1 / 45

AD - infrastructure

AD - infrastructure. Obsah Predn ášky. AD Master Servers AD Sites AD Trusts. FSMO (Flexible Single-Master) role. Doménová struktura (pouze jednou) Hlavní server schémat Hlavní server domény Role domény (pro každou doménu) Hlavní server relativních ID Emulátor primárního řadiče domény

tanith
Download Presentation

AD - infrastructure

An Image/Link below is provided (as is) to download presentation Download Policy: Content on the Website is provided to you AS IS for your information and personal use and may not be sold / licensed / shared on other websites without getting consent from its author. Content is provided to you AS IS for your information and personal use only. Download presentation by click this link. While downloading, if for some reason you are not able to download a presentation, the publisher may have deleted the file from their server. During download, if you can't get a presentation, the file might be deleted by the publisher.

E N D

Presentation Transcript

  1. AD - infrastructure

  2. ObsahPrednášky AD Master Servers AD Sites AD Trusts

  3. FSMO (Flexible Single-Master) role • Doménová struktura (pouze jednou) • Hlavní server schémat • Hlavní server domény • Role domény (pro každou doménu) • Hlavní server relativních ID • Emulátor primárního řadiče domény • Hlavní server infrastruktury • Mohou být pouze Windows server 2000 a novější • Seize a role - ntdsutil

  4. Forest-wide roles Domain-wide roles • PDC emulator • RID master • Infrastructure master • Schema master • Domain naming master • PDC emulator • RID master • Infrastructure master First domain controller in the forest root domain Domain-wide roles • RID master • PDC emulator • Infrastructure master Master Roles - FSMO

  5. Schema Master http://technet.microsoft.com/en-us/library/bb727064.aspx Jediný DC vo Foreste Nutný prístup při zmene schémy Schema mmc konzola – registrcia: regsvr32 schmmgmt.dll

  6. Domain naming Master Server nutnýpre pridanie novej domény

  7. PDC Emulator Kontaktuje MS Time server Ako prvý obsahuje info o zmene hesla užívateľov Emuluje Primary Domain C pre NT systemy

  8. RID master Relative identifier Master Prideľuje ostatným DC v doméne určitý pool ID čísel, ktoré můžu vydať při vytvorené nového objektu. Ked sa čísla pre DC minú tak DC musí kontaktovať RID

  9. Infrastructure Master Server, ktorý kontroluje zmenu objektov v iných doménach. Nemal by byť na DC kde je Global Catalog, ak GC nie je na všetkých DC servroch v doméne. Pretože by nezistil zmenu. Ak jedna doména je celý forest, tak nehraje roli

  10. LikvidáciaMastra Seize role cez ntdsutil Nutnosť dodržať podmeinky prípadného obnovenia Niektoré – Schema, Naming, RID, nutné kompletne reinštalovať servre. Ak b sa zapojili do AD bez reinštalácia, tak vznika nestabilita AD

  11. Právo na seize

  12. Postup seize Cez ntdsutil sa pripojíme na server, ktorý ma získat danú rolu a z neho sa pôvodná rola seize

  13. AD Sites Sites predstavujú fyzickú štruktúru Servre, ktoré sú spojené rýchlou linkou, tak v jednej site. Inter a intra site replication

  14. Intra Site Replication Protokol RPC vo svojej špec funkčnosti. Replikacia každych 3 sekundy medzi dvoma servrami. Topologia, je „ring“ alebo „mash“. Ring – kruh, max tri skoky, ak potrebujem viac tak automaticky mash Topologiu zaistuje KCC – Knowledge consitency checker

  15. A1 A2 A3 A4 A8 KCC KCC KCC Automatic Generation of Replication Topology A7 A6 A5 KCC KCC KCC KCC KCC Intrasitereplication – mashtopology

  16. Default First Site – prvá site v ktorej sú všetky servre Server / NTDS – napr nastavenie GC

  17. Subnets Vzhľadom na to, že v rámci site sú servre rýchlo spojené, tak majú často a IP zo stejnej siete. Vytvárame IP podsiete, teda rozsahy, kt. Sú pripradené sitam. Potom napr.: ak užívateľ hľada tiskárnu tak nájde najbližsiu na základe ip site, alebo update neprebieha z inej ale zo tejnej site

  18. Active Directory Sites and Services Console Window Help Active View Name Type Tree Default-First-Site-Name Inter-Site Transports Redmond-Site Subnets Site Inter-Site Transport Container Site Subnets Container Active Directory Sites and Services Sites Default-First-Site-Name Servers DENVER NTDS Settings Inter-Site Transports Redmond-Site IP Subnet Subnets B1 A1 IP Subnet IP Subnet Redmond-Site Default-First-Site-Name Sites and subnets

  19. Intersitelinks Site links, vyjadruju logické spojenia medzi Sitami Stanovujeme ktore site sú spojené a akou rýchlou linkou Default first site link – prvá site link

  20. Site Link IP – je RPC protokol, ktorý ale nie je tak náročný, nie každých 3 s a nevyžaduje okamžitú odpoveď SMTP – starší postup, nutnosť používať certifkačné autority

  21. Site Link Vytvorenie Site Link Určujem ktoré site link sú spojené Nemusia byť len dve

  22. Site Link Cost – náklady - čím pomalšia linka, tým väčší cost Cost vhodné uvádzať v násobku, napr T1 je asi 3 krát pomalšia ako T3 tak T1 cost 30, T3 cost 10, ale dial up cost 300 Cost – MAX 99999 Replicate every – ako často dochádza k replikacii default 3 h, MAX 10080 – tyždeň v min

  23. A1 A2 B3 B1 B2 Site links RPC or SMTP IP Subnet IP Subnet Site Site Link IP Subnet Cost IP Subnet Site

  24. BridgeHead Server O riadenie replikacie na každej strane site link sa stara bridge Head Server Je určený automaticky na základe GUID servru Môžem určiť manuálne ale neodporúča sa, pretože ak by vypadol tak iný by sa automaticky neurčil

  25. Intersite Topology Generator A1 A2 B2 B1 Bridgehead Server IP Subnet Replication IP Subnet IP Subnet Replication Replication IP Subnet Bridgehead Server Bridgehead server Protokoly: RPC(IP), SMTP

  26. Site Linkbridges Vytváraju spojenia medzi Site Linkami. Nie je nutné default vytvárať pretože existuje def nastavenie – Bridge all site links

  27. IP Subnet IP Subnet Site B Site Link AB Site Link BC Site Link Bridge B2 B3 B1 A1 C2 C1 A2 Site A Site C IP Subnet IP Subnet IP Subnet IP Subnet Site link bridges

  28. Trusts Trusts predstavujú dôveru medzi doménami. Dôvera znamená že si navzájom autentifikujú napr objekty, alebo vedia ich dohľadať navzájom Niekoľko typov trustov

  29. Kerberos Realm Trusts Forest 1 Forest 2 Tree/Root Trust Forest Trust Parent/ChildTrust Forest (root) Forest (root) Domain D Domain B Domain Q Domain A Domain P Domain E Shortcut Trust External Trust Realm Trust Domain F Domain C

  30. Trusts

  31. Delenie Incoming trusts – prichádzajúci trustMoja doména je B a mám incomming trust z A, potom platí, že mojí užívatelia: franta@B.com sa můžu autentifikovať na počítačoch domány A Outgoing trust – znamená že moja doména dôveruje doméne inej a jej užívateľom. Každý Incomin vytvára na druhej strane outgoing trust

  32. GlobalCatalog Cetrálna DB všetkých objektov v celom foreste Default je na Forest root domain C Obsahuje Read only katalóg ale len základných atribútov objektov Nutná dostupnosť pre zistenie členstva v skupinách Môžem ho mať na všetkých DC servroch – zle zvýšená záťaž siete

  33. Read Only Global Catalog Global catalog

  34. Proces AD Edb.chk Update checkpoint Write Request Commint tranzakcie Zápis do transation buffer Zápis do DB na disku Začiatok tranzakcie Zapis do transaction LOG Ntds.dit na disku EDB.log

  35. NTDS Ntds.dit – databaza AD Edb.log – write ahead buffer Ed.chk – checkpointy Res1/2 = bezpečnostné 10 MB súbory ak dôjde miesto na disku

  36. Backup NTBACKUP je nahradené Windows Server Backupom NTBACKUP bol file based backup, Windows Server Backup je volume based backup – zalohuje cele disky. Nie je možné zálohovať na pásku ale iba na disk, resp USB, Sieťový disk, DVD. Nemôžem zalóhovať na stejný disk, ktorý zálohujem. Vytvára .vhd súbor, je možné pripojiť do Virtual Server 2005 app, ako ďalší ale nie bootovací disk.

  37. Server Backup Default nie je nainštalovaný nutná inštalácia: Nainštaluje sa MMC konzole aj CMD príkazy

  38. MMC Windows Server Backu konzola

  39. Možnosť FULL – zálohuje všetky partície – neumožní na disk ale len na sieť alebo DVD Možnosť Custom – zvolím ktoré partície a na ktorý disk uložiť. Možnosť nastavenia plánovania Backupu

  40. Obnovene AD • Start F8 do DSRM módu • alebo zmena bcdEditu: • Zmena boot do AD restore modu • C:\> bcdedit /set safeboot dsrepair • Prípadne naspäť: • C:\> bcdedit /deletevalue safeboot

  41. Restore • Non authoritative restore • Zistenei verzii: • wbadmin get versions -backuptarget:<targetDrive>:-machine:<BackupComputerName> • Obnovenie • C:\> wbadmin start systemstaterecovery –version:12/03/2007-18:25 • No authoritative – obnový DC, ale ak existuje iný DC v doméne a dáta na nom sú aktuálnejšie, tak poštarte bude náš obnovený DC zase prepísaný

  42. Authoritative restore • wbadmin start systemstaterecovery <otheroptions> -authsysvol • Authoritative restor, pozor, všetky AD objekty z obnovenej Ad prepíšu dáta na ostatných DC

  43. SnapshotBackup • Novinka Win 2008 – trvá krátko, ukladá na lokal disk ntdsutil: snapshot snapshot: activate instance ntds Active instance set to "ntds". snapshot: create Creating snapshot... Snapshot set {42c44414-c099-4f1e-8bd8-4453ef2534a4} generated successfully. snapshot: quit ntdsutil: quit

  44. Mount Snapshotu • Snapshot je možne mountnut na LDAP port napr 10000, táto ad je potom dostupná cez konzoly ako AD users, AD Domains and Trusts, ADSIEdit,.... • Možnosť obnoviť konkrétny objekt C:\> dsamain –dbpath c:\$snap_200712032318_volumed$\ntds\dit \ntds.dit -ldapport 10000

More Related