Am 14. September 2017 haben wir eine überarbeitete Fassung unserer Datenschutzrichtlinie veröffentlicht. Wenn Sie video2brain.com weiterhin nutzen, erklären Sie sich mit diesem überarbeiteten Dokument einverstanden. Bitte lesen Sie es deshalb sorgfältig durch.

MCSA 70-412 (Teil 5) Windows Server 2012 R2-Active Directory-Infrastruktur konfigurieren

Active Directory-Umgebungen mit mehreren Gesamtstrukturen

LinkedIn Learning kostenlos und unverbindlich testen!

Jetzt testen Alle Abonnements anzeigen
Verschaffen Sie sich anhand dieses Videos einen Überblick über das Konzept der Active Directory-Umgebungen mit mehreren Gesamtstrukturen.
07:51

Transkript

Einen Überblick zu den Active Directory-Umgebungen mit mehreren Gesamtstrukturen erhalten Sie in diesem Video. Wir haben hier die Situation, dass wir zwei verschiedene Gesamtstrukturen haben. Wir haben eine Gesamtstruktur master.int und dann verschiedene untergeordnete Domänen und wir haben eine Gesamtstruktur corp.int und ebenfalls untergeordnete Domänen. Das kann ein Szenario sein, dass zum Beispiel die Firma corp.int die Firma master.int übernommen hat und sie möchte nun die Ressourcen zusammenführen, indem sie eine Vertrauensstellung konfiguriert. Oder es kann sein, dass die Firma corp.int die Firma master.int nicht komplett übernommen hat, sondern zuerst eine Teilfusionierung gestartet hat. Dann kann man ebenfalls über eine Gesamtstrukturvertrauensstellung die Möglichkeit bieten, dass Ressourcen geteilt werden können. Active Directory-Gesamtstrukturen haben aber Grenzen. Diese Grenzen schauen wir uns ein wenig detaillierter an. Wir haben die Sicherheitsgrenze. Die Gesamtstrukturgrenze ist eine Sicherheitsgrenze, da kein Konto außerhalb der Gesamtstruktur standardmäßig alle Administratorenberechtigungen hat. Bei einer Domäne ist das nicht der Fall. Die Domäne bildet keine Sicherheitsgrenze, weil der Organisationsadministrator übergeordnete Rechte hat und sich selber in anderen Domänen die entsprechende Berechtigung zuweisen kann. Das funktioniert bei der Gesamtstruktur nicht. Bei der Gesamtstruktur corp.int ist die Organisationsadministratorengruppe hinterlegt. Diese haben keinen Zugriff auf die Gesamtstruktur master.int. Das funktioniert nicht. Darum ist das hier die Sicherheitsgrenze. Wir haben die Replikationsgrenze für die Schemapartition. Die Schemapartition enthält die Regeln und die Syntax für die Active Directory-Datenbank. Dies wird auf alle Domänencontroller der Active Directory-Gesamtstruktur repliziert. Also innerhalb der entsprechenden Gesamtstruktur. Kommen wir zur Replikationsgrenze für die Konfigurationspartition. Die Konfigurationspartition enthält die Details des Active Directory-Domänenlayouts. einschließlich Domänen, Domänencontroller, Replikationspartner, Standort- und Subnetzinformationen und auch die DHCP-Autorisierung. Zudem ist die Konfiguration der dynamischen Zugriffssteuerung ebenfalls in der Konfigurationspartition hinterlegt. Die Konfigurationspartition enthält auch Informationen zu Anwendungen, die in die Active Directory- Datenbank integriert sind. Ein Beispiel für eine Anwendung ist der Exchange Server. Diese Partition wird auf alle Domänencontroller in der Gesamtstruktur repliziert. Das ist also die Replikationsgrenze für die Konfigurationspartition. Wir haben die Replikationsgrenze für den globalen Katalog. Der globale Katalog ist die schreibgeschützte Liste, die jedes Objekt in der ganzen Active Directory-Gesamtstruktur enthält. Damit seine Größe überschaubar bleibt, enthält der globale Katalog nur einige Attribute für jedes Objekt. Der globale Katalog wird auf alle Domänencontroller in der Gesamtstruktur repliziert, die auch als globale Katalogserver konfiguriert sind. Nun haben wir noch die Replikationsgrenze für die Gesamtstruktur-DNS-Zonen. Die Partition Forest DNS Zones ist so konfiguriert, dass die Replikation auf alle Domänencontroller in der Gesamtstruktur erfolgt, die außerdem als DNS-Server fungieren. Diese Zone enthält Einträge, die wichtig sind, um die Gesamtstruktur bei der DNS-Namensauflösung zu aktivieren. Das sind also die verschiedenen Active Directory-Gesamtstrukturgrenzen. Was gibt es für Gründe, um verschiedene Gesamtstrukturen einzusetzen? Dazu habe ich ein Beispiel bereits erwähnt. Das ist der letzte Punkt. Eine Geschäftsfusion oder ein Kauf kann dazu führen, dass verschiedene Gesamtstrukturen zusammengeführt werden müssen. Der nächste Punkt sind die Sicherheitsisolationsanforderungen. Wenn für eine Organisation Administratorisolation zwischen zwei ihrer verschiedenen Teile erforderlich ist, dann muss die Organisation mehrere Active Directory- Gesamtstrukturen bereitstellen. Das wäre eine Möglichkeit, Sicherheitsisolationsanforderungen zu implementieren. Es kann aber auch sein, dass nicht kompatible Schemas die Grenze bilden müssen. Für einige Organisationen sind möglicherweise mehrere Gesamtstrukturen erforderlich, da sie nicht kompatible Schemas oder nicht kompatible Schema-Änderungsprozesse benötigen. Das Schema ist für alle Domänen in einer Gesamtstruktur freigegeben. Ein Beispiel kann sein, dass, wenn Sie verschiedene System Center Configuration Manager-Versionen einsetzen, Sie die Gesamtstrukturen aufteilen müssen, weil System Center Configuration Manager eine Änderung im Schema an der Gesamtstruktur vornimmt. Das wäre also ein Grund, warum man verschiedene Gesamtstrukturen einbinden muss. Wir haben auch eine weitere Grenze. Das sind zum Beispiel multinationale Anforderungen. Einige Länder weisen strenge Regulierungen zum Besitz oder der Verwaltung von Unternehmen innerhalb des Landes auf. Eine separate Active Directory- Gesamtstruktur einzurichten, bietet möglicherweise die durch die Gesetzgebung erforderliche Administratorisolation. Das wäre also ein weiterer Punkt. Schlussendlich noch Sicherheitsanforderungen für Extranet. Einige Organisationen lassen mehrere Server in einem Umkreisnetzwerk bereitstellen. Diese Server benötigen möglicherweise Active Directory-Services, um Benutzerkonten zu authentifizieren oder verwenden Active Directory-Services, um Richtlinien auf den Servern im Umkreisnetzwerk durchzusetzen. Um sicherzustellen, dass das Extranet Active Directory Services so sicher wie möglich ist, konfigurieren Organisationen oft eine separate Active Directory-Gesamtstruktur im Umkreisnetzwerk. Das wäre also noch ein weiterer Punkt, was Gründe sein können, um mehrere Gesamtstrukturen zu implementieren. Das ist eine kleine Liste von Gründen. Ganz wichtig noch, wenn Sie mit mehreren Gesamtstrukturen arbeiten: Für eine neue Gesamtstruktur müssen Sie lokale Administratorrechte auf dem ersten Domänencontroller haben. Logischerweise, wenn Sie eine neue Gesamtstruktur erstellen, haben Sie einen DC, beziehungsweise zuerst einen normalen Server, und dort müssen Sie normale Adminrechte haben, damit Sie diesen Server zu einem Domänencontroller promovieren können. Um eine neue Domäne in die bestehende Domäne aufzunehmen, brauchen Sie Organisationsadministratorberechtigungen. Im Englischen die Enterprise-Administratoren. Und um einen neuen DC in die Domäne aufnehmen zu können, müssen Sie Domänenadmin sein. Das sind wichtige Berechtigungen, die Sie sich merken müssen, damit Sie wissen, welche Rechte Sie brauchen, um die entsprechende Konfiguration ausführen zu können. In diesem Video habe ich Ihnen einen Überblick gegeben zu den Active Directory-Umgebungen mit mehreren Gesamtstrukturen.

MCSA 70-412 (Teil 5) Windows Server 2012 R2-Active Directory-Infrastruktur konfigurieren

Bereiten Sie sich mit diesem und fünf weiteren Trainings auf die Microsoft Zertifizierungsprüfung 70-412 vor und erlernen Sie umfassende Kenntnisse zu Windows Server 2012.

2 Std. 56 min (26 Videos)
Derzeit sind keine Feedbacks vorhanden...
 

Dieser Online-Kurs ist als Download und als Streaming-Video verfügbar. Die gute Nachricht: Sie müssen sich nicht entscheiden - sobald Sie das Training erwerben, erhalten Sie Zugang zu beiden Optionen!

Der Download ermöglicht Ihnen die Offline-Nutzung des Trainings und bietet die Vorteile einer benutzerfreundlichen Abspielumgebung. Wenn Sie an verschiedenen Computern arbeiten, oder nicht den ganzen Kurs auf einmal herunterladen möchten, loggen Sie sich auf dieser Seite ein, um alle Videos des Trainings als Streaming-Video anzusehen.

Wir hoffen, dass Sie viel Freude und Erfolg mit diesem Video-Training haben werden. Falls Sie irgendwelche Fragen haben, zögern Sie nicht uns zu kontaktieren!