Előadást letölteni
Az előadás letöltése folymat van. Kérjük, várjon
1
Active Directory, a Windows 2000 új címtára
Szalontay Zoltán, Tarsoly Balázs rendszermérnökök Microsoft Magyarország
2
A „Windows 2000” kihívásai A Windows 2000 sokkal több, mint a Windows NT egy újabb verziója Egy új operációs rendszer, amelynek rengeteg új szolgáltatása van Összetett, nagy és „sokkoló” A szakmának időben fel kell készülnie annak érdekében, hogy képes legyen Windows 2000 alapú rendszereket tervezni és üzemeltetni A feladat nehéz, de nem lehetetlen
3
Önök egy sorozatot látnak...
Active Directory, a Windows 2000 új címtára Felhasználó és szoftver menedzsment Biztonsági szolgáltatások a Windows 2000-ben A Windows 2000 infrastruktúrális szolgáltatásai A Windows 2000 mint alkalmazás kiszolgáló A Windows 2000 telepítése és üzembehelyezése A Windows 2000 NetWare és UNIX környezetben
4
Miről lesz szó? Ismerkedjünk meg az Active Directoryval! (Demó)
Az Active Directory alapfogalmai és működése És hogy néz ki mindez belülről???
5
Mi az a címtár? „Directory”
Információ forrás, telefonkönyv, könyvtárrendszer Egy elosztott rendszer erőforrásainak információit egy központi helyen tárolja Felhasználói adatok, Számítógépek, nyomtatók, stb. Alkalmazások egyéb adatai Növeli a biztonságot Minden egy helyen: kevesebb a kiskapu A címtár megléte önmagában még nem garancia! A címtár nem csak az adminisztrátorok játéka A felhasználók és az alkalmazások is hasznát vehetik Ne keverjük a címtár és a biztonságos hozzáférés fogalmát, mert egy jó címtár működhet alacsony biztonsági szinten is. A címtár egy fontos szempont: mert egy helyen tárolja az összes fontos adatot, de pl. Az AD-nál is a Kerberos és a smartcard támogatás miatt lesz a rendszer biztonságos.
6
Az Active Directory jellemzői
Hierarchikus, kiterjeszthető névtér (séma) Több mesterpéldányt használó (multimaster) replikáció Szervezeti szintű, globális katalógus X.500 szabványon alapul DNS alapú erőforrás-elérés LDAP v3.0 alapú adatkezelés Integráció a védelmi alrendszerrel, a hálózattal és a kezelőfelülettel A Windows NT 4.0 címtára elosztott (PDC-BDC), kiterjeszthető (Terminal Server, GSNW), particionálható (domain-ek), de nem hierarchikus. Az AD egy X.500 alapú címtár, azaz követi a szabványt a belső hierarchia leírásánál. A hozzáférési protokoll a DAP könnyített verziója az LDAP v3, amely funkciókban 90 százalékot biztosít a DAP költségeinek 10%-áért. A locator szervizként (erőforrások visszakeresése, azonosítása) a DNS-t használja. Azt a DNS-t ami már 20 éve meghatározza azt, miként találunk meg erőforrásokat az Interneten.
7
Az Active Directory jellemzői (folytatás)
Nagy teljesítményű adatbázis Skálázható (40 millió objektumig tesztelve) Többszörösen, röptében indexelt Partícionált (tartományok) Megbízható (mentés, tranzakciós napló) Nyilvános séma objektum A séma a címtárban foglal helyet Hatékony replikáció Objektum helyett tulajdonság szintű Időkülönbségek helyett frissítési sorszámok (USN) Olvasásra optimalizált. Egy címtár olvasás/írás aránya tipikusan 9 az 1-hez.
8
Mire jó az Active Directory?
Felhasználók Fiók info Jogosultság Házirend Ügyfelek Mgmt profil Hálózati paraméter Kiszolgálók Szolgáltatás Nyomtató Megosztás Active Directory Központi MGMT Felhasználók Erőforrások Biztonság Delegáció Házirend Más címtárak Yellow pages Elektornikus kereskedelem Portálok Hálózati eszközök Konfiguráció QoS Cisco CNS/AD Biztonság Hálózati kiszolgálók Migráció Szinkronizáció Single Sign-On Internet Tűzfal szolgáltatás Konfiguráció VPN beállítások Szerverek Postafiók info Címlista Disztribúciós lista Alkalmazások Szerver konfig. Single Sign-On Alkalmazás specifikus információk
9
A címtárak alapfogalmai
Objektum Organization Unit Tartományok és altartományok Erdő Séma Globális katalógus Névhasználati környezet Partíció
10
Objektum A címtár elemi egysége Tulajdonságok Metódusok
Előre definiált objektumok User User Group (nem azonos az Organizational Unit-tal) Computer, Domain Controller Printer, File share
11
Organizational Unit Az adatok struktúrált tárolását segíti
Objektumokat vagy más tárolókat tartalmaz Segíti az elosztott adminisztrációt 12-es mélységben ágyazható egymásba, de 3 fölé ne menjünk
12
Tartomány Az AD egy partíciója
A partíción belüli adatokért a tartomány verzérlői (DC) felelősek A tartomány tartalmazza az OU-k fastruktúráját Az AD önálló adminisztratív egysége Az OU-k tulajdonságai csak a tartományokon belül öröklődnek
13
Az Active Directory kettős fastruktúrája
Több tartomány: Elosztott felügyelet Egy tartomány: Központi felügyelet A tartományok fát alkotnak. A központi adminisztrációt segíti. Legalább egy tartományvezérlő tartományonként.
14
A kettős fastruktúra jelölése
15
Mit kell tudnia a DNS-nek?
Szükséges Server Record, RFC-2052 Dinamikus frissítés Javasolt Titkosított zóna transzfer Jó, ha van Inkrementális zóna transzfer, RFC-1995 Értesítés a változásról, RFC-1996 Negatív caching, RFC-2308 BIND től felfelé O.K. Elfelejthetjük a NetBIOS-t (WINS-t) ? Dynamic update: W2K Pro magától tudja, a többinél az új DHCP Server megteszi helyettük. A DNS dinamikus frissítésére a Dcpromo-nál mindenképpen szükség van, hiszen ekkor kerülnek be a GUID-ok a zóna fájlba.
16
Erdő Nem folyamatos névtér Közös felügyelet Közös séma
Közös Globális Katalógus auto.hu Bicikli.hu szerviz.auto.hu Szerviz.bicikli.hu Budapest.szerviz.auto.hu fa fa
17
Séma Az objektumok tulajdonságait leíró adatbázis
Az Active Directory ezt is a címtárban tárolja Schema Naming Context
18
Globális Katalógus (GC)
A címtárban történő keresést könnyíti Minden objektumról egy szűkített kivonatot tartalmaz Az eredeti objektumok hozzáférési jogait megörökli Bármely tartományvezérlő lehet GC A bejelentkezéshez kell egy GC kiszolgáló Mező szinten replikálódik Méretezésre ügyelni kell
19
A Globális Katalógus tartalma
A GC minden adatot tartalmaz a saját tartományáról De kivonatos formában tárolja az erdő összes többi tartományának adatait is.
20
Partíciók Partíció = Windows 2000 tartomány
Egy tartományvezérlő egyszerre csak egy tartományt kezelhet Tartomány-altartomány kapcsolat = Trust A Trust kapcsolat tranzitív Ha A megbízik B-ben és B megbízik C-ben, akkor A is megbízik C-ben Egy tartománynak akárhány egyenrangú vezérlője lehet Nincs többé PDC és BDC
21
Mixed vs Native mode BDC PDC SAM SAM
22
Windows 2000 DC PDC emulátor
Mixed vs Native mode BDC Windows 2000 DC PDC emulátor SAM
23
Mixed vs Native mode Windows DC Windows DC
24
Névhasználati környezet Naming Context (NC)
Régiók az AD adatbázisában Eltérő replikációs szabályok vonatkoznak rájuk Példák: Konfiguráció (az erdőre vonatkozik) Séma (az erdőre vonatkozik) Az erdő tartományai, azaz a partíciók
25
Telephelyek – 1. Az AD telephelyei azonosak az Exchange és az SMS telephely fogalmával Másként kell replikálni telephelyen kívül és belül Beállítható transzport, költség, ütemezés A telephelyek site linkek segítségével kapcsolódnak egymáshoz Windows 2000 B3-tól a site linkek tranzitívek
26
Telephelyek - 2. Távoli telephely = lassú a kapcsolat (<10 mbps)
Ökölszabályok Egy telephely nem vághat félbe egy IP alhálózatot Egy telephely lehetőleg NE nyúljon át WAN kapcsolatokon Minden telephelyen legyen Global Catalog Server (GC) Minden telephelyen legyen DNS kiszolgáló
27
Active Directory replikáció
28
A replikáció céljai Robusztus - multi master
Hatékony – tulajdonság szintű, költségérzékeny Rugalmas – többféle transzport, időzítés Könnyen felügyelhető - automatikus topológia generálás
29
A replikáció alapfogalmai - 1
USN alapú, Multi-master Replikációt kiváltó műveletek Objektum létrehozás, módosítás, mozgatás, törlés Frissítés elsőkézből (originating update) A frissítést egy adott DC kezdeményezte Frissítés másodkézből (replicated update) A frissítést egy replikációs partner (egy másik DC) kezdeményezte Az objektumok törlésekor sírkő keletkezik (nincs azonnali törlés)
30
A replikáció alapfogalmai - 2
High-watermark vektor Megmondja, hogy kell-e replikálni vele? A replikációs partnerek legmagasabb USN-jeit tartalmazza Up-to-dateness vektor Megmondja, hogy mit kell replikálnom? Naming context-enként A legmagasabb kiinduló USN-eket tartalmazza
31
Az USN működés közben Új objektum létrehozása
Felhasználó felvétele DC1 USN: 4710 USN: 4711 Object: usnCreated : 4711 Object: usnChanged : 4711 Property Value USN Version# Timest. Org. DB GUID Org USN P1: Value 4711 1 TS DC1 DB GUID 4711 P2: Value 4711 1 TS DC1 DB GUID 4711
32
Az USN működés közben Objektum replikációja
DC1 DC2 USN: 1745 USN: 1746 USN: 4711 Object: usnCreated : 1746 Object: usnChanged : 1746 Property Value USN Version# Timest. Org. DB GUID Org USN P1: Value 1746 1 TS DC1 DB GUID 4711 P2: Value 1746 1 TS DC1 DB GUID 4711
33
Az USN működés közben Tulajdonság módosítása
Jelszó váltás DC2 USN: 2001 USN: 2002 Object: usnCreated : 1746 Object: usnChanged : 2002 Property Value USN Version# Timest. Org. DB GUID Org USN P1: Value 1746 1 TS DC1 DB GUID 4711 P2: Value 2002 2 TS DC2 DB GUID 2002
34
Az USN működés közben ellentétes irányú replikáció
Módosított jelszó replikációja DC1 DC2 USN: 5039 USN: 5040 USN: 2002 Object: usnCreated : 4711 Object: usnChanged : 5040 Property Value USN Version# Timest. Org. DB GUID Org USN P1: Value 4711 1 TS DC1 DB GUID 4711 P2: Value 5040 2 TS DC2 DB GUID 2002
35
Konfliktusok feloldása - 1
Azonos attributumok Pl. a felhasználó jelszavát egymástól függetlenül másra állítják két DC-n Megoldás: nagyobb verzió szám nagyobb időbélyeg nagyobb GUID Változás egy már kitörölt tárolóban Pl., A rendszergazda a DC1-en létrehoz egy felhasználót az OU1-ben, de az OU1-et korábban már kitörölte egy másik rendszergazda a DC2-n Megoldás: OU1 törlésre kerül, felhasználó átkerül a “Lost and Found” tárolóba
36
Konfliktusok feloldása - 2
Objektum név konfliktus Pl., Két rendszergazda azonos néven hoz létre egy-egy felhasználót két DC-n Megoldás: az egyik objektum egy egyedi értéket kap (a GUID-ot hozzáragasztják az eredeti értékhez) Melyik marad eredeti néven? Nagyobb verzió szám nagyobb időbélyeg nagyobb GUID
37
Telephelyen belül (Intra-Site) Telephelyek között (Inter-Site)
Replikációs modell Telephelyen belül (Intra-Site) Telephelyek között (Inter-Site) Transzport RPC RPC vagy SMTP Topológia Kettős gyűrű Spanning Tree Időzítés Gyakran Paraméterek szerint Replikációs modell Pull Pull, tárol és továbbít Tömörítés Nincs Van
38
Topológia generálása Knowledge Consistency Checker (KCC)
Helyi művelet, ami minden DC-n 15 percenként fut Feladata a Connection object-ek törlése létrehozása Minden NC szerint egy önálló topológia A konfigurációs és a séma NC azonos topológiát használ Minden tartományi NC-nek önálló Topológia a telephelyek felett alakul ki A telephelyen belül (Intra-Site) minden NC-re egy kettős gyűrű épül fel A telephelyek között (Inter-Site) fa alakul ki A topológia manuálisan módosítható
39
Telephelyen belüli topológia kialakulása
DC1 auto.hu Auto.hu tartomány Naming Context topológia Konfiguráció és Séma Naming Context topológia Connection Object DC2 DC3 DC4
40
Telephelyen belüli topológia kialakulása
DC1 auto.hu auto.hu tartomány Naming Context topológia Konfiguráció és Séma Naming Context topológia DC2 szerviz.auto.hu tartomány Naming Context topológia Szerviz .auto.hu DC1 Connection Object DC2 DC3 DC4
41
Telephelyen belüli topológia kialakulása
DC1 auto.hu auto.hu tartomány Naming Context topológia Konfiguráció és Séma Naming Context topológia DC2 szerviz.auto.hu tartomány Naming Context topológia Szerviz .auto.hu DC1 Connection Object DC2 DC3 DC4
42
Telephelyek közötti topológia kialakulása
auto.hu PK Költség: 70 Időzítés: 4 – 7 között BP Budapest autodc1 Pécs autodc2 PK Kaposvár autodc3 BP Költség: 50 Időzítés: 2 – 5 között Site Link Connection Object
43
Telephelyek közötti topológia kialakulása
auto.hu BP Budapest Pécs PK Kaposvár autodc1 autodc2 BK BK Költség: 120 Időzítés: 4 – 5 között autodc3 Site Link Connection Object
44
Bevezetés a fizmók világába (FSMO)
Flexible Single Master Operation Bizonyos dolgokat nem lehet multi-master replikációval megoldani A szerepkör MMC-vel vagy az NTDSUTIL-lal áthelyezhető 5 FSMO szerepkör 2 az egész erdőre vonatkozik 3 a tartományra (mindegyikre külön-külön) vonatkozik.
45
Schema Master Az egész erdőre vonatkozik
Az a kiszolgáló, amely módosíthatja a sémát Alapértelmezés szerint az erdő elsőnek telepített DC-je Módosítás a Schema Manager snap-in segítségével (ResKit)
46
Domain Naming Master Az egész erdőre vonatkozik
Alapértelmezés szerint az erdő elsőnek telepített DC-je Globális Katalógus kiszolgálón kell, hogy legyen A tartományok alkotta névtérért felel A névtér csak rajta keresztül módosítható Új tartomány létrehozása Meglévő tartomány törlése A későbbiekben: tartomány mozgatása és átnevezése
47
PDC Advertiser/Emulator
Tartományonként egy Ez a szerepkör jelenti a Mixed módot PDC-ként vislekedik a Windows NT 4.0-s BDC és a munkaállomások felé Windows NT Master Browser Ez a gép jelenti a kapcsolatot a régi és az új világ között Mixed mód: dcpromo után ez van. Korlátok: Nincs Universal Group és nem lehet azonos nevű objektum különböző konténerekben.
48
RID (Relative ID) Master
Tartományonként egy Új felhasználók vagy csoportok felvételekor a RID intervallumból ő osztja ki az egyedi azonosítókat Tartományok közötti mozgatások esetén is használják
49
Infrastructure Daemon
Tartományonként egy Más tartományokban lévő objektumokra történő hivatkozásokat kezel, pl. csoport tagok, elmozgatott felhasználók, stb. Lehetőleg ne ez legyen Global Catalog szerver is
50
A programozható címtár
Egységes programozási felület különböző címtárszolgáltatások és az azokat használó alkalmazások számára Bárki írhat címtárszolgáltatót (ld.: Directory Enabled Networks) Bárki írhat a címtárat igénybe vevő üzleti vagy felügyeleti alkalmazást Windows 2000 Server Bindery modul NDS modul NTDS modul LDAP modul Active Directory Services Interface (ADSI) ADSI-kompatíbilis alkalmazások DEN modul NetWare 3.12 Bindery NetWare 4.1x NDS Windows NT NTDS Unix, Notes LDAP Aktív eszközök DEN
51
A demó belülről... A streetmarket demó részletei
Egyéb adminisztratív eszközök Resource Kit Replmon.exe NetDom ADSI Edit Adminpak Schema Manager ADSI példák
Hasonló előadás
© 2024 SlidePlayer.hu Inc.
All rights reserved.