Pobieranie prezentacji. Proszę czekać

Pobieranie prezentacji. Proszę czekać

Tomek Onyszko Microsoft Services | W2K.PL. Nowe elementy \ funkcjonalność

Podobne prezentacje


Prezentacja na temat: "Tomek Onyszko Microsoft Services | W2K.PL. Nowe elementy \ funkcjonalność"— Zapis prezentacji:

1 Tomek Onyszko Microsoft Services | W2K.PL

2 Nowe elementy \ funkcjonalność

3 Na początek – architektura …

4 LDAP Web Services S.DS.P / S.DS.AM / S.DS.AD AD PowerShell MUX WCF.NET WPF.NET WCF. NET ADUC/ADSS/ADDTADUC/ADSS/ADDTWSHWSH ADSI LDAP MMCMMC … GUI DS RPC-Based Protocols … DRSSAM CLI Active Directory Core DS RPC-Based Protocols … … DRS SAM Administrative Center GUI BPA

5 … a teraz - funkcjonalność

6

7 Po co to? Pozwala na pełne dodanie klienta do domeny bez kontaktu z kontrolerem domenyZalety Możliwość aplikacji na VHD Maszyna dołączana do sieci nie musi posiadać połączenia sieciowego Jednak jeżeli nie ma cached credentials na stacji połączenie może się przydać Wymagania BRAK zależności od poziomu lasu \ domeny NIE WYMAGA kontrolera domeny 2008 R2 WYMAGA klienta Windows 7 lub Windows Server 2008 R2 Offline Domain Join (ODJ)

8 ODJ – jak to działa? Polecenie DJOIN.exe przejmuje poświadczenia potrzebne do wykonania operacji i tworzy plik plik zawiera Informacje o maszynie Nazwę, hasło Informacje o docelowej domenie Nazwa, GUID, SID Informacje o lesie Nazwę Informację o pomocniczym DC Nazwę, adres, informację o lokacji

9 ODJ – co należy pamiętać Tworzony jest jeden plik dla maszyny NIE MOGĄ być użyte ponownie Zawartość pliku nie jest szyfrowana (base64) Zawiera hasło w zasadzie w czystym tekście Należy je chronić przed przejęciem Wygenerowane pliki nie mają czasu życia

10 1. Zainstalować nową maszynę Win 7 lub R2 2. Zamknąć system operacyjny nowej maszyny, uzyskać dostęp do jej dysku 3. Na innej maszynie dołączonej do domeny wykonać polecenie (z odpowiednimi uprawnieniami) – 4. Włączyć system operacyjny nowego klienta ODJ – jak to zrobić? djoin /provision /domain /machine /savefile djoin /requestODJ /loadfile /windowspath

11

12 Co to? Web Services nasłuchująca na porcie TCP/9389 Dostępna dla usługi katalogowej (DS) i Lightweight Directory Services (LDS) Zbudowana w oparciu o protokoły WS-* i WCF WS-Enum, WS-Transfer, IMDA Podstawa dla przyszłych interfejsów programistycznych Do zapamiętania Uzupełnienie interfejsów LDAP i RPC dla zarządzania Wykrywana przez klienta poprzez proces lokatora – LDAP Ping (skalowanie) Nie wymaga instalacji IIS na DC AD Web Services (ADWS)

13 ADWS Wymagania Kontroler domeny Windows Server 2008 R2 Domain Controller lub instancja AD LDS Wsparcie dla Windows Server 2003 i 2008 Active Directory Management Gateway (ADMG) - uaktualnienie OOB Musi działać lokalnie na DC lub instancji LDS Wymagane wdrożenie na odpowiedniej liczbie DC Wymagane na DC dla każdego NC zarządzanego przez mechanizmy ADWS

14

15 Co to? PowerShell for Active Directory Module to zestaw poleceń PowerShell przeznaczonych do zarządzania AD i AD LDS Interfejs administracyjny, dostęp do konfiguracji i do zapytań Po co? Podstawa pod przyszłe mechanizmy zarządzania katalogiem De-facto standard zarządzania w środowisku Windows ServerWymagania Windows 7 lub Windows Server 2008 R2 PowerShell 2.0 ADWS (lub ADMG) na zarządzanym DC(s) Cmdlety z modułu nie używają LDAP Moduł PowerShell

16 PowerShell dla AD Instalowany poprzez Server Manager / Windows Server 2008 R2s DCpromo Remote Server Admin Tools dla Windows 7 client (RSAT) Moduł rozszerzający PowerShell PS C:\> import-module ActiveDirectory PS C:\> Get-Command -module ActiveDirectory ~90 cmdlet dla AD i AD LDS PowerShell Provider dla Active Directory

17 Moduł PowerShell dla Active Directory demo

18

19 Co to? Analizuję konfiguracje usługi i wskazuje odstępstwa od best practices Wskazuje rozwiązania problemów Nie wykonuje modyfikacji \ akcji naprawczych samodzielnie Jak? Skan uruchamiany poprzez Server Manager lub PowerShell Loklanie lub zdalnie Skanowanie manualny (task scheduler) Skan wykonywany lokalnie na DC Nie skanuje całego środowiska katalogu Wymaga Windows 2008 R2 (tylko R2 !!!) Kwartalne uaktualnienia dla BPA dostępne będą przez Windows Update Best Practice Analyzer (BPA)

20 BPA – uruchomienie skanu … Server Manager … PowerShell Import-Module BestPractices Invoke-BPAmodel Microsoft\Windows\DirectoryServices Get-BPAresult Microsoft\Windows\DirectoryServices

21 DNS Rejestracja i rozwiązanie rekordów A/AAAA Disaster Recovery Ilość DC \ domena Czas życia kopii zapasowychReplication Co najmniej 1 GC \ site Stan KCC Informacje dla VMs BPA – co jest sprawdzane (RTM) Topologia Rozmieszczenie i dostępność DC z rolami FSMO Lingering Objects Stan Strict Replication Consistency Time service PDC time source Wartości graniczne Max[POS|NEG]PhaseCorrection

22 Best Practices Analyzer demo

23

24 Co to? Pozwala na odzyskanie skasowanego obiektu w jego oryginalnym kształcie z wszystkimi wartościami Główna zaleta – linki pozostają nienaruszone po skasowaniu obiektu Dodatkowy stan linku \ kolumna w bazie danych (link_deActiveTime) Po co? Pełna możliwość odzyskania obiektu bez użycia kopii zapasowej Wyeliminowanie obiektów tombstone z procesu odtworzeniaWymagania Poziom lasu 4 (WIN2008R2) Zmiana procesu usuwania fantomów w danych Włączenie funkcjonalności w katalogu Recycle Bin

25 Tombstone Object Windows Server bez Recycle Bin Windows Server bez Recycle Bin Garbage Collection Brian Auth Restore/ Odzyskanie Skasowanie Tombstone Lifetime 180 dni Recycled Object Deleted Object Windows Server z włączonym Recycle Bin Windows Server z włączonym Recycle Bin Garbage Collection Skasowanie Odzyskanie Deleted Object Lifetime 180 dni Recycled (Tombstone) Object Lifetime 180 dni Brian Żywot Briana (jako obiektu)

26 Żywot Briana c.d. Brian Deleted Object Recycled Object Tombstone Object 180 Days 180 dni Garbage collection Brian Windows Server 2008 Windows Server 2008 R2 - z włączonym Recycle Bin LDAP OID LDAP OID Zwraca Tombstones Zwraca Deleted i Recycled Zwraca Deleted

27 Wpływ na DIT Pierwszy DC generuje ruch replikacyjny isRecycled = True dla wszystkich skasowanych obiektów Wzrost wielkości DIT 5-10% na start, następnie zależny od użycia Dostępy jako dodatkowa funkcja Pierwsza (jak dotąd jedyna) implementacja optional feature Włączana poprzez modyfikację atrybutu katalogu (Powershell lub LDAP) Enable-ADOptionalFeature Recycle Bin Feature –Scope ForestOrConfigurationSet –Target {docelowy DC lub instancja LDS} Zmiany w katalogu Po ustawienia isRecycled, blokowane jest odzyskanie tombstone Możliwe poprzez dodatkową opcje NTDSUTIL.EXE Recycle Bin – trzeba wiedzieć

28 Optional features CN=Optional Features, CN=Directory Service, CN=Windows NT, CN=Services, CN=Configuration, DC=W2K,DC=PL Recycle Bin objectClass: msDS-OptionalFeature msDS-OptionalFeatureFlags: FOREST_OPTIONAL_FEATURE msDS-OptionalFeatureGuid: 766ddcd8- acd0-445e-f3b9-a7f9b6744f2a msDS-RequiredForestBehaviorVersion: DS_BEHAVIOR_WIN7 CN=Partitions, CN=Configuration, DC=W2K,DC=PL msDS-EnabledFeature msDS-EnabledFeatureBL

29 Recycle bin – warto wiedzieć Czas życia obiektów: Atrybuty CN=Directory Services,cn=Windows NT… msDS-DeletedObjectLifetime (DOL) tombstoneLifetime (TSL, ROL) Domyślnie DOL == ROL == 180 dni Każdy z nich może mieć inną wartość Czas życia kopii zapasowych MIN (DOL, ROL) Dotyczny kopii zapasowych i IFM Nie wolno odzyskiwać obiektów w stanie RECYCLED

30 Recycle Bin – odtwarzanie Brak GUI PowerShell lub LDAP Deleted Objects Płaska lista obiektów Zmieniony RDN ( +DEL:+CHAR(0A)) Zachowane wszystkie atrybuty (linki) Wypełnione lastKnownParent and lastKnownRDN Obiekt MUSI być odtwarzany do istniejącego rodzica Odtworzenie obiektów top-down OU=Finanse OU=Admins CN=Tom CN=Sally CN=Mark CN=Deleted Objects OU=Admins\0ADEL:… CN=Tom\0ADEL:… CN=Sally\0ADEL:… CN=Mark\0ADEL:… OU=Finanse\0ADEL:... Delete Undelete OU=Finanse OU=Admins CN=Tom CN=Sally CN=Mark CN=Robert\0ADEL:…

31 Recycle Bin demo

32

33 Co to? Nowa klasa podmiotów bezpieczeństwa (security principal) Przewidziana do użycia przez usługi Zastępstwo dla standardowych kont serwisowych Dostarczają mechanizmów automatycznego zarządzania hasłami Do zapamiętania Można używać tylko jednego MSA per usługa \ serwer Nie można współdzielić jednego MSA na różnych maszynach Wymaga Windows 7 lub Windows 2008 R2 Managed Service Accounts (MSA)

34 Hasła MSA Generowane przez system operacyjny Skomplikowane hasła z dużą entropią Długość hasła: 240 bajtów Zmieniane zgodnie z ustawieniem NETLOGON MaximumPasswordAge Zarządzanie manualne hasłem PS C:\> reset-ADServiceAccountPassword PS C:\> nltest /sc_change_pwd: Hasła MSA Nie podlegają domenowej polityce haseł Nie podlegają mechanizmom FGPP MSA – zarządzanie hasłami

35 1. Utworzenie MSA PS C:\> New-ADServiceAccount –Name {nazwa} –Path {ścieżka w DS} 2. Przypisanie MSA do serwera Add-ADServiceAccount –Identity {FQDN} -ServiceAccount {MSA} 3. Instalacja MSA na lokalnym systemie Install-ADServiceAccount –Identity {MSA} MSA – krótka ściąga

36

37

38 Podsumowując

39 Windows 2008 R2 to … … ewolucja a nie rewolucja Nowe funkcje Nowe mechanizmy zarządzania PowerShell AD AC, BPA … zmiany będące podstawą dla dalszego rozwoju usługi AD Web Service Optional features

40 Funkcjonalność a wymagania

41 … i ewentualnie odpowiedzi Pytania …

42 Dziękuję !!!


Pobierz ppt "Tomek Onyszko Microsoft Services | W2K.PL. Nowe elementy \ funkcjonalność"

Podobne prezentacje


Reklamy Google