Teil 1: Standorte

Dieser Teil befasst sich mit der physikalische Komponente des Active Directory sowie die Topologie des Netzes.

Hier möchte ich mit dem ersten Teil anfangen „Standorte"
(ich weiß noch nicht genau wie viele Teile es werden).

Teil 1

Standorte
(die physikalische Komponente des Active Directory sowie die Topologie des Netzes)

Was ist und woraus besteht ein Standort ?

Ein Standort besteht aus einem oder mehreren Subnetzen und muss zu einer Standortverknüpfung angehören.

Kann eine Domäne bloß einem Standort angehören ?

Mit dem Snap-In „Active Directory- Standorte und Dienste" kann man sich seine Unternehmensstruktur abbilden.
Dort kann man unter anderem:

-          Standorte erstellen
-          Umbenennen eines Standortes
-          Löschen eines Standortes
-          Erstellen eines Subnetzes
-          Zuordnen eines Standortes zu einem Subnetz
-          Löschen eines Subnetzes
-          GLOBALEN KATALOG Server „kreieren"
-          Intervall (Standardmäßig alle 180 Minuten, min. 15 - max. 10.080 Minuten)
-          Replikation an bestimmten Wochentagen, z.B. nur Nachts
-          Repliziervorgang „sofort" einsetzen (Jetzt replizieren)

erstellen/bedienen sowie vieles mehr.

In erster Linie besteht der Sinn von Standorten darin, dass man Standort-intern (Intra-Site) als auch Standortübergreifend (Inter-Site) die Replikationstopologie verwalten kann.
Dort kann man durch Kosten, Intervall, Bridgeheadserver und Replikationspartner die Replikation beeinflussen.

Damit die Replikation auch Ordnungsgemäß verläuft, wird auf allen Domänencontrollern ein Konsistenzprüfungsdienst (Knowledge Consistency Checker - KCC) ausgeführt, der ständig prüft ob sich an den Gegebenheiten etwas verändert hat. Wenn dem so wäre, passt der Prozess KCC die Replikationstopologie den Gegebenheiten an.  (den KCC werde ich in einem eigenen Teil der Serie näher erläutern)

Hinweis: Der KCC ist ein Prozess und nicht ein Dienst. Das würde bedeuten, dass der KCC in der Dienstesteuerung als „Dienst" auftauchen würde.

Die Replikation zwischen DCs innerhalb des gleichen Standortes basiert auf Benachrichtigungen, die innerhalb von fünf Minuten nach einer Änderung an einem Objekt in der Domäne ausgegeben wird.
Wenn eine Änderung an einem Objekt vorgenommen wurde, dauert es in der Regel 15 Sekunden bis eine Änderungsnachricht (Change Notification) an den nächstliegenden Replikationspartner versandt wird. Wenn der Quelldomänencontroller mehrere Replikationspartner hat, werden nach und nach Benachrichtigungen standardmäßig alle 3 Sekunden an die weiteren Replikationspartner versandt (bei der Gesamtstrukturfunktionsebene Windows Server 2003).
Wenn die Domäne von Windows Server 2000 auf Windows Server 2003 aktualisiert wurde oder die Gesamtstruktur sich im „Windows Server 2000" Mode befindet, dann sind es 300 Sekunden für eine Replikationsankündigung und 30 Sekunden Wartezeit (Verzögerung) für die weiteren Replikationspartner. (Verhältnis 15/3 zu 300/30)

Zeitpläne sind sehr von Bedeutung, wenn z.B. eine Zeit lang nicht repliziert werden würde (da nichts ge/verändert wurde), so repliziert das Active Directory standardmäßig alle 6 Stunden trotzdem um sicherzustellen das „alle" auf dem aktuellen Stand sind und so auch sicher zu stellen das die Replikationstopologie in Takt ist und keine Verbindungsprobleme bestehen.

Bei einigen Verzeichnisänderungen wie z.B. Konto gesperrt oder Änderung an den Kennwort-Policys bzw. ändern des Domänen-Administrator Kennworts, gelten die 15 Sekunden Wartezeit nicht, sondern dies geschieht sofort.
Die sofortige Replikation wird auch als dringende Replikation bezeichnet.

Wenn z.B. der Client bootet und sich anmelden möchte, meldet er sich standardmäßig an einem Domänencontroller innerhalb des eigenen Standortes an sowie wenn er eine Dienst-Anfrage startet, fragt er an einem Domänencontroller desselben Standortes an.
Der Client gehört automatisch dem Standort an welchem der Server der dem Client seine Anmeldeinformationen (IP,DNS usw.) übermittelt hat, angehört.
Falls der Server oder der Client eine IP-Adresse hat die keinem Standort zugeordnet ist, wird der Server bzw. Client automatisch dem zuerst erstellten Standort zugeordnet, dem Standort „Standardname-des-ersten-Standorts".

Active Directory repliziert Verzeichnisinformationen innerhalb eines Standortes (Intra-Site) häufiger als zwischen Standorten. So erhalten die Domänencontroller mit den schnellsten Verbindungen, also die, die bestimmte Verzeichnisinformationen am ehesten benötigen, die replizierten Daten zuerst.
Die Domänencontroller in den anderen Standorten erhalten die Änderungen ebenfalls, nur nicht so häufig um Bandbreite zu sparen.

Die Replikation zwischen den Standorten (Inter-Site) wird von Active Directory anders behandelt als Standortintern, da Standortübergreifend weniger Bandbreite zur Verfügung steht als Standortintern.

Bei entsprechend konfigurierter Dienste kann das Datenvolumen bei der Standortinternen Active Directory Replikation folgendes enthalten:

- Änderung an der Active Directory - Datenbank (NTDS.dit)
- Replikation des SYSVOL - Ordners
- Replikation des DFS (Distributed File Systems)

Standortintern geschieht die Replikation unkomprimiert währenddessen sie Standortübergreifend komprimiert repliziert wird.

Hier noch ein paar Beispiele für das einrichten eines oder mehrerer Standorte

Das „optimale" Replikationsverhalten hängt sehr von der physikalischen Struktur des Netzwerks ab. Wenn z.B. ein Unternehmen bloß an einem Standort besteht (ein Netz) mit hoher Bandbreite, empfiehlt sich ein Einzelstandort.
Falls das Unternehmen an mehreren geografischen Standorten existiert, die evtl. durch „langsame" WAN - Anbindungen untereinander verbunden sind, dann sollten mehrere Standorte eingerichtet werden um das Replikationsverhalten präziser zu steuern. Auch reduziert sich im Zusammenhang mit der Authentifizierung die Wartezeit und die Netzwerklast ist geringer im WAN.

Vorteile eines Einzelstandorts:

-          Einfache Replikation
-          Replikation geschieht mehr oder weniger automatisch durch Änderungsnachricht dadurch sind alle DCs stets auf dem aktuellen Stand
-          Keine Replikationskonfiguration
-          Weniger Hardware
-          Weniger Administration

Vorteile mehrerer Standorte:

-          Bessere Steuerung und effiziente Ausnutzung der WAN-Bandbreite bei der Replikation
-          Reduzierung der Wartezeiten bei der Authentifizierung (Client sucht zuerst einen Domänencontroller am gleichen Standort um sich anzumelden).
-          Präzise Replikationssteuerung durch relative Kostenkontrolle

..... to be continued :)