R2 AD – Éljenek a rövidítések! Windows 7 | Presenter Mode Tuesday, April 04, 2017 R2 AD – Éljenek a rövidítések! Gál Tamás TechNet szakmai vezető v-tagal@microsoft.com Microsoft Magyarország Microsoft Confidential
Windows 7 | Presenter Mode Tuesday, April 04, 2017 Amit kivesézünk ODJ ADAC + ADWS ADRB Amelyeken átszáguldunk BPA MSA AMA DSRM PS AD FL Microsoft Confidential
ODJ Offline Domain Join
Offline Domain Join (ODJ) Mi is ez? Számítógépfiók tartományba léptetésa - a tartományvezérlő elérése nélkül Előnyök A gép már az első indítás közben tartományi tag Kevesebb újraindítás, egyszerűbb tömeges telepítés Feltételek Nincs szükség erdő vagy tartományi működési szint emelésre Nincs szükség Windows Server 2008 R2 DC-re! Elég egy Windows 7 vagy egy WS08 R2 tagkiszolgáló
ODJ – szakácskönyv Végy (elő) egy tartományi tag Windows 7 / Windows Server 2008 R2 gépet, és gyártsd le a kérést („blob”)! Végy (pl. otthon) egy új Windows 7 vagy Windows Server 2008 R2 gépet és „húzd rá” a „blob”-ot! Vidd be a gépet a fizikai hálózatba, és kapcsold be - működik rögvest. djoin /provision /domain <target domain> /machine <new machine name> /savefile <filename> djoin /requestODJ /loadfile <filename> /windowspath <path to new machine’s %windir%>
ODJ – A „blob” titkai – S01E01 A djoin.exe generálja ezt a fájlt – a tartományban működő gép segítségével Tartalmazza: A leendő új gép nevét, fiók jelszavát A tartomány nevét, GUID-ját, SID-jét Az erdő nevét A közreműködő DC Nevét, címét, attributúmait és a telephelyét Nem igazán titkosított a fájl tartalma Csak base64
ODJ – A „blob” titkai – S01E02 Nem jár le az érvényessége A generálás ás a használat közben bármennyi idő eltelhet Csak 1 db jár minden új gépnek Újrahasznosítás nincs Az unattended.xml egy új szakasza támogatja a használatát Egyformán használható fizikai és virtuális gépekhez
Próbáljuk ki! ODJ
ADAC + ADWS Active Directory Administrative Center + Web Services
ADAC - UI PowerShell alapok Feladatorientált Multi-domain Multi-forest „Vizuális élmény” Hatékony keresés
ADAC vs. ADUC: nem helyette, mellette
ADAC – királyságok és korlátok A szűrés alaposan kibővült Jól kombinálhatóak a feltételek Elmenthető nézetek Nem bővíthető a klasszikus módon vö. acctinfo.dll, acctinfo2.dll Nincs drag & drop Nincs RSOP Planning / Logging támogatás NTDS Settings sincs
Active Directory Web Services Automatikusan települ AD DS / AD LDS esetén Port 9389: távoli elérés IIS-t nem igényel Fejlesztőknek jól jöhet Kompatibilitás Letölthető ADMGS WS03 SP2 + WS08 De nem az ADAC-ot vagy a PS-t kapjuk meg! Különbség: DMT példányok használata nem támogatott PowerShell Cmdlets WS-* 9389 ADWS LDAP LDAP LDAP 389 3268 Mounted AD instance AD LDS instance AD / GC
Próbáljuk ki! ADAC
PS PowerShell for AD
PS for AD
Próbáljuk ki! Soós Tibor soost@iqjb.hu AD objektumkezelés AD meghajtó PS Remoting Remoting jogosultsági rendszere Soós Tibor soost@iqjb.hu MCT, PowerShell MVP IQSOFT – John Bryce Oktatóközpont http://www.IQJB.hu
Vegyes BPA, MSA, AMA, DSRM PS
AD Best Practice Analyzer XML Schema Validation AD DS BPA PowerShell Script Collects data XML Results document AD DS BPA rule set Analysis AD DS BPA Report BPA Run Time AD DS BPA guidance Nem javítja meg, csak diagnosztizál Server Manager-ből vagy PowerShell-ből indítható Értelemszerűen távolból is
AD BPA – egyéb okosságok Frissítés negyedévenként Microsoft Update Bárki segíthet > connect.microsoft.com/ADBPA Csak helyi vizsgálat (Még) nem bővíthető, azaz... Nem tudunk forgatókönyveket megadni Nem tudjuk a vizsgálat határait, körülményeit változtatni Nem tudjuk a jelentés paramétereit változtatni Csak Windows Server 2008 R2 DC
Managed Service Accounts Szolgáltatásfiók problémák eddig Jelszó változtatás Sokszor kell a tartományi tagság Az MSA megoldja a problémát Új objektum osztály az AD-ban A számítógépfiók „gyereke” 240 karakteres jelszavakkal dolgozik Nem függ sem a szimpla, sem a FGPP jelszóházirendtől A gépfiók jelszavával párhuzamosan változik (alapesetben 30 nap > Csoportházirend) Reset-ADServiceAccountPassword cmdlet manuálisan
MSA beizzítás A fiók létrehozása Hozzárendelése a szerverhez New-ADServiceAccount –Name {MSA name} –Path {directory path} Hozzárendelése a szerverhez Add-ADServiceAccount –Identity {FQDN} -ServiceAccount {MSA} „Telepítése” a helyi szerveren Install-ADServiceAccount –Identity {MSA} A fiókot használó szoftver beállítása Korlátok Egy MSA = egy szerver, ergo nem megosztható Csak Windows 7 vagy Windows Server 2008 R2 SPN automatizmus csak WS08 R2 DFL-től
Authentication Mechanism Assurance Korlátozott hozzáférés Emelt hozzáférés Normál hitelesítés Erős hitelesítés Multifaktoros bejelentkezéssel több jogunk lehet pl. egy fájlmegosztáson, technikailag: Az admin csoportokat linkel a smartcard házirendek alapján Spéci OID a user SmartCard-ján > másik SID > access token > más biztonsági csoport Csak WS08 R2 erdő működési szint és csak Kerberos A szükséges szkriptek letölthetőek set-IssuancePolicyToGroupLink.ps1 get-IssuancePolicy.ps1 http://technet.microsoft.com/en-us/library/dd378897(WS.10).aspx
DSRM Password Sync Mi is ez? Megkötések (restrikciók) Konkrétan A DC DSRM jelszavának szinkronizálása tetszőleges tartományi felhasználóhoz Megkötések (restrikciók) Csak Windows Server 2008 (QFE) és R2 EGYSZERI művelet, amely azonnal átmásolja a jelszót Nem tartományi, csak helyi (az ntdsutil blokkol) Konkrétan ntdsutil "Set DSRM Password" "Sync from domain account <suitable user> " q q
ADRB Active Directory Recycle Bin
Active Directory Recycle Bin Lehetővé teszi bármilyen törölt AD objektum online és teljeskörű visszaállítását Jóval többet ér mint az eddigi módszerek A sírkövezést (és a reanimációt) elfelejthetjük Nem szükséges egy törlés miatt az offline AD állapot Nemcsak részleges visszaállítást tudunk Mérföldkövek az ADRB-ig WS03 alap FL Online reanimáció WS03 Forest FL Linked-value replikáció 2008 R2 Forest FL Recycle Bin W2K Zéró lehetőség
ADRB - objektum törlés eddig Élő objektum „Sírkő” Törlés Szemétgyűjtő (Garbage collection) X Fizikai törlés Sírkő állapot (WS03 SP1 > 180 nap) Offline authoritative restore Az objektum „elköltözik” a „Deleted Objects” konténerbe, és: Láthatatlanná válik a normál AD műveletekben Megkapja a sírkövét (ami replikálódik) Az „isDeleted” attribútum = TRUE, plusz RDN átnevezés A non-link-valued attribútumok jelentős része törlésre kerül A link-valued attribútumoknál meg az összes (pl. csoporttagság) Ezután: 180 nap > Garbage Collection > végleges törlés 1-12 órás ciklusban, 2-60 nap alatt és online defrag jön utána
Egy sírkő példa
ADRB előtt – Reanimation LDP-vel, online, nem teljeskörű isDeleted attribútum eltávolítása „distinguishedName” attribútum > „visszanevezés” Visszakapja a GUID-ját és a SID-jét, de: Rengeteg attribútum hiányzik A Configuration NC-ben nincs reanimáció Az ADRestore (Sysinternals) sokkal egyszerűbb, de az eredmény ugyanaz
ADRB előtt – Restore DSRM, offline, nem teljeskörű Mentés kell hozzá :D Ami lehet, hogy elavult A speciális attribútumok egy része (pl. csoporttagság) visszaállítható „Backlink”-ből lesz „Forward link”, de ez függ pl.: Az erdő működési szinttől... ...vagy a csoport És néha 2 AR is kell AD Database Mounting Tool (WS08) Segít, de csak az online ellenőrzésben
ADRB - objektum törlés most Élő objektum Törlés Törölt objektum Deleted object lifetime (180 nap) Online visszaállítás Szemétgyűjtő (Garbage collection) Törölt objektum Szemétgyűjtő (Garbage collection) X Be KELL kapcsolni és NEM lehet kikapcsolni! DOL = TSL = 180 nap De állítható mindkettő Fizikai törlés Tombstone lifetime (180 nap)
Törlés itt és ott WS08 WS08 R2 isDeleted=TRUE isDeleted=TRUE; isRecycled=NULL lastKnownParent set lastKnownParent, ms-DS-lastKnownRDN set Moved to the DeletedObjects container DN is mangled rDN beyond 128 char would be truncated Hierarchy is effectively flattened All but a few non-linked attributes (e.g. GUID, SID, sidHistory, etc.) are preserved All non-linked attributes are preserved All linked attributes (e.g. member/memberOf) are stripped away All linked attributes are preserved Only visible with ShowDeletedObjects LDAP control Purged after tombstoneLifetime expires Purged after deletedObjectLifetime expires if that value is set, else after tombstoneLifetime expires
Visszaállítás itt és ott WS08 WS08 R2 Delete isDeleted attribute Change DN based on lastKnownParent and mangled DN Change DN based on lastKnownParent and ms-DS-lastKnownRDN Only some non-linked attributes (e.g. GUID, SID, sidHistory, etc.) are restored import old values from snapshots All non-linked attributes are restored None of the linked attributes (e.g. member/memberOf) are restored regenerate links using LDIFs from auth restore All linked attributes, even cross-domain links, are restored Tool: ldp.exe Tool: AD PowerShell
ADRB - további okosságok Group Policy, Exchange objektumokra nem támogatott És a reanimation + a restore sem Van viszont direkt törlés is Get-ADObject –Filter {<suitable filter>} –IncludeDeletedObjects | Remove-ADObject Számítsunk a DIT növekedésre De nem egyformán, R2 DC-knél kb. 10-15% AD LDS-ben is működik Ha minden példány WS08 R2-on fut Sémabővítés > LDIFDE > MS-ADAM-Upgrade-2.LDF
Próbáljuk ki! ADRB Soós Tibor soost@iqjb.hu MCT, PowerShell MVP IQSOFT – John Bryce Oktatóközpont http://www.IQJB.hu
AD FL A működési szintek
Működési szintek Az R2 bemutatja a 4. sz. tartomány / erdő működési szintet! És hozzá a séma 45-46-47.ldf fájlait! Egyetlen lényegi változás: a működési szintek visszaállíthatóak! Csak a 3. szintre (Windows 2008) Feltételezve, hogy nem engedélyeztünk olyan újdonságokat, amelyeket blokkolna Ha igen: Disable-ADOptionalFeatures A Recycle Bin viszont NEM letiltható Ezért ha megengedtük, akkor nincs visszaút Nincs UI a visszállításhoz Set-ADDomainMode, Set-ADForestMode cmdlet
Mikor melyiket kapom meg? Kritériumok Elérhető szolgáltatások Egy vagy több Windows 7 kliens vagy Windows Server 2008 R2 tagkiszolgáló Offline Domain Join Managed Service Accounts + Egy vagy több Windows Server 2008 R2 tartományvezérlő Active Directory Administrative Center PowerShell for Active Directory Module Best Practices Analyzer DSRM Password Sync + Windows Server 2008 R2 Domain Functional Level Authentication Mechanism Assurance Kibővített MSA-SPN management + Windows Server 2008 R2 Forest Functional Level Recycle Bin
Windows 7 | Presenter Mode Tuesday, April 04, 2017 Microsoft Confidential
Függelék
AD BPA – mit is vizsgál? DNS Disaster Recovery Replication Topology registration & discovery of A/AAAA records Disaster Recovery multiple DCs per domain backup lifetime Replication at least one GC per site KCC enabled Virtual Machine-aware is deemed a Virtual Machine if the Model property of WMI’s WIN32_ComputerSystem object contains the string “Virtual” Topology FSMO-role assignment and availability of role holder Lingering Objects Strict Replication Consistency Time Service PDC time source Max[POS|NEG]PhaseCorrection limits reduces potential risk of forest-wide time skews/slews
ADRB – a törölt objektumok A megtekintéshez egy LDAP control szükséges (+ az ldp.exe ) A keresésnél kiválasztható WS08 R2 PowerShell + AD modul Get-ADObject –LDAPFilter {} –IncludeDeletedObjects
ADRB – tömeges törlés Deleted Objects konténer Objektum visszaállítás OU=Finance OU=Admins CN=Tom CN=Sally CN=Mark OU=Finance Undelete Deleted Objects konténer Törölt elemek teljes listája RDN csonkolás (<RDN>+DEL:+CHAR(0A)) Linked / non-linked attribútumok megmaradnak lastKnownParent / lastKnownRDN Objektum visszaállítás Csak ha a szülője is megvan Ezért a „tetőről” kezdünk lastKnownXX értékeket használja a hierarchia újraépítésére OU=Admins CN=Tom CN=Sally CN=Mark CN=Deleted Objects OU=Finance\0ADEL:... CN=Mark\0ADEL:… OU=Admins\0ADEL:… CN=Tom\0ADEL:… CN=Sally\0ADEL:… CN=Robert\0ADEL:…