Az előadás letöltése folymat van. Kérjük, várjon

Az előadás letöltése folymat van. Kérjük, várjon

Amit kivesézünk ODJ ADAC + ADWS ADRB Amelyeken átszáguldunk BPA MSA AMA DSRM PS AD FL.

Hasonló előadás


Az előadások a következő témára: "Amit kivesézünk ODJ ADAC + ADWS ADRB Amelyeken átszáguldunk BPA MSA AMA DSRM PS AD FL."— Előadás másolata:

1

2 Amit kivesézünk ODJ ADAC + ADWS ADRB Amelyeken átszáguldunk BPA MSA AMA DSRM PS AD FL

3 ODJ Offline Domain Join

4 Offline Domain Join (ODJ)  Mi is ez? – Számítógépfiók tartományba léptetésa - a tartományvezérlő elérése nélkül  Előnyök – A gép már az első indítás közben tartományi tag – Kevesebb újraindítás, egyszerűbb tömeges telepítés  Feltételek – Nincs szükség erdő vagy tartományi működési szint emelésre – Nincs szükség Windows Server 2008 R2 DC-re! Elég egy Windows 7 vagy egy WS08 R2 tagkiszolgáló

5 ODJ – szakácskönyv 1.Végy (elő) egy tartományi tag Windows 7 / Windows Server 2008 R2 gépet, és gyártsd le a kérést („blob”)! 2.Végy (pl. otthon) egy új Windows 7 vagy Windows Server 2008 R2 gépet és „húzd rá” a „blob”-ot! 3.Vidd be a gépet a fizikai hálózatba, és kapcsold be - működik rögvest. djoin /requestODJ /loadfile /windowspath djoin /provision /domain /machine /savefile

6 ODJ – A „blob” titkai – S01E01  A djoin.exe generálja ezt a fájlt – a tartományban működő gép segítségével  Tartalmazza: –A leendő új gép nevét, fiók jelszavát –A tartomány nevét, GUID-ját, SID-jét –Az erdő nevét –A közreműködő DC Nevét, címét, attributúmait és a telephelyét  Nem igazán titkosított a fájl tartalma –Csak base64

7 ODJ – A „blob” titkai – S01E02  Nem jár le az érvényessége –A generálás ás a használat közben bármennyi idő eltelhet  Csak 1 db jár minden új gépnek –Újrahasznosítás nincs  Az unattended.xml egy új szakasza támogatja a használatát  Egyformán használható fizikai és virtuális gépekhez

8 Próbáljuk ki! ODJ

9 ADAC + ADWS Active Directory Administrative Center + Active Directory Web Services

10 ADAC - UI Feladatorientált „Vizuális élmény” Hatékony keresés Multi-domain Multi-forest Multi-domain Multi-forest PowerShell alapok

11 ADAC vs. ADUC: nem helyette, mellette

12 ADAC – királyságok és korlátok  A szűrés alaposan kibővült –Jól kombinálhatóak a feltételek  Elmenthető nézetek  Nem bővíthető a klasszikus módon –vö. acctinfo.dll, acctinfo2.dll  Nincs drag & drop  Nincs RSOP Planning / Logging támogatás  NTDS Settings sincs

13 Active Directory Web Services  Automatikusan települ AD DS / AD LDS esetén –Port 9389: távoli elérés –IIS-t nem igényel –Fejlesztőknek jól jöhet  Kompatibilitás –Letölthető ADMGS –WS03 SP2 + WS08 –De nem az ADAC-ot vagy a PS-t kapjuk meg! –Különbség: DMT példányok használata nem támogatott ADWSADWS PowerShell Cmdlets AD / GC WS-* AD LDS instance Mounted AD instance LDAP

14 Próbáljuk ki! ADAC

15 PS PowerShell for AD

16 PS for AD

17 Próbáljuk ki! - AD objektumkezelés - AD meghajtó - PS Remoting - Remoting jogosultsági rendszere

18 Vegyes BPA, MSA, AMA, DSRM PS

19 AD Best Practice Analyzer  Nem javítja meg, csak diagnosztizál  Server Manager-ből vagy PowerShell-ből indítható –Értelemszerűen távolból is BPA Run Time AD DS BPA PowerShell Script Collects data XML Schema XML Results document AD DS BPA guidance AD DS BPA rule set AnalysisAnalysis ValidationValidation AD DS BPA Report

20 AD BPA – egyéb okosságok  Frissítés negyedévenként –Microsoft Update –Bárki segíthet > connect.microsoft.com/ADBPA  Csak helyi vizsgálat  (Még) nem bővíthető, azaz... –Nem tudunk forgatókönyveket megadni –Nem tudjuk a vizsgálat határait, körülményeit változtatni –Nem tudjuk a jelentés paramétereit változtatni  Csak Windows Server 2008 R2 DC

21 Managed Service Accounts  Szolgáltatásfiók problémák eddig –Jelszó változtatás –Sokszor kell a tartományi tagság  Az MSA megoldja a problémát –Új objektum osztály az AD-ban A számítógépfiók „gyereke”  240 karakteres jelszavakkal dolgozik Nem függ sem a szimpla, sem a FGPP jelszóházirendtől A gépfiók jelszavával párhuzamosan változik (alapesetben 30 nap > Csoportházirend) Reset-ADServiceAccountPassword cmdlet manuálisan

22 MSA beizzítás 1.A fiók létrehozása New-ADServiceAccount –Name {MSA name} –Path {directory path} 2.Hozzárendelése a szerverhez Add-ADServiceAccount –Identity {FQDN} -ServiceAccount {MSA} 3.„Telepítése” a helyi szerveren Install-ADServiceAccount –Identity {MSA}  A fiókot használó szoftver beállítása Korlátok –Egy MSA = egy szerver, ergo nem megosztható –Csak Windows 7 vagy Windows Server 2008 R2 –SPN automatizmus csak WS08 R2 DFL-től

23 Authentication Mechanism Assurance  Multifaktoros bejelentkezéssel több jogunk lehet pl. egy fájlmegosztáson, technikailag: –Az admin csoportokat linkel a smartcard házirendek alapján –Spéci OID a user SmartCard-ján > másik SID > access token > más biztonsági csoport  Csak WS08 R2 erdő működési szint és csak Kerberos  A szükséges szkriptek letölthetőek – set-IssuancePolicyToGroupLink.ps1 – get-IssuancePolicy.ps1 Erős hitelesítésNormál hitelesítés Korlátozott hozzáférés Emelt hozzáférés

24 DSRM Password Sync  Mi is ez? –A DC DSRM jelszavának szinkronizálása tetszőleges tartományi felhasználóhoz  Megkötések (restrikciók) –Csak Windows Server 2008 (QFE) és R2 –EGYSZERI művelet, amely azonnal átmásolja a jelszót –Nem tartományi, csak helyi (az ntdsutil blokkol)  Konkrétan ntdsutil "Set DSRM Password" "Sync from domain account " q q

25 ADRB Active Directory Recycle Bin

26  Lehetővé teszi bármilyen törölt AD objektum online és teljeskörű visszaállítását  Jóval többet ér mint az eddigi módszerek –A sírkövezést (és a reanimációt) elfelejthetjük –Nem szükséges egy törlés miatt az offline AD állapot –Nemcsak részleges visszaállítást tudunk WS03 alap FL Online reanimáció WS03 Forest FL Linked-value replikáció 2008 R2 Forest FL Recycle Bin Mérföldkövek az ADRB-ig W2KW2K Zéró lehetőség

27 ADRB - objektum törlés eddig  Az objektum „elköltözik” a „Deleted Objects” konténerbe, és: –Láthatatlanná válik a normál AD műveletekben –Megkapja a sírkövét (ami replikálódik) –Az „isDeleted” attribútum = TRUE, plusz RDN átnevezés –A non-link-valued attribútumok jelentős része törlésre kerül –A link-valued attribútumoknál meg az összes (pl. csoporttagság)  Ezután: 180 nap > Garbage Collection > végleges törlés –1-12 órás ciklusban, 2-60 nap alatt és online defrag jön utána Élő objektum „Sírkő” Törlés Szemétgyűjtő (Garbage collection) X Fizikai törlés Sírkő állapot (WS03 SP1 > 180 nap) Offline authoritative restore

28 Egy sírkő példa

29 ADRB előtt – Reanimation  LDP-vel, online, nem teljeskörű –isDeleted attribútum eltávolítása –„distinguishedName” attribútum > „visszanevezés”  Visszakapja a GUID-ját és a SID-jét, de: –Rengeteg attribútum hiányzik –A Configuration NC-ben nincs reanimáció  Az ADRestore (Sysinternals) sokkal egyszerűbb, de az eredmény ugyanaz

30 ADRB előtt – Restore  DSRM, offline, nem teljeskörű –Mentés kell hozzá :D Ami lehet, hogy elavult –A speciális attribútumok egy része (pl. csoporttagság) visszaállítható „Backlink”-ből lesz „Forward link”, de ez függ pl.: –Az erdő működési szinttől... –...vagy a csoport –És néha 2 AR is kell  AD Database Mounting Tool (WS08) –Segít, de csak az online ellenőrzésben

31 ADRB - objektum törlés most TörlésTörlés Törölt objektum Szemétgyűjtő (Garbage collection) X Fizikai törlés Deleted object lifetime (180 nap) Tombstone lifetime (180 nap) Online visszaállítás Online visszaállítás Szemétgyűjtő (Garbage collection)  Be KELL kapcsolni és NEM lehet kikapcsolni!  DOL = TSL = 180 nap –De állítható mindkettő Élő objektum Törölt objektum

32 Törlés itt és ott

33 Visszaállítás itt és ott

34 ADRB - további okosságok  Group Policy, Exchange objektumokra nem támogatott –És a reanimation + a restore sem  Van viszont direkt törlés is – Get-ADObject –Filter { } –IncludeDeletedObjects | Remove-ADObject  Számítsunk a DIT növekedésre –De nem egyformán, R2 DC-knél kb %  AD LDS-ben is működik –Ha minden példány WS08 R2-on fut –Sémabővítés > LDIFDE > MS-ADAM-Upgrade- 2.LDF

35 Próbáljuk ki! - ADRB

36 AD FL A működési szintek

37 Működési szintek  Az R2 bemutatja a 4. sz. tartomány / erdő működési szintet! –És hozzá a séma ldf fájlait!  Egyetlen lényegi változás: a működési szintek visszaállíthatóak! –Csak a 3. szintre (Windows 2008) –Feltételezve, hogy nem engedélyeztünk olyan újdonságokat, amelyeket blokkolna Ha igen: Disable-ADOptionalFeatures –A Recycle Bin viszont NEM letiltható Ezért ha megengedtük, akkor nincs visszaút –Nincs UI a visszállításhoz Set-ADDomainMode, Set-ADForestMode cmdlet

38 Mikor melyiket kapom meg? KritériumokElérhető szolgáltatások Egy vagy több Windows 7 kliens vagy Windows Server 2008 R2 tagkiszolgáló Offline Domain Join Managed Service Accounts + Egy vagy több Windows Server 2008 R2 tartományvezérlő Active Directory Administrative Center PowerShell for Active Directory Module Best Practices Analyzer DSRM Password Sync + Windows Server 2008 R2 Domain Functional Level Authentication Mechanism Assurance Kibővített MSA-SPN management + Windows Server 2008 R2 Forest Functional Level Recycle Bin

39

40 Függelék

41 AD BPA – mit is vizsgál?  DNS –registration & discovery of A/AAAA records  Disaster Recovery –multiple DCs per domain –backup lifetime  Replication –at least one GC per site –KCC enabled –Virtual Machine-aware is deemed a Virtual Machine if the Model property of WMI’s WIN32_ComputerSystem object contains the string “Virtual”  Topology –FSMO-role assignment and availability of role holder  Lingering Objects –Strict Replication Consistency  Time Service –PDC time source –Max[POS|NEG]PhaseCorrection limits reduces potential risk of forest-wide time skews/slews

42 ADRB – a törölt objektumok  A megtekintéshez egy LDAP control szükséges (+ az ldp.exe ) –A keresésnél kiválasztható  WS08 R2 PowerShell + AD modul –Get-ADObject –LDAPFilter {} –IncludeDeletedObjects

43 ADRB – tömeges törlés  Deleted Objects konténer –Törölt elemek teljes listája –RDN csonkolás ( +DEL:+CHAR(0A)) –Linked / non-linked attribútumok megmaradnak lastKnownParent / lastKnownRDN  Objektum visszaállítás –Csak ha a szülője is megvan Ezért a „tetőről” kezdünk –lastKnownXX értékeket használja a hierarchia újraépítésére Delete Undelete


Letölteni ppt "Amit kivesézünk ODJ ADAC + ADWS ADRB Amelyeken átszáguldunk BPA MSA AMA DSRM PS AD FL."

Hasonló előadás


Google Hirdetések