Az előadás letöltése folymat van. Kérjük, várjon

Az előadás letöltése folymat van. Kérjük, várjon

R2 AD – Éljenek a rövidítések!

Hasonló előadás


Az előadások a következő témára: "R2 AD – Éljenek a rövidítések!"— Előadás másolata:

1 R2 AD – Éljenek a rövidítések!
Windows 7 | Presenter Mode Tuesday, April 04, 2017 R2 AD – Éljenek a rövidítések! Gál Tamás TechNet szakmai vezető Microsoft Magyarország Microsoft Confidential

2 Windows 7 | Presenter Mode
Tuesday, April 04, 2017 Amit kivesézünk ODJ ADAC + ADWS ADRB Amelyeken átszáguldunk BPA MSA AMA DSRM PS AD FL Microsoft Confidential

3 ODJ Offline Domain Join

4 Offline Domain Join (ODJ)
Mi is ez? Számítógépfiók tartományba léptetésa - a tartományvezérlő elérése nélkül Előnyök A gép már az első indítás közben tartományi tag Kevesebb újraindítás, egyszerűbb tömeges telepítés Feltételek Nincs szükség erdő vagy tartományi működési szint emelésre Nincs szükség Windows Server 2008 R2 DC-re! Elég egy Windows 7 vagy egy WS08 R2 tagkiszolgáló

5 ODJ – szakácskönyv Végy (elő) egy tartományi tag Windows 7 / Windows Server 2008 R2 gépet, és gyártsd le a kérést („blob”)! Végy (pl. otthon) egy új Windows 7 vagy Windows Server 2008 R2 gépet és „húzd rá” a „blob”-ot! Vidd be a gépet a fizikai hálózatba, és kapcsold be - működik rögvest. djoin /provision /domain <target domain> /machine <new machine name> /savefile <filename> djoin /requestODJ /loadfile <filename> /windowspath <path to new machine’s %windir%>

6 ODJ – A „blob” titkai – S01E01
A djoin.exe generálja ezt a fájlt – a tartományban működő gép segítségével Tartalmazza: A leendő új gép nevét, fiók jelszavát A tartomány nevét, GUID-ját, SID-jét Az erdő nevét A közreműködő DC Nevét, címét, attributúmait és a telephelyét Nem igazán titkosított a fájl tartalma Csak base64

7 ODJ – A „blob” titkai – S01E02
Nem jár le az érvényessége A generálás ás a használat közben bármennyi idő eltelhet Csak 1 db jár minden új gépnek Újrahasznosítás nincs Az unattended.xml egy új szakasza támogatja a használatát Egyformán használható fizikai és virtuális gépekhez

8 Próbáljuk ki! ODJ

9 ADAC + ADWS Active Directory Administrative Center + Web Services

10 ADAC - UI PowerShell alapok Feladatorientált Multi-domain Multi-forest
„Vizuális élmény” Hatékony keresés

11 ADAC vs. ADUC: nem helyette, mellette

12 ADAC – királyságok és korlátok
A szűrés alaposan kibővült Jól kombinálhatóak a feltételek Elmenthető nézetek Nem bővíthető a klasszikus módon vö. acctinfo.dll, acctinfo2.dll Nincs drag & drop Nincs RSOP Planning / Logging támogatás NTDS Settings sincs

13 Active Directory Web Services
Automatikusan települ AD DS / AD LDS esetén Port 9389: távoli elérés IIS-t nem igényel Fejlesztőknek jól jöhet Kompatibilitás Letölthető ADMGS WS03 SP2 + WS08 De nem az ADAC-ot vagy a PS-t kapjuk meg! Különbség: DMT példányok használata nem támogatott PowerShell Cmdlets WS-* 9389 ADWS LDAP LDAP LDAP 389 3268 Mounted AD instance AD LDS instance AD / GC

14 Próbáljuk ki! ADAC

15 PS PowerShell for AD

16 PS for AD

17 Próbáljuk ki! Soós Tibor soost@iqjb.hu AD objektumkezelés AD meghajtó
PS Remoting Remoting jogosultsági rendszere Soós Tibor MCT, PowerShell MVP IQSOFT – John Bryce Oktatóközpont

18 Vegyes BPA, MSA, AMA, DSRM PS

19 AD Best Practice Analyzer
XML Schema Validation AD DS BPA PowerShell Script Collects data XML Results document AD DS BPA rule set Analysis AD DS BPA Report BPA Run Time AD DS BPA guidance Nem javítja meg, csak diagnosztizál Server Manager-ből vagy PowerShell-ből indítható Értelemszerűen távolból is

20 AD BPA – egyéb okosságok
Frissítés negyedévenként Microsoft Update Bárki segíthet > connect.microsoft.com/ADBPA Csak helyi vizsgálat (Még) nem bővíthető, azaz... Nem tudunk forgatókönyveket megadni Nem tudjuk a vizsgálat határait, körülményeit változtatni Nem tudjuk a jelentés paramétereit változtatni Csak Windows Server 2008 R2 DC

21 Managed Service Accounts
Szolgáltatásfiók problémák eddig Jelszó változtatás Sokszor kell a tartományi tagság Az MSA megoldja a problémát Új objektum osztály az AD-ban A számítógépfiók „gyereke” 240 karakteres jelszavakkal dolgozik Nem függ sem a szimpla, sem a FGPP jelszóházirendtől A gépfiók jelszavával párhuzamosan változik (alapesetben 30 nap > Csoportházirend) Reset-ADServiceAccountPassword cmdlet manuálisan

22 MSA beizzítás A fiók létrehozása Hozzárendelése a szerverhez
New-ADServiceAccount –Name {MSA name} –Path {directory path} Hozzárendelése a szerverhez Add-ADServiceAccount –Identity {FQDN} -ServiceAccount {MSA} „Telepítése” a helyi szerveren Install-ADServiceAccount –Identity {MSA} A fiókot használó szoftver beállítása Korlátok Egy MSA = egy szerver, ergo nem megosztható Csak Windows 7 vagy Windows Server 2008 R2 SPN automatizmus csak WS08 R2 DFL-től

23 Authentication Mechanism Assurance
Korlátozott hozzáférés Emelt hozzáférés Normál hitelesítés Erős hitelesítés Multifaktoros bejelentkezéssel több jogunk lehet pl. egy fájlmegosztáson, technikailag: Az admin csoportokat linkel a smartcard házirendek alapján Spéci OID a user SmartCard-ján > másik SID > access token > más biztonsági csoport Csak WS08 R2 erdő működési szint és csak Kerberos A szükséges szkriptek letölthetőek set-IssuancePolicyToGroupLink.ps1 get-IssuancePolicy.ps1

24 DSRM Password Sync Mi is ez? Megkötések (restrikciók) Konkrétan
A DC DSRM jelszavának szinkronizálása tetszőleges tartományi felhasználóhoz Megkötések (restrikciók) Csak Windows Server 2008 (QFE) és R2 EGYSZERI művelet, amely azonnal átmásolja a jelszót Nem tartományi, csak helyi (az ntdsutil blokkol) Konkrétan ntdsutil "Set DSRM Password" "Sync from domain account <suitable user> " q q

25 ADRB Active Directory Recycle Bin

26 Active Directory Recycle Bin
Lehetővé teszi bármilyen törölt AD objektum online és teljeskörű visszaállítását Jóval többet ér mint az eddigi módszerek A sírkövezést (és a reanimációt) elfelejthetjük Nem szükséges egy törlés miatt az offline AD állapot Nemcsak részleges visszaállítást tudunk Mérföldkövek az ADRB-ig WS03 alap FL Online reanimáció WS03 Forest FL Linked-value replikáció 2008 R2 Forest FL Recycle Bin W2K Zéró lehetőség

27 ADRB - objektum törlés eddig
Élő objektum „Sírkő” Törlés Szemétgyűjtő (Garbage collection) X Fizikai törlés Sírkő állapot (WS03 SP1 > 180 nap) Offline authoritative restore Az objektum „elköltözik” a „Deleted Objects” konténerbe, és: Láthatatlanná válik a normál AD műveletekben Megkapja a sírkövét (ami replikálódik) Az „isDeleted” attribútum = TRUE, plusz RDN átnevezés A non-link-valued attribútumok jelentős része törlésre kerül A link-valued attribútumoknál meg az összes (pl. csoporttagság) Ezután: 180 nap > Garbage Collection > végleges törlés 1-12 órás ciklusban, 2-60 nap alatt és online defrag jön utána

28 Egy sírkő példa

29 ADRB előtt – Reanimation
LDP-vel, online, nem teljeskörű isDeleted attribútum eltávolítása „distinguishedName” attribútum > „visszanevezés” Visszakapja a GUID-ját és a SID-jét, de: Rengeteg attribútum hiányzik A Configuration NC-ben nincs reanimáció Az ADRestore (Sysinternals) sokkal egyszerűbb, de az eredmény ugyanaz

30 ADRB előtt – Restore DSRM, offline, nem teljeskörű
Mentés kell hozzá :D Ami lehet, hogy elavult A speciális attribútumok egy része (pl. csoporttagság) visszaállítható „Backlink”-ből lesz „Forward link”, de ez függ pl.: Az erdő működési szinttől... ...vagy a csoport És néha 2 AR is kell AD Database Mounting Tool (WS08) Segít, de csak az online ellenőrzésben

31 ADRB - objektum törlés most
Élő objektum Törlés Törölt objektum Deleted object lifetime (180 nap) Online visszaállítás Szemétgyűjtő (Garbage collection) Törölt objektum Szemétgyűjtő (Garbage collection) X Be KELL kapcsolni és NEM lehet kikapcsolni! DOL = TSL = 180 nap  De állítható mindkettő Fizikai törlés Tombstone lifetime (180 nap)

32 Törlés itt és ott WS08 WS08 R2 isDeleted=TRUE
isDeleted=TRUE; isRecycled=NULL lastKnownParent set lastKnownParent, ms-DS-lastKnownRDN set Moved to the DeletedObjects container DN is mangled rDN beyond 128 char would be truncated Hierarchy is effectively flattened All but a few non-linked attributes (e.g. GUID, SID, sidHistory, etc.) are preserved All non-linked attributes are preserved All linked attributes (e.g. member/memberOf) are stripped away All linked attributes are preserved Only visible with ShowDeletedObjects LDAP control Purged after tombstoneLifetime expires Purged after deletedObjectLifetime expires if that value is set, else after tombstoneLifetime expires

33 Visszaállítás itt és ott
WS08 WS08 R2 Delete isDeleted attribute Change DN based on lastKnownParent and mangled DN Change DN based on lastKnownParent and ms-DS-lastKnownRDN Only some non-linked attributes (e.g. GUID, SID, sidHistory, etc.) are restored  import old values from snapshots All non-linked attributes are restored None of the linked attributes (e.g. member/memberOf) are restored  regenerate links using LDIFs from auth restore All linked attributes, even cross-domain links, are restored Tool: ldp.exe Tool: AD PowerShell

34 ADRB - további okosságok
Group Policy, Exchange objektumokra nem támogatott És a reanimation + a restore sem Van viszont direkt törlés is Get-ADObject –Filter {<suitable filter>} –IncludeDeletedObjects | Remove-ADObject Számítsunk a DIT növekedésre De nem egyformán, R2 DC-knél kb % AD LDS-ben is működik Ha minden példány WS08 R2-on fut Sémabővítés > LDIFDE > MS-ADAM-Upgrade-2.LDF

35 Próbáljuk ki! ADRB Soós Tibor soost@iqjb.hu MCT, PowerShell MVP
IQSOFT – John Bryce Oktatóközpont

36 AD FL A működési szintek

37 Működési szintek Az R2 bemutatja a 4. sz. tartomány / erdő működési szintet! És hozzá a séma ldf fájlait!  Egyetlen lényegi változás: a működési szintek visszaállíthatóak! Csak a 3. szintre (Windows 2008) Feltételezve, hogy nem engedélyeztünk olyan újdonságokat, amelyeket blokkolna Ha igen: Disable-ADOptionalFeatures A Recycle Bin viszont NEM letiltható Ezért ha megengedtük, akkor nincs visszaút Nincs UI a visszállításhoz Set-ADDomainMode, Set-ADForestMode cmdlet

38 Mikor melyiket kapom meg?
Kritériumok Elérhető szolgáltatások Egy vagy több Windows 7 kliens vagy Windows Server 2008 R2 tagkiszolgáló Offline Domain Join Managed Service Accounts + Egy vagy több Windows Server 2008 R tartományvezérlő Active Directory Administrative Center PowerShell for Active Directory Module Best Practices Analyzer DSRM Password Sync + Windows Server 2008 R Domain Functional Level Authentication Mechanism Assurance Kibővített MSA-SPN management + Windows Server 2008 R Forest Functional Level Recycle Bin

39 Windows 7 | Presenter Mode
Tuesday, April 04, 2017 Microsoft Confidential

40 Függelék

41 AD BPA – mit is vizsgál? DNS Disaster Recovery Replication Topology
registration & discovery of A/AAAA records Disaster Recovery multiple DCs per domain backup lifetime Replication at least one GC per site KCC enabled Virtual Machine-aware is deemed a Virtual Machine if the Model property of WMI’s WIN32_ComputerSystem object contains the string “Virtual”   Topology FSMO-role assignment and availability of role holder Lingering Objects Strict Replication Consistency Time Service PDC time source Max[POS|NEG]PhaseCorrection limits reduces potential risk of forest-wide time skews/slews

42 ADRB – a törölt objektumok
A megtekintéshez egy LDAP control szükséges (+ az ldp.exe ) A keresésnél kiválasztható WS08 R2 PowerShell + AD modul Get-ADObject –LDAPFilter {} –IncludeDeletedObjects

43 ADRB – tömeges törlés Deleted Objects konténer Objektum visszaállítás
OU=Finance OU=Admins CN=Tom CN=Sally CN=Mark OU=Finance Undelete Deleted Objects konténer Törölt elemek teljes listája RDN csonkolás (<RDN>+DEL:+CHAR(0A)) Linked / non-linked attribútumok megmaradnak lastKnownParent / lastKnownRDN Objektum visszaállítás Csak ha a szülője is megvan Ezért a „tetőről” kezdünk lastKnownXX értékeket használja a hierarchia újraépítésére OU=Admins CN=Tom CN=Sally CN=Mark CN=Deleted Objects OU=Finance\0ADEL:... CN=Mark\0ADEL:… OU=Admins\0ADEL:… CN=Tom\0ADEL:… CN=Sally\0ADEL:… CN=Robert\0ADEL:…


Letölteni ppt "R2 AD – Éljenek a rövidítések!"

Hasonló előadás


Google Hirdetések