Domänencontroller zu installieren. Durch diesen wird die erste Domäne in einer Gesamtstruktur erstellt. Die Vorgehensweise dazu haben wir im Beitrag „In 14 Schritten zum perfekten Domänencontroller“ behandelt. Auf dieser Umgebung wird schließlich aufgebaut. Es lassen sich jederzeit weitere Domänen und auch zusätzliche Domänencontroller hinzufügen.

Schreibgeschützte Domänencontroller nutzen

Sinnvoll kann es an dieser Stelle zum Beispiel auch sein, mit schreibgeschützten Domänencontrollern (Read Only Domain Controller, RODC) zu arbeiten. Diese Domänencontroller erhalten Daten von normalen Domänencontrollern, können aber selbst keine Änderungen in Active Directory durchführen. Sinnvoll sind solche Domänencontroller vor allem dann, wenn Domänencontroller in Niederlassungen positioniert werden sollen, in denen die Sicherheit der Server nicht gewährleistet werden kann.

Neben schreibgeschützten Domänencontrollern können auch Core-Server als sichere Domänencontroller installiert werden. In diesem Fall steht auf dem Server selbst keine grafische Oberfläche zur Verfügung. Die Server lassen sich aber mit Verwaltungstools von anderen Servern aus verwalten – über Remote Server Administration Tools für Windows-PCs oder mit dem neuen webbasierten Server-Manager (Project Honolulu).

Domänenstrukturen mit eigenen Namensräumen nutzen

Neben der Einführung untergeordneter Domänen können in einer Gesamtstruktur auch neue Domänenstrukturen hinzugefügt werden. Eine Struktur innerhalb einer Gesamtstruktur teilt sich mit allen ihren untergeordneten Domänen einen Namensraum. In diesem Beispiel wäre das die Struktur joos.int mit der untergeordneten Domäne de.joos.int. In manchen Unternehmen kann es jedoch sinnvoll sein, unabhängige Namensräume zu erstellen, die zwar Bestandteil der Gesamtstruktur sind, aber einen eigenen Namensraum zur Verfügung stellen.

Ein Beispiel wäre die neue Struktur woodgroove.local in der Gesamtstruktur joos.int. Neue Strukturen werden vor allem dann geschaffen, wenn Teile des Unternehmens, zum Beispiel durch eine Akquisition, vom Namen her unabhängig erscheinen wollen. Im Grunde genommen ist eine neue Domänenstruktur zunächst nichts anderes als eine neue untergeordnete Domäne der Rootdomäne der Gesamtstruktur, mit dem Unterschied, dass sie einen eigenen Namensraum nutzt.

Vor dem Aufbau einer Domänenstruktur muss darauf geachtet werden, dass die Namensauflösung mit DNS korrekt funktioniert. Alle Domänencontroller müssen in der Lage sein, per DNS die Namen anderer Domänencontroller aufzulösen. Nur dann ist eine Replikation zwischen den Domänencontrollern möglich, und die Active Directory-Gesamtstruktur läuft stabil.

Bei der Erstellung von untergeordneten Domänen und Strukturen werden durch die Verzahnung von Active Directory und DNS auch die Anforderungen an die DNS-Infrastruktur komplizierter. Bevor eine neue untergeordnete Domäne erstellt werden kann, muss die passende DNS-Infrastruktur erstellt sein. Wenn untergeordnete Domänen oder Strukturen erstellt werden, stehen generell zwei Möglichkeiten für die Namensauflösung zur Verfügung:

  • Die DNS-Server der Rootdomäne verwalten auch die DNS-Domänen der untergeordneten Domänen.
  • Die untergeordneten Domänen verwalten jeweils ihre eigene DNS-Domäne.

Domänencontroller sicher betreiben

Sobald ein Domänencontroller installiert ist, sollte dieser regelmäßig gesichert und auch sicher betrieben werden. Domänencontroller und ihre Daten lassen sich schnell und einfach sichern und wiederherstellen. Das ist wichtig, da die Infrastrukturdienste, die Active Directory nutzen, ein stabiles und leistungsstarkes AD benötigen. Mit dem einen oder anderen Tipp aus dem Beitrag „Tipps & Tricks für Windows Server 2016“ lassen sich auch komplexe Active Directory-Strukturen aufbauen.

Um eine Sichere AD-Umgebung aufzubauen, helfen die Tipps im Beitrag „5 Schritte zur sicheren Active Directory-Umgebung“. Auch der Beitrag „Sichere Benutzerkonten in Windows Server 2016“ geht darauf ein, wie sichere Domänencontroller und Active Directory-Umgebungen betrieben werden.

AD für Einsteiger – Wozu dient der Verzeichnisdienst

Active Directory Workshop Teil 1

AD für Einsteiger – Wozu dient der Verzeichnisdienst

03.05.18 - Unternehmen, die ein Netzwerk mit mehreren Client-Computern betreiben und ihren Anwendern individuell angepassten Zugriff auf diese Computer und auf Freigaben im Netzwerk geben wollen, kommen kaum um einen Verzeichnisdienst herum. Active Directory ist hier eine ideale Lösung. Dieser fünfteilige Workshop zeigt, was Sie wissen müssen. lesen

Serverrollen im Überblick

Active Directory Workshop Teil 2

Serverrollen im Überblick

04.05.18 - Active Directory besteht nicht nur aus Domänencontrollern, sondern aus einer Vielzahl weiterer Serverdienste, die ein gemeines Verzeichnis nutzen, aber jeweils eigene Funktionen zur Verfügung stellen. Wir geben einen Überblick. lesen

Azure AD: das Active Directory für die Cloud

Active Directory Workshop Teil 4

Azure AD: das Active Directory für die Cloud

09.05.18 - Mit Azure AD bietet Microsoft eine Active-Directory-Umgebung für die Cloud. Unternehmen müssen hierzu keinen eigenen Domänencontroller betreiben, können aber dennoch die Benutzerkonten lokaler Active-Directory-Umgebungen mit der Cloud synchronisieren. lesen

Administration von Domänen und AD-Strukturen

Active Directory Workshop Teil 5

Administration von Domänen und AD-Strukturen

14.05.18 - Damit ein Active Directory fehlerfrei funktioniert, müssen die Domänencontroller regelmäßig gewartet werden. Eine Überprüfung der Funktionsfähigkeit sollte regelmäßig auch für die Replikation der Domänencontroller, die richtige Namensauflösung und anderer Problemstellen erfolgen. Wir geben Tipps. lesen

Kommentare werden geladen....

Kommentar zu diesem Artikel

Anonym mitdiskutieren oder einloggen Anmelden

Avatar
Zur Wahrung unserer Interessen speichern wir zusätzlich zu den o.g. Informationen die IP-Adresse. Dies dient ausschließlich dem Zweck, dass Sie als Urheber des Kommentars identifiziert werden können. Rechtliche Grundlage ist die Wahrung berechtigter Interessen gem. Art 6 Abs 1 lit. f) DSGVO.
  1. Avatar
    Avatar
    Bearbeitet von am
    Bearbeitet von am
    1. Avatar
      Avatar
      Bearbeitet von am
      Bearbeitet von am

Kommentare werden geladen....

Kommentar melden

Melden Sie diesen Kommentar, wenn dieser nicht den Richtlinien entspricht.

Kommentar Freigeben

Der untenstehende Text wird an den Kommentator gesendet, falls dieser eine Email-hinterlegt hat.

Freigabe entfernen

Der untenstehende Text wird an den Kommentator gesendet, falls dieser eine Email-hinterlegt hat.

copyright

Dieser Beitrag ist urheberrechtlich geschützt. Sie wollen ihn für Ihre Zwecke verwenden? Infos finden Sie unter www.mycontentfactory.de (ID: 45271430 / Management-Software und -Tools)