AD serverroller

En serveroll är en uppsättning av funktioner anpassade till specifika användningsområde, exempelvis DNS serverroll tar hand om DNS-trafik och en DHCP server tilldelar IP-adresser till domänens datorklienter. En Windows server kan konfigureras till att ha en eller flera olika roller på nätverket/domänen.

Bild 1: Server roller

Master roller

Av säkerhetsanledningar rekommenderas inte installera/tilldela för många roller till en och samma server. En server som kör Active Directory har, förutom domänkontrollant rollen, flera andra inbyggda roller känd med namnet ”Master Roles”. Sådana roller installeras tillsammans med AD på olika nivåer

  • På skognivå
    • Schema Master
    • Domain Naming Master
  • På domännivå
    • RID Master
    • PDC Emulator
    • Infrastructure Master

Mer om master roller i en separat sida.

DNS server

En DNS server tillhandahåller ett namnsystem som omfattar alla objekt i en domän där varje objekt identifieras av ett unikt namn. En domänkontrollant är beroende av DNS tjänster som identifierar objekt i en domän och därför rekommenderas att installera AD och DNS tillsammans så att de integreras.

I en Microsofts miljö används egentligen flera olika namnsystem DNS, NetBIOS och LDAP. När DNS namnsystem och Active Directory integreras genereras LDAP namn, ett namn som Active Directory hanterar via LDAP protokollet.

Bild 2: Namnsystem
  • DNS namn för användaren Gonzalo Rivera: chalo.reyes@diginto.se
  • NetBIOS namn för samma användare DIGISKOLA\GRivera
  • LDAP namn cn=Chalo Reyes,ou=Users,ou=RiverNet,dc=diginto,dc=se

DNS namnet chalo.reyes@diginto.se kallas inom LDAP förkortningen cn (common name) eller ”User Principal Name” och den användas ofta vid domäninloggning.

I vårt laborationsnätverk utgår vi från noll och då har vi inte någon fungerande DNS server. Detta är anledningen för att installera samtidigt AD och DNS på en och samma server.

 Global catalog

Global Katalogserver är den domänkontrollant som sköter om den Globala katalogen. Den globala katalogen är en databas som innehåller information om grupper som utsträcker sina räckvidd utanför domänens gränser. Uppgiften för den Globala katalogservern är att ge användarna universell verifiering vid inloggning och svara på alla frågor som ställs mot databasen.

Bild 3: Global Catalog server

Om den globala katalogen inte är åtkomlig kan INGEN logga in på domänen. Normalt tilldelas denna serverroll till den första domänkontrollanten. När en organisations nätverk växer och blir större läggs till flera sajter och på dem flera andra domäner. För att ha ett optimerat nätverksmiljö bör varje sajt ha minst två Globala katalogservrar.

Global katalogserverns funktioner kan sammanfattas som följande:

  • Inloggning, enskilda domänkontrollanter har inte information om hela skogen (forest wide).
    Användaren loggar in med UPN.
  • Grupptillhörighet i universella grupper.
  • Universella grupper inkluderar användare och grupper från olika domäner i skogen.
  • Kommunikation mellan sajter sammankopplade via WAN-länkar