Windows NT 5.0 /Windows NT 5.0 /Active DirectoryActive Directory

Thomas ArensUniversity Support CenterUniversität Karlsruhe

Thomas Arens

Windows NT 5.0 Server Windows NT 5.0 Server Was ist neu?Was ist neu?

Active DirectoryActive Directory Distributed ServicesDistributed Services Fehlertoleranz und PerformanceFehlertoleranz und Performance Skalierbarkeit/ 64-Bit-TechnologieSkalierbarkeit/ 64-Bit-Technologie Speicher- und I/O-ErweiterungenSpeicher- und I/O-Erweiterungen Powermanagement/ Plug and PlayPowermanagement/ Plug and Play Zero Administration for WindowsZero Administration for Windows Netzwerk- und KommunikationNetzwerk- und Kommunikation

Distributed ComputingDistributed ComputingZieleZiele

AusfallsicherheitAusfallsicherheit SkalierbarkeitSkalierbarkeit SicherheitSicherheit Ortsunabhängige AnwendungenOrtsunabhängige Anwendungen Einfacher Zugriff auf InformationenEinfacher Zugriff auf Informationen Leichte Administrierbarkeit von Leichte Administrierbarkeit von

WorkstationsWorkstations

Distributed ServicesDistributed Services

Active DirectoryActive Directory Distributed Security (Kerberos)Distributed Security (Kerberos) Distributed File SystemDistributed File System DCOM Distributed Application DCOM Distributed Application

ArchitectureArchitecture Zentrales ManagementZentrales Management

Microsoft Management Console (MMC)Microsoft Management Console (MMC) Zero Administration for Windows (ZAW)Zero Administration for Windows (ZAW)

Active DirectoryActive Directory

Verzeichnis aller RessourcenVerzeichnis aller Ressourcen Benutzer, GruppenBenutzer, Gruppen Rechner, DruckerRechner, Drucker Anwendungen, KonfigurationAnwendungen, Konfiguration ......

Basiert auf Standards (X.500, DNS)Basiert auf Standards (X.500, DNS) Zugriff über LDAP und ADSIZugriff über LDAP und ADSI

LLightweight ightweight DDirectory irectory AAccess ccess PProtocolrotocol AActivective D Directoryirectory S Serviceervice I Interfacenterface

Distributed SecurityDistributed Security

Kerberos Authentisierung für Kerberos Authentisierung für Single-LogonSingle-Logon

Public Key Certificate Server IP Security Unterstützung für Smart Card

RPC runtimeRPC runtime Internet protocolsInternet protocols

SSPISSPI

NTLMNTLM KerberosKerberos SSLSSL

SAMSAM KDCKDC

DCOM applicationDCOM application

WinSock WinSock applicationsapplications

Security Support Provider Interface

Distributed SecurityDistributed Security

Distributed File SystemDistributed File System

OrtstransparenzOrtstransparenz LastverteilungLastverteilung Multimaster ReplikationMultimaster Replikation Verbesserte SicherheitVerbesserte Sicherheit Erhöhte VerfügbarkeitErhöhte Verfügbarkeit

DCOM Distributed DCOM Distributed Application ArchitectureApplication Architecture

Windows NT 5.0 erlaubt die einfacheWindows NT 5.0 erlaubt die einfache

Erstellung verteilter Internet-/Intranet-Erstellung verteilter Internet-/Intranet-

ApplikationenApplikationen Internet Information ServerInternet Information Server Microsoft Message Queue ServerMicrosoft Message Queue Server Microsoft Transaction ServerMicrosoft Transaction Server

Skalierbarkeit /Skalierbarkeit /64-Bit Technologie64-Bit Technologie

VLM-Unterstützung für 64-Bit VLM-Unterstützung für 64-Bit Prozessoren (Alpha, Merced) bis 32 Prozessoren (Alpha, Merced) bis 32 GB RAMGB RAM

SMP-UnterstützungSMP-Unterstützung ClusterfähigClusterfähig

Speicher- und I/O-Speicher- und I/O-ErweiterungenErweiterungen

Neue SpeichermanagementfeaturesNeue Speichermanagementfeatures Disk QuotasDisk Quotas Verschlüsselung (Encrypted FS)Verschlüsselung (Encrypted FS) Hierarchisches SpeicherverwaltungHierarchisches Speicherverwaltung Bessere Unterstützung von Bessere Unterstützung von

WechselmedienWechselmedien Neue I/O-ArchitekturenNeue I/O-Architekturen

IEEE1394, USB-SchnittstellenIEEE1394, USB-Schnittstellen II22O-fähig - intelligente I/OO-fähig - intelligente I/O

Powermanagement &Powermanagement &Plug and PlayPlug and Play

Automatische und dynamische Erkennung der installierten Hardware

Entfernen von Geräten im laufenden Betrieb

Unterstützung von Powersave-Unterstützung von Powersave-FunktionenFunktionen

Multimonitor-FähigkeitMultimonitor-Fähigkeit

Zero AdministrationZero Administration

Zentralisierte Administration und Steuerung der Desktop-Computer

Automatische Betriebssystem-aktualisierung und Anwendungs-installation von einem zentralen Ort

Problemloses Ersetzen eines Computers im Falle fehlerhafter Desktop-Hardware

Client-seitige Fähigkeit zur Zwischenspeicherung von Daten

Leichte Leichte Administrierbarkeit Administrierbarkeit

verteilter Anwendungenverteilter Anwendungen

MS Transaction Server ExplorerMS Transaction Server Explorer

Kontrolle der Kontrolle der TransaktionenTransaktionenInstallation von Installation von PackagesPackagesSecurityhandlingSecurityhandling......

Microsoft Management Microsoft Management Console (MMC)Console (MMC)

Ein Werkzeug zur Ein Werkzeug zur SystemadministrationSystemadministration

Reduzierte Reduzierte Funktionalität Funktionalität auch über das auch über das Web mit Web mit Internet Internet ExplorerExplorer Einfach Einfach erweiterbar erweiterbar über Plug-Insüber Plug-Ins

Netzwerk und Netzwerk und KommunikationKommunikation

Unterstützung von ATMUnterstützung von ATM Neue RouterfunktionalitätNeue Routerfunktionalität

(LAN-LAN-Kopplung)(LAN-LAN-Kopplung) Multi-Channel-WAN-Verbindungen Multi-Channel-WAN-Verbindungen

(ISDN)(ISDN) IP SECurity ProtocolIP SECurity Protocol Telefonieren über IPTelefonieren über IP Quality of ServiceQuality of Service

Novell-IntegrationNovell-Integration

NDS-fähiger Netware-ClientNDS-fähiger Netware-Client Programme können über ADSI auf Programme können über ADSI auf

NDS zugreifenNDS zugreifen DS Migrate zur Migration von DS Migrate zur Migration von

Netware nach Windows NTNetware nach Windows NT

Active DirectoryActive Directory

Flexible hierarchische Struktur Effiziente Multimaster-Replikation Granulare Delegation von Rechten Standardbasierte Interoperabilität durch

LDAP v3 Support Skalabierbar bis 10 Millionen gespeicherten

Objekten Erweiterbarer Speicher von neuen

Objekttypen und Eigenschaften Programmierschnittstelle für alle Sprachen

(Active Directory Services Interfaces—ADSI) Integratierter Dynamischer DNS-Server Speicherung von Com/DCOM, Java-Klassen

ArchitekturArchitekturÜbersichtÜbersicht

Physikalisch: partitioned, replicatedPhysikalisch: partitioned, replicated Logisch: geschachtelte HierarchieLogisch: geschachtelte Hierarchie

Domänen-Hierarchie: DomänenbaumDomänen-Hierarchie: Domänenbaum Container-Hierarchie in einer DomäneContainer-Hierarchie in einer Domäne

Windows NT ServerWindows NT Server

Windows NTWindows NTDirectoryDirectoryServiceService

ArchitekturArchitekturGrundlagenGrundlagen

Directory ServiceDirectory Service Speichert Security Policy Speichert Security Policy

und Account-und Account-InformationenInformationen

Veröffentlicht PublicVeröffentlicht PublicKey CertificatesKey Certificates

BetriebssystemBetriebssystem Implementiert das Implementiert das

Security-Modell auf alle Security-Modell auf alle ObjecteObjecte

Vertraut den Vertraut den Informationen, die Informationen, die geschützt im Directory geschützt im Directory stehenstehen

Architektur Architektur Location ServiceLocation Service

Microsoft.ComMicrosoft.Com

PBS.Microsoft.ComPBS.Microsoft.ComWindows Windows NT GroupNT Group

DsysDsysStevenJuStevenJu

DNS

DC=COM/DC=Microsoft/DC=PBS/OU=NTGroup/OU=Dsys/CN=StevenJuDC=COM/DC=Microsoft/DC=PBS/OU=NTGroup/OU=Dsys/CN=StevenJu

EuroCars.ComEuroCars.Com

SRVSRV SRVSRV SRVSRV

Extensible storage engine Extensible storage engine

DB layerDB layer

Directory system agentDirectory system agent

LDAPLDAP REPLREPL MAPIMAPI Other...Other...

StoreStore

ArchitekturArchitekturDSA und SpeicherDSA und Speicher

ArchitekturArchitekturSchemaSchema

Dynamisch erweiterbarDynamisch erweiterbar Definiert formal das Universum aller Objecte Definiert formal das Universum aller Objecte

eines bestimmten Directory Serviceseines bestimmten Directory Services KlassenKlassen

Die Liste der gültigen Objekte, die im Directory Die Liste der gültigen Objekte, die im Directory Service eingetragen werden könnenService eingetragen werden können

AttributeAttribute Eigenschaften eines Objektes im Directory Service, Eigenschaften eines Objektes im Directory Service,

die wahlweise oder zwingend eingegeben werden die wahlweise oder zwingend eingegeben werden müssenmüssen

Architektur: SitesArchitektur: Sites

Eine Eine Site Site ist eine Menge von ist eine Menge von SubnetzenSubnetzen wurde bisher benutzt, um Gebiete mit wurde bisher benutzt, um Gebiete mit

“guter Connectivity” zu definieren“guter Connectivity” zu definieren legt die Grenzen für die Replikation- legt die Grenzen für die Replikation-

Topologie festTopologie fest Clients bestimmen ihre Site auf Grund Clients bestimmen ihre Site auf Grund

der Subnet Mask (automatisch per der Subnet Mask (automatisch per DHCP oder per Hand konfiguriert)DHCP oder per Hand konfiguriert)

Basis für die Suche nach lokalen Basis für die Suche nach lokalen RessourcenRessourcen

ImplementierungImplementierungAnwendung des DomänenbaumsAnwendung des Domänenbaums

Unterstützt sehr große oder Unterstützt sehr große oder dezentralisierte Organisationendezentralisierte Organisationen Domänen sorgen für Integrität der Domänen sorgen für Integrität der

ZugriffsrechteZugriffsrechte Kerberos-Trust ermöglicht Domänen- Kerberos-Trust ermöglicht Domänen-

administratoren Zugriff auf Ressourcen administratoren Zugriff auf Ressourcen irgendwo im Baum, sofern sie die Rechte irgendwo im Baum, sofern sie die Rechte dafür habendafür haben

Gruppen können Gruppen können andere Gruppen andere Gruppen irgendwo im Domänenbaum beinhaltenirgendwo im Domänenbaum beinhalten

DomainDomain

Microsoft.Com Microsoft.Com (Windows NT 5.0)(Windows NT 5.0)

Initial stateInitial state

PBS-Dev1 PBS-Dev1 (Windows NT 4.0)(Windows NT 4.0)

DomainDomain

PBS-Dev2 PBS-Dev2 (Windows NT 4.0)(Windows NT 4.0)

DomainDomain

ImplementierungImplementierungAnlegen des DomänenbaumsAnlegen des Domänenbaums

PBS-Dev1 (Windows NT 5.0)PBS-Dev1 (Windows NT 5.0)

DomainDomainKerberos TrustKerberos Trust

ImplementierungImplementierung Anlegen des DomänenbaumsAnlegen des Domänenbaums

Upgrade and join treeUpgrade and join tree

DomainDomain

DomainDomain

Microsoft.Com Microsoft.Com (Windows NT 5.0)(Windows NT 5.0)

PBS-Dev2 PBS-Dev2 (Windows NT 4.0)(Windows NT 4.0)

DomainDomain

PBS-Dev1 PBS-Dev1 (Windows NT 5.0)(Windows NT 5.0)

DomainDomainKerberos TrustKerberos Trust PBS-Dev2 PBS-Dev2 (Windows NT 5.0)(Windows NT 5.0)

DomainDomain

Kerberos TrustKerberos Trust

ImplementierungImplementierung Anlegen des DomänenbaumsAnlegen des Domänenbaums

Upgrade and join treeUpgrade and join treeMicrosoft.Com Microsoft.Com

(Windows NT 5.0)(Windows NT 5.0)

Implementierung: ClientsImplementierung: Clients

Windows NT 5.0Windows NT 5.0 Windows 95 (mit Service Pack)Windows 95 (mit Service Pack) Windows 98Windows 98 Volle Unterstützung von Downlevel Volle Unterstützung von Downlevel

ClientsClients NT5.0 Domänenbaum sieht wie NT 4.0 NT5.0 Domänenbaum sieht wie NT 4.0

Domäne ausDomäne aus

Benutzung Benutzung APIsAPIs

LDAP (v2 and v3) LDAP (v2 and v3) LDAP “C” API (RFC1823)LDAP “C” API (RFC1823) ADSIADSI

JavaJava™™, Visual Basic, Visual Basic®®, C, C++, etc., C, C++, etc. JADSIJADSI

Native Java-Implementierung von Native Java-Implementierung von ADSI, arbeitet mit jeder Java VM ADSI, arbeitet mit jeder Java VM

BenutzungBenutzungEintragen von Objekten Eintragen von Objekten in das Active Directoryin das Active Directory

Rpc, Winsock, Drucker, DFS Shares Rpc, Winsock, Drucker, DFS Shares werden automatisch eingetragenwerden automatisch eingetragen

ADSI macht die Eintragung von ADSI macht die Eintragung von Objekten trivialObjekten trivial

Erweiterbares Schema zur Erweiterbares Schema zur Definition von neuen Objekten und Definition von neuen Objekten und EigenschaftenEigenschaften

MigrationMigration

Jedes Windows NT Domänenmodell Jedes Windows NT Domänenmodell kann leicht zum Active Directory migriert kann leicht zum Active Directory migriert werdenwerden

Gemischte SystemumgebungenGemischte Systemumgebungen Voll unterstütztVoll unterstützt Sieht wie eine Windows NT 4.0 Domäne ausSieht wie eine Windows NT 4.0 Domäne aus einfache Migration zum Domänenbaumeinfache Migration zum Domänenbaum

Windows NT 4.x domainWindows NT 4.x domain

““PDC”PDC”

Initial stateInitial state

MigrationMigration

BDCBDC BDCBDC

BDCBDC

Mixed domainMixed domain

BDCBDC BDCBDC

Upgrade PDC auf Windows NT 5.0Upgrade PDC auf Windows NT 5.0

Domain replicaDomain replica

Global catalogGlobal catalog

MigrationMigration

““PDC”PDC”

DC - GCDC - GC

Pure domainPure domain

Upgrade der übrigen Windows NT 4.x BDCsUpgrade der übrigen Windows NT 4.x BDCs

MigrationMigration

Domain replicaDomain replica

Global catalogGlobal catalog

DCDCDCDC DCDC

Pure domainPure domain

Final stateFinal state

Domain replicaDomain replica

Global catalogGlobal catalog

MigrationMigration

DC - GCDC - GC

DCDCDCDC DCDC

Vorbereitung zum Vorbereitung zum Umstieg auf NT 5.0Umstieg auf NT 5.0

Heute mit NT 4.0 anfangenHeute mit NT 4.0 anfangen TCP/IP einsetzenTCP/IP einsetzen Domänenkonzept aufstellenDomänenkonzept aufstellen Rechnernamen überprüfenRechnernamen überprüfen

Weitere InformationenWeitere Informationen

Whitepaper im InternetWhitepaper im Internet www.microsoft.com/ntserverwww.microsoft.com/ntserver

Microsoft TechNetMicrosoft TechNet Monatlich erscheinende CD mit technischen Monatlich erscheinende CD mit technischen

Informationen zur Planung, Installation und Informationen zur Planung, Installation und Wartung von Microsoft ProduktenWartung von Microsoft Produkten

Microsoft Developer Network (MSDN)Microsoft Developer Network (MSDN) MSDN Online - www.microsoft.com/msdnMSDN Online - www.microsoft.com/msdn

Informationen für EntwicklerInformationen für Entwickler MSDN-Abonnement versorgt Entwickler mit MSDN-Abonnement versorgt Entwickler mit

den neuesten Version von Microsoft den neuesten Version von Microsoft Produkten (auch NT 5.0 Beta)Produkten (auch NT 5.0 Beta)

Fragen ???