Skip to content

FSMO Rolle PDC-Emulator positionieren

MCSE Diese Betriebsmasterrolle emuliert inen NT-PDC bzw. -BDC um die Downlevelfähigkeit zu gewährleisten, außerdem verarbeitet der DC mit dieser Funktion Kennwortänderungen und die sofortige Replikation von Attributen die schneller als im normalen Replikationszyklus bereitgestellt werden müssen und dient so eventuell vorhandenen Windows NT 4.0 BDCs als Replikationspartner.

Er sollte daher idealerweise dort positioniert werden, wo sich die NT-Server befinden.

Wenn Standorte eine untergeordnete Domäne hosten wird es auch jeweils einen Domänencontroller mit der Betriebsmasterrolle PDC-Emulator geben.

Notwendigkeit einer WINS Infrastruktur

MCSE So lange Server mit Windows NT 4.0 Server betrieben werden, da z.B. die verwendeten Programme nur dafür verfügbar sind, ist eine WINS-Infrastruktur sinnvoll.

Alle Clientcomputer und Servercomputer die nicht mindestens mit Windows XP laufen können von einem WINS Server profitieren, besonders Windows NT und Windows 98.

Am einfachsten man aktiviert den WINS-Dienst auf je einem Domänencontroller an jedem Standort (sofern an jedem Standort Clientcomputer sind die die Auflösung von NetBios-Namen benötigen).

Wenn die Anzahl der vorgehaltenen Dienste in Zweigstellen auf ein absolutes Minimum reduziert werden muss, dann kann man auch in diesen Zweigstellen eine LMHOST-Datei verwenden.

NetBios-Namen dürfen nicht länger als 15 Zeichen sein und sich nicht mit dem Namen von anderen Standorten oder Domänen im Netz überschneiden.

Netzwerkinfrastruktur für die DNS Namensauflösung

MCSE Um administrative Vorgänge nicht verkomplizieren ist die günstigste Möglichkeit eine Active Directory integrierte Zone auf einem Domänencontroller am Hauptstandort des Unternehmens zu verwenden. Im Zweifelsfall ist bei Microsoft-Prüfungen "Active Directory integrierte Zone" auch immer die richtige Lösung.

Die Replikation zwischen den Standorten einer einzelne Active Directory Domäne ermöglicht es daher mit nur eine DNS Zone auszukommen.

An den Standorten sollte jeweils auf einem Domänencontroller der DNS Dienst installiert werden. Damit wird der Datenverkehr für die Domänennamensauflösung über die WAN Verbindungen optimiert. Man erstellt eine Active Directory integrierte Zone ohne Subdomain und konfiguriert alle Computer des Standorts für die Verwendung des lokalen DC als DNS Server.

Um eine DNS Infrastruktur nach den geschäftlichen und technischen Anforderungen des Unternehmens zu planen ist es meist die günstigste Möglichkeit eine Active Directory integrierte Zone auf dem DC zu erstellen und den Bereich der Zonenreplikation mit "Auf allen DNS-Servern in der Active Directory-Gesamtstruktur" zu konfigurieren.

Bei Verwendung der Active Directory integrierte Zone sollte man die Reverse Lookup Zone nicht vergessen wenn z.B. Webserver verwendet werden sollen. Die einfachste Lösung dazu ist für jede Domäne eine dynamische Forward-Lookupzone und für jedes Subnet eine dynamische Reverse-Lookupzone zu erstellen.

Wenn man DHCP für die Clientkonfiguration verwendet und alte Betriebssysteme im Einsatz hat, die keine dynamischen DNS-Updates können, muss man den DHCP Server für die Aktualisierung von Hostnamen dieser Clients konfigurieren. Nur so werden Host (A) Einträge korrekt in der DNS Zone eingetragen.

Auf alle DNS Servern sollte man Weiterleitungen konfigurieren um Namen aus dem Internet aufzulösen. Dabei muss die IP Adresse des DNS Servers des lokalen Providers für die Weiterleitung angegeben werden. Der DNS-Server kann ich auch in einem eventuell vorhandenen Perimeter-Netz (DMZ) befinden.

Die Verwendung der iterativen Auflösung von DNS mit Stammhinweisen (im Rest der Welt: "Rootserver") erzeugt einen höheren Datentransfer über die WAN Verbindungen als eine Weiterleitung. Daher sind die Stammhinweise insbesondere dann zu deaktivieren wenn man an einem Standort ohnehin keinen eigenen Internet-Zugang hat sondern dieser nur über die WAN-Verbindung realisiert ist.

Zweigstellen mit ISDN-Anbindung sollten ausschließlich DNS-Server für das Zwischenspeichern von Hostnamen verwenden, nur so benötigen sie die geringste Bandbreite.

Zweite Ebene von Organisationseinheiten

MCSE Eine zweite Ebene von Organisationseinheiten ist vor allem dann sinnvoll, wenn einzelnen Abteilungen jeweils spezielle Bedürfnisse haben.

Dabei geht es meist darum, unterschiedliche Anforderungen mit einer Gruppenrichtlinie umzusetzen oder Software zu verteilen.

Überwachungsrichtlinie und Kennwortrichtlinie

MCSE Kennwortrichtlinie für ein Active Directory erstellt und verwaltet werden können nur auf Domänen-Ebene, bevorzugt in der Default Domain Policy.

Anmeldeversuche werden dagegen von den Domänencontrollern authentifiziert und eine Überwachung ist hier einzurichten.

Beispiel: In einer Domain mit Hauptsitz in Frankfurt werden hier die Kennwortrichtlinien auf dem DC hinterlegt, an den andere Standorten kann dann auf den DC die Überwachung von Anmeldeversuchen eingerichtet werden.
tweetbackcheck