1 / 32

A központosított rendszer - I. rész

Informatika Tisztán sorozat – 2010 http://technetklub.hu/InformatikaTisztan. A központosított rendszer - I. rész. Gál Tamás v-tagal@microsoft.com IT üzemeltetési szakértő Microsoft Magyarország. A központosított rendszer - I. rész.

thane
Download Presentation

A központosított rendszer - I. rész

An Image/Link below is provided (as is) to download presentation Download Policy: Content on the Website is provided to you AS IS for your information and personal use and may not be sold / licensed / shared on other websites without getting consent from its author. Content is provided to you AS IS for your information and personal use only. Download presentation by click this link. While downloading, if for some reason you are not able to download a presentation, the publisher may have deleted the file from their server. During download, if you can't get a presentation, the file might be deleted by the publisher.

E N D

Presentation Transcript

  1. Informatika Tisztán sorozat – 2010 http://technetklub.hu/InformatikaTisztan A központosított rendszer - I. rész Gál Tamás v-tagal@microsoft.com IT üzemeltetési szakértő Microsoft Magyarország

  2. A központosított rendszer - I. rész - Active Directory - gyors áttekintés- Anno domini: Windows Server 2008- Anno domini: Windows Server 2008 R2

  3. A központosított rendszer - I. rész Gyors áttekintés

  4. Mire jó egy címtár? • Szerepe egy hálózatban • Tárolja a szervezet működéséhez szükséges objektumokat • Fiókok, erőforrás-objektumok, jogosultságok, DNS zónák, stb. • Az objektumok egy helyen és egyszerre módosíthatóak • Fontos szerepe van a biztonsági folyamatokban • Teljeskörű hitelesítés a tartományban (+ tárolja, védi a hitelesítési adatokat) • Hozzáférést biztosít az erőforrásokhoz (felhatalmazás) • Lehetővé teszi továbbá • A centralizált / decentralizált felügyeletet • Az engedélyek delegálását • A központi, házirend alapú szabályzást

  5. Mire jó egy címtár? • Szoros kapcsolat más szolgáltatásokkal és kiszolgálókkal • RRAS, NPS, RDS, Tanúsítványkiadó, Exchange, ISA/TMG, System Center termékek, stb. • Technikai háttér • DNS alap • Multimaster replikáció • Egy továbbfejlesztett ESE- (Extensible Storage Engine) adatbázis JET- (Joint Engine Technology) alapokon • Szabványos, X.500 alapon működő címtár, hozzáférési protokoll: LDAPv3 (RFC 2251)

  6. Tartományfa Domain Domain Domain Domain Objektumok Domain Domain OU Tartomány Szervezeti egységek OU OU Erdő Active Directory 1x1 • Erdő • Fa • Tartomány • Szervezeti egység Stabil, izmos és rugalmas erőforrás – használjuk ki!

  7. Active Directory 1x1 • MMC konzolok • Active Directory Users and Computers • Active Directory Sites and Services • Active Directory Domains and Trusts • Active Directory Schema • Active Directory Administrative Center • Parancssori eszközök • Dsadd, Dsmod, Dsquery, Dsmove, DSrm, Dsget, stb. • CSVDE, LDIFDE, Ntdsutil • Active Directory Module for Windows Powershell

  8. A központosított rendszer - I. rész Anno domini: Windows Server 2008

  9. Az AD család • Active Directory Domain Services • A szimpla „Active Directory” helyett • Active Directory Lightweight Directory Services • Az „ADAM” helyett > mini címtár • Active Directory Certificate Services • A lokális PKI infrastruktúra megteremtője • Active Directory Federation Services • Azonosítás kezelő, tipikusan a http/s alapú kliensek extranetes erőforrás eléréséhez • Active Directory Rights Management Services • Központi szabályzású, információvédelmi megoldás

  10. AD telepítés - DCPromo • Immár képes • A működési szint kiválasztására (erdő, tartomány) • Választható DNS telepítésre, automatikus delegálással és beállítással • A cél site kiválasztására • Delegált futtatásra (RODC) • Szükséges esetben az automatikus Infrastructure Master <> Global Catalog szerep költöztetésre • Több új, unattended opció használatára

  11. AD telepítés demo

  12. Újraindítható AD • AD stop/ start újraindítás nélkül • Karbantartás, AD patchelés, defrag • A többi szolgáltatás működhet tovább • System State restore – NEM! • „AD DS Stopped” állapot • Az NTDS.dit offline • Úgy viselkedik mint egy tagkiszolgáló (kivéve a DNS szervert) • Interaktív/hálózati belépés > másik DC • Ha viszont nincs másik DC • A helyi Administrator jelszóval kell belépni (mint pl. DS Restore mód)

  13. Fine-Grained Password Policy • A probléma: egy domain = egy jelszó- (és kizárási) házirend • Hogyan oldottuk meg korábban? • A megoldás a WS08-ban • Password Settings Container, Password Settingsséma objektumok • Tetszőleges jelszó- és kizárási házirend létrehozható és módosítható • Feltételek • WS08 tartományi működési szint • Csak biztonsági csoportokhoz vagy fiókokhoz rendelhető • Precedence érték • Ha több PSO van, az alacsonyabb nyer • Integrált módszer: … > 3rd party megoldás

  14. RODC - alapfogalmak • A Read-Only DC egy új tartományvezérlő típus • Úgyanúgy tartalmazza a címtár egy példányát mint a többi DC (a fiók jelszavakat persze nem) • Csak éppen ez a példány írásvédett • Sem a kliensek, sem az alkalmazások nem írhatnak (közvetlenül) a RODC címtárpéldányába • Az írás kéréseket a legközelebbi írható DC kezeli le • „Olvasni” viszont gond nélkül lehet

  15. RODC – létjogosultsági példák • Kifejezetten telephelyeken • Ahol a WAN kapcsolat miatt lassú a DC elérés • Ahol a WAN kapcsolat hiányában is kell DC • Ahol ugyanezek miatt GC-re is szükség van • Ahol a kiszolgálón szükség van helyi Admin fiókra, de nincs szükség (sőt!) a címtár jogosultságokra • Ahol nincs kvalifikált szakember • Ahol nem garantálható a fizikai biztonság • Ahol akár egy külső cégnek is be kell lépni az egyetlen kiszolgálón (ami persze DC is egyben)

  16. RODC –Címtár hálózat

  17. RODC – telepítési feltételek • Az erdő és a tartomány működési szintje: Windows Server 2003 vagy magasabb • Adprep /rodcprep a Schema master DC-n • A DNS partíciók replikálásához szükséges • Legalább egy darab írható WS08 DC-nek lennie kell az adott tartományban • Mert ez lesz a RODC replikációs partnere • A Server Core is lehet RODC, sőt…

  18. RODC – új szolgáltatások • Password Replication Policy • Adott csoportoknak / fiókoknak lekerülhet a jelszava a RODC-re • Ezzel a belépés megoldható lesz a WAN kapcsolat hiányában is • Nem a RODC-n állítjuk be, hanem egy központi WS08 DC-n • „Allowed” és „Denied” RODC Password Replication Group • A stratégia eldöntése szép feladat  • Helyi admin fiók a RODC-n • Bármely tartományi fiók / csoport delegálható helyi Adminként • Ergo nem kell a Domain Admins csoporttagság • Mindent megtehet ami egy helyi admin általában • De a címtárhoz egyáltalán nem fér hozzá • Hatókör: csak az adott RODC!

  19. RODC demo

  20. A központosított rendszer - I. rész Anno domini: Windows Server 2008 R2

  21. Offline Domain Join (ODJ) • Mi is ez? • Számítógépfiók tartományba léptetésa - a tartományvezérlő fizikai elérése nélkül • Előnyök • A gép már az első indítás közben tartományi tag • Kevesebb újraindítás, egyszerűbb tömeges telepítés • Feltételek • Nincs szükség erdő vagy tartományi működési szint emelésre • Nincs szükség WS08 R2 DC-re • Elég egy Windows 7 vagy egy WS08 R2 tagkiszolgáló

  22. Offline Domain Join – szakácskönyv • Végy (elő) egy tartományi tag Windows 7 / Windows Server 2008 R2 gépet, és gyártsd le a kérést („blob”)! • Végy (pl. otthon) egy új Windows 7 vagy Windows Server 2008 R2 gépet és „húzd rá” a „blob”-ot! • Vidd be a gépet a fizikai hálózatba, kapcsold be - működik rögvest. djoin /provision /domain <target domain> /machine <new machine name> /savefile <filename> djoin /requestODJ /loadfile <filename> /windowspath <path to new machine’s %windir%>

  23. Offline Domain Join– A „blob” titkai • Nem jár le az érvényessége • A generálás és a használat közben bármennyi idő eltelhet • Csak 1 db jár minden új gépnek • Újrahasznosítás nincs • Az unattended.xml egy új szakasza támogatja a használatát • Egyformán használható fizikai és virtuális gépekhez • Nem igazán titkosított a fájl tartalma – base64

  24. ODJ demo

  25. Active Directory Web Services PowerShell Cmdlets • Automatikusan települ AD DS / AD LDS esetén • Port 9389:távoli elérés • IIS-t nem igényel • Fejlesztőknek jól jöhet • Kompatibilitás • Letölthető ADMGS • WS03 SP2 + WS08 • De nem az ADAC-ot vagy a PS-t kapjuk meg! WS-* 9389 ADWS LDAP LDAP LDAP 3268 389 AD / GC MountedAD instance AD LDSinstance

  26. ADAC – királyságok és korlátok • Multi-domain, multi-forest • PowerShell alapon • A szűrés és keresés alaposan kibővült • Elmenthető nézetek • Nem bővíthető a klasszikus módon • vö. acctinfo.dll, acctinfo2.dll • Nincs drag & drop • Nincs RSOP Planning / Logging támogatás • NTDS Settings sincs

  27. ADAC - UI • Feladatorientált • Multi-domain • Multi-forest • „Vizuális élmény” • Hatékony keresés

  28. PowerShellforAD

  29. Active Directory Recycle Bin – sirkő példa 

  30. Active Directory Recycle Bin • Lehetővé teszi bármilyen törölt AD objektum online és teljeskörű visszaállítását • Jóval többet ér mint az eddigi módszerek • A sírkövezést (és a reanimációt) elfelejthetjük • Nem szükséges egy törlés miatt az offline AD állapot • Nemcsak részleges visszaállítást tudunk • Group Policy, Exchange objektumokra nem támogatott WS03alap FL WS03 Forest FL 2008 R2 Forest FL Online reanimáció Linked-value replikáció Recycle Bin Mérföldkövek az ADRB-ig W2K Zéró lehetőség

  31. Címtár lomtár demo

More Related