Magic Quadrant™ für Privileged Access Management 2025: Netwrix zum vierten Jahr in Folge anerkannt. Laden Sie den Bericht herunter.

Kontaktieren Sie unsUnterstützungCommunity
English Español Italiano Français Deutsch Português
Plattform
Lösungen

Data Security Posture Management

Entdecken und klassifizieren Sie Daten in hybriden Umgebungen. Bewerten, priorisieren und mindern Sie Risiken für sensible Daten.

Directory Management

Vereinfachen und sichern Sie die Directory-Verwaltung, indem Sie Komplexität, Risiko und manuellen Aufwand reduzieren.

Endpoint Management

Sichern Sie Endpunkte und verhindern Sie Datenverlust, während Sie die Produktivität der Teams aufrechterhalten — unabhängig davon, wo sie arbeiten.

Identity Management

Sichern Sie jede Identität, optimieren Sie jeden Prozess und bleiben Sie der Compliance voraus – ohne zusätzliche Komplexität.

Identity Threat Detection & Response

Bleiben Sie identitätsbasierten Bedrohungen einen Schritt voraus — beheben Sie Risiken proaktiv, blockieren Sie Angriffe und stellen Sie eine schnelle Wiederherstellung sicher.

Privileged Access Management

Reduzieren Sie Ihre Angriffsfläche, indem Sie ständige Berechtigungen entfernen, Anmeldeinformationen absichern und privilegierte Sitzungen überwachen.
Empfohlene Produkte Alle Produkte anzeigen
Netwrix AuditorNetwrix Access AnalyzerNetwrix PingCastleNetwrix Endpoint Protector

Die Netwrix 1Secure™ Plattform

Entdecken
Netwrix AI Umgebungen, die wir schützen Integrationen MSPs Sicherheitsrisiken bei Active Directory Compliance Preisgestaltung
Resource Center Alle ansehen
BlogAttack CatalogComplianceKundenerfahrungenCybersecurity FrameworksCybersecurity GlossarEventsFreewareGuidesIdeas PortalNewsPodcastsPublikationenProduktankündigungenForschungWebinare
Asset not found

Vorgestellte Kundenstory

DXC Technology ermöglicht es Kunden, die PCI DSS-Konformität zu erreichen und sich auf strategische Initiativen zu konzentrieren
Partner
PartnerprogrammWerden Sie PartnerMSPsPartnerfinderWebinare
Asset not found

Vorgestellte Kundenstory

AppRiver verbessert die Kontrolle über Active Directory und reduziert die Überwachungszeit erheblich
Asset not found

Vorgestellte Kundenstory

MSP hilft Klienten, sich in 6 Stunden von Ransomware zu erholen
Warum Netwrix
Über unsFührungNetwrix AIKundenreferenzenAnerkennungNewsKarriere
Asset not found

Vorgestellte Kundenstory

Horizon Leisure Centres beschleunigt die Datenklassifizierung, um die DSGVO einzuhalten, und spart jährlich 80.000 £
Asset not found

Vorgestellte Kundenstory

Samsung R&D Institute sichert Daten mit plattformübergreifender Nutzung und schneller macOS-Implementierung durch Netwrix Endpoint Protector
Ressourcen­zentrumBlog
Active Directory-Replikation

Active Directory-Replikation

Feb 20, 2017

IT-Administratoren arbeiten seit der Einführung der Technologie in Windows 2000 Server mit und um Active Directory herum. Windows 2000 Server wurde am 17. Februar 2000 veröffentlicht, aber viele Administratoren begannen bereits Ende 1999 mit Active Directory zu arbeiten, als es am 15. Dezember 1999 zur Herstellung freigegeben wurde (RTM).

In diesem Teil unseres Tutorials werden wir über AD-Replikation sprechen.

Active Directory-Replikation

Die Replikation von Active Directory ist die Methode des Übertragens und Aktualisierens von Active Directory-Objekten von einem DC zu einem anderen DC.

Die Verbindungen zwischen DCs basieren auf deren Standorten innerhalb eines forest und Standorts. Jeder Standort in Active Directory enthält ein oder mehrere Subnetze, die den Bereich der IP-Adressen identifizieren, die dem Standort zugeordnet sind. Indem die IP-Adresse eines DC einem Subnetz zugeordnet wird, weiß Active Directory, welche DCs sich an welchem Standort befinden. Verbindungen werden zwischen Standorten konfiguriert, um sicherzustellen, dass Active Directory-Objekte zwischen den Standorten repliziert werden.

Technologien

Die Replikation von Active Directory basiert auf den folgenden Technologien für einen erfolgreichen Betrieb:

  1. DNS
  2. Remote Procedure Call (RPC)
  3. SMTP (optional)
  4. Kerberos
  5. LDAP

Hauptkomponenten

Es gibt vier Hauptkomponenten der Replikation in Active Directory:

  • Multimaster-Replikation

Die Multimaster-Replikation, im Vergleich zur Einzelmaster-Replikation, wie sie in Windows NT 4.0 verwendet wurde, stellt sicher, dass jeder Domain-Controller Aktualisierungen für Objekte empfangen kann, für die er autoritativ ist. Dies bietet Fehlertoleranz innerhalb einer Active Directory-Umgebung.

  • Replikation abrufen

Die Pull-Replikation stellt sicher, dass DCs Objektänderungen anfordern, anstatt dass Änderungen gepusht werden (insbesondere unnötigerweise). Das Pullen reduziert den Replikationsverkehr zwischen DCs geringfügig.

  • Store-and-Forward-Replikation

Die Store-and-Forward-Replikation stellt sicher, dass jeder DC mit einer Teilmenge von DCs kommuniziert, um die vorgenommenen Objektänderungen zu übertragen. Bei Store-and-Forward würde jeder DC mit jedem anderen DC kommunizieren, was ineffizient ist. Die Store-and-Forward-Replikation verteilt die Replikationslast unter den DCs innerhalb einer Active Directory-Umgebung.

  • Zustandsbasierte Replikation

Die zustandsbasierte Replikation stellt sicher, dass jeder DC den Status der Replikationsupdates verfolgt, was Konflikte und unnötige Replikationen eliminiert.

Image

Replikationsmanagement

Die Replikation wird vom Knowledge Consistency Checker (KCC) verwaltet.

Der KCC verwaltet die Replikation zwischen DCs innerhalb einer einzelnen Site mithilfe von automatisch erstellten Verbindungen. Der KCC liest Konfigurationsdaten und liest und schreibt Verbindungsobjekte für DCs. Der KCC verwendet ausschließlich RPC, um mit dem Verzeichnisdienst zu kommunizieren.

Die Intrasite-Replikation verwendet keine Komprimierung und Änderungen werden sofort an die DCs gesendet. Die Intersite-Replikation hingegen basiert auf benutzerdefinierten Verbindungen, die erstellt werden müssen. Der KCC nutzt diese Verbindungen, um eine Topologie zu erstellen, damit die Replikation über die standortübergreifenden Verbindungen verwaltet wird.

Die Verbindungen von Standorten können zeitlich gesteuert werden und die Replikationsdaten werden komprimiert, um die Bandbreitennutzung zu minimieren. Der Standard-replication schedule für Standort-zu-Standort-Verbindungen beträgt 180 Minuten, was für die überwiegende Mehrheit der Organisationen normalerweise viel zu lang ist. Dies kann in der GUI auf bis zu 15 Minuten konfiguriert werden und sogar schneller, indem man die Registry modifiziert.

Die Größe eines Replikationspakets wird basierend auf der Menge des RAMs im DC berechnet. Standardmäßig sind die Paketgrößen auf 1/100tel des RAMs begrenzt, mit einem Minimum von 1 MB und einem Maximum von 10 MB. Zusätzlich ist die maximale Anzahl von Objekten in einem Paket auf 1/1.000.000tel der Größe des System-RAMs begrenzt, mit einem Minimum von 100 Objekten und einem Maximum von 1.000 Objekten. Daher werden in modernen Servern, die mehr als 1 GB RAM haben, Replikationspaketgrößen entweder bis zu 10 MB Daten oder bis zu 1.000 Objekte enthalten. Die maximale Paketgröße und das Objektlimit können durch Ändern der Registry an der Stelle HKEY_LOCAL_MACHINESystemCurrentControlSetServicesNTDSParameters konfiguriert werden.

Primäre Replikationskomponenten

Folgende sind Komponenten der primary replication components:

  • Knowledge Consistency Checker (KCC)

Der KCC ist ein Prozess, der auf jedem DC läuft und direkt mit Ntdsa.dll kommuniziert, um Replikationsobjekte zu lesen und zu schreiben.

  • Directory System Agent (DSA)

Der DSA ist eine Verzeichnisdienstkomponente, die als Ntdsa.dll auf jedem DC läuft. Er bietet eine Schnittstelle für Dienste und Prozesse, um die Verzeichnisdatenbank zu lesen.

  • Extensible Storage Engine (ESE)

Das ESE verwaltet Verzeichnisdatenbankdatensätze, die eine oder mehrere Spalten enthalten können.

  • Remote Procedure Call (RPC)

Die Replikation von Verzeichnissen wird mithilfe des RPC-Protokolls kommuniziert. RPC ist ein Kommunikationsprotokoll, das Entwicklern ermöglicht, Code auf einem lokalen oder entfernten System auszuführen, ohne spezifischen Code für die Fernausführung entwickeln zu müssen. Der KCC verwendet ebenfalls RPC, um mit DCs zu kommunizieren und Informationen anzufordern, wenn eine Replikationstopologie erstellt wird.

  • Intersite Topology Generator (ISTG)

Der ISTG verwaltet die eingehenden Replikationsverbindungsobjekte zwischen Standorten für einen bestimmten Standort. In jedem Standort gibt es einen ISTG-Server. Standardmäßig ist der erste DC in jedem Standort der ISTG. Um den ISTG in einem Standort namens HQ in einer Domäne namens tailspintoys.com, zu finden, können Sie den Befehl Get- ADObject -Identity “cn=NTDS Site Settings,cn=HQ,cn=sites,cn=configuration,dc=tailspintoys,dc=com” -Properties interSiteTopologyGenerator |Select interSiteTopologyGenerator Windows PowerShell ausführen.

Die Active Directory objects die vom KCC und seinen Komponenten verwendet werden, umfassen:

  • Sites

Standorte sind Active Directory-Objekte in der Standortklasse, die den Subnetzen eines bestimmten Standorts entsprechen.

  • Subnetze

Subnet-Objekte befinden sich in der Subnet-Klasse und definieren das Netzwerk-IP-Subnetz, das einer Site entspricht.

  • Server

Ein Serverobjekt in der Serverklasse repräsentiert Servercomputer, einschließlich DCs. Serverobjekte werden als Sicherheitsprinzipale behandelt, die in einer separaten Verzeichnispartition gespeichert sind und separate global eindeutige Kennungen (GUIDs) haben.

  • NTDS-Einstellungen

NTDS-Einstellungsobjekte befinden sich in der nTDSDSA-Klasse und repräsentieren eine Instanz von Active Directory auf einem spezifischen DC.

  • Verbindungen

Verbindungsobjekte befinden sich in der nTDSConnection-Klasse und definieren eine einseitige, eingehende Route von einem Quell-DC zum DC, der das Verbindungsobjekt speichert.

  • Website-Links

Site Link-Objekte befinden sich in der siteLink-Klasse und identifizieren das Protokoll sowie den Zeitplan, um Daten zwischen zwei oder mehr Standorten zu replizieren.

  • NTDS-Standorteinstellungen

NTDS Site Setting-Objekte befinden sich in der nTDSSiteSettings-Klasse und identifizieren standortweite Einstellungen für Active Directory. Es gibt nur ein NTDS Site Settings-Objekt pro Standort im Sites-Container.

  • Querverweis

Objekte zum Querverweisen befinden sich in der crossRef-Klasse und speichern den Speicherort von Active Directory-Partitionen im Partitions-Container.

Das Diagramm unten zeigt eine typische zwei Standorte umfassende Active Directory-Umgebung mit einigen der Replikationskomponenten.

Replikationsbefehle und -werkzeuge

Ab Windows PowerShell in Windows Server 2012 gibt es 25 Cmdlets zur spezifischen Verwaltung der Active Directory-Replikation. Diese Cmdlets bieten Funktionen wie das Anzeigen von Replikationsinformationen, das Konfigurieren von Standorten, das Verwalten von Standortverbindungen und das Erzwingen der Replikation.

Das Kommandozeilen-Tool RepAdmin.exe ist ebenfalls verfügbar, um Informationen bereitzustellen und die Active Directory-Replikation zu konfigurieren.

Ein weiteres Replikationstool ist das Active Directory Replication Status Tool. Es ist verfügbar unter http://www.microsoft.com/en-us/download/details.aspx?id=30005. Sie können es nutzen, um Active Directory-Replikationsprobleme zu analysieren und zu beheben.

Weitere Informationen zu den Grundlagen von Active Directory finden Sie in unserem AD tutorial for beginners.

Teilen auf

Erfahren Sie mehr

Über den Autor

Asset Not Found

Brian Svidergol

IT

Experte für Microsoft-Infrastruktur und Cloud-basierte Lösungen rund um Windows, Active Directory, Azure, Microsoft Exchange, System Center, Virtualisierung und MDOP. Neben dem Verfassen von Büchern erstellt Brian Schulungsmaterial, Whitepapers und ist technischer Gutachter bei einer Vielzahl von Büchern und Publikationen.

Erfahren Sie mehr zu diesem Thema

Datenschutzgesetze der Bundesstaaten: Unterschiedliche Ansätze zum Datenschutz

Beispiel für Risikoanalyse: Wie man Risiken bewertet

Das CIA-Dreieck und seine Anwendung in der realen Welt

Was ist elektronisches Records Management?

Quantitative Risikoanalyse: Jährliche Verlust Erwartung

Neueste blogbeiträge

Die nächsten fünf Minuten der Compliance: Aufbau einer identitätsorientierten Datensicherheit in der APAC-Region

Konfigurationsmanagement für sichere Endpoint-Kontrolle

Data Classification und DLP: Verhindern Sie Datenverlust, weisen Sie Compliance nach

CMMC-Compliance und die entscheidende Rolle der MDM-Stil USB-Kontrolle beim Schutz von CUI

DSPM, ASM und ITDR: Entwicklung einer datengesteuerten, risikobewussten Sicherheitsstrategie

Vom Lärm zur Aktion: Datenrisiken in messbare Ergebnisse umwandeln

KI im Einsatz: Geschwindigkeit, Risiko und warum Einfachheit siegt

Datenschutzgesetze der Bundesstaaten: Unterschiedliche Ansätze zum Datenschutz

Beispiel für Risikoanalyse: Wie man Risiken bewertet

Das CIA-Dreieck und seine Anwendung in der realen Welt

Unsere top-artikel

Gängige Arten von Netzwerkgeräten und ihre Funktionen

Wie man ein PowerShell-Skript über den Aufgabenplaner ausführt

Wie installiert & verwendet man Active Directory Users and Computers (ADUC)?

Download and Install PowerShell 7

Die größten und berüchtigtsten Cyberangriffe der Geschichte

Essentielle PowerShell-Befehle: Ein Spickzettel für Anfänger

Ein Überblick über den MGM Cyberangriff

Extrahieren von Passwort-Hashes aus der Ntds.dit-Datei

Anleitung zum Einbinden von Unix-Freigaben mit einem Windows NFS-Client

Wie unsichere und anfällige offene Ports ernsthafte Sicherheitsrisiken darstellen