tomek onyszko microsoft services | w2k.pl
DESCRIPTION
Tomek Onyszko Microsoft Services | W2K.PL. Windows Community Launch. Windows 2008 R2 a usługa katalogowa. Nowe elementy \ funkcjonalność. Offline Domain Join (ODJ). Best Practices Analyzer (BPA). Administrative Center (ADAC). Web Services (ADWS). Managed Service Accounts (MSA). - PowerPoint PPT PresentationTRANSCRIPT
Tomek OnyszkoMicrosoft Services | W2K.PL
Windows Community Launch
Windows 2008 R2 a usługa katalogowa
Administrative Center (ADAC)
Best Practices Analyzer (BPA)
Offline Domain Join (ODJ)
Managed Service
Accounts (MSA)
Web Services (ADWS)
Recycle Bin
Powershell for Active
Directory Module
Authentication Mechanism Assurance
(AMA)
Nowe elementy \ funkcjonalność
Na początek – architektura …
LDAP
Web Services
S.DS.P / S.DS.AM / S.DS.AD
AD PowerShell MUX
WCF.NET
WPF.NET
.NET
Windows Server 2008 R2
Serwer
Klient
WCF.NET
Windows Server 2008
ADUC/ADSS/ADDT WSH
ADSI
LDAP
MMC
…
GUI
DS RPC-Based Protocols…DRSSAM
CLI
Active Directory Core
DS RPC-Based Protocols…DRSSAM
Administrative CenterGUI
BPA
… a teraz - funkcjonalność
Administrative Center (ADAC)
Best Practices Analyzer (BPA)
Managed Service
Accounts (MSA)
Web Services (ADWS)
Recycle Bin
Powershell for Active
Directory Module
Authentication Mechanism Assurance
(AMA)
Offline Domain Join (ODJ)
Po co to?Pozwala na pełne dodanie klienta do domeny bez kontaktu z kontrolerem domeny
ZaletyMożliwość aplikacji na VHDMaszyna dołączana do sieci nie musi posiadać połączenia sieciowego
Jednak jeżeli nie ma cached credentials na stacji połączenie może się przydać
WymaganiaBRAK zależności od poziomu lasu \ domenyNIE WYMAGA kontrolera domeny 2008 R2WYMAGA klienta Windows 7 lub Windows Server 2008 R2
Offline Domain Join (ODJ)
ODJ – jak to działa?
Polecenie DJOIN.exe przejmuje poświadczenia potrzebne do wykonania operacji i tworzy “plik”
”plik” zawieraInformacje o maszynie
Nazwę, hasłoInformacje o docelowej domenie
Nazwa, GUID, SIDInformacje o lesie
NazwęInformację o pomocniczym DC
Nazwę, adres, informację o lokacji
ODJ – co należy pamiętać
Tworzony jest jeden plik dla maszynyNIE MOGĄ być użyte ponownie
Zawartość “pliku” nie jest szyfrowana (base64)
Zawiera hasło w zasadzie w czystym tekścieNależy je chronić przed przejęciem
Wygenerowane pliki nie mają czasu życia
1. Zainstalować nową maszynę Win 7 lub R22. Zamknąć system operacyjny nowej maszyny, uzyskać dostęp
do jej dysku3. Na innej maszynie dołączonej do domeny wykonać polecenie
(z odpowiednimi uprawnieniami) –
4. Włączyć system operacyjny nowego klienta
ODJ – jak to zrobić?
djoin /provision /domain <docelowa domena>/machine <nazwa nowej maszyny> /savefile <nazwa pliku>
djoin /requestODJ /loadfile <nazwa pliku> /windowspath <folderu %windir% na nowym systemie >
Managed Service
Accounts (MSA)
Recycle Bin
Authentication Mechanism Assurance
(AMA)
Web Services (ADWS)
Administrative Center (ADAC)
Best Practices Analyzer (BPA)
Powershell for Active
Directory Module
Offline Domain Join (ODJ)
Co to?Web Services nasłuchująca na porcie TCP/9389
Dostępna dla usługi katalogowej (DS) i Lightweight Directory Services (LDS)
Zbudowana w oparciu o protokoły WS-* i WCFWS-Enum, WS-Transfer, IMDA
Podstawa dla przyszłych interfejsów programistycznych
Do zapamiętaniaUzupełnienie interfejsów LDAP i RPC dla zarządzaniaWykrywana przez klienta poprzez proces lokatora – LDAP Ping (skalowanie)Nie wymaga instalacji IIS na DC
AD Web Services (ADWS)
ADWS
Wymagania
Kontroler domeny Windows Server 2008 R2 Domain Controller lub instancja AD LDS
Wsparcie dla Windows Server 2003 i 2008Active Directory Management Gateway (ADMG) - uaktualnienie OOB
Musi działać lokalnie na DC lub instancji LDS
Wymagane wdrożenie na odpowiedniej liczbie DC Wymagane na DC dla każdego NC zarządzanego przez mechanizmy ADWS
Managed Service
Accounts (MSA)
Web Services (ADWS)
Recycle Bin
Authentication Mechanism Assurance
(AMA)
Powershell for Active
Directory Module
Administrative Center (ADAC)
Best Practices Analyzer (BPA)
Offline Domain Join (ODJ)
Co to?PowerShell for Active Directory Module to zestaw poleceń PowerShell przeznaczonych do zarządzania AD i AD LDSInterfejs administracyjny, dostęp do konfiguracji i do zapytań
Po co?Podstawa pod przyszłe mechanizmy zarządzania katalogiemDe-facto standard zarządzania w środowisku Windows Server
WymaganiaWindows 7 lub Windows Server 2008 R2PowerShell 2.0ADWS (lub ADMG) na zarządzanym DC(s)
Cmdlet’y z modułu nie używają LDAP
Moduł PowerShell
PowerShell dla AD
Instalowany poprzezServer Manager / Windows Server 2008 R2’s DCpromoRemote Server Admin Tools dla Windows 7 client (RSAT)
Moduł rozszerzający PowerShell
PS C:\> import-module ActiveDirectory PS C:\> Get-Command -module ActiveDirectory
~90 cmdlet dla AD i AD LDS
PowerShell Provider dla Active Directory
Moduł PowerShell dla Active Directory
demo
Managed Service
Accounts (MSA)
Web Services (ADWS)
Recycle Bin
Powershell for Active
Directory Module
Authentication Mechanism Assurance
(AMA)
Best Practices Analyzer (BPA)
Administrative Center (ADAC)
Offline Domain Join (ODJ)
Co to?Analizuję konfiguracje usługi i wskazuje odstępstwa od best practicesWskazuje rozwiązania problemów
Nie wykonuje modyfikacji \ akcji naprawczych samodzielnie
Jak?Skan uruchamiany poprzez Server Manager lub PowerShell
Loklanie lub zdalnieSkanowanie manualny (task scheduler)Skan wykonywany lokalnie na DC
Nie skanuje całego środowiska katalogu
Wymaga Windows 2008 R2 (tylko R2 !!!)Kwartalne uaktualnienia dla BPA dostępne będą przez Windows Update
Best Practice Analyzer (BPA)
BPA – uruchomienie skanu
… Server Manager
… PowerShellImport-Module BestPracticesInvoke-BPAmodel Microsoft\Windows\
DirectoryServicesGet-BPAresult Microsoft\Windows\
DirectoryServices
DNSRejestracja i rozwiązanie rekordów A/AAAA
Disaster RecoveryIlość DC \ domenaCzas życia kopii zapasowych
ReplicationCo najmniej 1 GC \ siteStan KCC Informacje dla VMs
BPA – co jest sprawdzane (RTM)
TopologiaRozmieszczenie i dostępność DC z rolami FSMO
Lingering ObjectsStan Strict Replication Consistency
Time servicePDC time source Wartości graniczne Max[POS|NEG]PhaseCorrection
Best Practices Analyzer
demo
Recycle Bin
Managed Service
Accounts (MSA)
Web Services (ADWS)
Authentication Mechanism Assurance
(AMA)
Administrative Center (ADAC)
Best Practices Analyzer (BPA)
Offline Domain Join (ODJ)
Powershell for Active
Directory Module
Co to?Pozwala na odzyskanie skasowanego obiektu w jego oryginalnym kształcie z wszystkimi wartościamiGłówna zaleta – linki pozostają nienaruszone po skasowaniu obiektu
Dodatkowy stan linku \ kolumna w bazie danych (link_deActiveTime)
Po co?Pełna możliwość odzyskania obiektu bez użycia kopii zapasowejWyeliminowanie obiektów tombstone z procesu odtworzenia
WymaganiaPoziom lasu 4 (WIN2008R2)
Zmiana procesu usuwania fantomów w danych
Włączenie funkcjonalności w katalogu
Recycle Bin
Tombstone Object
Windows Server 2008- bez Recycle Bin
GarbageCollection
Brian
Auth Restore/Odzyskanie
Skasowanie
TombstoneLifetime180 dni
RecycledObject
Deleted Object
Windows Server 2008- z włączonym Recycle Bin
GarbageCollection
Skasowanie
Odzyskanie Deleted Object Lifetime180 dni
Recycled (Tombstone) ObjectLifetime180 dni
Brian
Żywot Briana (jako obiektu)
Żywot Briana c.d.
Brian Deleted Object Recycled Object
Tombstone Object
180 Days 180 Days
180 dni
Garbage collection
Garbage collection
Brian
Windows Server 2008
Windows Server 2008 R2- z włączonym Recycle Bin
LDAP OID 1.2.840.113556.1.4.417
LDAP OID 1.2.840.113556.1.4.2064
Zwraca Tombstones
Zwraca Deleted i Recycled
Zwraca Deleted
Wpływ na DITPierwszy DC generuje ruch replikacyjny
isRecycled = True dla wszystkich skasowanych obiektów
Wzrost wielkości DIT 5-10% na start, następnie zależny od użycia
Dostępy jako dodatkowa funkcjaPierwsza (jak dotąd jedyna) implementacja optional featureWłączana poprzez modyfikację atrybutu katalogu (Powershell lub LDAP)
Enable-ADOptionalFeature ‘Recycle Bin Feature’ –Scope ForestOrConfigurationSet –Target {docelowy DC lub instancja LDS}
Zmiany w kataloguPo ustawienia isRecycled, blokowane jest odzyskanie tombstone
Możliwe poprzez dodatkową opcje NTDSUTIL.EXE
Recycle Bin – trzeba wiedzieć
Optional features
CN=Optional Features,CN=Directory Service,CN=Windows NT,CN=Services,CN=Configuration, DC=W2K,DC=PL
Recycle Bin
objectClass: msDS-OptionalFeature
msDS-OptionalFeatureFlags: FOREST_OPTIONAL_FEATURE
msDS-OptionalFeatureGuid: 766ddcd8-acd0-445e-f3b9-a7f9b6744f2a
msDS-RequiredForestBehaviorVersion: DS_BEHAVIOR_WIN7
CN=Partitions,CN=Configuration,DC=W2K,DC=PL
msDS-EnabledFeature
msDS-EnabledFeatureBL
Recycle bin – warto wiedzieć
Czas życia obiektów:Atrybuty CN=Directory Services,cn=Windows NT…
msDS-DeletedObjectLifetime (DOL)tombstoneLifetime (TSL, ROL)
Domyślnie DOL == ROL == 180 dni Każdy z nich może mieć inną wartość
Czas życia kopii zapasowychMIN (DOL, ROL)Dotyczny kopii zapasowych i IFM
Nie wolno odzyskiwać obiektów w stanie RECYCLED
Recycle Bin – odtwarzanie
Brak GUIPowerShell lub LDAP
Deleted ObjectsPłaska lista obiektówZmieniony RDN (<RDN>+DEL:+CHAR(0A))
Zachowane wszystkie atrybuty (linki)Wypełnione lastKnownParent and lastKnownRDN
Obiekt MUSI być odtwarzany do istniejącego rodzica
Odtworzenie obiektów top-down
OU=Finanse
OU=Admins
CN=Tom
CN=Sally
CN=Mark
CN=Deleted Objects
OU=Admins\0ADEL:…
CN=Tom\0ADEL:…
CN=Sally\0ADEL:…
CN=Mark\0ADEL:…
OU=Finanse\0ADEL:...
Delete
Undelete
OU=Finanse
OU=Admins
CN=Tom
CN=Sally
CN=Mark
CN=Robert\0ADEL:…
Recycle Bin
demo
Recycle Bin
Authentication Mechanism Assurance
(AMA)
Managed Service
Accounts (MSAs)
Web Services (ADWS)
Administrative Center (ADAC)
Best Practices Analyzer (BPA)
Offline Domain Join (ODJ)
Powershell for Active
Directory Module
Co to?Nowa klasa podmiotów bezpieczeństwa (security principal)Przewidziana do użycia przez usługiZastępstwo dla standardowych kont serwisowychDostarczają mechanizmów automatycznego zarządzania hasłami
Do zapamiętaniaMożna używać tylko jednego MSA per usługa \ serwer
Nie można współdzielić jednego MSA na różnych maszynachWymaga Windows 7 lub Windows 2008 R2
Managed Service Accounts (MSA)
Hasła MSAGenerowane przez system operacyjnySkomplikowane hasła z dużą entropią
Długość hasła: 240 bajtówZmieniane zgodnie z ustawieniem NETLOGON MaximumPasswordAgeZarządzanie manualne hasłem
PS C:\> reset-ADServiceAccountPassword <MSA>PS C:\> nltest /sc_change_pwd:<SAMAcctName>
Hasła MSA Nie podlegają domenowej polityce hasełNie podlegają mechanizmom FGPP
MSA – zarządzanie hasłami
1. Utworzenie MSAPS C:\> New-ADServiceAccount –Name {nazwa} –Path {ścieżka w DS}
2. Przypisanie MSA do serweraAdd-ADServiceAccount –Identity {FQDN} -ServiceAccount {MSA}
3. Instalacja MSA na lokalnym systemieInstall-ADServiceAccount –Identity {MSA}
MSA – krótka ściąga
Podsumowując
Windows 2008 R2 to …
… ewolucja a nie rewolucjaNowe funkcjeNowe mechanizmy zarządzania
PowerShellAD AC, BPA
… zmiany będące podstawą dla dalszego rozwoju usługi
AD Web ServiceOptional features
Funkcjonalność a wymagania
Minimalne wymaganie … ... pozwalające na użycie
Windows 7 lub Windows 2008 R2 jako klient
Offline Domain JoinManaged Service Accounts
+ jedna lub więcej instancji Web Services (również ADMG)
Active Directory Administrative CenterModuł PowerShell dla Active Directory
+ jeden lub więcej kontroler domeny Windows Server 2008 R2
Best Practices AnalyzerSynchronizacja hasła DSRM
+ Windows Server 2008 R2 Domain Functional Level
Authentication Mechanism Assurance
+ Windows Server 2008 R2 Forest Functional Level
Recycle Bin
… i ewentualnie odpowiedzi
Pytania …
