Tomek Onyszko Microsoft Services | W2K.PL

Slides:



Advertisements
Podobne prezentacje
Longhorn Academy - AD Warszawa, 12 kwietnia 2007
Advertisements

Polityki kontroli w Windows Server 2008
Usługa Active Directory
Jarosław Kurek WZIM SGGW
Jarosław Kurek WZIM SGGW
Co to jest DNS i jak działa?
Podstawowe pojęcia związane z Active Directory
Sieci komputerowe Wstęp Piotr Górczyński 20/09/2003.
Rozwiązania Quest dla zarządzania Windows
WEB SERVICE Stefan Rutkowski.
Microsoft Professional Developer Days 2004
Microsoft Windows 2000 dla Administratora. Podstawowe możliwości Wielojęzyczność Wielojęzyczność Usprawnienia interfejsu użytkownika Usprawnienia interfejsu.
ADAM Active Directory w trybie aplikacyjnym
Środowisko Windows 2000.
Administrator w środowisku Windows Agenda Wstęp Wstęp Active Directory – Administracja użytkownikami i zasobami Active Directory – Administracja.
Uwierzytelnianie i autoryzacja dostępu do portali
SIECI KOMPUTEROWE (SieKom) PIOTR MAJCHER WYŻSZA SZKOŁA ZARZĄDZANIA I MARKETINGU W SOCHACZEWIE Zarządzanie.
SIECI KOMPUTEROWE (SieKom) PIOTR MAJCHER WYŻSZA SZKOŁA ZARZĄDZANIA I MARKETINGU W SOCHACZEWIE PODSTAWOWE.
Microsoft Exchange Server 2003 Obieg dokumentów
Obsługa serwera zdalnego przez klienta FTP
Proxy (WWW cache) Sieci Komputerowe
Program Windows Server Update Services WSUS
IIS 6 i PHP na serwerze Windows 2003 EE
Usługa Windows Server Update Services (WSUS)
Longhorn - Usługi terminalowe
Microsoft Serwer - wprowadzenie
Przegląd zagadnień Struktura sieci systemu Windows 2003
Novell Account Management 3.0
ACTIVE DIRECTORY Definicja Active Directory.
PRACA W DOMENIE Różnice użytkowe między pracą w domenie i grupie roboczej. 1. Ekran logowania. - wciśnięcie klawiszy [Ctrl+Alt+Delete], a następnie podanie.
SIEĆ P2P 1. Definicja sieci równouprawnionej. To taka sieć, która składa się z komputerów o takim samym priorytecie ważności, a każdy z nich może pełnić.
Dariusz Korzun.
Błażej Miśkiewicz Grupa domowa w Windows 7 Błażej Miśkiewicz MCT MCP MCSA MCTS MCITP.
Drukarki w Windows 7/Windows Server 2008 R2
Windows 8 … czas na zmiany
Active Directory Domain Controler (AD DC)
Moduł 3: Zarządzanie grupami
Zarządzanie dostępem do zasobów
Konfiguracja kont w programie Adobe Dreamweaver
Zarządzanie użytkownikami i praca w sieci lokalnej
WSPARCIE DLA BIZNESU / STR. 2 Mikołaj Gomółka UpGreat Systemy Komputerowe Sp. z o.o Poznań, ul Ostrobramska 22 Tel Faks: 0-61.
za pomocą wiersza poleceń
Ups, właśnie skasowałem to konto
Wirtualna baza SQL zgodna z SQL Server SQL as a Service
Tworzenie nowych kont lokalnych i domenowych, oraz zarządzanie nimi
Mariusz Maleszak MCP | MCTS | MCITP | MCT
Prezentacja i szkolenie
Rozdział 1: Wprowadzenie do systemu Windows 2000 i podstaw sieci
Co nowego w klastrach Windows Server 8
Wykonywanie kopii bezpieczeństwa danych
Sieć oparta o serwer Ubuntu 12.10
System synchronizacji oraz współdzielenia plików pomiędzy wieloma użytkownikami oraz urządzeniami poprzez sieć Internet Rafał Olszewski Promotor: Mgr inż.
Administrowanie serwerem sieci lokalnej
Konfiguracja VPN Klienta – Windows 7
Konfiguracja VPN Serwera – Windows 7
Active Directory Federation Services w Windows Server 2012 R2
Uprawnienia w Windows Server
1. Logowanie z usługą Active Directory. a) logowanie do domeny Windows 2003 Server odbywa się znacznie szybciej niż w poprzednich wersjach. b) nie ma odwołania.
Piotr Czapiewski Wydział Informatyki ZUT. Web Services Description Language.
 Dla studentów, którzy posiadają dostęp do msdn AA dostępny jest Windows Server 2008 Elms.pjwstk.edu.pl.
Optymalna konfiguracja Microsoft SQL Server 2014
Informatyka – szkoła gimnazjalna – Scholaris - © DC Edukacja Tworzenie stron WWW w programie Microsoft FrontPage Informatyka.
Joanna Ziembicka.  Administratorzy mogą przypisywać kontom grup lub kontom poszczególnych użytkowników specjalne prawa. Prawa te upoważniają użytkowników.
Prezentacja na temat: Narzedzia do naprawy systemu.
Instalacja i konfiguracja kontrolera domeny. Jest to komputer, na którym uruchomiono usługę Active Directory W małej sieci wystarczy jeden kontroler w.
BVMS 5.5 Blok 2-Moduł 7: Konfiguracja SNMP
Sponsorzy: Media:. Sponsorzy: Media: MBUM 9/11/2017 Mikrotik Beer User Meeting Integracja uwierzytelniania tunelu L2TP/IPsec z Microsoft Active Directory.
PODSTAWOWE ZARZĄDZANIE KOMPUTERAMI Z SYSTEMEM WINDOWS
Aplikacje i usługi internetowe
Zapis prezentacji:

Tomek Onyszko Microsoft Services | W2K.PL 3/28/2017 5:45 AM Windows Community Launch Windows 2008 R2 a usługa katalogowa Tomek Onyszko Microsoft Services | W2K.PL © 2007 Microsoft Corporation. All rights reserved. Microsoft, Windows, Windows Vista and other product names are or may be registered trademarks and/or trademarks in the U.S. and/or other countries. The information herein is for informational purposes only and represents the current view of Microsoft Corporation as of the date of this presentation. Because Microsoft must respond to changing market conditions, it should not be interpreted to be a commitment on the part of Microsoft, and Microsoft cannot guarantee the accuracy of any information provided after the date of this presentation. MICROSOFT MAKES NO WARRANTIES, EXPRESS, IMPLIED OR STATUTORY, AS TO THE INFORMATION IN THIS PRESENTATION.

Nowe elementy \ funkcjonalność Offline Domain Join (ODJ) Best Practices Analyzer (BPA) Administrative Center (ADAC) Web Services (ADWS) Managed Service Accounts (MSA) Authentication Mechanism Assurance (AMA) Powershell for Active Directory Module Recycle Bin

Na początek – architektura …

Windows Server 2008 Windows Server 2008 R2 ADUC/ADSS/ADDT WSH ADSI LDAP MMC … GUI DS RPC-Based Protocols DRS SAM CLI Windows Server 2008 R2 Klient Administrative Center GUI BPA AD PowerShell MUX WCF .NET WPF Serwer WCF .NET Web Services .NET S.DS.P / S.DS.AM / S.DS.AD DS RPC-Based Protocols … DRS SAM LDAP Active Directory Core

… a teraz - funkcjonalność

Offline Domain Join (ODJ) Best Practices Analyzer (BPA) Administrative Center (ADAC) Web Services (ADWS) Managed Service Accounts (MSA) Authentication Mechanism Assurance (AMA) Powershell for Active Directory Module Recycle Bin

Offline Domain Join (ODJ) TechReady7 Breakout Chalktalk Template 3/28/2017 Offline Domain Join (ODJ) Po co to? Pozwala na pełne dodanie klienta do domeny bez kontaktu z kontrolerem domeny Zalety Możliwość aplikacji na VHD Maszyna dołączana do sieci nie musi posiadać połączenia sieciowego Jednak jeżeli nie ma cached credentials na stacji połączenie może się przydać  Wymagania BRAK zależności od poziomu lasu \ domeny NIE WYMAGA kontrolera domeny 2008 R2 WYMAGA klienta Windows 7 lub Windows Server 2008 R2 © 2008 Microsoft Corporation. All rights reserved. Microsoft, Windows, Windows Vista and other product names are or may be registered trademarks and/or trademarks in the U.S. and/or other countries. The information herein is for informational purposes only and represents the current view of Microsoft Corporation as of the date of this presentation. Because Microsoft must respond to changing market conditions, it should not be interpreted to be a commitment on the part of Microsoft, and Microsoft cannot guarantee the accuracy of any information provided after the date of this presentation. MICROSOFT MAKES NO WARRANTIES, EXPRESS, IMPLIED OR STATUTORY, AS TO THE INFORMATION IN THIS PRESENTATION.

ODJ – jak to działa? Polecenie DJOIN.exe przejmuje poświadczenia potrzebne do wykonania operacji i tworzy “plik” ”plik” zawiera Informacje o maszynie Nazwę, hasło Informacje o docelowej domenie Nazwa, GUID, SID Informacje o lesie Nazwę Informację o pomocniczym DC Nazwę, adres, informację o lokacji

ODJ – co należy pamiętać Tworzony jest jeden plik dla maszyny NIE MOGĄ być użyte ponownie Zawartość “pliku” nie jest szyfrowana (base64) Zawiera hasło w zasadzie w czystym tekście Należy je chronić przed przejęciem Wygenerowane pliki nie mają czasu życia

ODJ – jak to zrobić? Zainstalować nową maszynę Win 7 lub R2 Zamknąć system operacyjny nowej maszyny, uzyskać dostęp do jej dysku Na innej maszynie dołączonej do domeny wykonać polecenie (z odpowiednimi uprawnieniami) – Włączyć system operacyjny nowego klienta djoin /provision /domain <docelowa domena> /machine <nazwa nowej maszyny> /savefile <nazwa pliku> djoin /requestODJ /loadfile <nazwa pliku> /windowspath <folderu %windir% na nowym systemie >

Offline Domain Join (ODJ) Best Practices Analyzer (BPA) Administrative Center (ADAC) Web Services (ADWS) Managed Service Accounts (MSA) Authentication Mechanism Assurance (AMA) Powershell for Active Directory Module Recycle Bin

AD Web Services (ADWS) Co to? Do zapamiętania Web Services nasłuchująca na porcie TCP/9389 Dostępna dla usługi katalogowej (DS) i Lightweight Directory Services (LDS) Zbudowana w oparciu o protokoły WS-* i WCF WS-Enum, WS-Transfer, IMDA Podstawa dla przyszłych interfejsów programistycznych Do zapamiętania Uzupełnienie interfejsów LDAP i RPC dla zarządzania Wykrywana przez klienta poprzez proces lokatora – LDAP Ping (skalowanie) Nie wymaga instalacji IIS na DC

ADWS Wymagania Wymagane wdrożenie na odpowiedniej liczbie DC Kontroler domeny Windows Server 2008 R2 Domain Controller lub instancja AD LDS Wsparcie dla Windows Server 2003 i 2008 Active Directory Management Gateway (ADMG) - uaktualnienie OOB Musi działać lokalnie na DC lub instancji LDS Wymagane wdrożenie na odpowiedniej liczbie DC Wymagane na DC dla każdego NC zarządzanego przez mechanizmy ADWS

Offline Domain Join (ODJ) Best Practices Analyzer (BPA) Administrative Center (ADAC) Web Services (ADWS) Managed Service Accounts (MSA) Authentication Mechanism Assurance (AMA) Powershell for Active Directory Module Recycle Bin

Moduł PowerShell Co to? Po co? Wymagania PowerShell for Active Directory Module to zestaw poleceń PowerShell przeznaczonych do zarządzania AD i AD LDS Interfejs administracyjny, dostęp do konfiguracji i do zapytań Po co? Podstawa pod przyszłe mechanizmy zarządzania katalogiem De-facto standard zarządzania w środowisku Windows Server Wymagania Windows 7 lub Windows Server 2008 R2 PowerShell 2.0 ADWS (lub ADMG) na zarządzanym DC(s) Cmdlet’y z modułu nie używają LDAP

PowerShell dla AD Instalowany poprzez Moduł rozszerzający PowerShell Server Manager / Windows Server 2008 R2’s DCpromo Remote Server Admin Tools dla Windows 7 client (RSAT) Moduł rozszerzający PowerShell PS C:\> import-module ActiveDirectory PS C:\> Get-Command -module ActiveDirectory ~90 cmdlet dla AD i AD LDS PowerShell Provider dla Active Directory

demo Moduł PowerShell dla Active Directory

Offline Domain Join (ODJ) Best Practices Analyzer (BPA) Administrative Center (ADAC) Web Services (ADWS) Managed Service Accounts (MSA) Authentication Mechanism Assurance (AMA) Powershell for Active Directory Module Recycle Bin

Best Practice Analyzer (BPA) Co to? Analizuję konfiguracje usługi i wskazuje odstępstwa od best practices Wskazuje rozwiązania problemów Nie wykonuje modyfikacji \ akcji naprawczych samodzielnie Jak? Skan uruchamiany poprzez Server Manager lub PowerShell Loklanie lub zdalnie Skanowanie manualny (task scheduler) Skan wykonywany lokalnie na DC  Nie skanuje całego środowiska katalogu Wymaga Windows 2008 R2 (tylko R2 !!!) Kwartalne uaktualnienia dla BPA dostępne będą przez Windows Update

BPA – uruchomienie skanu … Server Manager … PowerShell Import-Module BestPractices Invoke-BPAmodel Microsoft\Windows\DirectoryServices Get-BPAresult Microsoft\Windows\DirectoryServices

BPA – co jest sprawdzane (RTM) DNS Rejestracja i rozwiązanie rekordów A/AAAA Disaster Recovery Ilość DC \ domena Czas życia kopii zapasowych Replication Co najmniej 1 GC \ site Stan KCC Informacje dla VMs Topologia Rozmieszczenie i dostępność DC z rolami FSMO Lingering Objects Stan Strict Replication Consistency Time service PDC time source Wartości graniczne Max[POS|NEG]PhaseCorrection

demo Best Practices Analyzer

Offline Domain Join (ODJ) Best Practices Analyzer (BPA) Administrative Center (ADAC) Web Services (ADWS) Managed Service Accounts (MSA) Authentication Mechanism Assurance (AMA) Powershell for Active Directory Module Recycle Bin

Recycle Bin Co to? Po co? Wymagania Pozwala na odzyskanie skasowanego obiektu w jego oryginalnym kształcie z wszystkimi wartościami Główna zaleta – linki pozostają nienaruszone po skasowaniu obiektu Dodatkowy stan linku \ kolumna w bazie danych (link_deActiveTime) Po co? Pełna możliwość odzyskania obiektu bez użycia kopii zapasowej Wyeliminowanie obiektów tombstone z procesu odtworzenia Wymagania Poziom lasu 4 (WIN2008R2) Zmiana procesu usuwania fantomów w danych Włączenie funkcjonalności w katalogu

Żywot Briana (jako obiektu) Tombstone Object Windows Server 2008 - bez Recycle Bin Garbage Collection Brian Auth Restore/ Odzyskanie Skasowanie Tombstone Lifetime 180 dni Recycled Object Deleted Object Windows Server 2008 - z włączonym Recycle Bin Garbage Collection Skasowanie Odzyskanie Deleted Object Lifetime 180 dni Recycled (Tombstone) Object Lifetime Brian

Zwraca Deleted i Recycled Żywot Briana c.d. 180 dni Windows Server 2008 Brian Tombstone Object Garbage collection Zwraca Tombstones LDAP OID 1.2.840.113556.1.4.417 Zwraca Deleted Windows Server 2008 R2 - z włączonym Recycle Bin LDAP OID 1.2.840.113556.1.4.2064 Zwraca Deleted i Recycled Brian Deleted Object Recycled Object Garbage collection 180 Days 180 Days

Recycle Bin – trzeba wiedzieć Wpływ na DIT Pierwszy DC generuje ruch replikacyjny isRecycled = True dla wszystkich skasowanych obiektów Wzrost wielkości DIT 5-10% na start, następnie zależny od użycia Dostępy jako dodatkowa funkcja Pierwsza (jak dotąd jedyna) implementacja optional feature Włączana poprzez modyfikację atrybutu katalogu (Powershell lub LDAP) Enable-ADOptionalFeature ‘Recycle Bin Feature’ –Scope ForestOrConfigurationSet –Target {docelowy DC lub instancja LDS} Zmiany w katalogu Po ustawienia isRecycled, blokowane jest odzyskanie tombstone Możliwe poprzez dodatkową opcje NTDSUTIL.EXE

Optional features Recycle Bin msDS-EnabledFeature CN=Optional Features, CN=Directory Service, CN=Windows NT, CN=Services, CN=Configuration, DC=W2K,DC=PL msDS-EnabledFeature CN=Partitions, CN=Configuration, DC=W2K,DC=PL Recycle Bin msDS-EnabledFeatureBL objectClass: msDS-OptionalFeature msDS-OptionalFeatureFlags: FOREST_OPTIONAL_FEATURE msDS-OptionalFeatureGuid: 766ddcd8-acd0-445e-f3b9-a7f9b6744f2a msDS-RequiredForestBehaviorVersion: DS_BEHAVIOR_WIN7

Recycle bin – warto wiedzieć Czas życia obiektów: Atrybuty CN=Directory Services,cn=Windows NT… msDS-DeletedObjectLifetime (DOL) tombstoneLifetime (TSL, ROL) Domyślnie DOL == ROL == 180 dni Każdy z nich może mieć inną wartość Czas życia kopii zapasowych MIN (DOL, ROL) Dotyczny kopii zapasowych i IFM Nie wolno odzyskiwać obiektów w stanie RECYCLED

Recycle Bin – odtwarzanie Delete OU=Finanse OU=Admins CN=Tom CN=Sally CN=Mark OU=Finanse Undelete OU=Admins CN=Tom CN=Sally Brak GUI PowerShell lub LDAP Deleted Objects Płaska lista obiektów Zmieniony RDN (<RDN>+DEL:+CHAR(0A)) Zachowane wszystkie atrybuty (linki) Wypełnione lastKnownParent and lastKnownRDN Obiekt MUSI być odtwarzany do istniejącego rodzica Odtworzenie obiektów top-down CN=Mark CN=Deleted Objects OU=Finanse\0ADEL:... CN=Mark\0ADEL:… OU=Admins\0ADEL:… CN=Tom\0ADEL:… CN=Sally\0ADEL:… CN=Robert\0ADEL:…

demo Recycle Bin

Offline Domain Join (ODJ) Best Practices Analyzer (BPA) Administrative Center (ADAC) Web Services (ADWS) Managed Service Accounts (MSAs) Authentication Mechanism Assurance (AMA) Powershell for Active Directory Module Recycle Bin

Managed Service Accounts (MSA) Co to? Nowa klasa podmiotów bezpieczeństwa (security principal) Przewidziana do użycia przez usługi Zastępstwo dla standardowych kont serwisowych Dostarczają mechanizmów automatycznego zarządzania hasłami Do zapamiętania Można używać tylko jednego MSA per usługa \ serwer Nie można współdzielić jednego MSA na różnych maszynach Wymaga Windows 7 lub Windows 2008 R2

MSA – zarządzanie hasłami Hasła MSA Generowane przez system operacyjny Skomplikowane hasła z dużą entropią Długość hasła: 240 bajtów Zmieniane zgodnie z ustawieniem NETLOGON MaximumPasswordAge Zarządzanie manualne hasłem PS C:\> reset-ADServiceAccountPassword <MSA> PS C:\> nltest /sc_change_pwd:<SAMAcctName> Nie podlegają domenowej polityce haseł Nie podlegają mechanizmom FGPP

MSA – krótka ściąga Utworzenie MSA Przypisanie MSA do serwera PS C:\> New-ADServiceAccount –Name {nazwa} –Path {ścieżka w DS} Przypisanie MSA do serwera Add-ADServiceAccount –Identity {FQDN} -ServiceAccount {MSA} Instalacja MSA na lokalnym systemie Install-ADServiceAccount –Identity {MSA}

Offline Domain Join (ODJ) Best Practices Analyzer (BPA) Administrative Center (ADAC) Web Services (ADWS) Managed Service Accounts (MSA) Authentication Mechanism Assurance (AMA) Powershell for Active Directory Module Recycle Bin

Podsumowując

Windows 2008 R2 to … … ewolucja a nie rewolucja Nowe funkcje Nowe mechanizmy zarządzania PowerShell AD AC, BPA … zmiany będące podstawą dla dalszego rozwoju usługi AD Web Service Optional features

Funkcjonalność a wymagania Minimalne wymaganie … ... pozwalające na użycie Windows 7 lub Windows 2008 R2 jako klient Offline Domain Join Managed Service Accounts + jedna lub więcej instancji Web Services (również ADMG) Active Directory Administrative Center Moduł PowerShell dla Active Directory + jeden lub więcej kontroler domeny Windows Server 2008 R2 Best Practices Analyzer Synchronizacja hasła DSRM + Windows Server 2008 R2 Domain Functional Level Authentication Mechanism Assurance + Windows Server 2008 R2 Forest Functional Level Recycle Bin

Pytania … … i ewentualnie odpowiedzi

Dziękuję !!! Kontakt: t.onyszko@w2k.pl http://www.w2k.pl