1 / 52

Szalontay Zoltán, Tarsoly Balázs rendszermérnökök Microsoft Magyarország

Active Directory, a Windows 2000 új címtára. Szalontay Zoltán, Tarsoly Balázs rendszermérnökök Microsoft Magyarország. A „Windows 2000” kihívásai. A Windows 2000 sokkal több, mint a Windows NT egy újabb verziója Egy új operációs rendszer, amelynek rengeteg új szolgáltatása van

metta
Download Presentation

Szalontay Zoltán, Tarsoly Balázs rendszermérnökök Microsoft Magyarország

An Image/Link below is provided (as is) to download presentation Download Policy: Content on the Website is provided to you AS IS for your information and personal use and may not be sold / licensed / shared on other websites without getting consent from its author. Content is provided to you AS IS for your information and personal use only. Download presentation by click this link. While downloading, if for some reason you are not able to download a presentation, the publisher may have deleted the file from their server. During download, if you can't get a presentation, the file might be deleted by the publisher.

E N D

Presentation Transcript

  1. Active Directory,a Windows 2000 új címtára Szalontay Zoltán, Tarsoly Balázs rendszermérnökök Microsoft Magyarország

  2. A „Windows 2000” kihívásai • A Windows 2000 sokkal több, mint a Windows NT egy újabb verziója • Egy új operációs rendszer, amelynek rengeteg új szolgáltatása van • Összetett, nagy és „sokkoló” • A szakmának időben fel kell készülnie annak érdekében, hogy képes legyen Windows 2000 alapú rendszereket tervezni és üzemeltetni • A feladat nehéz, de nem lehetetlen

  3. Önök egy sorozatot látnak... • Active Directory, a Windows 2000 új címtára • Felhasználó és szoftver menedzsment • Biztonsági szolgáltatások a Windows 2000-ben • A Windows 2000 infrastruktúrális szolgáltatásai • A Windows 2000 mint alkalmazás kiszolgáló • A Windows 2000 telepítése és üzembehelyezése • A Windows 2000 NetWare és UNIX környezetben

  4. Miről lesz szó? • Ismerkedjünk meg az Active Directoryval! (Demó) • Az Active Directory alapfogalmai és működése • És hogy néz ki mindez belülről???

  5. Mi az a címtár? • „Directory” • Információ forrás, telefonkönyv, könyvtárrendszer • Egy elosztott rendszer erőforrásainak információit egy központi helyen tárolja • Felhasználói adatok, • Számítógépek, nyomtatók, stb. • Alkalmazások egyéb adatai • Növeli a biztonságot • Minden egy helyen: kevesebb a kiskapu • A címtár megléte önmagában még nem garancia! • A címtár nem csak az adminisztrátorok játéka • A felhasználók és az alkalmazások is hasznát vehetik

  6. Az Active Directory jellemzői • Hierarchikus, kiterjeszthető névtér (séma) • Több mesterpéldányt használó (multimaster) replikáció • Szervezeti szintű, globális katalógus • X.500 szabványon alapul • DNS alapú erőforrás-elérés • LDAP v3.0 alapú adatkezelés • Integráció a védelmi alrendszerrel, a hálózattal és a kezelőfelülettel

  7. Az Active Directory jellemzői (folytatás) • Nagy teljesítményű adatbázis • Skálázható (40 millió objektumig tesztelve) • Többszörösen, röptében indexelt • Partícionált (tartományok) • Megbízható (mentés, tranzakciós napló) • Nyilvános séma objektum • A séma a címtárban foglal helyet • Hatékony replikáció • Objektum helyett tulajdonság szintű • Időkülönbségek helyett frissítési sorszámok (USN)

  8. Ügyfelek • Mgmt profil • Hálózati paraméter • Házirend • Kiszolgálók • Szolgáltatás • Nyomtató • Megosztás • Házirend • Felhasználók • Fiók info • Jogosultság • Házirend • Más címtárak • Yellow pages • Elektornikuskereskedelem • Portálok • Hálózati eszközök • Konfiguráció • QoS • Cisco CNS/AD • Biztonság • Központi MGMT • Felhasználók • Erőforrások • Biztonság • Delegáció • Házirend Active Directory • Hálózati kiszolgálók • Migráció • Szinkronizáció • Single Sign-On • Tűzfal szolgáltatás • Konfiguráció • VPN beállítások Internet • E-Mail Szerverek • Postafiók info • Címlista • Disztribúcióslista • Alkalmazások • Szerver konfig. • Single Sign-On • Alkalmazásspecifikus információk Mire jó az Active Directory?

  9. A címtárak alapfogalmai • Objektum • Organization Unit • Tartományok és altartományok • Erdő • Séma • Globális katalógus • Névhasználati környezet • Partíció

  10. Objektum • A címtár elemiegysége • Tulajdonságok • Metódusok • Előre definiáltobjektumok • User • User Group (nem azonos az Organizational Unit-tal) • Computer, Domain Controller Printer, File share

  11. Organizational Unit • Az adatok struktúrált tárolását segíti • Objektumokat vagy más tárolókat tartalmaz • Segíti az elosztott adminisztrációt • 12-es mélységben ágyazható egymásba, de 3 fölé ne menjünk

  12. Tartomány • Az AD egy partíciója • A partíción belüli adatokért a tartomány verzérlői (DC) felelősek • A tartomány tartalmazza az OU-k fastruktúráját • Az AD önálló adminisztratív egysége • Az OU-k tulajdonságai csak a tartományokon belül öröklődnek

  13. Több tartomány: Elosztott felügyelet Egy tartomány: Központi felügyelet Az Active Directory kettős fastruktúrája

  14. A kettős fastruktúra jelölése

  15. Mit kell tudnia a DNS-nek? • Szükséges • Server Record, RFC-2052 • Dinamikus frissítés • Javasolt • Titkosított zóna transzfer • Jó, ha van • Inkrementális zóna transzfer, RFC-1995 • Értesítés a változásról, RFC-1996 • Negatív caching, RFC-2308 • BIND 8.2.1-től felfelé O.K. • Elfelejthetjük a NetBIOS-t (WINS-t) ?

  16. Bicikli.hu auto.hu Szerviz.bicikli.hu szerviz.auto.hu Budapest.szerviz.auto.hu Erdő • Nem folyamatos névtér • Közös felügyelet • Közös séma • Közös Globális Katalógus fa fa

  17. Séma • Az objektumok tulajdonságait leíró adatbázis • Az Active Directory ezt is a címtárban tárolja • Schema Naming Context

  18. Globális Katalógus (GC) • A címtárban történő keresést könnyíti • Minden objektumról egy szűkített kivonatot tartalmaz • Az eredeti objektumok hozzáférési jogait megörökli • Bármely tartományvezérlő lehet GC • A bejelentkezéshez kell egy GC kiszolgáló • Mező szinten replikálódik • Méretezésre ügyelni kell

  19. A Globális Katalógus tartalma A GC minden adatot tartalmaz a saját tartományáról De kivonatos formában tárolja az erdő összes többi tartományának adatait is.

  20. Partíciók • Partíció = Windows 2000 tartomány • Egy tartományvezérlő egyszerre csak egy tartományt kezelhet • Tartomány-altartomány kapcsolat = Trust • A Trust kapcsolat tranzitív • Ha A megbízik B-ben és B megbízik C-ben, akkor A is megbízik C-ben • Egy tartománynak akárhány egyenrangú vezérlője lehet • Nincs többé PDC és BDC

  21. BDC PDC Mixed vs Native mode SAM SAM

  22. BDC Mixed vs Native mode Windows 2000 DCPDC emulátor SAM

  23. Mixed vs Native mode Windows 2000 DC Windows 2000 DC

  24. Névhasználati környezetNaming Context (NC) • Régiók az AD adatbázisában • Eltérő replikációs szabályok vonatkoznak rájuk • Példák: • Konfiguráció (az erdőre vonatkozik) • Séma (az erdőre vonatkozik) • Az erdő tartományai, azaz a partíciók

  25. Telephelyek – 1. • Az AD telephelyei azonosak az Exchange és az SMS telephely fogalmával • Másként kell replikálni telephelyen kívül és belül • Beállítható transzport, költség, ütemezés • A telephelyek site linkek segítségével kapcsolódnak egymáshoz • Windows 2000 B3-tól a site linkek tranzitívek

  26. Telephelyek - 2. • Távoli telephely = lassú a kapcsolat (<10 mbps) • Ökölszabályok • Egy telephely nem vághat félbe egy IP alhálózatot • Egy telephely lehetőleg NE nyúljon át WAN kapcsolatokon • Minden telephelyen legyen Global Catalog Server (GC) • Minden telephelyen legyen DNS kiszolgáló

  27. Active Directory replikáció

  28. A replikáció céljai • Robusztus - multi master • Hatékony – tulajdonság szintű, költségérzékeny • Rugalmas – többféle transzport, időzítés • Könnyen felügyelhető - automatikus topológia generálás

  29. A replikáció alapfogalmai - 1 • USN alapú, Multi-master • Replikációt kiváltó műveletek • Objektum létrehozás, módosítás, mozgatás, törlés • Frissítés elsőkézből (originating update) • A frissítést egy adott DC kezdeményezte • Frissítés másodkézből (replicated update) • A frissítést egy replikációs partner (egy másik DC) kezdeményezte • Az objektumok törlésekor sírkő keletkezik (nincs azonnali törlés)

  30. A replikáció alapfogalmai - 2 • High-watermark vektor • Megmondja, hogy kell-e replikálni vele? • A replikációs partnerek legmagasabb USN-jeit tartalmazza • Up-to-dateness vektor • Megmondja, hogy mit kell replikálnom? • Naming context-enként • A legmagasabb kiinduló USN-eket tartalmazza

  31. Az USN működés közbenÚj objektum létrehozása Felhasználó felvétele DC1 USN: 4710 USN: 4711 Object: usnCreated : 4711 Object: usnChanged : 4711 Property Value USN Version# Timest. Org. DB GUID Org USN P1: Value 4711 1 TS DC1 DB GUID 4711 P2: Value 4711 1 TS DC1 DB GUID 4711

  32. Az USN működés közbenObjektum replikációja Replikáció DC2 DC1 USN: 1745 USN: 1746 USN: 4711 Object: usnCreated : 1746 Object: usnChanged : 1746 Property Value USN Version# Timest. Org. DB GUID Org USN P1: Value 1746 1 TS DC1 DB GUID 4711 P2: Value 1746 1 TS DC1 DB GUID 4711

  33. Az USN működés közbenTulajdonság módosítása Jelszó váltás DC2 USN: 2001 USN: 2002 Object: usnCreated : 1746 Object: usnChanged : 2002 Property Value USN Version# Timest. Org. DB GUID Org USN P1: Value 1746 1 TS DC1 DB GUID 4711 P2: Value 2002 2 TS DC2 DB GUID 2002

  34. Az USN működés közbenellentétes irányú replikáció Módosított jelszó replikációja DC2 DC1 USN: 5039 USN: 5040 USN: 2002 Object: usnCreated : 4711 Object: usnChanged : 5040 Property Value USN Version# Timest. Org. DB GUID Org USN P1: Value 4711 1 TS DC1 DB GUID 4711 P2: Value 5040 2 TS DC2 DB GUID 2002

  35. Konfliktusok feloldása - 1 • Azonos attributumok • Pl. a felhasználó jelszavát egymástól függetlenül másra állítják két DC-n • Megoldás:nagyobb verzió számnagyobb időbélyegnagyobb GUID • Változás egy már kitörölt tárolóban • Pl., A rendszergazda a DC1-en létrehoz egy felhasználót az OU1-ben, de az OU1-et korábban már kitörölte egy másik rendszergazda a DC2-n • Megoldás: OU1 törlésre kerül, felhasználó átkerül a “Lost and Found” tárolóba

  36. Konfliktusok feloldása - 2 • Objektum név konfliktus • Pl., Két rendszergazda azonos néven hoz létre egy-egy felhasználót két DC-n • Megoldás: az egyik objektum egy egyedi értéket kap (a GUID-ot hozzáragasztják az eredeti értékhez) • Melyik marad eredeti néven? • Nagyobb verzió számnagyobb időbélyeg nagyobb GUID

  37. Replikációs modell

  38. Topológia generálása • Knowledge Consistency Checker (KCC) • Helyi művelet, ami minden DC-n 15 percenként fut • Feladata a Connection object-ek törlése létrehozása • Minden NC szerint egy önálló topológia • A konfigurációs és a séma NC azonos topológiát használ • Minden tartományi NC-nek önálló • Topológia a telephelyek felett alakul ki • A telephelyen belül (Intra-Site) minden NC-re egy kettős gyűrű épül fel • A telephelyek között (Inter-Site) fa alakul ki • A topológia manuálisan módosítható

  39. Konfiguráció és Séma Naming Context topológia Auto.hu tartományNaming Context topológia auto.hu Connection Object DC2 DC1 DC3 DC4 Telephelyen belüli topológia kialakulása

  40. Konfiguráció és Séma Naming Context topológia auto.hu tartományNaming Context topológia szerviz.auto.hu tartományNaming Context topológia auto.hu Connection Object Szerviz.auto.hu DC1 DC2 DC1 DC2 DC3 DC4 Telephelyen belüli topológia kialakulása

  41. Konfiguráció és Séma Naming Context topológia auto.hu tartományNaming Context topológia szerviz.auto.hu tartományNaming Context topológia auto.hu Connection Object Szerviz.auto.hu DC1 DC2 DC1 DC2 DC3 DC4 Telephelyen belüli topológia kialakulása

  42. BP Budapest Pécs PK Kaposvár autodc2 autodc1 autodc3 Telephelyek közötti topológia kialakulása auto.hu PKKöltség: 70 Időzítés: 4 – 7 között BPKöltség: 50 Időzítés: 2– 5 között Site Link Connection Object

  43. Telephelyek közötti topológia kialakulása auto.hu BP Budapest Pécs PK Kaposvár autodc2 autodc1 BK BKKöltség: 120 Időzítés: 4 – 5 között autodc3 Site Link Connection Object

  44. Bevezetés a fizmók világába (FSMO) • Flexible Single Master Operation • Bizonyos dolgokat nem lehet multi-master replikációval megoldani • A szerepkör MMC-vel vagy az NTDSUTIL-lal áthelyezhető • 5 FSMO szerepkör • 2 az egész erdőre vonatkozik • 3 a tartományra (mindegyikre külön-külön) vonatkozik.

  45. Schema Master • Az egész erdőre vonatkozik • Az a kiszolgáló, amely módosíthatja a sémát • Alapértelmezés szerint az erdő elsőnek telepített DC-je • Módosítás a Schema Manager snap-in segítségével (ResKit)

  46. Domain Naming Master • Az egész erdőre vonatkozik • Alapértelmezés szerint az erdő elsőnek telepített DC-je • Globális Katalógus kiszolgálón kell, hogy legyen • A tartományok alkotta névtérért felel • A névtér csak rajta keresztül módosítható • Új tartomány létrehozása • Meglévő tartomány törlése • A későbbiekben: tartomány mozgatása és átnevezése

  47. PDC Advertiser/Emulator • Tartományonként egy • Ez a szerepkör jelenti a Mixed módot • PDC-ként vislekedik a Windows NT 4.0-s BDC és a munkaállomások felé • Windows NT Master Browser • Ez a gép jelenti a kapcsolatot a régi és az új világ között

  48. RID (Relative ID) Master • Tartományonként egy • Új felhasználók vagy csoportok felvételekor a RID intervallumból ő osztja ki az egyedi azonosítókat • Tartományok közötti mozgatások esetén is használják

  49. Infrastructure Daemon • Tartományonként egy • Más tartományokban lévő objektumokra történő hivatkozásokat kezel, pl. csoport tagok, elmozgatott felhasználók, stb. • Lehetőleg ne ez legyen Global Catalog szerver is

  50. Windows 2000 Server ADSI-kompatíbilis alkalmazások Active Directory Services Interface (ADSI) Bindery modul NDS modul NTDS modul LDAP modul DEN modul NetWare 3.12 NetWare 4.1x Windows NT Unix, Notes Aktíveszközök NDS NTDS LDAP DEN Bindery A programozható címtár • Egységes programozási felület különböző címtárszolgáltatások és az azokat használó alkalmazások számára • Bárki írhat címtárszolgáltatót (ld.: Directory Enabled Networks) • Bárki írhat a címtárat igénybe vevő üzleti vagy felügyeleti alkalmazást

More Related