Windows NT 5 0 Active Directory Thomas

Windows NT 5. 0 / Active Directory Thomas Arens University Support Center Universität Karlsruhe

Windows NT 5. 0 Server Was ist neu? 9 Active Directory 9 Distributed Services 9 Fehlertoleranz und Performance 9 Skalierbarkeit/ 64 -Bit-Technologie 9 Speicher- und I/O-Erweiterungen 9 Powermanagement/ Plug and Play 9 Zero Administration for Windows 9 Netzwerk- und Kommunikation

Distributed Computing Ziele u u u Ausfallsicherheit Skalierbarkeit Sicherheit Ortsunabhängige Anwendungen Einfacher Zugriff auf Informationen Leichte Administrierbarkeit von Workstations

Distributed Services u u u Active Directory Distributed Security (Kerberos) Distributed File System DCOM Distributed Application Architecture Zentrales Management Ø Ø Microsoft Management Console (MMC) Zero Administration for Windows (ZAW)

Active Directory u Verzeichnis aller Ressourcen Ø Ø u u Benutzer, Gruppen Rechner, Drucker Anwendungen, Konfiguration. . . Basiert auf Standards (X. 500, DNS) Zugriff über LDAP und ADSI Ø Ø Lightweight Directory Access Protocol Active Directory Service Interface

Distributed Security u u Kerberos Authentisierung für Single -Logon Public Key Certificate Server IP Security Unterstützung für Smart Card

Distributed Security Support Provider Interface DCOM application RPC runtime Internet protocols Win. Sock applications SSPI NTLM SAM Kerberos KDC SSL

Distributed File System u u u Ortstransparenz Lastverteilung Multimaster Replikation Verbesserte Sicherheit Erhöhte Verfügbarkeit

DCOM Distributed Application Architecture Windows NT 5. 0 erlaubt die einfache Erstellung verteilter Internet-/Intranet. Applikationen u Internet Information Server u Microsoft Message Queue Server u Microsoft Transaction Server

Skalierbarkeit / 64 -Bit Technologie u u u VLM-Unterstützung für 64 -Bit Prozessoren (Alpha, Merced) bis 32 GB RAM SMP-Unterstützung Clusterfähig

Speicher- und I/OErweiterungen u Neue Speichermanagementfeatures Ø Ø u Disk Quotas Verschlüsselung (Encrypted FS) Hierarchisches Speicherverwaltung Bessere Unterstützung von Wechselmedien Neue I/O-Architekturen Ø Ø IEEE 1394, USB-Schnittstellen I 2 O-fähig - intelligente I/O

Powermanagement & Plug and Play u u Automatische und dynamische Erkennung der installierten Hardware Entfernen von Geräten im laufenden Betrieb Unterstützung von Powersave. Funktionen Multimonitor-Fähigkeit

Zero Administration u u Zentralisierte Administration und Steuerung der Desktop-Computer Automatische Betriebssystemaktualisierung und Anwendungsinstallation von einem zentralen Ort Problemloses Ersetzen eines Computers im Falle fehlerhafter Desktop-Hardware Client-seitige Fähigkeit zur Zwischenspeicherung von Daten

Leichte Administrierbarkeit verteilter Anwendungen MS Transaction Server Explorer u. Kontrolle der Transaktionen u. Installation von Packages u. Securityhandlin g u. . .

Microsoft Management Console (MMC) u Ein Werkzeug zur Systemadministration Reduzierte Funktionalität auch über das Web mit Internet Explorer Ø Einfach erweiterbar über Plug-Ins Ø

Netzwerk und Kommunikation u u u Unterstützung von ATM Neue Routerfunktionalität (LAN-Kopplung) Multi-Channel-WAN-Verbindungen (ISDN) IP SECurity Protocol Telefonieren über IP Quality of Service

Novell-Integration u u u NDS-fähiger Netware-Client Programme können über ADSI auf NDS zugreifen DS Migrate zur Migration von Netware nach Windows NT

Active Directory · · · · · Flexible hierarchische Struktur Effiziente Multimaster-Replikation Granulare Delegation von Rechten Standardbasierte Interoperabilität durch LDAP v 3 Support Skalabierbar bis 10 Millionen gespeicherten Objekten Erweiterbarer Speicher von neuen Objekttypen und Eigenschaften Programmierschnittstelle für alle Sprachen (Active Directory Services Interfaces—ADSI) Integratierter Dynamischer DNS-Server Speicherung von Com/DCOM, Java-Klassen

Architektur Übersicht u u Physikalisch: partitioned, replicated Logisch: geschachtelte Hierarchie Ø Domänen-Hierarchie: Domänenbaum Ø Container-Hierarchie in einer Domäne

Architektur Grundlagen u Directory Service Ø Ø u Speichert Security Policy und Account. Informationen Veröffentlicht Public Key Certificates Windows NT Directory Service Betriebssystem Ø Ø Implementiert das Security-Modell auf alle Objecte Vertraut den Informationen, die geschützt im Directory stehen Windows NT Server

Architektur Location Service DC=COM/DC=Microsoft/DC=PBS/OU=NTGroup/OU=Dsys/CN=Steven. Ju DNS SRV SRV Microsoft. Com Windows NT Group PBS. Microsoft. Com Dsys Steven. Ju Euro. Cars. Com

Architektur DSA und Speicher LDAP REPL MAPI Other. . . Directory system agent DB layer Extensible storage engine Store

Architektur Schema u u u Dynamisch erweiterbar Definiert formal das Universum aller Objecte eines bestimmten Directory Services Klassen Ø u Die Liste der gültigen Objekte, die im Directory Service eingetragen werden können Attribute Ø Eigenschaften eines Objektes im Directory Service, die wahlweise oder zwingend eingegeben werden müssen

Architektur: Sites u Eine Site ist eine Menge von Subnetzen Ø Ø wurde bisher benutzt, um Gebiete mit “guter Connectivity” zu definieren legt die Grenzen für die Replikation. Topologie fest Clients bestimmen ihre Site auf Grund der Subnet Mask (automatisch per DHCP oder per Hand konfiguriert) Basis für die Suche nach lokalen Ressourcen

Implementierung Anwendung des Domänenbaums u Unterstützt sehr große oder dezentralisierte Organisationen Ø Ø Ø Domänen sorgen für Integrität der Zugriffsrechte Kerberos-Trust ermöglicht Domänenadministratoren Zugriff auf Ressourcen irgendwo im Baum, sofern sie die Rechte dafür haben Gruppen können andere Gruppen irgendwo im Domänenbaum beinhalten

Implementierung Anlegen des Domänenbaums Initial state Microsoft. Com (Windows NT 5. 0) PBS-Dev 2 (Windows NT 4. 0) Domain PBS-Dev 1 (Windows NT 4. 0) Domain

Implementierung Anlegen des Domänenbaums Upgrade and join tree Microsoft. Com (Windows NT 5. 0) PBS-Dev 2 (Windows NT 4. 0) Domain Kerberos Trust Domain PBS-Dev 1 (Windows NT 5. 0)

Implementierung Anlegen des Domänenbaums Microsoft. Com (Windows NT 5. 0) Upgrade and join tree PBS-Dev 1 (Windows NT 5. 0) Domain Kerberos Trust PBS-Dev 2 (Windows NT 5. 0) Domain Kerberos Trust Domain

Implementierung: Clients u u Windows NT 5. 0 Windows 95 (mit Service Pack) Windows 98 Volle Unterstützung von Downlevel Clients Ø NT 5. 0 Domänenbaum sieht wie NT 4. 0 Domäne aus

Benutzung APIs u u u LDAP (v 2 and v 3) LDAP “C” API (RFC 1823) ADSI Ø u Java™, Visual Basic®, C, C++, etc. JADSI Ø Native Java-Implementierung von ADSI, arbeitet mit jeder Java VM

Benutzung Eintragen von Objekten in das Active Directory u u u Rpc, Winsock, Drucker, DFS Shares werden automatisch eingetragen ADSI macht die Eintragung von Objekten trivial Erweiterbares Schema zur Definition von neuen Objekten und Eigenschaften

Migration u u Jedes Windows NT Domänenmodell kann leicht zum Active Directory migriert werden Gemischte Systemumgebungen Ø Ø Ø Voll unterstützt Sieht wie eine Windows NT 4. 0 Domäne aus einfache Migration zum Domänenbaum

Migration Initial state Windows NT 4. x domain “PDC” BDC

Migration Upgrade PDC auf Windows NT 5. 0 Mixed domain “PDC” BDC Domain replica Global catalog BDC

Migration Upgrade der übrigen Windows NT 4. x BDCs Pure domain DC - GC DC Domain replica Global catalog DC DC

Migration Final state DC - GC DC Domain replica Global catalog DC Pure domain DC

Vorbereitung zum Umstieg auf NT 5. 0 u u Heute mit NT 4. 0 anfangen TCP/IP einsetzen Domänenkonzept aufstellen Rechnernamen überprüfen

Weitere Informationen u Whitepaper im Internet Ø u Microsoft Tech. Net Ø u www. microsoft. com/ntserver Monatlich erscheinende CD mit technischen Informationen zur Planung, Installation und Wartung von Microsoft Produkten Microsoft Developer Network (MSDN) Ø Ø MSDN Online - www. microsoft. com/msdn Informationen für Entwickler MSDN-Abonnement versorgt Entwickler mit den neuesten Version von Microsoft Produkten (auch NT 5. 0 Beta)

Fragen ? ? ?