Upload
rosamond-wolke
View
108
Download
0
Embed Size (px)
Citation preview
Windows NT 5.0 /Windows NT 5.0 /Active DirectoryActive Directory
Thomas ArensUniversity Support CenterUniversität Karlsruhe
Thomas Arens
Windows NT 5.0 Server Windows NT 5.0 Server Was ist neu?Was ist neu?
Active DirectoryActive Directory Distributed ServicesDistributed Services Fehlertoleranz und PerformanceFehlertoleranz und Performance Skalierbarkeit/ 64-Bit-TechnologieSkalierbarkeit/ 64-Bit-Technologie Speicher- und I/O-ErweiterungenSpeicher- und I/O-Erweiterungen Powermanagement/ Plug and PlayPowermanagement/ Plug and Play Zero Administration for WindowsZero Administration for Windows Netzwerk- und KommunikationNetzwerk- und Kommunikation
Distributed ComputingDistributed ComputingZieleZiele
AusfallsicherheitAusfallsicherheit SkalierbarkeitSkalierbarkeit SicherheitSicherheit Ortsunabhängige AnwendungenOrtsunabhängige Anwendungen Einfacher Zugriff auf InformationenEinfacher Zugriff auf Informationen Leichte Administrierbarkeit von Leichte Administrierbarkeit von
WorkstationsWorkstations
Distributed ServicesDistributed Services
Active DirectoryActive Directory Distributed Security (Kerberos)Distributed Security (Kerberos) Distributed File SystemDistributed File System DCOM Distributed Application DCOM Distributed Application
ArchitectureArchitecture Zentrales ManagementZentrales Management
Microsoft Management Console (MMC)Microsoft Management Console (MMC) Zero Administration for Windows (ZAW)Zero Administration for Windows (ZAW)
Active DirectoryActive Directory
Verzeichnis aller RessourcenVerzeichnis aller Ressourcen Benutzer, GruppenBenutzer, Gruppen Rechner, DruckerRechner, Drucker Anwendungen, KonfigurationAnwendungen, Konfiguration ......
Basiert auf Standards (X.500, DNS)Basiert auf Standards (X.500, DNS) Zugriff über LDAP und ADSIZugriff über LDAP und ADSI
LLightweight ightweight DDirectory irectory AAccess ccess PProtocolrotocol AActivective D Directoryirectory S Serviceervice I Interfacenterface
Distributed SecurityDistributed Security
Kerberos Authentisierung für Kerberos Authentisierung für Single-LogonSingle-Logon
Public Key Certificate Server IP Security Unterstützung für Smart Card
RPC runtimeRPC runtime Internet protocolsInternet protocols
SSPISSPI
NTLMNTLM KerberosKerberos SSLSSL
SAMSAM KDCKDC
DCOM applicationDCOM application
WinSock WinSock applicationsapplications
Security Support Provider Interface
Distributed SecurityDistributed Security
Distributed File SystemDistributed File System
OrtstransparenzOrtstransparenz LastverteilungLastverteilung Multimaster ReplikationMultimaster Replikation Verbesserte SicherheitVerbesserte Sicherheit Erhöhte VerfügbarkeitErhöhte Verfügbarkeit
DCOM Distributed DCOM Distributed Application ArchitectureApplication Architecture
Windows NT 5.0 erlaubt die einfacheWindows NT 5.0 erlaubt die einfache
Erstellung verteilter Internet-/Intranet-Erstellung verteilter Internet-/Intranet-
ApplikationenApplikationen Internet Information ServerInternet Information Server Microsoft Message Queue ServerMicrosoft Message Queue Server Microsoft Transaction ServerMicrosoft Transaction Server
Skalierbarkeit /Skalierbarkeit /64-Bit Technologie64-Bit Technologie
VLM-Unterstützung für 64-Bit VLM-Unterstützung für 64-Bit Prozessoren (Alpha, Merced) bis 32 Prozessoren (Alpha, Merced) bis 32 GB RAMGB RAM
SMP-UnterstützungSMP-Unterstützung ClusterfähigClusterfähig
Speicher- und I/O-Speicher- und I/O-ErweiterungenErweiterungen
Neue SpeichermanagementfeaturesNeue Speichermanagementfeatures Disk QuotasDisk Quotas Verschlüsselung (Encrypted FS)Verschlüsselung (Encrypted FS) Hierarchisches SpeicherverwaltungHierarchisches Speicherverwaltung Bessere Unterstützung von Bessere Unterstützung von
WechselmedienWechselmedien Neue I/O-ArchitekturenNeue I/O-Architekturen
IEEE1394, USB-SchnittstellenIEEE1394, USB-Schnittstellen II22O-fähig - intelligente I/OO-fähig - intelligente I/O
Powermanagement &Powermanagement &Plug and PlayPlug and Play
Automatische und dynamische Erkennung der installierten Hardware
Entfernen von Geräten im laufenden Betrieb
Unterstützung von Powersave-Unterstützung von Powersave-FunktionenFunktionen
Multimonitor-FähigkeitMultimonitor-Fähigkeit
Zero AdministrationZero Administration
Zentralisierte Administration und Steuerung der Desktop-Computer
Automatische Betriebssystem-aktualisierung und Anwendungs-installation von einem zentralen Ort
Problemloses Ersetzen eines Computers im Falle fehlerhafter Desktop-Hardware
Client-seitige Fähigkeit zur Zwischenspeicherung von Daten
Leichte Leichte Administrierbarkeit Administrierbarkeit
verteilter Anwendungenverteilter Anwendungen
MS Transaction Server ExplorerMS Transaction Server Explorer
Kontrolle der Kontrolle der TransaktionenTransaktionenInstallation von Installation von PackagesPackagesSecurityhandlingSecurityhandling......
Microsoft Management Microsoft Management Console (MMC)Console (MMC)
Ein Werkzeug zur Ein Werkzeug zur SystemadministrationSystemadministration
Reduzierte Reduzierte Funktionalität Funktionalität auch über das auch über das Web mit Web mit Internet Internet ExplorerExplorer Einfach Einfach erweiterbar erweiterbar über Plug-Insüber Plug-Ins
Netzwerk und Netzwerk und KommunikationKommunikation
Unterstützung von ATMUnterstützung von ATM Neue RouterfunktionalitätNeue Routerfunktionalität
(LAN-LAN-Kopplung)(LAN-LAN-Kopplung) Multi-Channel-WAN-Verbindungen Multi-Channel-WAN-Verbindungen
(ISDN)(ISDN) IP SECurity ProtocolIP SECurity Protocol Telefonieren über IPTelefonieren über IP Quality of ServiceQuality of Service
Novell-IntegrationNovell-Integration
NDS-fähiger Netware-ClientNDS-fähiger Netware-Client Programme können über ADSI auf Programme können über ADSI auf
NDS zugreifenNDS zugreifen DS Migrate zur Migration von DS Migrate zur Migration von
Netware nach Windows NTNetware nach Windows NT
Active DirectoryActive Directory
Flexible hierarchische Struktur Effiziente Multimaster-Replikation Granulare Delegation von Rechten Standardbasierte Interoperabilität durch
LDAP v3 Support Skalabierbar bis 10 Millionen gespeicherten
Objekten Erweiterbarer Speicher von neuen
Objekttypen und Eigenschaften Programmierschnittstelle für alle Sprachen
(Active Directory Services Interfaces—ADSI) Integratierter Dynamischer DNS-Server Speicherung von Com/DCOM, Java-Klassen
ArchitekturArchitekturÜbersichtÜbersicht
Physikalisch: partitioned, replicatedPhysikalisch: partitioned, replicated Logisch: geschachtelte HierarchieLogisch: geschachtelte Hierarchie
Domänen-Hierarchie: DomänenbaumDomänen-Hierarchie: Domänenbaum Container-Hierarchie in einer DomäneContainer-Hierarchie in einer Domäne
Windows NT ServerWindows NT Server
Windows NTWindows NTDirectoryDirectoryServiceService
ArchitekturArchitekturGrundlagenGrundlagen
Directory ServiceDirectory Service Speichert Security Policy Speichert Security Policy
und Account-und Account-InformationenInformationen
Veröffentlicht PublicVeröffentlicht PublicKey CertificatesKey Certificates
BetriebssystemBetriebssystem Implementiert das Implementiert das
Security-Modell auf alle Security-Modell auf alle ObjecteObjecte
Vertraut den Vertraut den Informationen, die Informationen, die geschützt im Directory geschützt im Directory stehenstehen
Architektur Architektur Location ServiceLocation Service
Microsoft.ComMicrosoft.Com
PBS.Microsoft.ComPBS.Microsoft.ComWindows Windows NT GroupNT Group
DsysDsysStevenJuStevenJu
DNS
DC=COM/DC=Microsoft/DC=PBS/OU=NTGroup/OU=Dsys/CN=StevenJuDC=COM/DC=Microsoft/DC=PBS/OU=NTGroup/OU=Dsys/CN=StevenJu
EuroCars.ComEuroCars.Com
SRVSRV SRVSRV SRVSRV
Extensible storage engine Extensible storage engine
DB layerDB layer
Directory system agentDirectory system agent
LDAPLDAP REPLREPL MAPIMAPI Other...Other...
StoreStore
ArchitekturArchitekturDSA und SpeicherDSA und Speicher
ArchitekturArchitekturSchemaSchema
Dynamisch erweiterbarDynamisch erweiterbar Definiert formal das Universum aller Objecte Definiert formal das Universum aller Objecte
eines bestimmten Directory Serviceseines bestimmten Directory Services KlassenKlassen
Die Liste der gültigen Objekte, die im Directory Die Liste der gültigen Objekte, die im Directory Service eingetragen werden könnenService eingetragen werden können
AttributeAttribute Eigenschaften eines Objektes im Directory Service, Eigenschaften eines Objektes im Directory Service,
die wahlweise oder zwingend eingegeben werden die wahlweise oder zwingend eingegeben werden müssenmüssen
Architektur: SitesArchitektur: Sites
Eine Eine Site Site ist eine Menge von ist eine Menge von SubnetzenSubnetzen wurde bisher benutzt, um Gebiete mit wurde bisher benutzt, um Gebiete mit
“guter Connectivity” zu definieren“guter Connectivity” zu definieren legt die Grenzen für die Replikation- legt die Grenzen für die Replikation-
Topologie festTopologie fest Clients bestimmen ihre Site auf Grund Clients bestimmen ihre Site auf Grund
der Subnet Mask (automatisch per der Subnet Mask (automatisch per DHCP oder per Hand konfiguriert)DHCP oder per Hand konfiguriert)
Basis für die Suche nach lokalen Basis für die Suche nach lokalen RessourcenRessourcen
ImplementierungImplementierungAnwendung des DomänenbaumsAnwendung des Domänenbaums
Unterstützt sehr große oder Unterstützt sehr große oder dezentralisierte Organisationendezentralisierte Organisationen Domänen sorgen für Integrität der Domänen sorgen für Integrität der
ZugriffsrechteZugriffsrechte Kerberos-Trust ermöglicht Domänen- Kerberos-Trust ermöglicht Domänen-
administratoren Zugriff auf Ressourcen administratoren Zugriff auf Ressourcen irgendwo im Baum, sofern sie die Rechte irgendwo im Baum, sofern sie die Rechte dafür habendafür haben
Gruppen können Gruppen können andere Gruppen andere Gruppen irgendwo im Domänenbaum beinhaltenirgendwo im Domänenbaum beinhalten
DomainDomain
Microsoft.Com Microsoft.Com (Windows NT 5.0)(Windows NT 5.0)
Initial stateInitial state
PBS-Dev1 PBS-Dev1 (Windows NT 4.0)(Windows NT 4.0)
DomainDomain
PBS-Dev2 PBS-Dev2 (Windows NT 4.0)(Windows NT 4.0)
DomainDomain
ImplementierungImplementierungAnlegen des DomänenbaumsAnlegen des Domänenbaums
PBS-Dev1 (Windows NT 5.0)PBS-Dev1 (Windows NT 5.0)
DomainDomainKerberos TrustKerberos Trust
ImplementierungImplementierung Anlegen des DomänenbaumsAnlegen des Domänenbaums
Upgrade and join treeUpgrade and join tree
DomainDomain
DomainDomain
Microsoft.Com Microsoft.Com (Windows NT 5.0)(Windows NT 5.0)
PBS-Dev2 PBS-Dev2 (Windows NT 4.0)(Windows NT 4.0)
DomainDomain
PBS-Dev1 PBS-Dev1 (Windows NT 5.0)(Windows NT 5.0)
DomainDomainKerberos TrustKerberos Trust PBS-Dev2 PBS-Dev2 (Windows NT 5.0)(Windows NT 5.0)
DomainDomain
Kerberos TrustKerberos Trust
ImplementierungImplementierung Anlegen des DomänenbaumsAnlegen des Domänenbaums
Upgrade and join treeUpgrade and join treeMicrosoft.Com Microsoft.Com
(Windows NT 5.0)(Windows NT 5.0)
Implementierung: ClientsImplementierung: Clients
Windows NT 5.0Windows NT 5.0 Windows 95 (mit Service Pack)Windows 95 (mit Service Pack) Windows 98Windows 98 Volle Unterstützung von Downlevel Volle Unterstützung von Downlevel
ClientsClients NT5.0 Domänenbaum sieht wie NT 4.0 NT5.0 Domänenbaum sieht wie NT 4.0
Domäne ausDomäne aus
Benutzung Benutzung APIsAPIs
LDAP (v2 and v3) LDAP (v2 and v3) LDAP “C” API (RFC1823)LDAP “C” API (RFC1823) ADSIADSI
JavaJava™™, Visual Basic, Visual Basic®®, C, C++, etc., C, C++, etc. JADSIJADSI
Native Java-Implementierung von Native Java-Implementierung von ADSI, arbeitet mit jeder Java VM ADSI, arbeitet mit jeder Java VM
BenutzungBenutzungEintragen von Objekten Eintragen von Objekten in das Active Directoryin das Active Directory
Rpc, Winsock, Drucker, DFS Shares Rpc, Winsock, Drucker, DFS Shares werden automatisch eingetragenwerden automatisch eingetragen
ADSI macht die Eintragung von ADSI macht die Eintragung von Objekten trivialObjekten trivial
Erweiterbares Schema zur Erweiterbares Schema zur Definition von neuen Objekten und Definition von neuen Objekten und EigenschaftenEigenschaften
MigrationMigration
Jedes Windows NT Domänenmodell Jedes Windows NT Domänenmodell kann leicht zum Active Directory migriert kann leicht zum Active Directory migriert werdenwerden
Gemischte SystemumgebungenGemischte Systemumgebungen Voll unterstütztVoll unterstützt Sieht wie eine Windows NT 4.0 Domäne ausSieht wie eine Windows NT 4.0 Domäne aus einfache Migration zum Domänenbaumeinfache Migration zum Domänenbaum
Windows NT 4.x domainWindows NT 4.x domain
““PDC”PDC”
Initial stateInitial state
MigrationMigration
BDCBDC BDCBDC
BDCBDC
Mixed domainMixed domain
BDCBDC BDCBDC
Upgrade PDC auf Windows NT 5.0Upgrade PDC auf Windows NT 5.0
Domain replicaDomain replica
Global catalogGlobal catalog
MigrationMigration
““PDC”PDC”
DC - GCDC - GC
Pure domainPure domain
Upgrade der übrigen Windows NT 4.x BDCsUpgrade der übrigen Windows NT 4.x BDCs
MigrationMigration
Domain replicaDomain replica
Global catalogGlobal catalog
DCDCDCDC DCDC
Pure domainPure domain
Final stateFinal state
Domain replicaDomain replica
Global catalogGlobal catalog
MigrationMigration
DC - GCDC - GC
DCDCDCDC DCDC
Vorbereitung zum Vorbereitung zum Umstieg auf NT 5.0Umstieg auf NT 5.0
Heute mit NT 4.0 anfangenHeute mit NT 4.0 anfangen TCP/IP einsetzenTCP/IP einsetzen Domänenkonzept aufstellenDomänenkonzept aufstellen Rechnernamen überprüfenRechnernamen überprüfen
Weitere InformationenWeitere Informationen
Whitepaper im InternetWhitepaper im Internet www.microsoft.com/ntserverwww.microsoft.com/ntserver
Microsoft TechNetMicrosoft TechNet Monatlich erscheinende CD mit technischen Monatlich erscheinende CD mit technischen
Informationen zur Planung, Installation und Informationen zur Planung, Installation und Wartung von Microsoft ProduktenWartung von Microsoft Produkten
Microsoft Developer Network (MSDN)Microsoft Developer Network (MSDN) MSDN Online - www.microsoft.com/msdnMSDN Online - www.microsoft.com/msdn
Informationen für EntwicklerInformationen für Entwickler MSDN-Abonnement versorgt Entwickler mit MSDN-Abonnement versorgt Entwickler mit
den neuesten Version von Microsoft den neuesten Version von Microsoft Produkten (auch NT 5.0 Beta)Produkten (auch NT 5.0 Beta)
Fragen ???