1 / 56

Administration und Management

Administration und Management. Administration und Management. Björn Schneider Consultant IT-Security ITaCS GmbH. Technical Level 300. Agenda. Verbesserungen der Administration Management mit Gruppenrichtlinien Active Directory im Detail Automated System Recovery (ASR)

herschel
Download Presentation

Administration und Management

An Image/Link below is provided (as is) to download presentation Download Policy: Content on the Website is provided to you AS IS for your information and personal use and may not be sold / licensed / shared on other websites without getting consent from its author. Content is provided to you AS IS for your information and personal use only. Download presentation by click this link. While downloading, if for some reason you are not able to download a presentation, the publisher may have deleted the file from their server. During download, if you can't get a presentation, the file might be deleted by the publisher.

E N D

Presentation Transcript


  1. Administration und Management

  2. Administration und Management Björn Schneider Consultant IT-Security ITaCS GmbH Technical Level 300

  3. Agenda • Verbesserungen der Administration • Management mit Gruppenrichtlinien • Active Directory im Detail • Automated System Recovery (ASR) • Softwaremanagement mit RIS und SUS • Windows System Ressource Management • Die neuen Terminal Services

  4. Verbesserungen der Administration DCPROMO Management Console (MMC) Effektive Berechtigungen

  5. DNS DCPROMOAutomatische DNS Fehlererkennung • Erkennt DNS Probleme beim Hochstufen • Liefert detaillierte DNS Informationen • Bietet dem Admin eine Autokonfiguration • Konfiguration der Netzwerkkarten • Automatische Installation des DNS Services • Erstellung der DNS Zonen • domain.de • _msdcs.domain.de

  6. DCPROMOAD Installation von Backup Medien • Installation eines DCs in einer Außenstelle • DCPROMO auch mit 128 K/bit Anbindung • Initiale Replikation erfolgt mit Systemstate-Backup (*.bkf) • Grundlage ist ein DC aus der gleichen Domäne • Backup darf nicht älter als 60 Tage sein • Differenzielle Replikation danach übers Netzwerk • Funktion wird mit Setup Schalter gestartet >dcpromo /adv

  7. Management Console„Object Picker“ und „Saved Queries“ • „Object Picker“ zum Finden von Objekten • Einfache Suchmaske zum Auffinden und Auswählen von AD-Objekten wie… • Benutzer-, Gruppen- und Computernamen • „Saved Queries“ bei häufigen Suchanfragen • Beliebige LDAP Suchanfragen wiederverwenden • z.B. „Finde alle Benutzerkonten bei denen die letzte Anmeldung mehr als 60 Tage zurückliegt“

  8. Effective Rights • Ermitteln der effektiven NTFS-Berechtigungen eines Objektes z.B. Benutzer oder Gruppe „Darf Erwin Lindemann die Datei Gehalt.txtlesen?“

  9. Object Picker Saved Queries Effective Rights

  10. Gruppenrichtlinien Neue Policies WMI Filter GPMC, RSoP

  11. Windows 2003 Domain Gruppenrichtlinien “Neue Policy” Viele Computer- Ergebnisse Viele User- Ergebnisse

  12. GruppenrichtlinienWas ist neu? • Neue Richtlinien für… • Drahtlose Netzwerke • Terminal Service & IIS Einstellungen • Software Restriction Policy • Verwaltbarkeit • Alle Richtlinien voll dokumentiert • Resultant Set Of Policies (RSoP) • Group Policy Management Console (GPMC) • WMI-Filter

  13. GruppenrichtlinienSoftware Restriction Policies • Erhöhte Systemsicherheit gegenüber Bedrohung durch „malicious code“ • Erkennt unbekannte oder „untrusted“ Software • Wird über GPO verteilt • 2 Sicherheitslevel (Allow/Deny) • Kein Ersatz für Anti-Virus-Programm

  14. GruppenrichtlinienSoftware Restriction Policies

  15. GruppenrichtlinienGroup Policy Management Console (GPMC) • Verwaltet GPOs im ganzen AD Forrest • Einfache Verwaltung aller GPOs in einem Tool • Sehr übersichtliche GPO und OU Darstellung • Saubere Dokumentation aller GPO Settings • Erstellung von HTML Zusammenfassungen • Bequeme Suche nach bestimmten GPOs • z.B. „Finde alle GPOs, in denen die Gruppe EDV Rechte zum Editieren besitzt und Folder Redirections gesetzt sind“

  16. GruppenrichtlinienGroup Policy Management Console (GPMC) • Planungsmodus zur Analyse von GPOs • „What if“ Szenarien mit Resultant Set of Policies • Ermöglicht eine Überprüfung von GPOs am Live System • OU Planung mit Group Policy Modeling • Ermöglicht Planung von GPOs auf OU Basis • Backup/Restore sowie Import/Export von Gruppenrichtlinien • Austausch von GPOs zwischen Active Directories • Backup and Restore von GPOs für Notfälle

  17. Gruppenrichtlinien Software Restriction Policy WMI Filter GPMC

  18. Windows 2003 Domain Active Directory im Detail Replikation Trusts Rename

  19. Verbesserte AD ReplikationDie neuen Transport Generatoren • Gruppenmitglieder sind nun einzelne Objekte • Beseitigung des Two-Way-Edit Problems • Geringere Latenzen bei Intra-Site Replikation • Windows 2000: AD Änderungen wurden alle 5 Minuten mit einer Latenzzeit von 30 Sec Repliziert (willkürlich) • Windows 2003: AD Änderungen werden alle 15 Sec mit einer Latenzzeit von 3 Sec Repliziert • Schnelle Kompression bei Inter-Site Replikationen (XPRESS Algorithmus)

  20. Verbesserte AD ReplikationGecachte Global Catalog Informationen • Windows 2000 Global Catalog Problematik • GC ist für eine Domänen Anmeldung erforderlich, da Speicherort der Universal Group Mitgliedschaften • Windows 2003 DCs können Globale Cataloge cachen • Es werden nur die benötigten Daten über das WAN abgerufen • Gecachte Daten werden beim Ausfall des WANs Links genutzt • Domänen Anmeldung ist nun mit einem Offline GC möglich

  21. Cross Forest AuthentifizierungNeuer Wizard für Vertrauensstellungen • Einfache Erstellung von Vertrauensstellungen • Zwischen zwei Forests über Kerberos (Transitiv) • Zeitgleiche Konfiguration der beiden Active Directory Forest‘s • Zwischen einzelnen Domänen (W2k3, W2k, NT4) • Zwischen AD und nativem Kerberos v5 Realm • Trust-Firewall beschränkt die Zugriffe • Eingebauter SID Filter verhindert SID History Angriffe • Wahlweise eingeschränkter Zugriff über Vertrauensstellungen

  22. Cross Forest AuthentifizierungGeltungsbereiche der Vertrauensstellungen Forest Trust A-B Forest Trust B-C X Kein Trust!

  23. Umbenennen von DC‘s, Domänen Corporate Identity für das Active Directory • Umbenennen von Domänen Controller • Mit Hilfe der UI „Computernamen ändern“ • Mit dem Befehlszeilen Programm NETDOM.EXE • Windows Server 2003 Domain Rename Tool • Umbenennen von ganzen Forest Strukturen • Umbenennen einer einzelnen Win2003 Domäne • Umbenennen eines ganzen Win2003 Trees • Domäne/Forest muss im 2003er Modus sein! Original Kommentar aus dem Domain Rename Whitepaper: “it is not intended to make domain rename a routine operation”

  24. Neue Active Directory FunktionenUnd die vielen Änderungen am Rande… • Redirecting Default Users and Computers Containers • Deactivation of Attributes/Classes in the Schema • Kerberos Delegation Model Improvements • Prevent Overloading Domain Controllers • Lingering Objects Removal Mechanism • Forceful Domain Controller Demotion • Synchronize Restore Mode Password • Enhanced Replication Monitoring • Application Directory Partitions • Active Directory Object Quotas • LDAP Improvements … und noch einige mehr!

  25. Universal Group Caching

  26. Desaster Recovery Automated System Recovery (ASR)

  27. Disaster RecoveryGrundlagen • Disaster: • Physikalische Zerstörung von Computersystemen • Feuer, Erdbeben, Wassereinbruch, etc. • Katastrophaler Hardwarefehler • Meist Storage-Systeme • Recovery: • Wiederherstellen der Hardwarekonfiguration • Wiederherstellen des Betriebssystems und der Anwendungen • Wiederherstellen der Nutzdaten

  28. Manuelle SystemwiderherstellungFrüher • Beschaffung und Einbau neuer Hardware • Installation von Windows Server • Konfigurieren aller physikalischen Laufwerke mit den originalen Einstellungen • Installation der Backup-Software sowie der benötigten Backupmedien-Treiber • Wiederherstellung des Betriebssystems • Reboot und Überprüfen der Dienste • Wiederherstellen der Daten

  29. Automated System Recovery (ASR)Heute (2003 und XP) • Beschaffung und Einbau der neuen Hardware • Booten von der Windows CD • Ausführen von ASR • Einlegen des Backupmediums • Wiederherstellen der Daten

  30. Automated System RecoveryAblauf Windows CD ASR Floppy ASR Floppy Backup Medium für Daten Installationsmedium Backup Software (Optional) Windows Innstallations-medium Online ASR Backup Medium

  31. Automated System RecoveryZiele • Stadium für „non-bootable“ Systeme schaffen, von dem aus Backup/Restore Applikationen ausgeführt werden können • Konfigurieren aller physikalischen Laufwerke mit den originalen Einstellungen • Widerherstellung des Betriebssystems und aller Dienste und Anwendungen mit ihren Einstellungen • Mechanismus für Hersteller um auf die ASR-Features zuzugreifen

  32. Automated System RecoveryUnterstützte Konfigurationen • Basic und Dynamische Festplatten • x86 und ia64 Plattformen • MBR und GPT (EFI) Laufwerke • Benötigt Floppy Laufwerk ! • ASR ist keine Netzwerkwiederherstellung, aber • ASR kann komplett mit RIS automatisiert werden • Keine Floppy notwendig da PXE Boot • Kein F2 um ASR zu starten

  33. Automated System Recovery

  34. Softwaremanagement mit RIS und SUS Remote Installation Service (RIS) Software Update Service (SUS)

  35. Remote Installation ServiceNeue Features • Installation von Servern via RIS • 64-Bit Unterstützung • Windows XP 64 Bit • Windows Server 2003 64 Bit Edition • NTLMv2 als Authentifizierungsprotokoll • Automatisches Autorisierung im AD

  36. Remote Installation ServiceNeue Features • Unterstützung mehrerer Sprachen • Bearbeiten der multilng.osc und abspeichern als welcome.osc • PXE Start auch ohne “F12“ • startrom.com Starten mit F12 • startrom12.com kein Bestätigen mit F12

  37. Software Update Service • Installieren von Betriebssystemupdates über einen internen Install-Server • Für alle Windows 2000, Windows XP und Windows Server 2003 Clients • Gilt derzeit nur für QFEs von Windows und Internet Explorer • Neue Version SUS 2.0 wird erwartet • Alle Patches aller MS Produkte • Auch Treiber und Empfohlene Software • 3rd Party Integration für andere Software

  38. Software Update Service WHQL QFEs Features Microsoft Software Device Drivers Windows Update http://windowsupdate.microsoft.com Internet Signed Cabs Intranet SUS XML & SOAP Software Update Server • Clientkomponenten: • Automatic Update • Dynamic Update • Device Manager XML & SOAP

  39. Software Update ServiceVoraussetzungen • Betriebssystem Serverseitig • Windows 2000 Server (IIS 5) • Small Business Server 2000 (IIS 5) • Windows Server 2003 (IIS 6) • Rollen Serverseitig • Memberserver (Empfohlen) • Seit SUS SP1 auch DC • Konfiguration der Clients (ab Windows 2000) • Gruppenrichtline (Empfohlen) • Registry Eintrag

  40. Software Update Service

  41. Windows System Ressource Management (WSRM) Einsatzmöglichkeiten

  42. Windows Ressource ManagementWas kann WSRM? • Definieren von Ressourcenverbrauch für bestimmte Applikationen (CPU und Memory) • Wahl des Prozesses, der gemanagt werden soll • Setzen der Werte bzw. Limits für Ressourcenverbrauch • Managen von Ressourcen mittels Policies • CPU Auslastung (% CPU) • Process working set size (physical resident pages) • Zugewiesener Speicher (page table und page file usage)

  43. Windows Ressource ManagementWas kann WSRM? • Zuweisen von Richtlinien zu bestimmten Zeiten • Email Benachrichtigung bei speziellen Events • Generierung, Darstellung,Speicherung und Export der gesammeltenDaten

  44. Windows Ressource ManagementEinsatzmöglichkeiten • Serverkonsolidierungsszenario • Skalierung von Systemressourcen für • Eine oder mehrere wichtige LOB Applikationen • Große Terminal Server Systeme • Mehrere SQL Server Instanzen • Ressourcenverbrauch von individuellen IIS6 Applikationspools auf einem Server • Falls SQL Server, IIS und Exchange auf der selben Maschine laufen sollten

  45. Terminal Services RDP 5.2 Session Directory

  46. Terminal DiensteÜberblick • Remote Desktop (Administrationsmodus) • Lizenzfrei, keine Installation erforderlich • 2 Administratoren + 1 KonsolensitzungMSTSC /CONSOLE • Zunächst „disabled“ (Paradigma!) • Anwendungsmodus • 2x mehr gleichzeitige Nutzer • Session Directory • Zwei Sicherheitsmodelle

  47. Terminal DiensteDer neue RDP Client • RDP 5.1/5.2 • True Color 24 Bit, 1600 x 1024 Auflösung • Redirection • Lokale und Netzwerklaufwerke • Lokale und Netzwerkdrucker • Serielle und Parallele Ports • Sound, Zeitzone • Ganzseitendarstellung, Verbindungsoptimierung • Volle 128Bit Verschlüsselung (FIPS 140-1) • Smartcard-Unterstützung

  48. Terminal DiensteDer neue RDP Client • Windows Client als… • Full Client (.MSI-File) • MMC SnapIn • Web Client (ActiveX-control) • RDP 5.1 Client auch für andere Betriebssysteme • Windows 9.x, ME • Windows NT • Windows 2000 • Apple Mac OS X

  49. Terminal Dienste • Bessere Verwaltung • Remote Desktop Users - Gruppe • Neue Gruppenrichtlinien (z.B. Software Restriction Policy, TS Settings) • Windows System Resource Manager (WSRM) • ADSI und WMI-Zugang zu TS-Settings • Fast Reconnect • Session Cookie zum Identifizieren des Benutzers • Session Directory • Erlaubt das Zuordnen verlorener TS-Sessionszum ursprünglichen NLB-Knoten

  50. Cluster fürSession Directory und Benutzerprofile TS-1 TSFARM(NLB) TS-2 TS-3 Terminal DiensteSession Directory X Jane Doe *********** Jane Doe Keine aktive Session

More Related