Infrastuttura di basePiergiorgio MalusardiIT Pro [email protected]://blogs.technet.com/pgmalusardihttp://blogs.technet.com/italy
Agenda
• Introduzione• Introduzione ad Active Directory• Installazione automatizzata di computer• Creazione e gestione di ambienti di test
Introduzione
Necessità tipiche nella gestione di un’aula
• Autenticazione degli utenti
• Controllo dell’ambiente operativo degli utenti
• Installazione automatizzata dei computer
• Creazione di ambienti di test
INTRODUZIONE AD ACTIVE DIRECTORY
Com’è fatta Active Directory?Architettura
LSASS
DSA
LDAP
SAM
MAPI REPL KDC Lanman
DNS FRS dipendenze
Com’è fatta Active directoryTecnologie usate in Active Directory
DHCP
DNSSNTP
LDAP
KerberosX.509
TCP/IP
LDIF
Componenti logici: Schema
Lista di Attributi
accountExpiresbadPasswordTimemailcAConnectdhcpTypeeFSPolicyfromServergovernsIDName…
Gli Attributi di Userpossono contenere:
accountExpiresbadPasswordTimemailname
Esempi diAttributi:
Esempi diClassi di Oggetti:
Computer
User
ServerServer
Disponibile e modificabileDinamicamente e protetto da DACL
Componenti logici: Partizioni
Porzioni del database di Active Directory• Partizione di Dominio• Partizione Configuration• Partizione Schema• Global Catalog• Partizioni Applicative
Componenti logici: domini
• Organizzazioni logiche di gestione• Non sono confini di sicurezza• Le proprietà di sicurezza e le policy di
configurazione (GPO) NON sono ereditate tra domini
• Forniscono un confine alle repliche• Il livello gerarchico inferiore: Organizational
Unit (OU)• Il livello gerarchico superiore : Albero di domini
Componenti logici: enterprise root domain
• È il primo dominio creato nella struttura– Non può essere cancellato senza eliminare
l’intera struttura – Il ruolo non può essere trasferito
• Può essere un semplice “segnaposto”– Nome della foresta = nome del root domain– Non deve necessariamente essere nello stesso
spazio dei nomi/albero del dominio di produzione principale
Componenti logici: alberi di domini
• Uno o più domini con una relazione di fiducia con un root domain
• Domini nello stesso albero formano uno spazio dei nomi contiguo
• Schema è comune a tutti i domini di una foresta
• Sicurezza è gestita attraverso relazioni di fiducia Kerberos
• Gli utenti possono cercare informazioni all’interno dell’intera foresta
Componenti logici: foresta
• Un insieme di alberi di domini– Schema e Configurazione comune– Global Catalog comune– Sicurezza gestita da Kerberos
• Utile per sicurezza: confini tra applicazioni che richiedono autonomia gestionale
• Utenti possono cercare tutte le informazioni nella foresta usando il Global Catalog (GC)
• GC consente ricerche rapide in AD senza interrogare tutti i domini
Componenti logici: organizational unit
• Consentono di raggruppare oggetti in Active Directory
• Strumento di amministrazione • Utenti non possono navigare la struttura di OU• Usate per delega amministrativa• Usate per assegnare le policy comuni• È il livello a cui si ottiene la separazione della
gestione dei dati dalla gestione dei servizi
Alberi e Foreste
Contoso.com
us.contoso.com eu.contoso.comnwtraders.com
hr.nwtraders.com rd.nwtraders.com NTDOMAIN
builder.com
eu.builder.com
Parent-Child Trust
Interforest Trust
External Trust
Il GC in ogni dominio ha un puntatore alle proprie informazioni (che sono
complete)
In più ha informazioni parziali provenienti da tutti gli altri domini della foresta
Componenti fisici: global catalog
Componenti fisici: operation master
Funzioni particolari assegnate ad alcuni DC• Domain Naming Master• Schema Master
• RID (Resource IDentifier) Master• PDC (Primary Domain Controller) Emulator• Infrastructure Master
• Legati direttamente alla topologia e alla connettività di rete
• Definiti come aree di buona connettività (= 10Mb o maggiore)
• Connessi da link (“tabelle di routing”)• Effetti primari
– Confinamento del logon utenti– Ricerca delle risorse– Traffico di replica
• I confini di sito indipendenti da quelli di domini
Componenti fisici: siti
ACTIVE DIRECTORY E DNS
Active Directory e DNS
• AD usa il DNS per registrare i servizi• I record SRV sono registrati all’avvio• Il file NETLOGON.dns elenca i record SRV
NY-DC-01.contoso.com NY-NS-01.contoso.com
Service ProtocolSite TTL Type Priority Weight Port Host
_ldap._tcp 600 SRV 0 100 389 NY-DC-01.contoso.com
_kerberos._tcp 600 SRV 0 100 88 NY-DC-01.contoso.com
_kpasswd._tcp 600 SRV 0 100 464 NY-DC-01.contoso.com
_gc._tcp 600 SRV 0 100 3268 NY-DC-01.contoso.com
Active Directory e DNS Localizzazione dei Servizi
Tilbury Site
London SiteNew York Site
Site Link Cost 25
Site Link Cost 25
Site Link Cost 50
NY-DC-01 LON-DC-01
TIL-DNS-01
Qual’è la più vicina stampante di rete?
NY-DC-01 e LON-DC-01 sono Global
CatalogGlobal Catalog?
NY-DC-01 e LON-DC-01
Ricerca della stampante sul GC
ACTIVE DIRECTORY E AUTENTICAZIONE
Kerberos
• Standard de facto per l’autenticazione• Disponibile per molte diverse piattaforme• Non definisce standard per i dati di
autorizzazione• Consente la mutua autenticazione Client/Server• Riduce i tempi di connessione Client/Server• Consente la delega di identità• Versione attuale Kerberos 5
Autenticazione con
Messaggi Criptati
Cos’è e come funziona KerberosGli attori
Server
Chiave utente generata dalla password di logon
Chiave host generata durante il join al dominio
Database di Security Principal
User
•Tutti gli attori sono parte del realm Kerberos•Per comunicare con fiducia devono condividere un segreto
KDC
Chiave KDC generata durante la creazione del ruolo DC
Cos’è e come funziona KerberosVisione d’insieme
1 - Richiesta di autenticazione
2 – Se l’utente è riconosciuto viene restituitoun Ticket-Granting-Ticket che consentela richiesta di service ticket
TGTSR3 – Viene richiesto un Service Ticket per
accedere alla macchina Linux1.Nella richiesta è passato anche il TGTche identifica l’utente
4 – Il KDC rilascia un Service Ticket per l’accesso al server Linux1
ST
KDC
ST Server
TGT
INSTALLAZIONE AUTOMATIZZATA DI COMPUTER
Windows imaging
• Formato WIM per i file immagine• Immagini multiple in un file WIM• Indipendenza delle immagini dall’hardware• Tool di cattura dello stato dei sistemi
– Windows AIK: • Scaricabile dal WEB all’uscita di Windows Vista• ImageX• Driver filtro per file system WIMFS• Windows PE 2.0• Windows Deployment Service
Formato WIM
Header firma, dimensione, versione, GUID,
lista parti, indice di boot
Risorse fileUna per ogni file in blocchi di dati
Tabella risorseRiferimenti (hash) alle risorse, usati per lookup nell’immagine
Dati XMLInformazioni di descrizione, personalizzabili
MetadatiUn blocco per ogni immagine: struttura dir, nomi file,
attributi, reparse point, stream, hard link
FILE WIM
ImageX Appende l’immagine di un volume ad un file WIM
Termina il mount di un’immagine (con o senza commit delle modifiche)
Cancella un’immagine da un file WIM
Elenca il contenuto di un volume in un file WIM
Suddivide un file WIM per la scrittura su CDMonta un’immagine in una directory (RO – RW) (anche da share di rete e device rimovibili)
Installa un’immagine contenuta in un file WIM
Cattura il contenuto di un HD/directory
Esporta un’immagine in un file WIM separatoMostra le informazioni relative ad un’immagine
Windows PE 2.0
• WIM file di meno di 100 MB– salvabile su device rimovibili (CD, USBKey,...)
• Avviabile direttamente dai device rimovibili– in molti casi completamente caricabile in RAM
• Caricabile da server di distribuzione via PXE• Contiene le funzionalità base di Vista
– Multithreading e multitasking, Win32, WSH, WMI, ...
• Contiene la maggior parte dei driver di Vista– Possibile aggiungere driver all’immagine WinPE
• Usabile come tool per troubleshooting
Windows Deployment Services• Servizio di Windows per eseguire installazioni
– Da “metallo nudo” o reinstallazione– Supporta Windows: Vista, LH, XP, W2K3 e W2K– Supporta immagini sysprep (in formato WIM)– Nuova applicazione lato client rimpiazza OSChooser– Si integra con Active Directory
• Server PXE scalabile con architettura modulare– I plug-in consentono di espandere le funzionalità di– API pubbliche
• File di boot di WinPE per server PXE di terze parti• Protocollo di comunicazione Client Server
– Applicazioni personalizzate di deployment (es. SMS e BDD)
CREAZIONE E GESTIONE DI AMBIENTI DI TEST
Usare la virtualizzazione in aula
• Aumento dell’utilizzazione dei server
• Diminuzione dei costi/tempi di crezione
degli ambienti di test
• Aumento della disponibilità
• Aumento della capacità di risposta alle
necessità
Architettura di Virtual Server 2005
Windows 2003
Kernel VMM.sys
Ring 0
Hardware
Ring 1
Ring 3
Windows in VM
VM Additions
Applicazioni guest
Ring 3
Virtual ServerService
IIS
AdminWeb Site
Hardware virtuale
Host Guest (VM)
Ring 1
Architettura di Virtual Server 2005 con VT
Windows 2003
Kernel VMM.sys
Ring 0
Hardware
Host Guest (VM)
Ring 1
Ring 3
Windows in VM
VM Additions
Applicazioni guest
Ring 3
Virtual ServerService
IIS
AdminWeb Site
Hardware virtualeCPU
Ring "-1"
Windows Server Virtualization
• Soluzione per Windows basata su hypervisor– Dimensione ridotta: < 1 MB
• Virtualizzazione come ruolo integrato• Nuovo modello di condivisione dell’IO per
migliorare le performance• Ambiente virtuale dinamico
– Aggiunta a caldo di memoria virtuale, dischi virtuali, CPU virtuali e schede di rete virtuali
Windows Server Virtualization
Windows (core)
Kernel
Windows Hypervisor
Ring 0
Hardware
Partizione parent Partizione child
Ring 3Applicazioni guest
Ring "-1"
Windows/Linux
VMBus Enlightments
KernelVSPs VSCs
Stack di virtualizzazione
VM Service
WMIVM
Worker
Drivers
VS2005 vs WSV
Virtual Server 2005 R2 Windows Server Virtualization
VM a 32-bit? Si Si
VM a 64-bit? No Si
VM multi-processore? No Si, fino a 8 processori per VM
RAM per VM? 3.6 GB per VM Più di 32 GB per VM
Supporto di memory overcommit? No Si
Aggiunta di RAM/CPU a caldo? No Si
Aggiunta di Dischi/NIC a caldo? No Si
Gestibile da System Center Virtual Machine Manager? Si Si
Supporto di Microsoft Cluster? Si Si
Scrittabile / Estensibile? Si, COM Si, WMI
Numero di VM attive in contemporanea? 64 Tante quante consentite dalle risorse HW
Interfaccia di amministrazione Interfaccia Web Interfaccia MMC 3.0
© 2006 Microsoft Corporation. All rights reserved. Microsoft, Windows, Windows Vista and other product names are or may be registered trademarks and/or trademarks in the U.S. and/or other countries.
The information herein is for informational purposes only and represents the current view of Microsoft Corporation as of the date of this presentation. Because Microsoft must respond to changing market conditions, it should not be
interpreted to be a commitment on the part of Microsoft, and Microsoft cannot guarantee the accuracy of any information provided after the date of this presentation.
MICROSOFT MAKES NO WARRANTIES, EXPRESS, IMPLIED OR STATUTORY, AS TO THE INFORMATION IN THIS PRESENTATION.