Domain, Tree, Forest

In kleinen Unternehmen gibt es meist nur eine einzige Active-Directory-Domain – das reicht völlig. Aber was ist wenn ein Konzern aus mehreren rechtlich selbstständigen Tochtergesellschaften besteht, die trotzdem IT-Ressourcen teilen sollen? Oder wenn ein Unternehmen ein anderes aufkauft? Dann kommen die Konzepte Tree und Forest ins Spiel. Diese Lektion erklärt wie mehrere Domains strukturiert werden können und warum das sinnvoll ist.

Die einfachste Analogie: Eine Domain ist eine Stadt. Ein Tree ist ein Bundesland – mehrere Städte unter einem gemeinsamen Dach. Ein Forest ist ein Staat – mehrere Bundesländer die ein gemeinsames Schema (Verfassung) und Vertrauen teilen, aber jeweils eigene Verwaltung behalten.

1) Domain, Tree und Forest visuell erklärt

Ein Tree entsteht wenn eine Domain Kind-Domains bekommt. Die Kind-Domain teilt den DNS-Namespace der Eltern-Domain: ad.firma.de bekommt die Kind-Domain muenchen.ad.firma.de. Ein Forest entsteht wenn mehrere Trees zusammengebracht werden – die Root-Domains der Trees sind dann über Forest-Trusts verbunden. Klicke auf eine Domain für Details zu Trusts und Struktur:

2) Wann brauche ich mehrere Domains?

Mehrere Domains erhöhen die Komplexität erheblich. Du brauchst mehr Domänencontroller, musst Trusts pflegen und hast mehr Verwaltungsaufwand. Deshalb sollte man sich gut überlegen ob mehrere Domains wirklich nötig sind. In den meisten kleinen und mittleren Unternehmen reicht eine einzige Domain. Mehrere Domains machen Sinn wenn:

• Unterschiedliche Sicherheitsrichtlinien zwingend nötig sind, die sich nicht per OU trennen lassen (z.B. Passwortrichtlinien gelten pro Domain)
• Rechtliche oder organisatorische Selbstständigkeit der Einheiten erfordert separate Verwaltung
• Bandbreite zwischen Standorten so gering ist, dass eine eigene Domain am Standort sinnvoll ist (heute selten)
• Akquisitionen: Ein übernommenes Unternehmen hat bereits eine AD-Infrastruktur die zunächst separat bleibt

3) Global Catalog – das domänenübergreifende Suchsystem

In einem Forest mit mehreren Domains gibt es ein Problem: Wie kann ein Benutzer in Domain A eine Ressource in Domain B suchen, ohne einen DC von Domain B direkt anzusprechen? Die Antwort ist der Global Catalog (GC). Ein GC-Server hält eine Teilkopie aller Objekte des gesamten Forests – allerdings nur die wichtigsten Attribute (Name, E-Mail, Gruppenmitgliedschaft). Abfragen an den GC laufen über Port 3268 (unverschlüsselt) oder 3269 (LDAPS).

Jede Domain braucht mindestens einen GC-Server (meist der erste DC). Bei Anmeldungen prüft der DC auch den GC um die universellen Gruppenmitgliedschaften des Benutzers zu ermitteln – ohne GC ist keine Anmeldung möglich. Deshalb: In jedem AD-Standort wo Benutzer arbeiten, sollte ein DC mit GC-Funktion vorhanden sein.

Zusammenfassung

Domain = Verwaltungseinheit mit eigenem DNS-Namen und eigenen DCs. Tree = Domänenbaum mit gemeinsamem DNS-Namespace. Forest = Dachstruktur mit gemeinsamem Schema und Vertrauen. Trusts innerhalb eines Trees sind automatisch, transitiv und bidirektional. Forest-Trusts zwischen Trees müssen konfiguriert werden. Global Catalog (Port 3268) ermöglicht Forest-weite Suche und ist Voraussetzung für Benutzeranmeldungen.