Wie das Active Directory redundant läuft

Admins von Organisationen, die viele Benutzer, Gruppen und Windows-Computer verwalten müssen, schätzen die Funktionen des Active Directory, das tief in Windows Server und die Desktop-Windows-Ausgaben integriert ist. Nachdem eine Domäne mit Benutzern und Gruppen eingerichtet ist, sind Gruppenrichtlinienobjekte (Group Policy Objects, GPO) der nächste Schritt zum zentral verwalteten Netzwerk. Eine Einführung ins Active Directory lesen Sie in [1] und mehr über GPOs in [2]. So praktisch eine zentrale Steuerung auch ist: Fällt der Domaincontroller (DC) aus, geht schlagartig vieles nicht mehr. Eine Domäne läuft zwar grundsätzlich auch auf einem einzelnen DC, das ist aber alles andere als empfehlenswert. Schon ein Neustart des DC nach einem Windows-Update würde Ausfälle für alle Nutzer bedeuten. Deshalb gilt es, jegliche Unterbrechungen beim Betrieb des Active Directory zu vermeiden, was nur funktioniert, wenn man sich nicht auf einen einzelnen Domaincontroller verlässt.

Rudeltiere

Mit der Anforderung, das Active Directory (AD) auf mehrere Schultern zu verteilen, sind Sie bei Weitem nicht allein. Die Microsoft-Entwickler haben sich ein komplexes Verfahren ausgedacht, um das AD redundant zu betreiben. Die Datenbank mit Nutzern, Computern und Gruppen wird dann auf mehreren Servern synchron gehalten (repliziert). Gleichzeitig haben die Erfinder berücksichtigt, dass Organisationen sehr groß werden und Niederlassungen überall auf dem Globus betreiben können. Sobald man so dezentral organisiert ist und nur per Internet (über ein VPN) mit dem Rest des Unternehmens verbunden ist, wird jede Replikation zwangsläufig kompliziert – bestenfalls soll das lokale Netz auch dann weiter funktionieren, wenn die Verbindung zur Konzernzentrale temporär ausfällt.