1

Teil 3

Active Directory

2

Was ist ein „Active Directory“?

• Hierarchischer Verzeichnisdienst • Datenbank (gleiche DB wie Exchange ESE)• Schema (1 Schema pro Forest)• Replikationsmechanismus (Multiple Master DB)• Abfragemechanismus (LDAP auf GC oder ADS)• Integrierte Sicherheitsmechanismen (Kerberos)

3

Logische Struktur eines „Active Directory“

Stamm

Domänenet1.ch

Domäneedu.net1.ch

Domänenet2.com

Domäneus.net2.com

Domäneeu.net2.com

Struktur (Tree)

Gesamtstruktur (Forest)

Struktur (Tree)

Organisatorische Einheit (OU)

4

Physische Struktur eines „Active Directory“

10.10.10.0 10.10.11.0

10.10.12.0

Policy Bern Policy Basel

Policy Lugano

Standort Bern Standort Basel

Standort Lugano

Replikation

ReplikationReplikation

5

FSMO (Flexible single master operations)

Stamm

Domänenet1.ch

Domäneedu.net1.ch

Domänenet2.com

Domäneus.net2.com

Domäneeu.net2.com

Struktur (Tree)

Forest

Tree

Schema MasterDomain Naming Master

RID MasterPDC Emulator

Pro Domäne

Pro Forest

Infrastructure Master(Global Catalog nicht IM)

6

Verbesserungen im AD allgemein

• „Forest Trusts“• „Universal Group Membership Caching“• Verbesserung der Replikationsmechanismen• Neu gibt es Applikationsspezifische AD-Partitionen• Blocken von Benutzerzugriffe zwischen

Domänen und Forests • „Secure LDAP“-Verkehr einschaltbar

7

Verbesserungen im AD bei der Administrierung

• Einfachere Administration dank Verbesserung der Managementkonsole

• Abfragebezogene Gruppen • Erweiterung der „Group Policies“• Es werden neue „Command-line Tools“ bereitgestellt• Hinzufügen von DC mittels Backupmedien• „Domain Controller Renaming Tool“• „Domain Renaming“/ „Forest Restructuring“

Remote Connect

8

Spezielle Betrachtung

Domain Renaming und Forest Restructuring

9

Voraussetzungen für „Domain Renaming“

• Im Forest darf kein Exchange 2000 oder höher installiert sein!

• Alle DC im Forest müssen Windows 2003 DC sein!• Forest Function Level Windows Server 2003• DFS Rootserver müssen mindestens Windows 2000

SP 3 aufweisen• Alle DC müssen „rebootet“ werden können• Alle Member müssen zweimal „rebootet“ werden

können• Backup aller Domain Controller (Desaster Recovery)

10

Domain Renaming, Forest Restructuring

Stamm

Domänenet1.ch

Domäneedu.net1.ch

DomäneExchangenet2.com

Domäneus.net2.com

11

Domain Renaming, Forest Restructuring

Stamm

Domänenet1.ch

Domäneedu.net1.ch

Domänenet2.com

Domäneus.net2.com

Domäneedu.net2.com

Rename Prozess

12

Fazit

• Keinen grossen „Impact” auf das Konzept eines „Active Directory“

• Umbenennen einer Domäne bedingt möglich• Verbesserungen der Administration• Schlankere Replikation• Migration von NT4 sollte unbedingt auf

Windows Server 2003 erfolgen

13

Warum ein „Active Directory“?

• Microsoft bietet nur noch das AD an• Zentrale Datenhaltung mit einheitlicher Schnittstelle• Einheitliche Verwaltung• Abbildung von Hierarchien und Standorten• Möglichkeit Administrativaufgaben zu delegieren• Integriertes Management der Client über GPO• Integrierte Sicherheit• „Single Logon“• Exchange 2000 und 2003 nur mit AD möglich

14

Migrationsszenarien

• NT 4 Windows 2000 Windows Server 2003 • NT 4 Windows Server 2003• Windows 2000 Windows Server 2003

Es kommt ein Upgrade oder eine Restrukturierung

in Frage.

Wann soll wie vorgegangen werden?

15

Restrukturierung (alles neu)

PDC

Member

DC

DC

Objekte verschieben

Tools: MS ADMT, NetDom, MoveTree, Fastlane usw.

16

Restrukturierung (alles neu)

• Zusätzliche Hardware nötig• Alle Objekte müssen gezügelt werden• Parallelbetrieb der zwei Systeme während Migration• Neue Namen für die Domäne können gewählt werden• Umstrukturierung und Vereinfachung ist möglich • Fallbackszenario leichter möglich, da die alte

Umgebung parallel betrieben wird• Viel Aufwand während der Migration und in der

Stabilisierungsphase

17

Szenario Restrukturierung

• Ist- / Soll- Aufnahme• Konzept und Detailspezifikation • Migrationsszenario für Objekte und Dienste• Recoveryplan ausarbeiten und testen• Schulung der Administratoren• Neue Umgebung aufbauen• Testen Migration der Objekte und Dienste• Information der Benutzer• Migrieren in Schritten oder „big bang“• Stabilisieren der Umgebung

18

Upgrade (in Place)

SDSD

PDC

BDC1

BDCTemp

DC

DC

19

Upgrade (in Place)

• Bestehende Infrastruktur weiterverwenden• Alle Objekte bleiben in IST-Zustand erhalten• Reorganisation nicht oder nur beschränkt möglich• Erhöhte Risiken, da die bestehende Umgebung

verändert wird• Fallbackszenario muss klar definiert und getestet

werden• Kleinerer Aufwand, schnellere Einführung• Kein Parallelbetrieb zweier Umgebungen

20

Szenario „NT4 Upgrade auf W2k dann Windows 2003“

• Vorteile- Mehr Erfahrung mit Windows 2000

• Nachteile- Mehr Aufwand für Konzepte und Spezifikationen- Doppelter Aufwand für Installation- Doppelte Stabilisierungsphase- Voller Funktionsumfang erst am Ende vorhanden- Bekannte „Bugs“ von W2k müssen beachtet

werden

Deshalb empfehlen wir den direkten Upgrade auf Windows Server 2003!

21

Szenario „NT4 Upgrade auf Windows 2003“

• Vorbereiten der NT 4 Domäne - Dokumentieren der Umgebung- HCL und SCL prüfen (ersetzen, upgraden)- PDC und BDC min. 4 GB System Partition- Bereinigungen durchführen - DNS und Netzwerkeinstellungen verifizieren

22

Szenario „NT4 Upgrade auf Windows 2003“

• Design für AD konzipieren• Recoveryplan erarbeiten• Tests in Testumgebung durchführen• Administratoren schulen• Empf.: Neuer BDC aufsetzen und wegschliessen• Empf.: Neuer PDC aufsetzen und upgraden• Restliche BDC upgraden• Eventuell „Function Level“ in Windows 2003 Level

umstellen• OU, GPO und Delegationen umsetzen• Stabilisieren der neuen Umgebung• Einführen neuer Funktionen von Windows 2003

23

Szenario „Windows 2000 Upgrade auf Windows 2003“• Vorbereiten der Windows 2000 Domäne

- Dokumentieren der Umgebung- HCL und SCL prüfen (ersetzen, upgraden)

• Recoveryplan erarbeiten• Tests in Testumgebung durchführen• Active Directory mit Tool ADPrep vorbereiten• Empf.: Neuer DC aufsetzen und upgraden• Restliche DC upgraden• Eventuell „Function Level“ in Windows 2003 Level

umstellen• Stabilisieren der neuen Umgebung• Einführen neuer Funktionen von Windows 2003

24

Kosten bei Upgrade

0

50

100

150

200

250

300

350

400

NT4 NT4 W2k W2k

Stabilisierung

Migration

Schulung

Dokumentation

Detailspez

Konzept

Analyse

25

Nutzen

NT4 W2003

• Support• Active Directory

– GPO– Sites– Delegationen

• Neue Funktionen• Höhere Sicherheit• Skalierbarkeit• Single Logon• Stabilität

W2k W2003

• Forest Trusts• Domain Rename• Cached GC• Verbessertes Mgmt• Intelligentere Synch• DC Install ab Media

26

„Merge und Split“

Merge• Windows 2003 AD erlaubt „Forests Trusts“• Windows 2000 AD erlaubt keine „Forest Trusts“ • Restrukturierung ermöglicht auch einen „Merge“• NT 4 Domain durch Upgrade in Forest „mergen“

Split• „Split“ durch Restrukturierung• „Split“ durch Neuaufbau• Trennen durch aufheben von „Forest Trusts“• Kein „Split“ durch Trennung der Verbindungen

27

Empfehlungen FITIT

• NT 4 sollte nach Möglichkeit in diesem Jahr auf Windows 2003 migriert werden

• Windows 2000 Umgebungen müssen nicht zwingend migriert werden

• Bei Mergers oder Splits kann Windows 2003 kosten sparen

• Bei grosse Umgebungen muss geprüft werden ob ein ROI in nützlicher Zeit erreicht wird

• Bei kleineren Umgebungen müssen eindeutige Vorteile aufgezeigt werden können