Was vorher geschah …

Im Microsoft-Universum spielen die Begriffe Domäne und Domain Controller eine zentrale Rolle. Die Domäne, wie sie Microsoft definiert, hat nichts mit einer DNS Domain zu tun, sondern ist eine organisatorische Verwaltungseinheit in Windows-Netzen, die bei Windows NT die einfache Arbeitsgruppe durch ein sicheres Konzept der Ressourcenverwaltung im Netzwerk abgelöst hat.

In diesem Kontext ist eine Domäne laut Microsoft ein lokaler Sicherheitsbereich mit zentraler Verwaltung der Ressourcen und stellte außerdem seinerzeit eine administrative Grenze dar. Ein Domain Controller (DC) ist dabei ein Server zur zentralen Authentifizierung und Autorisierung von Benutzern und Computern und Benutzern im Netz. In einem Netzwerk mit Domain Controller lassen sich Rechner mit dem Betriebssystem Windows NT und Folgeversionen (dazu gehören als Clients auch XP, Vista und 7) zu einer Domäne zusammenschließen.

Zentralisiert

Im Gegensatz zu den Workgroups von Windows 9x legt der Administrator am Domain Controller zentral Benutzer und Gruppen fest [2] . Jede Änderung gilt dann für alle Computer, die Mitglied der Domäne sind. Bei Windows NT gab es immer nur einen sogenannten primären Domänencontroller (PDC), der das alleinige Schreibrecht in der Domäne besaß. Seine Datenbank replizierte er optional auf einen oder mehrere Backup Domain Controller (BDC), die eine nur lesbare Sicherheitskopie der User- und Anmeldedaten enthielten und regelmäßig vom PDC aktualisiert wurden.

BDC dienten allerdings nicht nur dazu, im Failover-Fall zum PDC heraufgestuft zu werden, sondern fungierten im Regelbetrieb als vollwertiger DC für alle Anfragen, bei denen Lesezugriff ausreichte. Diese recht übersichtliche Struktur mit nur einem primären Domänencontroller pro Domäne führte über die Zeit bei großen Netzen zu einem unkontrollierbaren Domänen-Wildwuchs mit gezwungenermaßen flacher Struktur. Unternehmen konnten damit ihre meist hierarchische Struktur nicht in der Organisation ihres Netzwerks abbilden.

Gab es mehrere Standorte oder Subunternehmen mit jeweils eigenen Domänen, ließen sich zwar Vertrauensstellungen zwischen Domänen herstellen, die daraus resultierende Struktur glich aber eher einem Spinnennetz als einem geordnetem Verzeichnisbaum, wie ihn LDAP oder AD vorsehen. Das Active Directory übernimmt allerdings deutlich mehr Aufgaben als LDAP in den meisten Unix-Umgebungen. Neben Benutzerkonten und Authentifizierungsdaten speichert das AD nämlich sämtliche Eigenschaften und Attribute einer oder mehrerer Domänen.

Das mit Windows 2000 eingeführte Active Directory ermöglichte es dem Windows-Administrator erstmals, Domänen mit einer hierarchischen Struktur anzulegen, wozu unter anderem der Domain Name Service (DNS) zum Einsatz kommt. Das Active Directoy kann mit der Unternehmenshierarchie und Netzstruktur mitwachsen, basiert aber trotzdem nicht auf einer Cluster-Architektur, sondern auf einem intelligenten Replikationsmechanismus zwischen den verschiedenen Typen von Domänencontrollern, die Strukturmerkmale wie die Netztopologie samt Subnetzen oder Standorte kennen.

Das Active Directory besteht organisatorisch aus drei Bestandteilen, nämlich Schemas, Konfigurationen und Domänen. Das Schema ist wie bei LDAP ein Template für alle Active-Directory-Einträge (Benutzer, Rechner, Drucker) und definiert Objekttypen nebst deren Klassen und Attributen, aber auch die Attributsyntax und wird von allen Domänencontrollern einheitlich verwendet. Welche Objekttypen im Active Directory verfügbar sind, kann der Admin durch das Definieren neuer Typen beeinflussen, wozu er wie bei LDAP gegebenenfalls ein neues Schema mit Objekten und Attributen definiert. Eine Konfiguration bedeutet im Microsoft-Vokabular die Struktur des Active-Directory-Forest mit all seinen Bäumen. Die Domäne schließlich speichert die eigentlichen Informationen über alle in der Domäne erstellten Objekte. Hinsichtlich der Replikation ist wichtig, dass nur Schemas und Konfigurationen zwischen allen Domänencontrollern repliziert werden. Die Grenze einer vollen Domänen-Replikation ist die Domäne selbst.

Im Gegensatz zu Windows NT gib es aber nur einen sogenannten globalen Katalog, der eine wichtige Rolle im Active Directory spielt. Der globale Katalog ist die Menge aller Objekte in einer AD-Gesamtstruktur. Ein globaler Katalogserver ist ein Domänencontroller, der eine vollständige Kopie aller Objekte im Verzeichnis für die dazugehörige Host-Domäne sowie eine schreibgeschützte Teilkopie aller Objekte für alle anderen Domänen in der Gesamtstruktur speichert. So gab es bei Windows 2000 beispielsweise das Problem, dass Schema-Updates stets zu einer Re-Ininitialisierung des globalen Katalogs führten. Im Gegensatz zu Windows NT besitzen nämlich ab Windows 2000 alle Domänencontroller im AD eine beschreibbare Kopie der Active Directory-Datenbank. Das Ändern eines Attributs auf einem der DCs wird in regelmäßigen Abständen auf alle anderen DC repliziert, damit sich alle DCs, abgesehen von den sogenannten Betriebsmaster-Funktionen auf dem gleichen Stand befinden. Solche Flexible Single Master Operations (FSMO) sind im Microsoft-Vokabular spezielle Aufgaben für Domain Controller, die sich zwar auch auf verschiedene Server verteilen lassen, aber nicht auf mehreren Servern gleichzeitig zur Verfügung stehen dürfen. Beim AD ist der Ausfall eines DC unproblematisch für die Active Directory-Datenbank, weil aufgrund der Redundanz keine Informationen verloren gehen können. Lediglich beim Ausfall eines Betriebsmasters muss der Admin schnellstmöglich die FSMO-Rollen an einen oder mehrere andere DCs zuweisen.

Übrigens kann nicht nur ein Windows-Server einen AD-Verzeichnisdienst zur Verfügung stellen, auch ein Linux-Server mit Samba 4 ist dazu in der Lage. Ab Microsoft Windows Server 2008 hat Microsoft zudem das Konzept des Read Only Domain Controller (RODC) eingeführt, welches im Prinzip an den Backup Domain Controller von Windows NT erinnert. Der RODC ist ein Domain Controller ohne Schreibberechtigung und ohne sicherheitsrelevante Daten und lässt sich damit an potenziell unsicheren Standorten nutzen.