Speicher- und Active-Directory-Konzepte

Eingeordnet in Informatik

Geschrieben am in Deutsch mit einer Größe von 12,17 KB

Konzepte: Fixed Disk Storage

Cluster aus Kunststoff, Metall und Silizium, die Daten speichern können.

Logical Volume

Grundeinheit des Festplattenplatzes, konfiguriert und verwaltet. Jedes logische Volumen kann mehr Raum auf einem physischen Datenträger beanspruchen. In der Regel stellt es einen Laufwerksbuchstaben dar.

Volumes montiert

Das sind Volumes, die an einen leeren Ordner oder an ein bestehendes NTFS-Volume gemountet werden. Diese Möglichkeit erhöht die Flexibilität in Anwendungen.

Fehlertoleranz

Ein fehlertolerantes System funktioniert weiterhin, wenn eine Festplatteneinheit ausfällt. Windows Server 2003 ermöglicht Fehlertoleranz durch Spiegelung (RAID-1) und Parität (RAID-5) auf logischen Volumes. Darüber hinaus unterstützen Hardware-RAID-Controller die Fehlertoleranz oft so, dass die Hardware als eine einzelne virtuelle Festplatte erscheint und das Management vom Controller übernommen wird.

Trennung von Daten

Sie können das Betriebssystem auf einem anderen Volume als Anwendungen und Daten installieren. Ziel ist es, die Sicherheit zu erhöhen und die Verwaltung der einzelnen Volumes zu vereinfachen.

Basisdatenträger und Partitionen

Die Basisstruktur eines datenträgerbasierten Laufwerks sind Partitionen. Vor Windows 2000 und mit einigen Einschränkungen gab es eine begrenzte Anzahl von Partitionen.

Dynamische Datenträger

Dynamische Datenträger sind in Windows 2000 und höher verfügbar. Sie verwenden keine klassischen Laufwerke oder Partitionen, sondern Bände (Volumes).

Basisdatenträger-Partition

Ein Teil oder das gesamte Laufwerk, das als eine Einheit behandelt wird.

Primäre Partition

Eine Partition, die es ermöglicht, das Host-Betriebssystem zu starten. Windows Server 2003 unterstützt bis zu vier primäre Partitionen.

Aktive Partition

Die primäre Partition, von der das Betriebssystem gestartet wird.

Erweiterte Partition

Eine Partition, von der das Betriebssystem nicht gestartet werden kann. Pro physischem Datenträger ist nur eine erweiterte Partition zulässig, welche in logische Laufwerke unterteilt werden kann. Somit sind maximal drei primäre Partitionen und eine erweiterte Partition möglich.

Logische Einheit (Logical Unit)

Ein Teil einer erweiterten Partition, der als eigenständige Einheit fungiert.

Dynamische Datenträger: Volumes

Ein Volume auf einem dynamischen Datenträger verhält sich ähnlich wie ein separates physisches Laufwerk. Sie können Fehlertoleranz verwenden (ohne Neustart des Computers) und es gibt praktisch keine Begrenzung für die Anzahl der zu erstellenden Volumes.

Einfaches Volume

Speicherplatz auf einer einzelnen Festplatte. Es gibt Grenzen für die Anzahl der Volumes. Sie können den Umfang mit anderem ungenutzten Raum kombinieren, sofern dieser auf demselben Datenträger vorhanden ist.

Striped Volume (Verteiltes Band)

Ein Zusammenschluss von freiem Speicherplatz auf zwei oder mehr Festplatten (maximal 32). Die Daten werden blockweise über die beteiligten Datenträger verteilt. Striped Volumes bieten keine Fehlertoleranz und können nicht zu einem fehlertoleranten Verbund erweitert werden. Sie erhöhen jedoch die Lese-/Schreibperformance, bergen aber ein höheres Ausfallrisiko, da bei Ausfall einer Platte das gesamte Volume betroffen ist.

Gestreiftes Volume (RAID-0)

Ähnlich zu einem Striped Volume: Der freie Speicherplatz von zwei oder mehr Festplatten wird in Streifen (z. B. 64 KB) aufgeteilt. Daten werden abwechselnd in diese Streifen geschrieben, was Zugriffsgeschwindigkeiten verbessert. Fällt eine Festplatte aus, sind die Daten des Volumes meist verloren.

RAID-Konzepte

RAID (Redundant Array of Independent Disks) ist eine Technik, die mehrere physische Laufwerke kombiniert, um entweder die Leistung oder die Ausfallsicherheit für Dateien und Ordner zu verbessern. RAID kann software- oder hardwareseitig implementiert werden.

Spiegelvolumen (Reflected Band / RAID-1)

Bei Spiegelung (RAID-1) werden Daten auf zwei Laufwerken als Duplikat gehalten. Dadurch entsteht eine hohe Fehlertoleranz, da eine Platte ausfallen kann und die Daten weiterhin verfügbar bleiben.

RAID-5-Volume

RAID-5 ist fehlertolerant und verteilt Paritätsinformationen über mindestens drei physische Festplatten. Daten und Parität werden über die Disks verteilt. Bei Ausfall einer Festplatte können die Daten mithilfe der Paritätsinformationen rekonstruiert werden.

Kommentar zu RAID-5

RAID-5-Volumes werden häufig gegenüber reinen Spiegel-Setups bevorzugt, wenn höhere Fehlertoleranz und bessere Leseleistung erforderlich sind. Beim Schreiben ist RAID-5 jedoch in der Regel langsamer, da die Parität berechnet und geschrieben werden muss. Schreibvorgänge können dadurch aufwändiger sein als Lesevorgänge.

Einschränkungen beim Dual-Boot und dynamischen Datenträgern

Wenn ein Basisdatenträger für Dual-Boot verwendet wird, kann er nicht in ein dynamisches Laufwerk konvertiert werden, ohne bestimmte Einschränkungen zu beachten. Bis Windows Server 2003 war die Verteilung von Systemvolumes auf mehrere Datenträger eingeschränkt: Das Systemvolume konnte weder verteilt noch erweitert werden.

lmhosts (statische Datei)

Die lmhosts-Datei ist eine statische Datei, die das Betriebssystem verwendet, wenn keine DNS-Konfiguration im Netzwerk vorhanden ist, um NetBIOS-Namen in IP-Adressen aufzulösen. Ein Client kann dadurch eine Maschine finden, deren Eintrag ein Administrator in lmhosts definiert hat. NetBIOS-Namen dürfen keine Punkte enthalten und dürfen nicht länger als 15 Zeichen sein. In den TCP/IP-Einstellungen des Clients muss die IP-Adresse des WINS-Servers auf der WINS-Registerkarte eingetragen sein. Zusätzlich sollte die Option "NetBIOS über TCP/IP aktivieren" bzw. die Standard-NetBIOS-Einstellungen aktiviert sein.

Console-WINS (Replikation)

Unter WINS kann man Datenbanken zwischen mehreren Servern replizieren. Bei der Replikation sieht man, welche Maschine die Basisdaten enthält. Replikationen haben Parameter, wann und wohin repliziert werden soll (Import/Export). Filter können Ergebnisse anhand von IP-Adressen ausschließen. Statische Einträge haben Vorrang vor replizierten Einträgen.

Intransitive Vertrauensstellungen

Eine intransitive Vertrauensstellung ist eine Vertrauensbeziehung zwischen zwei Domänen, die nicht automatisch auf andere Domänen übertragen wird. Eine intransitive Vertrauensstellung kann unidirektional oder bidirektional sein. Standardmäßig sind intransitive Vertrauensstellungen einseitig, es ist jedoch möglich, sie in beiden Richtungen zu erstellen. Zusammenfassend sind intransitive Vertrauensstellungen die einzige Form von Beziehungen, die zwischen einer Windows 2003-Domäne und einer Windows NT-Domäne außerhalb einer Gesamtstruktur möglich sind.

Erstellen Sie einen neuen Wald

Ein Wald besteht aus einem oder mehreren Domänen, die ein gemeinsames Schema und einen globalen Katalog teilen. Eine Organisation kann mehrere Wälder bilden, was Verwaltungs- und Sicherheitsgrenzen schafft. Eine Domäne ist die administrative Grenze für Objekte wie Benutzer, Gruppen und Computer. Jede Domäne kann eigene Sicherheitsrichtlinien besitzen und Vertrauensstellungen mit anderen Domänen eingehen.

Domänenbäume und Root-Domain

Mehrere Domänenbäume in einem Wald bilden nicht nur eine zusammenhängende Namenshierarchie, sondern ergeben auch eine DNS-Struktur von Domänen. Obwohl die Bäume eines Waldes keinen einzigen Namensraum teilen, gibt es im Wald eine eindeutige Root-Domain, die als Forest Root Domain bezeichnet wird. Die Forest Root Domain ist per Definition die erste im Wald erstellte Domäne. In diesem Bereich befinden sich die Gruppen Schema-Administratoren und Organisations-Administratoren. Standardmäßig haben Mitglieder dieser Gruppen administrative Berechtigungen in der Gesamtstruktur.

Funktion: Globaler Katalog

Ein globaler Katalog ist ein Domänencontroller, der eine vollständige Kopie aller Objekte der eigenen Domäne und eine partielle Kopie der Objekte aller anderen Domänen des Waldes enthält. Beim Erstellen des ersten Domänencontrollers in einem Wald wird automatisch ein globaler Katalog angelegt. Sie können die Funktionalität ändern, indem Sie einen anderen Domänencontroller als globalen Katalog festlegen.

Funktionen des globalen Katalogs

  • Suchen von Objekten: Der globale Katalog ermöglicht Benutzern die Suche nach Verzeichnisinformationen aller Domänen eines Waldes, unabhängig davon, wo die Daten gespeichert sind.
  • Auflösung von Benutzeranmeldenamen: Der globale Katalog löst in den meisten Fällen den User Principal Name (UPN) auf, wenn der angefragte Domänencontroller keine Informationen zur Authentifizierung hat.
  • Mitgliedschaftsinformationen für universelle Gruppen: Informationen über die Zugehörigkeit zu universellen Gruppen werden im globalen Katalog gespeichert, im Gegensatz zu lokalen oder globalen Gruppen, die in ihrer jeweiligen Domäne verwaltet werden.
  • Referenzprüfung: Domänencontroller nutzen den globalen Katalog, um Referenzen auf Objekte in anderen Domänen zu überprüfen.

Operationale Masterrollen im Wald

Die FSMO-Rollen (Flexible Single Master Operations) steuern bestimmte Änderungen und Aktualisierungen in der Gesamtstruktur:

  • Schema-Master: Steuert alle Aktualisierungen und Änderungen am Schema.
  • Domänen-Master (Domain Naming Master): Der Domänencontroller mit dieser Rolle steuert das Hinzufügen oder Entfernen von Domänen im Wald. Nur dieser Master kann Domänen in der Gesamtstruktur hinzufügen oder entfernen.

Vertrauensstellungen und Protokolle

Alle Vertrauensstellungen innerhalb eines Windows 2000/2003-Waldes sind standardmäßig bidirektional und transitiv. Zur Authentifizierung von Benutzern und Diensten kommen zwei Protokolle zum Einsatz: Kerberos V5 oder NTLM. Kerberos V5 ist das Standardprotokoll für Geräte unter Windows 2000, Windows XP Professional und Windows Server 2003. Wenn eine beteiligte Partei Kerberos V5 nicht unterstützt, fällt die Authentifizierung auf NTLM zurück.

NTLM-Vertrauensablauf

Bei NTLM sendet der Client Anfragen an den Domänencontroller der eigenen Domäne, um Anmeldeinformationen für Ressourcen in einer fremden Domäne zu überprüfen. Der Server, der die Ressource besitzt, muss bei seinem Domänencontroller die Gültigkeit der Anmeldeinformationen prüfen.

Vertrauensobjekte

Die Vertrauensobjekte einer Domäne (DOT, Domain Trust Objects) repräsentieren jede Vertrauensstellung zu einer bestimmten Domäne. Jedes Mal, wenn eine Vertrauensstellung eingerichtet wird, wird ein DOT erstellt und in den Systemcontainern gespeichert. Attribute wie Transitivität, Richtung und beteiligte Domänen werden im DOT dokumentiert.

Richtung einer Vertrauensstellung

Die Richtung einer Vertrauensstellung bestimmt, in welcher Richtung Authentifizierungsanfragen fließen dürfen:

  • Unidirektional: Wenn zwischen Domäne A und B eine einseitige Vertrauensstellung besteht, können Benutzer aus Domäne A auf Ressourcen in Domäne B zugreifen, aber nicht umgekehrt.
  • Bidirektional: Bei einer zweiseitigen Vertrauensstellung vertrauen sich Domäne A und Domäne B gegenseitig.
  • Transitiv: Beim Hinzufügen einer neuen Domäne in einem Wald werden automatisch bidirektionale, transitive Vertrauensstellungen in der Domänenhierarchie eingerichtet. Transitive Vertrauensstellungen fließen entlang der Baumstruktur und ermöglichen Vertrauen zwischen allen Domänen eines Baums.

Zusammenfassung

Dieses Dokument fasst Konzepte zu Festplatten, Volumes, RAID, Partitionstypen sowie Active-Directory-Strukturen wie Wälder, globale Kataloge und Vertrauensstellungen zusammen. Die genannten Mechanismen sind wichtig für die Planung von Speicherung, Sicherheit und Authentifizierung in Windows-Server-Umgebungen.

Karma: -32%
Besuche: 0

Verwandte Einträge:

Tags:
Dynamische Datenträger Volumes Windows Server Active Directory WINS Storage Vertrauensstellungen Partitionen RAID Globaler Katalog