Egal, um welchen Dienst es sich dreht, den Benutzern geht es immer zu langsam. Der Schwerpunkt des ADMIN-Magazins 05/2011 verrät, mit welchen Tools man ... (mehr)

Hierarchie

Die Hierarchie der Active-Directory-Datenbank ist anders strukturiert als bei LDAP. Beim AD steht an der Wurzel des Verzeichnisdienstes der Active Directory Forest, der die Gesamtstruktur sämtlicher Objekte im AD inklusive der zugehörigen Attribute, Regeln und Container enthält. Der Wald kann mehrere transitiv verknüpfte Bäume enthalten, wobei jeder Baum eine oder mehrere Domänen in je einem Verzeichnis verwaltet, die in der Hierarchie ebenfalls transitiv verknüpft sind [4].

Dabei benutzt das Active Directory zur Benennung der Domänen das DNS-System mit seinem definierten Namensraum. In der Domäne gibt es wiederum Organisationseinheiten (OU). Das sind Container-Objekte zum Gruppieren anderer Objekte im AD. Eine OU kann neben Objekten auch andere OUs enthalten. Ein weiteres Organisationsmerkmal im Active Directory sind Standorte, eine physische Gruppierung eines oder mehrerer logischer IP-Subnetze. Standorte dienen im AD vor allem der Optimierung der Replikation, weil sie physisch mit unterschiedlichen Unternehmensstandorten korrespondieren, die untereinander durch langsame Netzwerktechnologien wie WAN oder VPN verbunden sind. Dabei können Domänen Standorte enthalten, aber auch Standorte Domänen.

Die Planung der AD-Struktur ist entscheidend für die Funktion des Verzeichnisdienstes, insbesondere weil spätere Änderungen einen hohen Aufwand bedeuten. In der Praxis hat sich eine Aufteilung nach geografischen Standorten, Aufgaben oder IT-Rollen beziehungsweise eine Kombination aus diesen Modellen bewährt.

Weitere Bestandteile

Active Directory basiert nicht nur auf LDAP und DNS, sondern auch auf CIFS und Kerberos. Bei CIFS handelt es sich um ein Protokoll für Druck- und Dateidienste, das in der Unix-Welt beispielsweise von Samba implementiert wird. Kerberos dient im AD zur Authentifizierung und vergibt dazu Ticket Granting Tickets (TGT). Ein TGT autorisiert einen Benutzer zum Erhalt eines Service Tickets für einen Netzwerkdienst. Der gesamte Authentifizierungs-Vorgang läuft dabei nach einmaliger Passwortabfrage im Hintergrund ab.

Microsofts DNS-Implementierung nutzt SRV-Records. Mit dem SRV-Service (Service Resource Records) lässt sich über das DNS kommunizieren, welche IP-basierenden Dienste (Services) in einer Domain angeboten werden. Außerdem liefert der SRV-Record zu jedem Dienst zusätzliche Informationen wie etwa den betreffenden Server-Namen.

Active Directory speichert sämtliche Informationen in einer Jet-Blue-Datenbank, die der Microsoft Jet Engine entstammt, einem transaktionsorientierten relationalen RDBMS, das Write-Ahead-Logging benutzt. Die Datenbankdatei »NTDS.DIT« enthält die drei Haupttabellen »schema table« zum Speichern der Schemas, »link table« für die Objekt-Struktur und »data table« für die eigentlichen Daten. Dabei sorgt die ESE98-Datenbank-Engine (Extensible Storage Engine) dafür, die hie-rarchischen AD-Daten in ein relationales Datenmodell umzusetzen.

comments powered by Disqus

Artikel der Woche

Eigene Registry für Docker-Images

Wer selber Docker-Images herstellt, braucht auch eine eigene Registry. Diese gibt es ebenfalls als Docker-Image, aber nur mit eingeschränkter Funktionalität. Mit einem Auth-Server wird daraus ein brauchbares Repository für Images. (mehr)
Einmal pro Woche aktuelle News, kostenlose Artikel und nützliche ADMIN-Tipps.
Ich habe die Datenschutzerklärung gelesen und bin einverstanden.

Konfigurationsmanagement

Ich konfiguriere meine Server

  • von Hand
  • mit eigenen Skripts
  • mit Puppet
  • mit Ansible
  • mit Saltstack
  • mit Chef
  • mit CFengine
  • mit dem Nix-System
  • mit Containern
  • mit anderer Konfigurationsmanagement-Software

Google+

Ausgabe /2019