Teil 3 Active Directory Wir möchten Ihnen nun zeigen wie ein Active Directory möglichst optimal geplant und eingesetzt wird.

Was ist ein „Active Directory“? Hierarchischer Verzeichnisdienst Datenbank (gleiche DB wie Exchange  ESE) Schema (1 Schema pro Forest) Replikationsmechanismus (Multiple Master DB) Abfragemechanismus (LDAP auf GC oder ADS) Integrierte Sicherheitsmechanismen (Kerberos) Verstehen warum wir ein Active Directory einsetzen, müssen wir zuerst verstehen was ein AD ist Active Directory Hierarchischer Verzeichnis Dienst Daten in Multiple Master Database Jeder Domain Controller enthält eine komplette Datenbank einer Domäne Datenbanken synchronisieren gibt es Replikationsmechanismus.

Logische Struktur eines „Active Directory“ Gesamtstruktur (Forest) Stamm Domäne net1.ch Domäne net2.com us.net2.com eu.net2.com Struktur (Tree) Domäne edu.net1.ch Organisatorische Einheit (OU) Struktur (Tree) Die Logische Struktur eines AD basiert auf Domains Organisational Units Trees Forests

Physische Struktur eines „Active Directory“ Replikation 10.10.10.0 10.10.11.0 Policy Bern Policy Basel Standort Bern Standort Basel Replikation Replikation 10.10.12.0 Die physische Struktur basiert auf Sites Replikationen Policy Lugano Standort Lugano

FSMO (Flexible single master operations) Pro Forest Schema Master Forest Stamm Domäne net1.ch Domain Naming Master Domäne net2.com us.net2.com eu.net2.com Struktur (Tree) Pro Domäne Domäne edu.net1.ch RID Master PDC Emulator Tree Infrastructure Master (Global Catalog nicht IM) FSMO (Flexible single master role) sind wichtig

Verbesserungen im AD allgemein „Forest Trusts“ „Universal Group Membership Caching“ Verbesserung der Replikationsmechanismen Neu gibt es Applikationsspezifische AD-Partitionen Blocken von Benutzerzugriffe zwischen Domänen und Forests „Secure LDAP“-Verkehr einschaltbar Neuerung „Multiple Forest Trusting“ Verschieden Forests über Transitive Trusts verbinden Ohne Grundlegende Änderungen an der Struktur Mergers auf technischem Level vollzogen werden Mehrer Forests mit eigenem Schema z.B. für Development und PreProd Durch Trusted-Forest Struktur kann bereits in der Projektphase auf sich abzeichnende Splits eingehen Kleineren Standorten kann nun mittels Caching der Authorisierungs-Credentials auf GC verzichten Die Replikation in vielen Details verbessert Ermöglicht grössere Active Directories weniger Belastung für das Netzwerk AD Partitionen für spezielle Daten aus den AD auf spezifische DC Bsp. DNS Daten von AD integrierten DNS Zonen nur auf Servern mit DNS Server Zugriffe über Domänen generell blocken selektiv öffnen

Verbesserungen im AD bei der Administrierung Einfachere Administration dank Verbesserung der Managementkonsole Abfragebezogene Gruppen Erweiterung der „Group Policies“ Es werden neue „Command-line Tools“ bereitgestellt Hinzufügen von DC mittels Backupmedien „Domain Controller Renaming Tool“ „Domain Renaming“/ „Forest Restructuring“ In der Konsole Drag und Drop gearbeitet werden möglich Atribute von mehreren Objekten gleichzeitig zu verändern Neu können Verteiler-Gruppen erstellt werden, die auf einer Abfrage basieren Wie bereits gehört wurden die Group Policy wesentlich erweitert Neue Command Lines Tools erleichtern die Verwaltung durch Scripts: Csvde -> Import und Export von Active Directory Daten in Komma separierte Dateien Dsadd -> Hinzufügen von Benutzer, Gruppen, Computern, Kontakten und OUs Dsmove -> Verschieben von Objekten innerhalb einer Domäne uvm. Initialinstallation von DC über Band DC umzubennen ohne das AD vorher zu deinstallieren Domänen umzubenennen und dadurch eine Restrukturierung des Forests zu erreichen Remote Connect

Spezielle Betrachtung Domain Renaming und Forest Restructuring Da das Domain Renaming einer der meistgenannten Neuerungen unter Windows Server 2003 ist, möchten wir diesen Aspekt genau ausleuchten.

Voraussetzungen für „Domain Renaming“ Im Forest darf kein Exchange 2000 oder höher installiert sein! Alle DC im Forest müssen Windows 2003 DC sein! Forest Function Level Windows Server 2003 DFS Rootserver müssen mindestens Windows 2000 SP 3 aufweisen Alle DC müssen „rebootet“ werden können Alle Member müssen zweimal „rebootet“ werden können Backup aller Domain Controller (Desaster Recovery) Empfehlung: „Step by Step“ Liste von Microsoft zur Hand nehmen ca. 70 Seiten Kein renaming Falls in einem Forest Exchange installiert ist!

Domain Renaming, Forest Restructuring Stamm Domäne net1.ch Domäne Exchange net2.com Domäne us.net2.com Domäne edu.net1.ch

Domain Renaming, Forest Restructuring Stamm Domäne net1.ch Domäne net2.com Domäne us.net2.com Domäne edu.net1.ch Domäne edu.net2.com Auch Root Domäne möglich Die Funktion der Root Domäne nicht tangiert Durch geeignetes renaming grundlegende Änderung der Struktur Rename Prozess

Keinen grossen „Impact” auf das Konzept eines „Active Directory“ Fazit Keinen grossen „Impact” auf das Konzept eines „Active Directory“ Umbenennen einer Domäne bedingt möglich Verbesserungen der Administration Schlankere Replikation Migration von NT4 sollte unbedingt auf Windows Server 2003 erfolgen Durch Neuerungen keinen grossen Impact auf das Konzept Optimierungen positiv auf Bandbreiten und Replikationszeiten auswirken Renaming Bereinigung von Namen und Struktur Verbesserung der Administration Kleinen Aussenstellen mit schmalen Bandbreiten Wer derzeit eine Umgebung unter NT 4 betreibt, sollte direkt auf Windows 2003 migrieren.

Warum ein „Active Directory“? Microsoft bietet nur noch das AD an Zentrale Datenhaltung mit einheitlicher Schnittstelle Einheitliche Verwaltung Abbildung von Hierarchien und Standorten Möglichkeit Administrativaufgaben zu delegieren Integriertes Management der Client über GPO Integrierte Sicherheit „Single Logon“ Exchange 2000 und 2003 nur mit AD möglich In letzter Zeit wurden wir immer wieder mit der Frage konfrontiert „Warum ein Active Directory?“ Vorteile von Windows 2000 JA AD NEIN

NT 4  Windows 2000  Windows Server 2003 NT 4  Windows Server 2003 Migrationsszenarien NT 4  Windows 2000  Windows Server 2003 NT 4  Windows Server 2003 Windows 2000  Windows Server 2003 Es kommt ein Upgrade oder eine Restrukturierung in Frage. Wann soll wie vorgegangen werden? Wie wird nun also ein AD eingeführt. Ziel möglichst kostenneutral zumindest ein ROI absehbar Möglichkeiten kurz anschauen und erklären Keine optimale Lösung für alle Fälle Tendenzen feststellen

Restrukturierung (alles neu) Objekte verschieben DC PDC Member DC Restrukturierung benötigt zwei Umgebungen tendenziell teurer aber mehr Möglichkeiten Planung wichtig (Design und Migration) Viel Aufwand bei Migration Tools sind nötig Tools: MS ADMT, NetDom, MoveTree, Fastlane usw.

Restrukturierung (alles neu) Zusätzliche Hardware nötig Alle Objekte müssen gezügelt werden Parallelbetrieb der zwei Systeme während Migration Neue Namen für die Domäne können gewählt werden Umstrukturierung und Vereinfachung ist möglich Fallbackszenario leichter möglich, da die alte Umgebung parallel betrieben wird Viel Aufwand während der Migration und in der Stabilisierungsphase

Szenario Restrukturierung Ist- / Soll- Aufnahme Konzept und Detailspezifikation Migrationsszenario für Objekte und Dienste Recoveryplan ausarbeiten und testen Schulung der Administratoren Neue Umgebung aufbauen Testen Migration der Objekte und Dienste Information der Benutzer Migrieren in Schritten oder „big bang“ Stabilisieren der Umgebung Restrukturierung ist individuell Grösse und Verteilung massgebend Konsolidierung möglich und Sinvoll Sehr viel Zeit für Tests und Stabilisierung einplanen

Upgrade (in Place) DC PDC BDC Temp BDC1 DC Upgrade wenig doppelspurigkeiten tendenziell günstiger und schneller Teilweise ohne Planung mal den PDC zu migrieren ist schlecht Oft ungenügenden Resultaten oder gar zu immensen Design Fehler Planung mind. 60% des Gesamtaufwandes Bei weniger Planung zumindest einen Verifizierung ihrer Lösung bei unabhängiger Instanz Für NT4 Sicherung empfehlen wir zusätzlichen BDC aufzusetzen und wegschliessen

Bestehende Infrastruktur weiterverwenden Upgrade (in Place) Bestehende Infrastruktur weiterverwenden Alle Objekte bleiben in IST-Zustand erhalten Reorganisation nicht oder nur beschränkt möglich Erhöhte Risiken, da die bestehende Umgebung verändert wird Fallbackszenario muss klar definiert und getestet werden Kleinerer Aufwand, schnellere Einführung Kein Parallelbetrieb zweier Umgebungen Schneller Günstiger

Szenario „NT4 Upgrade auf W2k dann Windows 2003“ Vorteile Mehr Erfahrung mit Windows 2000 Nachteile Mehr Aufwand für Konzepte und Spezifikationen Doppelter Aufwand für Installation Doppelte Stabilisierungsphase Voller Funktionsumfang erst am Ende vorhanden Bekannte „Bugs“ von W2k müssen beachtet werden Deshalb empfehlen wir den direkten Upgrade auf Windows Server 2003! Vorteile gibt es nur sehr wenige Nachteile überwiegen

Szenario „NT4 Upgrade auf Windows 2003“ Vorbereiten der NT 4 Domäne Dokumentieren der Umgebung HCL und SCL prüfen (ersetzen, upgraden) PDC und BDC min. 4 GB System Partition Bereinigungen durchführen DNS und Netzwerkeinstellungen verifizieren Umfangreiche Vorbereitungen werden Gesamtaufwand vermindern Dokumentation ist das wichtigste! Funktionsfehler können in Desaster führen

Szenario „NT4 Upgrade auf Windows 2003“ Design für AD konzipieren Recoveryplan erarbeiten Tests in Testumgebung durchführen Administratoren schulen Empf.: Neuer BDC aufsetzen und wegschliessen Empf.: Neuer PDC aufsetzen und upgraden Restliche BDC upgraden Eventuell „Function Level“ in Windows 2003 Level umstellen OU, GPO und Delegationen umsetzen Stabilisieren der neuen Umgebung Einführen neuer Funktionen von Windows 2003 Gegen 80% sind Paperwork Schulung der Administratoren nicht vergessen GPO und Delegationen so wenig wie nötig Resourcen für Stabilisierung freihalten

Szenario „Windows 2000 Upgrade auf Windows 2003“ Vorbereiten der Windows 2000 Domäne Dokumentieren der Umgebung HCL und SCL prüfen (ersetzen, upgraden) Recoveryplan erarbeiten Tests in Testumgebung durchführen Active Directory mit Tool ADPrep vorbereiten Empf.: Neuer DC aufsetzen und upgraden Restliche DC upgraden Eventuell „Function Level“ in Windows 2003 Level umstellen Stabilisieren der neuen Umgebung Einführen neuer Funktionen von Windows 2003 Sehr Einfach, da Konzept von W2k für W2003 gültig

Kosten bei Upgrade Umgebung 4 DC 3 einigen Member 2 Sites Zahlen als Beispiel Zweite Säule zusammengefasst Paperwork, Doing, Stabilisierung -> TCO

Nutzen NT4  W2003 Support Active Directory GPO Sites Delegationen Neue Funktionen Höhere Sicherheit Skalierbarkeit Single Logon Stabilität W2k  W2003 Forest Trusts Domain Rename Cached GC Verbessertes Mgmt Intelligentere Synch DC Install ab Media Nutzen sehr individuell Nutzen neuer Funktionen z.B. Forest Trusts Administrationsmodell Administrationsaufwand Sicherheitsanforderungen

Windows 2003 AD erlaubt „Forests Trusts“ „Merge und Split“ Merge Windows 2003 AD erlaubt „Forests Trusts“ Windows 2000 AD erlaubt keine „Forest Trusts“ Restrukturierung ermöglicht auch einen „Merge“ NT 4 Domain durch Upgrade in Forest „mergen“ Split „Split“ durch Restrukturierung „Split“ durch Neuaufbau Trennen durch aufheben von „Forest Trusts“ Kein „Split“ durch Trennung der Verbindungen Wichtig frühzeitig erkennen, planen umsetzen Management sensibilisieren Mehrer Varianten vergleichen

Empfehlungen FITIT NT 4 sollte nach Möglichkeit in diesem Jahr auf Windows 2003 migriert werden Windows 2000 Umgebungen müssen nicht zwingend migriert werden Bei Mergers oder Splits kann Windows 2003 kosten sparen Bei grosse Umgebungen muss geprüft werden ob ein ROI in nützlicher Zeit erreicht wird Bei kleineren Umgebungen müssen eindeutige Vorteile aufgezeigt werden können