Netwerken
IVO Brugge
NW05 Active Directory : voorbeschouwingen 1 Wat is Active Directory ? AD is een netwekdirectory. Een directory is een database waarin de informatie i.v.m. alle objecten in het netwerk wordt opgeslagen. Objecten in een netwerk zijn gebruikers, bestandsservers, printers, fax servers, applicaties, databases, … Verder is het geen flatfile database (zoals een gewone relationele database), maar een database met een hiërarchische structuur (boomstructuur) gebaseerd op de naamgeving van de verschillende domeinen. Stel je een telefoonboek voor met daarin de gegevens van het hele land. Om te vermijden dat het opzoeken van een telefoonnummer te lang gaat duren, gaat met niet de namen van alle inwoners alfabetisch ordenen, maar gaat men de inwoners bv eerst groeperen per provincie en dan binnen de provincie per gemeente. Om een telefoonnummer te zoeken, zoek je dan eerst de juiste provincie, daarna de juiste gemeente in die provincie, en dan pas ga je op zoek naar de naam. Deze manier van werken, vertrekken van de grootste eenheid en zo verder naar de kleinere eenheden toe werken, noemt men een hiërarchische structuur. Je kan zelf niet-bestaande objecten aan de database toevoegen of de attributen van bestaande objecten uitbreiden : m.a.w. AD is uitbreidbaar.
2 Hoe is Active Directory ontstaan? Netwerken ontstonden oorspronkelijk als een middel om op een eenvoudige manier randapparaten en schijfruimte te delen. Vandaag controleren netwerken echter de meest uiteenlopende zaken van de uitbetaling van personeelsleden tot het verzenden van e-mails. Om de kracht en het nut te begrijpen van een directory binnen een netwerk is het nuttig te weten welke weg er afgelegd werd om tot netwerkdirectories te komen. Servergerichte netwerken De eerste netwerkbesturingssystemen waren servergericht : d.w.z. accounts werden op elke server afzonderlijk beheerd. Elke server beschikte over een eigen database met gebruikers, gedeelde bronnen en toegangsrechten tot die bronnen. Een gebruiker kon zich alleen aanmelden bij een server waarop hij of zij gedefinieerd was. Dit betekende o.a. dat indien er meerdere servers op het netwerk waren, een gebruiker meerdere accounts nodig had met alle problemen vandien, zoals het onthouden van meerdere paswoorden. Naarmate een netwerk groter wordt, wordt het ook moeilijker een dergelijk systeem te onderhouden. Domeingerichte netwerken Een eerste evolutie is dat een kleine groep servers een lijst met gebruikers gaat delen. Dit betekent dat beheerders het beheer van een groep servers (een domein) van op een centraal punt kunnen uitvoeren. WinNT4 is een voorbeeld van een dergelijk netwerkbesturingssysteem. Ook dit wordt moeilijk eens het netwerk een
NW05 AD Voorbeschouwingen
77
Jan De Deurwaerder
Netwerken
IVO Brugge
bepaalde grootte kent. Er moeten dan vertrouwensrelaties (trusts) tussen de verschillende domeinen gecreëerd worden die op hun beurt moeten beheerd worden. Netwerkdirectories Netwerkdirectories drijven deze benadering nog een stapje verder door. Eén enkele database bewaart de informatie over alle gebruikers en resources op het volledige netwerk. De opgeslagen informatie kan van allerlei aard zijn : • • • • • •
Gebruikersaccounts : logon naam, wachtwoord, beperkingen, … Persoonlijke informatie over de gebruikers : adres, e-mail, personeelsnr, … Informatie over de configuratie van randapparatuur op het netwerk : printers, fax, modem, … Instellingen van toepassingen : bureaublad, standaard directories, … Informatie i.v.m. de configuratie van de netwerkinfrastructuur : routers, proxies, internetinstellingen, … Informatie i.v.m. beveiliging
3 De doelstellingen van Active Directory Service Enerzijds moet een netwerk ervoor zorgen dat een gebruiker zonder al te veel inspanningen toegang krijgt tot de resources die hij nodig heeft en anderzijds moet het werk van de netwerkbeheerder ook zo eenvoudig en beperkt mogelijk blijven. Deze 2 doelstellingen blijken in de praktijk moeilijk te combineren : de toegang tot de resources vereenvoudigen voor de gebruikers blijkt dikwijls te betekenen dat er meer energie in het beheer van het netwerk moet worden gestoken ; omgekeerd, een deel van de verantwoordelijkheid bij de gebruiker leggen vermindert weliswaar het werk van de beheerder, maar mag van een gebruiker verwacht worden dat die over de nodige kennis beschikt om die verantwoordelijkheid te nemen ? Een ander aspect van de zaak is dat netwerken altijd maar groter en complexer worden. Dit betekent dat een gebruiker zich onvermijdelijk meer bewust gaat worden van het netwerk en dat een beheerder meer technische kennis nodig heeft om het beheer tot een goed einde te brengen. Deze situatie leidt tot een vermindering van rendement. Een gebruiker zal energie moeten steken in kennis van het netwerk ten koste van het eigen werk. De beheerder zal zoveel tijd in gewoon beheer moeten steken dat er geen tijd overblijft voor optimalisatie en verbetering van het netwerk. Aangezien er geen aanwijzingen zijn dat de technologische vooruitgang zal vertragen en die vooruitgang de productiviteit van de eindgebruiker kan verhogen, moet er iets gebeuren om de vermindering van het rendement te voorkomen. AD probeert een oplossing te bieden door een gemeenschappelijke en meer intuïtieve interface te bieden tot de netwerkresources. Het doel van ADS is het beheer en de configuratie van het volledige netwerk met al zijn resources te laten gebeuren door een enkel programma, of het nu gaat over het beheer van gebruikers, het configureren van printers of het configureren van servers … NW05 AD Voorbeschouwingen
78
Jan De Deurwaerder
Netwerken
IVO Brugge
Om dit doel te bereiken moet aan 3 voorwaarden voldaan worden : •
Er moet een algemene standaard gelden voor het opslaan en raadplegen van configuratie informatie. Om aan deze voorwaarde te voldoen volgt ADS de standaards vastgelegd door de X500 specificaties en biedt ADS toegang tot zijn gegevens via het LDAP protocol (wanneer we het over scripting hebben dan zullen we hier nog op terugkomen : o.a. via het LDAP protocol zullen we programmatorisch toegang krijgen tot AD). X500 definieert een methode om informatie te organiseren, benoemen en benaderen, m.a.w. een standaarddefinitie van het formaat dat een directory moet volgen om gebruik mogelijk te maken.
•
Deze standaard moet gevolgd worden zowel door de leveranciers van hardware als door de makers van software. Het feit dat de Microsoft achter ADS staat zal hierbij zeker helpen. Daarnaast moeten de producenten echter ook het gevoel hebben dat het gebruik van ADS voordelen biedt tegenover andere methodes die al langer in omloop zijn en hun deugdelijkheid bewezen hebben. Dit kan bv zijn dat : • programma’s zich baseren op het authentiek verklaren van een gebruiker door ADS om die gebruiker toegang te verlenen tot bepaalde mogelijkheden van het programma. • De informatie gestockeerd in de directory ook voor andere doeleinden kan gebruikt worden dan op het netwerk zoals het opzoeken van een telefoonnummer. • Programma’s zelf informatie aan de database kunnen toevoegen zoals het installatieprogramma van een printer dat het merk, de leverancier en het serienummer van de printer meteen toevoegt aan de directory. • De gebruikers van de producten de standaard aanvaarden.
•
ADS richt zich zowel tot eindgebruikers als tot beheerders. Voor eindgebruikers kan ADS ervoor zorgen dat een gebruiker : • Zich slechts één keer moet aanmelden om toegang te krijgen tot verschillende omgevingen. • Resources op een eenvoudige manier kan lokaliseren • In eenzelfde omgeving kan werken waar hij zich ook aanmeldt op het netwerk. Naar de beheerders toe beschikt ADS over de volgende troeven : • slechts één account voor elke gebruiker, zelfs als die gebruiker toegang moet krijgen tot verschillende soorten systemen. • Slechts één interface om de resources over heel het netwerk te beheren (zelfs al zijn die resources niet van Microsoft) • De mogelijkheid objecten te kopiëren (twee routers van hetzelfde type kunnen dus via kopiëren geconfigureerd worden) • De mogelijkheid een standaardbeleid te implementeren over het volledige netwerk • Het selectief kunnen delegeren van verantwoordelijkheden afhankelijk van de attributen van een object • De mogelijkheid stuurprogramma’s te verdelen van op een centraal punt.
NW05 AD Voorbeschouwingen
79
Jan De Deurwaerder
Netwerken
IVO Brugge
4 Welke middelen stelt ADS ter beschikking ? Uitbreidbaarheid Door de uitbreidbaarheid kan de active directory zo aangepast worden dat hij de meest uiteenlopende informatie kan opslaan. Naast de netwerkinformatie i.v.m. een gebruiker zoals zijn SID, de lokale en globale groepen waar hij deel van uitmaakt enz. kunnen ook adresgegevens, reisvoorkeuren, … van de gebruiker in de database opgenomen worden. Integratie met DHCP Windows 2003 werkt bij voorkeur met het protocol TCP/IP. Om met AD te kunnen werken is het protocol zelfs noodzakelijk. DHCP zorgt voor een automatische configuratie van de TCP/IP instellingen bij clients. Op het ogenblik dat een client opstart stuurt die een broadcast op het netwerk met een aanvraag voor een DHCPserver. De DHCP-server antwoordt met een pakket TCP/IP instellingen en houdt in een database de nog beschikbare adressen bij. Bij Windows 2003 werd deze database geïntegreerd met ADS. Dit betekent dat een centrale controle van alle DHCP services op het netwerk mogelijk wordt. Het betekent meteen ook dat het configureren van DHCP relay agents en van routers met het BootP Protocol niet meer nodig is. De informatie i.v.m. IP-adressen komt daardoor ook terecht op een beter bereikbare plaats. Integratie met DNS DNS heeft als taak gebruikersvriendelijke namen als www.vrt.be om te zetten in het IPadres van de bron. Het grootste nadeel van DNS tot nu toe was zijn statisch karakter. Voor elke bron of service moesten de gegevens manueel toegevoegd worden. Daarom moest DNS ook aangevuld worden met de WINS service. Bij Windows 2003 werd een nieuwe versie van DNS – DDNS (Dynamic Domain Name Service) – opgenomen in de AD. DDNS zorgt er voor dat een resource zich dynamisch kan registreren in de DNS database. DDNS vervangt dus de combinatie van DNS en WINS van vorige versies. Global Catalog Server De protocols gebruikt om de gegevens in de AD te benaderen zijn DAP en LDAP. Daarnaast werd ook al vermeld dat de meest uiteenlopende informatie in de AD kan opgeslagen worden, denk maar aan adressen, voorkeurinstellingen van de gebruikers, instellingen van de hardware, … Het netwerkverkeer kan een probleem worden als er voortdurend queries van allerlei aard naar de centrale database moet gestuurd worden. Daarom wordt er in AD ook met een globale catalogus gewerkt. Deze service wordt automatisch geïnstalleerd op de eerste domeincontroller van een forest. Dit s een gedeeltelijke kopie van de AD waarin slechts een deel van de attributen van elk object in het forest is opgenomen. Alleen die attributen worden opgenomen waarvoor de kans het grootst is dat er op gezocht wordt. Het volledige forest deelt een globale catalogus en meerdere servers houden een volledige kopie bij van de catalogus.
NW05 AD Voorbeschouwingen
80
Jan De Deurwaerder
Netwerken
IVO Brugge
Zoeken in het volledige forest kan alleen op basis van eigenschappen die voorkomen in de globale catalogus. Zoeken in de domeintree kan een gebruiker van elke willekeurige eigenschap. Alleen domeincontrollers kunnen geconfigureerd worden om een kopie van de globale catalogus bij te houden. In de praktijk wordt aangeraden slechts één globale catalogus op elk domein te voorzien, omdat de replicatie die gepaard gaat met de synchronisatie veel bandbreedte vergt. Windows 2003 creëert de eerste globale catalogus server automatisch en bepaalt welke eigenschappen van elke klasse zullen opgeslagen worden. Meestal voldoen de standaardinstellingen, indien nodig kunnen echter nog eigenschappen toegevoegd worden. Voorbeeld : Een firma heeft vestigingen in verschillende locaties, bv New York en Brussel. Elke locatie heeft zijn eigen domein, wat betekent dat alleen de informatie van het eigen domein lokaal is opgeslagen. Een werknemer in New York heeft het telefoonnummer nodig van een werknemer in Brussel. Als dergelijke query moet afgehandeld worden, dan kan dat niet door de locale domeincontroller, maar moet de locale domeincontroller de aanvraag doorsturen naar de andere domeincontroller. Deze aanvraag zal over een WAN-verbinding moeten gebeuren. Eén aanvraag zal uiteraard nog niet onmiddellijk problemen opleveren, maar enkele duizenden dergelijke aanvragen wel. De globale catalogus kan als referentie gebruikt worden voor dergelijke aanvragen. De eerste domeincontroller gaat in dat geval de aanvraag richten aan de globale catalogus. Een beheerder heeft volledige controle over de inhoud van de globale catalogus en over wie al dan niet toegang heeft tot de informatie. Policy Base Administration De vorige versies van Windows NT boden ook al de mogelijkheid om policies te definiëren, maar de scope was beperkt : voor gebruikers, groepen of computers. Ook de instellingen die konden gecontroleerd worden waren beperkt. In Windows 2003 kunnen policies toegepast worden voor een site, een domein of een organisational unit zoals gedefinieerd in de AD. Verder is ook de verzameling met instellingen die kunnen gecontroleerd worden grondig uitgebreid. Windows 2003 Server gaat nog altijd gebruik maken van domeinen bij de organisatie van het netwerk, maar die domeinen gaan een andere rol spelen in het geheel. Policies kunnen nu opties regelen die een centraal beheer toelaten of items zoals het updaten van het OS, het installeren van applicaties, gebruikersprofielen en het bureaublad.
NW05 AD Voorbeschouwingen
81
Jan De Deurwaerder
Netwerken
IVO Brugge
5 Bouwstenen van Active Directory 5.1 Ter vergelijking : bouwstenen in Win NT 4.0 Het netwerk wordt geconstrueerd via domeinen. Logisch zal dit zich voordoen als een verzameling resources en gebruikers die centraal kunnen beheerd worden vanuit één enkele database. Fysisch zal zich dit voordoen als een database die informatie i.v.m. de resources en gebruikers bevat. Een beheerder van een domein kan alle resources in het domein beheren. Het domein bepaalt meteen de grens voor de beveiliging en het beleid naar gebruikersaccounts toe. Het netwerk wordt geconstrueerd via domeinen. In een netwerk beheerd met Windows NT 4.0 is het soms nodig meerdere domeinen aan te maken omdat : • • • •
er meer dan 40.000 objecten nodig zijn binnen het systeem. De database van WinNT4 is ontworpen om 40000 records te bevatten. Gebruikers en resources gegroepeerd moeten worden vanuit beheersoogpunt. Per domein kan een andere beheerder gedefinieerd worden. Gebruikers en resources gegroepeerd moeten worden om het replicatieverkeer te beperken. De lijst van objecten die vanuit beheersinstrumenten moeten benaderd worden niet te groot en zo onoverzichtelijk mag worden.
Soms moeten gebruikers van het ene domein toch aan de resources van het andere domein kunnen. In dat geval moeten vertrouwensrelaties tussen de domeinen gelegd worden. Een vertrouwensrelatie kan één kant op zijn, of kan symmetrisch gemaakt worden. 5.2 Domeinen in Windows 2003 Windows 2003 server gaat met active directory nog altijd gebruik maken van domeinen bij de organisatie van het netwerk, maar die domeinen gaan een andere rol spelen in het geheel. Naast domeinen zijn er binnen de AD nog andere objecten om de structuur van het netwerk te organiseren : trees, forests, organisational units en sites. Net als bij NT4 zijn alle gebruikers die deel uitmaken van hetzelfde domein onderworpen aan hetzelfde beleid, zowel op het gebied van beveiliging als op het gebied van user-accounts. Belangrijke karakteristieken van een domein in Windows 2003 •
Elk domein heeft ten minste één domeincontroller die de gebruikers authenticeert die toegang proberen te krijgen tot het domein.
NW05 AD Voorbeschouwingen
82
Jan De Deurwaerder
Netwerken
• •
IVO Brugge
Domeinen bepalen hoe de AD zal gepartitioneerd worden. De directory database wordt gerepliceerd tussen alle domeincontrollers op het domein. Een enkel domein kan al een tree zijn (zie verder)
Grafische voorstelling van een domein :
5.3 Organisatie eenheden De organisatie eenheid (organisational unit of OU) is een sleutelcomponent van het X.500 protocol. Een OU is een beetje te vergelijken met een map die in bestandsbeheer aangemaakt wordt. Het doel van een map is de verschillende bestanden op een overzichtelijke manier te kunnen opslaan, het doel van een OU is de verschillende objecten op een overzichtelijke manier te organiseren. En net zoals elke gebruiker de mappen naar eigen voorkeur kan organiseren, zijn er ook geen vaste regels om OU’s aan te maken. Je kan de OU zo inrichten dat de structuur van het bedrijf er in terug te vinden is, maar je kan je ook baseren op de geografische ligging van het bedrijf of op de verschillende objecten die terug te vinden zijn in het bedrijf of op de verschillende projecten die lopen. OU’s kunnen computers, gebruikers, groepen, applicaties, security policies, gedeelde bronnen en printers bevatten en laten een meer nauwkeurige verdeling van het domein en van het beheer van het domein toe. Ze kunnen ook andere OU’s bevatten, maar ze kunnen geen objecten van andere domeinen bevatten. OU’s laten toe het aantal domeinen dat moet gemaakt worden te beperken, wat een vereenvoudiging van het beheer kan betekenen. Een ander voordeel van OU’s is dat je er beheerstaken mee kunt delegeren. Je kan bepaalde groepen of gebruikers het recht geven accounts aan te maken en wachtwoorden te wijzigen in bepaalde OU’s, maar niet op de rest van het domain. Grafische voorstelling :
Organisational Unit
Domein NW05 AD Voorbeschouwingen
83
Jan De Deurwaerder
Netwerken
IVO Brugge
5.4 Trees Een tree is een hiërarchisch gestructureerde verzameling domeinen in eenzelfde naamruimte (namspace). Een naamruimte is een logisch begrensd gebied dat namen bevat op basis van gestandaardiseerde afspraken om objecten of gegevens te representeren. Specifieke voorschriften bepalen hoe de namen binnen een naamruimte moeten gevormd worden en toegekend aan een object. Er zijn hiërarchisch gestructureerde naamruimtes zoals AD en DNS. Daarnaast zijn er ook platte en ongestructureerde naamruimtes zoals NETBIOS. In Windows 2003 maken domeinen gebruik van volwaardige DNS namen in plaats van NETBIOS namen. Hierdoor ontstaan verhoudingen tussen domeinen. Een domein zal gecreëerd worden als onderliggend domein van een ander. Onder WinNT4 was dit niet mogelijk. Zo kan je onder het domein ivo.be als onderliggende domeinen sa.ivo.be en sa.ivo.be creëren. Een onderliggend domein kan alleen vanuit een bovenliggend domein aangemaakt worden. Het hoofddomein moet dus altijd als eerste aangemaakt worden. Grafische voorstelling van een tree :
Topdomein : ivo.be
sm.ivo.be
sa.ivo.be
Het bovenste domein wordt het topdomein genoemd. Het eerste domein dat gecreëerd wordt, in een tree is automatisch een topdomein. Hieronder kunnen andere domeinen aangemaakt worden. Uit de naamgeving blijkt dat het om onderliggende domeinen gaat. 5.5 Een Forest Soms moeten er meerdere domeinen zijn zonder dat ze een naamruimte delen. In dat geval spreken we van een forest. Trees in een forest delen niet dezelfde naamruimte, maar wel hetzelfde schema en dezelfde globale catalogus.
NW05 AD Voorbeschouwingen
84
Jan De Deurwaerder
Netwerken
IVO Brugge
ivobrugge.be
ivoknokke.be
5.6 Sites Daar waar trees meer te maken hebben met de logische structuur van het netwerk aansluitend bij de organisatie van het bedrijf, weerspiegelen sites meer de fysische structuur van het netwerk. Een site kan gekoppeld worden aan één of meerdere subnetten van TCP/IP die allemaal met een snelle connectie verbonden zijn. Nieuwe servers komen automatisch in de juiste site op basis van hun IP-adres. Elke site kan domeincontrollers van één of meerdere domeinen bevatten. De bedoeling van een site is de hoeveelheid netwerkverkeer over trage verbindingen te beperken. 5.7 Een logische structuur plannen Nog veel meer dan bij WinNT4 zal het nodig zijn vooraf de structuur van het netwerk te plannen. Een eerste beslissing die moet genomen worden : volstaat één tree of zijn er meerder trees en dus een forest nodig. De bepalende factor is hier het aantal naamruimtes : alle objecten in eenzelfde tree maken deel uit van deze naamruimte. Zijn er meerdere naamruimtes binnen de organisatie , dan is een forest van toepassing. Een volgende bouwsteen is het domein. Het eerste domein dat gecreëerd wordt is het topdomein. Indien mogelijk is het altijd best de structuur te beperken tot één domein. Volgende overwegingen leiden tot het besluit om meerdere domeinen te maken : •
• • •
delen van het bedrijf worden verbonden via trage WAN verbindingen en replicatieverkeer via deze verbindingen moet zoveel mogelijk beperkt blijven. Het bedrijf is geografisch zo verspreid dat domeinen het mogelijk moeten maken de resources te verdelen in overeenstemming met de geografische verspreiding. Het beveiligingsbeleid is zo verschillend binnen de verschillende delen van het bedrijf, dat dit niet op één domein kan georganiseerd worden. Er zijn strak afgelijnde administratieve grenzen binnen het domein en het beheer van elk gebied moet in handen komen van een verschillende groep beheerders. Het bedrijf schakelt over van een NT4 model met meerdere domeinen naar een Windows 2003 netwerk.
NW05 AD Voorbeschouwingen
85
Jan De Deurwaerder
Netwerken
IVO Brugge
Denk er hierbij ook aan dat vanaf Windows 2003 ook organisatie-eenheden een deel van deze aspecten kunnen ondervangen. Bij het structureren kan van verschillende modellen uitgegaan worden. De indeling van een AD in domeinen kan gebaseerd worden op het geografische model van het bedrijf. Een organisatie met filialen verspreid over de verschillende werelddelen kan bv een topdomein installeren met als naam “organisatie.com” en dan daaronder kinddomeinen per werelddeel in de trend van “europa.organisatie.com”, “amerika.organisatie.com”, … De domeinstructuur van de AD kan ook gebaseerd worden op de indeling in divisies, departementen of projecten binnen het bedrijf. In de praktijk is een verdeling in domeinen volgens projecten echter moeilijk te onderhouden omdat projecten voortdurend veranderen. In de praktijk blijkt de meest voorkomende reden om een nieuw domein te maken de geografische ligging te zijn. OU’s kunnen structuur brengen binnen een domein. Ook bij het maken van OU’s kan van verschillende modellen uitgegaan worden : • een geografisch model waar vooral de locatie de samenstelling van de eenheid zal bepalen. • Een model gebaseerd op de verschillende objecten in het netwerk waarbij de objecten per soort gegroepeerd worden in een eenheid : een OU met alle printer, een OU met alle gebruikers, een OU met alle groepen, … • Een model gebaseerd op de projecten die lopen : elke OU correspondeert met een project. • Een model gebaseerd op de structuur van het bedrijf waarin elk departement overeenkomt met een OU. Algemeen is de bedoeling van een OU de toegang tot objecten te vereenvoudigen of het beheer van de objecten te vereenvoudigen. Je kan een OU maken : • om beheersopdrachten te delegeren. • Om het beheer te vereenvoudigen door gelijkaardige objecten te groeperen (bv om alle printers te groeperen). • Om de zichtbaarheid van objecten te controleren. • Om andere OU’s te groeperen. • Om het beheer te vereenvoudigen door objecten in kleinere eenheden te groeperen. Daardoor is de lijst die moet doorlopen worden om een bepaald object te beheren of te vinden kleiner. • Policies kunnen ingeschakeld worden op het niveau van een OU. 5.8 Een fysische structuur maken Een plan helpt om een overzicht te krijgen van de fysische structuur. Op dit plan moeten zeker voorkomen : • de geografische spreiding van de verschillende delen van de organisatie. • Servers • Routers • Switches • Netwerkverbindingen • Overdrachtsnelheid en beschikbare bandbreedte op de verbindingen
NW05 AD Voorbeschouwingen
86
Jan De Deurwaerder
Netwerken
• • •
IVO Brugge
Subnetten Gebruikte netwerkservices (WINS, DHCP, …) Aantal gebruikers per locatie
Op basis van het plan kunnen de verschillende sites in de AD bepaald worden. Zoals eerder vermeld is een site een groepering van subnetten die door een hoge snelheidsverbinding met elkaar verbonden zijn. Sites geven de mogelijkheid om het replicatie en authenticatieverkeer onder controle te houden. Sites zijn geen objecten van de AD database. Zij kunnen computers van verschillende domeinen omvatten, maar “” domein kan ook verspreid zijn over meerdere sites. Client computers gebruiken sites om de dichts bijzijnde domeincontroller te vinden. Beheerders gebruiken sites om replicatieverkeer over het netwerk te optimaliseren. Replicatie tussen domeincontrollers van eenzelfde site wordt aangeduid met de term “intrasite replicatie”. Zij gebeurt frequenter dan replicatie tussen domeincontrollers van verschillende sites en de verstuurde gegevens worden niet gecomprimeerd. AD configureert zelf automatisch de gebruikte topologie en voorziet meerdere routes naar elke domeincontroller, zodat in geval van onderbreking van een verbinding automatisch een andere weg gezocht wordt om de replicatie door te voeren. Intersite replicatie verwijst naar de replicatie tussen domeincontrollers van verschillende sites. Deze verbindingen worden niet automatisch aangemaakt door AD. Aan elke verbinding kan ook een kost toegekend worden. Op basis hiervan bepaalt AD primaire routes en secundaire routes tussen sites. Er kan ook een tijdschema gekoppeld worden aan de replicatie tussen sites om te vermijden dat dit gebeurt op drukke momenten. Domeincontrollers comprimeren automatisch de informatie die tussen verschillende sites gerepliceerd worden. 5.9 Vertrouwensrelaties tussen domeinen 5.9.1 Windows NT 4.0 Meerdere domeinen creëren kan onder WinNT4 nodig zijn omdat : • er meer dan 40.0000 objecten nodig zijn binnen het systeem. • Gebruikers en resources gegroepeerd moeten worden vanuit beheersoogpunt. • De lijst van objecten die moet benaderd worden vanuit beheersinstrumenten best beperkt blijft. Als gebruikers van het ene domein toch de resources van een ander domein moeten kunnen gebruiken kunnen vertrouwensrelaties tussen de domeinen gelegd worden. Binnen een domein, maar zelfs binnen een groep domeinen waartussen een vertrouwensrelatie bestaat heeft een gebruiker slechts één logon nodig. Dit kan dankzij een systeem dat “Pass-through authentication” heet. Als een gebruiker van domein 1 zich aanmeldt op een werkstation van domein 2, dan stuurt het Logon proces de aanvraag door naar een domeincontroller van domein1. Als de gebruiker mag aanloggen dan stuurt de domeincontroller van domein 1 de SID en de informatie van de groepen waar de gebruiker deel van uitmaakt door naar de domeincontroller van domein 2. Deze domeincontroller
NW05 AD Voorbeschouwingen
87
Jan De Deurwaerder
Netwerken
IVO Brugge
stuurt de informatie op zijn beurt door naar het werkstation en de gebruiker krijgt toegang. Vertrouwensrelaties zijn onder WinNT4 niet automatisch symmetrisch. Als domein 1 domein 2 vertrouwt, d.w.z. als de gebruikers van domein 2 toegang krijgen tot de resources van domein 1, dan betekent dat niet automatisch dat de gebruikers van domein 2 ook toegang verkrijgen tot de resources van domein 1. Vertrouwensrelaties zijn ook niet transitief. Als domein 1 domein 2 vertrouwt en domein 2 vertrouwt domein 3, dan betekent dat niet dat domein 1 ook domein 3 vertrouwt. 5.9.2 Vertrouwensrelaties bij Windows 2003 Onder Windows 2003 worden de domeinen op een hiërarchische manier gegroepeerd in trees. Telkens een domein wordt toegevoegd aan een tree wordt automatisch een wederzijdse vertrouwensrelatie gecreëerd tussen het kind en de ouder. Vertrouwensrelaties zijn in Windows 2003 wel transitief. Dit betekent dat als er een derde domein aangemaakt wordt als kind van domein2, er niet alleen automatisch een wederzijdse vertrouwensrelatie gelegd wordt tussen domein 2 en domein 3, maar ook tussen domein 1 en domein 3. Besluit : in Windows 2003 bestaan automatisch symmetrische vertrouwensrelaties tussen alle domeinen van een tree. Tussen de topdomeinen van de trees in een forest wordt ook automatisch een symmetrische vertrouwensrelatie aangemaakt. Door de transitieve eigenschap van de vertrouwensrelaties onder Windows 2003 betekent dit dat tussen alle domeinen van de ene tree via die topvertrouwensrelatie een symmetrische vertrouwensrelatie bestaat met elk domein van de andere tree. De beheerder kan nog altijd zelf rechtstreeks vertrouwenrelaties leggen tussen twee domeinen in een verschillende tree. Dergelijke vertrouwensrelatie wordt aangeduid met de term “externe vertrouwensrelatie” en kan de reactietijd op een aanvraag over het netwerk versnellen. Externe vertrouwensrelaties gedragen zich op dezelfde manier als vertrouwensrelaties in WinNT4, d.w.z. ze zijn niet symmetrisch en ook niet transitief.
6 De rol van domeincontrollers bij Active Directory 6.1 Win NT 4.0 Primaire en bakcup domeincontrollers Welke rol een server gaat spelen in een netwerk moet de netwerkbeheerder al meteen beslissen tijdens de installatie van de server. De rol achteraf veranderen betekent meteen opnieuw installeren. Een primaire domeincontroller (PDC) bevat het origineel van de database, een backup domeincontroller (BDC) een kopie.
NW05 AD Voorbeschouwingen
88
Jan De Deurwaerder
Netwerken
IVO Brugge
Het kopiëren van de database gebeurt volgens het single master model. Dit betekent dat wijzigingen aan de database alleen op de PDC kunnen gebeuren. De BDC ontvangt op regelmatige tijdstippen een kopie van de database. Dit betekent meteen dat er per domein slechts één PDC kan zijn. Een nadeel van dit model is dat de PDC een zwak punt vormt in het geheel. Als de PDC uitvalt kunnen geen wijzigingen meer aangebracht worden aan de database. Een BDC op het domein kan op dat ogenblik weliswaar tot PDC gepromoveerd worden, maar dit gebeurt niet automatisch en vereist tussenkomst van de netwerkbeheerder. De synchronisatie van Primaire en Bakcup Domeincontrollers Het synchroniseren van de databases kan heel wat netwerkverkeer veroorzaken. Een va de attributen van elk object in de database is een versienummer. Telkens een wijziging gebeurt aan een object, wordt het versienummer verhoogd. Daarnaast worden de versienummers ook opgevolgd in een logbestand. Als bv een nieuwe gebruiker gedefinieerd wordt, wordt het versienummer in het logboek aangepast en het nieuwe versienummer wordt toegevoegd als attribuut aan de gebruiker. De database van een BDC wordt alleen bijgewerkt als uit een vergelijking van het versienummer van de PDC en van de BDC blijkt dat dit nodig is. 6.2 Windows 2003 Server De nieuwe rol van de domeincontroller Onder Windows 2003 wordt elke server op dezelfde manier geïnstalleerd of het nu op een domeincontroller of om een fileserver gaat. Achteraf kan dan an een server een domeincontroller gemaakt worden. Er bestaat ook geen onderscheid meer tussen de domeincontrollers onderling. Wijzigingen in de database kunnen nu bij eender welke domeincontroller doorgevoerd worden. De wijzigingen worden naar de andere domeincontrollers doorgegeven volgens het systeem van multimasterreplicatie. Om te vermijden dat de database van het netwerk te groot en daardoor onhandelbaar wordt, wordt ze in ADS per domein gepartitioneerd. Multimasterreplicatie Elk object in AD op elke domeincontroller heeft een kenmerk dat de USN genoemd wordt (Update Sequence Number). Verder heeft de database zelf ook een USN. Bij elke wijziging van een object wordt de USN van de database verhoogd en wordt dit nummer als USN geplaatst bij het gewijzigde object. Verder houdt elke domeincontroller een lijst bij met de USN van elke andere domeincontroller op het ogenblik van de laatste replicatie. Voorbeeld :
NW05 AD Voorbeschouwingen
89
Jan De Deurwaerder
Netwerken
IVO Brugge
ADS1 Eigen USN : 13 Lijst van de andere :
ADS2 Eigen USN : 10 Lijst van de andere :
ADS3 Eigen USN : 7 Lijst van de andere :
ADS2 = 7 ADS3 = 5
ADS1 = 10 ADS3 = 6
ADS1 = 10 ADS2 = 8
Bij replicatie stuurt ADS3 zijn huidige USN (momenteel dus 7) naar beide andere domeincontrollers. Bij de laatste replicatie met ADS1 stond dat nummer nog op 5, bijgevolg vraagt ADS1 alle veranderingen met een nummer groter dan 5 op (zijnde 6 en 7). Een timestamp zou een gelijkaardige rol als het versienummer kunnen spelen, maar dat werkt alleen als de systeemtijd van alle domeincontrollers voortdurend gesynchroniseerd is. Toch worden nog timestamps bijghouden ook, voor het geval eenzelfde attribuut op twee verschillende domeincontrollers werd aangepast tussen twee replicaties in. In dat geval wordt de verandering met de laatste timestamp in de database overgenomen. Alle andere worden genegeerd. Deze manier van repliceren zorgt er ook voor dat in geval van een panne recuperatie van de gegevens niet al te veel problemen geeft. Als een domeincontroller uitvalt, moet hij bij het terug in dienst komen ook gewoon de opgeslagen USN vergelijken met de huidige USN en wijzigingen met een hoger nummer dan het opgeslagen USN opvragen.
7 Authenticatie Heel de beveiliging is zowel bij WinNT4 als bij Windows 2003 Server gebaseerd op het gebruik van SID’s (System Identifiers) en ACL’s (Access Control Lists). Bij het creëren van een object in de database krijgt dit automatisch een uniek identificatienummer. Verder heeft elke resource op het netwerk een ACL, dit is een lijst met SID’s van de objecten die toegang hebben tot de resource samen met het type toegang dat die objecten hebben. 7.1 Windows NT 4.0 NTLM WinNT4 maakt gebruik van NTLM (NT LAN Manager) authenticatie Werking Een gebruiker meldt zich aan op een werkstation van het domein. Gebruikersnaam en wachtwoord worden naar de PDC gestuurd. De PDC zoekt die gegevens op in zijn database. Als de aanmelding in orde is ontvangt het werkstation een accesstoken waarin de SID van de gebruiker en van alle groepen waar hij deel van uitmaakt.
NW05 AD Voorbeschouwingen
90
Jan De Deurwaerder
Netwerken
IVO Brugge
Voorbeeld : In -
de Active Directory database zijn volgende gegevens opgeslagen : De gebruiker ‘POL’ heeft SID 789 De groep ‘Boekhouding’ heeft SID 223 De groep ‘Managers’ heeft SID 512 De groep ‘Brugge’ heeft SID 102 Gebruiker ‘POL’ is lid van de groepen Boekhouding, Managers en Brugge.
Van zodra gebruiker POL inlogt op het domein krijgt het werkstation waar POL op ingelogd is een ACCESSTOKEN met als inhoud de volgende SID’s : 789, 223, 512, 102. Als de gebruiker één van de netwerkbronnen benadert, wordt de ACCESSTOKEN van de gebruiker vergeleken met de ACL van de bron die op zijn beurt alle SID’s bevat van de gebruikers en groepen die toegang hebben tot de bron samen met hun toegangsrechten. Dit betekent dat (de database op) de domeincontroller alleen bij het aanmelden geraadpleegd wordt en niet telkens een of andere bron benaderd wordt. Dit is meteen ook een zwak punt in de beveiliging : als de toegangsrechten tot een bron voor een gebruiker gewijzigd worden, is dat pas van toepassing bij een volgende aanmelding van die gebruiker. 7.2 Windows 2003 KERBEROS Windows 2003 blijft NTLM authenticatie ondersteunen in het kader van compatibiliteit met oudere systemen, maar gebruikt als primair protocol voor de beveiliging Kerberos. Werkwijze : Op domeincontrollers draait nu ook de service KDC (Key Distribution Center) die zich ontfermt over de authenticatie van gebruikers. Net zoals bij de vorige versie ontvangt een gebruiker bij het aanmelden een lijst met SID’s van de groepen waar hij deel van uitmaakt, maar nu van de KDC service. Op het ogenblik dat de gebruiker contact zoekt met één van de resources (bv een file op een file server) op het netwerk, moet hij opnieuw langs de KDC om een sessionticket voor die resource te halen. Met dat sessionticket meldt hij zich bij de file server die de informatie in het sessionticket vergelijkt met die van de ACL en op die basis toegang verleent. Het sessionticket bevat ook een gecodeerde sleutel zodat de benaderde server kan controleren of het sessionticket wel degelijk van de KDC komt. Alhoewel de procedure ingewikkelder is gaat de authenticatie toch sneller, ook omdat een sessionticket een tijd geldig blijft. Na een willekeurige tijd wordt het gewist uit het geheugen van het werkstation en moet het terug aangevraagd worden. Andere systemen die Kerberos al gebruikten zoals Netware, UNIX, … kunnen nu ook aanmelden op het systeem met een enkele logon.
NW05 AD Voorbeschouwingen
91
Jan De Deurwaerder
