administration und management l.
Download
Skip this Video
Loading SlideShow in 5 Seconds..
Administration und Management PowerPoint Presentation
Download Presentation
Administration und Management

Loading in 2 Seconds...

play fullscreen
1 / 56

Administration und Management - PowerPoint PPT Presentation


  • 164 Views
  • Uploaded on

Administration und Management. Administration und Management. Björn Schneider Consultant IT-Security ITaCS GmbH. Technical Level 300. Agenda. Verbesserungen der Administration Management mit Gruppenrichtlinien Active Directory im Detail Automated System Recovery (ASR)

loader
I am the owner, or an agent authorized to act on behalf of the owner, of the copyrighted work described.
capcha
Download Presentation

PowerPoint Slideshow about 'Administration und Management' - herschel


An Image/Link below is provided (as is) to download presentation

Download Policy: Content on the Website is provided to you AS IS for your information and personal use and may not be sold / licensed / shared on other websites without getting consent from its author.While downloading, if for some reason you are not able to download a presentation, the publisher may have deleted the file from their server.


- - - - - - - - - - - - - - - - - - - - - - - - - - E N D - - - - - - - - - - - - - - - - - - - - - - - - - -
Presentation Transcript
administration und management2

Administration und Management

Björn Schneider

Consultant IT-Security

ITaCS GmbH

Technical Level 300

agenda
Agenda
  • Verbesserungen der Administration
  • Management mit Gruppenrichtlinien
  • Active Directory im Detail
  • Automated System Recovery (ASR)
  • Softwaremanagement mit RIS und SUS
  • Windows System Ressource Management
  • Die neuen Terminal Services
verbesserungen der administration

Verbesserungen der Administration

DCPROMO

Management Console (MMC)

Effektive Berechtigungen

dcpromo automatische dns fehlererkennung

DNS

DCPROMOAutomatische DNS Fehlererkennung
  • Erkennt DNS Probleme beim Hochstufen
  • Liefert detaillierte DNS Informationen
  • Bietet dem Admin eine Autokonfiguration
    • Konfiguration der Netzwerkkarten
    • Automatische Installation des DNS Services
      • Erstellung der DNS Zonen
        • domain.de
        • _msdcs.domain.de
dcpromo ad installation von backup medien
DCPROMOAD Installation von Backup Medien
  • Installation eines DCs in einer Außenstelle
  • DCPROMO auch mit 128 K/bit Anbindung
    • Initiale Replikation erfolgt mit Systemstate-Backup (*.bkf)
      • Grundlage ist ein DC aus der gleichen Domäne
      • Backup darf nicht älter als 60 Tage sein
    • Differenzielle Replikation danach übers Netzwerk
  • Funktion wird mit Setup Schalter gestartet >dcpromo /adv
management console object picker und saved queries
Management Console„Object Picker“ und „Saved Queries“
  • „Object Picker“ zum Finden von Objekten
    • Einfache Suchmaske zum Auffinden und Auswählen von AD-Objekten wie…
      • Benutzer-, Gruppen- und Computernamen
  • „Saved Queries“ bei häufigen Suchanfragen
    • Beliebige LDAP Suchanfragen wiederverwenden
      • z.B. „Finde alle Benutzerkonten bei denen die letzte Anmeldung mehr als 60 Tage zurückliegt“
effective rights
Effective Rights
  • Ermitteln der effektiven NTFS-Berechtigungen eines Objektes z.B. Benutzer oder Gruppe

„Darf Erwin Lindemann die Datei Gehalt.txtlesen?“

slide9

Object Picker

Saved Queries

Effective Rights

gruppenrichtlinien

Gruppenrichtlinien

Neue Policies

WMI Filter

GPMC, RSoP

gruppenrichtlinien11

Windows 2003 Domain

Gruppenrichtlinien

“Neue Policy”

Viele Computer-

Ergebnisse

Viele User-

Ergebnisse

gruppenrichtlinien was ist neu
GruppenrichtlinienWas ist neu?
  • Neue Richtlinien für…
    • Drahtlose Netzwerke
    • Terminal Service & IIS Einstellungen
    • Software Restriction Policy
  • Verwaltbarkeit
    • Alle Richtlinien voll dokumentiert
    • Resultant Set Of Policies (RSoP)
    • Group Policy Management Console (GPMC)
    • WMI-Filter
gruppenrichtlinien software restriction policies
GruppenrichtlinienSoftware Restriction Policies
  • Erhöhte Systemsicherheit gegenüber Bedrohung durch „malicious code“
  • Erkennt unbekannte oder „untrusted“ Software
  • Wird über GPO verteilt
  • 2 Sicherheitslevel (Allow/Deny)
  • Kein Ersatz für Anti-Virus-Programm
gruppenrichtlinien group policy management console gpmc
GruppenrichtlinienGroup Policy Management Console (GPMC)
  • Verwaltet GPOs im ganzen AD Forrest
    • Einfache Verwaltung aller GPOs in einem Tool
    • Sehr übersichtliche GPO und OU Darstellung
  • Saubere Dokumentation aller GPO Settings
    • Erstellung von HTML Zusammenfassungen
  • Bequeme Suche nach bestimmten GPOs
    • z.B. „Finde alle GPOs, in denen die Gruppe EDV Rechte zum Editieren besitzt und Folder Redirections gesetzt sind“
gruppenrichtlinien group policy management console gpmc16
GruppenrichtlinienGroup Policy Management Console (GPMC)
  • Planungsmodus zur Analyse von GPOs
    • „What if“ Szenarien mit Resultant Set of Policies
      • Ermöglicht eine Überprüfung von GPOs am Live System
    • OU Planung mit Group Policy Modeling
      • Ermöglicht Planung von GPOs auf OU Basis
  • Backup/Restore sowie Import/Export von Gruppenrichtlinien
    • Austausch von GPOs zwischen Active Directories
    • Backup and Restore von GPOs für Notfälle
software restriction policy wmi filter gpmc

Gruppenrichtlinien

Software Restriction Policy

WMI Filter

GPMC

verbesserte ad replikation die neuen transport generatoren
Verbesserte AD ReplikationDie neuen Transport Generatoren
  • Gruppenmitglieder sind nun einzelne Objekte
    • Beseitigung des Two-Way-Edit Problems
  • Geringere Latenzen bei Intra-Site Replikation
    • Windows 2000: AD Änderungen wurden alle 5 Minuten mit einer Latenzzeit von 30 Sec Repliziert (willkürlich)
    • Windows 2003: AD Änderungen werden alle 15 Sec mit einer Latenzzeit von 3 Sec Repliziert
  • Schnelle Kompression bei Inter-Site Replikationen (XPRESS Algorithmus)
verbesserte ad replikation gecachte global catalog informationen
Verbesserte AD ReplikationGecachte Global Catalog Informationen
  • Windows 2000 Global Catalog Problematik
    • GC ist für eine Domänen Anmeldung erforderlich, da Speicherort der Universal Group Mitgliedschaften
  • Windows 2003 DCs können Globale Cataloge cachen
    • Es werden nur die benötigten Daten über das WAN abgerufen
    • Gecachte Daten werden beim Ausfall des WANs Links genutzt
      • Domänen Anmeldung ist nun mit einem Offline GC möglich
cross forest authentifizierung neuer wizard f r vertrauensstellungen
Cross Forest AuthentifizierungNeuer Wizard für Vertrauensstellungen
  • Einfache Erstellung von Vertrauensstellungen
    • Zwischen zwei Forests über Kerberos (Transitiv)
      • Zeitgleiche Konfiguration der beiden Active Directory Forest‘s
    • Zwischen einzelnen Domänen (W2k3, W2k, NT4)
    • Zwischen AD und nativem Kerberos v5 Realm
  • Trust-Firewall beschränkt die Zugriffe
    • Eingebauter SID Filter verhindert SID History Angriffe
    • Wahlweise eingeschränkter Zugriff über Vertrauensstellungen
cross forest authentifizierung geltungsbereiche der vertrauensstellungen
Cross Forest AuthentifizierungGeltungsbereiche der Vertrauensstellungen

Forest Trust A-B

Forest Trust B-C

X

Kein Trust!

umbenennen von dc s dom nen corporate identity f r das active directory
Umbenennen von DC‘s, Domänen Corporate Identity für das Active Directory
  • Umbenennen von Domänen Controller
    • Mit Hilfe der UI „Computernamen ändern“
    • Mit dem Befehlszeilen Programm NETDOM.EXE
  • Windows Server 2003 Domain Rename Tool
    • Umbenennen von ganzen Forest Strukturen
    • Umbenennen einer einzelnen Win2003 Domäne
    • Umbenennen eines ganzen Win2003 Trees
  • Domäne/Forest muss im 2003er Modus sein!

Original Kommentar aus dem Domain Rename Whitepaper:

“it is not intended to make domain rename a routine operation”

neue active directory funktionen und die vielen nderungen am rande
Neue Active Directory FunktionenUnd die vielen Änderungen am Rande…
  • Redirecting Default Users and Computers Containers
  • Deactivation of Attributes/Classes in the Schema
  • Kerberos Delegation Model Improvements
  • Prevent Overloading Domain Controllers
  • Lingering Objects Removal Mechanism
  • Forceful Domain Controller Demotion
  • Synchronize Restore Mode Password
  • Enhanced Replication Monitoring
  • Application Directory Partitions
  • Active Directory Object Quotas
  • LDAP Improvements

… und noch einige mehr!

desaster recovery

Desaster Recovery

Automated System Recovery (ASR)

disaster recovery grundlagen
Disaster RecoveryGrundlagen
  • Disaster:
    • Physikalische Zerstörung von Computersystemen
      • Feuer, Erdbeben, Wassereinbruch, etc.
    • Katastrophaler Hardwarefehler
      • Meist Storage-Systeme
  • Recovery:
    • Wiederherstellen der Hardwarekonfiguration
    • Wiederherstellen des Betriebssystems und der Anwendungen
    • Wiederherstellen der Nutzdaten
manuelle systemwiderherstellung fr her
Manuelle SystemwiderherstellungFrüher
  • Beschaffung und Einbau neuer Hardware
  • Installation von Windows Server
  • Konfigurieren aller physikalischen Laufwerke mit den originalen Einstellungen
  • Installation der Backup-Software sowie der benötigten Backupmedien-Treiber
  • Wiederherstellung des Betriebssystems
  • Reboot und Überprüfen der Dienste
  • Wiederherstellen der Daten
automated system recovery asr heute 2003 und xp
Automated System Recovery (ASR)Heute (2003 und XP)
  • Beschaffung und Einbau der neuen Hardware
  • Booten von der Windows CD
  • Ausführen von ASR
  • Einlegen des Backupmediums
  • Wiederherstellen der Daten
automated system recovery ablauf
Automated System RecoveryAblauf

Windows CD

ASR Floppy

ASR Floppy

Backup Medium

für Daten

Installationsmedium Backup Software

(Optional)

Windows Innstallations-medium

Online

ASR Backup Medium

slide31

Automated System RecoveryZiele

  • Stadium für „non-bootable“ Systeme schaffen, von dem aus Backup/Restore Applikationen ausgeführt werden können
    • Konfigurieren aller physikalischen Laufwerke mit den originalen Einstellungen
    • Widerherstellung des Betriebssystems und aller Dienste und Anwendungen mit ihren Einstellungen
  • Mechanismus für Hersteller um auf die ASR-Features zuzugreifen
automated system recovery unterst tzte konfigurationen
Automated System RecoveryUnterstützte Konfigurationen
  • Basic und Dynamische Festplatten
  • x86 und ia64 Plattformen
  • MBR und GPT (EFI) Laufwerke
  • Benötigt Floppy Laufwerk !
  • ASR ist keine Netzwerkwiederherstellung, aber
    • ASR kann komplett mit RIS automatisiert werden
    • Keine Floppy notwendig da PXE Boot
    • Kein F2 um ASR zu starten
softwaremanagement mit ris und sus

Softwaremanagement mit RIS und SUS

Remote Installation Service (RIS)

Software Update Service (SUS)

remote installation service neue features
Remote Installation ServiceNeue Features
  • Installation von Servern via RIS
  • 64-Bit Unterstützung
    • Windows XP 64 Bit
    • Windows Server 2003 64 Bit Edition
  • NTLMv2 als Authentifizierungsprotokoll
  • Automatisches Autorisierung im AD
remote installation service neue features36
Remote Installation ServiceNeue Features
  • Unterstützung mehrerer Sprachen
    • Bearbeiten der multilng.osc und abspeichern als welcome.osc
  • PXE Start auch ohne “F12“
    • startrom.com Starten mit F12
    • startrom12.com kein Bestätigen mit F12
software update service
Software Update Service
  • Installieren von Betriebssystemupdates über einen internen Install-Server
  • Für alle Windows 2000, Windows XP und Windows Server 2003 Clients
  • Gilt derzeit nur für QFEs von Windows und Internet Explorer
  • Neue Version SUS 2.0 wird erwartet
    • Alle Patches aller MS Produkte
    • Auch Treiber und Empfohlene Software
    • 3rd Party Integration für andere Software
software update service38
Software Update Service

WHQL

QFEs

Features

Microsoft

Software

Device Drivers

Windows Update

http://windowsupdate.microsoft.com

Internet

Signed Cabs

Intranet

SUS

XML & SOAP

Software

Update Server

  • Clientkomponenten:
  • Automatic Update
  • Dynamic Update
  • Device Manager

XML & SOAP

software update service voraussetzungen
Software Update ServiceVoraussetzungen
  • Betriebssystem Serverseitig
    • Windows 2000 Server (IIS 5)
    • Small Business Server 2000 (IIS 5)
    • Windows Server 2003 (IIS 6)
  • Rollen Serverseitig
    • Memberserver (Empfohlen)
    • Seit SUS SP1 auch DC
  • Konfiguration der Clients (ab Windows 2000)
    • Gruppenrichtline (Empfohlen)
    • Registry Eintrag
windows ressource management was kann wsrm
Windows Ressource ManagementWas kann WSRM?
  • Definieren von Ressourcenverbrauch für bestimmte Applikationen (CPU und Memory)
    • Wahl des Prozesses, der gemanagt werden soll
    • Setzen der Werte bzw. Limits für Ressourcenverbrauch
  • Managen von Ressourcen mittels Policies
    • CPU Auslastung (% CPU)
    • Process working set size (physical resident pages)
    • Zugewiesener Speicher (page table und page file usage)
windows ressource management was kann wsrm43
Windows Ressource ManagementWas kann WSRM?
  • Zuweisen von Richtlinien zu bestimmten Zeiten
  • Email Benachrichtigung bei speziellen Events
  • Generierung, Darstellung,Speicherung und Export der gesammeltenDaten
windows ressource management einsatzm glichkeiten
Windows Ressource ManagementEinsatzmöglichkeiten
  • Serverkonsolidierungsszenario
  • Skalierung von Systemressourcen für
    • Eine oder mehrere wichtige LOB Applikationen
    • Große Terminal Server Systeme
    • Mehrere SQL Server Instanzen
    • Ressourcenverbrauch von individuellen IIS6 Applikationspools auf einem Server
    • Falls SQL Server, IIS und Exchange auf der selben Maschine laufen sollten
terminal services

Terminal Services

RDP 5.2

Session Directory

terminal dienste berblick
Terminal DiensteÜberblick
  • Remote Desktop (Administrationsmodus)
    • Lizenzfrei, keine Installation erforderlich
    • 2 Administratoren + 1 KonsolensitzungMSTSC /CONSOLE
    • Zunächst „disabled“ (Paradigma!)
  • Anwendungsmodus
    • 2x mehr gleichzeitige Nutzer
    • Session Directory
    • Zwei Sicherheitsmodelle
terminal dienste der neue rdp client
Terminal DiensteDer neue RDP Client
  • RDP 5.1/5.2
    • True Color 24 Bit, 1600 x 1024 Auflösung
    • Redirection
      • Lokale und Netzwerklaufwerke
      • Lokale und Netzwerkdrucker
      • Serielle und Parallele Ports
      • Sound, Zeitzone
    • Ganzseitendarstellung, Verbindungsoptimierung
    • Volle 128Bit Verschlüsselung (FIPS 140-1)
    • Smartcard-Unterstützung
terminal dienste der neue rdp client48
Terminal DiensteDer neue RDP Client
  • Windows Client als…
    • Full Client (.MSI-File)
    • MMC SnapIn
    • Web Client (ActiveX-control)
  • RDP 5.1 Client auch für andere Betriebssysteme
    • Windows 9.x, ME
    • Windows NT
    • Windows 2000
    • Apple Mac OS X
terminal dienste
Terminal Dienste
  • Bessere Verwaltung
    • Remote Desktop Users - Gruppe
    • Neue Gruppenrichtlinien (z.B. Software Restriction Policy, TS Settings)
    • Windows System Resource Manager (WSRM)
    • ADSI und WMI-Zugang zu TS-Settings
  • Fast Reconnect
    • Session Cookie zum Identifizieren des Benutzers
  • Session Directory
    • Erlaubt das Zuordnen verlorener TS-Sessionszum ursprünglichen NLB-Knoten
terminal dienste session directory

Cluster fürSession Directory und Benutzerprofile

TS-1

TSFARM(NLB)

TS-2

TS-3

Terminal DiensteSession Directory

X

Jane Doe

***********

Jane Doe

Keine aktive Session

terminal dienste session directory51

Cluster fürSession Directory und Benutzerprofile

TS-1

TS-2

TS-3

Terminal DiensteSession Directory

Jane Doe

***********

Jane Doe

***********

Aktive Session auf TS-2

Reconnect to TS-2 !

Jane Doe

slide52

Terminaldienste

Session Directory

ressourcen
Ressourcen
  • Windows Server 2003 Homehttp://www.microsoft.com/germany/ms/windowsserver2003/
  • Neue Featureshttp://www.microsoft.com/windowsserver2003/evaluation/features/featuresorter.aspx
  • Windows Resource Managerhttp://www.microsoft.com/windowsserver2003/downloads/wsrm.mspx
  • Domain Rename Toolshttp://www.microsoft.com/windowsserver2003/downloads/domainrename.mspx
  • Lizenzierunghttp://www.microsoft.com/windowsserver2003/howtobuy/licensing/default.mspx