Galileo Computing < openbook > Galileo Computing - Professionelle Bücher. Auch für Einsteiger.
Professionelle Bücher. Auch für Einsteiger.

Inhaltsverzeichnis
Geleitwort zu diesem Buch
Inhalt des Buchs
1 Warum eine neue Server-Version?
2 Editionen und Lizenzen
3 Hardware und Dimensionierung
4 Protokolle
5 Was überhaupt ist .NET?
6 Installation
7 Core-Installationsoption
8 Active Directory-Domänendienste
9 Netzwerkdienste im AD-Umfeld
10 Active Directory Lightweight Directory Services (AD LDS)
11 Active Directory-Verbunddienste (Federation Services)
12 Active Directory-Zertifikatdienste
13 Active Directory-Rechteverwaltungsdienste (AD RMS)
14 »Innere Sicherheit«
15 Dateisystem und Dateidienste
16 Drucken
17 Webserver (IIS)
18 SharePoint (Windows SharePoint Services, WSS)
19 Remotedesktopdienste (Terminaldienste)
20 Hochverfügbarkeit
21 Datensicherung
22 Servervirtualisierung mit Hyper-V
23 Windows PowerShell
24 Windows 7 und Windows Server 2008 R2
Stichwort

Download:
- ZIP, ca. 104 MB
Buch bestellen
Ihre Meinung?

Spacer
<< zurück
Windows Server 2008 R2 von Ulrich B. Boddenberg
Das umfassende Handbuch
Buch: Windows Server 2008 R2

Windows Server 2008 R2
geb., 1.410 S., 59,90 Euro
Galileo Computing
ISBN 978-3-8362-1528-2
Pfeil 8 Active Directory-Domänendienste
Pfeil 8.1 Aufbau und Struktur
Pfeil 8.1.1 Logische Struktur
Pfeil 8.1.2 Schema
Pfeil 8.1.3 Der globale Katalog (Global Catalog, GC)
Pfeil 8.1.4 Betriebsmasterrollen/FSMO-Rollen
Pfeil 8.1.5 Verteilung von Betriebsmasterrollen und Global Catalog
Pfeil 8.1.6 Schreibgeschützte Domänencontroller, Read Only Domain Controller (RODC)
Pfeil 8.2 Planung und Design des Active Directory
Pfeil 8.2.1 Abbildung des Unternehmens
Pfeil 8.2.2 Übersichtlichkeit und Verwaltbarkeit
Pfeil 8.2.3 Standorte
Pfeil 8.2.4 Replikation
Pfeil 8.2.5 Gruppenrichtlinien
Pfeil 8.3 Ein neues Active Directory einrichten
Pfeil 8.3.1 Den ersten Domänencontroller einrichten
Pfeil 8.3.2 Zusätzliche Domänencontroller einrichten
Pfeil 8.4 Gruppenrichtlinien
Pfeil 8.4.1 Anwendungsbeispiel
Pfeil 8.4.2 Richtlinien für Computer und Benutzer
Pfeil 8.4.3 Verteilung über Domänencontroller
Pfeil 8.4.4 Vererbung
Pfeil 8.4.5 Sicherheit und Vorrang
Pfeil 8.4.6 Filter
Pfeil 8.4.7 Abarbeitungsreihenfolge, Teil II
Pfeil 8.4.8 Lokale GPOs (ab Windows Vista und Windows Server 2008)
Pfeil 8.4.9 Starter-Gruppenrichtlinienobjekte/Starter-GPOs
Pfeil 8.4.10 ADM vs. ADMX
Pfeil 8.4.11 Zuweisen und Bearbeiten von Gruppenrichtlinien
Pfeil 8.4.12 WMI-Filter
Pfeil 8.4.13 Softwareverteilung mit Gruppenrichtlinien
Pfeil 8.4.14 Loopback-Verarbeitung
Pfeil 8.4.15 Gruppenrichtlinien-Voreinstellungen (Preferences)
Pfeil 8.5 Diverses über Gruppen
Pfeil 8.6 Delegierung der Verwaltung
Pfeil 8.7 Das Active Directory aus der Client-Perspektive
Pfeil 8.7.1 DNS-Einträge oder »Wie findet der Client das Active Directory?«
Pfeil 8.7.2 Das Active Directory durchsuchen
Pfeil 8.7.3 Individuelle Erweiterungen
Pfeil 8.8 Zeitdienst
Pfeil 8.8.1 Grundkonfiguration der Zeitsynchronisation
Pfeil 8.8.2 Größere Umgebungen
Pfeil 8.9 Upgrade der Gesamtstruktur auf Active Directory-Domänendienste (AD DS) 2008
Pfeil 8.9.1 Schemaerweiterung und Anpassung der Domänen durchführen
Pfeil 8.9.2 Windows Server 2008 R2 Domänencontroller installieren
Pfeil 8.9.3 Kurze Überprüfung
Pfeil 8.9.4 FSMO-Rollen verschieben
Pfeil 8.9.5 Alte Domänencontroller deinstallieren und einheitlichen Modus wählen
Pfeil 8.9.6 Real-World-Troubleshooting – ein Beispiel
Pfeil 8.10 Umstrukturieren
Pfeil 8.11 Werkzeugkiste
Pfeil 8.12 Windows Server 2008 R2-Domänencontroller
Pfeil 8.12.1 Schema-Erweiterung
Pfeil 8.12.2 2008 R2-Domänencontroller installieren
Pfeil 8.12.3 2008-Domänencontroller auf R2 migrieren
Pfeil 8.13 Active Directory Best Practice Analyzer"
Pfeil 8.14 Der Active Directory-Papierkorb
Pfeil 8.14.1 Voraussetzungen
Pfeil 8.14.2 Active Directory-Papierkorb aktivieren
Pfeil 8.14.3 Gelöschte Objekte anzeigen und wiederherstellen
Pfeil 8.14.4 Wiederherstellen mit der PowerShell
Pfeil 8.15 Active Directory-Verwaltungscenter
Pfeil 8.15.1 Kennwort zurücksetzen
Pfeil 8.15.2 Benutzer suchen und Attribute anzeigen und modifizieren
Pfeil 8.15.3 Navigieren und filtern
Pfeil 8.15.4 Neuanlegen von Objekten
Pfeil 8.15.5 Navigationsknoten und mehrere Domänen
Pfeil 8.15.6 Technik im Hintergrund / Voraussetzungen
Pfeil 8.16 Active Directory-Webdienste (Active Directory Web Services, ADWS)
Pfeil 8.17 Active Directory-Modul für Windows-PowerShell
Pfeil 8.18 Offline-Domänenbeitritt


Galileo Computing - Zum Seitenanfang

8.8 Zeitdienst Zur nächsten ÜberschriftZur vorigen Überschrift

In einer Active Directory-Umgebung ist die exakte Zeit entscheidend. Gehen die Uhren der Domänencontroller, Mitgliedsserver und PCs zu »unterschiedlich«, ist eventuell eine Kommunikation der Systeme untereinander nicht mehr möglich. Ein Grund dafür ist das Kerberos-Protokoll, das nur geringfügige Zeitabweichungen toleriert.

Abgesehen von den technischen Gründen ist es für die Anwender durchaus ein Komfortfaktor, wenn die PCs die korrekte Zeit anzeigen und nicht völlig »nach dem Mond« gehen.

Der Domänencontroller, der die FSMO-Rolle PDC-Emulator innehat, ist standardmäßig für die Verbreitung der »richtigen« Zeitinformation in der Domäne verantwortlich, und alle Domänenmitglieder holen sich von diesem System die Zeit. Im Klartext heißt das: Geht der Domänencontroller mit PDC-Emulator-FSMO-Rolle nach dem Mond, ist die Uhrzeit in der ganzen Domäne falsch. Das Beruhigende ist, dass es innerhalb der Domäne keine technischen Probleme (insbesondere mit Kerberos) gibt, weil die Zeitdifferenz (!) zwischen den Systemen gering genug ist. Trotzdem ist die »absolute Zeit« schlicht und ergreifend nicht richtig.


Galileo Computing - Zum Seitenanfang

8.8.1 Grundkonfiguration der Zeitsynchronisation Zur nächsten ÜberschriftZur vorigen Überschrift

Die »zeitlichen« Probleme sind recht einfach in den Griff zu bekommen, wenn Sie Ihren PDC-Emulator anweisen, mit einem der vielen im Internet verfügbaren Zeitserver zu synchronisieren. Recht beliebt, zumindest in Deutschland, ist beispielsweise der Zeitdienst der Physikalisch-Technischen Bundesanstalt, der über die Hostnamen ptbtime1.ptb.de und ptbtime2.ptb.de angesprochen werden kann.


Anderes System

Anzumerken wäre, dass auch ein anderes System als der Domänencontroller mit der PDC-Emulator-Rolle als zuverlässige Zeitquelle (reliable time source) konfiguriert werden kann.


Damit ein Domänencontroller als zuverlässige Zeitquelle (reliable time source) angesehen wird, muss dies explizit festgelegt werden. Dabei ist es nicht notwendig, dass eine Zeitsynchronisation mit einem externen Zeitdienst stattfindet. Wenn die eingebaute Uhr des Servers hinreichend zuverlässig ist, beispielsweise weil eine Funkuhr angeschafft und installiert wurde, kann diese Uhrzeit auch für »reliable« erklärt werden. Da in den meisten Umgebungen eine Synchronisation mit einem Internet-Zeitdienst konfiguriert werden wird, zeige ich das im Beispiel.

Der verantwortliche Dienst für die Zeitsynchronisation ist W32Time (der Anzeigename im Snap-In Dienstesteuerung-Snap-In ist Windows-Zeitgeber. Es gibt keine grafische Unterstützung für die Konfiguration, so dass zwei dokumentierte Möglichkeiten bleiben:

  • die Verwendung des Kommandozeilenwerkzeugs w32tm
  • die Anpassung der Registrierung mittels regedit

Die Verwendung des Kommandozeilenwerkzeugs dürfte der angenehmere Weg sein; Microsoft hat allerdings auch die Registry-Einträge dokumentiert.

Um den PDC-Emulator zu einer zuverlässigen Zeitquelle zu erklären, die regelmäßig mit im Internet stehenden Zeitservern synchronisiert, wird dieser Befehl auf der Kommandozeile eingegeben:

w32tm /config /manualpeerlist:peers /syncfromflags:manual /reliable:yes /update

Einige Anmerkungen:

  • peers ist ein Platzhalter für die Zeitserver, mit denen synchronisiert werden soll.
  • Mit dem Paramer /syncfromflags wird festgelegt, ob mit einem Zeitdienst im Internet (manual) oder in der Gesamtstruktur (domhier) synchronisiert werden soll.
  • /reliable:yes erklärt den Server zu einem zuverlässigen Zeitserver.

Um eine sofortige Synchronisierung zu erzwingen, können Sie folgenden Befehl eingeben:

w32tm /resync

Es ist natürlich nicht notwendig, ständig manuell das Synchronisieren zu initiieren, vielmehr erledigt dies der Zeitdienst in einem festgelegten Intervall. Mit w32tm /query /status können Sie den aktuellen Zustand – unter anderem mit der Zeit der letzten Synchronisierung und der Zeitquelle – abfragen. In Abbildung 8.180 ist zu erkennen, dass die Zeitabfrage in der Tat regelmäßig stattfindet. Allerdings variiert das Abrufintervall leicht.

Abbildung 8.180 Die Zeit dieses Domänencontrollers wird regelmäßig synchronisiert.

Wenn man auf ein anderes Domänenmitglied schaut, egal ob auf Server oder PC, sollte sich eine Situation wie in Abbildung 8.181 ergeben:

  • Die Eingabe von w32tm /query /status wird zeigen, dass das System mit dem PDC-Emulator oder einem Domänencontroller synchronisiert.
  • Gibt man net time ein, wird die Zeit von dem Server angezeigt, von dem die lokale Maschine die Netzwerkzeit bezieht.

Abbildung 8.181 Der Zeitstatus auf dem Client. Ein Anruf von »net time« sollte übrigens die Zeit des Servers zeigen.


w32tm

Sie erhalten eine kurze Beschreibung der Aufrufparameter der w32tm-Applikation, indem Sie einfach w32tm eingeben.



Galileo Computing - Zum Seitenanfang

8.8.2 Größere Umgebungen topZur vorigen Überschrift

In einer kleinen Umgebung mit einer Domäne und einem oder zwei Domänencontrollern brauchen Sie sich keine Gedanken über die Struktur der Zeitsynchronisation zu machen. In einer komplexeren Umgebung ist das aber durchaus ein spannendes Thema. Abbildung 8.182 zeigt den Ablauf in einer Gesamtstruktur mit zwei Domänen:

  • Standardmäßig ist der Domänencontroller mit der PDC-Emulator-Rolle in der Root-Domäne der Gesamtstruktur (die erste installierte Domäne) die oberste Instanz in Sachen »Zeit«. Sinnvollerweise gleicht er die Zeit mit einem externen Zeitserver ab.
  • Die Domänencontroller in der Root-Domäne erhalten die Zeitinformationen vom PDC-Emulator ebendieser Domäne.
  • Mitgliedsserver und Clients der Domäne erhalten die Zeitinformationen von einem beliebigen Domänencontroller.
  • In der untergeordneten Domäne erhält der PDC-Emulator die Zeit von einem beliebigen Domänencontroller der übergeordneten Domäne.
  • Die Domänencontroller der untergeordneten Domäne gleichen die Zeit mit »ihrem« PDC-Emulator oder einem beliebigen Domänencontroller der übergeordneten Domäne ab.
  • Die Mitgliedsserver und Clients erhalten die Zeitinformation von einem beliebigen Domänencontroller ihrer eigenen Domäne.

Die Wahl, mit welchem Domänencontroller die Zeit letztendlich synchronisiert wird, ist übrigens nicht zufällig. Ein System führt einige Abfragen durch und baut eine Bewertungsliste auf, in der den möglichen Zeit-Synchronisationspartnern gemäß Tabelle 8.1 ein Wert zugewiesen ist. Man sieht beispielsweise, dass der lokale Standort die höchste Priorität hat – es macht ja auch Sinn, die WAN-Strecken zu schonen.


Tabelle 8.2 Bewertungsmatrix für die Auswahl des Domänencontrollers für den Zeitabgleich

Status Bewertung

Domänencontroller am selben Standort

8

Domänencontroller, der als zuverlässige Zeitquelle (reliable time source) gekennzeichnet ist

4

Domänencontroller in der übergeordneten Domäne

2

Domänencontroller hat die Rolle PDC-Emulator

1


Abbildung 8.182 Struktur des Zeitabgleichs in einer größeren Umgebung



Ihr Kommentar

Wie hat Ihnen das <openbook> gefallen? Wir freuen uns immer über Ihre freundlichen und kritischen Rückmeldungen.






<< zurück
  Zum Katalog
Zum Katalog: Windows Server 2008 R2

Windows Server 2008 R2
Jetzt bestellen


 Ihre Meinung?
Wie hat Ihnen das <openbook> gefallen?
Ihre Meinung

 Buchempfehlungen
Zum Katalog: Windows 7 für Administratoren






 Windows 7 für
 Administratoren


Zum Katalog: Konzepte und Lösungen für Microsoft-Netzwerke






 Konzepte und
 Lösungen für
 Microsoft-Netzwerke


Zum Katalog: Office SharePoint Server 2007 und Windows SharePoint Services 3.0






 Office SharePoint
 Server 2007 und
 Windows SharePoint
 Services 3.0


Zum Katalog: Exchange Server 2007 und Office Communications Server 2007






 Exchange Server 2007
 und Office
 Communications
 Server 2007


Zum Katalog: Citrix XenApp 5






 Citrix XenApp 5


Zum Katalog: PC-Netzwerke






 PC-Netzwerke


Zum Katalog: VMware vSphere 4






 VMware vSphere 4


Zum Katalog: VMware vSphere 4 - Videotraining






 VMware vSphere 4
 - Videotraining


Zum Katalog: VirtualBox






 VirtualBox


 Shopping
Versandkostenfrei bestellen in Deutschland und Österreich
InfoInfo




Copyright © Galileo Press 2010
Für Ihren privaten Gebrauch dürfen Sie die Online-Version natürlich ausdrucken. Ansonsten unterliegt das <openbook> denselben Bestimmungen, wie die gebundene Ausgabe: Das Werk einschließlich aller seiner Teile ist urheberrechtlich geschützt. Alle Rechte vorbehalten einschließlich der Vervielfältigung, Übersetzung, Mikroverfilmung sowie Einspeicherung und Verarbeitung in elektronischen Systemen.


[Galileo Computing]

Galileo Press, Rheinwerkallee 4, 53227 Bonn, Tel.: 0228.42150.0, Fax 0228.42150.77, info@galileo-press.de