Overzicht van Active Directory Domain Services

  • Artikel

 

Van toepassing op: Windows Server 2012

All_Symbols_Cloud

Wist u dat Microsoft Azure vergelijkbare functionaliteit biedt in de cloud? Meer informatie over Microsoft Azure-identiteitsoplossingen.

Een hybride identiteitsoplossing maken in Microsoft Azure:
- Windows Server Active Directory implementeren op virtuele machines van Azure.
- Informatie over de oplossing voor identiteits- en toegangsbeheeroplossing die beschikbaar is bij Microsoft Enterprise Mobility.
- Een replica Active Directory-domeincontroller installeren in een virtueel Azure-netwerk.
- Identiteiten beheren voor hybride omgevingen met één forest met behulp van cloudverificatie.
- Meer informatie over Azure Active Directory en hoe u deze kunt integreren in uw bestaande Active Directory-infrastructuur.

Met behulp van de serverfunctie AD DS (Active Directory® Domain Services) kunt u een schaalbare, veilige en beheerbare infrastructuur maken voor gebruikers- en resourcebeheer, en ondersteuning bieden voor Active Directory-toepassingen zoals Microsoft® Exchange Server.

In de rest van dit onderwerp wordt een overzicht van de AD DS-serverfunctie gegeven. Zie What's New in Active Directory Domain Services (AD DS) (Engelstalig) voor meer informatie over nieuwe functies in AD DS in Windows Server 2012.

AD DS biedt een gedistribueerde database voor opslag en beheer van informatie over netwerkbronnen en toepassingsspecifieke gegevens uit toepassingen die gebruikmaken van Active Directory. Een server waarop AD DS wordt uitgevoerd, heet een domeincontroller. Beheerders kunnen AD DS gebruiken om elementen van een netwerk, zoals gebruikers, computers en andere apparaten, in een hiërarchische structuur in te delen. De hiërarchische structuur bevat het Active Directory-forest, domeinen in het forest en organisatie-eenheden (OE's) in elk domein.

Netwerkelementen in een hiërarchische structuur indelen biedt de volgende voordelen:

  • Het forest fungeert als beveiligingsgrens voor een organisatie en definieert het bereik van de autorisaties van beheerders. Standaard bevat een forest één domein: het foresthoofddomein.

  • Extra domeinen kunnen in het forest worden gemaakt voor partitionering van AD DS-gegevens, zodat organisaties alleen waar nodig gegevens hoeven te repliceren. Hierdoor kan met AD DS globaal worden geschaald over een netwerk met beperkte bandbreedte. Een Active Directory-domein ondersteunt ook een aantal andere kernfuncties die betrekking op beheer hebben, zoals een gebruikersidentiteit voor het hele netwerk, verificatie en vertrouwensrelaties.

  • OE's vereenvoudigen de overdracht van autorisaties, waardoor het beheer van grote aantallen objecten mogelijk wordt. Eigenaars kunnen volledige of beperkte autorisatie over objecten overdragen aan andere gebruikers of groepen. Overdracht is belangrijk voor de distributie van het beheer van grote aantallen objecten naar vertrouwde mensen die beheertaken kunnen uitvoeren.

Beveiliging is geïntegreerd met AD DS, via aanmeldingsverificatie en toegangsbeheer voor bronnen in de directory. Met één aanmelding bij het netwerk kunnen beheerders gegevens en organisatie van een directory in hun gehele netwerk beheren. Geautoriseerde netwerkgebruikers kunnen ook met één aanmelding toegang krijgen tot bronnen overal in het netwerk. Beheer op basis van beleid kan het beheer van zelfs het meest complexe netwerk vergemakkelijken.

AD DS heeft daarnaast de volgende functies:

  • Een verzameling regels (het schema) waardoor de klassen van objecten en kenmerken zijn gedefinieerd die zijn opgenomen in de directory, evenals de beperkingen op exemplaren van deze objecten en de indeling van hun namen.

  • Een globale catalogus die gegevens over elk object in de directory bevat. Gebruikers en beheerders kunnen met de globale catalogus directorygegevens vinden, ongeacht welk domein in de directory de gegevens daadwerkelijk bevat.

  • Een mechanisme met query’s en indexen, zodat objecten en hun eigenschappen door netwerkgebruikers en toepassingen kunnen worden gepubliceerd en gevonden.

  • Een replicatieservice die directorygegevens in een netwerk distribueert. Alle beschrijfbare domeincontrollers in een domein nemen deel aan replicatie en bevatten een volledige kopie van alle directorygegevens voor hun domein. Elke wijziging van directorygegevens wordt gerepliceerd naar alle domeincontrollers in het domein.

  • Functies van de operations-master (ook wel FSMO-functies (Flexible Single Master Operations) genoemd). Domeincontrollers die functies van operations-masters bevatten, worden aangewezen om specifieke taken uit te voeren om te consistentie te garanderen en conflicterende vermeldingen in de directory te elimineren.

Vereisten voor het uitvoeren van Active Directory Domain Services

Welke hardware, software en instellingen zijn vereist voor het uitvoeren van deze functie? Welke vereisten zijn er voor het uitvoeren van de functie? Is voor deze functie speciale hardware nodig?

Vereiste

Beschrijving

TCP/IP

Juiste TCP/IP- en DNS-serveradressen configureren.

NTFS

De stations waarin de database, logboekbestanden en SYSVOL-map voor Active Directory Domain Services (AD DS) worden opgeslagen, moeten op een lokaal vast volume worden geplaatst. SYSVOL moet op een volume worden geplaatst dat is geformatteerd met het NTFS-bestandssysteem. In verband met de beveiliging moeten de database en de logboekbestanden van Active Directory op een volume worden geplaatst dat is geformatteerd met NTFS.

Referenties

Als u een nieuw AD DS-forest wilt installeren, moet u een lokale beheerder op de server zijn. Als u een extra domeincontroller wilt installeren in een bestaand domein, moet u lid zijn van de groep Domeinadministrators.

DNS-infrastructuur (Domain Name System)

Controleer of de DNS-infrastructuur aanwezig is. Wanneer u AD DS installeert, kunt u tegelijk de DNS-server installeren als dat nodig is.

Wanneer u een nieuw domein maakt, wordt tijdens de installatie automatisch een DNS-overdracht gemaakt. Voor het maken van een DNS-overdracht zijn referenties nodig met bevoegdheid om de bovenliggende DNS-zones bij te werken.

Zie voor meer informatie de pagina van wizard DNS-opties.

Adprep

Voor het toevoegen van de eerste domeincontroller met Windows Server 2012 aan een bestaande Active Directory worden automatisch opdrachten van adprep.exe uitgevoerd wanneer dat nodig is. Voor deze opdrachten gelden aanvullende vereisten voor referenties en connectiviteit.

Zie Running Adprep.exe (Engelstalig) voor meer informatie.

Alleen-lezen domeincontrollers (RODC's)

Aanvullende vereisten voor het installeren van RODC's:

  • Het functionele niveau van het forest moet ten minste Windows Server 2003 zijn.

  • Ten minste één beschrijfbare domeincontroller met Windows Server 2008 of hoger moet in hetzelfde domein zijn geïnstalleerd.

Zie Prerequisites for Deploying an RODC (Engelstalig) voor meer informatie.

Notitie

Met uitzondering van een DNS-server moeten domeincontrollers in het algemeen geen andere serverfuncties hosten.

Active Directory Domain Services uitvoeren

Hoe implementeer en configureer ik deze functie met behulp van Windows PowerShell?

Zie de Active Directory Domain Services Deployment Guide (https://go.microsoft.com/fwlink/?LinkId=222597) (Engelstalig) voor stapsgewijze instructies voor het installeren en configureren van AD DS met behulp van de ADDSDeployment-module voor de Windows PowerShell®-opdrachtregelinterface.

Hoe implementeer en configureer ik deze functie in een omgeving met meerdere servers?

AD DS is een gedistribueerde service die is ontworpen om te worden uitgevoerd op meerdere domeincontrollers. Zie de Active Directory Domain Services Deployment Guide (https://go.microsoft.com/fwlink/?LinkId=222597) (Engelstalig) voor stapsgewijze instructies voor het installeren en configureren van AD DS op meerdere domeincontrollers.

Hoe kan ik deze functie op virtuele machines uitvoeren?

AD DS in Windows Server 2012 bevat veiligheidsvoorzieningen voor het uitvoeren van de functie in virtuele machines, zodat veiligheid en consistentie van gevirtualiseerde AD DS-omgevingen zijn gegarandeerd. Zie Running Domain Controllers in Hyper-V (https://go.microsoft.com/fwlink/?LinkID=213293) (Engelstalig) voor meer informatie over het uitvoeren van AD DS op virtuele machines.

Beveiligingsoverwegingen bij het uitvoeren van deze functie

Na de installatie is AD DS standaard veilig. Zie de Best Practice Guide for Securing Active Directory Installations (Engelstalig) voor meer informatie over de standaardbeveiligingsinstellingen voor domeincontrollers, risico's en het veilig werken met domeincontrollers.

Speciale overwegingen voor het extern beheren van deze functie

Voor extern beheer van AD DS installeert u de Remote Server Administration Tools (RSAT). Er is een 32-bits versie en een 64-bits versie van RSAT. Zie voor meer informatie Remote Server Administration Tools (https://go.microsoft.com/fwlink/?LinkId=222628) (Engelstalig).

Speciale overwegingen voor het beheer van de functie op de Server Core-installatieoptie

AD DS kan worden geïnstalleerd in een Server Core-installatie of op een server met een minimale serverinterface en wordt aanbevolen in gevallen waarin het voordelig is om de voetafdruk van de installatie van het besturingssysteem te verkleinen, bijvoorbeeld voor een specifieke serverfunctie in een datacenter, voor virtualisatiegasten of RODC's in externe kantoren. In Windows Server 2012 en hoger kan een domeincontroller die wordt uitgevoerd in een Server Core-installatie, worden geconverteerd naar een serverinstallatie met een grafische gebruikersinterface (ook wel bekend als een volledige installatie), en omgekeerd.

Upgraden van een Server Core-installatie die wordt uitgevoerd onder een eerdere versie van Windows Server, wordt ondersteund. Er is echter geen manier om rechtstreeks van een Server Core-installatie van een eerdere versie van Windows Server te upgraden naar een serverinstallatie met een grafische gebruikersinterface, of rechtstreeks van een serverinstallatie met een grafische gebruikersinterface naar een Server Core-installatie. In dit geval moet u rechtstreeks upgraden naar hetzelfde installatietype op Windows Server 2012 en vervolgens na de upgrade converteren naar een andere installatie, indien nodig.

Zie Windows Server Installation Options (Engelstalig) voor meer informatie.

Functieservices voor Active Directory Domain Services

Identiteitsbeheer voor UNIX is een functieservice van AD DS die alleen op domeincontrollers kan worden geïnstalleerd. Met behulp van twee technologieën van Identiteitsbeheer voor UNIX, namelijk Server voor NIS en Wachtwoordsynchronisatie, kunt u gemakkelijker computers met Windows® in uw UNIX-onderneming integreren. AD DS-beheerders kunnen Server voor NIS gebruiken voor het beheren van NIS-domeinen (Network Information Service). Door Wachtwoordsynchronisatie worden wachtwoorden automatisch gesynchroniseerd tussen Windows- en UNIX-besturingssystemen.

Functieservicetechnologieën

Beschrijving van functieservice

Server voor NIS

Hiermee kan een Active Directory-domeincontroller van Microsoft Windows NIS-netwerken van UNIX beheren. Zie Overview of Server for NIS (https://go.microsoft.com/fwlink/?LinkId=222677) (Engelstalig) voor meer informatie.

Wachtwoordsynchronisatie

Dit draagt bij aan de integratie van Windows- en UNIX-netwerken door het onderhouden van veilige wachtwoorden in beide omgevingen te vereenvoudigen. Zie Overview of Password Synchronization (https://go.microsoft.com/fwlink/?LinkId=222676) (Engelstalig) voor meer informatie.

Aanvullende naslaginformatie