a központosított rendszer - i. rész
DESCRIPTION
Informatika Tisztán sorozat – 2010 http://technetklub.hu/InformatikaTisztan. A központosított rendszer - I. rész. Gál Tamás [email protected] IT üzemeltetési szakértő Microsoft Magyarország. A központosított rendszer - I. rész. - PowerPoint PPT PresentationTRANSCRIPT
A központosított rendszer - I. rész
Gál Tamá[email protected] üzemeltetési szakértőMicrosoft Magyarország
Informatika Tisztán sorozat – 2010http://technetklub.hu/InformatikaTisztan
- Active Directory - gyors áttekintés- Anno domini: Windows Server 2008- Anno domini: Windows Server 2008 R2
A központosított rendszer - I. rész
Gyors áttekintés
A központosított rendszer - I. rész
Mire jó egy címtár?
Szerepe egy hálózatbanTárolja a szervezet működéséhez szükséges objektumokat
Fiókok, erőforrás-objektumok, jogosultságok, DNS zónák, stb.Az objektumok egy helyen és egyszerre módosíthatóak
Fontos szerepe van a biztonsági folyamatokbanTeljeskörű hitelesítés a tartományban (+ tárolja, védi a hitelesítési adatokat)Hozzáférést biztosít az erőforrásokhoz (felhatalmazás)
Lehetővé teszi továbbáA centralizált / decentralizált felügyeletet Az engedélyek delegálásátA központi, házirend alapú szabályzást
Mire jó egy címtár?
Szoros kapcsolat más szolgáltatásokkal és kiszolgálókkal
RRAS, NPS, RDS, Tanúsítványkiadó, Exchange, ISA/TMG, System Center termékek, stb.
Technikai háttérDNS alapMultimaster replikációEgy továbbfejlesztett ESE- (Extensible Storage Engine) adatbázis JET- (Joint Engine Technology) alapokonSzabványos, X.500 alapon működő címtár, hozzáférési protokoll: LDAPv3 (RFC 2251)
Active Directory 1x1
DomainDomain
Domain
Domain
Domain
DomainOU
OU OU
TartományfaTartományfa
TartományTartomány
ErdőErdő
Szervezeti egységekSzervezeti egységek
ObjektumokObjektumok
-Erdő-Fa-Tartomány-Szervezeti egység
Stabil, izmos és rugalmas erőforrás –
használjuk ki!
Active Directory 1x1MMC konzolok
Active Directory Users and ComputersActive Directory Sites and ServicesActive Directory Domains and TrustsActive Directory SchemaActive Directory Administrative Center
Parancssori eszközökDsadd, Dsmod, Dsquery, Dsmove, DSrm, Dsget, stb.CSVDE, LDIFDE, Ntdsutil
Active Directory Module for Windows Powershell
Anno domini: Windows Server 2008
A központosított rendszer - I. rész
Az AD családActive Directory Domain Services
A szimpla „Active Directory” helyettActive Directory Lightweight Directory Services
Az „ADAM” helyett > mini címtárActive Directory Certificate Services
A lokális PKI infrastruktúra megteremtőjeActive Directory Federation Services
Azonosítás kezelő, tipikusan a http/s alapú kliensek extranetes erőforrás eléréséhez
Active Directory Rights Management ServicesKözponti szabályzású, információvédelmi megoldás
AD telepítés - DCPromo
Immár képesA működési szint kiválasztására (erdő, tartomány)Választható DNS telepítésre, automatikus delegálással és beállítássalA cél site kiválasztásáraDelegált futtatásra (RODC)Szükséges esetben az automatikus Infrastructure Master <> Global Catalog szerep költöztetésreTöbb új, unattended opció használatára
AD telepítés
demo
AD stop / start újraindítás nélkülKarbantartás, AD patchelés, defragA többi szolgáltatás működhet továbbSystem State restore – NEM!
„AD DS Stopped” állapotAz NTDS.dit offlineÚgy viselkedik mint egy tagkiszolgáló (kivéve a DNS szervert)Interaktív/hálózati belépés > másik DCHa viszont nincs másik DC
A helyi Administrator jelszóval kell belépni (mint pl. DS Restore mód)
Újraindítható AD
Fine-Grained Password PolicyA probléma: egy domain = egy jelszó- (és kizárási) házirend
Hogyan oldottuk meg korábban?A megoldás a WS08-ban
Password Settings Container, Password Settings séma objektumokTetszőleges jelszó- és kizárási házirend létrehozható és módosítható
FeltételekWS08 tartományi működési szintCsak biztonsági csoportokhoz vagy fiókokhoz rendelhető
Precedence értékHa több PSO van, az alacsonyabb nyer
Integrált módszer: … > 3rd party megoldás
RODC - alapfogalmak
A Read-Only DC egy új tartományvezérlő típusÚgyanúgy tartalmazza a címtár egy példányát mint a többi DC (a fiók jelszavakat persze nem)
Csak éppen ez a példány írásvédett Sem a kliensek, sem az alkalmazások nem írhatnak (közvetlenül) a RODC címtárpéldányábaAz írás kéréseket a legközelebbi írható DC kezeli le„Olvasni” viszont gond nélkül lehet
RODC – létjogosultsági példák
Kifejezetten telephelyekenAhol a WAN kapcsolat miatt lassú a DC elérésAhol a WAN kapcsolat hiányában is kell DC
Ahol ugyanezek miatt GC-re is szükség van
Ahol a kiszolgálón szükség van helyi Admin fiókra, de nincs szükség (sőt!) a címtár jogosultságokraAhol nincs kvalifikált szakemberAhol nem garantálható a fizikai biztonságAhol akár egy külső cégnek is be kell lépni az egyetlen kiszolgálón (ami persze DC is egyben)
RODC – Címtár hálózat
Read-Only
Read-Only
Read-Only
Read-Only
Read-Only
Írható DC - HQ
RODC – telepítési feltételek
Az erdő és a tartomány működési szintje: Windows Server 2003 vagy magasabbAdprep /rodcprep a Schema master DC-n
A DNS partíciók replikálásához szükségesLegalább egy darab írható WS08 DC-nek lennie kell az adott tartományban
Mert ez lesz a RODC replikációs partnere
A Server Core is lehet RODC, sőt…
RODC – új szolgáltatásokPassword Replication Policy
Adott csoportoknak / fiókoknak lekerülhet a jelszava a RODC-re
Ezzel a belépés megoldható lesz a WAN kapcsolat hiányában isNem a RODC-n állítjuk be, hanem egy központi WS08 DC-n„Allowed” és „Denied” RODC Password Replication GroupA stratégia eldöntése szép feladat
Helyi admin fiók a RODC-nBármely tartományi fiók / csoport delegálható helyi Adminként
Ergo nem kell a Domain Admins csoporttagságMindent megtehet ami egy helyi admin általábanDe a címtárhoz egyáltalán nem fér hozzáHatókör: csak az adott RODC!
RODC
demo
Anno domini: Windows Server 2008 R2
A központosított rendszer - I. rész
Offline Domain Join (ODJ)
Mi is ez? Számítógépfiók tartományba léptetésa - a tartományvezérlő fizikai elérése nélkül
ElőnyökA gép már az első indítás közben tartományi tagKevesebb újraindítás, egyszerűbb tömeges telepítés
FeltételekNincs szükség erdő vagy tartományi működési szint emelésreNincs szükség WS08 R2 DC-re
Elég egy Windows 7 vagy egy WS08 R2 tagkiszolgáló
Offline Domain Join – szakácskönyv1. Végy (elő) egy tartományi tag Windows 7 / Windows Server
2008 R2 gépet, és gyártsd le a kérést („blob”)!
2. Végy (pl. otthon) egy új Windows 7 vagy Windows Server 2008 R2 gépet és „húzd rá” a „blob”-ot!
3. Vidd be a gépet a fizikai hálózatba, kapcsold be - működik rögvest.
djoin /requestODJ /loadfile <filename> /windowspath <path to new machine’s %windir%>
djoin /provision /domain <target domain>/machine <new machine name> /savefile <filename>
Offline Domain Join – A „blob” titkai
Nem jár le az érvényességeA generálás és a használat közben bármennyi idő eltelhet
Csak 1 db jár minden új gépnekÚjrahasznosítás nincs
Az unattended.xml egy új szakasza támogatja a használatátEgyformán használható fizikai és virtuális gépekhezNem igazán titkosított a fájl tartalma – base64
ODJ
demo
Active Directory Web ServicesAutomatikusan települ AD DS / AD LDS esetén
Port 9389: távoli elérés
IIS-t nem igényel
Fejlesztőknek jól jöhet
KompatibilitásLetölthető ADMGS
WS03 SP2 + WS08
De nem az ADAC-ot vagy a PS-t kapjuk meg!
ADWS
PowerShell Cmdlets
AD / GC
9389
389 3268
WS-*
AD LDSinstance
MountedAD instance
LDAP LDAP
LDAP
ADAC – királyságok és korlátokMulti-domain, multi-forestPowerShell alaponA szűrés és keresés alaposan kibővült Elmenthető nézetek
Nem bővíthető a klasszikus módon vö. acctinfo.dll, acctinfo2.dll
Nincs drag & dropNincs RSOP Planning / Logging támogatásNTDS Settings sincs
ADAC - UI
Feladatorientált
„Vizuális élmény” Hatékony keresés
Multi-domainMulti-forest
PowerShellforAD
Active Directory Recycle Bin – sirkő példa
Active Directory Recycle BinLehetővé teszi bármilyen törölt AD objektum online és teljeskörű visszaállításátJóval többet ér mint az eddigi módszerek
A sírkövezést (és a reanimációt) elfelejthetjükNem szükséges egy törlés miatt az offline AD állapotNemcsak részleges visszaállítást tudunkGroup Policy, Exchange objektumokra nem támogatott
WS03 alap FLOnline reanimáció
WS03 Forest FLLinked-value
replikáció
2008 R2 Forest FLRecycle Bin
Mérföldkövek az ADRB-ig
W2KZéró lehetőség
Címtár lomtár
demo