Am 14. September 2017 haben wir eine überarbeitete Fassung unserer Datenschutzrichtlinie veröffentlicht. Wenn Sie video2brain.com weiterhin nutzen, erklären Sie sich mit diesem überarbeiteten Dokument einverstanden. Bitte lesen Sie es deshalb sorgfältig durch.

MCSA 70-412 (Teil 5) Windows Server 2012 R2-Active Directory-Infrastruktur konfigurieren

Active Directory-Umgebungen mit mehreren Domänen

LinkedIn Learning kostenlos und unverbindlich testen!

Jetzt testen Alle Abonnements anzeigen
Machen Sie sich in diesem Video mit dem Konzept der Active Directory-Umgebungen mit mehreren Domänen vertraut.
09:44

Transkript

Das Konzept zu Active Directory-Umgebungen mit mehreren Domänen ist das Thema in diesem Video. Die Domäne ist der Kern einer Active Directory-Umgebung. Sie muss aus mindestens einem Domänencontroller bestehen, da die Domäne ohne einen Domänencontroller nicht arbeitsfähig ist. Dazu werden zum Beispiel in einem produktiven Umfeld aus Redundanzgründen mindestens zwei DCs implementiert. Es gibt aber auch die Situation, dass das Unternehmen mit einer größeren Anzahl Mitarbeiter die Domänenstruktur aufteilt und entsprechend mehrere Domänen implementiert. Dazu werden dann zum Beispiel untergeordnete Domänen eingesetzt. Die Domänen bleiben jeweils eigenständige Verwaltungszonen. Es werden automatisch transitive Vertrauensstellungen zwischen den Domänen eingerichtet und die Domäne kann einen einheitlichen Namensraum enthalten. Das muss aber nicht immer zwingend notwendig sein. Sie sehen, hier haben wir eine untergeordnete Domäne. Diese hat den weiterführenden Namen der übergeordneten Domäne. Das sehen wir sehr schön: Die Domäne bern.corp.int hat den übergeordneten Namen in seiner Domäne enthalten. Warum eine untergeordnete Domäne? Früher war es so, dass Sie die Kennwortrichtlinien nur in der Default Domain Policy anpassen konnten. Also Sie haben hier eine Passwortrichtlinie festgelegt. Diese galt für die gesamte Domäne. Was aber, wenn die Buchhaltungsmitarbeiter eine andere Kennwortrichtlinie benötigen? Dann können Sie kein sogenanntes PSO einsetzen, wie das heute möglich ist, nein, sie mussten früher eine untergeordnete Domäne erstellen, und dann in dieser eine neue Passwortrichtlinie bestimmen. Das war ein Grund, warum man früher mit untergeordneten Domänen gearbeitet hat. Heutzutage ist es nicht mehr notwendig, da wir zum Beispiel mit PSO, Passwort Security Object, arbeiten können. Es gibt eine weitere Implementation von untergeordneten Domänen. Das ist eine Strukturstamm-Domäne. Sie sehen das auch hier wieder sehr schön. Diese Strukturstamm-Domäne muss nicht den weiterführenden Namen der übergeordneten Domäne enthalten. Es ist also ein komplett losgelöster Name. Die Domäne heißt labor.int, hat aber trotzdem eine Verbindung zur übergeordneten Domäne bern.corp.int. Das sehen wir hier. Das ist also eine Strukturstamm-Domäne. Hier handelt es sich wieder um eine untergeordnete Domäne: verkauf.bern.corp.int. Das sind Szenarien, die eingesetzt werden können. Ich kann aber auch eine Strukturstamm-Domäne direkt an corp.int anschließen, das sehen Sie hier, Diese Domäne heißt nun master.int. Das ist ebenfalls möglich. Domänen bilden aber sogenannte Grenzen. Wir haben zum Beispiel die Replikationsgrenzen für die Domänenpartition. Alle Active Directory-Objekte, die in einer einzelnen Domäne vorhanden sind, werden in der Domänenpartition in der Active Directory-Datenbank zu jedem Controller in der Domäne gespeichert. Der Replikationsprozess stellt sicher, dass alle entstehenden Updates zu allen anderen Domänencontrollern in der gleichen Domäne repliziert werden. Das ist das Stichwort: In der gleichen Domäne. Das haben wir hier gesehen: Die Replikationgrenze für die Domänenpartition. Was ist mit der Verwaltungsgrenze? Standardmäßig schließt eine Active Directory-Domäne mehrere Gruppen ein. Zum Beispiel die Gruppe Domänenadmins. Diese haben die vollständige Verwaltungsfunktion über die Domäne. Sie können auch Benutzerkonten und -gruppen innerhalb der Domänen- Administratorenberechtigungen zuweisen. Mit der Ausnahme der Gruppe Organisationsadmins in der Stammdomäne der Gesamtstruktur haben Administratorkonten in anderen Domänen in der Gesamtstruktur oder anderen Gesamtstrukturen keine Administratorrechte. Sie sehen also, ein Domänenadministrator aus der Domäne lab.int hat keine Rechte in der Domäne master.int. Wir haben die Anwendungsgrenze für Gruppenrichtlinien. Gruppenrichtlinien können auf folgenden Ebenen verknüpft werden: Lokal, Standort, Domäne und Organisationseinheit. Außer bei Gruppenrichtlinien auf Standortebene ist der Bereich der Gruppenrichtlinie die Active Directory-Domäne. Es gibt keine Vererbung der Gruppenrichtlinie von einer Active Directory-Domäne zu einer anderen. Wir haben ebenfalls eine Überwachungsgrenze. Die Überwachung wird zentral über Gruppenrichtlinienobjekte verwaltet. Der maximale Bereich dieser Einstellung ist die Active Directory-Domäne. Zudem haben wir die Kennwort- und Kontorichtliniengrenzen. Standardmäßig werden Kennwort- und Kontorichtlinien auf Domänenebene definiert und werden auf alle Domänenkonten angewendet. Wenn es möglich ist, differenzierte Kenntwortrichtlinien zu konfigurieren, um andere Richtlinien für bestimmte User innerhalb einer Domäne zu konfigurieren, können Sie das Kennwort und die Kontorichtlinien nicht jenseits des Bereichs einer einzelnen Domäne anwenden. Zum Schluss haben wir die Replikationsgrenze für DNS-Zonen. Eine Option bei der Konfiguration von DNS-Zonen in einer Active Directory-Umgebung besteht darin, Active Directory-integrierte Zonen zu konfigurieren. Dies bedeutet, dass die Einträge die in jedem DNS-Server in Textdateien lokal gespeichert werden, statt dessen in der Active Directory- Datenbank gespeichert und repliziert werden. Der Administrator kann sich dann entscheiden, ob die DNS-Informationen zu allen Domänencontrollern in der gleichen Domäne repliziert werden sollen. Das sind also die verschiedenen Grenzen, die eine Domäne mit sich bringt. Wozu aber mehrere Domänen? Was sind Gründe für die Implementierung mehrerer Domänen? Domänenreplikationanforderungen: Was bedeutet das? In einigen Fällen haben Organisationen mehrere große Büros, die durch langsame oder unzuverlässige Fernnetzwerke, also WANS, verbunden sind. Die Netzwerkverbinden haben möglicherweise nicht genug Bandbreite, um die Active Directory-Replikation der Domänenpartition zu unterstützen. In diesem Fall könnte es also besser sein, eine separate Active Directory-Domäne in jedem Büro zu installieren. Das wäre also eine Anwendung, um Domänenreplikationanforderungen entsprechend einzugrenzen. Die Domänenreplikationanforderungen haben wir angesprochen. Es geht weiter zu DNS-Namespace-Anforderungen. Einige Organisationen haben die Anforderung, über mehr als ein DNS-Namespace in einer Active Directory- Gesamtstruktur zu verfügen. Dies ist in der Regel der Fall, wenn eine Firma eine andere Firma übernimmt oder mit einer anderen Organisation fusioniert und die Domänennamen aus der vorhandenen Umgebung beibehalten werden müssen. Es ist möglich, mehrere Benutzer-Prinzipalnamen, UPNs, in einer einzelnen Domäne für die Benutzer bereitzustellen. Aber viele Organisationen entscheiden sich, mehrere Domänen in diesem Szenario bereitzustellen. Wir haben die verteilten Verwaltungsanforderungen. Möglicherweise ist in Organisationen ein verteiltes Verwaltungsmodell aufgrund der Unternehmenssicherheit oder politischer Anforderungen erforderlich. So können Organisationen Administrator-Autonomie erreichen, indem sie eine separate Domäne bereitstellen. Der nächste Punkt ist die Administratorgruppensicherheits- Anforderung an die Gesamtstruktur. Einige Organisationen entscheiden sich möglicherweise, eine dezidierte oder leere Stammdomäne bereitzustellen. Dies ist eine Domäne, die keine anderen Benutzerkonten als die Standardstammdomäne der Gesamtstruktur hat. Die Active Directory-Stammdomäne der Gesamtstruktur hat zwei Gruppen. Die Gruppe Schema-Admins und die Gruppe Organisations-Admins, die in keiner anderen Domäne in der AD-Gesamtstruktur vorhanden sind. Und wir haben die Ressourcendomänenanforderungen. Einige Organisationen stellen Ressourcendomänen bereit, um bestimmte Anwendungen bereitzustellen. Mit dieser Bereitstellung befinden sich alle Benutzerkonten in einer separaten Domäne, wohingegen die Anwendungsserver und die Anwendungsverwaltungskonten in einer anderen, separaten Domäne bereitgestellt werden. Sie haben also gesehen, das sind Gründe für die Implementierung mehrerer Domänen. Microsoft Best Practice ist immer noch, eine Gesamtstruktur und darin eine Stammdomäne. Halten Sie die Domänen in Ihrer Gesamtstruktur möglichst gering. Setzen Sie nur die unbedingt erforderlichen Domänen ein. Arbeiten Sie vielleicht besser mit Active Directory-Standorten, mit Sicherheitsgruppen oder mit Organisationseinheiten. In diesem Video haben wir uns mit dem Konzept zu Active Directory-Umgebungen mit mehreren Domänen befasst.

MCSA 70-412 (Teil 5) Windows Server 2012 R2-Active Directory-Infrastruktur konfigurieren

Bereiten Sie sich mit diesem und fünf weiteren Trainings auf die Microsoft Zertifizierungsprüfung 70-412 vor und erlernen Sie umfassende Kenntnisse zu Windows Server 2012.

2 Std. 56 min (26 Videos)
Derzeit sind keine Feedbacks vorhanden...
 

Dieser Online-Kurs ist als Download und als Streaming-Video verfügbar. Die gute Nachricht: Sie müssen sich nicht entscheiden - sobald Sie das Training erwerben, erhalten Sie Zugang zu beiden Optionen!

Der Download ermöglicht Ihnen die Offline-Nutzung des Trainings und bietet die Vorteile einer benutzerfreundlichen Abspielumgebung. Wenn Sie an verschiedenen Computern arbeiten, oder nicht den ganzen Kurs auf einmal herunterladen möchten, loggen Sie sich auf dieser Seite ein, um alle Videos des Trainings als Streaming-Video anzusehen.

Wir hoffen, dass Sie viel Freude und Erfolg mit diesem Video-Training haben werden. Falls Sie irgendwelche Fragen haben, zögern Sie nicht uns zu kontaktieren!