Rheinwerk Computing < openbook > Rheinwerk Computing - Professionelle Bücher. Auch für Einsteiger.
Professionelle Bücher. Auch für Einsteiger.

Inhaltsverzeichnis
Geleitwort
1 Warum eine neue Server-Version?
2 Editionen und Lizenzen
3 Hardware und Dimensionierung
4 Protokolle
5 Was ist .NET?
6 Installation
7 Die Core-Installationsoption
8 Active Directory-Domänendienste
9 Netzwerkdienste im AD-Umfeld
10 Active Directory Lightweight Directory Services (AD LDS)
11 Active Directory-Verbunddienste (Federation Services)
12 Active Directory-Zertifikatdienste
13 Active Directory-Rechteverwaltungsdienste (AD RMS)
14 »Innere Sicherheit«
15 Dateisystem und Dateidienste
16 Drucken
17 Webserver (IIS)
18 SharePoint Foundation und SharePoint Server
19 Remotedesktopdienste (Terminaldienste)
20 Hochverfügbarkeit
21 Datensicherung
22 Servervirtualisierung mit Hyper-V
23 Windows PowerShell
Stichwort

Jetzt Buch bestellen
Ihre Meinung?
Spacer
Windows Server 2012 R2 von Ulrich B. Boddenberg
Das umfassende Handbuch
Buch: Windows Server 2012 R2

Windows Server 2012 R2
Rheinwerk Computing
1392 S., 4., aktualisierte Auflage 2014, geb.
59,90 Euro, ISBN 978-3-8362-2013-2
Pfeil 8 Active Directory-Domänendienste
Pfeil 8.1 Aufbau und Struktur
Pfeil 8.1.1 Logische Struktur
Pfeil 8.1.2 Schema
Pfeil 8.1.3 Der globale Katalog (Global Catalog, GC)
Pfeil 8.1.4 Betriebsmasterrollen/FSMO-Rollen
Pfeil 8.1.5 Verteilung von Betriebsmasterrollen und Global Catalog
Pfeil 8.1.6 Schreibgeschützte Domänencontroller – Read Only Domain Controller (RODC)
Pfeil 8.2 Planung und Design des Active Directory
Pfeil 8.2.1 Abbildung des Unternehmens
Pfeil 8.2.2 Übersichtlichkeit und Verwaltbarkeit
Pfeil 8.2.3 Standorte
Pfeil 8.2.4 Replikation
Pfeil 8.2.5 Gruppenrichtlinien
Pfeil 8.3 Ein neues Active Directory einrichten
Pfeil 8.3.1 Den ersten Domänencontroller einrichten
Pfeil 8.3.2 Zusätzliche Domänencontroller einrichten
Pfeil 8.4 Gruppenrichtlinien
Pfeil 8.4.1 Anwendungsbeispiel
Pfeil 8.4.2 Richtlinien für Computer und Benutzer
Pfeil 8.4.3 Verteilung über Domänencontroller
Pfeil 8.4.4 Vererbung
Pfeil 8.4.5 Sicherheit und Vorrang
Pfeil 8.4.6 Filter
Pfeil 8.4.7 Abarbeitungsreihenfolge, mehr Details
Pfeil 8.4.8 Lokale GPOs (ab Windows Vista und Windows Server 2008)
Pfeil 8.4.9 Starter-Gruppenrichtlinienobjekte / Starter-GPOs
Pfeil 8.4.10 ADM vs. ADMX
Pfeil 8.4.11 Zuweisen und Bearbeiten von Gruppenrichtlinien
Pfeil 8.4.12 WMI-Filter
Pfeil 8.4.13 Softwareverteilung mit Gruppenrichtlinien
Pfeil 8.4.14 Loopbackverarbeitung
Pfeil 8.4.15 Gruppenrichtlinien-Voreinstellungen (Preferences)
Pfeil 8.5 Diverses über Gruppen
Pfeil 8.6 Delegierung der Verwaltung
Pfeil 8.7 Das Active Directory aus der Client-Perspektive
Pfeil 8.7.1 DNS-Einträge oder »Wie findet der Client das Active Directory?«
Pfeil 8.7.2 Das Active Directory durchsuchen
Pfeil 8.7.3 Individuelle Erweiterungen
Pfeil 8.8 Zeitdienst
Pfeil 8.8.1 Grundkonfiguration der Zeitsynchronisation
Pfeil 8.8.2 Größere Umgebungen
Pfeil 8.9 Upgrade der Gesamtstruktur auf Active Directory-Domänendienste (AD DS) 2008/2012/R2
Pfeil 8.9.1 Schemaerweiterung und Anpassung der Domänen durchführen
Pfeil 8.9.2 Windows Server 2012 R2-Domänencontroller installieren
Pfeil 8.9.3 Kurze Überprüfung
Pfeil 8.9.4 FSMO-Rollen verschieben
Pfeil 8.9.5 Alte Domänencontroller deinstallieren und einheitlichen Modus wählen
Pfeil 8.9.6 Real-World-Troubleshooting – ein Beispiel
Pfeil 8.10 Umstrukturieren
Pfeil 8.11 Werkzeugkiste
Pfeil 8.12 Active Directory Best Practice Analyzer
Pfeil 8.13 Der Active Directory-Papierkorb
Pfeil 8.13.1 Voraussetzungen
Pfeil 8.13.2 Active Directory-Papierkorb aktivieren
Pfeil 8.13.3 Gelöschte Objekte anzeigen und wiederherstellen
Pfeil 8.13.4 Wiederherstellen mit der PowerShell
Pfeil 8.14 Active Directory-Verwaltungscenter
Pfeil 8.14.1 Kennwort zurücksetzen
Pfeil 8.14.2 Benutzer suchen und Attribute anzeigen und modifizieren
Pfeil 8.14.3 Navigieren und filtern
Pfeil 8.14.4 Neuanlegen von Objekten
Pfeil 8.14.5 Navigationsknoten und mehrere Domänen
Pfeil 8.14.6 Technik im Hintergrund und Voraussetzungen
Pfeil 8.15 Active Directory-Webdienste (Active Directory Web Services, ADWS)
Pfeil 8.16 Active Directory-Modul für Windows-PowerShell
Pfeil 8.17 Offline-Domänenbeitritt

Rheinwerk Computing - Zum Seitenanfang

8.8 Zeitdienst Zur nächsten Überschrift

In einer Active Directory-Umgebung ist die exakte Zeit entscheidend. Gehen die Uhren der Domänencontroller, Mitgliedsserver und PCs zu »unterschiedlich«, ist eventuell eine Kommunikation der Systeme untereinander nicht mehr möglich. Ein Grund dafür ist das Kerberos-Protokoll, das nur geringfügige Zeitabweichungen toleriert.

Abgesehen von den technischen Gründen ist es für die Anwender durchaus ein Komfortfaktor, wenn die PCs die korrekte Zeit anzeigen und nicht völlig »nach dem Mond« gehen.

Der Domänencontroller, der die FSMO-Rolle PDC-Emulator innehat, ist standardmäßig für die Verbreitung der »richtigen« Zeitinformation in der Domäne verantwortlich, und alle Domänenmitglieder holen sich von diesem System die Zeit. Im Klartext heißt das: Geht der Domänencontroller mit PDC-Emulator-FSMO-Rolle nach dem Mond, ist die Uhrzeit in der ganzen Domäne falsch. Das Beruhigende ist, dass es innerhalb der Domäne keine technischen Probleme (insbesondere mit Kerberos) gibt, weil die Zeitdifferenz (!) zwischen den Systemen gering genug ist. Trotzdem ist die »absolute Zeit« schlicht und ergreifend nicht richtig.


Rheinwerk Computing - Zum Seitenanfang

8.8.1 Grundkonfiguration der Zeitsynchronisation Zur nächsten ÜberschriftZur vorigen Überschrift

Die »zeitlichen« Probleme sind recht einfach in den Griff zu bekommen, wenn Sie Ihren PDC-Emulator anweisen, sich mit einem der vielen im Internet verfügbaren Zeitserver zu synchronisieren. Recht beliebt, zumindest in Deutschland, ist beispielsweise der Zeitdienst der Physikalisch-Technischen Bundesanstalt, der über die Hostnamen ptbtime1.ptb.de und ptbtime2.ptb.de angesprochen werden kann.

Anderes System

Anzumerken wäre, dass auch ein anderes System als der Domänencontroller mit der PDC-Emulator-Rolle als zuverlässige Zeitquelle (reliable time source) konfiguriert werden kann.

Damit ein Domänencontroller als zuverlässige Zeitquelle (reliable time source) angesehen wird, muss dies explizit festgelegt werden. Dabei ist es nicht notwendig, dass eine Zeitsynchronisation mit einem externen Zeitdienst stattfindet. Wenn die eingebaute Uhr des Servers hinreichend zuverlässig ist, beispielsweise weil eine Funkuhr angeschafft und installiert wurde, kann diese Uhrzeit auch für »reliable« erklärt werden. Da in den meisten Umgebungen eine Synchronisation mit einem Internet-Zeitdienst konfiguriert werden wird, zeige ich das im Beispiel.

Der verantwortliche Dienst für die Zeitsynchronisation ist W32Time (der Anzeigename im Snap-In Dienstesteuerung-Snap-In ist Windows-Zeitgeber. Es gibt keine grafische Unterstützung für die Konfiguration, sodass zwei dokumentierte Möglichkeiten bleiben:

  • die Verwendung des Kommandozeilenwerkzeugs w32tm
  • die Anpassung der Registrierung mittels regedit

Die Verwendung des Kommandozeilenwerkzeugs dürfte der angenehmere Weg sein; Microsoft hat allerdings auch die Registry-Einträge dokumentiert.

Um den PDC-Emulator zu einer zuverlässigen Zeitquelle zu erklären, die regelmäßig mit im Internet stehenden Zeitservern synchronisiert, wird dieser Befehl auf der Kommandozeile eingegeben: 

w32tm /config /manualpeerlist:peers /syncfromflags:manual /reliable:yes /update

Einige Anmerkungen:

  • peers ist ein Platzhalter für die Zeitserver, mit denen synchronisiert werden soll.
  • Mit dem Parameter /syncfromflags wird festgelegt, ob mit einem Zeitdienst im Internet (manual) oder in der Gesamtstruktur (domhier) synchronisiert werden soll.
  • /reliable:yes erklärt den Server zu einem zuverlässigen Zeitserver.

Um eine sofortige Synchronisierung zu erzwingen, können Sie folgenden Befehl eingeben:

w32tm /resync

Es ist natürlich nicht notwendig, ständig manuell das Synchronisieren zu initiieren, vielmehr erledigt dies der Zeitdienst in einem festgelegten Intervall. Mit w32tm /query /status können Sie den aktuellen Zustand – unter anderem mit der Zeit der letzten Synchronisierung und der Zeitquelle – abfragen. In Abbildung 8.187 ist zu erkennen, dass die Zeitabfrage in der Tat regelmäßig stattfindet. Allerdings variiert das Abrufintervall leicht.

Abbildung

Abbildung 8.187 Die Zeit dieses Domänencontrollers wird regelmäßig synchronisiert.

Wenn man auf ein anderes Domänenmitglied schaut, egal ob auf Server oder PC, sollte sich eine Situation wie in Abbildung 8.188 ergeben:

  • Die Eingabe von w32tm /query /status wird zeigen, dass das System mit dem PDC-Emulator oder einem Domänencontroller synchronisiert.
  • Gibt man net time ein, wird die Zeit von dem Server angezeigt, von dem die lokale Maschine die Netzwerkzeit bezieht.

Abbildung

Abbildung 8.188 Der Zeitstatus auf dem Client. Ein Anruf von »net time« sollte übrigens die Zeit des Servers zeigen.

w32tm

Sie erhalten eine kurze Beschreibung der Aufrufparameter der w32tm-Applikation, indem Sie einfach w32tm eingeben.


Rheinwerk Computing - Zum Seitenanfang

8.8.2 Größere UmgebungenZur vorigen Überschrift

In einer kleinen Umgebung mit einer Domäne und einem oder zwei Domänencontrollern brauchen Sie sich keine Gedanken über die Struktur der Zeitsynchronisation zu machen. In einer komplexeren Umgebung ist das aber durchaus ein spannendes Thema. Abbildung 8.189 zeigt den Ablauf in einer Gesamtstruktur mit zwei Domänen:

  • Standardmäßig ist der Domänencontroller mit der PDC-Emulator-Rolle in der Root-Domäne der Gesamtstruktur (die erste installierte Domäne) die oberste Instanz in Sachen »Zeit«. Sinnvollerweise gleicht er die Zeit mit einem externen Zeitserver ab.
  • Die Domänencontroller in der Root-Domäne erhalten die Zeitinformationen vom PDC-Emulator ebendieser Domäne.
  • Mitgliedsserver und Clients der Domäne erhalten die Zeitinformationen von einem beliebigen Domänencontroller.
  • In der untergeordneten Domäne erhält der PDC-Emulator die Zeit von einem beliebigen Domänencontroller der übergeordneten Domäne.
  • Die Domänencontroller der untergeordneten Domäne gleichen die Zeit mit »ihrem« PDC-Emulator oder einem beliebigen Domänencontroller der übergeordneten Domäne ab.
  • Die Mitgliedsserver und Clients erhalten die Zeitinformation von einem beliebigen Domänencontroller ihrer eigenen Domäne.

Abbildung

Abbildung 8.189 Struktur des Zeitabgleichs in einer größeren Umgebung

Die Wahl, mit welchem Domänencontroller die Zeit letztendlich synchronisiert wird, ist übrigens nicht zufällig. Ein System führt einige Abfragen durch und baut eine Bewertungsliste auf, in der den möglichen Zeit-Synchronisationspartnern gemäß Tabelle 8.4 ein Wert zugewiesen ist. Man sieht beispielsweise, dass der lokale Standort die höchste Priorität hat – es macht ja auch Sinn, die WAN-Strecken zu schonen.

Tabelle 8.4 Bewertungsmatrix für die Auswahl des Domänencontrollers für den Zeitabgleich

Status Bewertung

Domänencontroller am selben Standort

8

Domänencontroller, der als zuverlässige Zeitquelle (reliable time source) gekennzeichnet ist

4

Domänencontroller in der übergeordneten Domäne

2

Domänencontroller hat die Rolle PDC-Emulator

1

Ihre Meinung

Wie hat Ihnen das Openbook gefallen? Wir freuen uns immer über Ihre Rückmeldung. Schreiben Sie uns gerne Ihr Feedback als E-Mail an kommunikation@rheinwerk-verlag.de.

<< zurück



Copyright © Rheinwerk Verlag GmbH, Bonn 2014
Für Ihren privaten Gebrauch dürfen Sie die Online-Version natürlich ausdrucken. Ansonsten unterliegt das Openbook denselben Bestimmungen, wie die gebundene Ausgabe: Das Werk einschließlich aller seiner Teile ist urheberrechtlich geschützt.
Alle Rechte vorbehalten einschließlich der Vervielfältigung, Übersetzung, Mikroverfilmung sowie Einspeicherung und Verarbeitung in elektronischen Systemen.


Nutzungsbestimmungen | Datenschutz | Impressum

Rheinwerk Verlag GmbH, Rheinwerkallee 4, 53227 Bonn, Tel.: 0228.42150.0, Fax 0228.42150.77, service@rheinwerk-verlag.de

Cookie-Einstellungen ändern
  Zum Rheinwerk-Shop
Zum Rheinwerk-Shop: Windows Server 2012 R2






Windows Server 2012 R2
Jetzt Buch bestellen
 Ihre Meinung?
Wie hat Ihnen das Openbook gefallen?
Ihre Meinung

 Buchempfehlungen
Zum Rheinwerk-Shop: Office 365






 Office 365

Zum Rheinwerk-Shop: Microsoft Hyper-V






 Microsoft Hyper-V

Zum Rheinwerk-Shop: Linux-Server






 Linux-Server

Zum Rheinwerk-Shop: Vmware vSphere 5






 Vmware vSphere 5

Zum Rheinwerk-Shop: Windows 8 für Administratoren






 Windows 8 für
 Administratoren

 Lieferung
Versandkostenfrei bestellen in Deutschland, Österreich und der Schweiz
InfoInfo