Übersicht über Active Directory-Domänendienste
Betrifft: Windows Server 2012
Wussten Sie, dass Microsoft Azure eine ähnliche Funktionalität in der Cloud bietet? Erfahren Sie mehr zu Microsoft Azure-Identitätslösungen. Erstellen einer Hybrididentitätslösung in Microsoft Azure: |
Mithilfe der AD DS-Serverrolle (Active Directory® Domain Services, Active Directory-Domänendienste) können Sie eine skalierbare, sichere und verwaltbare Infrastruktur für die Benutzer- und Ressourcenverwaltung erstellen und die Unterstützung für verzeichnisfähige Anwendungen (z. B. Microsoft® Exchange Server) bereitstellen.
Dieses Thema enthält einen allgemeinen Überblick über die AD DS-Serverrolle. Weitere Informationen zu den neuen Funktionen in AD DS in Windows Server 2012 finden Sie unter Neues in den Active Directory-Domänendiensten (AD DS).
Mit AD DS wird eine verteilte Datenbank bereitgestellt, in der Informationen zu Netzwerkressourcen und anwendungsspezifische Daten aus AD-fähigen Anwendungen gespeichert und verwaltet werden. Ein Server, auf dem AD DS ausgeführt wird, wird als Domänencontroller bezeichnet. Administratoren können AD DS verwenden, um die Elemente eines Netzwerks (z. B. Benutzer, Computer und andere Geräte) in einer hierarchischen Struktur aus Einschlussbeziehungen zu organisieren. Diese hierarchische Struktur umfasst die Active Directory-Gesamtstruktur, Domänen in der Gesamtstruktur sowie die Organisationseinheiten in den einzelnen Domänen.
Das Verwalten von Netzwerkelementen in einer hierarchischen Containerstruktur bietet die folgenden Vorteile:
Die Gesamtstruktur fungiert als Sicherheitsbegrenzung für eine Organisation und definiert den Autoritätsumfang für Administratoren. Standardmäßig enthält eine Gesamtstruktur eine einzelne Domäne, die als Stammdomäne der Gesamtstruktur bezeichnet wird.
In der Gesamtstruktur können zusätzliche Domänen erstellt werden, damit die Partitionierung von AD DS-Daten möglich ist. Damit haben Organisationen die Möglichkeit, Daten ausschließlich bei Bedarf zu replizieren. Dadurch können Skalierungsvorgänge von AD DS global in einem Netzwerk ausgeführt werden, für das die verfügbare Bandbreite eingeschränkt ist. In einer Active Directory-Domäne werden außerdem zahlreiche weitere Hauptfunktionen unterstützt, die sich auf die Verwaltung beziehen. Dazu zählen beispielsweise die netzwerkweite Benutzeridentität, Authentifizierung und Vertrauensstellungen.
Mit Organisationseinheiten wird die Delegierung von Befugnissen vereinfacht, sodass die Verwaltung einer großen Anzahl von Objekten erleichtert wird. Durch die Delegierung können Besitzer die vollständige oder eingeschränkte Autorität über Objekte auf andere Benutzer oder Gruppen übertragen. Delegierung ist wichtig, da mit ihrer Hilfe die Verwaltung einer großen Anzahl von Objekten auf mehrere Personen verteilt werden kann, die zum Ausführen von Verwaltungsaufgaben berechtigt sind.
Die Sicherheit ist in AD DS über die Anmeldeauthentifizierung und Steuerung des Zugriffs auf Ressourcen im Verzeichnis integriert. Mit einer einzigen Netzwerkanmeldung können Administratoren Verzeichnisdaten und die Organisation im gesamten Netzwerk verwalten. Autorisierte Netzwerkbenutzer können auch mit einer einzigen Netzwerkanmeldung auf Ressourcen an einer beliebigen Stelle im Netzwerk zugreifen. Durch die richtlinienbasierte Verwaltung wird selbst die Verwaltung der komplexesten Netzwerke erleichtert.
Im Folgenden werden einige weitere AD DS-Features aufgeführt:
Ein Satz von Regeln, das Schema, mit dem die Klassen der Objekte und Attribute definiert werden, die im Verzeichnis enthalten sind, die Einschränkungen und Begrenzungen für Instanzen dieser Objekte und das Format ihrer Namen
Ein globaler Katalog, der Informationen zu jedem Objekt im Verzeichnis enthält. Benutzer und Administratoren können mithilfe des globalen Katalogs Verzeichnisinformationen suchen, unabhängig davon, welche Domäne im Verzeichnis die Daten tatsächlich enthält.
Ein Abfrage- und Indexmechanismus, sodass Objekte und ihre Eigenschaften veröffentlicht und von Netzwerkbenutzern bzw. Anwendungen gefunden werden können.
Ein Replikationsdienst, mit dem Verzeichnisdaten in einem Netzwerk verteilt werden. Alle beschreibbaren Domänencontroller in einer Domäne nehmen an der Replikation teil und enthalten eine vollständige Kopie aller Verzeichnisinformationen für ihre Domäne. Jede Änderung an den Verzeichnisdaten wird zu allen Domänencontrollern in der Domäne repliziert.
Betriebsmasterrollen (auch als Flexible Single Master Operations bzw. FSMO bezeichnet): Domänencontroller, die Betriebsmasterrollen enthalten, sind für die Ausführung bestimmter Aufgaben vorgesehen, um Konsistenz sicherzustellen und widersprüchliche Einträge im Verzeichnis auszuschließen.
Anforderungen für die Ausführung der Active Directory-Domänendienste
Welche Hardware-, Software- oder Einstellungskonfigurationen sind erforderlich, um dieses Feature auszuführen? Welche Voraussetzungen müssen für die Ausführung der Rolle erfüllt sein? Ist für die Rolle/das Feature spezielle Hardware erforderlich?
Anforderung |
Beschreibung |
---|---|
TCP/IP |
Konfigurieren Sie geeignete TCP/IP- und DNS-Serveradressen. |
NTFS |
Die Laufwerke, auf denen die Datenbank, die Protokolldateien und der Ordner SYSVOL für die Active Directory-Domänendienste (Active Directory Domain Services, AD DS) gespeichert sind, müssen sich auf einem lokalen festen Volume befinden. SYSVOL muss sich auf einem Volume befinden, das mit dem NTFS-Dateisystem formatiert ist. Aus Sicherheitsgründen sollten die Active Directory-Datenbank und -Protokolldateien auf einem Volume gespeichert sein, das mit NTFS formatiert ist. |
Anmeldeinformationen |
Zum Installieren einer neuen AD DS-Gesamtstruktur müssen Sie der lokale Administrator des Servers sein. Zum Installieren eines zusätzlichen Domänencontrollers in einer vorhandenen Domäne müssen Sie ein Mitglied der Gruppe der Domänenadministratoren sein. |
DNS-Infrastruktur (Domain Name System) |
Stellen Sie sicher, dass eine DNS-Infrastruktur vorhanden ist. Wenn Sie AD DS installieren, können Sie bei Bedarf eine DNS-Serverinstallation einschließen. Beim Erstellen einer neuen Domäne wird während des Installationsvorgangs automatisch eine DNS-Delegierung erstellt. Zum Erstellen einer DNS-Delegierung sind Anmeldeinformationen erforderlich, die über die Berechtigungen zum Aktualisieren der übergeordneten DNS-Zonen verfügen. Weitere Informationen finden Sie im Thema zur Assistentenseite mit den DNS-Optionen. |
Adprep |
Um den ersten Domänencontroller, auf dem Windows Server 2012 ausgeführt wird, einer vorhandenen Active Directory-Umgebung hinzuzufügen, werden die Befehle "adprep.exe" bei Bedarf automatisch ausgeführt. Für diese Befehle gelten zusätzliche Anforderungen im Hinblick auf Anmeldeinformationen und Konnektivität. Weitere Informationen finden Sie unter Ausführen von Adprep.exe. |
Schreibgeschützte Domänencontroller (Read-Only Domain Controllers, RODCs) |
Zusätzliche Anforderungen für die Installation von RODCs:
Weitere Informationen finden Sie unter Voraussetzungen zum Bereitstellen eines RODC. |
Hinweis
Mit Ausnahme des DNS-Servers sollten Domänencontroller üblicherweise keine anderen Serverrollen hosten.
Ausführen der Active Directory-Domänendienste
Wie verwende ich Windows PowerShell zur Bereitstellung und Konfiguration dieser Rolle?
Ausführliche Anweisungen zur Installation und Konfiguration von AD DS mithilfe des AD DS-Bereitstellungsmoduls für die Windows PowerShell®-Befehlszeilenschnittstelle finden Sie im Bereitstellungshandbuch für Active Directory-Domänendienste (https://go.microsoft.com/fwlink/?LinkId=222597).
Wie kann ich diese Rolle in einer Multiserverumgebung bereitstellen und konfigurieren?
AD DS ist ein verteilter Dienst, der für die Ausführung auf mehreren Domänencontrollern ausgelegt ist. Ausführliche Anleitungen zur Installation und Konfiguration von AD DS auf mehreren Domänencontrollern finden Sie im Bereitstellungshandbuch für Active Directory-Domänendienste (https://go.microsoft.com/fwlink/?LinkId=222597).
Wie kann ich diese Rolle auf virtuellen Computern nutzen?
AD DS hat unter Windows Server 2012 Schutzvorrichtungen zur Ausführung auf virtuellen Computern, damit die Sicherheit und Konsistenz von virtualisierten AD DS-Umgebungen gewährleistet ist. Weitere Informationen zum Ausführen von AD DS auf virtuellen Computern finden Sie unter Ausführen von Domänencontrollern in Hyper-V (https://go.microsoft.com/fwlink/?LinkID=213293).
Sicherheitsüberlegungen bei der Verwendung dieser Rolle
AD DS ist nach der Installation standardmäßig sicher. Weitere Informationen zu den Standardsicherheitseinstellungen für Domänencontroller, zu Risiken und zum sicheren Betrieb von Domänencontrollern finden Sie unter Leitfaden mit bewährten Methoden zum Absichern von Active Directory-Installationen.
Besonderheiten bei der Remoteverwaltung dieser Rolle
Installieren Sie zur Remoteverwaltung von AD DS die Remoteserver-Verwaltungstools (RSAT). Von RSAT stehen eine 32-Bit- und eine 64-Bit-Version zur Verfügung. Weitere Informationen finden Sie unter Remoteserver-Verwaltungstools (https://go.microsoft.com/fwlink/?LinkId=222628).
Besonderheiten bei der Verwaltung der Rolle für Server Core-Installationen
AD DS kann auf einer Server Core-Installation oder einem Server mit einer Minimal Server Interface installiert werden, und dies wird empfohlen, wo eine Reduzierung des Platzbedarfs der Betriebssysteminstallation vorteilhaft ist, z. B. für eine dedizierte Serverrolle in einem Datencenter, für Virtualisierungsgäste oder RODCs in Zweigstellen. Ab Windows Server 2012 kann ein Domänencontroller, der auf einer Server Core-Installation ausgeführt wird, in eine Serverinstallation mit einer GUI (auch bekannt als vollständige Installation) und umgekehrt konvertiert werden.
Das Upgrade von einer Server Core-Installation, die auf einer früheren Version von Windows Server ausgeführt wird, wird unterstützt, aber es gibt keine Möglichkeit, ein Upgrade direkt von einer Server Core-Installation einer früheren Version von Windows Server auf eine Serverinstallation mit einer GUI bzw. direkt von einer Serverinstallation mit einer GUI auf eine Server Core-Installation auszuführen. In diesem Fall müssen Sie ein direktes Upgrade auf den gleichen Installationstyp unter Windows Server 2012 ausführen und nach dem Upgrade nach Bedarf in eine andere Installation konvertieren.
Weitere Informationen finden Sie unter Windows Server-Installationsoptionen.
Rollendienste für die Active Directory-Domänendienste
Bei der Identitätsverwaltung für UNIX handelt es sich um einen Rollendienst von AD DS, der nur auf Domänencontrollern installiert werden kann. Mit zwei Technologien des Identity Management für UNIX, Server für NIS und Kennwortsynchronisierung, wird die Integration von Computern unter Windows® in Ihre vorhandene UNIX-Umgebung erleichtert. AD DS-Administratoren können Server für NIS zum Verwalten von NIS-Domänen (Network Information Service, Netzwerkinformationsdienst) verwenden. Mit Kennwortsynchronisierung werden Kennwörter zwischen den Betriebssystemen Windows und UNIX automatisch synchronisiert.
Rollendiensttechnologien |
Rollendienstbeschreibung |
---|---|
Server für NIS |
Ermöglicht das Verwalten von UNIX-NIS-Netzwerken (Network Information Service, Netzwerkinformationsdienst) mithilfe eines Microsoft Windows-basierten Active Directory-Domänencontrollers. Weitere Informationen finden Sie in der Übersicht zu Server für NIS (https://go.microsoft.com/fwlink/?LinkId=222677). |
Kennwortsynchronisierung |
Hilft bei der Integration von Windows- und UNIX-Netzwerken, indem der Prozess zur Verwaltung sicherer Kennwörter in beiden Umgebungen vereinfacht wird. Weitere Informationen finden Sie in der Übersicht über die Kennwortsynchronisierung (https://go.microsoft.com/fwlink/?LinkId=222676). |