Deel 4 Active Directory inleiding

Deel 4 Active Directory inleiding




1 Wat is AD?




2 Structuur van AD?




3 Domain Controllers




4 Verschil met werkgroep




5 Install van een nieuw domain




6 AD Consoles




Active Directory (AD) staat beheerders toe om het beleid (rechten en instellingen) in het netwerk van een volledig bedrijf te beheren.




Active Directory slaan instellingen in relatie tot een object centraal op in een database.




Een AD-netwerk kan variëren van een netwerk van een paar honderd tot miljoenen objecten => zeer schaalbaar…




Active Directory een Directory Service: een eigen implementatie door Microsoft van:




LDAP




DNS




Keberos




Directoryservices worden vooral toegepast in netwerken, waar netwerkbeheerders informatie over netwerkgebruikers en netwerkbronnen (bv. netwerkschijven of printers) moeten beheren.




Een Directory Service staat gegevens van een computer netwerk op in een hiërarchisch structuur en in een database.




AD wordt geslagen in een database en om die database te raadplegen gebruikt Microsoft LDAP.




Lightweight Directory Access Protocol is het netwerkprotocol dat beschrijft hoe gegevens uit directory service benaderd moeten worden over TCP/IP.




3rd party toestellen kunnen via LDAP de AD benaderen.




DNS is zeer belangrijk voor AD. Geen AD zonder DNS!




DNS wordt gebruikt voor name resolution en voor de Domain naam van Active Directory.




Een Domain naam van Active directory is een DNS Domain naam. Domain kunnen subdomainen hebben enz… Bv: AD domainnaam syntra.local of gent.xlvideo.local




Kerberos is een standaard authenticatie protocol.




Gebruikers van een netwerk zich op een veilige manier kunnen aanmelden en hun identiteit kunnen bewijzen, zonder zich telkens opnieuw te moeten aanmelden.




Kerberos maakt een beperkte vorm van Single Sing-on mogelijk.




Een Active Directory domain bestaat uit:




Objects




Domain (en) Sites




Forests




Organisational Units (OU)




De meeste objecten in AD zijn:




USERS COMPUTERS SECURITY GROUPS








Elk object is een verschillend en zijn uniek. Ze hebben een SID of Security Identifier.




Active Directory Schema.




Alle objecten worden opgeslagen in 1 database. Dat is een AD DOMAIN.




Die Domain naam is een DNS naam.




Dus een Domain kan evenals in DNS Subdomains hebben. Die subdomains hebben een aparte database.




Tussen de domains onderling wordt er een Parent – Child Trust gelegd. Zo kan een gebruiker aanloggen als hij op een computer zit van een subdomain.




Sites wordt gebruikt om AD in een geografische structuur te gieten.




Sites bestaan uit verschillende subnets.




Forest zijn verschillen de AD domain trees naast elkaar. Ook tussen domain trees heb je een Forest Trust.




Domain Controllers (DC) zijn servers die een Active Directory database hebben.




Een domain kan verschillende Domain Controllers hebben.




De database wordt onderling tussen DC’s van het domain gerepliceerd.




Een nieuw (sub)domain = een nieuwe DC!!!




Hosten van AD en repliceren naar andere DC’s




Aanmelden van gebruikers




Beheren van alle objecten, OU in een domain




Security




Best Practice: zorg voor minimum 2 DC’s indien mogelijk




Elke DC houdt alle info bij van het domain waar hij onderdeel van is.




Er zijn DC’s die alle info bijhouden van alle objecten in een forest. Deze info is wel niet volledig.




Een Global Catalog heeft een volledige replica van zijn domain en een partieel replica van de andere domains/forests.




1ste DC van een domain is een Global Catalog! De 2de niet.




FSMO of Flexible Single Master Operation.




Wordt ook Operation Masters genoemd.




Is een verdere onderverdeling van DC binnen een forest. Deze zal je vinden bij grotere structuren.




Schema Master – Domain Naming Master – Relative ID Master – PDC Master – Infrastructure Master




Alle computers zijn peers. Er zijn geen computers die de controle over andere computers hebben.




Elke computer heeft een set gebruikersaccounts. Als u een computer in de werkgroep wilt gebruiken, moet u een account op die computer hebben.




Een werkgroep bevat meestal niet meer dan tien tot twintig computers. Normaal max 10!!!




Alle computers moeten zich in hetzelfde lokale netwerk of subnet bevinden.




Het belangrijkste verschil tussen werkgroepen en domeinen is de manier waarop bronnen in het netwerk worden beheerd.




Computers in thuisnetwerken maken meestal deel uit van een werkgroep en computers in bedrijfsnetwerken maken meestal deel uit van een domein.




Een server wordt gepromoveerd tot Domain Controller.




In win2k8 => rol installeren van Active Directory Domain Services




Effectieve promotie gaat via het commando: DCPROMO




Win2k3 kan je gewoon DCPROMO uitvoeren.




En dan nu:




DCPROMO




Via console of via command line




Netbios wordt vooral door oudere windows systemen gebruiken hun netwerk. Maar zelfs nu nog, wordt netbios ondersteund.




vooral voor werkgroepen! Kan niet gebruikt worden in grote netwerken.




Poorten: UDP 137 , TCP 139 en UDP 138




Is ontwikkeld begin de jaren 80!




Naamgeving




Elke PC heeft een netbios naam die bestaat uit max 15 characters.
DNS voor windows domainen.




In het onderdeel: Netwerk of Netwerkomgeving staan de Netbios namen.




WINS en Werkgroepnamen




Datacommunicatie




Wordt SMB genoemd (Server Message Block)
SMB wordt door windows gebruikt via TCP/IP en DNS ipv Netbios namen.




Services: Server en Workstation




Bestanden wordt gedeeld en worden gelocked als ze open staan.




Verschillende versies SMB 1.0, SMB 2.0 en 2.1




Elke Windows server familie heeft AD compabiliteit met zijn vorige versies.




AD heeft een probleem als er een nieuwe DC wordt geïnstalleerd met een recentere versie van Windows!!!!




Hou daar rekening mee!




Native Mode
Mixed Mode




Concreet kan een Windows 2003 domain wel Windows 2k8 DC hebben.




=> dan moet het domain gewijzigd worden om Windows 2008 AD te ondersteunen. Er is een command line tool op de Windows 2k8 disk: ADPREP




ADPREP /forestprep /forestprep must be run on the Schema Master of a forest




ADPREP /domainprep must be run on the Infrastructure Master of a domain




Allemaal te vinden onder systeembeheer of Administrative Tools. Ze zijn MMC consoles.




Active Directory Users and Computers




Active Directory Sites and Services




Active Directory Domains and Trust




Deze console wordt gebruikt op alle objecten van de AD te beheren.




Users/Computers/Security Groups/Contacts




Deze worden in verschillende OU (Organisational Units) gestoken om het overzichtelijk te maken.




Deze console wordt gebruikt om:




- replicatie in te stellen tussen DC en Sites




- Sites aan te maken (geographisch) met hun netwerken




- Global Catalogs en Licentie servers toe te wijzen




Deze console wordt gebruikt op Trust tussen Forest/domain in te stellen.




Tip: Vergeet geen forwarder in te stellen naar de dns server van de andere domains




Is zeker mogelijk!




Ook via de DCPROMO.




Tip: Goed opletten voor dat het vinkje niet aan staat bij “last domain controller…” als er nog andere DC’s zijn!