Active Directory

Van Wikipedia

Active Directory is een eigen implementatie door Microsoft van de directoryservice LDAP combinatie met DNS en Kerberos voor het gebruik in Windows-omgevingen (behalve Windows 95).

Active Directory staat beheerders toe om het beleid (rechten en instellingen) in het netwerk van een volledig bedrijf te beheren. Ook het automatisch installeren van software en patches behoort tot de mogelijkheden. Active Directory slaat instellingen in relatie tot een object centraal op in een database. Een AD-netwerk kan variëren van een netwerk van een paar honderd tot miljoenen objecten.

Een Active Directory bestaat uit:

• Forests
• Domein(en)
• Sites
• Organizational Units (OU)

Active Directory werd geïntroduceerd met Windows 2000 Server. De komst van Windows 2003 Server markeerde een nieuwe versie van Active Directory.

Inhoud 1 Problemen in Windows NT 4.0 2 Domeinen 3 Domain Name System 4 Forests 5 Schema 6 Sites 7 Windows Server 2003

[bewerk] Problemen in Windows NT 4.0

De komst van Active Directory loste een aantal belangrijke problemen in de wereld van Windows NT 4.0 op. Zo was het aantal objecten per domein beperkt tot 64.000, maar in de praktijk was dit bij lange na niet haalbaar. Het gebruikte login protocol NTLM voldeed niet meer aan de eisen van de tijd. Het beheren van meerdere domeinen en vooral de relaties ertussen (trust relations) was zeer complex. De domeindatabase van Windows NT 4.0 kon maar een paar soorten objecten bevatten (gebruikers, computers, lokale en globale groepen). Alle gebruikte protocollen om deze "directory" te benaderen waren niet-standaard. De replicatie binnen een domein over meerdere locaties kostte bovendien bijzonder veel bandbreedte in een tijd dat WAN-verbindingen nog buitengewoon duur waren.

Active Directory loste dit op door een aantal maatregelen. LDAP, DNS en Kerberos (reeds bestaande protocollen) werden geïntroduceerd als standaardprotocollen. Er werd overgestapt op een nieuw type database waarin meer objecten konden worden gehuisvest. Ook het schema werd uitbreidbaar, wat betekende dat er ook nieuwe attributen aan bestaande objecten en zelfs nieuwe soorten objecten toegevoegd konden worden. De inzet van een forest loste in één keer alle problemen op met trust relations tussen domeinen op, terwijl sites de replicatie tussen verschillende locaties verbeterde.

[bewerk] Domeinen

Aan de basis van Active Directory staan domeinen, zoals deze ook in Windows NT 4.0 al bestonden. Waarschijnlijk heeft Microsoft besloten om dit concept door te zetten om backward compatibility met eerdere Windows-versies niet in gevaar te brengen.

Net als in Windows NT zijn domeinen de replicatiegrenzen van (volledige) objecten. Tevens wordt het wachtwoordbeleid nog steeds per domein geregeld. Ook geldt nog steeds dat naam van een object (zoals een gebruikersnaam of een computernaam) uniek moet zijn in het hele domein, ongeacht de plek in de structuur van organizational units.

Er zijn echter belangrijke verbeteringen doorgevoerd in het domein. Het aantal mogelijk objecten in een domein werd vergroot van 64.000 tot vele miljoenen. Het aantal domeinen in een netwerk kan daarmee fors worden teruggebracht t.o.v. een netwerk dat gebaseerd is op Windows NT.

Een domeindatabase is ook niet beperkt tot de soorten objecten die er standaard al inzitten. Het is mogelijk om op een later tijdstip er nieuwe soorten objecten aan toe te voegen of bestaande objecten (bv. gebruikers) uit te breiden met extra attributen. Microsoft Exchange 2000 en hoger maken grif gebruik van die mogelijkheid door bv. user objecten uit te breiden met attributen die vertellen welke e-mailadressen ze hebben en waar hun mailbox te vinden is. (Overigens moet zo'n schema-uitbreiding gedaan worden voor alle domeinen in het forest.)

Objecten kunnen worden onderverdeeld in Organizational Units, waardoor zij overzichtelijker opgeslagen worden. Tevens biedt dat de mogelijkheid om het beheer over die objecten geheel of gedeeltelijk te delegeren naar andere beheerders. Tenslotte bieden organzational units de mogelijkheid om Group Policy's zeer flexibel in te zetten.

Een belangrijk verschil met Windows NT 4.0 is de multi-master replicatie. Dit laatste vermindert het belang van de PDC omdat wijzigingen in objecten nu in iedere domain controller gedaan kunnen worden, waarna ze gerepliceerd kunnen worden naar de andere domain controllers.

Ieder domein heeft minimaal 1 domain controller, een domain controller kan maximaal 1 domain database bevatten. Wel bestaan er domain controllers die een subset van alle objecten uit alle andere domeinen bevatten. Zo'n domain controller heet een Global Catalog. De Global Catalog is noodzakelijk voor alle login verkeer.

[bewerk] Domain Name System

Omdat Windows Internet Naming System (WINS) zijn beperkingen had, wordt in Active Directory het al bestaande protocol DNS gebruikt om computernamen in IP-adressen om te zetten. De keuze voor DNS betekende daarnaast een definitieve breuk met de netwerkprotocollen IPX/SPX en NetBEUI. TCP/IP, toch al defacto standaard in netwerkland, is noodzakelijk voor Active Directory.

De naamgeving voor domeinen in Active Directory werd daardoor domein.nl, maar ook namen als sub.domein.nl, sub2.domein.nl, domein.be of sub.sub.domein.nl zijn mogelijk.

Voor backward compatibility wordt NetBIOS nog wel ondersteund.

[bewerk] Forests

Forests zijn het geheel van domeinen. Alle domeinen binnen een forest vertrouwen elkaar direct of indirect. Alle domeinen in een forest kunnen dezelfde soort objecten huisvesten (ze hebben hetzelfde schema). De namen van domeinen worden allemaal bepaald volgens het domain name system.

Begonnen wordt met een root domein. Deze kan iedere willekeurige naam hebben, maar gebruikelijk is iets als domain.local.

[bewerk] Schema

Het schema definieert welke soorten objecten er opgenomen kunnen worden in de domeindatabases en welke attributen er in ieder object zitten. Waren er in NT4.0 maar vier soorten objecten mogelijk (gebruikers, lokale en globale groepen en computers), bij Active Directory werden dat er direct enkele tientallen. Voorbeelden van nieuwe objecten zijn Contacts, Group Policy Objects, Sites, Site Links, Printers en natuurlijk Organizational Units.

Bij de installatie van Exchange 2000 of 2003 of ISA Server Enterprise Edition wordt het schema verder uitgebreid. Zo worden er aan de User-objecten attributen toegevoegd die vastleggen op welke Exchange Server zich de mailbox bevindt en wat de e-mailaliassen zijn.

[bewerk] Sites

Om de hoeveelheid replicatie- en loginverkeer over het WAN te verminderen kunnen sites gedefinieerd worden. Eenvoudig gezegd is een Site een LAN, maar het kunnen ook meerdere LAN's zijn die onderling met snelle verbindingen gekoppeld zijn. Tussen Sites liggen altijd trage of dure lijnen. De site wordt gedefinieerd door een of meer IP-subnetten. Een client die inlogt, zal altijd op zoek gaan naar een domain controller in de eigen site. Daardoor kan het login verkeer (authenticatie, uitdelen van group policy's) binnen de eigen site blijven en blijven de WAN-verbindingen vrij.

Domain controllers binnen een site repliceren onderling. Voor het replicatieverkeer naar een andere site is steeds één domain controller verantwoordelijk, in tegenstelling tot de backup domain controllers in Windows NT 4.0. Daardoor hoeft de informatie uit andere sites slechts eenmaal over de WAN-verbinding.

Ook DFS-clients maken gebruik van sites. Een DFS-client zal altijd op zoek gaan naar een replica in de eigen site of een naburige site.

[bewerk] Windows Server 2003

De komst van Windows Server 2003 bracht een aantal verbeteringen in Active Directory ten opzichte van Windows 2000.

Een belangrijke verbetering was het feit dat meerdere wijzigingen op verschillende domain controllers op een zgn. multivalue attribute nu correct gerepliceerd werden. Daardoor werd het mogelijk dat verschillende beheerders op verschillende domain controllers gelijktijdig de lidmaatschappen van een groep kon aanpassen (gebruikers toevoegen en verwijderen). In Windows 2000 Werd het multivalue-attribute Members als één geheel gerepliceerd, waardoor de wijziging van een van beide beheerders weggerepliceerd werd. Met ingang van Windows Server 2003 werd het mogelijk om ook de losse onderdelen van een multivalue attribute gerepliceerd konden worden, waardoor beide beheerders hun wijzigingen ook na replicatie konden terug zien.