Deel 4 Active Directory inleiding - Telenetusers.telenet.be/force/Server/Syntra Cursus Srv Mod4...
Transcript of Deel 4 Active Directory inleiding - Telenetusers.telenet.be/force/Server/Syntra Cursus Srv Mod4...
Deel 4 Active Directory inleiding
� 1 Wat is AD?1 Wat is AD?1 Wat is AD?1 Wat is AD?
� 2 2 2 2 Structuur Structuur Structuur Structuur van AD?van AD?van AD?van AD?
� 3 Domain Controllers3 Domain Controllers3 Domain Controllers3 Domain Controllers
� 4 Verschil met werkgroep4 Verschil met werkgroep4 Verschil met werkgroep4 Verschil met werkgroep
� 5 5 5 5 InstallInstallInstallInstall van een nieuw domainvan een nieuw domainvan een nieuw domainvan een nieuw domain
� 6 AD Consoles6 AD Consoles6 AD Consoles6 AD Consoles
� Active Directory (AD) staat beheerders toe om het beleid (rechten en instellingen) in het netwerk van een volledig bedrijf te beheren.
� Active Directory slaan instellingen in relatie tot een object centraal op in een database.
� Een AD-netwerk kan variëren van een netwerk van een paar honderd tot miljoenen objecten => zeer schaalbaar…
� Active DirectoryActive DirectoryActive DirectoryActive Directory een Directory Service: eeneigen implementatie door Microsoft van:
� LDAP
� DNS
� Keberos
� Directoryservices worden vooral toegepast in netwerken, waar netwerkbeheerders informatie over netwerkgebruikers en netwerkbronnen (bv. netwerkschijven of printers) moeten beheren.
� Een Directory Service staat gegevens van een computer netwerk op in een hiërarchisch structuur en in een database.
� AD wordt geslagen in een database en om die database te raadplegen gebruikt Microsoft LDAP.
� LightweightLightweightLightweightLightweight Directory Access ProtocolDirectory Access ProtocolDirectory Access ProtocolDirectory Access Protocol is het netwerkprotocol dat beschrijft hoe gegevens uit directory service benaderd moeten worden over TCP/IP.
� 3rd party toestellen kunnen via LDAP de AD benaderen.
� DNS is zeer belangrijk voor AD. Geen AD zonderDNS!
� DNS wordt gebruikt voor name resolution en voorde Domain naam van Active Directory.
� Een Domain naam van Active directory is een DNS Domain naam. Domain kunnen subdomainenhebben enz… Bv: AD domainnaam syntra.local of gent.xlvideo.local
� Kerberos is een standaard authenticatie protocol.
� Gebruikers van een netwerk zich op een veilige manier kunnen aanmelden en hun identiteit kunnen bewijzen, zonder zich telkens opnieuw te moeten aanmelden.
� Kerberos maakt een beperkte vorm van Single Sing-on mogelijk.
� Een Active Directory domain bestaat uit:
� Objects
� Domain (en) Sites
� Forests
� Organisational Units (OU)
� De meeste objecten in AD zijn:
� USERS� COMPUTERS� SECURITY GROUPS
� Elk object is een verschillend en zijn uniek. Ze hebben een SID of Security Identifier.
� Active Directory Schema.
� Alle objecten worden opgeslagen in 1 database. Dat is een AD DOMAIN.
� Die Domain naam is een DNS naam.
� Dus een Domain kan evenals in DNS Subdomains hebben. Die subdomains hebben een aparte database.
� Tussen de domains onderling wordt er een Parent – Child Trust gelegd. Zo kan een gebruiker aanloggen als hij op een computer zit van een subdomain.
� Sites wordt gebruikt om AD in een geo-grafische structuur te gieten.
� Sites bestaan uit verschillende subnets.
� Forest zijn verschillen de AD domain trees naast elkaar. Ook tussen domain trees heb je een Forest Trust.
� Domain Controllers (DC) zijn servers die een Active Directory database hebben.
� Een domain kan verschillende Domain Controllers hebben.
� De database wordt onderling tussen DC’s van het domain gerepliceerd.
� Een nieuw (sub)domain = een nieuwe DC!!!
� Hosten van AD en repliceren naar andere DC’s
� Aanmelden van gebruikers
� Beheren van alle objecten, OU in een domain
� Security
� Best Practice: zorg voor minimum 2 DC’s indien mogelijk
� Elke DC houdt alle info bij van het domain waar hij onderdeel van is.
� Er zijn DC’s die alle info bijhouden van alle objecten in een forest. Deze info is wel niet volledig.
� Een Global Catalog heeft een volledige replica van zijn domain en een partieel replica van de andere domains/forests.
� 1ste DC van een domain is een Global Catalog! De 2de niet.
� FSMO of Flexible Single Master Operation.
� Wordt ook Operation Masters genoemd.
� Is een verdere onderverdeling van DC binnen een forest. Deze zal je vinden bij grotere structuren.
� Schema Master – Domain Naming Master –Relative ID Master – PDC Master – InfrastructureMaster
� Alle computers zijn peers. Er zijn geen computers die de controle over andere computers hebben.
� Elke computer heeft een set gebruikersaccounts. Als u een computer in de werkgroep wilt gebruiken, moet u een account op die computer hebben.
� Een werkgroep bevat meestal niet meer dan tien tot twintig computers. Normaal max 10!!!
� Alle computers moeten zich in hetzelfde lokale netwerk of subnet bevinden.
� Het belangrijkste verschil tussen werkgroepen en domeinen is de manier waarop bronnen in het netwerk worden beheerd.
� Computers in thuisnetwerken maken meestal deel uit van een werkgroep en computers in bedrijfsnetwerken maken meestal deel uit van een domein.
� Een server wordt gepromoveerd tot Domain Controller.
� In win2k8 => rol installeren van Active Directory Domain Services
� Effectieve promotie gaat via het commando: DCPROMO
� Win2k3 kan je gewoon DCPROMO uitvoeren.
� En dan nu:
� DCPROMO
� Via console of via command line
� Netbios wordt vooral door oudere windowssystemen gebruiken hun netwerk. Maar zelfs nu nog, wordt netbios ondersteund.
� vooral voor werkgroepen! Kan niet gebruikt worden in grote netwerken.
� Poorten: UDP 137 , TCP 139 en UDP 138
� Is ontwikkeld begin de jaren 80!
� Naamgeving
� Elke PC heeft een netbios naam die bestaat uit max 15 characters. � DNS voor windowsdomainen.
� In het onderdeel: Netwerk of Netwerk-omgeving staan de Netbios namen.
� WINS en Werkgroepnamen
� Datacommunicatie
� Wordt SMB genoemd (Server Message Block) � SMB wordt door windows gebruikt via TCP/IP en DNS ipv Netbios namen.
� Services: Server en Workstation
� Bestanden wordt gedeeld en worden gelockedals ze open staan.
� Verschillende versies SMB 1.0, SMB 2.0 en 2.1
� Elke Windows server familie heeft AD compabiliteit met zijn vorige versies.
� AD heeft een probleem als er een nieuwe DC wordt geïnstalleerd met een recentere versie van Windows!!!!
� Hou daar rekening mee!
� Native Mode � Mixed Mode
� Concreet kan een Windows 2003 domain wel Windows 2k8 DC hebben.
� => dan moet het domain gewijzigd worden om Windows 2008 AD te ondersteunen. Er is een command line tool op de Windows 2k8 disk: ADPREP
� ADPREP /ADPREP /ADPREP /ADPREP /forestprepforestprepforestprepforestprep must be run on the Schema Master of a forest
� ADPREP ADPREP ADPREP ADPREP ////domainprepdomainprepdomainprepdomainprep must be run on the Infrastructure Master of a domain
� Allemaal te vinden onder systeembeheer of Administrative Tools. Ze zijn MMC consoles.
� Active Directory Users and Computers
� Active Directory Sites and Services
� Active Directory Domains and Trust
� Deze console wordt gebruikt op alle objecten van de AD te beheren.
� Users/Computers/Security Groups/Contacts
� Deze worden in verschillende OU (Organisational Units) gestoken om het overzichtelijk te maken.
� Deze console wordt gebruikt om:
� - replicatie in te stellen tussen DC en Sites
� - Sites aan te maken (geographisch) met hun netwerken
� - Global Catalogs en Licentie servers toe te wijzen
� Deze console wordt gebruikt op Trust tussen Forest/domain in te stellen.
� Tip: Vergeet geen forwarder in te stellen naar de dns server van de andere domains
� Is zeker mogelijk!
� Ook via de DCPROMO.
� Tip: Goed opletten voor dat het vinkje niet aan staat bij “last domain controller…” als er nog andere DC’s zijn!