10. Pokročilé metody..
Download
Report
Transcript 10. Pokročilé metody..
Evropský sociální fond
Praha & EU: Investujeme do vaší budoucnosti
Administrace OS Windows
10. Pokročilé metody správy AD
Miroslav Prágl
1
Pokročilé metody správy AD
ATFM (Avoid These F……. Mistakes)
Standardní nástroje pro řešení problémů
Další použití GP
Základy scriptingu
Utility
Miroslav Prágl
2
Avoid these frequent mistakes:
Instalace AD je relativně snadná a
bezproblémová, chyby vznikají zejména kvůli
chybám v nastavení:
DNS
Schema
Synchronizace času (NTP)
Replikace (FRS…)
TCP/IP, Bandwidth (blokování portů, replikace přes
WAN)
Miroslav Prágl
3
ATFM - DNS
DNS (99% všech problémů je způsobeno špatným
resolvingem)
Chybějící záznamy pro DC
Zakázané znaky ve jménech (typicky _ )
Služba DNS: doporučuje se binding na jediném interface (u
multihomed strojů)
Single DC: problém s registrací svého záznamu v DNS (start
služby netlogon před DNS)
Forwarding – snížení zátěže DNS předáním dotazů DNS
serveru ISP
Bezpečnost – vzhledem ke klíčovosti DNS pro AD není vhodná
přístupnost DNS z Internetu
Záložka „Monitoring“
Miroslav Prágl
4
Schema
Přidání Windows 2003 serveru do stávající
Windows 2000 domény – nutnost rozšíření
schématu pomocí utility ADPREP:
ADPREP /Forestprep
ADPREP /Domainprep
Další rozšíření např MSExchange
Miroslav Prágl
5
Synchronizace času
Rozdíl času mezi DC > 5 minut způsobí
odmítnutí Kerberos autentikace
Použití spolehlivého externího zdroje (ntp)
Synchronizace času uvnitř domény
Služba „Windows time“
net time /SETSNTP[:ntp server list]
W32tm
http://support.microsoft.com/kb/232386
http://support.microsoft.com/kb/816042
Windows jako NTP server
(http://support.microsoft.com/?id=223184)
Miroslav Prágl
6
Replikace
File Replication Service (FRS)
AD Replication
Repadmin.exe
Miroslav Prágl
7
TCP/IP, Bandwidth
Použití HW VPN
Otevřené porty (RPC, NetBIOS / CIFS, LDAP,
DNS …)
Resolving
Šířka pásma pro synchronizaci AD a
replikovaných souborů
Miroslav Prágl
8
Standardní nástroje
eventvwr.exe – monitorování logovaných události
Dcdiag – Analýza stavu doménových řadičů
Netdiag.exe – Kontrola síťové konektivity mezi dvěma body, kontrola
distribuovaných služeb
Ntdsutil.exe – Správa AD, single master operations, mazání metadat
(např. záznamů o již neexistujícím DC v případě jeho havárie) http://support.microsoft.com/kb/255504
Repadmin.exe – Kontrola konzistence replikace mezi replikačními
partnery. Monitorování stavu replikace, zobrazení metadat, vynucení
replikace
dsadd.exe, dsget.exe, dsmod.exe, dsmove.exe, dsquery.exe,
dsrm.exe – konzolové nástroje pro práci sobjekty v AD
Virtualizace jako vhodný nástroj pro instalaci dočasného
doménoveho řadiče pro přenos AD
Zálohování
Miroslav Prágl
9
Další použití GP
Software restriction policies
Snížení práv vybrané aplikace na
Unrestricted
Basic User
Resticted
Untrusted
Disallowed
Podle
Path
Hash
Certificate
Internet zone
EPAL (Microsoft Elevated Privileges Application
Launcher)
Miroslav Prágl
10
Software restriction policies
Miroslav Prágl
11
EPAL
Microsoft Elevated Privileges Application
Launcher
http://www.microsoft.com/cze/technet/clanky/00
4.mspx
Spouštění programu pod uživatelem vyššími právy
(epal program.exe - obdoba sudo)
Integrace s AD, skupina uživatelů oprávněných
spustit aplikaci program.exe pomocí epal
Identifikace program.exe pomocí hash
epal /v /c:"OU=ProcExp,OU=EPAL Applications" /r z:\procexp.exe
Miroslav Prágl
12
Základy scriptingu v AD
Dim RootDSE, DomainNC, Connection, Command, RecordSet
Set RootDSE = GetObject("LDAP://rootDSE")
DomainNC = RootDSE.Get("defaultNamingContext")
Set Connection = CreateObject("ADODB.Connection")
Connection.Open("Provider=ADsDSOObject;")
Set Command = CreateObject("ADODB.Command")
Command.ActiveConnection = Connection
Command.CommandText = "<LDAP://" & DomainNC & ">;(objectCategory=User);CN;subtree"
Command.Properties("Cache Results") = False
Command.Properties("Page Size") = 100
Command.Properties("Sort On") = "CN"
Command.Properties("Timeout") = 30
Set RecordSet = Command.Execute()
Do While Not RecordSet.EOF
WScript.Echo RecordSet.Fields("CN").Value
RecordSet.MoveNext()
Loop
Connection.Close()
Miroslav Prágl
13
Utility
ADMT (Active Directory Migration Tool)
Změna struktury AD
Migrace uživatelů, skupin a počítačů (vč. hesel)
Z NT4 domény do AD
AD Explorer
Mezi AD doménami v různých forestech
Mezi AD doménami v rámci jednoho forest
AD viewer a editor
Hledání, editace, záložky
Snapshots pro offline prohlížení a porovnávání
AD restore
Obnova smazaných (tombstoned) účtů
Miroslav Prágl
14
ADMT
Miroslav Prágl
15
ADSIEdit.msc
Miroslav Prágl
16
AD Explorer
Miroslav Prágl
17
Zdroje:
Tato přednáška vychází ze zdrojů programu “Windows®
Academic Program”:
http://www.microsoft.com/resources/sharedsource/licen
sing/windowsacademic.mspx
Doporučené odkazy:
http://www.microsoft.com/technet/prodtechnol/windo
ws2000serv/technologies/activedirectory/maintain/op
sguide/part1/adogd07.mspx
news://list.vyvojar.cz/cz.vyvojar.list.win
Miroslav Prágl
18