AD begrepp

Några tekniska begrepp inom Active Directory Domain Services tas upp här:

Bild 1: Logisk representation av en domän
  • Domän – En domän är en logisk gruppering av datoranvändare, datorer, skrivare, och andra objekt som delar en gemensam databas eller existerar i en gemensam databas.
  •  Tree – Träd är en samling av huvuddomän och dess underdomän exempelvis diginto.se och lima.diginto.se men även trädet diginto.se och quito.diginto.se
Bild 2: Domänträd eller bara träd
  • Forest – En skog är en gruppering av träd som inte delar samma DNS namn exempelvis diginto.se och technet.com
    • Single tree forest eller enskild skog där finns ett träd med domäner som delar på samma domänområde exempelvis diginto.se eller technet.com
    • Multiple tree forest eller en multiträd skog som består av två träd diginto.se och technet.com
Bild 3: Skog, en gruppering av domänträd

Den första domänen som skapas vid Active Directory installationen kallas för rotdomän, nästa domän man lägger till blir en under-domän (child domain) till rotdomänen i trädet.

 Site

En fysisk plats där en organisation/företag har sitt nätverk.

Bild 4: En domän och underdomän i tre olika sajter

En sajt (site) består av en kombination av en eller flera delnät som är sammankopplade med en höghastighetslänk. Platser eller sajter används av tekniska anledningar som till exempel uppdela ett nätverk i flera delnät och synkronisera kommunikationen mellan de. Samtidigt kan denna begrepp representeras i Active directory som ett objekt.

 Function levels

Funktionalitets nivåer är egentligen Windows server versioner. Varje serverversion stödjer ett antal funktionalitets nivåer, Windows server 2012 R2 stödjer följande:

  • Windows Server 2016
  • Windows Server 2012 R2
  • Windows Server 2012
  • Windows Server 2008 R2
  • Windows Server 2008

Det finns två funktionalitets nivåer: Forest och Domän vilket innebär server versioner i hela skogen och server versioner i domäner i skogen. Två domäner ska implementeras: diginto.se och technet.com. Dessa domäner ska bindas ihop i ett samarbetsrelation eller Trust relationship.

AD databas

Bild 5: Databasreplikering

AD Databasen skapas vid installationen av den första domänkontrollanten. Vid senare installationer på fler domänkontrollanter, får dessa servrar en master kopia. AD databasen är och förblir unik i en domän eftersom alla domänkontrollanter kör endast en databas vilket betyder att förändringar som införs på domänkontrollanterna ”replikeras” till varandra.

En databasreplik körs samtidigt av en eller flera domänkontrollanter och därför namnet masterreplik.

 Name system

Ett namnsystem omfattar alla objekt i en domän där varje objekt identifieras av ett unikt namn. I en Microsofts miljö används egentligen två olika namnsystem DNS och NetBIOS. Men när DNS namnsystem och Active Directory integreras genereras LDAP namn, ett namn som Active Directory hanterar via LDAP protokollet.

Bild 6: Namnsystem
  • DNS namn för användaren Gonzalo Rivera: chalo.reyes@diginto.se
  • NetBIOS namn för samma användare DIGISKOLA\GRivera
  • LDAP namn cn=Chalo Reyes,ou=Users,ou=RiverNet,dc=diginto,dc=se

DNS namnet chalo.reyes@diginto.se kallas inom LDAP förkortningen cn (common name) eller ”User Principal Name” och den användas ofta vid domäninloggning.

 Server roles

En serveroll är en uppsättning av funktioner anpassade till specifika användningsområde, exempelvis DNS serverroll tar hand om DNS-trafik. En Windows server kan konfigureras till att ha en eller flera olika roller på nätverket/domänen, till exempel DHCP server.

Bild 7: Server roller

Av säkerhetsanledningar rekommenderas inte installera/tilldela för många roller till en och samma server. En server som kör Active Directory har, förutom domänkontrollant rollen, flera andra inbyggda roller känd med namnet ”Master Roles”. Sådana roller installeras tillsammans med AD:

  • På skognivå
    • Schema Master
    • Domain Naming Master
  • På domännivå
    • RID Master
    • PDC Emulator
    • Infrastructure Master

En domänkontrollant är beroende av DNS tjänster och därför bör alltid finnas kommunikation med en eller flera DNS server. Det rekommenderas att integrera AD och DNS så att alla Active Directory objekt definieras med ett unikt namn.

I vårt laborationsnätverk utgår vi från noll och då har vi inte någon fungerande DNS server. Detta är anledningen för att installera samtidigt AD och DNS på en och samma server.

 Global catalog

Global Katalogserver är den domänkontrollant som sköter om den Globala katalogen. Den globala katalogen är en databas som innehåller information om grupper som utsträcker sina räckvidd utanför domänens gränser. Uppgiften för den Globala katalogservern är att ge användarna universell verifiering vid inloggning och svara på alla frågor som ställs mot databasen.

Bild 8: Global Catalog server

Om den globala katalogen inte är åtkomlig kan INGEN logga in på domänen. Normalt tilldelas denna serverroll till den första domänkontrollanten. När en organisations nätverk växer och blir större läggs till flera sajter och på dem flera andra domäner. För att ha ett optimerat nätverksmiljö bör varje sajt ha minst två Globala katalogservrar.

Global katalogserverns funktioner kan sammanfattas som följande:

  • Inloggning, enskilda domänkontrollanter har inte information om hela skogen (forest wide).
    Användaren loggar in med UPN.
  • Grupptillhörighet i universella grupper.
  • Universella grupper inkluderar användare och grupper från olika domäner i skogen.
  • Kommunikation mellan sajter sammankopplade via WAN-länkar