1 / 40

Tomek Onyszko Microsoft Services | W2K.PL

Tomek Onyszko Microsoft Services | W2K.PL. Windows Community Launch. Windows 2008 R2 a usługa katalogowa. Nowe elementy funkcjonalność. Offline Domain Join (ODJ). Best Practices Analyzer (BPA). Administrative Center (ADAC). Web Services (ADWS). Managed Service Accounts (MSA).

gazit
Download Presentation

Tomek Onyszko Microsoft Services | W2K.PL

An Image/Link below is provided (as is) to download presentation Download Policy: Content on the Website is provided to you AS IS for your information and personal use and may not be sold / licensed / shared on other websites without getting consent from its author. Content is provided to you AS IS for your information and personal use only. Download presentation by click this link. While downloading, if for some reason you are not able to download a presentation, the publisher may have deleted the file from their server. During download, if you can't get a presentation, the file might be deleted by the publisher.

E N D

Presentation Transcript

  1. Tomek Onyszko Microsoft Services | W2K.PL Windows Community Launch Windows 2008 R2 a usługa katalogowa

  2. Nowe elementy \ funkcjonalność Offline Domain Join (ODJ) Best Practices Analyzer (BPA) Administrative Center (ADAC) Web Services (ADWS) Managed Service Accounts (MSA) Authentication Mechanism Assurance (AMA) Powershell for Active Directory Module Recycle Bin

  3. Na początek – architektura …

  4. Windows Server 2008 Windows Server 2008 R2 Klient GUI CLI ADUC/ADSS/ADDT WSH GUI BPA Administrative Center AD PowerShell MUX MMC ADSI .NET .NET WPF WCF DS RPC-Based Protocols LDAP … … SAM DRS Serwer .NET WCF Web Services .NET S.DS.P / S.DS.AM / S.DS.AD DS RPC-Based Protocols LDAP … DRS SAM Active Directory Core

  5. … a teraz - funkcjonalność

  6. Offline Domain Join (ODJ) Best Practices Analyzer (BPA) Administrative Center (ADAC) Web Services (ADWS) Managed Service Accounts (MSA) Authentication Mechanism Assurance (AMA) Powershell for Active Directory Module Recycle Bin

  7. Offline Domain Join (ODJ) • Po co to? • Pozwala na pełne dodanie klienta do domeny bez kontaktu z kontrolerem domeny • Zalety • Możliwość aplikacji na VHD • Maszyna dołączana do sieci nie musi posiadać połączenia sieciowego • Jednak jeżeli nie ma cachedcredentials na stacji połączenie może się przydać • Wymagania • BRAK zależności od poziomu lasu \ domeny • NIE WYMAGA kontrolera domeny 2008 R2 • WYMAGA klienta Windows 7 lub Windows Server 2008 R2

  8. ODJ –jak to działa? • Polecenie DJOIN.exe przejmuje poświadczenia potrzebne do wykonania operacji i tworzy “plik” • ”plik”zawiera • Informacje o maszynie • Nazwę, hasło • Informacje o docelowej domenie • Nazwa, GUID, SID • Informacje o lesie • Nazwę • Informację o pomocniczym DC • Nazwę, adres, informację o lokacji

  9. ODJ – co należy pamiętać • Tworzony jest jeden plik dla maszyny • NIE MOGĄ być użyte ponownie • Zawartość “pliku” nie jest szyfrowana(base64) • Zawiera hasło w zasadzie w czystym tekście • Należy je chronić przed przejęciem • Wygenerowane pliki nie mają czasu życia

  10. ODJ – jak to zrobić? • Zainstalować nową maszynę Win 7 lub R2 • Zamknąć system operacyjny nowejmaszyny, uzyskać dostęp do jej dysku • Na innej maszynie dołączonej do domeny wykonać polecenie (z odpowiednimi uprawnieniami) – • Włączyć system operacyjny nowego klienta djoin /provision /domain <docelowa domena> /machine <nazwa nowej maszyny> /savefile <nazwa pliku> djoin /requestODJ /loadfile <nazwa pliku> /windowspath <folderu %windir% na nowym systemie >

  11. Offline Domain Join (ODJ) Best Practices Analyzer (BPA) Administrative Center (ADAC) Web Services (ADWS) Managed Service Accounts (MSA) Authentication Mechanism Assurance (AMA) Powershell for Active Directory Module Recycle Bin

  12. AD Web Services (ADWS) • Co to? • Web Servicesnasłuchująca na porcie TCP/9389 • Dostępna dlausługi katalogowej(DS) iLightweight Directory Services (LDS) • Zbudowana w oparciu o protokoły WS-* i WCF • WS-Enum, WS-Transfer, IMDA • Podstawa dla przyszłych interfejsów programistycznych • Do zapamiętania • Uzupełnienie interfejsów LDAP i RPC dla zarządzania • Wykrywana przez klienta poprzez proces lokatora – LDAP Ping (skalowanie) • Nie wymaga instalacji IIS na DC

  13. ADWS • Wymagania • Kontroler domeny Windows Server 2008 R2 Domain Controller lub instancja AD LDS • Wsparcie dla Windows Server 2003 i 2008 • Active Directory Management Gateway (ADMG) - uaktualnienie OOB • Musi działać lokalnie na DC lub instancji LDS • Wymagane wdrożenie na odpowiedniej liczbie DC • Wymagane na DC dla każdegoNC zarządzanego przez mechanizmy ADWS

  14. Offline Domain Join (ODJ) Best Practices Analyzer (BPA) Administrative Center (ADAC) Web Services (ADWS) Managed Service Accounts (MSA) Authentication Mechanism Assurance (AMA) Powershell for Active Directory Module Recycle Bin

  15. Moduł PowerShell • Co to? • PowerShell for Active Directory Module to zestaw poleceń PowerShell przeznaczonych do zarządzania AD i AD LDS • Interfejs administracyjny, dostęp do konfiguracji i do zapytań • Po co? • Podstawa pod przyszłe mechanizmy zarządzania katalogiem • De-facto standard zarządzania w środowisku Windows Server • Wymagania • Windows 7 lub Windows Server 2008 R2 • PowerShell 2.0 • ADWS (lub ADMG) na zarządzanym DC(s) • Cmdlet’y z modułu nie używają LDAP

  16. PowerShell dla AD • Instalowany poprzez • Server Manager / Windows Server 2008 R2’s DCpromo • Remote Server Admin Tools dla Windows 7 client (RSAT) • Moduł rozszerzający PowerShell PS C:\> import-module ActiveDirectory PS C:\> Get-Command -module ActiveDirectory • ~90 cmdlet dla AD i AD LDS • PowerShell Provider dla Active Directory

  17. demo Moduł PowerShell dlaActive Directory

  18. Best Practices Analyzer (BPA) Offline Domain Join (ODJ) Administrative Center (ADAC) Web Services (ADWS) Managed Service Accounts (MSA) Authentication Mechanism Assurance (AMA) Powershell for Active Directory Module Recycle Bin

  19. Best Practice Analyzer (BPA) • Co to? • Analizuję konfiguracje usługi i wskazuje odstępstwa od bestpractices • Wskazuje rozwiązania problemów • Nie wykonuje modyfikacji \ akcji naprawczych samodzielnie • Jak? • Skan uruchamiany poprzezServer Manager lubPowerShell • Loklanie lub zdalnie • Skanowanie manualny (taskscheduler) • Skan wykonywany lokalnie na DC  • Nie skanuje całego środowiska katalogu • Wymaga Windows 2008 R2 (tylko R2 !!!) • Kwartalne uaktualnienia dla BPA dostępne będą przez Windows Update

  20. BPA – uruchomienie skanu • …Server Manager • … PowerShell Import-Module BestPractices Invoke-BPAmodel Microsoft\Windows\DirectoryServices Get-BPAresult Microsoft\Windows\DirectoryServices

  21. BPA – co jest sprawdzane (RTM) • DNS • Rejestracja i rozwiązanie rekordów A/AAAA • Disaster Recovery • Ilość DC \ domena • Czas życia kopii zapasowych • Replication • Co najmniej 1 GC \ site • Stan KCC • Informacje dla VMs • Topologia • Rozmieszczenie i dostępność DC z rolami FSMO • Lingering Objects • Stan Strict Replication Consistency • Time service • PDC time source • Wartości graniczne Max[POS|NEG]PhaseCorrection

  22. demo Best Practices Analyzer

  23. Offline Domain Join (ODJ) Best Practices Analyzer (BPA) Administrative Center (ADAC) Web Services (ADWS) Managed Service Accounts (MSA) Recycle Bin Authentication Mechanism Assurance (AMA) Powershell for Active Directory Module

  24. Recycle Bin • Co to? • Pozwala na odzyskanie skasowanego obiektu w jego oryginalnym kształcie z wszystkimi wartościami • Główna zaleta – linki pozostają nienaruszone po skasowaniu obiektu • Dodatkowy stan linku \ kolumna w bazie danych(link_deActiveTime) • Po co? • Pełna możliwość odzyskania obiektu bez użycia kopii zapasowej • Wyeliminowanie obiektów tombstone z procesu odtworzenia • Wymagania • Poziom lasu 4 (WIN2008R2) • Zmiana procesu usuwania fantomów w danych • Włączenie funkcjonalności w katalogu

  25. Żywot Briana (jako obiektu) Windows Server 2008 - bezRecycle Bin Skasowanie Tombstone Object Auth Restore/ Odzyskanie TombstoneLifetime 180 dni Windows Server 2008 - z włączonymRecycle Bin Skasowanie Brian Brian GarbageCollection GarbageCollection RecycledObject Deleted Object Odzyskanie Deleted Object Lifetime 180 dni Recycled (Tombstone) ObjectLifetime 180 dni

  26. Żywot Briana c.d. 180 dni Windows Server 2008 Brian Tombstone Object Garbage collection Zwraca Tombstones LDAP OID 1.2.840.113556.1.4.417 ZwracaDeleted LDAP OID 1.2.840.113556.1.4.2064 Windows Server 2008 R2- z włączonymRecycle Bin ZwracaDeletediRecycled Garbage collection Brian Deleted Object Recycled Object 180 Days 180 Days

  27. Recycle Bin –trzeba wiedzieć • Wpływ na DIT • Pierwszy DC generuje ruch replikacyjny • isRecycled = True dla wszystkich skasowanych obiektów • Wzrost wielkości DIT 5-10% na start, następnie zależny od użycia • Dostępy jako dodatkowa funkcja • Pierwsza (jak dotąd jedyna) implementacjaoptional feature • Włączana poprzez modyfikację atrybutu katalogu (Powershell lub LDAP)Enable-ADOptionalFeature ‘Recycle Bin Feature’ –Scope ForestOrConfigurationSet –Target {docelowy DC lub instancja LDS} • Zmiany w katalogu • Po ustawieniaisRecycled, blokowane jest odzyskanie tombstone • Możliwe poprzez dodatkową opcje NTDSUTIL.EXE

  28. Optionalfeatures CN=Optional Features, CN=Directory Service, CN=Windows NT, CN=Services, CN=Configuration, DC=W2K,DC=PL msDS-EnabledFeature CN=Partitions, CN=Configuration, DC=W2K,DC=PL Recycle Bin msDS-EnabledFeatureBL objectClass: msDS-OptionalFeature msDS-OptionalFeatureFlags: FOREST_OPTIONAL_FEATURE msDS-OptionalFeatureGuid: 766ddcd8-acd0-445e-f3b9-a7f9b6744f2a msDS-RequiredForestBehaviorVersion: DS_BEHAVIOR_WIN7

  29. Recycle bin – warto wiedzieć • Czas życia obiektów: • Atrybuty CN=Directory Services,cn=Windows NT… • msDS-DeletedObjectLifetime(DOL) • tombstoneLifetime (TSL, ROL) • Domyślnie DOL == ROL == 180 dni • Każdy z nich może mieć inną wartość • Czas życia kopii zapasowych • MIN (DOL, ROL) • Dotyczny kopii zapasowych i IFM • Nie wolno odzyskiwać obiektów w stanie RECYCLED

  30. Recycle Bin –odtwarzanie OU=Finanse OU=Finanse CN=Tom • Brak GUI • PowerShell lub LDAP • Deleted Objects • Płaska lista obiektów • Zmieniony RDN (<RDN>+DEL:+CHAR(0A)) • Zachowane wszystkie atrybuty (linki) • Wypełnione lastKnownParent and lastKnownRDN • Obiekt MUSI być odtwarzany do istniejącego rodzica • Odtworzenie obiektów top-down CN=Tom CN=Sally CN=Sally OU=Admins OU=Admins Delete CN=Mark Undelete CN=Mark CN=Deleted Objects OU=Finanse\0ADEL:... CN=Robert\0ADEL:… CN=Tom\0ADEL:… CN=Sally\0ADEL:… OU=Admins\0ADEL:… CN=Mark\0ADEL:…

  31. demo Recycle Bin

  32. Offline Domain Join (ODJ) Best Practices Analyzer (BPA) Administrative Center (ADAC) Web Services (ADWS) Managed Service Accounts (MSAs) Authentication Mechanism Assurance (AMA) Powershell for Active Directory Module Recycle Bin

  33. Managed Service Accounts (MSA) • Co to? • Nowa klasa podmiotów bezpieczeństwa (security principal) • Przewidziana do użycia przez usługi • Zastępstwo dla standardowych kont serwisowych • Dostarczają mechanizmów automatycznego zarządzania hasłami • Do zapamiętania • Można używać tylko jednego MSA per usługa \ serwer • Nie można współdzielić jednego MSA na różnych maszynach • Wymaga Windows 7 lub Windows 2008 R2

  34. MSA – zarządzanie hasłami • Hasła MSA • Generowane przez system operacyjny • Skomplikowane hasła z dużą entropią • Długość hasła: 240 bajtów • Zmieniane zgodnie z ustawieniem NETLOGON MaximumPasswordAge • Zarządzanie manualne hasłem PS C:\> reset-ADServiceAccountPassword <MSA> PS C:\> nltest /sc_change_pwd:<SAMAcctName> • Hasła MSA • Nie podlegają domenowej polityce haseł • Nie podlegają mechanizmom FGPP

  35. MSA – krótka ściąga • Utworzenie MSA PS C:\> New-ADServiceAccount –Name {nazwa} –Path {ścieżka w DS} • Przypisanie MSA do serwera Add-ADServiceAccount –Identity {FQDN} -ServiceAccount {MSA} • Instalacja MSA na lokalnym systemie Install-ADServiceAccount –Identity {MSA}

  36. Podsumowując

  37. Windows 2008 R2 to … • … ewolucja a nie rewolucja • Nowe funkcje • Nowe mechanizmy zarządzania • PowerShell • AD AC, BPA • … zmiany będące podstawą dla dalszego rozwoju usługi • AD Web Service • Optionalfeatures

  38. Funkcjonalność a wymagania

  39. Pytania … … i ewentualnie odpowiedzi

  40. Dziękuję !!! Kontakt: t.onyszko@w2k.pl http://www.w2k.pl

More Related