1
Teil 3
Active Directory
2
Was ist ein „Active Directory“?
• Hierarchischer Verzeichnisdienst • Datenbank (gleiche DB wie Exchange ESE)• Schema (1 Schema pro Forest)• Replikationsmechanismus (Multiple Master DB)• Abfragemechanismus (LDAP auf GC oder ADS)• Integrierte Sicherheitsmechanismen (Kerberos)
3
Logische Struktur eines „Active Directory“
Stamm
Domänenet1.ch
Domäneedu.net1.ch
Domänenet2.com
Domäneus.net2.com
Domäneeu.net2.com
Struktur (Tree)
Gesamtstruktur (Forest)
Struktur (Tree)
Organisatorische Einheit (OU)
4
Physische Struktur eines „Active Directory“
10.10.10.0 10.10.11.0
10.10.12.0
Policy Bern Policy Basel
Policy Lugano
Standort Bern Standort Basel
Standort Lugano
Replikation
ReplikationReplikation
5
FSMO (Flexible single master operations)
Stamm
Domänenet1.ch
Domäneedu.net1.ch
Domänenet2.com
Domäneus.net2.com
Domäneeu.net2.com
Struktur (Tree)
Forest
Tree
Schema MasterDomain Naming Master
RID MasterPDC Emulator
Pro Domäne
Pro Forest
Infrastructure Master(Global Catalog nicht IM)
6
Verbesserungen im AD allgemein
• „Forest Trusts“• „Universal Group Membership Caching“• Verbesserung der Replikationsmechanismen• Neu gibt es Applikationsspezifische AD-Partitionen• Blocken von Benutzerzugriffe zwischen
Domänen und Forests • „Secure LDAP“-Verkehr einschaltbar
7
Verbesserungen im AD bei der Administrierung
• Einfachere Administration dank Verbesserung der Managementkonsole
• Abfragebezogene Gruppen • Erweiterung der „Group Policies“• Es werden neue „Command-line Tools“ bereitgestellt• Hinzufügen von DC mittels Backupmedien• „Domain Controller Renaming Tool“• „Domain Renaming“/ „Forest Restructuring“
Remote Connect
8
Spezielle Betrachtung
Domain Renaming und Forest Restructuring
9
Voraussetzungen für „Domain Renaming“
• Im Forest darf kein Exchange 2000 oder höher installiert sein!
• Alle DC im Forest müssen Windows 2003 DC sein!• Forest Function Level Windows Server 2003• DFS Rootserver müssen mindestens Windows 2000
SP 3 aufweisen• Alle DC müssen „rebootet“ werden können• Alle Member müssen zweimal „rebootet“ werden
können• Backup aller Domain Controller (Desaster Recovery)
10
Domain Renaming, Forest Restructuring
Stamm
Domänenet1.ch
Domäneedu.net1.ch
DomäneExchangenet2.com
Domäneus.net2.com
11
Domain Renaming, Forest Restructuring
Stamm
Domänenet1.ch
Domäneedu.net1.ch
Domänenet2.com
Domäneus.net2.com
Domäneedu.net2.com
Rename Prozess
12
Fazit
• Keinen grossen „Impact” auf das Konzept eines „Active Directory“
• Umbenennen einer Domäne bedingt möglich• Verbesserungen der Administration• Schlankere Replikation• Migration von NT4 sollte unbedingt auf
Windows Server 2003 erfolgen
13
Warum ein „Active Directory“?
• Microsoft bietet nur noch das AD an• Zentrale Datenhaltung mit einheitlicher Schnittstelle• Einheitliche Verwaltung• Abbildung von Hierarchien und Standorten• Möglichkeit Administrativaufgaben zu delegieren• Integriertes Management der Client über GPO• Integrierte Sicherheit• „Single Logon“• Exchange 2000 und 2003 nur mit AD möglich
14
Migrationsszenarien
• NT 4 Windows 2000 Windows Server 2003 • NT 4 Windows Server 2003• Windows 2000 Windows Server 2003
Es kommt ein Upgrade oder eine Restrukturierung
in Frage.
Wann soll wie vorgegangen werden?
15
Restrukturierung (alles neu)
PDC
Member
DC
DC
Objekte verschieben
Tools: MS ADMT, NetDom, MoveTree, Fastlane usw.
16
Restrukturierung (alles neu)
• Zusätzliche Hardware nötig• Alle Objekte müssen gezügelt werden• Parallelbetrieb der zwei Systeme während Migration• Neue Namen für die Domäne können gewählt werden• Umstrukturierung und Vereinfachung ist möglich • Fallbackszenario leichter möglich, da die alte
Umgebung parallel betrieben wird• Viel Aufwand während der Migration und in der
Stabilisierungsphase
17
Szenario Restrukturierung
• Ist- / Soll- Aufnahme• Konzept und Detailspezifikation • Migrationsszenario für Objekte und Dienste• Recoveryplan ausarbeiten und testen• Schulung der Administratoren• Neue Umgebung aufbauen• Testen Migration der Objekte und Dienste• Information der Benutzer• Migrieren in Schritten oder „big bang“• Stabilisieren der Umgebung
18
Upgrade (in Place)
SDSD
PDC
BDC1
BDCTemp
DC
DC
19
Upgrade (in Place)
• Bestehende Infrastruktur weiterverwenden• Alle Objekte bleiben in IST-Zustand erhalten• Reorganisation nicht oder nur beschränkt möglich• Erhöhte Risiken, da die bestehende Umgebung
verändert wird• Fallbackszenario muss klar definiert und getestet
werden• Kleinerer Aufwand, schnellere Einführung• Kein Parallelbetrieb zweier Umgebungen
20
Szenario „NT4 Upgrade auf W2k dann Windows 2003“
• Vorteile- Mehr Erfahrung mit Windows 2000
• Nachteile- Mehr Aufwand für Konzepte und Spezifikationen- Doppelter Aufwand für Installation- Doppelte Stabilisierungsphase- Voller Funktionsumfang erst am Ende vorhanden- Bekannte „Bugs“ von W2k müssen beachtet
werden
Deshalb empfehlen wir den direkten Upgrade auf Windows Server 2003!
21
Szenario „NT4 Upgrade auf Windows 2003“
• Vorbereiten der NT 4 Domäne - Dokumentieren der Umgebung- HCL und SCL prüfen (ersetzen, upgraden)- PDC und BDC min. 4 GB System Partition- Bereinigungen durchführen - DNS und Netzwerkeinstellungen verifizieren
22
Szenario „NT4 Upgrade auf Windows 2003“
• Design für AD konzipieren• Recoveryplan erarbeiten• Tests in Testumgebung durchführen• Administratoren schulen• Empf.: Neuer BDC aufsetzen und wegschliessen• Empf.: Neuer PDC aufsetzen und upgraden• Restliche BDC upgraden• Eventuell „Function Level“ in Windows 2003 Level
umstellen• OU, GPO und Delegationen umsetzen• Stabilisieren der neuen Umgebung• Einführen neuer Funktionen von Windows 2003
23
Szenario „Windows 2000 Upgrade auf Windows 2003“• Vorbereiten der Windows 2000 Domäne
- Dokumentieren der Umgebung- HCL und SCL prüfen (ersetzen, upgraden)
• Recoveryplan erarbeiten• Tests in Testumgebung durchführen• Active Directory mit Tool ADPrep vorbereiten• Empf.: Neuer DC aufsetzen und upgraden• Restliche DC upgraden• Eventuell „Function Level“ in Windows 2003 Level
umstellen• Stabilisieren der neuen Umgebung• Einführen neuer Funktionen von Windows 2003
24
Kosten bei Upgrade
0
50
100
150
200
250
300
350
400
NT4 NT4 W2k W2k
Stabilisierung
Migration
Schulung
Dokumentation
Detailspez
Konzept
Analyse
25
Nutzen
NT4 W2003
• Support• Active Directory
– GPO– Sites– Delegationen
• Neue Funktionen• Höhere Sicherheit• Skalierbarkeit• Single Logon• Stabilität
W2k W2003
• Forest Trusts• Domain Rename• Cached GC• Verbessertes Mgmt• Intelligentere Synch• DC Install ab Media
26
„Merge und Split“
Merge• Windows 2003 AD erlaubt „Forests Trusts“• Windows 2000 AD erlaubt keine „Forest Trusts“ • Restrukturierung ermöglicht auch einen „Merge“• NT 4 Domain durch Upgrade in Forest „mergen“
Split• „Split“ durch Restrukturierung• „Split“ durch Neuaufbau• Trennen durch aufheben von „Forest Trusts“• Kein „Split“ durch Trennung der Verbindungen
27
Empfehlungen FITIT
• NT 4 sollte nach Möglichkeit in diesem Jahr auf Windows 2003 migriert werden
• Windows 2000 Umgebungen müssen nicht zwingend migriert werden
• Bei Mergers oder Splits kann Windows 2003 kosten sparen
• Bei grosse Umgebungen muss geprüft werden ob ein ROI in nützlicher Zeit erreicht wird
• Bei kleineren Umgebungen müssen eindeutige Vorteile aufgezeigt werden können