1 / 43

R2 AD – Éljenek a rövidítések!

R2 AD – Éljenek a rövidítések!. Gál Tamás TechNet szakmai vezető v-tagal@microsoft.com Microsoft Magyarország. Amit kiv e sézünk O DJ ADAC + AD W S AD R B Ame l y e ken átszágu l dunk B P A M S A AMA DSRM PS AD FL. ODJ. Offline Domain Join. Offline Domain Join (ODJ). Mi is ez?

frieda
Download Presentation

R2 AD – Éljenek a rövidítések!

An Image/Link below is provided (as is) to download presentation Download Policy: Content on the Website is provided to you AS IS for your information and personal use and may not be sold / licensed / shared on other websites without getting consent from its author. Content is provided to you AS IS for your information and personal use only. Download presentation by click this link. While downloading, if for some reason you are not able to download a presentation, the publisher may have deleted the file from their server. During download, if you can't get a presentation, the file might be deleted by the publisher.

E N D

Presentation Transcript

  1. R2 AD– Éljenek a rövidítések! Gál Tamás TechNet szakmai vezető v-tagal@microsoft.com Microsoft Magyarország

  2. Amit kivesézünkODJ • ADAC + ADWSADRB Amelyeken átszáguldunk • BPA • MSA • AMA • DSRM PS • AD FL

  3. ODJ Offline Domain Join

  4. Offline Domain Join (ODJ) • Mi is ez? • Számítógépfiók tartományba léptetésa - a tartományvezérlő elérése nélkül • Előnyök • A gép már az első indítás közben tartományi tag • Kevesebb újraindítás, egyszerűbb tömeges telepítés • Feltételek • Nincs szükség erdő vagy tartományi működési szint emelésre • Nincs szükség Windows Server 2008 R2 DC-re! • Elég egy Windows 7 vagy egy WS08 R2 tagkiszolgáló

  5. ODJ – szakácskönyv • Végy (elő) egy tartományi tag Windows 7 / Windows Server 2008 R2 gépet, és gyártsd le a kérést („blob”)! • Végy (pl. otthon) egy újWindows 7 vagy Windows Server 2008 R2 gépet és „húzd rá” a „blob”-ot! • Vidd be a gépet a fizikai hálózatba, és kapcsold be - működik rögvest. djoin /provision /domain <target domain> /machine <new machine name> /savefile <filename> djoin /requestODJ /loadfile <filename> /windowspath <path to new machine’s %windir%>

  6. ODJ – A „blob” titkai – S01E01 • A djoin.exe generálja ezt a fájlt – a tartományban működő gép segítségével • Tartalmazza: • A leendő új gép • nevét, fiók jelszavát • A tartomány • nevét, GUID-ját, SID-jét • Az erdő • nevét • A közreműködő DC • Nevét, címét, attributúmait és a telephelyét • Nem igazán titkosított a fájl tartalma • Csak base64

  7. ODJ – A „blob” titkai – S01E02 • Nem jár le az érvényessége • A generálás ás a használat közben bármennyi idő eltelhet • Csak 1 db jár minden új gépnek • Újrahasznosítás nincs • Az unattended.xml egy új szakasza támogatja a használatát • Egyformán használható fizikai és virtuális gépekhez

  8. Próbáljuk ki! ODJ

  9. ADAC + ADWS Active Directory Administrative Center + Active Directory Web Services

  10. ADAC - UI • PowerShell alapok • Feladatorientált • Multi-domain • Multi-forest • „Vizuális élmény” • Hatékony keresés

  11. ADAC vs. ADUC: nem helyette, mellette

  12. ADAC – királyságok és korlátok • A szűrés alaposan kibővült • Jól kombinálhatóak a feltételek • Elmenthető nézetek • Nem bővíthető a klasszikus módon • vö. acctinfo.dll, acctinfo2.dll • Nincs drag & drop • Nincs RSOP Planning / Logging támogatás • NTDS Settings sincs

  13. Active Directory Web Services • Automatikusan települ AD DS / AD LDS esetén • Port 9389:távoli elérés • IIS-t nem igényel • Fejlesztőknek jól jöhet • Kompatibilitás • Letölthető ADMGS • WS03 SP2 + WS08 • De nem az ADAC-ot vagy a PS-t kapjuk meg! • Különbség: DMT példányok használata nem támogatott PowerShell Cmdlets WS-* 9389 ADWS LDAP LDAP LDAP 3268 389 MountedAD instance AD LDSinstance AD / GC

  14. Próbáljuk ki! ADAC

  15. PS PowerShell for AD

  16. PSforAD

  17. Próbáljuk ki! AD objektumkezelés AD meghajtó PS Remoting Remoting jogosultsági rendszere • Soós Tibor soost@iqjb.hu • MCT, PowerShell MVP • IQSOFT – John Bryce Oktatóközpont • http://www.IQJB.hu

  18. Vegyes BPA, MSA, AMA, DSRM PS

  19. AD Best Practice Analyzer XML Schema • Nem javítja meg, csak diagnosztizál • Server Manager-bőlvagy PowerShell-ből indítható • Értelemszerűen távolból is Validation AD DS BPAPowerShell Script Collects data XML Results document Analysis AD DS BPArule set AD DS BPAReport BPA Run Time AD DS BPAguidance

  20. AD BPA – egyéb okosságok • Frissítés negyedévenként • Microsoft Update • Bárki segíthet > connect.microsoft.com/ADBPA • Csak helyi vizsgálat • (Még) nem bővíthető, azaz... • Nem tudunk forgatókönyveket megadni • Nem tudjuk a vizsgálat határait, körülményeit változtatni • Nem tudjuk a jelentés paramétereit változtatni • Csak Windows Server 2008 R2 DC

  21. Managed Service Accounts • Szolgáltatásfiók problémák eddig • Jelszó változtatás • Sokszor kell a tartományi tagság • Az MSA megoldja a problémát • Új objektum osztály az AD-ban • A számítógépfiók „gyereke” • 240 karakteres jelszavakkal dolgozik • Nem függ sem a szimpla, sem a FGPP jelszóházirendtől • A gépfiók jelszavával párhuzamosan változik (alapesetben 30 nap > Csoportházirend) • Reset-ADServiceAccountPassword cmdlet manuálisan

  22. MSA beizzítás • A fiók létrehozása New-ADServiceAccount –Name {MSA name} –Path {directory path} • Hozzárendelése a szerverhez Add-ADServiceAccount –Identity {FQDN} -ServiceAccount {MSA} • „Telepítése” a helyi szerveren Install-ADServiceAccount –Identity {MSA} • A fiókot használó szoftver beállítása Korlátok • Egy MSA = egy szerver, ergo nem megosztható • Csak Windows 7 vagy Windows Server 2008 R2 • SPN automatizmus csak WS08 R2 DFL-től

  23. Authentication Mechanism Assurance • Multifaktoros bejelentkezéssel több jogunk lehet pl. egy fájlmegosztáson, technikailag: • Az admin csoportokat linkel a smartcard házirendek alapján • Spéci OID a user SmartCard-ján > másik SID > access token > más biztonsági csoport • Csak WS08 R2 erdő működési szint és csak Kerberos • A szükséges szkriptek letölthetőek • set-IssuancePolicyToGroupLink.ps1 • get-IssuancePolicy.ps1 Korlátozott hozzáférés Emelthozzáférés Normál hitelesítés Erőshitelesítés http://technet.microsoft.com/en-us/library/dd378897(WS.10).aspx

  24. DSRM Password Sync • Mi is ez? • A DC DSRM jelszavának szinkronizálása tetszőleges tartományi felhasználóhoz • Megkötések (restrikciók) • Csak Windows Server 2008 (QFE) és R2 • EGYSZERI művelet, amely azonnal átmásolja a jelszót • Nem tartományi, csak helyi (az ntdsutil blokkol) • Konkrétan ntdsutil "Set DSRM Password" "Sync from domain account <suitable user> " q q

  25. ADRB Active DirectoryRecycle Bin

  26. Active Directory Recycle Bin • Lehetővé teszi bármilyen törölt AD objektum online és teljeskörű visszaállítását • Jóval többet ér mint az eddigi módszerek • A sírkövezést (és a reanimációt) elfelejthetjük • Nem szükséges egy törlés miatt az offline AD állapot • Nemcsak részleges visszaállítást tudunk WS03alap FL WS03 Forest FL 2008 R2 Forest FL Online reanimáció Linked-valuereplikáció Recycle Bin Mérföldkövek az ADRB-ig W2K Zéró lehetőség

  27. ADRB - objektum törlés eddig • Az objektum „elköltözik” a „Deleted Objects” konténerbe, és: • Láthatatlanná válik a normál AD műveletekben • Megkapja a sírkövét (ami replikálódik) • Az „isDeleted”attribútum = TRUE, plusz RDN átnevezés • A non-link-valued attribútumok jelentős része törlésre kerül • A link-valued attribútumoknál meg az összes (pl. csoporttagság) • Ezután: 180 nap > Garbage Collection > végleges törlés • 1-12 órás ciklusban, 2-60 nap alatt és online defrag jön utána Szemétgyűjtő(Garbagecollection) X Élő objektum Törlés „Sírkő” Fizikai törlés Offline authoritative restore Sírkő állapot (WS03 SP1 > 180 nap)

  28. Egy sírkő példa

  29. ADRB előtt – Reanimation • LDP-vel, online, nem teljeskörű • isDeleted attribútum eltávolítása • „distinguishedName”attribútum > „visszanevezés” • Visszakapja a GUID-ját és a SID-jét, de: • Rengeteg attribútum hiányzik • A Configuration NC-ben nincs reanimáció • Az ADRestore (Sysinternals)sokkal egyszerűbb, de az eredmény ugyanaz

  30. ADRB előtt – Restore • DSRM, offline, nem teljeskörű • Mentés kell hozzá :D • Ami lehet, hogy elavult • A speciális attribútumok egy része (pl. csoporttagság) visszaállítható • „Backlink”-ből lesz „Forward link”, de ez függ pl.: • Az erdő működési szinttől... • ...vagy a csoport • És néha 2 AR is kell • AD Database Mounting Tool (WS08) • Segít, de csak az online ellenőrzésben

  31. ADRB - objektum törlés most Élőobjektum Töröltobjektum Törlés Deleted object lifetime (180 nap) Online visszaállítás Szemétgyűjtő(Garbagecollection) Szemétgyűjtő(Garbagecollection) Törölt objektum X • Be KELLkapcsolni és NEM lehet kikapcsolni! • DOL = TSL = 180 nap  • De állítható mindkettő Fizikai törlés Tombstone lifetime (180 nap)

  32. Törlés itt és ott

  33. Visszaállítás itt és ott

  34. ADRB - további okosságok • Group Policy, Exchange objektumokra nem támogatott • És a reanimation + a restore sem • Van viszont direkt törlés is • Get-ADObject –Filter {<suitable filter>} –IncludeDeletedObjects | Remove-ADObject • Számítsunk a DIT növekedésre • De nem egyformán, R2 DC-knél kb. 10-15% • AD LDS-ben is működik • Ha minden példány WS08 R2-on fut • Sémabővítés > LDIFDE > MS-ADAM-Upgrade-2.LDF

  35. Próbáljuk ki! ADRB • Soós Tibor soost@iqjb.hu • MCT, PowerShell MVP • IQSOFT – John Bryce Oktatóközpont • http://www.IQJB.hu

  36. AD FL A működési szintek

  37. Működési szintek • Az R2 bemutatja a 4. sz. tartomány / erdő működési szintet! • És hozzá a séma 45-46-47.ldf fájlait!  • Egyetlen lényegi változás: a működési szintek visszaállíthatóak! • Csak a 3. szintre (Windows 2008) • Feltételezve, hogy nem engedélyeztünk olyan újdonságokat, amelyeket blokkolna • Ha igen: Disable-ADOptionalFeatures • A Recycle Bin viszont NEM letiltható • Ezért ha megengedtük, akkor nincs visszaút • Nincs UI a visszállításhoz • Set-ADDomainMode, Set-ADForestMode cmdlet

  38. Mikor melyiket kapom meg?

  39. Függelék

  40. AD BPA – mit is vizsgál? • DNS • registration & discovery of A/AAAA records • Disaster Recovery • multiple DCs per domain • backup lifetime • Replication • at least one GC per site • KCC enabled • Virtual Machine-aware • is deemed a Virtual Machine if the Model property of WMI’s WIN32_ComputerSystem object contains the string “Virtual” • Topology • FSMO-role assignment and availability of role holder • Lingering Objects • Strict Replication Consistency • Time Service • PDC time source • Max[POS|NEG]PhaseCorrection limits • reduces potential risk of forest-wide time skews/slews

  41. ADRB – a törölt objektumok • A megtekintéshez egy LDAP controlszükséges (+ az ldp.exe ) • A keresésnél kiválasztható • WS08 R2 PowerShell + AD modul • Get-ADObject –LDAPFilter {} –IncludeDeletedObjects

  42. ADRB – tömeges törlés • Deleted Objects konténer • Törölt elemek teljes listája • RDN csonkolás (<RDN>+DEL:+CHAR(0A)) • Linked / non-linked attribútumok megmaradnak • lastKnownParent / lastKnownRDN • Objektum visszaállítás • Csak ha a szülője is megvan • Ezért a „tetőről” kezdünk • lastKnownXXértékeket használja a hierarchia újraépítésére OU=Finance OU=Finance CN=Tom CN=Tom CN=Sally CN=Sally OU=Admins OU=Admins Delete CN=Mark Undelete CN=Mark CN=Robert\0ADEL:… CN=Deleted Objects OU=Finance\0ADEL:... CN=Tom\0ADEL:… CN=Sally\0ADEL:… OU=Admins\0ADEL:… CN=Mark\0ADEL:…

More Related