AD Intro for Novice

Funktionsbeschreibungen der einzelnen Rollen auf einem Domänenkontroller

Im AD gibt es spezielle Serverrollen die nötig sind um bestimmte Aufgaben zu erfüllen. Diese werden im folgenden beschrieben:

Server für den globalen Katalog

Ein Domänencontroller, der eine Kopie des globalen Katalogs verwaltet und Abfragen verarbeitet. Der globale Katalog ist ein Repository von Informationen. Er speichert die am häufigsten in Abfragen verwendeten Attribute aller Objekte in Active Directory aus der Gesamtstruktur und kann die Position dieser Objekte im Verzeichnis bestimmen. Er zentralisiert und optimiert damit Suchanfragen von Benutzern.

Er ermöglicht außerdem die Benutzeranmeldung mit dem UPN aus anderen Domänen heraus, in der das Benutzerkonto nicht bekannt ist. Bei Anmeldung an einer Domäne im einheitlichen Modus stellt der globale Katalog dem DC, der die Anmeldung verarbeitet, Mitgliedschaftsinformationen der universellen Gruppe zur Verfügung. Steht kein globaler Katalog zur Verfügung, kann sich der Benutzer anhand von zwischengespeicherten Anmeldeinformationen an der Domäne anmelden, wenn er vorher bereits angemeldet war. Ansonsten ist außer für Domänen-Admins nur eine Anmeldung am lokalen Computer möglich.

Der erste in Active Directory erstellte DC wird Server für den globalen Katalog, weitere können hinzugefügt werden.

Einzelmasterbetrieb

Ein Betriebsmaster ist ein DC, der eine Einzelmaster-Betriebsfunktion ausführt. Solche Vorgänge dürfen nicht auf mehreren DCs gleichzeitig auftreten.

Der erste in der Gesamtstruktur erstellte DC übernimmt alle Einzelmaster-Funktionen der Gesamtstruktur und der Stammdomäne. Der erste in einer untergeordneten Domäne erstellte DC übernimmt die domänenbezogenen Einzelmaster-Funktionen. Alle Rollen können auf andere DCs übertragen werden.

Schemamaster

Einer in der Gesamtstruktur.
Steuert alle Aktualisierungen und Änderungen am Schema.
Bei Ausfall können Administratoren keine Änderungen am Schema durchführen, die Benutzer werden nicht beeinträchtigt.
Übertragung in AD-Schema, nur wenn der alte Schema-Master endgültig ausgefallen ist.

Domain Naming Master

Einer in der Gesamtstruktur.
Steuert das Hinzufügen und Entfernen von Domänen.
Bei Ausfall können Administratoren keine Domänen in der Gesamtstruktur erstellen oder entfernen, die Benutzer werden nicht beinträchtigt.
Übertragung in AD-Domänen und Vertrauensstellungen, nur wenn der alte Domain Naming Master endgültig ausgefallen ist.

RID-Master

Einer pro Domäne.
Weist DCs der jeweiligen Domäne RID-Sequenzen zu. Eine RID-Sequenz ist Teil der SID von Benutzer-, Gruppen- und Computer-Objekten. Die SID setzt sich aus der Domänen-SID zusammen, die für alle Objekte in der Domäne gleich ist, und der RID, die innerhalb der Domäne eindeutig ist.
Bei Ausfall können Administratoren keine neuen Objekte erzeugen, wenn der DC alle vorhandenen RIDs aufgebraucht hat. Benutzer werden nicht beinträchtigt.
Übertragung in AD-Benutzer und Computer, nur wenn der alte RID-Master endgültig ausgefallen ist.

PDC-Emulator

Einer pro Domäne.
Arbeitet als Primärer Domänen-Controller in Domänen mit Computern ohne W2k-Client-Software oder mit DCs unter Windows NT 4.0. In einer W2k-Domäne im einheitlichen Modus ist dies der bevorzugte Empfänger von Replikationen von auf anderen DCs ausgeführten Kennwortänderungen. Bei einer fehlgeschlagenen Anmeldung aufgrund eines falschen Kennworts wird zunächst der PDC-Emulator befragt, bevor die Anmeldung abgewiesen wird.
Bei Ausfall werden speziell die Benutzer beeinträchtigt, die nicht mit W2k-Clients arbeiten.
Übertragung in AD-Benutzer und Computer, kann unmittelbar nach Ausfall erfolgen und zurück übertragen werden, wenn der alte PDC-Emulator wieder online ist.

Infrastruktur-Master

Einer pro Domäne.
Aktualisiert die Verweise von Gruppen zu Benutzern bei der Änderung von Gruppenmitgliedschaften und Objektnamen und verteilt die Aktualisierungen über die Replikation.
Sollte auf einem Server liegen, der nicht den globalen Katalog enthält, da sonst Inkonsistenzen bei domänenübergreifenden Verweisen nicht identifiziert werden können. Sollte aber eine gute Verbindung zu einem globalen Katalog haben, möglichst im gleichen Standort,
Ein Ausfall macht sich für Administratoren bemerkbar, die umfangreichere Änderungen in den Gruppenmitgliedschaften durchgeführt haben, die Aktualisierungen werden verzögert. Benutzer werden nicht beinträchtigt.
Übertragung in AD-Benutzer und Computer auf einen Sever, der kein Server für den globalen Katalog sein sollte. Kann später zurück übertragen werden.

Für eine saubere Implementation von Exchange ist es erforderlich sich vor der Installation mit der ActiveDirectory Struktur zu beschäftigen. Insbesondere wenn geplant ist Exchange an unterschiedlichen Standorten zu installieren ist hier dass Design der Netzwerkstruktur inklusive der IP Ranges enorm wichtig! (Subnet/ Sites)
http://support.microsoft.com/kb/164015

http://www.internic.net/

http://www.ip-subnetz-berechnen.de/rechner.html

Functional descriptions of each role on a domain controller

In AD, there are specific server roles that are required to fulfill certain tasks. These are described below:

Hosting the global catalog

    A domain controller that maintains a copy of the global catalog and queries processed. The Global Catalog is a repository of information. It stores the most frequently used in queries attributes of all objects in Active Directory from the forest and can determine the position of these objects in the directory. It centralizes and optimizes queries from users.

    It also allows the user logs out the UPN from other domains in which the account is not known. When logging on to a domain is in native mode, the global catalog to the DC, which handles the registration, membership information to the universal group. If no global catalog available to the user using cached credentials to log on to the domain if he had been previously logged. Otherwise, except for domain admins only one application at the local computer is possible.

    The first created in Active Directory DC is hosting the global catalog, more can be added.
Single-master operation

    An operations master is a DC that is running a single master operation function. Such events may not occur simultaneously on several DCs.

    The first DC created in the forest takes over all individual master functions of the forest and the root domain. The first created in a child domain DC takes on the single master domain-related functions. All roles can be transferred to other DCs.

    Schema Master

        One in the forest.
        Controls all updates and changes to the schema.
        In case of failure, administrators can not make changes to the schema, the users are not affected.
        Transmission in AD schema, only if the old Schema Master is final.

    Domain Naming Master

        One in the forest.
        Controls the addition and removal of domains.
        In case of failure, administrators can create any domains in the forest or remove that users are not affected.
        Transmission in AD Domains and Trusts, only if the Domain Naming Master is definitely old.

    RID Master

        One per domain.
        Points to the respective DCs RID domain sequences. A RID sequence is part of the SID of user, group and computer objects. The SID consists of the domain SID, which is available for all objects in the same domain, and the RID, which is unique within the domain.
        In case of failure, administrators can not create new objects, if the DC has exhausted all available RIDs. Users are not affected.
        Transmission in AD users and computers, only if the old RID Master is final.

    PDC Emulator

        One per domain.
        Works as a Primary Domain Controller in W2K Domain with computers without client software or with DCs in Windows NT 4.0. In a W2K domain in native mode, this is the preferred recipient of replication of password changes performed on other DCs. In a failed login due to an incorrect password is first asked the PDC emulator before the application is rejected.
        In particular, the failure will affect users who do not work with W2k clients.
        Transmission in AD users and computers can take place immediately after failure and transferred back when the old PDC emulator is back online.

    Infrastructure Master

        One per domain.
        Updates references to groups of people with the change of group membership and object names and distributes updates through replication.
        Should be on a server that does not contain the global catalog, because otherwise inconsistencies in cross-domain links can be identified. But if a good connection to have a global catalog, if possible in the same location,
        A failure is noticeable for administrators who have performed more extensive changes in group membership, the updates are delayed. Users are not affected.
        Transmission in AD users and computers on a Sever, who should not be hosting the global catalog. Can later be transferred back.

HINT:

If you plan a to build a Multidomain-Structure the DNS nameresolution and site replication must work well.
If DNS nameresolution does not function properly and site-replication has not be completed the installation of the Exchange Server in the new tree will 100% fail!

Before starting the Exchange Server installation in the new tree make sure nameresolution and DNS structure is 100% working correctly. Site-Links and so on must working error free and correctly.

To make sure anything is correctly reboot the DCs and GlobalCatalog Servers after configuration. Check Eventlogs for problems with DNS or AD replication problems. ( DNS LOG is very important!!!)

Domain structure means an independent namespace in Multi Domain Organisations.

That means the new domain creates a new tree in the existing AD forest .

I will describe the install of an Active Directory-Fullstructure(Forest) with more then one tree.