Active Directory, a Windows 2000 új címtára Szalontay Zoltán, Tarsoly Balázs rendszermérnökök Microsoft Magyarország

A „Windows 2000” kihívásai A Windows 2000 sokkal több, mint a Windows NT egy újabb verziója Egy új operációs rendszer, amelynek rengeteg új szolgáltatása van Összetett, nagy és „sokkoló” A szakmának időben fel kell készülnie annak érdekében, hogy képes legyen Windows 2000 alapú rendszereket tervezni és üzemeltetni A feladat nehéz, de nem lehetetlen

Önök egy sorozatot látnak... Active Directory, a Windows 2000 új címtára Felhasználó és szoftver menedzsment Biztonsági szolgáltatások a Windows 2000-ben A Windows 2000 infrastruktúrális szolgáltatásai A Windows 2000 mint alkalmazás kiszolgáló A Windows 2000 telepítése és üzembehelyezése A Windows 2000 NetWare és UNIX környezetben

Miről lesz szó? Ismerkedjünk meg az Active Directoryval! (Demó) Az Active Directory alapfogalmai és működése És hogy néz ki mindez belülről???

Mi az a címtár? „Directory” Információ forrás, telefonkönyv, könyvtárrendszer Egy elosztott rendszer erőforrásainak információit egy központi helyen tárolja Felhasználói adatok, Számítógépek, nyomtatók, stb. Alkalmazások egyéb adatai Növeli a biztonságot Minden egy helyen: kevesebb a kiskapu A címtár megléte önmagában még nem garancia! A címtár nem csak az adminisztrátorok játéka A felhasználók és az alkalmazások is hasznát vehetik Ne keverjük a címtár és a biztonságos hozzáférés fogalmát, mert egy jó címtár működhet alacsony biztonsági szinten is. A címtár egy fontos szempont: mert egy helyen tárolja az összes fontos adatot, de pl. Az AD-nál is a Kerberos és a smartcard támogatás miatt lesz a rendszer biztonságos.

Az Active Directory jellemzői Hierarchikus, kiterjeszthető névtér (séma) Több mesterpéldányt használó (multimaster) replikáció Szervezeti szintű, globális katalógus X.500 szabványon alapul DNS alapú erőforrás-elérés LDAP v3.0 alapú adatkezelés Integráció a védelmi alrendszerrel, a hálózattal és a kezelőfelülettel A Windows NT 4.0 címtára elosztott (PDC-BDC), kiterjeszthető (Terminal Server, GSNW), particionálható (domain-ek), de nem hierarchikus. Az AD egy X.500 alapú címtár, azaz követi a szabványt a belső hierarchia leírásánál. A hozzáférési protokoll a DAP könnyített verziója az LDAP v3, amely funkciókban 90 százalékot biztosít a DAP költségeinek 10%-áért. A locator szervizként (erőforrások visszakeresése, azonosítása) a DNS-t használja. Azt a DNS-t ami már 20 éve meghatározza azt, miként találunk meg erőforrásokat az Interneten.

Az Active Directory jellemzői (folytatás) Nagy teljesítményű adatbázis Skálázható (40 millió objektumig tesztelve) Többszörösen, röptében indexelt Partícionált (tartományok) Megbízható (mentés, tranzakciós napló) Nyilvános séma objektum A séma a címtárban foglal helyet Hatékony replikáció Objektum helyett tulajdonság szintű Időkülönbségek helyett frissítési sorszámok (USN) Olvasásra optimalizált. Egy címtár olvasás/írás aránya tipikusan 9 az 1-hez.

Mire jó az Active Directory? Felhasználók Fiók info Jogosultság Házirend Ügyfelek Mgmt profil Hálózati paraméter Kiszolgálók Szolgáltatás Nyomtató Megosztás Active Directory Központi MGMT Felhasználók Erőforrások Biztonság Delegáció Házirend Más címtárak Yellow pages Elektornikus kereskedelem Portálok Hálózati eszközök Konfiguráció QoS Cisco CNS/AD Biztonság Hálózati kiszolgálók Migráció Szinkronizáció Single Sign-On Internet Tűzfal szolgáltatás Konfiguráció VPN beállítások E-Mail Szerverek Postafiók info Címlista Disztribúciós lista Alkalmazások Szerver konfig. Single Sign-On Alkalmazás specifikus információk

A címtárak alapfogalmai Objektum Organization Unit Tartományok és altartományok Erdő Séma Globális katalógus Névhasználati környezet Partíció

Objektum A címtár elemi egysége Tulajdonságok Metódusok Előre definiált objektumok User User Group (nem azonos az Organizational Unit-tal) Computer, Domain Controller Printer, File share

Organizational Unit Az adatok struktúrált tárolását segíti Objektumokat vagy más tárolókat tartalmaz Segíti az elosztott adminisztrációt 12-es mélységben ágyazható egymásba, de 3 fölé ne menjünk

Tartomány Az AD egy partíciója A partíción belüli adatokért a tartomány verzérlői (DC) felelősek A tartomány tartalmazza az OU-k fastruktúráját Az AD önálló adminisztratív egysége Az OU-k tulajdonságai csak a tartományokon belül öröklődnek

Az Active Directory kettős fastruktúrája Több tartomány: Elosztott felügyelet Egy tartomány: Központi felügyelet A tartományok fát alkotnak. A központi adminisztrációt segíti. Legalább egy tartományvezérlő tartományonként.

A kettős fastruktúra jelölése

Mit kell tudnia a DNS-nek? Szükséges Server Record, RFC-2052 Dinamikus frissítés Javasolt Titkosított zóna transzfer Jó, ha van Inkrementális zóna transzfer, RFC-1995 Értesítés a változásról, RFC-1996 Negatív caching, RFC-2308 BIND 8.2.1-től felfelé O.K. Elfelejthetjük a NetBIOS-t (WINS-t) ? Dynamic update: W2K Pro magától tudja, a többinél az új DHCP Server megteszi helyettük. A DNS dinamikus frissítésére a Dcpromo-nál mindenképpen szükség van, hiszen ekkor kerülnek be a GUID-ok a zóna fájlba.

Erdő Nem folyamatos névtér Közös felügyelet Közös séma Közös Globális Katalógus auto.hu Bicikli.hu szerviz.auto.hu Szerviz.bicikli.hu Budapest.szerviz.auto.hu fa fa

Séma Az objektumok tulajdonságait leíró adatbázis Az Active Directory ezt is a címtárban tárolja Schema Naming Context

Globális Katalógus (GC) A címtárban történő keresést könnyíti Minden objektumról egy szűkített kivonatot tartalmaz Az eredeti objektumok hozzáférési jogait megörökli Bármely tartományvezérlő lehet GC A bejelentkezéshez kell egy GC kiszolgáló Mező szinten replikálódik Méretezésre ügyelni kell

A Globális Katalógus tartalma A GC minden adatot tartalmaz a saját tartományáról De kivonatos formában tárolja az erdő összes többi tartományának adatait is.

Partíciók Partíció = Windows 2000 tartomány Egy tartományvezérlő egyszerre csak egy tartományt kezelhet Tartomány-altartomány kapcsolat = Trust A Trust kapcsolat tranzitív Ha A megbízik B-ben és B megbízik C-ben, akkor A is megbízik C-ben Egy tartománynak akárhány egyenrangú vezérlője lehet Nincs többé PDC és BDC

Mixed vs Native mode BDC PDC SAM SAM

Windows 2000 DC PDC emulátor Mixed vs Native mode BDC Windows 2000 DC PDC emulátor SAM

Mixed vs Native mode Windows 2000 DC Windows 2000 DC

Névhasználati környezet Naming Context (NC) Régiók az AD adatbázisában Eltérő replikációs szabályok vonatkoznak rájuk Példák: Konfiguráció (az erdőre vonatkozik) Séma (az erdőre vonatkozik) Az erdő tartományai, azaz a partíciók

Telephelyek – 1. Az AD telephelyei azonosak az Exchange és az SMS telephely fogalmával Másként kell replikálni telephelyen kívül és belül Beállítható transzport, költség, ütemezés A telephelyek site linkek segítségével kapcsolódnak egymáshoz Windows 2000 B3-tól a site linkek tranzitívek

Telephelyek - 2. Távoli telephely = lassú a kapcsolat (<10 mbps) Ökölszabályok Egy telephely nem vághat félbe egy IP alhálózatot Egy telephely lehetőleg NE nyúljon át WAN kapcsolatokon Minden telephelyen legyen Global Catalog Server (GC) Minden telephelyen legyen DNS kiszolgáló

Active Directory replikáció

A replikáció céljai Robusztus - multi master Hatékony – tulajdonság szintű, költségérzékeny Rugalmas – többféle transzport, időzítés Könnyen felügyelhető - automatikus topológia generálás

A replikáció alapfogalmai - 1 USN alapú, Multi-master Replikációt kiváltó műveletek Objektum létrehozás, módosítás, mozgatás, törlés Frissítés elsőkézből (originating update) A frissítést egy adott DC kezdeményezte Frissítés másodkézből (replicated update) A frissítést egy replikációs partner (egy másik DC) kezdeményezte Az objektumok törlésekor sírkő keletkezik (nincs azonnali törlés)

A replikáció alapfogalmai - 2 High-watermark vektor Megmondja, hogy kell-e replikálni vele? A replikációs partnerek legmagasabb USN-jeit tartalmazza Up-to-dateness vektor Megmondja, hogy mit kell replikálnom? Naming context-enként A legmagasabb kiinduló USN-eket tartalmazza

Az USN működés közben Új objektum létrehozása Felhasználó felvétele DC1 USN: 4710 USN: 4711 Object: usnCreated : 4711 Object: usnChanged : 4711 Property Value USN Version# Timest. Org. DB GUID Org USN P1: Value 4711 1 TS DC1 DB GUID 4711 P2: Value 4711 1 TS DC1 DB GUID 4711

Az USN működés közben Objektum replikációja DC1 DC2 USN: 1745 USN: 1746 USN: 4711 Object: usnCreated : 1746 Object: usnChanged : 1746 Property Value USN Version# Timest. Org. DB GUID Org USN P1: Value 1746 1 TS DC1 DB GUID 4711 P2: Value 1746 1 TS DC1 DB GUID 4711

Az USN működés közben Tulajdonság módosítása Jelszó váltás DC2 USN: 2001 USN: 2002 Object: usnCreated : 1746 Object: usnChanged : 2002 Property Value USN Version# Timest. Org. DB GUID Org USN P1: Value 1746 1 TS DC1 DB GUID 4711 P2: Value 2002 2 TS DC2 DB GUID 2002

Az USN működés közben ellentétes irányú replikáció Módosított jelszó replikációja DC1 DC2 USN: 5039 USN: 5040 USN: 2002 Object: usnCreated : 4711 Object: usnChanged : 5040 Property Value USN Version# Timest. Org. DB GUID Org USN P1: Value 4711 1 TS DC1 DB GUID 4711 P2: Value 5040 2 TS DC2 DB GUID 2002

Konfliktusok feloldása - 1 Azonos attributumok Pl. a felhasználó jelszavát egymástól függetlenül másra állítják két DC-n Megoldás: nagyobb verzió szám  nagyobb időbélyeg  nagyobb GUID Változás egy már kitörölt tárolóban Pl., A rendszergazda a DC1-en létrehoz egy felhasználót az OU1-ben, de az OU1-et korábban már kitörölte egy másik rendszergazda a DC2-n Megoldás: OU1 törlésre kerül, felhasználó átkerül a “Lost and Found” tárolóba

Konfliktusok feloldása - 2 Objektum név konfliktus Pl., Két rendszergazda azonos néven hoz létre egy-egy felhasználót két DC-n Megoldás: az egyik objektum egy egyedi értéket kap (a GUID-ot hozzáragasztják az eredeti értékhez) Melyik marad eredeti néven? Nagyobb verzió szám  nagyobb időbélyeg  nagyobb GUID

Telephelyen belül (Intra-Site) Telephelyek között (Inter-Site) Replikációs modell Telephelyen belül (Intra-Site) Telephelyek között (Inter-Site) Transzport RPC RPC vagy SMTP Topológia Kettős gyűrű Spanning Tree Időzítés Gyakran Paraméterek szerint Replikációs modell Pull Pull, tárol és továbbít Tömörítés Nincs Van

Topológia generálása Knowledge Consistency Checker (KCC) Helyi művelet, ami minden DC-n 15 percenként fut Feladata a Connection object-ek törlése létrehozása Minden NC szerint egy önálló topológia A konfigurációs és a séma NC azonos topológiát használ Minden tartományi NC-nek önálló Topológia a telephelyek felett alakul ki A telephelyen belül (Intra-Site) minden NC-re egy kettős gyűrű épül fel A telephelyek között (Inter-Site) fa alakul ki A topológia manuálisan módosítható

Telephelyen belüli topológia kialakulása DC1 auto.hu Auto.hu tartomány Naming Context topológia Konfiguráció és Séma Naming Context topológia Connection Object DC2 DC3 DC4

Telephelyen belüli topológia kialakulása DC1 auto.hu auto.hu tartomány Naming Context topológia Konfiguráció és Séma Naming Context topológia DC2 szerviz.auto.hu tartomány Naming Context topológia Szerviz .auto.hu DC1 Connection Object DC2 DC3 DC4

Telephelyen belüli topológia kialakulása DC1 auto.hu auto.hu tartomány Naming Context topológia Konfiguráció és Séma Naming Context topológia DC2 szerviz.auto.hu tartomány Naming Context topológia Szerviz .auto.hu DC1 Connection Object DC2 DC3 DC4

Telephelyek közötti topológia kialakulása auto.hu PK Költség: 70 Időzítés: 4 – 7 között BP Budapest autodc1 Pécs autodc2 PK Kaposvár autodc3 BP Költség: 50 Időzítés: 2 – 5 között Site Link Connection Object

Telephelyek közötti topológia kialakulása auto.hu BP Budapest Pécs PK Kaposvár autodc1 autodc2 BK BK Költség: 120 Időzítés: 4 – 5 között autodc3 Site Link Connection Object

Bevezetés a fizmók világába (FSMO) Flexible Single Master Operation Bizonyos dolgokat nem lehet multi-master replikációval megoldani A szerepkör MMC-vel vagy az NTDSUTIL-lal áthelyezhető 5 FSMO szerepkör 2 az egész erdőre vonatkozik 3 a tartományra (mindegyikre külön-külön) vonatkozik.

Schema Master Az egész erdőre vonatkozik Az a kiszolgáló, amely módosíthatja a sémát Alapértelmezés szerint az erdő elsőnek telepített DC-je Módosítás a Schema Manager snap-in segítségével (ResKit)

Domain Naming Master Az egész erdőre vonatkozik Alapértelmezés szerint az erdő elsőnek telepített DC-je Globális Katalógus kiszolgálón kell, hogy legyen A tartományok alkotta névtérért felel A névtér csak rajta keresztül módosítható Új tartomány létrehozása Meglévő tartomány törlése A későbbiekben: tartomány mozgatása és átnevezése

PDC Advertiser/Emulator Tartományonként egy Ez a szerepkör jelenti a Mixed módot PDC-ként vislekedik a Windows NT 4.0-s BDC és a munkaállomások felé Windows NT Master Browser Ez a gép jelenti a kapcsolatot a régi és az új világ között Mixed mód: dcpromo után ez van. Korlátok: Nincs Universal Group és nem lehet azonos nevű objektum különböző konténerekben.

RID (Relative ID) Master Tartományonként egy Új felhasználók vagy csoportok felvételekor a RID intervallumból ő osztja ki az egyedi azonosítókat Tartományok közötti mozgatások esetén is használják

Infrastructure Daemon Tartományonként egy Más tartományokban lévő objektumokra történő hivatkozásokat kezel, pl. csoport tagok, elmozgatott felhasználók, stb. Lehetőleg ne ez legyen Global Catalog szerver is

A programozható címtár Egységes programozási felület különböző címtárszolgáltatások és az azokat használó alkalmazások számára Bárki írhat címtárszolgáltatót (ld.: Directory Enabled Networks) Bárki írhat a címtárat igénybe vevő üzleti vagy felügyeleti alkalmazást Windows 2000 Server Bindery modul NDS modul NTDS modul LDAP modul Active Directory Services Interface (ADSI) ADSI-kompatíbilis alkalmazások DEN modul NetWare 3.12 Bindery NetWare 4.1x NDS Windows NT NTDS Unix, Notes LDAP Aktív eszközök DEN

A demó belülről... A streetmarket demó részletei Egyéb adminisztratív eszközök Resource Kit Replmon.exe NetDom ADSI Edit Adminpak Schema Manager ADSI példák