a központosított rendszer - i. rész

A központosított rendszer - I. rész

Gál Tamá[email protected] üzemeltetési szakértőMicrosoft Magyarország

Informatika Tisztán sorozat – 2010http://technetklub.hu/InformatikaTisztan

- Active Directory - gyors áttekintés- Anno domini: Windows Server 2008- Anno domini: Windows Server 2008 R2


Gyors áttekintés


Mire jó egy címtár?

Szerepe egy hálózatbanTárolja a szervezet működéséhez szükséges objektumokat

Fiókok, erőforrás-objektumok, jogosultságok, DNS zónák, stb.Az objektumok egy helyen és egyszerre módosíthatóak

Fontos szerepe van a biztonsági folyamatokbanTeljeskörű hitelesítés a tartományban (+ tárolja, védi a hitelesítési adatokat)Hozzáférést biztosít az erőforrásokhoz (felhatalmazás)

Lehetővé teszi továbbáA centralizált / decentralizált felügyeletet Az engedélyek delegálásátA központi, házirend alapú szabályzást

Mire jó egy címtár?

Szoros kapcsolat más szolgáltatásokkal és kiszolgálókkal

RRAS, NPS, RDS, Tanúsítványkiadó, Exchange, ISA/TMG, System Center termékek, stb.

Technikai háttérDNS alapMultimaster replikációEgy továbbfejlesztett ESE- (Extensible Storage Engine) adatbázis JET- (Joint Engine Technology) alapokonSzabványos, X.500 alapon működő címtár, hozzáférési protokoll: LDAPv3 (RFC 2251)

Active Directory 1x1

DomainDomain

Domain

Domain

Domain

DomainOU

OU OU

TartományfaTartományfa

TartományTartomány

ErdőErdő

Szervezeti egységekSzervezeti egységek

ObjektumokObjektumok

-Erdő-Fa-Tartomány-Szervezeti egység

Stabil, izmos és rugalmas erőforrás –

használjuk ki!

Active Directory 1x1MMC konzolok

Active Directory Users and ComputersActive Directory Sites and ServicesActive Directory Domains and TrustsActive Directory SchemaActive Directory Administrative Center

Parancssori eszközökDsadd, Dsmod, Dsquery, Dsmove, DSrm, Dsget, stb.CSVDE, LDIFDE, Ntdsutil

Active Directory Module for Windows Powershell

Anno domini: Windows Server 2008


Az AD családActive Directory Domain Services

A szimpla „Active Directory” helyettActive Directory Lightweight Directory Services

Az „ADAM” helyett > mini címtárActive Directory Certificate Services

A lokális PKI infrastruktúra megteremtőjeActive Directory Federation Services

Azonosítás kezelő, tipikusan a http/s alapú kliensek extranetes erőforrás eléréséhez

Active Directory Rights Management ServicesKözponti szabályzású, információvédelmi megoldás

AD telepítés - DCPromo

Immár képesA működési szint kiválasztására (erdő, tartomány)Választható DNS telepítésre, automatikus delegálással és beállítássalA cél site kiválasztásáraDelegált futtatásra (RODC)Szükséges esetben az automatikus Infrastructure Master <> Global Catalog szerep költöztetésreTöbb új, unattended opció használatára

AD telepítés

demo

AD stop / start újraindítás nélkülKarbantartás, AD patchelés, defragA többi szolgáltatás működhet továbbSystem State restore – NEM!

„AD DS Stopped” állapotAz NTDS.dit offlineÚgy viselkedik mint egy tagkiszolgáló (kivéve a DNS szervert)Interaktív/hálózati belépés > másik DCHa viszont nincs másik DC

A helyi Administrator jelszóval kell belépni (mint pl. DS Restore mód)

Újraindítható AD

Fine-Grained Password PolicyA probléma: egy domain = egy jelszó- (és kizárási) házirend

Hogyan oldottuk meg korábban?A megoldás a WS08-ban

Password Settings Container, Password Settings séma objektumokTetszőleges jelszó- és kizárási házirend létrehozható és módosítható

FeltételekWS08 tartományi működési szintCsak biztonsági csoportokhoz vagy fiókokhoz rendelhető

Precedence értékHa több PSO van, az alacsonyabb nyer

Integrált módszer: … > 3rd party megoldás

RODC - alapfogalmak

A Read-Only DC egy új tartományvezérlő típusÚgyanúgy tartalmazza a címtár egy példányát mint a többi DC (a fiók jelszavakat persze nem)

Csak éppen ez a példány írásvédett Sem a kliensek, sem az alkalmazások nem írhatnak (közvetlenül) a RODC címtárpéldányábaAz írás kéréseket a legközelebbi írható DC kezeli le„Olvasni” viszont gond nélkül lehet

RODC – létjogosultsági példák

Kifejezetten telephelyekenAhol a WAN kapcsolat miatt lassú a DC elérésAhol a WAN kapcsolat hiányában is kell DC

Ahol ugyanezek miatt GC-re is szükség van

Ahol a kiszolgálón szükség van helyi Admin fiókra, de nincs szükség (sőt!) a címtár jogosultságokraAhol nincs kvalifikált szakemberAhol nem garantálható a fizikai biztonságAhol akár egy külső cégnek is be kell lépni az egyetlen kiszolgálón (ami persze DC is egyben)

RODC – Címtár hálózat

Read-Only

Read-Only

Read-Only

Read-Only

Read-Only

Írható DC - HQ

RODC – telepítési feltételek

Az erdő és a tartomány működési szintje: Windows Server 2003 vagy magasabbAdprep /rodcprep a Schema master DC-n

A DNS partíciók replikálásához szükségesLegalább egy darab írható WS08 DC-nek lennie kell az adott tartományban

Mert ez lesz a RODC replikációs partnere

A Server Core is lehet RODC, sőt…

RODC – új szolgáltatásokPassword Replication Policy

Adott csoportoknak / fiókoknak lekerülhet a jelszava a RODC-re

Ezzel a belépés megoldható lesz a WAN kapcsolat hiányában isNem a RODC-n állítjuk be, hanem egy központi WS08 DC-n„Allowed” és „Denied” RODC Password Replication GroupA stratégia eldöntése szép feladat

Helyi admin fiók a RODC-nBármely tartományi fiók / csoport delegálható helyi Adminként

Ergo nem kell a Domain Admins csoporttagságMindent megtehet ami egy helyi admin általábanDe a címtárhoz egyáltalán nem fér hozzáHatókör: csak az adott RODC!

RODC

demo

Anno domini: Windows Server 2008 R2


Offline Domain Join (ODJ)

Mi is ez? Számítógépfiók tartományba léptetésa - a tartományvezérlő fizikai elérése nélkül

ElőnyökA gép már az első indítás közben tartományi tagKevesebb újraindítás, egyszerűbb tömeges telepítés

FeltételekNincs szükség erdő vagy tartományi működési szint emelésreNincs szükség WS08 R2 DC-re

Elég egy Windows 7 vagy egy WS08 R2 tagkiszolgáló

Offline Domain Join – szakácskönyv1. Végy (elő) egy tartományi tag Windows 7 / Windows Server

2008 R2 gépet, és gyártsd le a kérést („blob”)!

2. Végy (pl. otthon) egy új Windows 7 vagy Windows Server 2008 R2 gépet és „húzd rá” a „blob”-ot!

3. Vidd be a gépet a fizikai hálózatba, kapcsold be - működik rögvest.

djoin /requestODJ /loadfile <filename> /windowspath <path to new machine’s %windir%>

djoin /provision /domain <target domain>/machine <new machine name> /savefile <filename>

Offline Domain Join – A „blob” titkai

Nem jár le az érvényességeA generálás és a használat közben bármennyi idő eltelhet

Csak 1 db jár minden új gépnekÚjrahasznosítás nincs

Az unattended.xml egy új szakasza támogatja a használatátEgyformán használható fizikai és virtuális gépekhezNem igazán titkosított a fájl tartalma – base64

ODJ

demo

Active Directory Web ServicesAutomatikusan települ AD DS / AD LDS esetén

Port 9389: távoli elérés

IIS-t nem igényel

Fejlesztőknek jól jöhet

KompatibilitásLetölthető ADMGS

WS03 SP2 + WS08

De nem az ADAC-ot vagy a PS-t kapjuk meg!

ADWS

PowerShell Cmdlets

AD / GC

9389

389 3268

WS-*

AD LDSinstance

MountedAD instance

LDAP LDAP

LDAP

ADAC – királyságok és korlátokMulti-domain, multi-forestPowerShell alaponA szűrés és keresés alaposan kibővült Elmenthető nézetek

Nem bővíthető a klasszikus módon vö. acctinfo.dll, acctinfo2.dll

Nincs drag & dropNincs RSOP Planning / Logging támogatásNTDS Settings sincs

ADAC - UI

Feladatorientált

„Vizuális élmény” Hatékony keresés

Multi-domainMulti-forest

PowerShellforAD

Active Directory Recycle Bin – sirkő példa

Active Directory Recycle BinLehetővé teszi bármilyen törölt AD objektum online és teljeskörű visszaállításátJóval többet ér mint az eddigi módszerek

A sírkövezést (és a reanimációt) elfelejthetjükNem szükséges egy törlés miatt az offline AD állapotNemcsak részleges visszaállítást tudunkGroup Policy, Exchange objektumokra nem támogatott

WS03 alap FLOnline reanimáció

WS03 Forest FLLinked-value

replikáció

2008 R2 Forest FLRecycle Bin

Mérföldkövek az ADRB-ig

W2KZéró lehetőség

Címtár lomtár

demo

a központosított rendszer - i. rész

Documents