Die Präsentation wird geladen. Bitte warten

Die Präsentation wird geladen. Bitte warten

Teil 3 Active Directory Wir möchten Ihnen nun zeigen wie ein Active Directory möglichst optimal geplant und eingesetzt wird.

Veröffentlicht von:Renate Recher Geändert vor über 10 Jahren

Ähnliche Präsentationen

Präsentation zum Thema: "Teil 3 Active Directory Wir möchten Ihnen nun zeigen wie ein Active Directory möglichst optimal geplant und eingesetzt wird."—  Präsentation transkript:

1 Teil 3 Active Directory Wir möchten Ihnen nun zeigen wie ein Active Directory möglichst optimal geplant und eingesetzt wird.

2 Was ist ein „Active Directory“?
Hierarchischer Verzeichnisdienst Datenbank (gleiche DB wie Exchange  ESE) Schema (1 Schema pro Forest) Replikationsmechanismus (Multiple Master DB) Abfragemechanismus (LDAP auf GC oder ADS) Integrierte Sicherheitsmechanismen (Kerberos) Verstehen warum wir ein Active Directory einsetzen, müssen wir zuerst verstehen was ein AD ist Active Directory Hierarchischer Verzeichnis Dienst Daten in Multiple Master Database Jeder Domain Controller enthält eine komplette Datenbank einer Domäne Datenbanken synchronisieren gibt es Replikationsmechanismus.

3 Logische Struktur eines „Active Directory“
Gesamtstruktur (Forest) Stamm Domäne net1.ch Domäne net2.com us.net2.com eu.net2.com Struktur (Tree) Domäne edu.net1.ch Organisatorische Einheit (OU) Struktur (Tree) Die Logische Struktur eines AD basiert auf Domains Organisational Units Trees Forests

4 Physische Struktur eines „Active Directory“
Replikation Policy Bern Policy Basel Standort Bern Standort Basel Replikation Replikation Die physische Struktur basiert auf Sites Replikationen Policy Lugano Standort Lugano

5 FSMO (Flexible single master operations)
Pro Forest Schema Master Forest Stamm Domäne net1.ch Domain Naming Master Domäne net2.com us.net2.com eu.net2.com Struktur (Tree) Pro Domäne Domäne edu.net1.ch RID Master PDC Emulator Tree Infrastructure Master (Global Catalog nicht IM) FSMO (Flexible single master role) sind wichtig

6 Verbesserungen im AD allgemein
„Forest Trusts“ „Universal Group Membership Caching“ Verbesserung der Replikationsmechanismen Neu gibt es Applikationsspezifische AD-Partitionen Blocken von Benutzerzugriffe zwischen Domänen und Forests „Secure LDAP“-Verkehr einschaltbar Neuerung „Multiple Forest Trusting“ Verschieden Forests über Transitive Trusts verbinden Ohne Grundlegende Änderungen an der Struktur Mergers auf technischem Level vollzogen werden Mehrer Forests mit eigenem Schema z.B. für Development und PreProd Durch Trusted-Forest Struktur kann bereits in der Projektphase auf sich abzeichnende Splits eingehen Kleineren Standorten kann nun mittels Caching der Authorisierungs-Credentials auf GC verzichten Die Replikation in vielen Details verbessert Ermöglicht grössere Active Directories weniger Belastung für das Netzwerk AD Partitionen für spezielle Daten aus den AD auf spezifische DC Bsp. DNS Daten von AD integrierten DNS Zonen nur auf Servern mit DNS Server Zugriffe über Domänen generell blocken selektiv öffnen

7 Verbesserungen im AD bei der Administrierung
Einfachere Administration dank Verbesserung der Managementkonsole Abfragebezogene Gruppen Erweiterung der „Group Policies“ Es werden neue „Command-line Tools“ bereitgestellt Hinzufügen von DC mittels Backupmedien „Domain Controller Renaming Tool“ „Domain Renaming“/ „Forest Restructuring“ In der Konsole Drag und Drop gearbeitet werden möglich Atribute von mehreren Objekten gleichzeitig zu verändern Neu können Verteiler-Gruppen erstellt werden, die auf einer Abfrage basieren Wie bereits gehört wurden die Group Policy wesentlich erweitert Neue Command Lines Tools erleichtern die Verwaltung durch Scripts: Csvde -> Import und Export von Active Directory Daten in Komma separierte Dateien Dsadd -> Hinzufügen von Benutzer, Gruppen, Computern, Kontakten und OUs Dsmove -> Verschieben von Objekten innerhalb einer Domäne uvm. Initialinstallation von DC über Band DC umzubennen ohne das AD vorher zu deinstallieren Domänen umzubenennen und dadurch eine Restrukturierung des Forests zu erreichen Remote Connect

8 Spezielle Betrachtung
Domain Renaming und Forest Restructuring Da das Domain Renaming einer der meistgenannten Neuerungen unter Windows Server 2003 ist, möchten wir diesen Aspekt genau ausleuchten.

9 Voraussetzungen für „Domain Renaming“
Im Forest darf kein Exchange 2000 oder höher installiert sein! Alle DC im Forest müssen Windows 2003 DC sein! Forest Function Level Windows Server 2003 DFS Rootserver müssen mindestens Windows SP 3 aufweisen Alle DC müssen „rebootet“ werden können Alle Member müssen zweimal „rebootet“ werden können Backup aller Domain Controller (Desaster Recovery) Empfehlung: „Step by Step“ Liste von Microsoft zur Hand nehmen ca. 70 Seiten Kein renaming Falls in einem Forest Exchange installiert ist!

10 Domain Renaming, Forest Restructuring
Stamm Domäne net1.ch Domäne Exchange net2.com Domäne us.net2.com Domäne edu.net1.ch

11 Domain Renaming, Forest Restructuring
Stamm Domäne net1.ch Domäne net2.com Domäne us.net2.com Domäne edu.net1.ch Domäne edu.net2.com Auch Root Domäne möglich Die Funktion der Root Domäne nicht tangiert Durch geeignetes renaming grundlegende Änderung der Struktur Rename Prozess

12 Keinen grossen „Impact” auf das Konzept eines „Active Directory“
Fazit Keinen grossen „Impact” auf das Konzept eines „Active Directory“ Umbenennen einer Domäne bedingt möglich Verbesserungen der Administration Schlankere Replikation Migration von NT4 sollte unbedingt auf Windows Server 2003 erfolgen Durch Neuerungen keinen grossen Impact auf das Konzept Optimierungen positiv auf Bandbreiten und Replikationszeiten auswirken Renaming Bereinigung von Namen und Struktur Verbesserung der Administration Kleinen Aussenstellen mit schmalen Bandbreiten Wer derzeit eine Umgebung unter NT 4 betreibt, sollte direkt auf Windows 2003 migrieren.

13 Warum ein „Active Directory“?
Microsoft bietet nur noch das AD an Zentrale Datenhaltung mit einheitlicher Schnittstelle Einheitliche Verwaltung Abbildung von Hierarchien und Standorten Möglichkeit Administrativaufgaben zu delegieren Integriertes Management der Client über GPO Integrierte Sicherheit „Single Logon“ Exchange 2000 und 2003 nur mit AD möglich In letzter Zeit wurden wir immer wieder mit der Frage konfrontiert „Warum ein Active Directory?“ Vorteile von Windows 2000 JA AD NEIN

14 NT 4  Windows 2000  Windows Server 2003 NT 4  Windows Server 2003
Migrationsszenarien NT 4  Windows 2000  Windows Server 2003 NT 4  Windows Server 2003 Windows 2000  Windows Server 2003 Es kommt ein Upgrade oder eine Restrukturierung in Frage. Wann soll wie vorgegangen werden? Wie wird nun also ein AD eingeführt. Ziel möglichst kostenneutral zumindest ein ROI absehbar Möglichkeiten kurz anschauen und erklären Keine optimale Lösung für alle Fälle Tendenzen feststellen

15 Restrukturierung (alles neu)
Objekte verschieben DC PDC Member DC Restrukturierung benötigt zwei Umgebungen tendenziell teurer aber mehr Möglichkeiten Planung wichtig (Design und Migration) Viel Aufwand bei Migration Tools sind nötig Tools: MS ADMT, NetDom, MoveTree, Fastlane usw.

16 Restrukturierung (alles neu)
Zusätzliche Hardware nötig Alle Objekte müssen gezügelt werden Parallelbetrieb der zwei Systeme während Migration Neue Namen für die Domäne können gewählt werden Umstrukturierung und Vereinfachung ist möglich Fallbackszenario leichter möglich, da die alte Umgebung parallel betrieben wird Viel Aufwand während der Migration und in der Stabilisierungsphase

17 Szenario Restrukturierung
Ist- / Soll- Aufnahme Konzept und Detailspezifikation Migrationsszenario für Objekte und Dienste Recoveryplan ausarbeiten und testen Schulung der Administratoren Neue Umgebung aufbauen Testen Migration der Objekte und Dienste Information der Benutzer Migrieren in Schritten oder „big bang“ Stabilisieren der Umgebung Restrukturierung ist individuell Grösse und Verteilung massgebend Konsolidierung möglich und Sinvoll Sehr viel Zeit für Tests und Stabilisierung einplanen

18 Upgrade (in Place) DC PDC BDC Temp BDC1 DC Upgrade wenig doppelspurigkeiten tendenziell günstiger und schneller Teilweise ohne Planung mal den PDC zu migrieren ist schlecht Oft ungenügenden Resultaten oder gar zu immensen Design Fehler Planung mind. 60% des Gesamtaufwandes Bei weniger Planung zumindest einen Verifizierung ihrer Lösung bei unabhängiger Instanz Für NT4 Sicherung empfehlen wir zusätzlichen BDC aufzusetzen und wegschliessen

19 Bestehende Infrastruktur weiterverwenden
Upgrade (in Place) Bestehende Infrastruktur weiterverwenden Alle Objekte bleiben in IST-Zustand erhalten Reorganisation nicht oder nur beschränkt möglich Erhöhte Risiken, da die bestehende Umgebung verändert wird Fallbackszenario muss klar definiert und getestet werden Kleinerer Aufwand, schnellere Einführung Kein Parallelbetrieb zweier Umgebungen Schneller Günstiger

20 Szenario „NT4 Upgrade auf W2k dann Windows 2003“
Vorteile Mehr Erfahrung mit Windows 2000 Nachteile Mehr Aufwand für Konzepte und Spezifikationen Doppelter Aufwand für Installation Doppelte Stabilisierungsphase Voller Funktionsumfang erst am Ende vorhanden Bekannte „Bugs“ von W2k müssen beachtet werden Deshalb empfehlen wir den direkten Upgrade auf Windows Server 2003! Vorteile gibt es nur sehr wenige Nachteile überwiegen

21 Szenario „NT4 Upgrade auf Windows 2003“
Vorbereiten der NT 4 Domäne Dokumentieren der Umgebung HCL und SCL prüfen (ersetzen, upgraden) PDC und BDC min. 4 GB System Partition Bereinigungen durchführen DNS und Netzwerkeinstellungen verifizieren Umfangreiche Vorbereitungen werden Gesamtaufwand vermindern Dokumentation ist das wichtigste! Funktionsfehler können in Desaster führen

22 Szenario „NT4 Upgrade auf Windows 2003“
Design für AD konzipieren Recoveryplan erarbeiten Tests in Testumgebung durchführen Administratoren schulen Empf.: Neuer BDC aufsetzen und wegschliessen Empf.: Neuer PDC aufsetzen und upgraden Restliche BDC upgraden Eventuell „Function Level“ in Windows 2003 Level umstellen OU, GPO und Delegationen umsetzen Stabilisieren der neuen Umgebung Einführen neuer Funktionen von Windows 2003 Gegen 80% sind Paperwork Schulung der Administratoren nicht vergessen GPO und Delegationen so wenig wie nötig Resourcen für Stabilisierung freihalten

23 Szenario „Windows 2000 Upgrade auf Windows 2003“
Vorbereiten der Windows 2000 Domäne Dokumentieren der Umgebung HCL und SCL prüfen (ersetzen, upgraden) Recoveryplan erarbeiten Tests in Testumgebung durchführen Active Directory mit Tool ADPrep vorbereiten Empf.: Neuer DC aufsetzen und upgraden Restliche DC upgraden Eventuell „Function Level“ in Windows 2003 Level umstellen Stabilisieren der neuen Umgebung Einführen neuer Funktionen von Windows 2003 Sehr Einfach, da Konzept von W2k für W2003 gültig

24 Kosten bei Upgrade Umgebung 4 DC 3 einigen Member 2 Sites
Zahlen als Beispiel Zweite Säule zusammengefasst Paperwork, Doing, Stabilisierung -> TCO

25 Nutzen NT4  W2003 Support Active Directory GPO Sites Delegationen
Neue Funktionen Höhere Sicherheit Skalierbarkeit Single Logon Stabilität W2k  W2003 Forest Trusts Domain Rename Cached GC Verbessertes Mgmt Intelligentere Synch DC Install ab Media Nutzen sehr individuell Nutzen neuer Funktionen z.B. Forest Trusts Administrationsmodell Administrationsaufwand Sicherheitsanforderungen

26 Windows 2003 AD erlaubt „Forests Trusts“
„Merge und Split“ Merge Windows 2003 AD erlaubt „Forests Trusts“ Windows 2000 AD erlaubt keine „Forest Trusts“ Restrukturierung ermöglicht auch einen „Merge“ NT 4 Domain durch Upgrade in Forest „mergen“ Split „Split“ durch Restrukturierung „Split“ durch Neuaufbau Trennen durch aufheben von „Forest Trusts“ Kein „Split“ durch Trennung der Verbindungen Wichtig frühzeitig erkennen, planen umsetzen Management sensibilisieren Mehrer Varianten vergleichen

27 Empfehlungen FITIT NT 4 sollte nach Möglichkeit in diesem Jahr auf Windows 2003 migriert werden Windows 2000 Umgebungen müssen nicht zwingend migriert werden Bei Mergers oder Splits kann Windows kosten sparen Bei grosse Umgebungen muss geprüft werden ob ein ROI in nützlicher Zeit erreicht wird Bei kleineren Umgebungen müssen eindeutige Vorteile aufgezeigt werden können

Herunterladen ppt "Teil 3 Active Directory Wir möchten Ihnen nun zeigen wie ein Active Directory möglichst optimal geplant und eingesetzt wird."

Ähnliche Präsentationen

Das Content-Management-System Sebastian Raubinger

Das Content-Management-System Sebastian Raubinger
Exchange Server 2003 Neuerungen und Verbesserungen Lorenz Goebel Microsoft Pre Sales Consultant.

Exchange Server 2003 Neuerungen und Verbesserungen Lorenz Goebel Microsoft Pre Sales Consultant.
Migration der Arbeitsplatzrechner und Benutzerprofile in eine neue Domänenstruktur bei der WetterOnline GmbH Alexander Wiechert Migration der Arbeitsplatzrechner.

Migration der Arbeitsplatzrechner und Benutzerprofile in eine neue Domänenstruktur bei der WetterOnline GmbH Alexander Wiechert Migration der Arbeitsplatzrechner.
Was gibt´s neues im Bereich Sicherheit

Was gibt´s neues im Bereich Sicherheit
Server- und Dienstestruktur an der Uni Paderborn

Server- und Dienstestruktur an der Uni Paderborn
OpenLDAP.

OpenLDAP.
Überblick Microsoft Exchange Server 2003

Überblick Microsoft Exchange Server 2003
Migration von Domänencontrollern und Exchange Servern

Migration von Domänencontrollern und Exchange Servern
Agenda DataAssist e.K. Probleme heutiger Ansätze der Netzwerkdokumentation Management der Netzwerkdokumentation Management von Rechnern Der NetDoc Server.

Agenda DataAssist e.K. Probleme heutiger Ansätze der Netzwerkdokumentation Management der Netzwerkdokumentation Management von Rechnern Der NetDoc Server.
Kommunikation und Zusammenarbeit mit Microsoft Exchange Server 2003

Kommunikation und Zusammenarbeit mit Microsoft Exchange Server 2003
Migration auf Windows Server 2003

Migration auf Windows Server 2003
Administration und Management

Administration und Management
Exchange Server 2003 Windows Server 2003 Technologie.

Exchange Server 2003 Windows Server 2003 Technologie.
Systemverwaltung wie es Ihnen gefällt.

Systemverwaltung wie es Ihnen gefällt.
Windows Server System und Active Directory

Windows Server System und Active Directory
Softwareverteilung.

Softwareverteilung.
RIS mit Treibereinbindung, Ewest/Rau, 26.11.2008 Windows 200x Musterlösung 1 RIS (mit Treibereinbindung) Teil 1 – Was ist RIS?

RIS mit Treibereinbindung, Ewest/Rau, Windows 200x Musterlösung 1 RIS (mit Treibereinbindung) Teil 1 – Was ist RIS?
Pflege der Internetdienste

Pflege der Internetdienste
Datenbankzugriff im WWW (Kommerzielle Systeme)

Datenbankzugriff im WWW (Kommerzielle Systeme)
Lightweight Directory Access Protocol

Lightweight Directory Access Protocol

Ähnliche Präsentationen

Google-Anzeigen