Exporteren (0) Afdrukken
Alles uitvouwen

Bijlage A: Achtergrondinformatie over de upgrade van Active Directory-domeinen naar Windows Server 2008 AD DS-domeinen

Bijgewerkt: april 2008

Van toepassing op: Windows Server 2008, Windows Server 2008 R2

Voordat u begint met het upgradeproces voor uw Windows 2000- of Windows Server 2003 Active Directory-omgeving naar Windows Server 2008 AD DS (Active Directory Domain Services), moet u zorgen dat u bekend bent met een aantal belangrijke kwesties die betrekking hebben op het upgradeproces.

Hulpprogramma voor de voorbereiding van Active Directory

Als u Windows 2000- of Windows Server 2003-forests en -domeinen wilt voorbereiden voor een upgrade naar AD DS of voor de introductie van een Windows Server 2008-domeincontroller, moet u het hulpprogramma voor de voorbereiding van Active Directory (Adprep.exe) gebruiken. Adprep.exe kunt u vinden in de map \sources\adprep op de dvd met het besturingssysteem Windows Server 2008.

Met Adprep.exe wordt een aantal bewerkingen vóór de installatie van de eerste Windows Server 2008-domeincontroller uitgevoerd om de forests en domeinen voor te bereiden op een AD DS-upgrade. Dit zijn onder andere de volgende bewerkingen:

  • Uw huidige schema wordt uitgebreid met nieuwe schemagegevens die het hulpprogramma Adprep.exe levert, terwijl eerdere schemawijzigingen in uw omgeving behouden blijven.

  • Bevoegdheden van containers en objecten in Active Directory worden opnieuw ingesteld voor verbeterde beveiliging en samenwerking met -domeinen.

  • Beheerprogramma's worden gekopieerd voor het beheer van -domeinen op de lokale computer.

Zie Uw infrastructuur voorbereiden voor een upgrade voor meer informatie over het gebruik van Adprep.exe om uw omgeving voor te bereiden.

Toepassingsmappartities voor DNS

Toepassingsmappartities zijn bestemd voor de opslag van toepassingsspecifieke gegevens die kunnen worden gerepliceerd naar een specifieke set domeincontrollers in hetzelfde forest. Als u in uw forest ten minste één domeincontroller met Windows Server 2008 hebt en Windows Server 2008 ook wordt uitgevoerd op de master voor domeinnaamgeving, kunt u profiteren van toepassingsmappartities.

U kunt toepassingsmappartities bijvoorbeeld gebruiken om DNS-gegevens (Domain Name System) op te slaan op Windows Server 2008-domeincontrollers. In het forest en in elk domein worden automatisch DNS-specifieke toepassingsmappartities gemaakt wanneer de DNS Server-service is geïnstalleerd op nieuwe of bijgewerkte Windows Server 2008-domeincontrollers. Als het niet lukt om toepassingsmappartities te maken tijdens de installatie van AD DS, wordt steeds wanneer de service wordt gestart, geprobeerd om de partities te maken. Om toepassingsmappartities (inclusief de standaardtoepassingsmappartities voor DNS) te kunnen maken of verwijderen, moet de houder van de functie van operations-master voor domeinnaamgeving zich bevinden op een Windows Server 2008-domeincontroller.

Tijdens de installatie van AD DS worden de volgende DNS-specifieke toepassingsmappartities gemaakt:

  • ForestDnsZones: een toepassingsmappartitie voor het hele forest die wordt gedeeld door alle DNS-servers in hetzelfde forest.

  • DomainDnsZones: een toepassingsmappartitie voor het hele domein voor elke DNS-server in hetzelfde domein.

SRV-bronrecords (Service Location)

De Net Logon-service op een Windows Server 2008-domeincontroller gebruikt dynamische updates om SRV-bronrecords (Service Location) te registreren in de DNS-database. Deze SRV-bronrecord wordt gebruikt om de naam van een service (zoals de LDAP-service (Lightweight Directory Access Protocol)) toe te wijzen aan de DNS-computernaam van een server die die service aanbiedt. In een Windows Server 2008-netwerk bepaalt een LDAP-bronrecord de locatie van een domeincontroller. Een werkstation dat zich bij een Windows Server 2008-domein aanmeldt, vraagt bij DNS SRV-bronrecords op in de volgende algemene vorm:

_<Service>._<Protocol>.<DnsDomainName>

Waarbij <Service> de gevraagde service, <Protocol> het gevraagde protocol en <DnsDomainName>de volledig gekwalificeerde DNS-naam van het AD DS-domein is.

AD DS-servers bieden de LDAP-service aan via het TCP-protocol. Clients kunnen een LDAP-server daarom vinden door bij DNS een record met de volgende indeling op te vragen:

_ldap._tcp.<DnsDomainName>

noteNote
De tekenreeksen voor de service en het protocol moeten beginnen met een onderstrepingsteken ( _ ) om mogelijke conflicten met bestaande namen in de naamruimte te voorkomen.

Deze indeling is geschikt voor implementaties van andere LDAP-servers dan Windows Server 2008-domeincontrollers en ook voor mogelijke implementaties van LDAP-directoryservices waarin andere globale-catalogusservers zijn geïmplementeerd dan servers met Windows Server 2008.

Het subdomein _msdcs.domeinnaam

Dit specifieke subdomein van Microsoft maakt het mogelijk domeincontrollers met specifieke Windows Server 2008-functies in het domein te zoeken. Dit subdomein maakt het ook mogelijk om domeincontrollers op basis van de GUID (Globally Unique IDentifier) te zoeken wanneer de naam van een domein is gewijzigd.

De Net Logon-service registreert (naast records met de standaardindeling _Service._Protocol.<DnsDomainName>) ook SRV-bronrecords met de bekende serverpseudoniemen 'dc' (domeincontroller), 'gc' (globale catalogus), 'pdc' (primaire domeincontroller) en 'domains' (GUID) als voorvoegsels in het subdomein _msdcs.<domeinnaam> om het zoeken naar Windows Server 2008-domeincontrollers te vereenvoudigen. Windows Server 2008-domeincontrollers registreren SRV-bronrecords met de volgende indeling in het subdomein _msdcs.<domeinnaam>, zodat domeincontrollers kunnen worden gezocht op servertype of op GUID (afkorting 'dctype'):

_Service._Protocol.DcTyle._msdcs.<DnsDomainName>

Het subdomein _msdcs.foresthoofddomein

In het subdomein _msdcs.foresthoofddomein worden bronrecords voor het hele forest opgeslagen die van belang zijn voor clients en domeincontrollers uit alle delen van het forest. Alle domeincontrollers in het forest registreren bijvoorbeeld alias- (CNAME) en LDAP-, Kerberos- en GC SRV-bronrecords in het subdomein _msdcs.foresthoofddomein. De aliasbronrecords (CNAME) worden door het replicatiesysteem gebruikt om replicatiepartners te zoeken en de GC SRV-bronrecords worden door clients gebruikt om globale-catalogusservers op te zoeken.

Twee domeincontrollers die met elkaar willen repliceren, inclusief twee domeincontrollers uit hetzelfde domein, moeten locatorrecords voor het gehele forest kunnen opzoeken. Een nieuwe domeincontroller die wil deelnemen aan replicatie, moet records voor het gehele forest kunnen registreren in DNS en andere domeincontrollers moeten deze records kunnen opzoeken. Daarom moeten de DNS-servers die als autoriteit optreden voor het subdomein _msdcs.foresthoofddomein, beschikbaar zijn voor replicatie en voor zoekopdrachten in globale catalogussen.

U wordt hierom ook aangeraden een afzonderlijke zone _msdcs.foresthoofddomein te maken en de replicatiescope hiervan zodanig te definiëren dat deze wordt gerepliceerd naar alle DNS-servers in het forest.

Sommige organisaties die Windows 2000 Active Directory uitvoeren hebben al een _msdcs.foresthoofddomein gemaakt zodat clients efficiënter naar domeincontrollers kunnen zoeken. Als er al een _msdcs.foresthoofddomein bestaat in uw Windows 2000-omgeving, wordt u aangeraden deze zone naar de toepassingsmappartitie ForestDnsZones te verplaatsen nadat op alle domeincontrollers in het forest Windows Server 2008 wordt uitgevoerd. Verplaats bovendien voor elk domein in het forest de zone _msdcs.<domeinnaam> naar de toepassingsmappartitie DomainDnsZones voor dat domein.

Het verplaatsen van de met Active Directory geïntegreerde DNS-zones naar de toepassingsmappartities voor het hele domein en het hele forest, heeft de volgende voordelen:

  • Omdat de toepassingsmappartitie voor het hele forest kan repliceren buiten een bepaald domein en omdat het _msdcs.foresthoofddomein bij het verplaatsen naar de toepassingsmappartitie voor het hele forest wordt gerepliceerd naar alle domeincontrollers in het forest waarop de DNS Server-service wordt uitgevoerd, hoeft u geen gebruik te maken van DNS-zoneoverdracht om de gegevens van het zonebestand te repliceren naar DNS-servers buiten het domein.

  • Replicatie van het hele domein kan worden uitgevoerd om replicatieverkeer te minimaliseren, omdat beheerders kunnen opgeven welke domeincontrollers waarop de DNS Server-service wordt uitgevoerd de DNS-zonegegevens kunnen ontvangen.

  • Replicatie van het hele forest kan worden uitgevoerd om replicatieverkeer te minimaliseren, omdat DNS-gegevens niet meer hoeven te worden gerepliceerd naar de globale catalogus.

  • DNS-records die zich bevinden op globale-catalogusservers in het forest, worden verwijderd waardoor er minder informatie naar de globale catalogus hoeft te worden gerepliceerd.

Zie DNS-gegevens naar DNS-toepassingsmappartities verplaatsen voor meer informatie over opslaan van DNS-gegevens in toepassingsmappartities.

Frequentie van intrasitereplicatie

De standaardfrequentie van 300/30 voor intrasitereplicatie blijft behouden op Windows 2000-domeincontrollers waarvoor een upgrade naar Windows Server 2008 is uitgevoerd. Dat wil zeggen dat alle wijzigingen in AD DS 5 minuten (300 seconden) nadat de wijziging is aangebracht naar alle andere domeincontrollers in dezelfde site worden gerepliceerd, met een afwijking van 30 seconden voordat de volgende domeincontroller op de hoogte wordt gebracht, totdat het forest-functionaliteitsniveau wordt verhoogd naar Windows Server 2008. Wanneer het forest-functionaliteitsniveau naar Windows Server 2008 is verhoogd, wordt de replicatiefrequentie van AD DS ingesteld op de standaardinstelling 15/3 van Windows Server 2008. Dat wil zeggen dat alle wijzigingen 15 seconden nadat de wijziging is aangebracht naar alle domeincontrollers in dezelfde site worden gerepliceerd, met een afwijking van drie seconden voordat de volgende domeincontroller op de hoogte wordt gebracht. Als u de standaardreplicatiefrequentie van 300/30 hebt gewijzigd in Windows 2000, wordt deze instelling niet gewijzigd in de standaardinstelling 15/3 nadat de upgrade naar Windows Server 2008 is voltooid. In een nieuwe installatie van Windows Server 2008 wordt echter altijd de standaardfrequentie van 15/3 voor intrasitereplicatie ingesteld.

ImportantImportant
Wijzig de standaardfrequentie van 300/30 voor intrasitereplicatie niet op Windows 2000-domeincontrollers. Voer in plaats daarvan voor uw Windows 2000-domein een upgrade naar Windows Server 2008 uit en verhoog het forest-functionaliteitsniveau naar Windows Server 2008 om te kunnen profiteren van de intrasitereplicatiefrequentie van 15/3.

Nieuwe groepen en nieuwe groepslidmaatschappen die worden gemaakt na de upgrade van de PDC

Nadat voor de Windows 2000-domeincontroller die houder is van de functie van operations-master voor PDC-emulatie (Primary Domain Controller) (ook wel FSMO of Flexibele Single Master Operations genoemd) in elk domein in het forest een upgrade is uitgevoerd naar Windows Server 2003, worden diverse nieuwe, bekende en ingebouwde groepen gemaakt. Ook worden enkele nieuwe groepslidmaatschappen tot stand gebracht. Als u de functie van operations-master voor PDC-emulatie overbrengt naar een Windows Server 2003- of een Windows Server 2008-domeincontroller in plaats van een upgrade uit te voeren, worden deze groepen gemaakt wanneer de functie wordt overgebracht. De nieuwe, bekende en ingebouwde groepen zijn onder meer:

  • Ingebouwd\Externe bureaubladgebruikers

  • Ingebouwd\Netwerkconfiguratieoperators

  • Prestatiemetergebruikers

  • Prestatielogboekgebruikers

  • Ingebouwd\Builders van binnenkomende forestvertrouwensrelaties

  • Ingebouwd\Prestatiemetergebruikers

  • Ingebouwd\Prestatielogboekgebruikers

  • Ingebouwd\Groep voor toegang tot Windows-machtigingen

  • Ingebouwd\Terminal Server-licentieservers

Nieuw tot stand gebrachte groepslidmaatschappen zijn onder meer:

  • Als de groep Iedereen aanwezig is in de groep Pre-Windows 2000-compatibele toegang, worden de groep Anonieme aanmelding en de groep Geverifieerde gebruikers ook toegevoegd aan de groep Pre-Windows 2000-compatibele toegang.

  • De groep Netwerkservers wordt toegevoegd aan de alias Prestatiecontrole.

  • De groep Ondernemingsdomeincontrollers wordt toegevoegd aan de groep voor toegang tot Windows-machtigingen.

Wanneer een upgrade wordt uitgevoerd voor de Windows 2000-domeincontroller die houder is van de functie van master voor PDC-emulatie in het foresthoofddomein, worden bovendien de volgende aanvullende beveiligings-principals gemaakt:

  • Lokale service

  • Netwerkservice

  • NTLM-verificatie

  • Andere organisatie

  • Externe interactieve aanmelding

  • SChannel-verificatie

  • Deze organisatie

Nadat voor de Windows Server 2003-domeincontroller die houder is van de functie van master voor PDC-emulatie in elk domein in het forest een upgrade is uitgevoerd naar Windows Server 2008 of nadat de functie van operations-master voor PDC-emulatie is overgebracht naar een -domeincontroller of nadat een alleen-lezen domeincontroller is toegevoegd aan uw Windows Server 2008 AD DS-domein, worden de volgende nieuwe, bekende en ingebouwde groepen gemaakt:

  • Ingebouwd\IIS_IUSRS

  • Ingebouwd\Cryptografie-operators

  • Groep voor replicatie van wachtwoorden toegestaan op alleen-lezen domeincontrollers

  • Groep voor replicatie van wachtwoorden geweigerd op alleen-lezen domeincontrollers

  • Alleen-lezen domeincontrollers

  • Ingebouwd\Lezers van gebeurtenislogboeken

  • Alleen-lezen domeincontrollers in de onderneming (wordt alleen gemaakt in het foresthoofddomein)

  • Ingebouwd\DCOM-toegang voor certificaatservice

De volgende nieuwe groepslidmaatschappen worden tot stand gebracht:

  • De beveilings-principal IUSR wordt toegevoegd aan de groep Ingebouwd\IIS_IUSRS

  • De volgende groepen worden toegevoegd aan de groep voor replicatie van wachtwoorden geweigerd op alleen-lezen domeincontrollers:

    • Maker Eigenaar Groepsbeleid

    • Domeinadministrators

    • Certificaatuitgevers

    • Domeincontrollers

    • Krbtgt

    • Ondernemingsadministrators

    • Schema-administrators

    • Alleen-lezen domeincontrollers

  • De beveiligings-principal Netwerkservice wordt toegevoegd aan Ingebouwd\Prestatielogboekgebruikers

  • Bovendien worden de volgende nieuwe, aanvullende beveiligings-principals gemaakt in het nieuwe foresthoofddomein:

  • IUSR

  • Eigendomsrechten

  • De naam van de beveiligings-principal Well-Known-Security-Id-System wordt gewijzigd in System.

    noteNote
    Als u de functie van operations-master voor PDC-emulatie van een Windows 2000-domeincontroller overbrengt naar een -domeincontroller, worden alle nieuwe, bekende en ingebouwde groepen en nieuw tot stand gebrachte groepslidmaatschappen gemaakt die hierboven zijn vermeld..

Overwegingen met betrekking tot het beveiligingsbeleid bij de upgrade van Windows 2000 naar Windows Server 2003

Het beveiligingsbeleid SMB-pakketondertekening (Server Message Block) en ondertekening via een beveiligd kanaal worden standaard ingeschakeld op Windows Server 2008-domeincontrollers. Als u wilt dat clients met eerdere versies van Windows kunnen communiceren met domeincontrollers waarop Windows Server 2008 wordt uitgevoerd, moet u dit beveiligingsbeleid mogelijk tijdelijk uitschakelen tijdens het upgradeproces.

SMB-pakketondertekening

SMB-pakketondertekening is een beveiligingsmechanisme dat de gegevensintegriteit beveiligd van SMB-verkeer tussen clientcomputers en servers en aanvallen van schadelijke software voorkomt door een vorm van wederzijdse verificatie. Hiervoor wordt een digitale beveiligingshandtekening in elk SMB-pakket geplaatst die vervolgens wordt geverifieerd door de ontvangende partij. SMB-ondertekening op de server is standaard vereist op Windows Server 2008-domeincontrollers. Dit wil zeggen dat SMB-pakketondertekening moet zijn ingeschakeld op alle clients.

Clients met Windows NT 4.0 met Service Pack 2 (SP2) of ouder en bepaalde besturingssystemen die niet van Microsoft zijn, ondersteunen geen SMB-pakketondertekening. Deze clients kunnen niet worden geverifieerd bij een Windows Server 2008-domeincontroller. Om verificatie voor deze clients mogelijk te maken, moet u op deze clients een upgrade naar een latere versie van het besturingssysteem of van het servicepack uitvoeren. Als u op uw clients echter geen upgrade kunt uitvoeren, kunt u verificatie toestaan door SMB-pakketondertekening te configureren op alle Windows Server 2008-domeincontrollers, zodat SMB-pakketondertekening is toegestaan maar niet is vereist.

Zie Standaardbeveiligingsbeleid wijzigen op Windows Server 2008-domeincontrollers voor meer informatie over het configureren van SMB-pakketondertekening op Windows Server 2008-domeincontrollers.

Ondertekening en versleuteling via een beveiligd kanaal

Wanneer een computer lid wordt van een domein, wordt een computeraccount gemaakt. Telkens als de computer wordt opgestart, wordt met het wachtwoord van de computeraccount een beveiligd kanaal tot stand gebracht met een domeincontroller voor het domein. Dit beveiligde kanaal wordt gebruikt voor beveiligde communicatie tussen een domeinlid en een domeincontroller voor het domein. Ondertekening via een beveiligd kanaal is standaard vereist op Windows Server 2008-domeincontrollers. Dit betekent dat op alle clients ondertekening en versleuteling via een beveiligd kanaal moet zijn ingeschakeld.

Clients met Windows NT 4.0 met Service Pack 3 (SP3) of oudere versies ondersteunen geen ondertekening via een beveiligd kanaal. Deze clients kunnen geen communicatie tot stand brengen met een Windows Server 2008-domeincontroller. Om communicatie voor deze clients mogelijk te maken, moet u op deze clients een upgrade naar een latere versie van het besturingssysteem of van het servicepack uitvoeren. Als u echter geen upgrade kunt uitvoeren op uw clients, moet u ondertekening via een beveiligd kanaal uitschakelen op alle Windows Server 2008-domeinen, zodat verkeer dat via het beveiligde kanaal worden verzonden, niet hoeft te worden beveiligd of versleuteld.

Zie Standaardbeveiligingsbeleid wijzigen op Windows Server 2008-domeincontrollers voor meer informatie over het configureren van ondertekening via een beveiligd kanaal op Windows Server 2003-domeincontrollers.

Vindt u dit nuttig?
(1500 tekens resterend)
Bedankt voor uw feedback

Community-inhoud

Toevoegen
Weergeven:
© 2014 Microsoft