Die Domäne
Eine Domäne als Bindeglied in einem MS-Netzwerk stellt eine Security-Area zur Verwaltung von Ressourcen dar. Administratoren verwenden Server, um Berechtigungen und Sicherheiten der Hosts in einer Domäne kontrollieren zu können.
Ein Domänencontroller ist ein Server und speichert die Systemkonfiguration, Anwendungsinformationen und Benutzerprofilpfade in der "Active Directory Datenbank" ab.
Durch die zentrale Verwaltung können Änderungen vorgenommen werden und automatisch auf allen Hosts erfolgen. Meldet sich ein registrierter Domainbenutzer auf einen beliebigen Computer in einer Domain an, muss er sich mit seinen erforderlichen Zugangsdaten authentifizieren, ohne dass auf dem eigentlichen Rechner ein Benutzerkonto von ihm vorhanden sein muss.
Ebenso können einheitliche Konfigurationen der Hosts so vorgenommen werden, dass ein Nutzer nicht die Möglichkeit hat die Einstellungen, seinen von der Firma zugewiesenen Computers, nach seinen eigenen Belieben anzupassen.
AD DS
Active Directory als Verzeichnisdienst wurde ab der Version Windows Server 2008 in 5 Rollen untergliedert. Die Hauptkernbezeichnung für diese Dienste ist Aktive Directory Domain Service (dt. Active Directory Domänendienste), kurz: AD DS.
In der Active Directory Datenbank von Windows Server 2012, wird die Systemkonfiguration, Anwenderinformationen und Benutzerprofilpfade durch einen "Domänencontroller" abgespeichert.
Durch den Einsatz der Dienste lassen sich Betriebe u. Gesellschaften in ihrer Struktur bzw. in deren räumlichen Aufgliederung reproduzieren. Dabei werden Informationen, Ressourcen und Netzobjekte, wie Drucker, Scanner, Computer, Server in einer Datenbank gespeichert und verwaltet. Ebenso werden Dateifreigaben in der Verzeichnisstruktur und Netzwerk-Ressourcen für die ebenso gespeicherten Benutzer und Gruppen festgelegt bzw. gesperrt.
Zu den Netzwerk-Ressourcen zählen
- Freigaben zu gewissen Netzwerk-Geräten wie Drucker,
- Nutzungsrechte bestimmter Softwareanwendungen,
- Speicherplatz,
- usw…
Zu den Active Directory-Diensten gehören
- Active Directory Lightweight Directory Services (AD LDS),
- Active Directory-Domänendienste (AD DS),
- Active Directory-Rechteverwaltungsdienste (AD RMS),
- Active Directory-Verbunddienste (AD FS),
- Active Directory-Zertifikatsdienste (AD CS).
Abwärtskompatibilität der Domänenstruktur
In einer Domäne können verschiedene Domänencontroller enthalten sein. Es ist immer noch durchaus möglich, dass in einem Unternehmen Domaincontroller mit Windows Server 2003 vorhanden sind bzw. mit einem noch älteren Betriebssystem auf einen Server.
Daher muss man bei der Einbindung eines moderneren Domänencontrollers (z.B. Windows Server 2012R2) in Betracht ziehen, dass dadurch die ganze Domäne nur mit der geringstmöglichen Funktionalität des älteren Server Betriebssystems (z.B. Windows Server 2003) ausgereizt werden kann.
Es gilt die verschiedenen Domänenfunktionsebenen zu unterscheiden, denn in der Funktionsebene ist festgehalten, welche Funktionen unterstützt werden bzw. welche Domänencontroller in der Domäne existent sein dürfen.
Domänenfunktionsebene, Unterstütze Domänencontroller (DC's)
Windows Server 2012 +R2
Unterstützte DC's
Windows Server 2012 +R2
Windows Server 2008 R2
Unterstützte DC's
Windows Server 2012
Windows Server 2008 +R2
Windows Server 2008
Unterstützte DC's
Windows Server 2012
Windows Server 2008 +R2
Windows Server 2003
Unterstützte DC's
Windows Server 2012
Windows Server 2008 +R2
Windows Server 2003
Eigenschaften / Features
Die Eigenschaften zu den jeweiligen Gesamtstrukturfunktionsebenen findet man auf der folgenden Seite:
https://technet.microsoft.com/de-de/library/cc771294.aspx
Die Gesamtstrukturfunktionsebene wird in der Konsole Active Directory Domänen u. Vertrauensstellungen geändert, da sie Infos aller Domänen von der gesamten Struktur aufweist.
Über folgenden Pfad erreichst Du die Konsole Active Directory Domänen u. Vertrauensstellungen.
Servermanager/Tools/Active Directory Domänen u. Vertrauensstellungen
Ausnahme
Wurde die Domänenfunktionsebene auf Windows 2012 oder Windows 2008R2 heraufgestuft, kann diese Ebene wieder zurückgesetzt werden, wenn die Gesamtstrukturfunktionsebene niedriger ist.
Herabstufung funktioniert
- WinServ2012 -> WinServ2008
- WinServ2012 -> WinServ2008R2
- WinServ2008R2 -> WinServ2008
Herabstufung funktioniert NICHT
- WinServ2008R2 -> WinServ2003
Der Rollenplan
Irgendwann musste die Zeit kommen, wo der Einsatz von Netzwerkfestplatten mit Benutzerverwaltung immer weniger wurde. Die Aufgaben eines Servers sind in den vergangenen Jahren sehr anspruchsvoll geworden. Eine Applikationsplattform, auf der viele unterschiedliche Dienste bereit gestellt werden, rückte in den Vordergrund.
Windows Server 2008R2 ist zu seinem Nachfolger Windows Server 2012 -R2 im Design sehr ähnlich.
Die verschiedenen Funktionsbereiche, die ein Server abdecken soll, hat Microsoft in sog. Serverrollen aufgegliedert, die zusammen oder einzeln auf einen Windows Server 2008R2 oder Windows Server 2012 -R2 installiert werden können.
Durch die Festsetzung was ein Server können muss, installiert man sich einfach nur die jeweilige Komponente die man benötigt - und nicht mehr.
Würde man diese Option nicht so handhaben können, würden nicht benötigte Funktionen evtl. Sicherheitslücken darstellen.
Im Server-Manager werden Serverrollen und Funktionen verwaltet, hinzugefügt und entfernt.
Durch die Installation einer Serverrolle definiert man die eigentliche Funktion eines Servers.
z.B. Webserver, Druckserver, Dateiserver, Terminalserver oder ein Active Directory-Domänenserver.
Serverrollen, Rollendienste & Features
Eine Serverrolle besteht aus einer Gruppe von Softwarepaketen, die einem Server erlaubt, eine bestimmte Funktion, für mehrere Benutzer oder andere Computer im Netzwerk, auszuführen.
Benutzer in einem gesamten Unternehmen können Zugriff auf weitere Ressourcen haben, die auf anderen Computern ausgelagert sind. z.B. Daten, Webseiten usw.
Ein Server kann für eine Ausführung auf eine einzigen Rolle limitiert werden, oder zusätzlich mehrere Rollen ausführen, wenn diese nur gelegentlich benutzt werden.
Beim Auswählen einer Serverrolle, erscheint der Assistent, wenn noch weitere Rollendienste oder Features installiert werden müssen.
Features
Dann gibt es noch die Features, die sich zu den Rollen mit weitere Funktionen anbieten.
Hier kann der Administrator weitere Funktionen auswählen und wieder entfernen. Dabei sorgt ein Assistent, dass beim Hinzufügen einer Rolle automatisch die dazugehörigen Features mit installiert werden. Gewisse Serverrollen, Rollendienste oder Features sind zum Teil des gleichen voneinander abhängig. D.h. Möchte ein Administrator eine Serverrolle oder einen Rollendienst hinzufügen, muss evtl. erst eine andere Serverrolle oder Rollendienst installiert werden. In einem solchen Fall wird sich der Server-Manger mit einem Hinweis bemerkbar machen, dass zuerst die dafür benötigte Komponente hinzugefügt werden muss.
Um dem Gesamtsystem eine fehlerlose Beständigkeit zu gewährleisten, warnt auch der Server-Manger, dass das Entfernen einer Serverrolle oder einer Komponente nur dann möglich ist, wenn die damit verbundene Komponente X oder Serverrolle X zuerst entfernt wird.