560 likes | 804 Views
Administration und Management. Administration und Management. Björn Schneider Consultant IT-Security ITaCS GmbH. Technical Level 300. Agenda. Verbesserungen der Administration Management mit Gruppenrichtlinien Active Directory im Detail Automated System Recovery (ASR)
E N D
Administration und Management Björn Schneider Consultant IT-Security ITaCS GmbH Technical Level 300
Agenda • Verbesserungen der Administration • Management mit Gruppenrichtlinien • Active Directory im Detail • Automated System Recovery (ASR) • Softwaremanagement mit RIS und SUS • Windows System Ressource Management • Die neuen Terminal Services
Verbesserungen der Administration DCPROMO Management Console (MMC) Effektive Berechtigungen
DNS DCPROMOAutomatische DNS Fehlererkennung • Erkennt DNS Probleme beim Hochstufen • Liefert detaillierte DNS Informationen • Bietet dem Admin eine Autokonfiguration • Konfiguration der Netzwerkkarten • Automatische Installation des DNS Services • Erstellung der DNS Zonen • domain.de • _msdcs.domain.de
DCPROMOAD Installation von Backup Medien • Installation eines DCs in einer Außenstelle • DCPROMO auch mit 128 K/bit Anbindung • Initiale Replikation erfolgt mit Systemstate-Backup (*.bkf) • Grundlage ist ein DC aus der gleichen Domäne • Backup darf nicht älter als 60 Tage sein • Differenzielle Replikation danach übers Netzwerk • Funktion wird mit Setup Schalter gestartet >dcpromo /adv
Management Console„Object Picker“ und „Saved Queries“ • „Object Picker“ zum Finden von Objekten • Einfache Suchmaske zum Auffinden und Auswählen von AD-Objekten wie… • Benutzer-, Gruppen- und Computernamen • „Saved Queries“ bei häufigen Suchanfragen • Beliebige LDAP Suchanfragen wiederverwenden • z.B. „Finde alle Benutzerkonten bei denen die letzte Anmeldung mehr als 60 Tage zurückliegt“
Effective Rights • Ermitteln der effektiven NTFS-Berechtigungen eines Objektes z.B. Benutzer oder Gruppe „Darf Erwin Lindemann die Datei Gehalt.txtlesen?“
Object Picker Saved Queries Effective Rights
Gruppenrichtlinien Neue Policies WMI Filter GPMC, RSoP
Windows 2003 Domain Gruppenrichtlinien “Neue Policy” Viele Computer- Ergebnisse Viele User- Ergebnisse
GruppenrichtlinienWas ist neu? • Neue Richtlinien für… • Drahtlose Netzwerke • Terminal Service & IIS Einstellungen • Software Restriction Policy • Verwaltbarkeit • Alle Richtlinien voll dokumentiert • Resultant Set Of Policies (RSoP) • Group Policy Management Console (GPMC) • WMI-Filter
GruppenrichtlinienSoftware Restriction Policies • Erhöhte Systemsicherheit gegenüber Bedrohung durch „malicious code“ • Erkennt unbekannte oder „untrusted“ Software • Wird über GPO verteilt • 2 Sicherheitslevel (Allow/Deny) • Kein Ersatz für Anti-Virus-Programm
GruppenrichtlinienGroup Policy Management Console (GPMC) • Verwaltet GPOs im ganzen AD Forrest • Einfache Verwaltung aller GPOs in einem Tool • Sehr übersichtliche GPO und OU Darstellung • Saubere Dokumentation aller GPO Settings • Erstellung von HTML Zusammenfassungen • Bequeme Suche nach bestimmten GPOs • z.B. „Finde alle GPOs, in denen die Gruppe EDV Rechte zum Editieren besitzt und Folder Redirections gesetzt sind“
GruppenrichtlinienGroup Policy Management Console (GPMC) • Planungsmodus zur Analyse von GPOs • „What if“ Szenarien mit Resultant Set of Policies • Ermöglicht eine Überprüfung von GPOs am Live System • OU Planung mit Group Policy Modeling • Ermöglicht Planung von GPOs auf OU Basis • Backup/Restore sowie Import/Export von Gruppenrichtlinien • Austausch von GPOs zwischen Active Directories • Backup and Restore von GPOs für Notfälle
Gruppenrichtlinien Software Restriction Policy WMI Filter GPMC
Windows 2003 Domain Active Directory im Detail Replikation Trusts Rename
Verbesserte AD ReplikationDie neuen Transport Generatoren • Gruppenmitglieder sind nun einzelne Objekte • Beseitigung des Two-Way-Edit Problems • Geringere Latenzen bei Intra-Site Replikation • Windows 2000: AD Änderungen wurden alle 5 Minuten mit einer Latenzzeit von 30 Sec Repliziert (willkürlich) • Windows 2003: AD Änderungen werden alle 15 Sec mit einer Latenzzeit von 3 Sec Repliziert • Schnelle Kompression bei Inter-Site Replikationen (XPRESS Algorithmus)
Verbesserte AD ReplikationGecachte Global Catalog Informationen • Windows 2000 Global Catalog Problematik • GC ist für eine Domänen Anmeldung erforderlich, da Speicherort der Universal Group Mitgliedschaften • Windows 2003 DCs können Globale Cataloge cachen • Es werden nur die benötigten Daten über das WAN abgerufen • Gecachte Daten werden beim Ausfall des WANs Links genutzt • Domänen Anmeldung ist nun mit einem Offline GC möglich
Cross Forest AuthentifizierungNeuer Wizard für Vertrauensstellungen • Einfache Erstellung von Vertrauensstellungen • Zwischen zwei Forests über Kerberos (Transitiv) • Zeitgleiche Konfiguration der beiden Active Directory Forest‘s • Zwischen einzelnen Domänen (W2k3, W2k, NT4) • Zwischen AD und nativem Kerberos v5 Realm • Trust-Firewall beschränkt die Zugriffe • Eingebauter SID Filter verhindert SID History Angriffe • Wahlweise eingeschränkter Zugriff über Vertrauensstellungen
Cross Forest AuthentifizierungGeltungsbereiche der Vertrauensstellungen Forest Trust A-B Forest Trust B-C X Kein Trust!
Umbenennen von DC‘s, Domänen Corporate Identity für das Active Directory • Umbenennen von Domänen Controller • Mit Hilfe der UI „Computernamen ändern“ • Mit dem Befehlszeilen Programm NETDOM.EXE • Windows Server 2003 Domain Rename Tool • Umbenennen von ganzen Forest Strukturen • Umbenennen einer einzelnen Win2003 Domäne • Umbenennen eines ganzen Win2003 Trees • Domäne/Forest muss im 2003er Modus sein! Original Kommentar aus dem Domain Rename Whitepaper: “it is not intended to make domain rename a routine operation”
Neue Active Directory FunktionenUnd die vielen Änderungen am Rande… • Redirecting Default Users and Computers Containers • Deactivation of Attributes/Classes in the Schema • Kerberos Delegation Model Improvements • Prevent Overloading Domain Controllers • Lingering Objects Removal Mechanism • Forceful Domain Controller Demotion • Synchronize Restore Mode Password • Enhanced Replication Monitoring • Application Directory Partitions • Active Directory Object Quotas • LDAP Improvements … und noch einige mehr!
Desaster Recovery Automated System Recovery (ASR)
Disaster RecoveryGrundlagen • Disaster: • Physikalische Zerstörung von Computersystemen • Feuer, Erdbeben, Wassereinbruch, etc. • Katastrophaler Hardwarefehler • Meist Storage-Systeme • Recovery: • Wiederherstellen der Hardwarekonfiguration • Wiederherstellen des Betriebssystems und der Anwendungen • Wiederherstellen der Nutzdaten
Manuelle SystemwiderherstellungFrüher • Beschaffung und Einbau neuer Hardware • Installation von Windows Server • Konfigurieren aller physikalischen Laufwerke mit den originalen Einstellungen • Installation der Backup-Software sowie der benötigten Backupmedien-Treiber • Wiederherstellung des Betriebssystems • Reboot und Überprüfen der Dienste • Wiederherstellen der Daten
Automated System Recovery (ASR)Heute (2003 und XP) • Beschaffung und Einbau der neuen Hardware • Booten von der Windows CD • Ausführen von ASR • Einlegen des Backupmediums • Wiederherstellen der Daten
Automated System RecoveryAblauf Windows CD ASR Floppy ASR Floppy Backup Medium für Daten Installationsmedium Backup Software (Optional) Windows Innstallations-medium Online ASR Backup Medium
Automated System RecoveryZiele • Stadium für „non-bootable“ Systeme schaffen, von dem aus Backup/Restore Applikationen ausgeführt werden können • Konfigurieren aller physikalischen Laufwerke mit den originalen Einstellungen • Widerherstellung des Betriebssystems und aller Dienste und Anwendungen mit ihren Einstellungen • Mechanismus für Hersteller um auf die ASR-Features zuzugreifen
Automated System RecoveryUnterstützte Konfigurationen • Basic und Dynamische Festplatten • x86 und ia64 Plattformen • MBR und GPT (EFI) Laufwerke • Benötigt Floppy Laufwerk ! • ASR ist keine Netzwerkwiederherstellung, aber • ASR kann komplett mit RIS automatisiert werden • Keine Floppy notwendig da PXE Boot • Kein F2 um ASR zu starten
Softwaremanagement mit RIS und SUS Remote Installation Service (RIS) Software Update Service (SUS)
Remote Installation ServiceNeue Features • Installation von Servern via RIS • 64-Bit Unterstützung • Windows XP 64 Bit • Windows Server 2003 64 Bit Edition • NTLMv2 als Authentifizierungsprotokoll • Automatisches Autorisierung im AD
Remote Installation ServiceNeue Features • Unterstützung mehrerer Sprachen • Bearbeiten der multilng.osc und abspeichern als welcome.osc • PXE Start auch ohne “F12“ • startrom.com Starten mit F12 • startrom12.com kein Bestätigen mit F12
Software Update Service • Installieren von Betriebssystemupdates über einen internen Install-Server • Für alle Windows 2000, Windows XP und Windows Server 2003 Clients • Gilt derzeit nur für QFEs von Windows und Internet Explorer • Neue Version SUS 2.0 wird erwartet • Alle Patches aller MS Produkte • Auch Treiber und Empfohlene Software • 3rd Party Integration für andere Software
Software Update Service WHQL QFEs Features Microsoft Software Device Drivers Windows Update http://windowsupdate.microsoft.com Internet Signed Cabs Intranet SUS XML & SOAP Software Update Server • Clientkomponenten: • Automatic Update • Dynamic Update • Device Manager XML & SOAP
Software Update ServiceVoraussetzungen • Betriebssystem Serverseitig • Windows 2000 Server (IIS 5) • Small Business Server 2000 (IIS 5) • Windows Server 2003 (IIS 6) • Rollen Serverseitig • Memberserver (Empfohlen) • Seit SUS SP1 auch DC • Konfiguration der Clients (ab Windows 2000) • Gruppenrichtline (Empfohlen) • Registry Eintrag
Windows System Ressource Management (WSRM) Einsatzmöglichkeiten
Windows Ressource ManagementWas kann WSRM? • Definieren von Ressourcenverbrauch für bestimmte Applikationen (CPU und Memory) • Wahl des Prozesses, der gemanagt werden soll • Setzen der Werte bzw. Limits für Ressourcenverbrauch • Managen von Ressourcen mittels Policies • CPU Auslastung (% CPU) • Process working set size (physical resident pages) • Zugewiesener Speicher (page table und page file usage)
Windows Ressource ManagementWas kann WSRM? • Zuweisen von Richtlinien zu bestimmten Zeiten • Email Benachrichtigung bei speziellen Events • Generierung, Darstellung,Speicherung und Export der gesammeltenDaten
Windows Ressource ManagementEinsatzmöglichkeiten • Serverkonsolidierungsszenario • Skalierung von Systemressourcen für • Eine oder mehrere wichtige LOB Applikationen • Große Terminal Server Systeme • Mehrere SQL Server Instanzen • Ressourcenverbrauch von individuellen IIS6 Applikationspools auf einem Server • Falls SQL Server, IIS und Exchange auf der selben Maschine laufen sollten
Terminal Services RDP 5.2 Session Directory
Terminal DiensteÜberblick • Remote Desktop (Administrationsmodus) • Lizenzfrei, keine Installation erforderlich • 2 Administratoren + 1 KonsolensitzungMSTSC /CONSOLE • Zunächst „disabled“ (Paradigma!) • Anwendungsmodus • 2x mehr gleichzeitige Nutzer • Session Directory • Zwei Sicherheitsmodelle
Terminal DiensteDer neue RDP Client • RDP 5.1/5.2 • True Color 24 Bit, 1600 x 1024 Auflösung • Redirection • Lokale und Netzwerklaufwerke • Lokale und Netzwerkdrucker • Serielle und Parallele Ports • Sound, Zeitzone • Ganzseitendarstellung, Verbindungsoptimierung • Volle 128Bit Verschlüsselung (FIPS 140-1) • Smartcard-Unterstützung
Terminal DiensteDer neue RDP Client • Windows Client als… • Full Client (.MSI-File) • MMC SnapIn • Web Client (ActiveX-control) • RDP 5.1 Client auch für andere Betriebssysteme • Windows 9.x, ME • Windows NT • Windows 2000 • Apple Mac OS X
Terminal Dienste • Bessere Verwaltung • Remote Desktop Users - Gruppe • Neue Gruppenrichtlinien (z.B. Software Restriction Policy, TS Settings) • Windows System Resource Manager (WSRM) • ADSI und WMI-Zugang zu TS-Settings • Fast Reconnect • Session Cookie zum Identifizieren des Benutzers • Session Directory • Erlaubt das Zuordnen verlorener TS-Sessionszum ursprünglichen NLB-Knoten
Cluster fürSession Directory und Benutzerprofile TS-1 TSFARM(NLB) TS-2 TS-3 Terminal DiensteSession Directory X Jane Doe *********** Jane Doe Keine aktive Session