260 likes | 472 Views
Active Directory Domain Services. Gál Tamás v-tagal@microsoft.com rendszermérnök Microsoft Magyarország. Terminol ógia. Active Directory Domain Services Az „ Active Directory” helyett Active Directory Lightweight Directory Services Az „ A DAM ” helyett
E N D
Active Directory Domain Services Gál Tamásv-tagal@microsoft.com rendszermérnökMicrosoft Magyarország
Terminológia • Active Directory Domain Services • Az „Active Directory” helyett • Active Directory Lightweight Directory Services • Az „ADAM” helyett • Active Directory Certificate Services • Tanúsítványok kezelése a PKI infrastruktúra részeként • Active Directory Federation Services • Azonosítás kezelő, tipikusan a http/s alapú kliensek extranetes erőforrás eléréséhez • Active Directory Rights Management Services • Központi szabályzású, információvédelmi megoldás
Tartalom • Telephelyes környezet • RODC • Felügyelet és üzemeltetés • Auditing, DCPromo, újraindítható DS, • Snapshot Browser
Read-OnlyDomain ControllerElőnyök • Kevésbé biztonságos helyen is használható • Alapesetben a user/computer jelszó nincs tárolva • Read-only Partial Attribute Set:az alkalmazások jogosultságainak tárolása (így replikálása a RODC-re) tiltható • Kevesebb lehetőség a címtár távoli „megpiszkálására” • „Unidirectional”replikáció – AD / FRS/DFSR • Minden RODC rendelkezik saját KDC KrbTGT fiókkal • Helyben hitelesítés, ergo szeparálás a központtól
Read-OnlyDomain ControllerElőnyök (folytatás) • Kevesebb lehetőség a címtár távoli „megpiszkálására” • Delegálható DCPROMO > nem kell Domain Adminként futtatni a telephelyen • dcpromo /UseExistingAccount:Attach • Csak a W2K8 írható DC-k regisztrálhatják be a RODC-t egy SRV rekordba • A RODC csak egy szimpla workstation fiókkal rendelkezik • Nem tagja az Enterprise-DC vagy a Domain-DC csoportoknak • További erős korlátok a címtárba íráskor
Egy elképzelt DS infrastruktúra • Ha van RODC: • Biztonságosabb és kevésbé költséges a DS infrastruktúra • Nincs szükség nagytudású Domain Admin-ra a telephelyen • „Bengedhető” a külső cég is a DC-re • …és persze a hagyományos DC-k nélkül, az esetleges WAN hibák esetén is megy tovább az élet
Read-OnlyDomain ControllerTovábbi következmények • Read-only DNS • Elsődleges típus, névfeloldásra tökéletesen alkalmas • Rekordszinten frissít „fentről”, ha kell • Mindent replikál (alkalmazásparticiók, domainDNSZones, ForestDNSZones, stb.) • De nem írható • Különválasztott GC szerepkör • A RODC csak speciális esetben lehet
Read-Only Domain ControllerAlkalmazási szkenáriók • RODC a telephelyen – elsődlegesen ajánlott • Tipikusan a limitált fizikai biztonságú helyekre • RODC a DMZ-ben(még nincs ajánlás) • Az AD nagyon sok előnye elérhető lenne kívülre és belülre is – tűrhető biztonsági körülmények között • RODC az Interneten(még nincs ajánlás) • Egyszerűen elérhetővé válna – minimális munkával – bár…
RODC telepítés demó
Read-Only Domain ControllerHogyan működik az első belépés? A kliens TGT kérésének elküldése a RODC-nek • RODC „észleli”, hogy e fiók hitelesítését nem tudja elvégezni Hajrá tovább a központi W2K8 felé A hub W2K8 hitelesít Az eredmény (és a TGT) visszaküldése a RODC-nek RODC átnyújtja a saját TGT-jét a fióknak és megjegyzi, hogy innentől saját maga kezeli majd A központi DC megvizsgálja a Password Replication Policy-t, és a beállításnak megfelelően leküldi (vagy nem) a jelszót a RODC-re
Read-Only Domain Controller Password Replication Policy - Mikor, mit nyerünk? • Nincs jelszó cachelés (alapértelmezett) • pro: magasan a legbiztonságosabb • kontra:viszont ha offline a központ > nincs hitelesítő DC > nincs belépés • Sok és fontos fiók kijelölése • pro: egyszerű megoldás, mindenki beléphet, minden esetben • kontra:nem elég biztonságos, „ott vagyunk ahol a part szakad” • Csak a kevésbé fontos (pl. csak a telephelyi) fiókok kiválasztása • pro: nem esik csorba a biztonságon, a fontos fiókok védve maradnak • kontra:több munka van vele
Read-Only Domain ControllerAz adminjogok szétválasztása • A problémák • Egy DC sem élhet a Domain Admins csoport nélkül • pedig a legtöbb feladathoz nem kell ez a jogosultság, még egy DC-n se • A helyi Administrators csoport ismeretlen a DC-n • Ezért a külső partnereket is muszáj sokszor Domain Admins csoportaggá tenni • A RODC elveinek abszolút ellentmond • Hiszen tisztán „belenyúlhatna” a címtárba is
Read-Only Domain ControllerAdmin jogok elválasztása • A megoldás • Egy újfajta „lokális admin” fiók • Ami az összes beépített helyi csoport tagjai is egyúttal (Backup, Print, ServerOperators, stb) • A címtártól viszont teljes tiltás • Már a telepítés közben is megadhatjuk • Később is bármikor • További korlátok • Csak egy már működő tartományi fiók lehet • De csak az adott RODC-n admin!
Helyi admin a RODC-n demó
Read-OnlyDomainControllerTelepítési kritériumok • Windows 2003 működési szint • Erdő és tartomány is • A PDC FSMO csak W2K8 lehet • Legalább egy W2K8 DC szükséges • Ez lesz majd kapcsolatban a RODC-vel • Nem baj, ha több van > rendelkezésre állás • DNS alkalmazásparticiók frissítése • Adprep /RodcPrep
RODC eltávolítás demó
Tartalom • Telephelyes környezet • RODC • Felügyelet és üzemeltetés • Auditing, DCPromo, újraindítható DS, • Snapshot Browser
Auditing • Az új, DS-hez kapcsolódó Eseménynapló bejegyzés (Event ID: 5136) „megmondja”: • Ki eszközölte a változást? Mikor történt? • Mely objektum / jellemző változott? • Mi volt / lett az előző / jelenlegi állapot? • Az auditálás engedélyezhető / tiltható • A globális audit házirendben • A SACL vagy akár a séma segítségével • Auditpol.exe
DS telepítés • A DCPromoimmár képes • A működési szint kiválasztására (erdő, tartomány) • Választható DNS telepítésre, automatikus delegálással és beállítással • A cél site kiválasztására • Delegált futtatásra (RODC) • Szükséges esetben az automatikus Infrastructure Master <> GC szerep transzferre • Több új, unattended telepítés opció használatára
Újraindítható Active Directory • Stop/Start a gép újraindítása nélkül • Miért jó nekünk ez? • Karbantartás, AD patchelés • A többi szolgáltatás működhet tovább • Az NTDS.dit offline • Belépés > DSRM • Hálózati belépés is
Felügyelet • Minden ADUC objektumon ADSIEdit tulajdonság fül • DFSR for SYSVOL (FRS V2) – SYSVOL replikáció – RDC is • AD MP SP1 a W2K8 DC/RODC-khez • Külön menedzsment csomagok - AD LDS, DNS Server, stb.
Snapshot browser (viewer / exposure / stb.) NTDSUTIL.EXE DSAMAIN.EXE LDP.EXE • Nagy segítség lesz a címtárból törölt objektumok visszaállításánál • Újraindítás és a DSRM nélkül megszemlélhetjük az AD lementett példányát • Visszaállításra nem használható • A read-only címtár példány • megtekintése • Pillanatfelvétel készítése a DS/LDS-ről • A pillanatfelvétel LDAP szerverré alakítása
Snaphot Browser demó
Kérdések és válaszok Budai Péter Áttekintés Gál Tamás Active Directory Domain Services