2.3 Active Directory configureren in een complexe bedrijfsomgeving

In grote netwerkomgevingen is het mogelijk dat het gebruik van een enkel AD DS-domein onwenselijk is. Het is ook mogelijk dat een enkel AD DS-forest niet geschikt is. Daarom is het belangrijk dat u weet hoe en wanneer u meerdere AD DS-forests en -domeinen moet configureren en waar nodig de vereiste vertrouwensrelaties daartussen moet creëren.

Naarmate uw netwerk groeit en meerdere locaties omvat, is het noodzakelijk om AD DS-sites te configureren om de netwerkservices, waaronder AD DS-replicatie, te helpen optimaliseren. Voordat u sites maakt, is het ook nodig om subnetobjecten te maken die zijn toegewezen aan de fysieke IP-subnetten (Internet Protocol) in uw netwerk.

1.1.1      Configureer een AD DS-infrastructuur met meerdere domeinen en meerdere forests

Hoewel we bossen en domeinen reeds hebben besproken zou een snelle opfrissing handig zijn.

  • Forest – Een verzameling domeinen die een gemeenschappelijk schema delen en worden gebonden door automatisch gegenereerde wederzijdse vertrouwensrelaties. Over het algemeen is het voor de meeste organisaties wenselijk om een enkel forest te gebruiken, omdat dit het beheer vereenvoudigt. Redenen om te overwegen om meerdere forests te gebruiken, zijn onder andere de vereiste om:
    • Zorg voor volledige administratieve scheiding tussen verschillende onderdelen van uw organisatie.
    • Ondersteuning van verschillende objecttypen en kenmerken in het AD DS-schema in verschillende delen
  • van uw organisatie.
  • Domein – Een logische beheerder die gebruikers, groepen, computers en andere objecten bevat. Ouder-kind- en vertrouwensrelaties bepalen uw domeinstructuur. Een domein biedt geen administratieve scheiding omdat alle domeinen in een forest dezelfde forestbeheerder hebben: de universele beveiligingsgroep Enterprise Admins.
  • Boomstructuur – Een verzameling AD DS-domeinen die een gemeenschappelijk hoofddomein delen en een aaneengesloten naamruimte hebben. Redenen voor het gebruik van meerdere bomen zijn onder meer de vereiste om meerdere logische naamruimten binnen uw organisatie te ondersteunen, misschien als gevolg van fusies of overnames.

1.1.1.1      Een forest  toevoegen

Wanneer u een nieuw forest wilt implementeren in een bestaande AD DS-omgeving, start u het proces door de eerste domeincontroller in dat forest te implementeren. De servercomputer waarop u het nieuwe forest implementeert, is vrijwel zeker lid van een werkgroep. U moet zich daarom aanmelden als lid van de lokale beveiligingsgroep Beheerders.

In wezen is het proces voor het implementeren van een extra forest identiek aan het maken van het eerste forest. Deze procedure wordt besproken in de sectie “Een nieuw forest installeren” in hoofdstuk 1, “Active Directory Domain Services installeren en configureren”.

Nadat u het nieuwe forest hebt geïmplementeerd, kunt u alle vereiste vertrouwensrelaties tussen de forests configureren ter ondersteuning van uw administratieve en zakelijke behoeften.

1.1.1.2      Een nieuw domein toevoegen

Evenzo, wanneer u een nieuw domein binnen uw AD DS-forest wilt maken, begint u met het implementeren van de eerste domeincontroller in dat domein en kiest u vervolgens de optie Een nieuwe domeincontroller toevoegen aan een nieuw domein in de wizard Implementatie. U moet zich aanmelden als lid van de universele beveiligingsgroep Enterprise Admins in het forest om dit proces te voltooien.

U heeft twee keuzes bij het toevoegen van een nieuw domein:

  • Onderliggend domein – Maakt een subdomein van het opgegeven bovenliggende domein. Met andere woorden, het nieuwe domein wordt aangemaakt in de bestaande domeinboom.
  • Boomstructuur domein – Maakt een nieuwe boom in hetzelfde bos. Deze optie is handig wanneer u meerdere DNS-domeinnamen wilt maken in uw AD DS-forestinfrastructuur ter ondersteuning van de behoeften van uw organisatie, maar u geen gescheiden beheerfuncties wilt of nodig hebt, zoals mogelijk is met een apart forest.

Nadat u het nieuwe domein hebt geïmplementeerd, hoeft u geen extra vertrouwensrelaties te configureren.

1.1.2      Implementeer Windows Server 2016-domeincontrollers binnen een reeds bestaande AD Ds-omgeving

Deze procedures zijn beschreven in Active Directory Domain Services installeren en configureren, Domeincontrollers installeren en configureren, in de sectie Een domeincontroller toevoegen of verwijderen.

1.1.3      Upgrade bestaande domeinen en forests

Het upgraden van bestaande domeinen en forests is beschreven in Installeer en configureer Active Directory Domain Services, Installeer en configureer domeincontrollers, in de sectie Domeincontrollers upgraden.

1.1.4      Configureer domein- en forest-functionaliteitsniveaus

Forest- en domeinfunctionaliteitsniveaus bieden nieuwe functies binnen uw AD DS-infrastructuur en bieden tegelijkertijd compatibiliteit met belangrijke functies van eerdere versies van Windows Server. Wanneer u AD DS implementeert, kunt u een geschikt forest- en domeinfunctionaliteitsniveau selecteren op basis van uw vereisten. U kunt ook de forest- en domeinfunctionaliteitsniveaus na de implementatie wijzigen. De volgende forest- en domeinfunctionaliteitsniveaus bestaan:

  • Forest-functionaliteitsniveau – Bepaalt welke functies op forest-niveau beschikbaar zijn. Definieert ook het minimale domeinfunctionaliteitsniveau voor domeinen in uw forest. Selecteer uit:
    • Windows Server 2008
    • Windows Server 2008 R2
    • Windows Server 2012
    • Windows Server 2012 R2
    • Windows Server 2016
  • Domeinfunctionaliteitsniveau – Bepaalt de functies op domeinniveau die beschikbaar zijn in uw domein. Selecteer uit:
    • Windows Server 2008
    • Windows Server 2008 R2
    • Windows Server 2012
    • Windows Server 2012 R2
    • Windows Server 2016

U kunt het forest-functionaliteitsniveau verhogen door de volgende procedure te volgen:

  1. Klik in de Active Directory Domains And Trusts-console in het navigatievenster met de rechtermuisknop op het knooppunt Active Directory Domains And Trusts en klik vervolgens op Forest Functional Level verhogen.
  2. In het dialoogvenster Raise Forest Functional Level wordt het huidige forest-functionaliteitsniveau weergegeven, zoals weergegeven in Afbeelding 2-34.
  3. Klik in de lijst Een beschikbaar bosfunctionaliteitsniveau selecteren op het gewenste niveau en klik vervolgens op Verhogen.

Gebruik de volgende procedure om het domeinfunctionaliteitsniveau van een domein te verhogen:

  1. Zoek in de Active Directory-console Domeinen en vertrouwensrelaties in het navigatievenster het juiste AD DS-domein op, klik er met de rechtermuisknop op en klik vervolgens op Domeinfunctionaliteitsniveau verhogen.
  2. In het dialoogvenster Raise Domain Functional Level wordt het huidige domeinfunctionaliteitsniveau weergegeven.
  3. Klik in de lijst Een beschikbaar domeinfunctionaliteitsniveau selecteren op het juiste niveau en klik vervolgens op Verhogen.

1.1.5      Configureer meerdere user principal name suffixes

Met UPN-achtervoegsels (User Principal Name) kunt u de unieke forest-brede naam definiëren voor een object, zoals een gebruiker. Wanneer u bijvoorbeeld een nieuwe gebruikersaccount maakt, definieert u de aanmeldingsnaam van de gebruiker. Deze naam wordt gecombineerd met het naast weergegeven achtervoegsel (@Adatum.com in Afbeelding 2-35) om een UPN (User Principal Name) te maken; bijvoorbeeld BurkeB@Adatum.com. Deze UPN moet uniek zijn binnen het AD DS-forest.

Het UPN-achtervoegsel is over het algemeen de domeinnaam waaraan u het account toevoegt. U kunt echter aanvullende UPN-achtervoegsels definiëren met behulp van de Active Directory Domains and Trusts-console. Gebruik hiervoor de volgende procedure:

  1. Open vanuit Serverbeheer de console Active Directory Domains and Trusts.
  2. Klik in de console met de rechtermuisknop op het knooppunt Active Directory Domains And Trusts in het navigatievenster en klik vervolgens op Eigenschappen.
  3. Typ in het dialoogvenster Active Directory-domeinen en vertrouwensrelaties [Servernaam] op het tabblad UPN-achtervoegsels, weergegeven in Afbeelding 2-36, in het vak Alternatieve UPN-achtervoegsels een nieuw achtervoegsel en klik op Toevoegen.
  4. Nadat u alle gewenste achtervoegsels hebt toegevoegd, klikt u op OK.

Vervolgens moet u de gebruikersaccounts wijzigen die u het nieuwe achtervoegsel wilt gebruiken. U kunt dit doen met behulp van de volgende procedure:

  1. Open Active Directory: gebruikers en computers en zoek de accounts die u wilt wijzigen.
  2. Klik met de rechtermuisknop op de accounts en klik vervolgens op Eigenschappen.
  3. Schakel in het dialoogvenster Eigenschappen voor meerdere items, weergegeven in Afbeelding 2-37, op het tabblad Account het selectievakje UPN-achtervoegsel in.
  4. Klik in de lijst met UPN-achtervoegsels op het nieuwe achtervoegsel en klik vervolgens op OK.

U kunt Windows PowerShell ook gebruiken om het UPN-achtervoegsel voor meerdere accounts opnieuw te configureren met behulp van de cmdlets get-ADUser en Set-ADUser. Als u bijvoorbeeld het UPN-achtervoegsel voor alle gebruikers in de Sales OU in het domein Adatum.com wilt wijzigen in Sales.Contoso.com, gebruikt u de volgende procedure:

  1. Open Windows PowerShell op een domeincontroller.
  2. Voer het volgende script uit:
    $new_suffix = “Verkoop.Contoso.com”
    $users = Get-ADUser -Filter {UserPrincipalName -like ‘*’} -SearchBase “OU=Sales,DC=Adatum,Dc=Com”
    foreach ($user in $users) {
    $userName = $user.UserPrincipalName.Split(‘@’)[0]
    $UPN = $userName + “@” + $new_suffix
    Write-Host $user.Name $user.UserPrincipalName $UPN
    $user | Set-ADUser -UserPrincipalName $UPN }

1.1.6      Vertrouwensrelaties configureren

Een vertrouwensrelatie is een beveiligingsovereenkomst tussen twee domeinen in een AD DS-forest, tussen twee forests tussen twee forests of tussen een forest en een extern beveiligingsdomein. Door vertrouwensrelaties kan een beveiligingsprincipal in het ene domein, zoals een gebruiker of computer, mogelijk toegang krijgen tot een bron in een ander domein; mogelijk omdat naast een vertrouwensrelatie de beveiligingsprincipal ook machtigingen voor de bron moet krijgen van de domeinbeheerder die de bron beheert. In een eenrichtingsvertrouwensrelatie wordt de ene partij geacht vertrouwend te zijn, terwijl de ander wordt geacht te vertrouwen. De resource-holdende entiteit vertrouwt, terwijl de gebruiker-holdende entiteit vertrouwd is. In een wederzijdse vertrouwensrelatie zijn beide partijen zowel vertrouwend (resource-holding) als vertrouwd (user-holding).

In Windows Server 2016 worden domeinen in hetzelfde forest automatisch geconfigureerd met tweerichtingstransitieve vertrouwensrelaties, zodat in principe een gebruiker in elk domein in het forest de mogelijkheid heeft om overal in het forest toegang te krijgen tot een bron. In een forest met meerdere domeinen bestaan standaard de volgende vertrouwenstypen:

  • Bovenliggend/onderliggend – Transitief vertrouwen in twee richtingen tussen een bovenliggend domein en het onderliggende domein.
  • Tree-root – Transitieve vertrouwensrelatie in twee richtingen tussen een nieuwe AD DS-domeinstructuur en het bestaande AD DS-foresthoofddomein.

EXAMEN TIP

Een transitief vertrouwen is er een die van toepassing is via een intermediair beveiligingsgebied. Als A bijvoorbeeld B vertrouwt en B C vertrouwt, vertrouwt A ook C.

Maar u kunt ook handmatig trusts aanmaken om aan bepaalde technische of administratieve vereisten te voldoen. Dit zijn:

  • Forest – Een transitieve vertrouwensrelatie in één of twee richtingen, afhankelijk van de configuratie, tussen twee AD DS-forests. Hiermee kunnen gebruikers in het ene forest (of beide forests) resources inschakelen in het andere.
  • Extern – Een niet-transitieve vertrouwensrelatie in één of twee richtingen, afhankelijk van de configuratie, tussen uw AD DS-forest en een ander AD DS-domein, zoals een ouder Windows NT 4.0 domein. Geeft gebruikers in uw forest toegang tot bronnen in het andere domein, en gebruikers in het externe forest toegang tot uw bronnen.
  • Realm – Een transitieve of niet-transitieve, eenrichtings- of tweerichtingsvertrouwensrelatie, afhankelijk van de configuratie, die authenticatie mogelijk maakt tussen uw Windows Server AD DS-forest en een Kerberos v5-realm op basis van een niet-Windows directoryservice.
  • Snelkoppeling – Een niet-transitieve eenrichtings- of tweerichtingsvertrouwensrelatie, afhankelijk van de configuratie, tussen domeinen in uw AD DS-forest die de authenticatieprestaties kan helpen verbeteren. Gebruik snelkoppelingsvertrouwensrelaties voor domeinen binnen hetzelfde forest maar in verschillende AD DS-domeinstructuren.

Voor het maken van vertrouwensrelaties gebruikt u de tool Active Directory Domains and Trusts. Het is belangrijk op te merken dat om een van deze trusts te configureren, het voor de twee partijen in de trust mogelijk moet zijn om elkaars namen op te lossen; hiervoor is DNS-configuratie vereist. Om bijvoorbeeld een forestvertrouwensrelatie te configureren, moet elke domeincontroller die u gebruikt om de vertrouwensrelatie te configureren, de SRV-records voor het externe forest kunnen omzetten.

1.1.6.1      Forest-vertrouwensrelaties configureren

Gebruik de volgende procedure om een forest-vertrouwensrelatie te configureren:

  1. Configureer DNS zodat domeincontrollers in elk forest elkaars namen en SRV-records kunnen omzetten. Maak een DNS-stubzone (of configureer voorwaardelijk doorsturen) voor de externe DNS-zone.
  2. Open de Active Directory Domains and Trusts-console op een domeincontroller in het eerste AD DS-forest.
  3. Klik met de rechtermuisknop op het foresthoofddomein in het navigatievenster en klik vervolgens op Eigenschappen.
  4. Klik in het dialoogvenster Domeineigenschappen op het tabblad Vertrouwensrelaties, weergegeven in Afbeelding 2-38, en klik vervolgens op Nieuwe vertrouwensrelatie.
  5. Klik in de wizard New Trust op Next en typ vervolgens op de pagina Trust Name in het vak Name de FQDN van het remote forest, zoals weergegeven in Afbeelding 2-39, en klik op Next.
  6. Klik op de pagina Vertrouwenstype, weergegeven in Afbeelding 2-40, op Forest-vertrouwen en klik vervolgens op Volgende.
  7. Selecteer op de pagina Richting van vertrouwen, weergegeven in figuur 2-41, de juiste richting. Kies tussen tweerichtingsverkeer, eenrichtingsverkeer en eenrichtingsverkeer. Klik bijvoorbeeld op Two-Way en klik vervolgens op Next.
  8. Klik op de pagina Vertrouwenszijden, weergegeven in Afbeelding 2-42, op Zowel dit domein als het opgegeven domein en klik vervolgens op Volgende.
  9. Voer op de pagina Gebruikersnaam en wachtwoord de referenties in die nodig zijn om de vertrouwensrelatie in het externe forest te configureren en klik op Volgende.
  10. Selecteer op de pagina Uitgaande vertrouwensverificatieniveau-Lokale forest een van de twee beschikbare opties en klik op Volgende.
    1. Bosbrede verificatie – Windows Server verifieert automatisch gebruikers van het externe forest voor alle bronnen in het lokale forest. Selecteer deze optie als beide forests worden beheerd door dezelfde organisatie.
    1. Selectieve verificatie – Windows Server verifieert niet automatisch gebruikers van het externe forest voor bronnen in het lokale forest. Dit is de juiste optie als uw twee forests worden beheerd door afzonderlijke organisaties. Zie het onderstaande gedeelte voor meer informatie: SID-filtering en bereik voor vertrouwensauthenticatie.
  11. Selecteer op de pagina Outgoing Trust Authentication Level-Specified Forest een van de twee beschikbare opties en klik op Volgende:
    1. Bosbrede verificatie – Windows Server verifieert automatisch gebruikers van het lokale forest voor alle bronnen in het externe forest. Selecteer of beide forests worden beheerd door dezelfde organisatie.
    1. Selectieve verificatie – Windows Server verifieert niet automatisch gebruikers van het lokale forest voor bronnen in het externe forest. Selecteer of uw twee forests worden beheerd door afzonderlijke organisaties. Zie het onderstaande gedeelte voor meer informatie: SID-filtering en bereik voor vertrouwensauthenticatie.
  12. Klik twee keer op Volgende en klik vervolgens op de pagina Uitgaand vertrouwen bevestigen op Ja, bevestig het uitgaande vertrouwen. Hiermee kunt u controleren of het vertrouwen werkt. Klik volgende.
  13. Klik op de pagina Inkomende vertrouwensrelatie bevestigen op Ja, bevestig de inkomende vertrouwensrelatie. Hiermee kunt u controleren of het vertrouwen werkt. Klik volgende.
  14. Klik op Voltooien en klik vervolgens in het dialoogvenster Domeineigenschappen, weergegeven in Afbeelding 2-43, op OK.

Nadat u de vertrouwensrelatie hebt geconfigureerd, kunt u toegang tot bronnen toewijzen. Een veelgebruikte manier om dit te bereiken, is door gebruikers en groepen op afstand te selecteren via de trust door de optie Locaties te gebruiken bij het bladeren door gebruikers en groepen, zoals weergegeven in figuur 2-44.

EXAMEN TIP

Om de vertrouwensrelatie met een enkele stap te configureren, moet u inloggegevens met de benodigde bevoegdheden opgeven in het externe forest. Dat wil zeggen, een gebruiker die behoort tot de universele beveiligingsgroep Enterprise Admins op afstand. Als u deze referenties niet hebt, moet u de beheerder in het remote forest vragen om het einde van de configuratie van de forest-vertrouwensrelatie te voltooien door dit proces te herhalen.

1.1.6.2      Configureer externe vertrouwensrelaties

Gebruik de volgende procedure om een externe vertrouwensrelatie te configureren:

  1. Configureer DNS zodat domeincontrollers in elk forest elkaars namen en SRV-records kunnen omzetten.
  2. Klik in de Active Directory Domains and Trusts-console op een domeincontroller in het eerste AD DS-forest met de rechtermuisknop op het foresthoofddomein in het navigatievenster en klik vervolgens op Eigenschappen.
  3. Klik in het dialoogvenster Domeineigenschappen op het tabblad Vertrouwensrelaties en klik vervolgens op Nieuwe vertrouwensrelatie.
  4. Klik in de wizard Nieuwe vertrouwensrelatie op Volgende en typ vervolgens op de pagina Vertrouwensnaam in het vak Naam de FQDN van het externe forest en klik vervolgens op Volgende.
  5. Klik op de pagina Vertrouwenstype op Extern vertrouwen en klik vervolgens op Volgende.
  6. Selecteer op de pagina Richting van vertrouwen de juiste richting. Kies tussen tweerichtingsverkeer, eenrichtingsverkeer en eenrichtingsverkeer. Klik bijvoorbeeld op Two-Way en klik vervolgens op Next.
  7. Klik op de pagina Vertrouwenszijde op Zowel dit domein als het opgegeven domein en klik vervolgens op Volgende.
  8. Voer op de pagina Gebruikersnaam en wachtwoord de referenties in die nodig zijn om de vertrouwensrelatie in het externe forest te configureren en klik op Volgende.
  9. Kies op de pagina Outgoing Trust Authentication Level-Local Domain tussen Domain-Wide Authentication en Selective Authentication en klik op Next. Zie het onderstaande gedeelte voor meer informatie: SID-filtering en bereik voor vertrouwensauthenticatie.
  10. Kies op de pagina Outgoing Trust Authentication Level-Specified Domain tussen Domain-Wide Authentication en Selective Authentication en klik op Next. Zie voor meer informatie de sectie: SID-filtering en bereik voor vertrouwensauthenticatie.
  11. Klik op de pagina Vertrouwensselecties voltooid op Volgende.
  12. Klik op de pagina Trust Creation Complete op Next.
  13. Klik op de pagina Uitgaand vertrouwen bevestigen op Ja en bevestig het uitgaande vertrouwen. Hiermee kunt u controleren of het vertrouwen werkt. Klik volgende.
  14. Bevestig in het dialoogvenster Active Directory Domain Services, weergegeven in Afbeelding 2-45, het bericht over SID-filtering en klik op OK. Zie voor meer informatie de sectie: SID-filtering en bereik voor vertrouwensauthenticatie.
  15. Klik in het dialoogvenster Domeineigenschappen op OK.

1.1.6.3      Configureer realm-vertrouwensrelaties

Gebruik de volgende procedure om een realm-vertrouwensrelatie te configureren:

  1. Configureer DNS zodat domeincontrollers in elke beveiligingsautoriteit elkaars namen kunnen herleiden.
  2. Klik in Active Directory-domeinen en vertrouwensrelaties in het navigatievenster met de rechtermuisknop op het domeinknooppunt voor het domein waarmee u een snelkoppelingsvertrouwensrelatie tot stand wilt brengen en klik vervolgens op Eigenschappen.
  3. Klik in het dialoogvenster Domeineigenschappen op het tabblad Vertrouwensrelaties op Nieuwe vertrouwensrelatie en klik vervolgens op Volgende.
  4. Typ op de pagina Trust Name de FQDN van het domein en klik op Next.
  5. Klik op de pagina Vertrouwenstype op Realm-vertrouwen, zoals weergegeven in Afbeelding 2-46, en klik vervolgens op Volgende.
  6. Voltooi de wizard met behulp van de richtlijnen voor forest- of externe vertrouwensrelaties.

1.1.6.4      Snelkoppelingsvertrouwen configureren

Gebruik de volgende procedure om een snelkoppelingsvertrouwen te configureren:

  1. Klik in Active Directory-domeinen en vertrouwensrelaties in het navigatievenster met de rechtermuisknop op het domeinknooppunt voor het domein waarmee u een snelkoppelingsvertrouwensrelatie tot stand wilt brengen en klik vervolgens op Eigenschappen.
  2. Klik in het dialoogvenster Domeineigenschappen op het tabblad Vertrouwensrelaties op Nieuwe vertrouwensrelatie en klik vervolgens op Volgende.
  3. Typ op de pagina Trust Name de FQDN van het domein en klik op Next.
  4. Klik op de pagina Vertrouwenstype op Vertrouwen via snelkoppeling en klik vervolgens op Volgende.
  5. Voltooi de wizard met behulp van de richtlijnen voor forest- of externe vertrouwensrelaties.

1.1.6.5      SID-filtering en verificatiebereik voor vertrouwen

Door hun aard geven vertrouwensrelaties gebruikers van een ander domein de mogelijkheid om toegang te krijgen tot bronnen in uw domein. Dit kan veiligheidsrisico’s met zich meebrengen. Er zijn een aantal functies in Windows Server 2016 die u kunt gebruiken om deze potentiële beveiligingsrisico’s te beperken. Dit zijn:

  • ■ SID-filtering Nadat u een forest van extern vertrouwen hebt ingesteld, wordt u gewaarschuwd dat SID-filtering is ingeschakeld. SID-filtering bepaalt de manier waarop SID’s worden gebruikt tijdens authenticatie voor bronnen in een vertrouwend domein. Als een gebruiker tot groepen behoort, worden de SID’s van die groepen via de vertrouwensrelatie gepresenteerd aan servers die bronnen bevatten wanneer de gebruiker authenticatie probeert.
  • Als een gebruiker die tot de groep Domeinadministrators behoort, zich aanmeldt bij een vertrouwd domein, bevat de SID-geschiedenis van die gebruiker een vermelding voor een groep, Domain Admins, die ook bestaat in uw resourcebeheerdomein. Dit geeft de gebruiker op afstand mogelijk meer toegang dan wenselijk is. SID-filtering helpt dit te voorkomen door het resource-holding-domein te instrueren om SID’s uit het account-holding-domein te filteren dat niet de primaire SID’s van beveiligingsprincipals zijn.
  • ■ Verificatiebereik Wanneer u een forest of externe vertrouwensrelatie maakt, wordt u gevraagd het verificatiebereik te configureren. Dit gebeurt op de pagina’s Verificatieniveau uitgaande vertrouwensrelatie van de wizard Nieuwe vertrouwensrelatie voor zowel de lokale als de externe forests of domeinen, afhankelijk van of u een forest of een externe vertrouwensrelatie configureert. U kiest tussen bosbrede (of domeinbrede) authenticatie en selectieve authenticatie.

De keuze voor het gehele forest (of het gehele domein) betekent in feite dat alle gebruikers van het externe forest (of domein) worden beschouwd als Geverifieerde gebruikers. Dit beperkt uw administratieve controle – of vereenvoudigt het, afhankelijk van uw standpunt.

Als u echter kiest voor Selectieve authenticatie, moet u, hoewel alle gebruikers in het remote forest (of domein) als vertrouwd worden beschouwd, expliciet machtigingen verlenen om zich te authenticeren tegen serverresources in uw lokale forest (of domein). Dit zorgt voor meer controle, maar kan tijdrovend zijn om te configureren.

Als het remote forest (of domein) deel uitmaakt van uw organisatie, is het meestal acceptabel om forestbrede (of domeinbrede) authenticatie te kiezen tijdens het instellen van de vertrouwensrelatie. Als het remote forest (of domein) echter deel uitmaakt van een andere organisatie, kies dan voor selectieve authenticatie wanneer daarom wordt gevraagd.

EXAMEN TIP

U kunt de verificatiebereikinstelling voor uw forest of externe vertrouwensrelatie opnieuw configureren nadat u de vertrouwensrelatie tot stand hebt gebracht met behulp van het hulpprogramma Active Directory Domains and Trusts.

1.1.6.6      Routering van naamachtervoegsel configureren

Een uniek naamachtervoegsel is een UPN-achtervoegsel of DNS-forestnaam, zoals Adatum.com of Contoso. com, dat niet ondergeschikt is aan een ander naamsuffix. Om authenticatie via forest-vertrouwensrelaties te vereenvoudigen, stuurt Windows Server standaard alle unieke achtervoegsels naar het vertrouwende domein.

Om de administratie verder te vereenvoudigen, worden ook alle achtervoegsels van kindernamen gerouteerd. Gebruikers met het achtervoegsel Sales.Contoso.com, dat ondergeschikt is aan Contoso.com, hebben dus een achtervoegsel dat onderliggend is aan Contoso.com.

Als u om welke reden dan ook routering van naamachtervoegsels via een forest-vertrouwensrelatie wilt uitschakelen, kunt u dit doen met behulp van de Active Directory Domains and Trusts-console door het juiste domein in het navigatievenster te selecteren. Gebruik dan de volgende procedure:

  1. Klik in de Active Directory-console Domeinen en vertrouwensrelaties in het navigatievenster met de rechtermuisknop op het juiste domein en klik vervolgens op Eigenschappen.
  2. Klik in het dialoogvenster Domeineigenschappen, op het tabblad Vertrouwensrelaties, onder Domeinen die door dit domein worden vertrouwd (uitgaande vertrouwensrelaties) of Domeinen die dit domein vertrouwen (inkomende vertrouwensrelaties), op de juiste forest-vertrouwensrelatie en klik vervolgens op Eigenschappen.
  3. Klik op het tabblad Naamachtervoegselroutering en voer onder Naamachtervoegsels in het -forest een van de volgende handelingen uit:
    1. Klik op het achtervoegsel dat u wilt inschakelen en klik vervolgens op Inschakelen.
    1. Klik op het achtervoegsel dat u wilt uitschakelen en klik vervolgens op Uitschakelen.
  4. Klik tweemaal op OK.

1.1.7      Configureer AD DS-sites en -subnetten

Met AD DS-sites en -subnetten kunt u logische objecten maken in de AD DS-configuratiepartitie die zijn toegewezen aan fysieke entiteiten in het netwerk van uw organisatie; namelijk de fysieke IP-subnetten en geografische locaties van uw organisatie. Door AD DS-subnetobjecten te maken, kunnen computers die lid zijn van uw AD DS-infrastructuur bepalen in welk fysiek subnet ze zich bevinden. Door subnetten te koppelen aan AD DS-sites, kunnen computers bepalen op welke geografische locatie ze zich bevinden.

Informatie over waar een computer zich bevindt, kan door die computer worden gebruikt om services te lokaliseren die naast elkaar liggen in plaats van ver weg. Als u bijvoorbeeld een lokale domeincontroller gebruikt om te proberen in te loggen in plaats van een die fysiek op afstand is, kunt u de aanmeldingstijden versnellen.

EXAMEN TIP

Omdat AD DS-sites en -subnetobjecten deel uitmaken van de AD DS-configuratiepartitie, moet u lid zijn van de universele beveiligingsgroep Forest Enterprise Admin om ze te kunnen maken of configureren.

1.1.7.1      Maak AD DS-sites

Maak AD DS-sites

Er zijn een aantal redenen om sites te maken. Dit zijn:

  • Replicatiebeheer – U kunt meer controle uitoefenen over intersite-replicatie dan mogelijk is met intrasite-replicatie.
  • Groepsbeleidstoepassing – U kunt Groepsbeleidsobjecten (GPO’s) maken en deze koppelen aan site-objecten. Hiermee worden de beleidsinstellingen toegepast op gebruikers en computers die zich op een specifieke locatie bevinden.
  • Servicelocatie – U kunt informatie die is opgeslagen in de SRV-bronrecord (servicelocatie) van een computer gebruiken om te bepalen op welke site deze zich bevindt.

Wanneer u AD DS implementeert, wordt een standaardsite met de naam Default-First-Site-Name gemaakt. Alle domeincontrollers worden geconfigureerd als onderdeel van deze site totdat u extra sites maakt en uw domeincontrollers naar die sites verplaatst.

Gebruik de volgende procedure om een AD DS-site te maken:

  1. Klik in Serverbeheer op Extra en klik vervolgens op Active Directory-sites en -services.
  2. Klik in Active Directory Sites en services in het navigatievenster op Sites.
  3. Klik met de rechtermuisknop op Sites en klik vervolgens op Nieuw subnet.
  4. Typ in het dialoogvenster Nieuw object – locatie, weergegeven in figuur 2-47, in het vak Naam de naam voor uw locatie. Typ bijvoorbeeld Londen.
  5. Klik in de lijst Koppelingsnaam op het juiste sitekoppelingsobject. Waarschijnlijk bestaat in dit stadium alleen het DEFAULTIPSITELINK-object. Dit is het standaardverbindingsobject dat is gemaakt om de AD DS intersite-replicatietopologie te ondersteunen. U kunt later uw eigen sitekoppelingen maken en configureren. Klik voorlopig op DEFAULTIPSITELINK en klik op OK.
  6. Klik in het pop-upvenster Active Directory Domain Services op OK om het bericht over de volgende stappen te bevestigen.
  7. Creëer uw extra sites. Gebruik in eerste instantie het DEFAULTIPSITELINK-object voor het geselecteerde link-object voor elke site.

U kunt ook de Windows PowerShell New-ADReplicationSite-cmdlet gebruiken. Als u bijvoorbeeld een nieuwe site met de naam Londen wilt maken, gebruikt u de volgende opdracht: New-ADReplicationSite -Name “London”

1.1.7.2      Maak AD DS-subnetten

Maak nu een logische kaart van uw fysieke infrastructuur door IP-subnetten te maken. Deze moeten exact overeenkomen met de fysieke subnetten binnen uw netwerk, anders kan dit leiden tot slechte prestaties en mogelijke problemen met de beschikbaarheid van de service.

Gebruik de volgende procedure om een AD DS-subnet te maken:

  1. Klik in Serverbeheer op Extra en klik vervolgens op Active Directory-sites en -services.
  2. Vouw in Active Directory Sites en services in het navigatievenster Sites uit en klik vervolgens op Subnetten.
  3. Klik met de rechtermuisknop op Subnetten en klik vervolgens op Nieuw subnet.
  4. Typ in het dialoogvenster Nieuw object – Subnet, weergegeven in Afbeelding 2-48, in het vak Voorvoegsel het voorvoegsel voor uw IP-subnet. Typ bijvoorbeeld 172.16.0.0/16.
  5. Selecteer in Selecteer een site-object voor dit voorvoegsel de juiste site. Klik bijvoorbeeld Londen en klik vervolgens op OK.
  6. Maak eventuele aanvullende subnetten voor uw organisatie en wijs elk subnet toe aan de juiste locatie. Onthoud dat een site meerdere subnetten kan bevatten, maar dat een subnet slechts aan één site kan worden gekoppeld.

U kunt ook de cmdlet New-ADReplicationSubnet van Windows PowerShell gebruiken. Gebruik bijvoorbeeld de volgende opdracht om een subnet met de naam 172.16.0.0/16 te maken: New-ADReplicationSubnet -Name “172.16.0.0/16”

Gebruik de volgende opdracht om hetzelfde subnet te maken, maar het te koppelen aan een site met de naam Londen: New-ADReplicationSubnet -Name “172.16.0.0/16” -Site London

1.1.7.3      Sitekoppelingen maken en configureren

De volgende stap bij het opzetten van uw intersite-replicatieconfiguratie is het maken en configureren van sitekoppelingen. Aanvankelijk zijn al uw sites met elkaar verbonden door het automatisch gemaakte DEFAULTIPSITE-LINK-object, maar u kunt uw eigen sitelinks maken.

Gebruik de volgende procedure om een sitekoppeling te maken:

  1. Vouw in Active Directory Sites en services in het navigatievenster Sites uit, vouw Inter-Site Transports uit en klik vervolgens op IP.
  2. Klik met de rechtermuisknop op IP en klik vervolgens op Nieuwe sitelink.
  3. Typ in het dialoogvenster Nieuw object – Sitekoppeling, weergegeven in Afbeelding 2-49, in het vak Naam een betekenisvolle beschrijvende naam van wat de sitekoppeling verbindt. Typ bijvoorbeeld Londen <> Wincanton.
  4. Klik in de lijst Sites die niet in deze sitekoppeling staan op de sites (ten minste twee) die met elkaar zijn verbonden via deze sitekoppeling en klik vervolgens op Toevoegen>>.
  5. Klik op OK.

EXAMEN TIP

U kunt kiezen uit twee transporten voor uw sitelinks: IP en SMTP. De SMTP-sitelink gebruikt het Simple Mail Transfer Protocol om site-naar-site-gegevens te routeren. Dit is handig wanneer u sites met elkaar verbindt, die waarschijnlijk verbonden zijn door niet-permanente en langzame links. Het IP-transport moet in bijna alle situaties worden geselecteerd.

U kunt ook de Windows PowerShell New-ADReplicationSiteLink-cmdlet gebruiken. Om bijvoorbeeld een nieuwe sitekoppeling tussen de sites Londen en New York te maken, gebruikt u de volgende opdracht: New-ADReplicationSiteLink -Name “London-NewYork” -SitesIncluded London,NewYork

Vervolgens moet u de sitelink configureren:

  1. Klik in het detailvenster met de rechtermuisknop op de sitekoppeling en klik vervolgens op Eigenschappen.
  2. Configureer in het dialoogvenster Site Link Properties, weergegeven in Afbeelding 2-50, de volgende eigenschappen en klik vervolgens op OK.
    1. Kosten Dit is een willekeurig getal dat een voorkeur moet aangeven of de link moet worden gebruikt als er meerdere paden beschikbaar zijn. Als er bijvoorbeeld twee mogelijke paden zijn tussen twee sites in uw infrastructuur, maar één heeft hogere end-to-end-kosten, dan wordt het pad met lagere kosten gebruikt, tenzij het niet beschikbaar is. De standaardwaarde is 100.
    1. Elke replicatie Dit is het replicatie-interval en is standaard 180 minuten. Verminder dit om ervoor te zorgen dat eventuele wijzigingen sneller worden doorgegeven aan alle domeincontrollers in uw organisatie. 15 minuten is de laagste configureerbare waarde.
  3. Planning De planning is het tijdsbestek voor de beschikbaarheid van replicatie. Gedurende de geconfigureerde tijd kan replicatie plaatsvinden met het gespecificeerde ‘Herhaal elke’ interval. Als u bijvoorbeeld wilt voorkomen dat replicatie tijdens werkuren plaatsvindt, kunt u de Schedule gebruiken om dat te configureren.

Nadat u alle vereiste sitekoppelingen hebt gemaakt en alle domeincontrollers naar de juiste sites hebt verplaatst, kunt u de DEFAULTIPSITELINK verwijderen als u deze niet langer nodig heeft.

1.1.7.4      Wanneer sitelinks bruggen gebruiken

Over het algemeen is het maken en configureren van site-links voldoende om een volledig routeerbare, fouttolerante intersite-replicatietopologie mogelijk te maken. Dit komt omdat alle sitelinks standaard automatisch worden overbrugd, wat betekent dat alle sitelinks transitief zijn.

Met bruggen voor sitelinks kunt u transitieve links tussen sites maken wanneer sitelinks niet het vereiste gedrag kunnen bieden. Er zijn twee situaties waarin bruggen met sitelinks nodig kunnen zijn:

  • Uw IP-netwerk is niet volledig gerouteerd. U kunt sitelink-bridges inschakelen om transitieve links mogelijk te maken waar uw IP-netwerk dit niet automatisch kan doen.
  • U wilt meer controle over de replicatiestroom U kunt bepalen hoe de replicatie van AD DS door uw sites stroomt door de optie Alle sitelinks overbruggen uit te schakelen en vervolgens sitelinkbruggen te maken. Replicatieverkeer stroomt transitief door sites die zijn verbonden door sitelink-bridges, maar gaat niet verder dan de sitelink-bridge.
1.1.7.4.1     Verplaats domeincontrollers tussen sites

Nadat u de subnetten en sites hebt geconfigureerd om de fysieke topologie van uw netwerk te spiegelen, moet u de domeincontrollers naar de juiste sites verplaatsen. Aangenomen wordt dat de domeincontrollers al de juiste IP-configuratie hebben gekregen, zodat ze zich fysiek in het juiste subnet bevinden.

EXAMEN TIP

Tijdens de implementatie van een domeincontroller wordt u gevraagd op welke site u de domeincontroller wilt implementeren.

Gebruik de volgende procedure om een domeincontroller tussen sites te verplaatsen na implementatie:

  1. Vouw in Active Directory-sites en -services in het navigatievenster het object Default-First-Site-Name uit.
  2. Vouw de map Servers uit en klik op de server die u wilt verplaatsen.
  3. Klik met de rechtermuisknop op de server en klik vervolgens op Verplaatsen.
  4. Klik in het dialoogvenster Server verplaatsen, weergegeven in Afbeelding 2-51, op de site waarnaar u de domeincontroller wilt verplaatsen en klik vervolgens op OK.

U kunt ook de Windows PowerShell Move-ADDirectoryServer-cmdlet gebruiken om domeincontrollers tussen sites te verplaatsen.

U hoeft geen servers of clientcomputers te verplaatsen. Deze apparaten bepalen hun eigen plaatsing op de site door hun IP-configuratie te gebruiken om hun subnet te bepalen. Vanuit AD DS bepalen ze vervolgens hun locatie.

Nadat u het proces van het maken en configureren van uw subnetten, sites en sitekoppelingen hebt voltooid en nadat u uw domeincontrollers naar de juiste sites hebt verplaatst, zoals weergegeven in figuur 2-52, is het een goed idee om een kenniscentrum uit te voeren. consistentiecontrole om de replicatietopologie opnieuw op te bouwen. U kunt dit doen vanuit Active Directory-sites en -services door het NTDS-instellingenobject onder het serverobject op een bepaalde site te zoeken. Klik met de rechtermuisknop op het object NTDS-instellingen, wijs Alle taken aan en klik vervolgens op Replicatietopologie controleren.

1.1.7.4.2     Beheer registratie van SRV-records

Wanneer u domeincontrollers implementeert, registreren deze belangrijke records in de juiste DNS-zone op uw DNS-server. Deze records, ook wel SRV-bronrecords genoemd, stellen computers en gebruikers in staat domeincontrollerservices te lokaliseren. AD DS-services, zoals de Kerberos-authenticatieservice, gebruiken SRV-records om zichzelf bekend te maken bij clients in een AD DS-netwerk.

Een typisch SRV-record bestaat uit een aantal elementen:

  • Servicenaam en poort – Identificeert de service en de bijbehorende TCP- (Transmission Control Protocol)- of UDP-poort (User Datagram Protocol). Gemeenschappelijke SRV-records zijn bijvoorbeeld Lightweight Directory Access Protocol (LDAP) via TCP-poort 389, Kerberos via poort 88, het Kerberos V5-authenticatieprotocol (KPASSWD) op poort 464 en de global catalog-service op poort 3268.
  • Protocol – Geeft aan of TCP of UDP wordt gebruikt. Een dienst kan beide gebruiken, maar is vereist om afzonderlijke SRV-records te registreren die dit aangeven.
  • Hostnaam – Geeft de naam van de host die de service aanbiedt. Clientcomputers moeten
  • gebruik vervolgens hostrecords in DNS om het IP-adres te bepalen dat door de opgegeven host wordt gebruikt.
  • Opties Aan – SRV-records worden ook voorkeurs-, gewichts- en prioriteitswaarden toegewezen. Deze worden gebruikt wanneer er meerdere records zijn die naar dezelfde service of server verwijzen en u wilt bepalen welke servers als eerste worden gebruikt. Een AD DS-domeincontroller registreert bijvoorbeeld de DNS-bronrecords van de Kerberos-authenticatieservice met een prioriteitswaarde van 0 en een gewicht van 100, zoals weergegeven in Afbeelding 2-53. U kunt deze beginwaarden wijzigen om te bepalen welke host die de Kerberos-verificatieservice aanbiedt, door clients wordt gebruikt. DNS-clients proberen de server met de laagste prioriteitswaarde te gebruiken. Als meerdere servers dezelfde prioriteitswaarde hebben, gebruiken clients de server in verhouding tot hun gewichtswaarden.

EXAMEN TIP

U kunt deze waarden configureren met behulp van de DNS Manager-console of de Windows PowerShell-cmdlets Add-DnsServerResourceRecord of Set-DnsServerResourceRecord met behulp van de parameters Priority, Weight en Preference.

SRV-records worden opgeslagen in DNS in een hiërarchie die niet alleen de protocolinformatie bevat, maar ook de site-informatie; hierdoor kunnen computers services lokaliseren op basis van de AD DS-site waarop de service wordt aangeboden. Figuur 2-XY toont de DNS-structuur van de geregistreerde SRV-records.

Over het algemeen hoeft u SRV-records niet handmatig te registreren of bij te houden. Ervan uitgaande dat uw DNS-servers zijn geconfigureerd met DNS-zones die dynamische updates ondersteunen, werken ze hun DNS-records automatisch bij wanneer u domeincontrollers toevoegt of naar andere sites verplaatst.

1.1.7.4.3     Sitedekking beheren

Het is belangrijk dat alle fysieke sites toegang hebben tot een domeincontroller. Als er, nadat u uw intersite-replicatieconfiguratie hebt voltooid, sites zijn zonder domeincontrollers, hebt u een aantal mogelijke oplossingen:

  • Voeg het subnet toe aan een site Als er slechts een paar computers in een filiaal zijn die geen domeincontroller verdienen, voegt u het subnet op die locatie toe aan een aangrenzende site om ervoor te zorgen dat clientcomputers domeinservices kunnen vinden.
  • Implementeer een RODC Als er voldoende computers zijn om een lokale domeincontroller te verdienen, implementeer dan een RODC.
  • Vertrouw op automatische sitedekking Een domeincontroller van een aangrenzende site registreert ook zijn SRV-records voor de kleinere site, zodat clientcomputers die domeincontroller kunnen lokaliseren.