Active Directory upgrade – achtergrondinformatie

Op deze pagina vindt u meer informatie over de upgrade naar Active Directory van uw 1A-server(s).

Active Directory – wat houdt het in en wat heb ik eraan?

Achtergrond

Het meest belangrijk in een ICT-omgeving, het domein, zijn de mensen die er mee moeten werken, de gebruikers. Om te zorgen dat de juiste gebruikers bij de juiste gegevens kunnen, is het dus belangrijk dat zij bekend zijn in het domein. Dit is de gebruikersdatabase.

In klassieke Windows-netwerk werd het NT-domein gebruikt, dat gebruikers, groepen en computers kende en hiermee shares en printers met bepaalde toegangsrechten kon ontsluiten.

Met de komst van Windows 2000 introduceerde Microsoft iets nieuws: Active Directory, een zeer uitgebreide boomstructuur gebaseerd op de LDAP-technologie. Hiermee werd het mogelijk om veel meer gegevens op te slaan, zoals contacten, DNS en groepsbeleid (policies). Ook maakt Active Directory gebruik van Kerberos, een standaard authenticatieprotocol dat ervoor zorgt dat gebruikers van een netwerk zich op een veilige manier kunnen aanmelden en hun identiteit kunnen bewijzen, zonder zich telkens opnieuw te moeten aanmelden. Kerberos maakt een beperkte vorm van Single Sign-on mogelijk.

Active Directory is inmiddels uitgegroeid tot de meestgebruikte standaard rondom gebruikersdatabases en ICT-omgevingen in het algemeen.

Mogelijkheden

Door gebruik te gaan maken van Active Directory, wordt het mogelijk om 100% compatibiliteit te bereiken met alle software die ondersteuning biedt voor Active Directory. Dit geldt niet alleen voor alle recente Windows-versies, inclusief Windows 10, maar ook voor veel webapplicaties die in de Intranet- of Extranet-share zouden kunnen bestaan en voor software op (Windows-)applicatieservers en desktopsystemen.

Ook wordt het mogelijk om gebruik te gaan maken van geavanceerde Active Directory mogelijkheden zoals gecentraliseerd groepsbeleid.

Wat verandert er?

Uw 1A-server(s) gaan over van NT-domein via Samba met OpenLDAP als gebruikersdatabase naar Active Directory, wat volledig in Samba geïntegreerd is. OpenLDAP zal nog steeds beschikbaar zijn, maar op een andere netwerkpoort en met een iets andere structuur. Omdat Active Directory een aantal strenge regels hanteert, moet daaraan voldaan worden.

Intern DNS-domein

Uw netwerk heeft een bepaalde naam: het domein. Deze naam ziet u onder andere als u inlogt op een Windows PC. Uw netwerk heeft echter nog een tweede naam: het DNS-domein. Deze naam is voor de meeste mensen een stuk minder zichtbaar. Hij is echter wel belangrijk! Met de upgrade naar Active Directory is er een verplicht verband tussen deze twee namen. Als uw domein de naam “BEDRIJF” heeft, dan moet het interne DNS-domein ook beginnen met “bedrijf”. Dit was vroeger niet verplicht. Met de upgrade naar Active Directory kan uw interne DNS-domein omgezet zijn naar “BEDRIJF.intern”.

Het interne DNS-domein is terug te vinden op de info-pagina van uw 1A-server. Deze pagina kunt u bereiken door op Server Info te klikken op uw 1A-startpagina.

Webindex - Server Info

Webindex - Server Info - Intern DNS-domein

LDAP base DN

Zoals eerder genoemd is LDAP een boomstructuur. Deze begint bij de Base DN, de stam van de boom. Deze instelling wordt met de upgrade naar Active Directory gewijzigd. Vroeger waren er namelijk geen eisen aan deze instelling, met Active Directory moet hij uit dezelfde elementen zijn opgebouwd als het interne DNS-domein. Als uw interne DNS-domein bedrijf.intern is, dan is uw LDAP base DN vanaf nu dc=bedrijf,dc=intern.

In het voorbeeld van het plaatje hierboven, zou dat dus dc=demo,dc=intern worden.

Moet ik nog wat doen?

Als u software heeft die is gekoppeld aan LDAP, dan moet u deze anders instellen.

Om te waarborgen dat software nog steeds met OpenLDAP kan communiceren, hebben we deze als een tussenlaag toegevoegd. Om hiervan gebruik te kunnen maken, moet u in de configuratie de volgende instellingen wijzigen:

  • De LDAP-server is vanaf nu bereikbaar op poort 8389 in plaats van 389
  • Als u ergens een Base DN heeft ingevuld, dan moet u hier de nieuwe waarde invullen
  • Als u de mogelijkheid heeft om een type LDAP-server in te stellen, dan moet u nu kiezen voor “Active Directory”

Mochten er nog meer (geavanceerde) instellingen bestaan en u komt er niet uit, vraag dan uw 1A-partner om hulp.

Het is vanaf nu ook mogelijk om software direct te koppelen met Active Directory. Bij deze methode is het wel verplicht dat u een geldige gebruiker opgeeft. Dit mag een bestaande gebruiker zijn, maar kan ook een nieuwe gebruiker speciaal voor deze functie (dit kost u wel een licentie-eenheid). Vraag bij deze methode altijd uw 1A-partner om advies.

Meer informatie

Op Wikipedia is voor de geïnteresseerden meer informatie te vinden over de verschillende technologieën die in dit artikel zijn genoemd: