Exploring Windows Server 2008’s Active Directory Sites And Services
Wenn Sie verantwortlich für eine kleine oder mittlere IT-Abteilung sind, sind die Chancen ziemlich gut, dass Sie nur einen flüchtigen Blick auf die Active Directory Sites And Services-Konsole gegeben haben, die auf jedem Ihrer Domänencontroller installiert ist. In den meisten Fällen nur Organisationen mit relativ komplexen Active Directory-Hierarchien – diejenigen, die mehrere Standorte, Domänen, Gesamtstrukturen, Partitionen usw. aufrufen. — im Allgemeinen müssen Sie dieses Tool regelmäßig verwenden. Auch wenn Sie dieses Tool in der Vergangenheit nur ein wenig verwendet haben, war es wahrscheinlich für einen bestimmten Zweck, z. B. zum Erstellen eines Gruppenrichtlinienobjekts.
Untersuchen wir die Active Directory-Konsole für Standorte und Dienste, die mit Windows Server 2008 ausgeliefert wird. Sie erfahren, welche Vorgänge von diesem Tool ausgeführt werden und wie sich das Tool seit Windows Server 2003 verbessert hat. Sie lernen auch, wie Sie einige allgemeine Aufgaben ausführen.
Was macht es?
Microsoft gibt an, dass der Zweck des Active Directory-Tools für Standorte und Dienste darin besteht, „die Replikationstopologie sowohl innerhalb eines Standorts in einem lokalen Netzwerk (LAN) als auch zwischen Standorten in einem WAN (Wide Area Network) zu verwalten.“ Vereinfacht ausgedrückt ist das Active Directory-Tool für Standorte und Dienste die primäre Schnittstelle zum Erstellen, Konfigurieren und Verwalten von Active Directory-Standorten und IP-Subnetzen, zum Verwalten globaler Katalogserver, von Standortverknüpfungen und Standortverknüpfungsdiensten sowie zur standortübergreifenden Replikation. Jeder dieser Bereiche wird in diesem Artikel genauer untersucht.
In diesem Artikel werden allgemeine Active Directory-Standorte und -Dienste-Aufgaben in drei Gruppen unterteilt:
- Serverzentrierte Aufgaben
- Standortaufgaben
- Standortreplikationsaufgaben
Zu den Serveraufgaben gehören:
- Auswählen einer Abfragerichtlinie.
- Aktivieren eines globalen Katalogservers.
- Deaktivieren eines globalen Katalogservers.
- Festlegen eines bevorzugten Bridgehead-Servers für eine Site.
- Verschieben von Domänencontrollern zwischen Standorten.
- Überprüfen der Replikationstopologie.
- Löschen der Servermetadaten.
Site-Aufgaben umfassen:
- Erstellen einer Website.
- Umbenennen einer Site.
- Löschen einer Site.
- Erstellen eines Subnetzes.
- Verknüpfen eines Subnetzes mit einer Site.
- Löschen eines Subnetzes.
- Auswahl eines anderen Lizenzcomputers.
- Zwischenspeichern universeller Gruppenmitgliedschaften.
- Delegieren der Kontrolle über eine Site.
- Verbindung zu einem Wald.
- Herstellen einer Verbindung mit einem Domänencontroller.
- Zeigt den Knoten services an.
Standortreplikationsaufgaben umfassen:
- Erstellen eines Site-Links.
- Löschen eines Site-Links.
- Erstellen einer Site Link Bridge.
- Löschen einer Site Link Bridge.
- Konfigurieren der Verfügbarkeit der Site-Link-Replikation.
- Konfigurieren von Site-Link-Kosten.
- Konfigurieren der Häufigkeit der Site-Link-Replikation.
- Ignorieren von Replikationsplänen.
- Aktivieren oder Deaktivieren von Site Link Bridges.
- Hinzufügen einer Site zu einem Site-Link.
- Manuelles Hinzufügen von Verbindungen.
- Erzwingen der Replikation über eine Verbindung.
Die meisten dieser Aufgaben befassen sich mit dem Erstellen und Verwalten mehrerer Standorte in Active Directory.
Die häufigsten Aufgaben, die Sie mit Active Directory-Sites und -Diensten ausführen, sind:
- Erstellen eines Gruppenrichtlinienobjekts auf Site-Ebene.
- Aktivieren oder Deaktivieren eines globalen Katalogservers.
- Zwischenspeichern universeller Gruppenmitgliedschaften.
Was ist seit Windows Server 2003 anders?
Die grundlegenden Active Directory-Tools (einschließlich dieses) haben sich in Windows Server 2008 kaum geändert. Zu den wichtigeren Änderungen, nach denen Sie suchen sollten, gehören:
- Registerkarte Attributeditor: Auf jedem Bildschirm mit den Objekteigenschaften sehen Sie nun eine Registerkarte mit der Bezeichnung Attributeditor. Die Informationen auf dieser Registerkarte bieten direkten Zugriff auf alle Active Directory-Attribute des Objekts. Von hier aus können Sie jede Objekteigenschaft anzeigen und ändern, ohne in der GUI danach suchen zu müssen – wenn die GUI sogar ein Feld für jede Eigenschaft bereitstellt. Diese neue Funktion ist eine sehr willkommene Ergänzung des Tools, und Sie finden sie auch in den anderen Active Directory-Tools, die mit Windows Server 2008 ausgeliefert werden. Diese neue Registerkarte ist in Abbildung A dargestellt.
Abbildung A
Die Registerkarte Attributeditor
- Objekt vor versehentlichem Löschen schützen: Auf der Eigenschaftenseite jedes Objekts auf der Registerkarte Objekt befindet sich ein Feld mit der Bezeichnung Objekt vor versehentlichem Löschen schützen. Wenn Sie dieses Kontrollkästchen aktivieren (Abbildung B), wird das Löschen eines Objekts zu einem zweistufigen Prozess, der viel weniger fehleranfällig ist.
Abbildung B
Objekt vor versehentlichem Löschen schützen Kontrollkästchen
- Schaltfläche Suchen: In der Symbolleiste ganz rechts sehen Sie jetzt eine Schaltfläche Suchen, mit der Sie Objekte, die Sie bearbeiten möchten, schnell finden können.
- Gruppenrichtlinienverwaltung: Die Registerkarte Gruppenrichtlinie befindet sich nicht mehr auf der Seite Websiteeigenschaften; Die Gruppenrichtlinienverwaltung erfolgt jetzt ausschließlich über die Gruppenrichtlinienverwaltungskonsole. Microsoft begann den Prozess der Beseitigung der Benutzer von Active Directory-Standorten und -Diensten für die Gruppenrichtlinienverwaltung in Windows Server 2003 und hat diesen Prozess in Windows Server 2008 abgeschlossen.
Dies sind die wichtigsten Änderungen und haben, wie Sie sehen, keine so großen Auswirkungen. Obwohl die Schaltfläche Suchen nett ist, ist es die Registerkarte Attribut-Editor, die in dieser Version der eigentliche Bonus ist, ebenso wie die Hinzufügung der Gruppenrichtlinien-Verwaltungskonsole.
Sich zurechtfinden
In Windows Server 2008 gibt es verschiedene Möglichkeiten, auf das Active Directory-Tool für Standorte und Dienste zuzugreifen. Unabhängig von der gewählten Methode müssen Sie sich mit einem Konto am Server anmelden, das sowohl über Domänenadministrator- als auch über Unternehmensadministratorrechte verfügt.
Von einem Windows Server 2008-Domänencontroller aus können Sie das neue Server-Manager-Tool verwenden und zu Rollen | Active Directory-Domänendienste | Active Directory-Standorte und -Dienste navigieren, wie in Abbildung C gezeigt.
Abbildung C
Active Directory-Standorte und -Dienste im Kontext des Server-Managers
Obwohl Windows Server 2008 mit dem neuen Server-Manager ausgeliefert wird, müssen Sie ihn nicht verwenden. Wie immer können Sie Active Directory-Standorte und -Dienste über Start | Alle Programme | Verwaltung | Active Directory-Standorte und -Dienste starten.
Wenn Sie jemals mit der Microsoft Management Console gearbeitet haben, sind Sie mit dem Layout vertraut. Es gibt eine Reihe von Pull-Down-Menüs über den oberen Rand des Fensters. Unter der Menüleiste befindet sich eine Schaltflächenleiste, die Ein-Klick-Funktionalität für häufig verwendete Prozeduren bietet.
Schließlich sehen Sie drei Fenster. Der linke Bereich bietet eine Baumansicht der Active Directory-Konfiguration. Der mittlere Bereich zeigt die Objekte für den Container, die im linken Bereich hervorgehoben sind. Der rechte Bereich ist der neue Aktionsbereich, den Microsoft vielen seiner Anwendungen hinzugefügt hat. In diesem Bereich können Sie schnell auf Funktionen zugreifen, die für das im mittleren Bereich ausgewählte Objekt verfügbar sind. Wenn der Aktionsbereich nicht angezeigt wird, klicken Sie auf die Schaltfläche Aktionsbereich anzeigen / ausblenden in der Schaltflächenleiste (zweite Schaltfläche von rechts), um diese Funktion anzuzeigen. Abbildung D gibt Ihnen einen Überblick über Active Directory-Standorte und -Dienste. Sie sehen auch eines der Elemente des Aktionsbereichs erweitert, um Ihnen einen Einblick zu geben, wie dies funktioniert.
Abbildung D
Active Directory-Standorte und -Dienste mit dem Aktionsbereich
Menüoptionen
Die Menüleiste bietet Zugriff auf die folgenden Funktionen:
- Datei: Über das Menü Datei können Sie auf das Optionsfenster zugreifen, in dem Sie Konsoleninformationen bereinigen können (was Sie nicht so oft tun werden). Sie können Active Directory-Sites und -Dienste auch beenden, indem Sie auf Beenden klicken.
- Aktion: Die Elemente in diesem Menü ändern sich je nach dem unten ausgewählten Objekt. Meistens sind die Elemente im Aktionsmenü die gleichen Optionen, die Sie erhalten würden, wenn Sie mit der rechten Maustaste auf ein Objekt klicken würden.
- Ansicht: Im Menü Ansicht können Sie das Erscheinungsbild der Active Directory-Konsole für Standorte und Dienste anpassen. Sie können ändern, wie Objekte angezeigt werden, wie viele Spalten angezeigt werden, und sogar Objekte herausfiltern, die nicht angezeigt werden sollen.
- Hilfe: Mithilfe der Hilfe können Sie auf die Hilfedateien für die Active Directory-Konsole für Standorte und Dienste und die MMC im Allgemeinen zugreifen.
Die Schaltflächenleiste
Wie die meisten MMCs ähnelt die Schaltflächenleiste von Active Directory-Sites und -Diensten am ehesten einem Webbrowser. Wie Browser-Schaltflächen sind diese Schaltflächen relativ selbsterklärend. Links nach rechts, diese tasten sind:
- Zurück
- Vorwärts
- Eine Ebene höher
- Konsolenbaum anzeigen / ausblenden
- Kopieren / Ausschneiden / Einfügen (je nachdem, was Sie tun)
- Löschen
- Eigenschaften
- Aktualisieren
- Liste exportieren
- Hilfe
- Aktionsbereich anzeigen / ausblenden
- Objekte in Active Directory-Domänendiensten suchen
Sie werden feststellen, dass sich Schaltflächen ändern oder nicht mehr verfügbar sind, wenn Sie in den unteren Fenstern von Container zu Container wechseln.
Der Konsolenbaum
Der linke Bereich wird als Konsolenbaum bezeichnet. In diesem Bereich werden alle Standorte und zugehörigen Objekte für Active Directory angezeigt. Um auf bestimmte Objekte und Eigenschaften zuzugreifen, navigieren Sie wie bei jeder anderen Anwendung durch die Konsole. Nach dem Erweitern des Ordners Sites finden Sie die folgenden Standardobjekte in Active Directory-Sites und -Diensten:
- Subnetze: Dieser Container enthält alle Subnetze, die innerhalb der Site konfiguriert sind. Standardmäßig werden bei der Installation von Windows Server 2008 keine Subnetze erstellt.
- Innerbetriebliche Transporte: Dieser Container enthält die IP- und SMTP-Site-Link-Objekte, die zum Verknüpfen von Sites miteinander verwendet werden. Eine Standard-Site-Link-Instanz wird für die IP erstellt und mit dem Namen DEFAULTIPSITELINK versehen. Standardmäßig werden in einer brandneuen Windows Server 2008-Domäne keine SMTP-Websiteverknüpfungen erstellt.
- Site-Name: Der Standard-Site-Name ist, wie in Abbildung E, Default-First-Site-Name. Alle Server innerhalb der Site befinden sich in diesem Container, von dem aus sie weiter konfiguriert und verwaltet werden können.
Abbildung E
Active Directory-Standorte und -Dienste mit ausgewähltem Standortnamen.
Allgemeine Aufgaben
Neben dieser kurzen Einführung in das Tool für Active Directory-Standorte und -Dienste finden Sie hier einige allgemeine Aufgaben, die mit diesem Tool ausgeführt werden können, wenn auch in kleineren Organisationen.
Konfigurieren eines globalen Katalogservers
Wenn Sie auf Abbildung E zurückblicken, überprüfen Sie die Abbildung sorgfältig und stellen Sie fest, dass sich unter der Konsolenstruktur auf der linken Seite das Objekt NTDS-Einstellungen befindet; im rechten Bereich des Fensters befindet sich das Objekt NTDS Site Settings. Lass sie nicht verwirren.
Standardmäßig wird nur der erste Domänencontroller, der in einer neuen Gesamtstruktur installiert ist, als globaler Katalogserver konfiguriert. Sie können zusätzliche globale Katalogserver erstellen, indem Sie den spezifischen Serverknoten erweitern, den Sie als globalen Katalogserver konfigurieren möchten, und mit der rechten Maustaste auf das Objekt NTDS-Einstellungen darunter klicken. Das Dialogfeld Eigenschaften der NTDS-Einstellungen wird wie in Abbildung F dargestellt geöffnet. Um den Domänencontroller als globalen Katalogserver zu konfigurieren, wählen Sie die Option Globaler Katalogserver aus, und klicken Sie auf OK, um das Dialogfeld Eigenschaften zu schließen.
Abbildung F
Erstellen eines Servers zu einem globalen Katalogserver
Implementieren von Universal Group Caching
In Windows 2000 Server erforderte ein Benutzeranmeldeereignis die Dienste eines globalen Katalogservers, um den Benutzer gegenüber Active Directory zu authentifizieren. In Windows Server 2003 fügt Universal Group Caching diesem Prozess eine neue Wendung hinzu, sodass sich ein Benutzer beim Netzwerk anmelden kann, ohne einen globalen Katalogserver kontaktieren zu müssen.
Wenn das universelle Gruppencaching konfiguriert ist, wird die universelle Gruppenmitgliedschaft eines Benutzers auf einem Domänencontroller zwischengespeichert, wenn er sich zum ersten Mal mit diesem Domänencontroller am Netzwerk anmeldet. Die Cache-Informationen gelten für einen bestimmten Zeitraum als gültig, danach werden sie aus dem globalen Katalog aktualisiert. Der Standardwert ist acht Stunden, obwohl Sie dies bei Bedarf ändern können. Wenn das Caching konfiguriert ist, können Benutzer an Remotestandorten ohne globale Katalogserver schnellere Anmeldezeiten erzielen. Außerdem verhindert ein Ausfall eines globalen Katalogservers nicht unbedingt die erfolgreiche Anmeldung eines Benutzers am Netzwerk.
Das universelle Gruppen-Caching wird auf Standortebene mithilfe des Objekts NTDS-Standorteinstellungen konfiguriert (siehe Abbildung E. Klicken Sie mit der rechten Maustaste auf das Objekt NTDS-Standorteinstellungen, und wählen Sie im Kontextmenü Eigenschaften aus. Das Dialogfeld Eigenschaften der NTDS-Site-Einstellungen wird geöffnet.
Um das Caching zu aktivieren, wählen Sie die Option Universal Group Membership Caching aktivieren. Sie können festlegen, dass der Cache von einer bestimmten Site oder von der nächstgelegenen Site mit einem globalen Katalogserver aktualisiert wird, indem Sie die Option <Default> verwenden, die Sie in Abbildung G sehen können.
Abbildung G
Aktivieren oder Deaktivieren der universellen Gruppenmitgliedschaft Caching
Es gibt mehr, wo das kam aus
Die Active Directory-Sites und Services-Konsole wird für eine ganze Reihe von anderen High-Level-Aufgaben, einschließlich Website-Erstellung und -Verwaltung, Website-Link-Erstellung und -Verwaltung und Subnetz-Erstellung und -verwaltung verwendet. Um den Prozess und den Zweck dieser Aufgaben zu verstehen, müssen Sie zunächst über ein gutes Verständnis des hochkomplexen Active Directory-Designs und der Implementierung mit mehreren Standorten verfügen.
Möchten Sie mit Scott Lowes Beiträgen auf TechRepublic Schritt halten?
- Melden Sie sich automatisch für den Server- und Speicher-Newsletter an
- Abonnieren Sie den Server- und Speicher-RSS-Feed
- Folgen Sie Scott Lowe auf Twitter